我目前pipe理6个思科ASA设备(2对5510和1对5550)。 他们都工作得很好,而且很稳定,所以这更像是一个最佳实践的build议问题,而不是“OMG坏了,帮我修复”。
我的networking被分成多个VLAN。 几乎每个服务angular色都有自己的VLAN,所以DB服务器将拥有自己的VLAN,APP服务器和Cassandra节点。
stream量pipe理只允许特定的拒绝rest基础(因此默认策略是放弃所有stream量)。 我通过为每个networking接口创build两个ACL来做到这一点,例如:
这一切都非常紧凑,按预期工作,但我想知道这是否是最好的方式? 目前,我已经达到了有超过30个VLAN的地步,我必须说,在某些方面pipe理这些VLAN已经变得有点混乱了。
也许像普通/共享的ACL在这里帮助我可以从其他ACLinheritance,但AFAIK没有这样的事情…
任何build议非常感谢。
对于您拥有Cisco ASA设备(2对5510和1对5550)。 这意味着您正在从使用acls的数据包过滤转移到ASA中基于防火墙区域的技术。
创build类映射,策略映射和服务策略。
networking对象将使您的生活变得轻松。
防火墙技术的趋势是
包过滤 – 包检查 – IP检查(状态检查) – 基于防火墙的防火墙
这些技术是为了减less混乱,因为这些领域的增加。
有一本书,你可能想要阅读。
意外的pipe理员 – 这真的帮了我。
看看它,并从两个不同的方向移动。
有了ASA,你应该没有问题。
过去我做了800系列ip检测和ZBF,比较了它们的优点,在ASA从分组过滤到高级ip检测中使用了相同的技术。
一个非常简单的(当然,还有一点作弊)解决scheme是为每个VLAN接口分配一个与它需要允许的stream量一致的安全级别。
然后,您可以设置same-security-traffic permit inter-interface ,从而避免在多个设备上专门路由和保护相同的VLAN。
它不会减lessVLAN的数量,但它可能会减less所有3个防火墙所需的VLAN所需的ACL数量。
当然,我不知道这是否适合你的环境。
为什么你有入站和出站访问列表? 你应该尽可能的靠近信号源来捕捉交通。 这意味着只有入站访问列表,将ACL的总数减半。 这将有助于保持范围下降。 当每个stream只有一个可能的访问列表时,您的ASA将变得更容易维护,更重要的是:出现问题时更容易排除故障。
而且,所有的VLAN都必须经过防火墙才能到达对方? 这严重限制了吞吐量。 请记住:ASA是防火墙,而不是(良好)路由器。