У нас есть небольшой офис, около 75% нашей инфраструктуры основано на облаке, включая развертывание pfSense, которое мы используем для удаленного доступа, и соединений между сайтами, которые в настоящее время общедоступны. Мы решили развернуть Cisco ASA с поддержкой Firepower в качестве нашего локального межсетевого экрана периметра.
Есть ли у кого-нибудь опыт использования функций IPS, включенных в лицензию Firepower и / или pfSense, с установленным пакетом Suricata, работающим во встроенном режиме, и как обрабатывается трафик VPN? Поскольку мы подключаемся к VPN-серверу, управляемому pfSense, для соответствия требованиям нам необходимо точно определить, где происходит проверка пакетов.
Если клиент IPsec VPN подключается из нашего локального ASA к pfSense, будет ли ASA расшифровывать пакеты и пересылать их в модуль Firepower для проверки перед маршрутизацией, или это будет обрабатываться на конце pfSense / Suricata до или после отправки пакетов с сервера VPN на ASA?
Я не на 100% понимаю, каковы ваши цели в области дизайна, но я думаю, что могу помочь вам ответить на ваш вопрос.
Трафик VPN будет зашифрован / дешифрован в любой конечной точке вашего однорангового узла. Если у вас есть трафик VPN, проходящий через ASA к pfSense, FirePower не может проверить какой-либо из этого трафика.
Если вы завершите VPN на ASA, то я думаю, что эта ссылка поможет вам увидеть, где используется модуль Firepower непосредственно перед тем, как ASA отправит трафик из выходного интерфейса.
См. Рисунок 2-15. http://www.ciscopress.com/articles/article.asp?p=2730336&seqNum=7