Сообщения без ответов | Активные темы Текущее время: 29 мар 2024, 15:00



Ответить на тему  [ Сообщений: 22 ] 
Маршрутизация и фильтрация трафика 
Автор Сообщение

Зарегистрирован: 01 июл 2019, 10:35
Сообщения: 33
Задачка такая.
Хотелось бы видеть на фортике трафик только в инет и применять только к нему политики фильтрации.
Если я правильно понимаю, то разбор трафика в плане направления должен и будет осуществляться на роутере, но вот как вычленить на нем трафик именно в инет и завернуть его на FG, а затем по дефолту в инет, кроме extended ACL и PBR я не знаю. Может есть еще более изящное решение?
В целом задача так формулируется:
Трафик в инет от пользователей и обратно должен пройти через фаервол, локальный трафик на FG попасть не должен.
Как по-нормальному это реализовать?


Вложения:
111.jpg
111.jpg [ 86.34 КБ | Просмотров: 9988 ]
20 сен 2020, 07:46
Профиль

Зарегистрирован: 29 май 2017, 21:19
Сообщения: 1404
Фаерволлы выставить наружу - рутер поставить за фаерволами

P.S. FG неудачный выбор особенно для VPN


20 сен 2020, 09:32
Профиль

Зарегистрирован: 01 июл 2019, 10:35
Сообщения: 33
root99 писал(а):
Фаерволлы выставить наружу - рутер поставить за фаерволами

P.S. FG неудачный выбор особенно для VPN


Так об этом и речь - хотелось FlexVPN поднять на ISR, а трафик фильтровать на FG. Я знаю как весь трафик завернуть - локальный и инет - завернуть на FG и потом разруливать (Роутер в этом случае будет наружу). Но функция ИБ хочет только интернет видеть на FG, а локальный, априори, доверенный. Хотя, мне кажется, это не совсем корректно.
Изначально задумка была завернуть весь трафик на FG и там же поднять шлюзы для подсетей пользователей и анализировать весь трафик.
P.S. но как обосновать именно такую схему, как я нарисовал для ИБ - я пока не знаю.


20 сен 2020, 09:38
Профиль

Зарегистрирован: 29 май 2017, 21:19
Сообщения: 1404
правильно выставить фаерволлы наружу - а рутер за ними - и это никак не помешает поднять FlexVPN, настроить динам. роутинг между FW и рутером...


20 сен 2020, 10:32
Профиль

Зарегистрирован: 01 июл 2019, 10:35
Сообщения: 33
root99 писал(а):
правильно выставить фаерволлы наружу - а рутер за ними - и это никак не помешает поднять FlexVPN, настроить динам. роутинг между FW и рутером...


А как в данном случае пробросить "Белый адрес" на роутер, чтобы с него строить FlexVPN?


20 сен 2020, 11:44
Профиль

Зарегистрирован: 29 май 2017, 21:19
Сообщения: 1404
достаточно пробросить некоторые порты - ну а если есть пул адресов и есть свободные - то можно и целый адрес - не вижу в этом никаких проблем


20 сен 2020, 15:06
Профиль

Зарегистрирован: 01 июл 2019, 10:35
Сообщения: 33
root99 писал(а):
достаточно пробросить некоторые порты - ну а если есть пул адресов и есть свободные - то можно и целый адрес - не вижу в этом никаких проблем

Со стороны это кажется тоже нормальным костылем.
Можешь описать как лучше реализовать данную задачу?
Лично мое мнение - не хочется ставить впереди FortiGate.


20 сен 2020, 15:16
Профиль

Зарегистрирован: 29 май 2017, 21:19
Сообщения: 1404
Firewall ( зачем тогда брали FG, а почему не Cisco FPR ) для того и нужен чтобы стоять на границе - в чём костыльность - если так рассуждать то НАТ тоже костыль - тогда вам нужно иметь свою AS свои адреса и всё делать на реальных IP и внедрять уже давно IPv6


20 сен 2020, 15:43
Профиль

Зарегистрирован: 01 июл 2019, 10:35
Сообщения: 33
root99 писал(а):
Firewall ( зачем тогда брали FG, а почему не Cisco FPR ) для того и нужен чтобы стоять на границе - в чём костыльность - если так рассуждать то НАТ тоже костыль - тогда вам нужно иметь свою AS свои адреса и всё делать на реальных IP и внедрять уже давно IPv6


Ну как бэ... У крупных провайдеров наружу смотрят далеко на Firewall))).
Поэтому и спросил.


20 сен 2020, 15:57
Профиль

Зарегистрирован: 29 май 2017, 21:19
Сообщения: 1404
в данном контексте мы и не рассматриваем дизайны магистральных или иных операторов - типичный дизайн для любого энтерпрайза - Firewall IPS, а за ним уже рутер, тем более сейчас в большинстве случаев нужен VPN для удалённого доступа и типичные офисы сходят на нет...


20 сен 2020, 18:33
Профиль
Аватара пользователя

Зарегистрирован: 03 апр 2013, 16:21
Сообщения: 1525
VRF, не? Но как всегда вопрос в дизайне.


20 сен 2020, 20:23
Профиль

Зарегистрирован: 01 июл 2019, 10:35
Сообщения: 33
root99 писал(а):
в данном контексте мы и не рассматриваем дизайны магистральных или иных операторов - типичный дизайн для любого энтерпрайза - Firewall IPS, а за ним уже рутер, тем более сейчас в большинстве случаев нужен VPN для удалённого доступа и типичные офисы сходят на нет...

Огромное спасибо за помощь.
Как подойду к реализации - обязательно вернусь)))


21 сен 2020, 07:21
Профиль

Зарегистрирован: 01 июл 2019, 10:35
Сообщения: 33
Bessmertniy писал(а):
VRF, не? Но как всегда вопрос в дизайне.

VRF тоже рассматриваю, только пока не могу до конца понять как это замутить.


21 сен 2020, 07:22
Профиль

Зарегистрирован: 26 сен 2013, 10:29
Сообщения: 422
Я бы терминировал внутренние сети на маршрутизирующем коммутаторе, чтобы интранетовский трафик не попадал на фаерволы в принципе.
Ну то есть по возможности сделать так, чтобы виды трафика не пришлось разделять на самих ферволах.


21 сен 2020, 11:41
Профиль

Зарегистрирован: 01 июл 2019, 10:35
Сообщения: 33
tonve писал(а):
Я бы терминировал внутренние сети на маршрутизирующем коммутаторе, чтобы интранетовский трафик не попадал на фаерволы в принципе.
Ну то есть по возможности сделать так, чтобы виды трафика не пришлось разделять на самих ферволах.

И как тогда защищать периметр и фильтровать внешний трафик?


21 сен 2020, 18:58
Профиль

Зарегистрирован: 01 июл 2019, 10:35
Сообщения: 33
Коллеги, в эту же тему: подскажите преимущества PI-адресов с "белой" AS перед традиционным внешним адресом от провайдера?
Знаю только:
1. резервирование. При падениях одного провайдера - не перестраиваются туннели, не перестраивается NAT - трансляции.
2. Балансировка трафика.


21 сен 2020, 19:01
Профиль

Зарегистрирован: 29 май 2017, 21:19
Сообщения: 1404
PI это всё своё - и не зависите от адресного пространства какого-либо оператора и т.д.

P.S. AS + PI участвующие в глобальном роутинге только белые и бывают....


21 сен 2020, 21:07
Профиль

Зарегистрирован: 01 июл 2019, 10:35
Сообщения: 33
root99 писал(а):
PI это всё своё - и не зависите от адресного пространства какого-либо оператора и т.д.

P.S. AS + PI участвующие в глобальном роутинге только белые и бывают....


Это-то понятно. Интересуют плюсы для Компании при покупке данных адресов.


22 сен 2020, 06:56
Профиль
Аватара пользователя

Зарегистрирован: 03 апр 2013, 16:21
Сообщения: 1525
root99 писал(а):
P.S. AS + PI участвующие в глобальном роутинге только белые и бывают....

Да ну, знаю ряд клиентов которые нормально живет с PA и несколькими апстримами.
Alexandr V Sidorov писал(а):
Интересуют плюсы для Компании при покупке данных адресов.

Плюс в том что адреса свои и никто их не заберет, в случае с PA при отказе от выдавшего адреса апстрима он скорее всего из заберет. Ну и за PA как правило оператор абонплату хочет, а за PI нужно только раз в год небольшую сумму LIR'у за обслуживание платить.


22 сен 2020, 08:18
Профиль

Зарегистрирован: 29 май 2017, 21:19
Сообщения: 1404
только PI сначала нужно купить цены 20-25$ за адрес сейчас, ну и внедрять IPv6, а то потом как снежный ком на голову упадёт и будете судорожно внедрять....


22 сен 2020, 09:10
Профиль

Зарегистрирован: 01 янв 1970, 03:00
Сообщения: 1874
PI блоки не выделяются, если не ошибаюсь, с 2012 года.
https://www.ripe.net/participate/member ... ions/pa-pi
С ipv6 тоже как бы не все так радужно.
https://6lab.cisco.com/stats/index.php?option=all


24 сен 2020, 12:09
Профиль

Зарегистрирован: 29 май 2017, 21:19
Сообщения: 1404
PI блоки покупаются путём трансфера, IPv6 что с ним не так - всё развивается и в том же ЕС уже внедряется всё на государственном уровне, 5G нативно работает в v6


24 сен 2020, 13:07
Профиль
Показать сообщения за:  Поле сортировки  
Ответить на тему   [ Сообщений: 22 ] 

Кто сейчас на конференции

Сейчас этот форум просматривают: нет зарегистрированных пользователей и гости: 75


Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете добавлять вложения

Найти:
Перейти:  
Создано на основе phpBB® Forum Software © phpBB Group
Designed by ST Software for PTF.
Русская поддержка phpBB