https://www.opennet.ru/openforum/vsluhforumID6/18826.html Для решения задач разграничения доступа из корп.сети в технологическую сеть, политик безопасности планируется использование ASA 5510 в bundle-решении (потому как посмотрел что дешевле при наличии необходимого функционала). <br><br>На 1 порту ASA смотрящему в корп.сеть выставляем outside, на 2, смотрящему в тех.сеть - inside, с наивысшим уровнем защиты 100.<br>Параллельно есть желание использовать ASA в качестве FW для другой сети - для доступа в корп.сеть из сети удаленного офиса. Благо на 5510 в том решении, на котором остановился - а это ASA5510-BUN-K9 - на борту 5 портов FE, да и бабло надо отбивать. <br>Т.е. на 3 порт цепляем линк уходящий на сетку удаленного офиса. По логике порт 1 для сети удаленного офиса должен быть inside, либо с каким то др.уровнем доступа, а порт 3 по отношению к порту 1 - outside. Порт 3 по отношению к порту 2 - inside. <br>Так вот вопрос, как сделать и возможно ли это чтобы 1 порт был одноврменно с противоположным (или разным) статусом для разных сегментов формируемой сети.<br><br>Копая глубже https://www.opennet.ru/openforum/vsluhforumID6/18826.html#6 Wed, 13 May 2009 03:53:12 GMT &gt;а затем списками доступа <br>&gt;запрещаете ненужный трафик, например с inside1 на outside2 и с inside2 <br>&gt;на outside1.<br><br>я так понимаю речь об виртуальных интерфейсах, поскольку физических не напасешься...<br><br>&gt;При данной схеме городить security контексты имеет смысл, только если <br>&gt;у вас должно быть два разных маршрута по умолчанию например для <br>&gt;трафика с inside1 дефолт смотрит на outside1, а с inside2 на <br>&gt;outside2. <br><br>собственно практически да. <br><br>Насколько я понял вашу задачу, тут можно обойтись статическим либо <br>&gt;динамическим роутингом, использование Security Context излишне. <br><br>только FW не роутер. а нужно именно "глубокая" изоляция сетей<br><br> https://www.opennet.ru/openforum/vsluhforumID6/18826.html#5 Tue, 12 May 2009 08:07:09 GMT &gt;&gt;На 1 порту ASA смотрящему в корп.сеть выставляем outside, на 2, смотрящему <br>&gt;&gt;в тех.сеть - inside, с наивысшим уровнем защиты 100. <br>&gt;&gt;Параллельно есть желание использовать ASA в качестве FW для другой сети - <br>&gt;&gt;для доступа в корп.сеть из сети удаленного офиса.<br>&gt;<br>&gt;не забудьте только, что без security plus доступно только 3 VLAN (и <br>&gt;то в урезанном виде). Но для Вашей задачи и этого <br>&gt;может хватить, см. http://www.cisco.com/en/US/products/hw/vpndevc/ps2030/products_qanda_item09186a00805b87d8.shtml#ThirdVLAN <br><br>Не, вы спутали с 5505. В 5510 50 виланов доступно, смотрите даташит.<br>http://www.cisco.com/en/US/prod/collateral/vpndevc/ps6032/ps6094/ps6120/product_data_sheet0900aecd802930c5.html<br>Да и интерфейсы L3 , адреса можно сразу на них назначать без всяких vlan.<br> https://www.opennet.ru/openforum/vsluhforumID6/18826.html#4 Tue, 12 May 2009 07:54:42 GMT &gt;На 1 порту ASA смотрящему в корп.сеть выставляем outside, на 2, смотрящему <br>&gt;в тех.сеть - inside, с наивысшим уровнем защиты 100. <br>&gt;Параллельно есть желание использовать ASA в качестве FW для другой сети - <br>&gt;для доступа в корп.сеть из сети удаленного офиса.<br><br>не забудьте только, что без security plus доступно только 3 VLAN (и то в урезанном виде). Но для Вашей задачи и этого может хватить, см. http://www.cisco.com/en/US/products/hw/vpndevc/ps2030/products_qanda_item09186a00805b87d8.shtml#ThirdVLAN<br> https://www.opennet.ru/openforum/vsluhforumID6/18826.html#3 Mon, 11 May 2009 19:06:18 GMT &gt;[оверквотинг удален]<br>&gt;&gt;к одному и недоверенным по отношению к другому сегменту. <br>&gt;&gt;Почитайте http://www.ciscolab.ru/security/153-pix_securitylevls.html все коротко, ясно и по-русски. <br>&gt;<br>&gt;Как раз это то я и читалс уже. Все просто да непонятно, <br>&gt;можно ли сделать так чтобы сегмент за одним интерфейсом был недоступен <br>&gt;для пары других интерфейсов, которые между собой имели точно такой же <br>&gt;уровни безопасности - 0 и 100, либо придется один из них <br>&gt;делать DMZ. Но у DMZ как я понял др. идеология и <br>&gt;назначение. <br>&gt;Поэтому и зинтересовала функция виртуальных FW <br><br>Security level 0 и 100 зарезервированы за интерфейсами inside и outside, это унаследовано от пиксов. вам же никто не мешает вообще их не использовать.Например создаете две пары интерфейсов - inside1, outside1 и inside2 и outside2 с Security level на обоих inside-ах 99, outside-ах 1. Названия интерфейсов никак не влияют на то, каким образом будет обрабатываться трафик, называйте их хоть siska и piska. а затем списками доступа запрещаете ненужн https://www.opennet.ru/openforum/vsluhforumID6/18826.html#2 Mon, 11 May 2009 15:32:16 GMT &gt;В ASA5510-BUN-K9 Security Plus лицензия не входит. Да и терзают меня смутные <br>&gt;сомненья, что Security Context вам не нужен. Вы как-то заморочились с <br>&gt;названиями интерфейсов, а они не важны. Основной принцип - с большего <br>&gt;security level на меньший по умолчанию все разрешено, в обратную сторону <br>&gt;закрыто. Один и тот же интерфейс может быть доверенным по отношению <br>&gt;к одному и недоверенным по отношению к другому сегменту. <br>&gt;Почитайте http://www.ciscolab.ru/security/153-pix_securitylevls.html все коротко, ясно и по-русски. <br><br>Как раз это то я и читалс уже. Все просто да непонятно, можно ли сделать так чтобы сегмент за одним интерфейсом был недоступен для пары других интерфейсов, которые между собой имели точно такой же уровни безопасности - 0 и 100, либо придется один из них делать DMZ. Но у DMZ как я понял др. идеология и назначение. <br>Поэтому и зинтересовала функция виртуальных FW<br> https://www.opennet.ru/openforum/vsluhforumID6/18826.html#1 Sat, 09 May 2009 16:41:22 GMT &gt;[оверквотинг удален]<br>&gt;- inside. <br>&gt;Так вот вопрос, как сделать и возможно ли это чтобы 1 порт <br>&gt;был одноврменно с противоположным (или разным) статусом для разных сегментов формируемой <br>&gt;сети. <br>&gt;<br>&gt;Копая глубже обратил внимание на такую фичу как Security Contexts, предоставляемую за <br>&gt;отд. денежки при приобретении лицензии Security Plus. Она вроде как позволяет <br>&gt;одну железку PIX/ASA исползовать в качестве нескольких виртуальных FW. Возможно в <br>&gt;моем случае это единственное решение. Если да, то остается выяснить входит <br>&gt;ли она в комплектацию ASA5510-BUN-K9. <br><br>В ASA5510-BUN-K9 Security Plus лицензия не входит. Да и терзают меня смутные сомненья, что Security Context вам не нужен. Вы как-то заморочились с названиями интерфейсов, а они не важны. Основной принцип - с большего security level на меньший по умолчанию все разрешено, в обратную сторону закрыто. Один и тот же интерфейс может быть доверенным по отношению к одному и недоверенным по отношению к другому сегменту.<br>Почитайте http://www.ciscolab