Cisco ASA e várias VLANs

10

Atualmente gerencio 6 dispositivos Cisco ASA (2 pares de 5510s e 1 par de 5550s). Todos eles funcionam muito bem e são estáveis, então é mais uma questão de conselhos sobre práticas recomendadas do que "OMG está quebrado, ajude-me a consertar".

Minha rede é dividida em várias VLANs. Praticamente cada função de serviço tem sua própria VLAN, de modo que os servidores de BD teriam sua própria VLAN, servidores de aplicativos, nós de Cassandra.

O tráfego está sendo gerenciado com base em um único permitido, negue as noções básicas de descanso (portanto, a política padrão é eliminar todo o tráfego). Eu faço isso criando duas ACLs por interface de rede, por exemplo:

  • ACL dc2-850-db-in da lista de acesso que está sendo aplicada à interface dc2-850-db na direção "in"
  • ACL dc2-850-db-out da lista de acesso que está sendo aplicada à interface dc2-850-db na direção "fora"

É tudo muito apertado e funciona como esperado, no entanto Eu queria saber se esse é o melhor caminho a seguir? No momento cheguei a um ponto em que tenho mais de 30 VLANs e preciso digamos que está se tornando um pouco confuso em alguns pontos para gerenciá-los.

Provavelmente algo como ACLs comuns / compartilhadas ajudaria aqui, o que eu poderia herdar de outras ACLs, mas da AFAIK, não há tal coisa ...

Qualquer conselho muito apreciado.

    
por bart613 24.07.2012 / 12:47

3 respostas

1

Para você ter dispositivos Cisco ASA (2 pares de 5510s e 1 par de 5550s). Isso significa que você está se afastando da filtragem de pacotes com acls e migrando para técnicas baseadas em zonas de firewall em ASAs.

Crie mapas de classe, mapas de políticas e políticas de serviço.

Objetos de rede facilitarão sua vida.

A tendência na técnica de firewall é

filtragem de pacotes - inspeção de pacotes - inspeção ip (inspeção com informações de estado) - Zonebasedfirewall

Estas técnicas foram feitas para que fosse menos confuso à medida que as áreas aumentassem.

Há um livro, você pode querer ler.

O administrador acidental - Isso realmente me ajudou.

Dê uma olhada e mova-se dos acls em duas direções diferentes.

Com ASAs, você não deve ter problemas.

No passado, fiz 800 series ip inspection e ZBF, então comparei vantagens e eles usaram a mesma técnica nos ASAs, afastando-se da filtragem de pacotes para o ip avançado.

    
por 21.07.2013 / 18:48
0

Uma solução muito simples (e, certamente, um pouco enganosa) seria atribuir a cada interface de VLAN um nível de segurança consistente com o tráfego necessário para permitir.

Você pode definir same-security-traffic permit inter-interface , evitando assim a necessidade de encaminhar e proteger especificamente a mesma VLAN em vários dispositivos.

Isso não reduziria o número de VLANs, mas provavelmente reduziria pela metade o número de ACLs que você precisa para VLANs que atingem todos os três firewalls.

Claro, não há como saber se isso faz sentido em seu ambiente.

    
por 31.07.2012 / 16:29
0

Por que você tem listas de acesso de entrada e saída? Você deve tentar capturar o tráfego o mais próximo possível da fonte. Isso significaria apenas listas de acesso de entrada, reduzindo para metade o número total de ACLs. Isso ajudaria a manter o escopo baixo. Ao ter apenas uma lista de acesso possível por fluxo, seu ASA se tornará mais fácil de manter e, mais importante: mais fácil de solucionar problemas quando as coisas dão errado.

Além disso, todas as VLANs precisam passar por um firewall para alcançar um ao outro? Isso limita severamente o rendimento. Lembre-se: um ASA é um firewall, não um (bom) roteador.

    
por 18.03.2013 / 22:11