Автор |
Сообщение |
Alexandr V Sidorov
Зарегистрирован: 01 июл 2019, 10:35 Сообщения: 33
|
Задачка такая. Хотелось бы видеть на фортике трафик только в инет и применять только к нему политики фильтрации. Если я правильно понимаю, то разбор трафика в плане направления должен и будет осуществляться на роутере, но вот как вычленить на нем трафик именно в инет и завернуть его на FG, а затем по дефолту в инет, кроме extended ACL и PBR я не знаю. Может есть еще более изящное решение? В целом задача так формулируется: Трафик в инет от пользователей и обратно должен пройти через фаервол, локальный трафик на FG попасть не должен. Как по-нормальному это реализовать?
Вложения:
111.jpg [ 86.34 КБ | Просмотров: 9988 ]
|
20 сен 2020, 07:46 |
|
|
root99
Зарегистрирован: 29 май 2017, 21:19 Сообщения: 1404
|
Фаерволлы выставить наружу - рутер поставить за фаерволами
P.S. FG неудачный выбор особенно для VPN
|
20 сен 2020, 09:32 |
|
|
Alexandr V Sidorov
Зарегистрирован: 01 июл 2019, 10:35 Сообщения: 33
|
root99 писал(а): Фаерволлы выставить наружу - рутер поставить за фаерволами
P.S. FG неудачный выбор особенно для VPN Так об этом и речь - хотелось FlexVPN поднять на ISR, а трафик фильтровать на FG. Я знаю как весь трафик завернуть - локальный и инет - завернуть на FG и потом разруливать (Роутер в этом случае будет наружу). Но функция ИБ хочет только интернет видеть на FG, а локальный, априори, доверенный. Хотя, мне кажется, это не совсем корректно. Изначально задумка была завернуть весь трафик на FG и там же поднять шлюзы для подсетей пользователей и анализировать весь трафик. P.S. но как обосновать именно такую схему, как я нарисовал для ИБ - я пока не знаю.
|
20 сен 2020, 09:38 |
|
|
root99
Зарегистрирован: 29 май 2017, 21:19 Сообщения: 1404
|
правильно выставить фаерволлы наружу - а рутер за ними - и это никак не помешает поднять FlexVPN, настроить динам. роутинг между FW и рутером...
|
20 сен 2020, 10:32 |
|
|
Alexandr V Sidorov
Зарегистрирован: 01 июл 2019, 10:35 Сообщения: 33
|
root99 писал(а): правильно выставить фаерволлы наружу - а рутер за ними - и это никак не помешает поднять FlexVPN, настроить динам. роутинг между FW и рутером... А как в данном случае пробросить "Белый адрес" на роутер, чтобы с него строить FlexVPN?
|
20 сен 2020, 11:44 |
|
|
root99
Зарегистрирован: 29 май 2017, 21:19 Сообщения: 1404
|
достаточно пробросить некоторые порты - ну а если есть пул адресов и есть свободные - то можно и целый адрес - не вижу в этом никаких проблем
|
20 сен 2020, 15:06 |
|
|
Alexandr V Sidorov
Зарегистрирован: 01 июл 2019, 10:35 Сообщения: 33
|
root99 писал(а): достаточно пробросить некоторые порты - ну а если есть пул адресов и есть свободные - то можно и целый адрес - не вижу в этом никаких проблем Со стороны это кажется тоже нормальным костылем. Можешь описать как лучше реализовать данную задачу? Лично мое мнение - не хочется ставить впереди FortiGate.
|
20 сен 2020, 15:16 |
|
|
root99
Зарегистрирован: 29 май 2017, 21:19 Сообщения: 1404
|
Firewall ( зачем тогда брали FG, а почему не Cisco FPR ) для того и нужен чтобы стоять на границе - в чём костыльность - если так рассуждать то НАТ тоже костыль - тогда вам нужно иметь свою AS свои адреса и всё делать на реальных IP и внедрять уже давно IPv6
|
20 сен 2020, 15:43 |
|
|
Alexandr V Sidorov
Зарегистрирован: 01 июл 2019, 10:35 Сообщения: 33
|
root99 писал(а): Firewall ( зачем тогда брали FG, а почему не Cisco FPR ) для того и нужен чтобы стоять на границе - в чём костыльность - если так рассуждать то НАТ тоже костыль - тогда вам нужно иметь свою AS свои адреса и всё делать на реальных IP и внедрять уже давно IPv6 Ну как бэ... У крупных провайдеров наружу смотрят далеко на Firewall))). Поэтому и спросил.
|
20 сен 2020, 15:57 |
|
|
root99
Зарегистрирован: 29 май 2017, 21:19 Сообщения: 1404
|
в данном контексте мы и не рассматриваем дизайны магистральных или иных операторов - типичный дизайн для любого энтерпрайза - Firewall IPS, а за ним уже рутер, тем более сейчас в большинстве случаев нужен VPN для удалённого доступа и типичные офисы сходят на нет...
|
20 сен 2020, 18:33 |
|
|
Bessmertniy
Зарегистрирован: 03 апр 2013, 16:21 Сообщения: 1525
|
VRF, не? Но как всегда вопрос в дизайне.
|
20 сен 2020, 20:23 |
|
|
Alexandr V Sidorov
Зарегистрирован: 01 июл 2019, 10:35 Сообщения: 33
|
root99 писал(а): в данном контексте мы и не рассматриваем дизайны магистральных или иных операторов - типичный дизайн для любого энтерпрайза - Firewall IPS, а за ним уже рутер, тем более сейчас в большинстве случаев нужен VPN для удалённого доступа и типичные офисы сходят на нет... Огромное спасибо за помощь. Как подойду к реализации - обязательно вернусь)))
|
21 сен 2020, 07:21 |
|
|
Alexandr V Sidorov
Зарегистрирован: 01 июл 2019, 10:35 Сообщения: 33
|
Bessmertniy писал(а): VRF, не? Но как всегда вопрос в дизайне. VRF тоже рассматриваю, только пока не могу до конца понять как это замутить.
|
21 сен 2020, 07:22 |
|
|
tonve
Зарегистрирован: 26 сен 2013, 10:29 Сообщения: 422
|
Я бы терминировал внутренние сети на маршрутизирующем коммутаторе, чтобы интранетовский трафик не попадал на фаерволы в принципе. Ну то есть по возможности сделать так, чтобы виды трафика не пришлось разделять на самих ферволах.
|
21 сен 2020, 11:41 |
|
|
Alexandr V Sidorov
Зарегистрирован: 01 июл 2019, 10:35 Сообщения: 33
|
tonve писал(а): Я бы терминировал внутренние сети на маршрутизирующем коммутаторе, чтобы интранетовский трафик не попадал на фаерволы в принципе. Ну то есть по возможности сделать так, чтобы виды трафика не пришлось разделять на самих ферволах. И как тогда защищать периметр и фильтровать внешний трафик?
|
21 сен 2020, 18:58 |
|
|
Alexandr V Sidorov
Зарегистрирован: 01 июл 2019, 10:35 Сообщения: 33
|
Коллеги, в эту же тему: подскажите преимущества PI-адресов с "белой" AS перед традиционным внешним адресом от провайдера? Знаю только: 1. резервирование. При падениях одного провайдера - не перестраиваются туннели, не перестраивается NAT - трансляции. 2. Балансировка трафика.
|
21 сен 2020, 19:01 |
|
|
root99
Зарегистрирован: 29 май 2017, 21:19 Сообщения: 1404
|
PI это всё своё - и не зависите от адресного пространства какого-либо оператора и т.д.
P.S. AS + PI участвующие в глобальном роутинге только белые и бывают....
|
21 сен 2020, 21:07 |
|
|
Alexandr V Sidorov
Зарегистрирован: 01 июл 2019, 10:35 Сообщения: 33
|
root99 писал(а): PI это всё своё - и не зависите от адресного пространства какого-либо оператора и т.д.
P.S. AS + PI участвующие в глобальном роутинге только белые и бывают.... Это-то понятно. Интересуют плюсы для Компании при покупке данных адресов.
|
22 сен 2020, 06:56 |
|
|
Bessmertniy
Зарегистрирован: 03 апр 2013, 16:21 Сообщения: 1525
|
root99 писал(а): P.S. AS + PI участвующие в глобальном роутинге только белые и бывают.... Да ну, знаю ряд клиентов которые нормально живет с PA и несколькими апстримами. Alexandr V Sidorov писал(а): Интересуют плюсы для Компании при покупке данных адресов. Плюс в том что адреса свои и никто их не заберет, в случае с PA при отказе от выдавшего адреса апстрима он скорее всего из заберет. Ну и за PA как правило оператор абонплату хочет, а за PI нужно только раз в год небольшую сумму LIR'у за обслуживание платить.
|
22 сен 2020, 08:18 |
|
|
root99
Зарегистрирован: 29 май 2017, 21:19 Сообщения: 1404
|
только PI сначала нужно купить цены 20-25$ за адрес сейчас, ну и внедрять IPv6, а то потом как снежный ком на голову упадёт и будете судорожно внедрять....
|
22 сен 2020, 09:10 |
|
|
Nikolay_
Зарегистрирован: 01 янв 1970, 03:00 Сообщения: 1874
|
|
24 сен 2020, 12:09 |
|
|
root99
Зарегистрирован: 29 май 2017, 21:19 Сообщения: 1404
|
PI блоки покупаются путём трансфера, IPv6 что с ним не так - всё развивается и в том же ЕС уже внедряется всё на государственном уровне, 5G нативно работает в v6
|
24 сен 2020, 13:07 |
|
|