Cisco ASA và nhiều Vlan

Tôi hiện đang quản lý 6 thiết bị Cisco ASA (2 cặp 5510 và 1 cặp 5550). Tất cả đều hoạt động khá độc đáo và ổn định, vì vậy đây là câu hỏi tư vấn thực hành tốt nhất thay vì "OMG nó bị hỏng giúp tôi sửa nó".

Mạng của tôi được chia thành nhiều Vlan. Khá nhiều vai trò dịch vụ có Vlan riêng nên các máy chủ DB sẽ có Vlan, máy chủ APP, nút Cassandra riêng.

Lưu lượng truy cập đang được quản lý chỉ cho phép cụ thể, từ chối những điều cơ bản còn lại (vì vậy chính sách mặc định là giảm tất cả lưu lượng truy cập). Tôi làm điều này bằng cách tạo hai ACL trên mỗi giao diện mạng, ví dụ:

• danh sách truy cập dc2-850-db-in ACL đang được áp dụng cho giao diện dc2-850-db theo hướng "theo"
• danh sách truy cập dc2-850-db-out ACL đang được áp dụng cho giao diện dc2-850-db theo hướng "out"

Tất cả đều khá chặt chẽ và hoạt động như mong đợi, tuy nhiên tôi đã tự hỏi liệu đây có phải là cách tốt nhất để đi không? Hiện tại tôi đã đến một điểm mà tôi có hơn 30 Vlan và tôi phải nói rằng nó trở nên hơi khó hiểu ở một số điểm để quản lý chúng.

Có lẽ một cái gì đó giống như các ACL thông thường / được chia sẻ sẽ giúp ích ở đây mà tôi có thể thừa hưởng từ các ACL khác nhưng AFAIK không có thứ đó ...

Lời khuyên nào cũng đánh giá cao.

Dành cho bạn có thiết bị Cisco ASA (2 cặp 5510 và 1 cặp 5550). Điều này có nghĩa là bạn đang di chuyển khỏi bộ lọc gói bằng acls và chuyển sang các kỹ thuật dựa trên vùng tường lửa trong ASA.

Tạo bản đồ lớp, bản đồ chính sách và chính sách dịch vụ.

Các đối tượng mạng sẽ làm cho cuộc sống của bạn dễ dàng.

Xu hướng trong kỹ thuật tường lửa là

lọc gói - kiểm tra gói - kiểm tra ip (kiểm tra trạng thái) - Zonebasingfirewall

Những kỹ thuật này đã được thực hiện để nó ít gây nhầm lẫn khi các khu vực tăng lên.

Có một cuốn sách, bạn có thể muốn đọc.

Quản trị viên tình cờ - Nó thực sự giúp tôi.

Có một cái nhìn và di chuyển từ acls theo hai hướng khác nhau.

Với ASAs bạn sẽ không gặp vấn đề gì.

Trước đây, tôi đã thực hiện kiểm tra ip 800 series và ZBF, sau đó so sánh các ưu điểm và họ đã sử dụng kỹ thuật tương tự trong ASAs chuyển từ lọc gói sang kiểm tra ip nâng cao.

Một giải pháp rất đơn giản (và, thừa nhận, một chút gian lận) sẽ là gán cho mỗi giao diện Vlan một mức bảo mật phù hợp với lưu lượng mà nó cần cho phép.

Sau đó same-security-traffic permit inter-interface, bạn có thể đặt , do đó không cần phải định tuyến cụ thể và bảo mật cùng một Vlan trên nhiều thiết bị.

Nó sẽ không cắt giảm số lượng Vlan, nhưng có lẽ nó sẽ giảm một nửa số lượng ACL bạn cần cho các Vlan tiếp cận trên cả 3 tường lửa.

Tất nhiên, không có cách nào để tôi biết nếu điều này có ý nghĩa trong môi trường của bạn.

Tại sao bạn có cả danh sách truy cập trong và ngoài nước? Bạn nên cố gắng bắt lưu lượng truy cập càng gần nguồn càng tốt. Điều đó có nghĩa là chỉ các danh sách truy cập trong nước, giảm một nửa tổng số ACL của bạn. Điều này sẽ giúp giữ phạm vi xuống. Khi chỉ có một danh sách truy cập có thể có trên mỗi luồng, ASA của bạn sẽ trở nên dễ bảo trì hơn và quan trọng hơn: dễ khắc phục sự cố hơn khi có sự cố.

Ngoài ra, có phải tất cả các Vlan phải vượt qua tường lửa để tiếp cận nhau không? Điều này hạn chế nghiêm trọng thông lượng. Hãy nhớ rằng: ASA là một tường lửa, không phải là một bộ định tuyến (tốt).