Позвольте мне вначале сказать, что я не являюсь сетевым администратором по профессии, и этот брандмауэр был первоначально установлен консультантом Cisco, который больше не доступен.
У нас есть небольшой офис с Cisco ASA 5505 и принтер на базе IP. Поставщик может получить удаленный доступ к этому принтеру для печати бухгалтерской документации. Поскольку поставщик меняет интернет-провайдеров, мне необходимо обновить общедоступный IP-адрес поставщика.
Если вы посмотрите на приведенные ниже фрагменты, я не уверен, что понимаю, почему они не использовали точный адрес для правила, вместо этого это xxx.xxx.xxx.0, а затем они отметили конкретный общедоступный IP-адрес в описании. Не лучше ли было иметь для начала xxx.xxx.xxx.250?
Когда я делаю обновление для нового общедоступного IP-адреса поставщика, не следует ли мне вставлять конкретный общедоступный IP-адрес, с которого они приходят, вместо того, чтобы разрешить всю общедоступную / 24 (сеть, из которой происходит их общедоступный IP-адрес)?
Вот фрагменты, которые я могу найти в конфигурации, это не настоящие IP-адреса:
name 192.168.0.106 host-prt-000.106-printing01
name 192.168.0.107 host-prt-000.107-printing02
name XXX.XXX.XXX.0 vendor-srv-PrintingVendor description Specific Print Source: XXX.XXX.XXX.250
object network vendor-srv-PrintingVendor
subnet XXX.XXX.XXX.0 255.255.255.0
description AccountingVendor
object network host-prt-000.106-printing01
host 192.168.0.106
description accounting HP
object network host-prt-000.107-printing02
host 192.168.0.107
description xerox
Заранее спасибо.
Дэвид
Часть опубликованной вами конфигурации не содержит правил NAT или списков контроля доступа (оба из которых связаны с разрешением удаленного IP-адреса на печать на принтер в вашей сети).
object network vendor-srv-PrintingVendor
Это сетевой объект. В маршрутизаторах Cisco вы можете определять сетевые объекты по имени, поэтому вам не нужно запоминать IP-адреса.
Итак, для объекта vendor-srv-PrintingVendor
object network vendor-srv-PrintingVendor
subnet XXX.XXX.XXX.0 255.255.255.0
description AccountingVendor
Это определение сетевого объекта. Объект представляет собой сеть XXX.XXX.XXX.0 255.255.255.0. Имя - vendor-srv-PrintingVendor, что означает, что вместо того, чтобы вводить XXX.XXX.XXX.0 255.255.255.255.0 каждый раз, когда вам нужно добавить его в свою конфигурацию, вы можете просто ссылаться на объект с помощью vendor-srv-PrintingVendor.
Возможно, вы захотите изменить имя объекта с vendor-srv-PrintingVendor на vendor-srv-PrintingVendor-Network и создать новый объект с именем vendor-srv-PrintingVendor-PrintSource. Вы должны создать его как хост вместо подсети, чтобы ваш код был таким.
object network vendor-srv-printingVendor-PrintSource
host XXX.XXX.XXX.250
description Accounting Vendor Print Source
Если вы можете сообщить нам, является ли это Catalyst, ASA и т. Д., Номер модели и, если это ASA, версию программного обеспечения (не номер версии ASDM, а номер версии ASA), это поможет вам задать дополнительные вопросы о списках ACL и Правила NAT.
Когда дело доходит до создания ACL для этого, да, вы захотите использовать определенный IP-адрес, а не всю сеть, как это дает вам текущий объект.
Здесь нет реальных правил брандмауэра, это просто сопоставления имени -> IP-адреса (диапазона), используемые в конфигурации, чтобы облегчить чтение конфигурации.
Однако, скорее всего, первоначальный консультант хотел оставить некоторую гибкость для IP-адреса на случай изменения IP-адреса входящего соединения.
Если вы уверены, что входящее соединение всегда исходит с определенного IP-адреса, вы можете изменить IP-адрес объекта на этот, то есть заменить subnet линия с host линия, аналогичная объектам ниже.
С другой стороны, я бы не позволил любому внешнему IP-адресу напрямую подключаться к внутренней сети, я бы настроил для этой цели VPN.