URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID6
Нить номер: 18826
[ Назад ]

Исходное сообщение
"inside/outside интерфейсы на ASA 5510"

Отправлено Potemkin , 09-Май-09 18:26 
Для решения задач разграничения доступа из корп.сети в технологическую сеть, политик безопасности планируется использование ASA 5510 в bundle-решении (потому как посмотрел что дешевле при наличии необходимого функционала).

На 1 порту ASA смотрящему в корп.сеть выставляем outside, на 2, смотрящему в тех.сеть - inside, с наивысшим уровнем защиты 100.
Параллельно есть желание использовать ASA в качестве FW для другой сети - для доступа в корп.сеть из сети удаленного офиса. Благо на 5510 в том решении, на котором остановился - а это ASA5510-BUN-K9 - на борту 5 портов FE, да и бабло надо отбивать.
Т.е. на 3 порт цепляем линк уходящий на сетку удаленного офиса. По логике порт 1 для сети удаленного офиса должен быть inside, либо с каким то др.уровнем доступа, а порт 3 по отношению к порту 1 - outside. Порт 3 по отношению к порту 2 - inside.
Так вот вопрос, как сделать и возможно ли это чтобы 1 порт был одноврменно с противоположным (или разным) статусом для разных сегментов формируемой сети.

Копая глубже обратил внимание на такую фичу как Security Contexts, предоставляемую за отд. денежки при приобретении лицензии Security Plus. Она вроде как позволяет одну железку PIX/ASA исползовать в качестве нескольких виртуальных FW. Возможно в моем случае это единственное решение. Если да, то остается выяснить входит ли она в комплектацию ASA5510-BUN-K9.


Содержание

Сообщения в этом обсуждении
"inside/outside интерфейсы на ASA 5510"
Отправлено Eduard_k , 09-Май-09 20:41 
>[оверквотинг удален]
>- inside.
>Так вот вопрос, как сделать и возможно ли это чтобы 1 порт
>был одноврменно с противоположным (или разным) статусом для разных сегментов формируемой
>сети.
>
>Копая глубже обратил внимание на такую фичу как Security Contexts, предоставляемую за
>отд. денежки при приобретении лицензии Security Plus. Она вроде как позволяет
>одну железку PIX/ASA исползовать в качестве нескольких виртуальных FW. Возможно в
>моем случае это единственное решение. Если да, то остается выяснить входит
>ли она в комплектацию ASA5510-BUN-K9.

В ASA5510-BUN-K9 Security Plus лицензия не входит. Да и терзают меня смутные сомненья, что Security Context вам не нужен. Вы как-то заморочились с названиями интерфейсов, а они не важны. Основной принцип - с большего security level на меньший по умолчанию все разрешено, в обратную сторону закрыто. Один и тот же интерфейс может быть доверенным по отношению к одному и недоверенным по отношению к другому сегменту.
Почитайте http://www.ciscolab.ru/security/153-pix_securitylevls.html все коротко, ясно и по-русски.


"inside/outside интерфейсы на ASA 5510"
Отправлено Potemkin , 11-Май-09 19:32 
>В ASA5510-BUN-K9 Security Plus лицензия не входит. Да и терзают меня смутные
>сомненья, что Security Context вам не нужен. Вы как-то заморочились с
>названиями интерфейсов, а они не важны. Основной принцип - с большего
>security level на меньший по умолчанию все разрешено, в обратную сторону
>закрыто. Один и тот же интерфейс может быть доверенным по отношению
>к одному и недоверенным по отношению к другому сегменту.
>Почитайте http://www.ciscolab.ru/security/153-pix_securitylevls.html все коротко, ясно и по-русски.

Как раз это то я и читалс уже. Все просто да непонятно, можно ли сделать так чтобы сегмент за одним интерфейсом был недоступен для пары других интерфейсов, которые между собой имели точно такой же уровни безопасности - 0 и 100, либо придется один из них делать DMZ. Но у DMZ как я понял др. идеология и назначение.
Поэтому и зинтересовала функция виртуальных FW


"inside/outside интерфейсы на ASA 5510"
Отправлено Eduard_k , 11-Май-09 23:06 
>[оверквотинг удален]
>>к одному и недоверенным по отношению к другому сегменту.
>>Почитайте http://www.ciscolab.ru/security/153-pix_securitylevls.html все коротко, ясно и по-русски.
>
>Как раз это то я и читалс уже. Все просто да непонятно,
>можно ли сделать так чтобы сегмент за одним интерфейсом был недоступен
>для пары других интерфейсов, которые между собой имели точно такой же
>уровни безопасности - 0 и 100, либо придется один из них
>делать DMZ. Но у DMZ как я понял др. идеология и
>назначение.
>Поэтому и зинтересовала функция виртуальных FW

Security level 0 и 100 зарезервированы за интерфейсами inside и outside, это унаследовано от пиксов. вам же никто не мешает вообще их не использовать.Например создаете две пары интерфейсов - inside1, outside1 и inside2 и outside2  с Security level на обоих inside-ах 99, outside-ах 1. Названия интерфейсов никак не влияют на то, каким образом будет обрабатываться трафик, называйте их хоть siska и piska. а затем списками доступа запрещаете ненужный трафик, например с inside1 на outside2 и с inside2 на outside1.При данной схеме городить security контексты имеет смысл, только если у вас должно быть два разных маршрута по умолчанию например для трафика с inside1 дефолт смотрит на outside1, а с inside2 на outside2. Насколько я понял вашу задачу, тут можно обойтись статическим либо динамическим роутингом, использование Security Context излишне.


"inside/outside интерфейсы на ASA 5510"
Отправлено Potemkin , 13-Май-09 07:53 
>а затем списками доступа
>запрещаете ненужный трафик, например с inside1 на outside2 и с inside2
>на outside1.

я так понимаю речь об виртуальных интерфейсах, поскольку физических не напасешься...

>При данной схеме городить security контексты имеет смысл, только если
>у вас должно быть два разных маршрута по умолчанию например для
>трафика с inside1 дефолт смотрит на outside1, а с inside2 на
>outside2.

собственно практически да.

Насколько я понял вашу задачу, тут можно обойтись статическим либо
>динамическим роутингом, использование Security Context излишне.

только FW не роутер. а нужно именно "глубокая" изоляция сетей


"inside/outside интерфейсы на ASA 5510"
Отправлено anonymous , 12-Май-09 11:54 
>На 1 порту ASA смотрящему в корп.сеть выставляем outside, на 2, смотрящему
>в тех.сеть - inside, с наивысшим уровнем защиты 100.
>Параллельно есть желание использовать ASA в качестве FW для другой сети -
>для доступа в корп.сеть из сети удаленного офиса.

не забудьте только, что без security plus доступно только 3 VLAN (и то в урезанном виде).  Но для Вашей задачи и этого может хватить, см. http://www.cisco.com/en/US/products/hw/vpndevc/ps2030/produc...


"inside/outside интерфейсы на ASA 5510"
Отправлено Eduard_k , 12-Май-09 12:07 
>>На 1 порту ASA смотрящему в корп.сеть выставляем outside, на 2, смотрящему
>>в тех.сеть - inside, с наивысшим уровнем защиты 100.
>>Параллельно есть желание использовать ASA в качестве FW для другой сети -
>>для доступа в корп.сеть из сети удаленного офиса.
>
>не забудьте только, что без security plus доступно только 3 VLAN (и
>то в урезанном виде).  Но для Вашей задачи и этого
>может хватить, см. http://www.cisco.com/en/US/products/hw/vpndevc/ps2030/produc...

Не, вы спутали с 5505. В 5510 50 виланов доступно, смотрите даташит.
http://www.cisco.com/en/US/prod/collateral/vpndevc/ps6032/ps...
Да и интерфейсы L3 , адреса можно сразу на них назначать без всяких vlan.