Ich verwalte derzeit 6 Cisco ASA-Geräte (2 Paar 5510er und 1 Paar 5550er). Sie funktionieren alle recht gut und sind stabil, daher ist dies eher eine Best-Practice-Frage als "OMG, es ist kaputt, hilf mir, das Problem zu beheben".
Mein Netzwerk ist in mehrere VLANs aufgeteilt. Nahezu jede Servicerolle verfügt über ein eigenes VLAN, sodass DB-Server über ein eigenes VLAN, APP-Server und Cassandra-Knoten verfügen.
Der Datenverkehr wird auf einer Basis verwaltet, die nur bestimmte, verweigerte Restgrundlagen zulässt (daher besteht die Standardrichtlinie darin, den gesamten Datenverkehr zu löschen). Dazu erstelle ich zwei ACLs pro Netzwerkschnittstelle, z.
- Zugriffsliste dc2-850-db-in ACL, die in "in" -Richtung auf die dc2-850-db-Schnittstelle angewendet wird
- Zugriffsliste dc2-850-db-out ACL, die in "out" -Richtung auf die dc2-850-db-Schnittstelle angewendet wird
Es ist alles ziemlich eng und funktioniert wie erwartet, aber ich habe mich gefragt, ob dies der bestmögliche Weg ist? Im Moment habe ich einen Punkt erreicht, an dem ich über 30 VLANs habe, und ich muss sagen, dass es an einigen Stellen etwas verwirrend wird, diese zu verwalten.
Wahrscheinlich würde hier so etwas wie gemeinsame / gemeinsam genutzte ACLs helfen, die ich von anderen ACLs erben könnte, aber AFAIK gibt es so etwas nicht ...
Jeder Rat sehr geschätzt.
quelle
private vlans
? Eine andere Alternative könnte darin bestehen, Geschäftsbereiche aufzuteilenVRFs
. Beides kann dazu beitragen, die Explosion der ACL-Anforderungen zu bewältigen. Ehrlich gesagt ist es schwierig, diese Frage zu kommentieren, da so viel von den geschäftlichen und technischen Gründen für Ihr bestehendes Design abhängtAntworten:
Für Cisco ASA-Geräte (2 Paar 5510er und 1 Paar 5550er). Dies bedeutet, dass Sie sich von der Paketfilterung mit acls entfernen und auf Firewall-Zonen-basierte Techniken in ASAs umsteigen.
Erstellen Sie Klassenzuordnungen, Richtlinienzuordnungen und Servicerichtlinien.
Netzwerkobjekte erleichtern Ihnen das Leben.
Der Trend in der Firewall-Technik ist
Paketfilterung - Paketinspektion - IP-Inspektion (Stateful Inspection) - Zonenbasierte Firewall
Diese Techniken wurden entwickelt, um mit zunehmender Fläche weniger verwirrend zu sein.
Es gibt ein Buch, das Sie vielleicht lesen möchten.
Der versehentliche Administrator - Es hat mir wirklich geholfen.
Schauen Sie es sich an und bewegen Sie sich von den Acls in zwei verschiedene Richtungen.
Mit ASAs sollten Sie kein Problem haben.
In der Vergangenheit habe ich IP-Inspect der 800er-Serie und ZBF durchgeführt und dann die Vorteile verglichen. Bei den ASAs wurde dieselbe Technik verwendet, um von der Paketfilterung zur erweiterten IP-Inspektion überzugehen.
quelle
Eine sehr einfache (und zugegebenermaßen ein bisschen betrügerische) Lösung wäre, jeder VLAN-Schnittstelle eine Sicherheitsstufe zuzuweisen, die dem zulässigen Datenverkehr entspricht.
Sie können dann festlegen
same-security-traffic permit inter-interface
, dass Sie dasselbe VLAN nicht mehr spezifisch über mehrere Geräte hinweg routen und sichern müssen.Dies würde die Anzahl der VLANs nicht verringern, aber wahrscheinlich die Anzahl der ACLs halbieren, die Sie für VLANs benötigen, die über alle drei Firewalls reichen.
Natürlich kann ich nicht wissen, ob dies in Ihrer Umgebung sinnvoll ist.
quelle
Warum haben Sie sowohl eingehende als auch ausgehende Zugriffslisten? Sie sollten versuchen, den Datenverkehr so nah wie möglich an der Quelle zu erfassen. Dies würde nur eingehende Zugriffslisten bedeuten, wodurch sich die Gesamtzahl der ACLs halbiert. Dies würde helfen, den Umfang gering zu halten. Wenn Sie nur eine mögliche Zugriffsliste pro Flow haben, ist Ihr ASA einfacher zu warten und vor allem einfacher zu beheben, wenn Probleme auftreten.
Müssen alle VLANs an einer Firewall vorbeikommen, um sich gegenseitig zu erreichen? Dies schränkt den Durchsatz stark ein. Denken Sie daran: Ein ASA ist eine Firewall, kein (guter) Router.
quelle