Atualmente, gerencio 6 dispositivos Cisco ASA (2 pares de 5510s e 1 par de 5550s). Todos eles funcionam muito bem e são estáveis; portanto, essa é mais uma pergunta de aconselhamento sobre práticas recomendadas do que "OMG está quebrado, me ajude a corrigi-lo".
Minha rede é dividida em várias VLANs. Praticamente cada função de serviço tem sua própria VLAN, portanto os servidores de banco de dados teriam seus próprios VLAN, servidores de aplicativos e nós do Cassandra.
O tráfego está sendo gerenciado de uma forma permitida apenas para fins específicos de negação e descanso (portanto, a política padrão é eliminar todo o tráfego). Eu faço isso criando duas ACLs por interface de rede, por exemplo:
- ACL da lista de acesso dc2-850-db-in que está sendo aplicada à interface dc2-850-db na direção "in"
- ACL da lista de acesso dc2-850-db-out que está sendo aplicada à interface dc2-850-db na direção "out"
É tudo bem apertado e funciona como esperado, no entanto, eu queria saber se este é o melhor caminho possível. No momento, cheguei a um ponto em que tenho mais de 30 VLANs e devo dizer que está ficando um pouco confuso em alguns pontos para gerenciá-las.
Provavelmente algo como ACLs comuns / compartilhadas ajudaria aqui, o que eu poderia herdar de outras ACLs, mas o AFAIK não existe ...
Qualquer conselho muito apreciado.
fonte
private vlans? Outra alternativa pode ser dividir as unidades de negóciosVRFs. Qualquer um desses pode ajudar a gerenciar parte da explosão dos requisitos da ACL. Honestamente, porém, é difícil comentar sobre essa questão, porque depende muito dos motivos comerciais e técnicos do seu projeto existenteRespostas:
Para você ter dispositivos Cisco ASA (2 pares de 5510s e 1 par de 5550s). Isso significa que você está se afastando da filtragem de pacotes com acls e passando para as técnicas baseadas em zonas de firewall nos ASAs.
Crie mapas de classes, mapas de políticas e políticas de serviço.
Objetos de rede facilitarão sua vida.
A tendência na técnica de firewall é
filtragem de pacotes - inspeção de pacotes - inspeção IP (inspeção com estado) - Zonebasedfirewall
Essas técnicas foram feitas para que fosse menos confuso à medida que as áreas aumentam.
Há um livro, você pode querer ler.
O administrador acidental - Isso realmente me ajudou.
Dê uma olhada e mova-se dos acls em duas direções diferentes.
Com ASAs você não deve ter nenhum problema.
No passado, eu fiz a inspeção IP da série 800 e o ZBF, depois comparei as vantagens e eles usaram a mesma técnica nos ASAs, deixando de lado a filtragem de pacotes para a inspeção avançada de IP.
fonte
Uma solução muito simples (e, reconhecidamente, um truque) seria atribuir a cada interface VLAN um nível de segurança consistente com o tráfego que ele precisa permitir.
Você pode então definir
same-security-traffic permit inter-interface, evitando assim a necessidade de rotear e proteger especificamente a mesma VLAN em vários dispositivos.Não reduziria o número de VLANs, mas provavelmente reduziria pela metade o número de ACLs necessárias para as VLANs que atingem os três firewalls.
Claro, não há como eu saber se isso faz sentido no seu ambiente.
fonte
Por que você tem listas de acesso de entrada e saída? Você deve tentar capturar o tráfego o mais próximo possível da fonte. Isso significaria apenas listas de acesso de entrada, reduzindo pela metade o número total de ACLs. Isso ajudaria a manter o escopo baixo. Ao ter apenas uma lista de acesso possível por fluxo, o seu ASA se tornará mais fácil de manter e mais importante: mais fácil de solucionar problemas quando as coisas derem errado.
Além disso, todas as VLANs precisam passar por um firewall para alcançar um ao outro? Isso limita severamente a taxa de transferência. Lembre-se: um ASA é um firewall, não um (bom) roteador.
fonte