|
|
Страница 1 из 1
|
[ Сообщений: 17 ] |
|
Перенос ACL с роутера на Cisco ASA
Автор |
Сообщение |
kosten_kz
Зарегистрирован: 29 май 2013, 12:50 Сообщения: 4
|
Есть ядровой роутер на котором жили ACL, сейчас нужно их мигрировать на новенькую Cisco ASA. Вопрос, строку данного вида можно пропустить? если нет, то какой вид она примет на АСе permit tcp host 192.168.123.1 host 192.168.0.123 established
|
29 май 2013, 13:13 |
|
|
imperorr
Зарегистрирован: 01 янв 1970, 03:00 Сообщения: 4519
|
О_О читаем CCNP Secure & CCNP Firewall & CCNP IPS.....
Имхо просто непонимание, что есть что.
|
29 май 2013, 13:27 |
|
|
Fedia
Супермодератор
Зарегистрирован: 01 окт 2008, 12:24 Сообщения: 4434
|
Напрямую мигрировать нельзя.
Надо понять, что должно ходить. Установленные соединения (обратные пакеты по ним) АСА пропустит сама.
В любом случае не рекомендую вот так сломя голову конфиги переливать
|
29 май 2013, 14:10 |
|
|
kosten_kz
Зарегистрирован: 29 май 2013, 12:50 Сообщения: 4
|
Fedia писал(а): Напрямую мигрировать нельзя.
Надо понять, что должно ходить. Установленные соединения (обратные пакеты по ним) АСА пропустит сама.
В любом случае не рекомендую вот так сломя голову конфиги переливать Перенос делаю не прямым копированием это ip access-list extended ACL_NAME permit tcp host 192.168.123.1 host 192.168.0.123 превращается в access-list ACL_NAME extended permit tcp host 192.168.123.1 host 192.168.0.123 В свою очередь строка в ACL permit tcp host 192.168.123.1 host 192.168.0.123 established нужна для разрешения обратной сесси, а АСА вроде как делает это по-умолчанию
|
29 май 2013, 14:18 |
|
|
imperorr
Зарегистрирован: 01 янв 1970, 03:00 Сообщения: 4519
|
established - флаг ACK, никакой речи о сессии быть не может. Не обратной, сессия одна. ASA это брандмауэр. Для того, чтобы понять как работает, я привел выше литературу.
|
29 май 2013, 14:23 |
|
|
ntv83
Зарегистрирован: 10 июл 2012, 15:37 Сообщения: 200
|
Цитата: превращается в access-list ACL_NAME extended permit tcp host 192.168.123.1 host 192.168.0.123 Превращается в дыру, которую можно использовать Fedia уже все написал imperorrЗачем IPS и Secure? Imho, достаточно CCNA Sec + Firewall
|
29 май 2013, 22:58 |
|
|
imperorr
Зарегистрирован: 01 янв 1970, 03:00 Сообщения: 4519
|
Человек работал с маршрутизаторами, вдруг ASA, он ведь не знает, что она умеет
|
30 май 2013, 08:32 |
|
|
kosten_kz
Зарегистрирован: 29 май 2013, 12:50 Сообщения: 4
|
imperorr писал(а): Человек работал с маршрутизаторами, вдруг ASA, он ведь не знает, что она умеет Тут вы правы, к сожалению времени нет прочитать указанную литературу, сейчас стоит задача мигрировать ACL с минимальными изменениями, ACL очень объемные и нужно их перенести пока роутер еще жив, что бы не остаться совсем без фильтров.
|
30 май 2013, 09:28 |
|
|
imperorr
Зарегистрирован: 01 янв 1970, 03:00 Сообщения: 4519
|
На ASA по дефолту запрещено все, для добавления используй ASDM, добавь критичное, остальное добавишь потом. Добавлять только на in и стой стороны, с которой инициируется сессия. Для UDP подобных протоколов включаются инспекции. В ASA можно смотреть почему, что-то не работает с помощью реал-тайм логирования (через ASDM). Начни с меньшего, остальное потом
|
30 май 2013, 10:17 |
|
|
Nikolay_
Зарегистрирован: 01 янв 1970, 03:00 Сообщения: 1874
|
kosten_kz писал(а): Тут вы правы, к сожалению времени нет прочитать указанную литературу, сейчас стоит задача мигрировать ACL с минимальными изменениями, ACL очень объемные и нужно их перенести пока роутер еще жив, что бы не остаться совсем без фильтров. Если Вы раньше не имели дела с ASA, и нет времени читать, то, возможно, лучше Вам найти компетентного человека. который поможет Вам максимально безболезненно перенести конфигурацию. Иначе с большой вероятностью закончится остановкой работы сети. Тут люди с PIX на ASA переходят - и то есть проблемы. Я, скажем так, не всегда согласен с imperorr , но в данном случае не могу не согласиться. CCNP Firewall обязательно стоило бы прочитать хотя бы основы сначала...
|
30 май 2013, 11:24 |
|
|
imperorr
Зарегистрирован: 01 янв 1970, 03:00 Сообщения: 4519
|
Nikolay_ ты всегда со мной согласен, просто не всегда это понимаешь))
|
30 май 2013, 11:51 |
|
|
ntv83
Зарегистрирован: 10 июл 2012, 15:37 Сообщения: 200
|
Цитата: На ASA по дефолту запрещено все Не соглашусь, но понимаю
|
30 май 2013, 14:38 |
|
|
imperorr
Зарегистрирован: 01 янв 1970, 03:00 Сообщения: 4519
|
А чего не соглашаться) добавь любое правило и увидишь Зачем грузить человека про поведение ASA без ACL?) Кстати какая версия ASA? Будет ли на ней NAP/IPSec? NAT на ASA не такой как на маршрутизаторе, для того чтобы с включеным NAT не натить определенный трафик, нужно написать правило (конструкция зависит от версии [8.0/8.1/8.3]).
|
30 май 2013, 16:01 |
|
|
kosten_kz
Зарегистрирован: 29 май 2013, 12:50 Сообщения: 4
|
imperorr писал(а): А чего не соглашаться) добавь любое правило и увидишь Зачем грузить человека про поведение ASA без ACL?) Кстати какая версия ASA? Будет ли на ней NAP/IPSec? NAT на ASA не такой как на маршрутизаторе, для того чтобы с включеным NAT не натить определенный трафик, нужно написать правило (конструкция зависит от версии [8.0/8.1/8.3]). NAT не предвидится, все туннели через ФПСУ, две ASA 5520 в failover режиме, софт 8.4 ASA будет фильтровать весь трафик который будет уходить в VPN тунели
|
30 май 2013, 17:44 |
|
|
ntv83
Зарегистрирован: 10 июл 2012, 15:37 Сообщения: 200
|
Цитата: А чего не соглашаться) добавь любое правило и увидишь Зачем грузить человека про поведение ASA без ACL?) По-дефолту, на асе уже есть правила) Imho, если это понять, то это здорово упростить в дальнейшем жизнь Цитата: ASA будет фильтровать весь трафик который будет уходить в VPN тунел В этом случае на outside вообще не нужны листы, только на inside (и то, только для того, чтобы в туннелях не было ничего лишнего). По-умолчанию, трафик в туннелях не проверяется на ACL, но это можно исправить.
|
30 май 2013, 18:15 |
|
|
imperorr
Зарегистрирован: 01 янв 1970, 03:00 Сообщения: 4519
|
По дефолту правила есть но поведение зависит от security-level.
Добавляя ACL мы отменяем действие относительно security-level.
|
31 май 2013, 08:32 |
|
|
Fedia
Супермодератор
Зарегистрирован: 01 окт 2008, 12:24 Сообщения: 4434
|
Ох, запутали вы человека...
Чтобы не читать все подряд про CCNP Firewall, рекомендую прочитать несколько первых статей в блоге про ASA (я писал). Там про security-level и про ACL есть.
Вкратце: по умолчанию "наружу" (т.е. с интерфейса с бОльшим security level в сторону меньшего) весь трафик по умолчанию разрешен. В обратную сторону разрешены лишь ответы по установленным сессиям. АСАшка при помощи ACL проверят только ПЕРВЫЙ пакет в сессии (в отличие от рутера). Если он разрешен - создается запись сессии (поглядеть можно в sh conn). Если сессия установлена, то более ACLне проверяется.
Таким образом, то что мы вешаем на "выход" (т.е. с большего на меньший sec level) играет ЗАПРЕТИТЕЛЬНУЮ роль, а в обратном направлении - РАЗРЕШИТЕЛЬНУЮ (было нельзя ничего, а теперь можно что-то инициировать снаружи внутрь).
|
31 май 2013, 09:58 |
|
|
|
Страница 1 из 1
|
[ Сообщений: 17 ] |
|
Кто сейчас на конференции |
Сейчас этот форум просматривают: нет зарегистрированных пользователей и гости: 34 |
|
Вы не можете начинать темы Вы не можете отвечать на сообщения Вы не можете редактировать свои сообщения Вы не можете удалять свои сообщения Вы не можете добавлять вложения
|
|
|