The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]

форумы  помощь  поиск  регистрация  майллист  вход/выход  слежка  RSS
"выбор модели файрвола ASA?"
Вариант для распечатки  
Пред. тема | След. тема 
Форумы Маршрутизаторы CISCO и др. оборудование. (Public)
Изначальное сообщение [ Отслеживать ]

"выбор модели файрвола ASA?"  
Сообщение от www_tank (ok) on 10-Ноя-08, 08:24 
Помогите определиться с моделью ASA, а главное с ТИПОМ ЛИЦЕНЗИЙ на нее.
Требуется следующий функционал:
1) интерфейсы outside,inside,dmz1,dmz2
2) NAT: inside-dmz1,inside-dmz2,outside-dmz1.  NAT 0(не НАТить по аксесс листу)
3) файрвол фильтрации портов, контента. Защита от атак.
4) два ISP и переключение между Internet каналами по sla monitor
5) VPN Ipsec сервер, терминирование до 20 туннелей. в том числе с динамическим хвостом на той стороне (как вариант туннель nhrp, сейчас сделано без nhrp)
6) поддержка транков 802.1q (? даже не знаю умеют ли такое файрволы)

Поиск по форуму только внес сумбур http://www.opennet.ru/openforum/vsluhforumID6/13118.html

Сейчас этот функционал обеспечивают c2821 и pix515, из-за того, что железяки две постоянно вылезают-решаются какие-то проблемы.
Спасибо за советы!

Высказать мнение | Ответить | Правка | Cообщить модератору

 Оглавление

Сообщения по теме [Сортировка по времени | RSS]


1. "выбор модели файрвола ASA?"  
Сообщение от mario23 email on 10-Ноя-08, 09:35 
>Помогите определиться с моделью ASA, а главное с ТИПОМ ЛИЦЕНЗИЙ на нее.
>
>Требуется следующий функционал:
>1) интерфейсы outside,inside,dmz1,dmz2

зависит от лицензии в базовой помоему 1 dmz
>2) NAT: inside-dmz1,inside-dmz2,outside-dmz1.  NAT 0(не НАТить по аксесс листу)

не понял.
>3) файрвол фильтрации портов, контента. Защита от атак.

по контенут не знаю но остальное есть
>4) два ISP и переключение между Internet каналами по sla monitor

....
>5) VPN Ipsec сервер, терминирование до 20 туннелей. в том числе с
>динамическим хвостом на той стороне (как вариант туннель nhrp, сейчас сделано
>без nhrp)

лицензия расширенная
>6) поддержка транков 802.1q (? даже не знаю умеют ли такое файрволы)

умеют конечно
>

в общем asa 5505 (это я про неее говорил )
>
>Поиск по форуму только внес сумбур http://www.opennet.ru/openforum/vsluhforumID6/13118.html
>
>Сейчас этот функционал обеспечивают c2821 и pix515, из-за того, что железяки две
>постоянно вылезают-решаются какие-то проблемы.
>Спасибо за советы!

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

2. "выбор модели файрвола ASA?"  
Сообщение от www_tank (??) on 10-Ноя-08, 10:50 
>>2) NAT: inside-dmz1,inside-dmz2,outside-dmz1.  NAT 0(не НАТить по аксесс листу)
>не понял.

весь НАТ в разные стороны делать на этой железяке.
трафик терминированных на ней туннелей не НАТить, они и так уже с локальными адресами.
nat (inside) 0 access-list 110 (цитата с pix 515)

>>4) два ISP и переключение между Internet каналами по sla monitor
>....

теперь я не понимаю

>в общем asa 5505 (это я про неее говорил )

лицензия Enetrprise Edition?
а как у 5505 с маршрутизацией по сравнению с рутером 28хх?


Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

3. "выбор модели файрвола ASA?"  
Сообщение от Eduard_k (ok) on 10-Ноя-08, 11:25 
>[оверквотинг удален]
>
>>>4) два ISP и переключение между Internet каналами по sla monitor
>>....
>
>теперь я не понимаю
>
>>в общем asa 5505 (это я про неее говорил )
>
>лицензия Enetrprise Edition?
>а как у 5505 с маршрутизацией по сравнению с рутером 28хх?

5505 - коробка начального уровня для малых офисов. 25 IPsec VPN peers для нее максимум.
берите ASA5510-AIP10SP-K9    ASA 5510 Appliance with AIP-SSM-10, 5FE, 3DES/AES, SEC PLUS

с SEC PLUS лицензией, там есть все, что вам надо, включая IPS

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

4. "выбор модели файрвола ASA?"  
Сообщение от roman (??) on 10-Ноя-08, 11:41 
>[оверквотинг удален]
>>
>>>>4) два ISP и переключение между Internet каналами по sla monitor
>>>....
>>
>>теперь я не понимаю
>>
>>>в общем asa 5505 (это я про неее говорил )
>>
>>лицензия Enetrprise Edition?
>>а как у 5505 с маршрутизацией по сравнению с рутером 28хх?

C маршрутизацией все плохо. PBR нет. Netflow нет.
>
>5505 - коробка начального уровня для малых офисов. 25 IPsec VPN peers
>для нее максимум.
>берите ASA5510-AIP10SP-K9 ASA 5510 Appliance with AIP-SSM-10, 5FE, 3DES/AES, SEC PLUS
>
>с SEC PLUS лицензией, там есть все, что вам надо, включая IPS
>

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

5. "выбор модели файрвола ASA?"  
Сообщение от www_tank (??) on 10-Ноя-08, 12:43 
спасибо за советы!
>>берите ASA5510-AIP10SP-K9 ASA 5510 Appliance with AIP-SSM-10, 5FE, 3DES/AES, SEC PLUS

циска.ком тоже советует 5510 или 5520 с четырьмя интерфейсами (для DMZ-2)
>>

netflow нету - плохо! как же проверять провайдера, что он там насчитал?
PBR нет - вообще погано....

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

6. "выбор модели файрвола ASA?"  
Сообщение от Дмитрий Белмонт on 12-Ноя-08, 15:18 
Нету в ASA переключения по SLA monitor.
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

7. "выбор модели файрвола ASA?"  
Сообщение от Eduard_k (??) on 13-Ноя-08, 15:08 
>Нету в ASA переключения по SLA monitor.

схуяли?
http://www.cisco.com/en/US/products/hw/vpndevc/ps2030/produc...

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

8. "выбор модели файрвола ASA?"  
Сообщение от helladmin (??) on 13-Ноя-08, 22:53 
>Помогите определиться с моделью ASA, а главное с ТИПОМ ЛИЦЕНЗИЙ на нее.
>
>Требуется следующий функционал:
>1) интерфейсы outside,inside,dmz1,dmz2
>2) NAT: inside-dmz1,inside-dmz2,outside-dmz1.  NAT 0(не НАТить по аксесс листу)
>3) файрвол фильтрации портов, контента. Защита от атак.

Модуль есть отдельный для этого. От атак один, если проверять почту и хттп, то уже другой.
>4) два ISP и переключение между Internet каналами по sla monitor

SLA у ASA есть, конфигов в инете полно.
>5) VPN Ipsec сервер, терминирование до 20 туннелей. в том числе с
>динамическим хвостом на той стороне (как вариант туннель nhrp, сейчас сделано
>без nhrp)

5505 не потянет однозначно.
>6) поддержка транков 802.1q (? даже не знаю умеют ли такое файрволы)
>
>
>Поиск по форуму только внес сумбур http://www.opennet.ru/openforum/vsluhforumID6/13118.html
>
>Сейчас этот функционал обеспечивают c2821 и pix515, из-за того, что железяки две
>постоянно вылезают-решаются какие-то проблемы.
>Спасибо за советы!

А вообще не стоит ставить на эти задачи оду ASA, потому как если чего-нибудь понадобится, типа PBR, потом пожалеете что так сделали. Берите роутер покруче и будет вам счастье да и дешевле получится.


Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

9. "выбор модели файрвола ASA?"  
Сообщение от Mt on 14-Ноя-08, 10:38 
>
>А вообще не стоит ставить на эти задачи оду ASA, потому как
>если чего-нибудь понадобится, типа PBR, потом пожалеете что так сделали. Берите
>роутер покруче и будет вам счастье да и дешевле получится.

Топикмэйкеру:

Связка ASA + Router для такой ситуации однозначно более подходящая. Оно видимо не зря у вас сделано сейчас именно так. Просто разберитесь в чем текущие проблемы (при необходимости upgrade железа).

Возможности АСА по роутингу минимальны. SLA monitor типа есть, да, но функциональность с роутерами пока не сравнить. Раз вы multihomed - можете захотеть bgp - хотя бы дефолты. PBR как уже сказали нет, ospf поддержка ограниченная. Вообщем ASA - это 100% не border.
И собственно никогда как бордер и не задумывалась....


P.S. Netflow (v9) на АСА будет... вот только не думаю что скоро...

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

10. "выбор модели файрвола ASA?"  
Сообщение от www_tank (ok) on 22-Дек-08, 09:32 
>Связка ASA + Router для такой ситуации однозначно более подходящая. Оно видимо
>не зря у вас сделано сейчас именно так.

сделано еще без меня. а вот мне уже приходилось кучу проблем решать из-за того, что стоят два устройства, где логичнее быть одному

>Возможности АСА по роутингу минимальны. SLA monitor типа есть, да, но функциональность
>с роутерами пока не сравнить. Раз вы multihomed - можете захотеть
>bgp - хотя бы дефолты. PBR как уже сказали нет, ospf
>поддержка ограниченная. Вообщем ASA - это 100% не border.
>И собственно никогда как бордер и не задумывалась....

BGP и даже ospf мы никогда не сможем. у нас деревня и провайдеры соответствующие.
сейчас рулят SLA, NATы(по аксесс листам), PBR.
>
>P.S. Netflow (v9) на АСА будет... вот только не думаю что скоро...

хорошо бы...

кстати, умеет ли ASA NAT по аксесс-листу делать? вот Pix515 умеет только NAT(0)
nat (inside) 0 access-list 110. nat (inside) 1 access-list 110 - уже не съест

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

11. "выбор модели файрвола ASA?"  
Сообщение от Ярослав Росомахо (ok) on 22-Дек-08, 16:48 
>[оверквотинг удален]
>
>Требуется следующий функционал:
>1) интерфейсы outside,inside,dmz1,dmz2
>2) NAT: inside-dmz1,inside-dmz2,outside-dmz1.  NAT 0(не НАТить по аксесс листу)
>3) файрвол фильтрации портов, контента. Защита от атак.
>4) два ISP и переключение между Internet каналами по sla monitor
>5) VPN Ipsec сервер, терминирование до 20 туннелей. в том числе с
>динамическим хвостом на той стороне (как вариант туннель nhrp, сейчас сделано
>без nhrp)
>6) поддержка транков 802.1q (? даже не знаю умеют ли такое файрволы)

А сколько суммарно трафика у вас?

Если грамотно настроить вашу 2821 она справится с этими задачами самостоятельно без дополнительного устройства PIX/ASA.

Для "защиты от атак" имеет смысл добавить AIM-IPS

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

12. "выбор модели файрвола ASA?"  
Сообщение от fenix2 email(??) on 22-Дек-08, 18:18 
asa не умеет gre тунели, не умеет dmvpn или nhrp

best practice как я думаю
это роутер наружу, который держит gre+ipsec, а за ним directly connected ASA которая натит, ДМЗит, IPSит.


Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

13. "выбор модели файрвола ASA?"  
Сообщение от Ярослав Росомахо (ok) on 22-Дек-08, 18:19 
>asa не умеет gre тунели, не умеет dmvpn или nhrp
>
>best practice как я думаю
>это роутер наружу, который держит gre+ipsec, а за ним directly connected ASA
>которая натит, ДМЗит, IPSит.

Если трафика не очень много (в пределах 20 мбит), то и 2821 должна справится с задачами NAT и Stateful Firewall.

В роли IPS на ASA выступает модуль AIP-SSM, который по функционалу абсолютно аналогичен AIM-IPS (та же прошивка), но имеет избыточную производительность и гораздо более высокую стоимость.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

14. "выбор модели файрвола ASA?"  
Сообщение от fenix2 email(??) on 22-Дек-08, 18:21 
>asa не умеет gre тунели, не умеет dmvpn или nhrp
>
>best practice как я думаю
>это роутер наружу, который держит gre+ipsec, а за ним directly connected ASA
>которая натит, ДМЗит, IPSит.

плюс роутера наружу это еще
IP SLA - icmp jitter чтобы пингал не одним пакетиком а кучей
на ASA нету LLQ
gre+ipsec

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

15. "выбор модели файрвола ASA?"  
Сообщение от fenix2 email(??) on 22-Дек-08, 18:25 
ну и еще PBR и serial интерфейсы может если придёт frame relay или модем какой нить...

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить

Индекс форумов | Темы | Пред. тема | След. тема
Оцените тред (1=ужас, 5=супер)? [ 1 | 2 | 3 | 4 | 5 ] [Рекомендовать для помещения в FAQ]




Спонсоры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2022 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру