我目前管理 6 台 Cisco ASA 设备(2 对 5510 和 1 对 5550)。它们都运行良好且稳定,因此这更像是一个最佳实践建议问题,而不是“天哪,它坏了,帮我修一下”。
我的网络被分成多个 VLAN。几乎每个服务角色都有自己的 VLAN,因此 DB 服务器、APP 服务器和 Cassandra 节点都有自己的 VLAN。
流量管理采用仅允许特定流量、拒绝其他流量的基本策略(因此默认策略是丢弃所有流量)。我通过为每个网络接口创建两个 ACL 来实现这一点,例如:
- 访问列表 dc2-850-db-in ACL 应用于“入”方向的 dc2-850-db 接口
- 访问列表 dc2-850-db-out ACL 应用于“出”方向的 dc2-850-db 接口
然而,一切都非常紧凑,并且按预期运行我想知道这是否是最好的方法? 目前我已经拥有超过 30 个 VLAN,而且我必须说,在某些时候管理这些 VLAN 变得有点混乱。
也许像通用/共享 ACL 这样的东西会有所帮助,我可以从其他 ACL 中继承,但据我所知,没有这样的东西......
任何建议都非常感谢。
答案1
对于拥有 Cisco ASA 设备(2 对 5510 和 1 对 5550)的您。这意味着您将不再使用 acl 进行数据包过滤,而是转向 ASA 中基于防火墙区域的技术。
创建类映射、策略映射和服务策略。
网络对象将使您的生活变得轻松。
防火墙技术的趋势是
数据包过滤 - 数据包检查 - IP 检查(状态检查) - Zonebasedfirewall
采用这些技术是为了随着面积的增加,减少混乱。
有一本书,您可能想读一下。
意外的管理员——它确实帮助了我。
看一下它并从 acls 向两个不同的方向移动。
使用 ASA 您应该不会遇到任何问题。
过去,我制作了 800 系列 ip inspect 和 ZBF,然后比较了它们的优点,它们在 ASA 中使用了相同的技术,从数据包过滤转向高级 ip inspect。
答案2
一个非常简单的(并且不可否认,有点作弊)解决方案是给每个 VLAN 接口分配一个与其需要允许的流量一致的安全级别。
然后您可以设置same-security-traffic permit inter-interface,从而无需在多个设备上专门路由和保护同一个 VLAN。
它不会减少 VLAN 的数量,但可能会将跨越所有 3 个防火墙的 VLAN 所需的 ACL 数量减少一半。
当然,我无法知道这在你的环境中是否有意义。
答案3
为什么您既有入站访问列表又有出站访问列表?您应该尝试尽可能靠近源头捕获流量。这意味着只有入站访问列表,将 ACL 总数减半。这将有助于缩小范围。当每个流只有一个可能的访问列表时,您的 ASA 将变得更容易维护,更重要的是:当出现问题时更容易排除故障。
此外,所有 VLAN 是否都必须经过防火墙才能互相连接?这严重限制了吞吐量。请记住:ASA 是防火墙,而不是(好的)路由器。