我们有一间小办公室,大约 75% 的基础设施都是基于云的,包括我们用于远程访问和站点到站点连接的 pfSense 部署,目前面向公众。我们决定部署支持 Firepower 的 Cisco ASA 作为我们的内部边界防火墙。
是否有人使用过 Firepower 许可中包含的 IPS 功能和/或安装了 Suricata 软件包的 pfSense,这些软件包以内联模式运行,以及 VPN 流量是如何处理的?由于我们连接到由 pfSense 管理的 VPN 服务器,为了满足合规性需求,我们需要弄清楚数据包检查的具体发生位置。
通过 IPsec VPN 客户端从我们的内部 ASA 连接到 pfSense,ASA 是否会解密数据包并将其转发到 Firepower 模块进行检查,然后再进行路由,或者是否会在数据包从 VPN 服务器发送到 ASA 之前或之后在 pfSense/Suricata 端进行处理?
答案1
我不是 100% 清楚您的设计目标是什么,但我想我可以帮助您回答您的问题。
无论您的对等端点在哪里,VPN 流量都会被加密/解密。如果您有 VPN 流量通过 ASA 传输到 pfSense,FirePower 无法检查任何流量。
如果您在 ASA 处终止 VPN,那么我认为此链接将帮助您了解在 ASA 将流量发送出出口接口之前 Firepower 模块的使用位置。
如图2-15http://www.ciscopress.com/articles/article.asp?p=2730336&seqNum=7