Cisco ASA und mehrere VLANs

9

Ich verwalte derzeit 6 Cisco ASA-Geräte (2 Paar 5510er und 1 Paar 5550er). Sie funktionieren alle recht gut und sind stabil, daher ist dies eher eine Best-Practice-Frage als "OMG, es ist kaputt, hilf mir, das Problem zu beheben".

Mein Netzwerk ist in mehrere VLANs aufgeteilt. Nahezu jede Servicerolle verfügt über ein eigenes VLAN, sodass DB-Server über ein eigenes VLAN, APP-Server und Cassandra-Knoten verfügen.

Der Datenverkehr wird auf einer Basis verwaltet, die nur bestimmte, verweigerte Restgrundlagen zulässt (daher besteht die Standardrichtlinie darin, den gesamten Datenverkehr zu löschen). Dazu erstelle ich zwei ACLs pro Netzwerkschnittstelle, z.

  • Zugriffsliste dc2-850-db-in ACL, die in "in" -Richtung auf die dc2-850-db-Schnittstelle angewendet wird
  • Zugriffsliste dc2-850-db-out ACL, die in "out" -Richtung auf die dc2-850-db-Schnittstelle angewendet wird

Es ist alles ziemlich eng und funktioniert wie erwartet, aber ich habe mich gefragt, ob dies der bestmögliche Weg ist? Im Moment habe ich einen Punkt erreicht, an dem ich über 30 VLANs habe, und ich muss sagen, dass es an einigen Stellen etwas verwirrend wird, diese zu verwalten.

Wahrscheinlich würde hier so etwas wie gemeinsame / gemeinsam genutzte ACLs helfen, die ich von anderen ACLs erben könnte, aber AFAIK gibt es so etwas nicht ...

Jeder Rat sehr geschätzt.

bart613
quelle
3
Haben Sie versucht, den Adressraum zu reduzieren und zu verwenden private vlans? Eine andere Alternative könnte darin bestehen, Geschäftsbereiche aufzuteilen VRFs. Beides kann dazu beitragen, die Explosion der ACL-Anforderungen zu bewältigen. Ehrlich gesagt ist es schwierig, diese Frage zu kommentieren, da so viel von den geschäftlichen und technischen Gründen für Ihr bestehendes Design abhängt
Mike Pennington
Danke Mike - ich werde ein bisschen über beide lesen, die du erwähnt hast.
Bart613
Gern geschehen ... Die Grundidee hinter beiden Vorschlägen besteht darin, dass Sie eine natürliche Schicht-2- oder Schicht-3-Grenze erstellen, die auf den Geschäftsanforderungen basiert und die gesamte Kommunikation zwischen Hosts innerhalb derselben Geschäftsfunktion ermöglicht. Zu diesem Zeitpunkt müssten Sie eine Firewall zwischen Geschäftsinteressen erstellen. Viele Unternehmen erstellen separate VPNs für jede Geschäftseinheit im Unternehmen. Das Konzept ähnelt dem, was ich hier vorschlage, aber das VPN ist lokal in Ihrer Einrichtung (und basiert auf privaten VLANs oder VRFs)
Mike Pennington

Antworten:

1

Für Cisco ASA-Geräte (2 Paar 5510er und 1 Paar 5550er). Dies bedeutet, dass Sie sich von der Paketfilterung mit acls entfernen und auf Firewall-Zonen-basierte Techniken in ASAs umsteigen.

Erstellen Sie Klassenzuordnungen, Richtlinienzuordnungen und Servicerichtlinien.

Netzwerkobjekte erleichtern Ihnen das Leben.

Der Trend in der Firewall-Technik ist

Paketfilterung - Paketinspektion - IP-Inspektion (Stateful Inspection) - Zonenbasierte Firewall

Diese Techniken wurden entwickelt, um mit zunehmender Fläche weniger verwirrend zu sein.

Es gibt ein Buch, das Sie vielleicht lesen möchten.

Der versehentliche Administrator - Es hat mir wirklich geholfen.

Schauen Sie es sich an und bewegen Sie sich von den Acls in zwei verschiedene Richtungen.

Mit ASAs sollten Sie kein Problem haben.

In der Vergangenheit habe ich IP-Inspect der 800er-Serie und ZBF durchgeführt und dann die Vorteile verglichen. Bei den ASAs wurde dieselbe Technik verwendet, um von der Paketfilterung zur erweiterten IP-Inspektion überzugehen.

Don IT-Berater
quelle
don, ich sehe kein Kapitel, in dem es darum geht, nicht mehr mit acls zu filtern, sondern in Ihrem Buch. Können Sie mich auf das Kapitel und die Seite verweisen?
3molo
0

Eine sehr einfache (und zugegebenermaßen ein bisschen betrügerische) Lösung wäre, jeder VLAN-Schnittstelle eine Sicherheitsstufe zuzuweisen, die dem zulässigen Datenverkehr entspricht.

Sie können dann festlegen same-security-traffic permit inter-interface, dass Sie dasselbe VLAN nicht mehr spezifisch über mehrere Geräte hinweg routen und sichern müssen.

Dies würde die Anzahl der VLANs nicht verringern, aber wahrscheinlich die Anzahl der ACLs halbieren, die Sie für VLANs benötigen, die über alle drei Firewalls reichen.

Natürlich kann ich nicht wissen, ob dies in Ihrer Umgebung sinnvoll ist.

adaptr
quelle
0

Warum haben Sie sowohl eingehende als auch ausgehende Zugriffslisten? Sie sollten versuchen, den Datenverkehr so ​​nah wie möglich an der Quelle zu erfassen. Dies würde nur eingehende Zugriffslisten bedeuten, wodurch sich die Gesamtzahl der ACLs halbiert. Dies würde helfen, den Umfang gering zu halten. Wenn Sie nur eine mögliche Zugriffsliste pro Flow haben, ist Ihr ASA einfacher zu warten und vor allem einfacher zu beheben, wenn Probleme auftreten.

Müssen alle VLANs an einer Firewall vorbeikommen, um sich gegenseitig zu erreichen? Dies schränkt den Durchsatz stark ein. Denken Sie daran: Ein ASA ist eine Firewall, kein (guter) Router.

JelmerS
quelle