В настоящее время я управляю 6 устройствами Cisco ASA (2 пары 5510 и 1 пара 5550). Все они работают довольно хорошо и стабильно, так что это скорее вопрос с рекомендациями по передовой практике, а не «Боже мой, это сломано, помогите мне это исправить».
Моя сеть разделена на несколько VLAN. Практически каждая роль службы имеет свою собственную VLAN, поэтому серверы БД будут иметь свои собственные VLAN, серверы приложений и узлы Cassandra.
Трафик управляется на основе разрешить только определенные, запретить отдых (так что политика по умолчанию - отбрасывать весь трафик). Я делаю это, создавая два ACL для каждого сетевого интерфейса, например:
Все это довольно плотно и работает должным образом, однако Мне было интересно, лучший ли это путь? На данный момент я дошел до того, что у меня более 30 VLAN, и я должен сказать, что в некоторых моментах становится немного запутанно управлять ими.
Вероятно, здесь поможет что-то вроде общих / общих ACL, которые я мог бы унаследовать от других ACL, но, AFAIK, такого нет ...
Любой совет очень ценится.
Если у вас есть устройства Cisco ASA (2 пары 5510 и 1 пара 5550). Это означает, что вы уходите от фильтрации пакетов с помощью ACL и переходите к методам на основе зон межсетевого экрана в ASA.
Создавайте карты классов, карты политик и политики обслуживания.
Сетевые объекты сделают вашу жизнь проще.
Тенденция в технике межсетевых экранов
фильтрация пакетов - проверка пакетов - ip inspect (проверка состояния) - межсетевой экран на основе зон
Эти техники были сделаны для того, чтобы не было путаницы по мере увеличения площади.
Есть книга, которую ты можешь почитать.
Случайный админатор - мне очень помогло.
Взгляните на него и двигайтесь от acls в двух разных направлениях.
С ASA у вас не должно возникнуть проблем.
Раньше я использовал ip inspect серии 800 и ZBF, затем сравнил их преимущества, и они использовали тот же метод в ASA, переходя от фильтрации пакетов к расширенному ip inspect.
Почему у вас есть списки доступа как для входящих, так и для исходящих? Вы должны попытаться поймать трафик как можно ближе к источнику. Это будет означать только списки входящего доступа, уменьшив вдвое общее количество ACL. Это поможет уменьшить объем. При наличии только одного возможного списка доступа для каждого потока ваш ASA станет проще в обслуживании и, что более важно, легче устранять неполадки, когда что-то пойдет не так.
Кроме того, все ли VLAN должны проходить через брандмауэр, чтобы достичь друг друга? Это сильно ограничивает пропускную способность. Помните: ASA - это межсетевой экран, а не (хороший) маршрутизатор.
Одним из очень простых (и, по общему признанию, немного обманчивым) решением было бы назначить каждому интерфейсу VLAN уровень безопасности, совместимый с трафиком, который он должен разрешить.
Затем вы можете установить same-security-traffic permit inter-interface, что избавляет от необходимости специально маршрутизировать и защищать одну и ту же VLAN на нескольких устройствах.
Это не уменьшило бы количество VLAN, но, вероятно, уменьшило бы вдвое количество ACL, необходимых для VLAN, которые охватывают все 3 брандмауэра.
Конечно, я не могу узнать, имеет ли это смысл в вашей среде.