bar*_*613 9 networking security cisco cisco-asa best-practices
我目前管理着 6 台 Cisco ASA 设备(2 对 5510 和 1 对 5550)。它们都工作得很好并且很稳定,所以这更像是一个最佳实践建议问题,而不是“天哪,它坏了帮我修复它”。
我的网络被分成多个 VLAN。几乎每个服务角色都有自己的 VLAN,因此 DB 服务器将有自己的 VLAN、APP 服务器、Cassandra 节点。
流量在仅允许特定,拒绝休息的基础上进行管理(因此默认策略是丢弃所有流量)。我通过为每个网络接口创建两个 ACL 来做到这一点,例如:
这一切都非常紧凑并且按预期工作,但是我想知道这是否是最好的方法? 目前,我已经拥有超过 30 个 VLAN,我必须说在某些时候管理这些 VLAN 变得有些混乱。
可能像公共/共享 ACL 之类的东西在这里会有所帮助,我可以从其他 ACL 继承,但 AFAIK 没有这样的东西......
任何建议非常感谢。
一个非常简单(诚然,有点作弊)的解决方案是为每个 VLAN 接口分配与其需要允许的流量一致的安全级别。
然后,您可以设置same-security-traffic permit inter-interface,从而无需在多个设备之间专门路由和保护同一 VLAN。
它不会减少 VLAN 数量,但可能会将跨越所有 3 个防火墙的 VLAN 所需的 ACL 数量减少一半。
当然,我无法知道这在您的环境中是否有意义。
| 归档时间: |
|
| 查看次数: |
835 次 |
| 最近记录: |