我们有一个小型办公室,我们75%的基础设施都是基于云计算的,包括我们用于远程访问的pfSense部署以及目前面向公众的站点到站点连接。 我们决定部署一个支持Firepower的思科ASA作为我们的内部部署的外围防火墙。
有没有人有使用安装了Suricata软件包的Firepower许可和/或pfSense附带的IPSfunction的经验,以及如何处理VPNstream量? 由于我们正在连接到由pfSensepipe理的VPN服务器,为了满足合规性需求,我们需要确定发生数据包检查的确切位置。
使用从本地ASA连接到pfSense的IPsec VPN客户端,ASA是否可以解密数据包,并在路由之前将其转发给Firepower模块进行检查,或者在数据包发送之前或之后在pfSense / Suricata端处理从VPN服务器到ASA?
我不是100%清楚你的devise目标是什么,但我想我可以帮你回答你的问题。
无论您的对端是什么,VPNstream量都将被encryption/解密。 如果您将VPNstream量通过ASA传递到pfSense,则FirePower无法检查任何stream量。
如果您在ASA终止VPN,那么我认为这个链接将帮助您在ASA将stream量从出口接口发送出去之前看到Firepower模块的使用位置。
见图2-15 http://www.ciscopress.com/articles/article.asp?p=2730336&seqNum=7