web-dev-qa-db-ja.com

CiscoASAと複数のVLAN

現在、6台のCisco ASAデバイス(5510の2ペアと5550の1ペア)を管理しています。これらはすべて非常にうまく機能し、安定しているため、これは「OMGが壊れているので、修正するのに役立ちます」というよりも、ベストプラクティスのアドバイスの質問です。

私のネットワークは複数のVLANに分割されています。ほぼ各サービスロールには独自のVLANがあるため、DBサーバーには独自のVLAN、APPサーバー、Cassandraノードがあります。

トラフィックは、特定の許可のみを許可し、残りを拒否する基本で管理されています(したがって、デフォルトのポリシーはすべてのトラフィックをドロップすることです)。これを行うには、ネットワークインターフェイスごとに2つのACLを作成します。例:

  • 「in」方向でdc2-850-dbインターフェイスに適用されているaccess-listdc2-850-db-in ACL
  • 「out」方向でdc2-850-dbインターフェイスに適用されているaccess-listdc2-850-db-out ACL

それはすべてかなりタイトで、期待どおりに機能しますが、これが最善の方法かどうか疑問に思っていましたか?現時点で、VLANが30を超えるようになり、それらを管理するためにいくつかの点で少し混乱します。

おそらく、共通/共有ACLのようなものがここで役立ち、他のACLから継承できますが、そのようなことはありません...

どんなアドバイスも大歓迎です。

9
bart613

Cisco ASAデバイス(5510の2ペアと5550の1ペア)を使用している場合。これは、ACLを使用したパケットフィルタリングから離れ、ASAのファイアウォールゾーンベースの技術に移行していることを意味します。

クラスマップ、ポリシーマップ、およびサービスポリシーを作成します。

ネットワークオブジェクトはあなたの人生を楽にします。

ファイアウォール技術のトレンドは

パケットフィルタリング-パケットインスペクション-ipインスペクト(ステートフルインスペクション)-ゾーンベースのファイアウォール

これらの手法は、面積が増えるにつれて混乱が少なくなるように作られました。

本があります、読みたくなるかもしれません。

偶然の管理者-それは本当に私を助けました。

それを見て、ACLから2つの異なる方向に移動します。

ASAを使用すれば、問題はありません。

過去に、800シリーズのIP検査とZBFを作成し、そこで利点を比較しました。それらは、パケットフィルタリングから高度なIP検査に移行するASAで同じ手法を使用していました。

1

インバウンドアクセスリストとアウトバウンドアクセスリストの両方があるのはなぜですか?できるだけソースに近いトラフィックをキャッチするようにしてください。これは、インバウンドアクセスリストのみを意味し、ACLの総数が半分になります。これは、スコープを抑えるのに役立ちます。フローごとに可能なアクセスリストが1つしかない場合、ASAの保守が容易になり、さらに重要なことに、問題が発生した場合のトラブルシューティングが容易になります。

また、すべてのVLANは、相互に到達するためにファイアウォールを通過する必要がありますか?これにより、スループットが大幅に制限されます。注意:ASAはファイアウォールであり、(適切な)ルーターではありません。

0
JelmerS

非常に単純な(そして確かにちょっとしたチート)解決策の1つは、各VLANインターフェイスに、許可する必要のあるトラフィックと一致するセキュリティレベルを割り当てることです。

次に、same-security-traffic permit inter-interfaceを設定できるため、複数のデバイス間で同じVLANを特別にルーティングして保護する必要がなくなります。

VLANの数を減らすことはできませんが、3つのファイアウォールすべてに到達するVLANに必要なACLの数はおそらく半分になります。

もちろん、これがあなたの環境で意味があるかどうかを私が知る方法はありません。

0
adaptr