Vị trí tường lửa cho đường hầm VPN RA và L2L


8

Đối với VPN truy cập từ xa (RA) và LAN-to-LAN (L2L) , tôi hiện đang vận hành một cặp Bộ tập trung Cisco VPN 3005 được gắn với các bộ định tuyến biên Internet ở bên ngoài và bên trong được gắn với một cặp PIX 535 bên trong tường lửa bên ngoài giao diện trước khi được phép đi qua các mạng nội bộ thực sự của chúng tôi. Cả VPN 3005 và PIX 535 đều được thay thế bằng nền tảng ASA-5545X. Các tường lửa này không dành cho lưu lượng truy cập Internet chính của chúng tôi, chỉ có VPN và chúng cũng có thể đóng vai trò là tường lửa nội bộ cho lưu lượng truy cập vào trung tâm dữ liệu qua các đường riêng.

Với các ACL tường lửa nội bộ được kết hợp trong một tường lửa duy nhất phục vụ lưu lượng VPN và có khả năng lưu lượng dòng riêng khác, cho các ranh giới bảo mật và để loại bỏ bất kỳ vấn đề định tuyến tiềm năng nào, nên giao diện bên trong của tường lửa VPN (5545) nằm trong một mạng con riêng biệt từ tường lửa Internet chính hay nó thực sự không quan trọng? OSPF hiện đang chạy trên tường lửa Internet (w / default-originate) và VPN 3005. Vì trung tâm dữ liệu này là DC chính của chúng tôi cho lưu lượng truy cập web - bánh mì và bơ của chúng tôi - Tôi phải loại bỏ mọi vấn đề tiềm ẩn với vị trí của Tường lửa VPN có thể can thiệp vào điều này ngay cả trong một cách nhỏ nhất.

** Nên giao diện bên trong của 5545 hạ cánh trước trên các công tắc cạnh L2 và sau đó chuyển sang các công tắc agg để bảo mật tốt hơn hoặc chỉ cần thả thẳng vào lớp Agg, cũng xem xét lưu lượng dòng riêng có thể đi qua giao diện khác trên 5545 trong tương lai.

Chỉ các phần có liên quan của kết nối L3 được hiển thị bên dưới với ASA-5545X * đang được đề cập.

                     Internet
                        |
               Cạnh rtr + Cạnh rtr
                        |
5545 * (VPN / Internal fw) + 5540 (Internet fw cho lưu lượng vào / ra DC)
                        |
                  Agg-1 + Agg-2
                        |
                       Vân vân

Một cặp công tắc L2 kết nối tất cả các thiết bị cạnh trước khi đến các công tắc Agg.
Không gian IP công cộng bên ngoài tường lửa, bên trong riêng tư.
(Mỗi tường lửa là một phần của cặp chuyển đổi dự phòng riêng biệt không được hiển thị; 5545 và 5540
không có tương tác.)

Tìm kiếm câu trả lời / nhận xét có thể được coi là thực tiễn tốt nhất hoặc những gì bạn thấy hoạt động tốt nhất trong mạng doanh nghiệp thông thường.


Có địa chỉ riêng tư hoặc công khai giữa các bộ định tuyến biên và ASA 5545X không?
Mike Pennington

@MikePennington, địa chỉ công cộng giữa các bộ định tuyến biên và tường lửa ASA.
generalnetworkerror

Có câu trả lời nào giúp bạn không? nếu vậy, bạn nên chấp nhận câu trả lời để câu hỏi không xuất hiện mãi mãi, tìm kiếm câu trả lời. Ngoài ra, bạn có thể cung cấp và chấp nhận câu trả lời của riêng bạn.
Ron Maupin

Câu trả lời:


3

Nếu giao diện bên trong của 5545 hạ cánh trước trên các công tắc cạnh L2 và sau đó chuyển sang các công tắc agg để bảo mật tốt hơn hoặc chỉ cần thả thẳng vào lớp Agg, cũng xem xét lưu lượng dòng riêng có thể đi qua giao diện khác trên 5545 trong tương lai

Vì bạn không nói rằng L2 sẽ chạy ACL, tôi sẽ không thấy sự khác biệt. Tôi đoán bạn sẽ chạy gắn thẻ trên ASAs bên trong lớp phân phối. Tường lửa của tôi kết nối trực tiếp với các công tắc tổng hợp với một vlan chuyên dụng chạy HSRP / VRRP giữa mỗi bộ tường lửa và công tắc agg.

Đối với lưu lượng truy cập dòng riêng, tôi không sử dụng ASA nhưng tôi nghĩ rằng chúng có các vùng được xây dựng như IOS ZBF và bạn sẽ giữ lưu lượng VPN đi đến / từ lưu lượng dòng riêng mà không qua lọc gói.

Nghe có vẻ như tuyến đường mặc định trỏ đến 5540 và bạn sẽ sử dụng các tuyến đường cụ thể hơn để đến các nhóm truy cập VPN nội bộ của mình và các địa chỉ dòng riêng. 5545 có tuyến đường mặc định trỏ đến 5540 và lưu lượng truy cập VPN có thể truy cập internet trực tiếp (không biết bạn có chia đường hầm trên máy khách VPN của mình không) và các tuyến khác đến không gian địa chỉ nội bộ của bạn.

Vì vậy, tôi không thể thấy bất kỳ vấn đề thực sự với kế hoạch của bạn. Nhưng một số giả định trên của tôi có thể sai


Lý do của bạn cho vlan chuyên dụng giữa mỗi bộ tường lửa là gì? BTW, các công tắc cạnh L2 không có bất kỳ ACL nào cho lưu lượng đi qua.
generalnetworkerror

Để quản lý dễ dàng hơn, chúng ta có thể liên kết Vlan với tường lửa và một bộ HSRP trên các bộ định tuyến, VRRP trên tường lửa với một cụm tường lửa cụ thể. Cách ly nhiều hơn một chút như 1 miền phát trên mỗi tường lửa. Đây là một vấn đề cơ bản, không thực sự cần phải làm điều đó.
fredpbaker

2

Từ những gì tôi hiểu về kịch bản của bạn, không có vấn đề gì nếu bạn có hai giao diện tường lửa khác nhau trên cùng một mạng con bên trong. Bạn cần ghi nhớ những điều sau đây khi đưa ra quyết định này:

  1. Có chúng trên cùng một mạng con làm cho cấu hình đơn giản và dễ dàng hơn không?
  2. Nó có giúp ích gì không nếu chúng ở trên các mạng con riêng biệt theo bất kỳ cách nào?
  3. Tôi đã thực hiện định tuyến thích hợp và tôi hiểu đường dẫn của bất kỳ kịch bản kết nối nào? Ví dụ: lưu lượng truy cập nội bộ sẽ vượt qua mặc dù thiết bị nào trước khi đến đích?
  4. Tôi đã cấu hình tất cả các quy tắc trên tường lửa đúng cách để đảm bảo không xảy ra định tuyến giữa các miền chưa? Điều này có nghĩa là lưu lượng truy cập trên cùng một mạng con thuộc về thiết bị khác (tường lửa khác) không được định tuyến. Đây có thể là điều quan trọng nhất trong thiết lập của bạn mà bạn quan tâm. Một lần nữa, nó phụ thuộc tất cả vào đường dẫn lưu lượng truy cập yêu cầu của bạn.

2

Tôi đã triển khai ASA trong các kịch bản tương tự và tất cả đều diễn ra tốt đẹp, với kế hoạch và bảo trì cẩn thận.

Đối với giao diện bên ngoài, trước hết, bảo mật quy trình OSPF của bạn bằng MD5. Bạn phải kết nối giao diện này với các bộ chuyển mạch tổng hợp L2.

Trên giao diện bên trong của bạn, chúng tôi có thể đi sâu vào: - về mặt kỹ thuật, bạn có thể kết nối nó với công tắc L3 để bạn phân chia vai trò hoặc tải giữa các thiết bị mạng của mình, cũng có ý nghĩa đối với tường lửa thông thường (nếu đôi lúc bạn sẽ gặp sự cố với các thiết bị tổng hợp L2 của bạn, ít nhất là mạng từ dưới lên tường lửa đang hoạt động) - đối với trường hợp này vì ASA là VPN được sử dụng, điều đó có nghĩa là bạn cũng có thể kết nối bên trong của mình với các công tắc tổng hợp L2. Không có các công tắc tổng hợp L2 đó, 5545 của bạn sẽ trở nên vô dụng đối với mạng của bạn. Tuy nhiên, đối với lựa chọn này, bạn phải suy nghĩ về các giao diện được giám sát vì tất cả các giao diện vật lý tường lửa của bạn sẽ được kết nối với một thiết bị vật lý. Điểm mấu chốt: nếu tôi có cổng và dung lượng để xử lý sự cố và xử lý sự cố tốt hơn, tôi sẽ kết nối trực tiếp với các công tắc dưới cùng L3.

Cuối cùng liên quan đến câu hỏi đầu tiên của bạn: Tôi đã sử dụng cả giao diện bên trong như một mạng chia sẻ với tường lửa bên trong khác (bạn có thể chạy vào một số chi tiết với lệnh lưu lượng bảo mật tương tự và cũng như một mạng chuyên dụng, hơn là sử dụng các công tắc dưới cùng kết nối với phần còn lại của mạng.

Tôi thích cách cuối cùng vì trong trường hợp này, việc lọc VPN L2L được thực hiện trên tường lửa (ASA 5545) thay vì ACL chính sách nhóm (và sau đó áp dụng nó cho nhóm đường hầm). Nó rất dễ dàng để quản lý, xem, khắc phục sự cố (đối với tôi) và nó cũng giúp tôi tránh xa một số tình huống kẹp tóc giao thông tinh tế hơn ASA.

Khi sử dụng trang web của chúng tôi, bạn xác nhận rằng bạn đã đọc và hiểu Chính sách cookieChính sách bảo mật của chúng tôi.
Licensed under cc by-sa 3.0 with attribution required.