Je gère actuellement 6 appareils Cisco ASA (2 paires de 5510 et 1 paire de 5550). Ils fonctionnent tous très bien et sont stables, il s'agit donc plutôt d'une question de conseils plutôt que de "OMG c'est cassé, aidez-moi à le réparer".
Mon réseau est divisé en plusieurs VLAN. À peu près chaque rôle de service a son propre VLAN, donc les serveurs DB auraient leur propre VLAN, serveurs APP, nœuds Cassandra.
Le trafic est géré sur une autorisation uniquement spécifique, refuser les bases du repos (la politique par défaut consiste donc à supprimer tout le trafic). Je le fais en créant deux ACL par interface réseau, par exemple:
- liste d'accès dc2-850-db-in ACL qui est appliquée à l'interface dc2-850-db dans la direction "dans"
- access-list dc2-850-db-out ACL qui est appliqué à l'interface dc2-850-db dans le sens "out"
Tout est assez serré et fonctionne comme prévu, mais je me demandais si c'était la meilleure façon de procéder? Pour le moment, je suis arrivé à un point où j'ai plus de 30 VLAN et je dois dire que cela devient un peu déroutant à certains moments pour les gérer.
Probablement quelque chose comme des ACL communs / partagés aiderait ici que je pourrais hériter d'autres ACL mais AFAIK il n'y a rien de tel ...
Tout conseil très apprécié.
private vlans
? Une autre alternative pourrait être de diviser les unités commercialesVRFs
. L'un ou l'autre pourrait aider à gérer une partie de l'explosion des exigences ACL. Honnêtement cependant, il est difficile de commenter cette question car tout dépend des raisons commerciales et techniques de votre conception existanteRéponses:
Pour vous ayant des périphériques Cisco ASA (2 paires de 5510 et 1 paire de 5550). Cela signifie que vous vous éloignez du filtrage de paquets avec acls et passez aux techniques basées sur la zone de pare-feu dans les ASA.
Créez des cartes de classe, des cartes de politique et des politiques de service.
Les objets en réseau vous faciliteront la vie.
La tendance de la technique du pare-feu est
filtrage de paquets - inspection de paquets - inspection ip (inspection avec état) - firewall zonebased
Ces techniques ont été conçues pour qu'il soit moins déroutant à mesure que les zones augmentent.
Il y a un livre, vous voudrez peut-être le lire.
L'administrateur accidentel - Ça m'a vraiment aidé.
Jetez-y un œil et passez des acls dans deux directions différentes.
Avec les ASA, vous ne devriez avoir aucun problème.
Dans le passé, j'ai fait l'inspection ip de la série 800 et le ZBF, puis j'ai comparé les avantages et ils ont utilisé la même technique dans les ASA en s'éloignant du filtrage de paquets pour inspecter ip avancé.
la source
Une solution très simple (et, certes, un peu tricheuse) serait d'attribuer à chaque interface VLAN un niveau de sécurité cohérent avec le trafic qu'elle doit autoriser.
Vous pouvez ensuite définir
same-security-traffic permit inter-interface
, évitant ainsi la nécessité d'acheminer et de sécuriser spécifiquement le même VLAN sur plusieurs appareils.Cela ne réduirait pas le nombre de VLAN, mais cela réduirait probablement de moitié le nombre d'ACL dont vous avez besoin pour les VLAN qui atteignent les trois pare-feu.
Bien sûr, il n'y a aucun moyen pour moi de savoir si cela a du sens dans votre environnement.
la source
Pourquoi avez-vous des listes d'accès entrantes et sortantes? Vous devez essayer d'attraper le trafic le plus près possible de la source. Cela signifierait uniquement les listes d'accès entrantes, réduisant de moitié votre nombre total d'ACL. Cela aiderait à réduire la portée. Lorsque vous n'avez qu'une seule liste d'accès possible par flux, votre ASA deviendra plus facile à maintenir et plus important encore: plus facile à dépanner en cas de problème.
De plus, tous les VLAN doivent-ils passer un pare-feu pour se rejoindre? Cela limite considérablement le débit. N'oubliez pas: un ASA est un pare-feu, pas un (bon) routeur.
la source