Форум программистов, компьютерный форум, киберфорум
Наши страницы
Cisco
Войти
Регистрация
Восстановить пароль
 
 
Рейтинг 4.67/24: Рейтинг темы: голосов - 24, средняя оценка - 4.67
jlevistk
236 / 231 / 8
Регистрация: 05.05.2011
Сообщений: 1,549
1

Как правильно организовать доступ в интернет? Asa + Router?

22.11.2012, 17:52. Просмотров 4688. Ответов 21
Метки нет (Все метки)

Добрый день. Вопрос возник следующий..
Если организовывать локальную сеть правильно, как это должно выглядеть? Я понимаю, что все зависит от нужд предприятия, но все же.Вот выдвинутые требования: средства межсетевого экранирования и средства предотвращения вторжений.
В моем понимании, все это может делать ASA, но роутер например, умеет в отличии от ASA разбирать пакет вплоть до уровня приложений и анализировать трафик уже основываясь на этом. Стоит ли покупать ASA + Router, или же будет достаточно только ASA?

И как это должно выглядеть, при покупке обоих? ASA смотрит лицом в интернет, а роутер за ней или же наоборот?
0
Similar
Эксперт
41792 / 34177 / 6122
Регистрация: 12.04.2006
Сообщений: 57,940
22.11.2012, 17:52
Ответы с готовыми решениями:

Как дать доступ в интернет (cisco asa).
Добрый день, Вопрос по Cisco ASA 55XX. Только сильно не пинайте, новичок. Залил свежий ASDM, IOS...

Cisco ASA и Router. Удаленное администрирование
Привет всем! А подскажите пожалуйста, как правильно настроить удаленный доступ к устройству? Обычно...

Cisco ASA. Как правильно сменить IP?
Добрый день, имеется Cisco ASA на удаленной площадке. Есть необходимость сменить внешний IP, на...

Cisco ASA<->Cisco Router L2L VPN
Добрый день. Столкнулся с проблемой - не поднимается туннель между ASAv4 и R. Между ASAv4 и ASAv5 -...

Как организовать общий доступ в интернет
Привет всем. У меня на работе, где более 100 компьютеров в сети, выход в интернет отсутствует....

21
Jabbson
Эксперт по компьютерным сетям
3445 / 2491 / 776
Регистрация: 03.11.2009
Сообщений: 7,930
Записей в блоге: 3
22.11.2012, 22:46 2
Цитата Сообщение от jlevistk Посмотреть сообщение
В моем понимании, все это может делать ASA, но роутер например, умеет в отличии от ASA разбирать пакет вплоть до уровня приложений и анализировать трафик уже основываясь на этом. Стоит ли покупать ASA + Router, или же будет достаточно только ASA?

И как это должно выглядеть, при покупке обоих? ASA смотрит лицом в интернет, а роутер за ней или же наоборот?
вот Вы сейчас очень Асу обидели)
если позволяет бюджет - лучше оба девайса купить.
Наоборот.
1
jlevistk
236 / 231 / 8
Регистрация: 05.05.2011
Сообщений: 1,549
22.11.2012, 23:18  [ТС] 3
Jabbson,
вот Вы сейчас очень Асу обидели)
Я не специально) вычитал в презентации цисок, что роутеры умеют анализировать пакеты аж до 7го уровня.
И мол с легкостью блокируют скайп на основе этого анализа. А про АСА такой информации не нашел. Если поделитесь ссылочкой буду рад)) вы говорили про маркирование трафика или дроп его в роутере, для этих нужд.

Я на самом деле не представляю как организовать сеть используя эти устройства в связке. Можете посоветовать как вы бы разделили между ними обязанности? Я планировал на Асе поделить сеть на инсайд, аутсайд и Дмз. Так же в планах было держать с ее помощью сайт ту сайт впн. Далее , сделать фильтрацию доступа к интернет контенту на основе регулярных выражений(возможно предварительно синхронизировав АСА с АД). И в перспективе настроить ИПС. А чем я роутер смогу занять, если на Асе будет все это? не могли бы пример привести?

Ну, бюджет дело такое.. Главное обосновать нужды)

А, вот, я бы на роутере нс сервер возможно сделал, для своей зоны )
0
Jabbson
Эксперт по компьютерным сетям
3445 / 2491 / 776
Регистрация: 03.11.2009
Сообщений: 7,930
Записей в блоге: 3
23.11.2012, 01:00 4
причин ставить роутер сразу после интернета, а только потом стену несколько (только на роутере можно сделать BGP, балансировку, всякие DMVPN и иже с ними, и список можно продолжать)... А устройство сетевой безопасности должно организовывать безопасность. Для меня резон всегда такой - каждое устройство должно заниматься своим делом - маршрутизатор маршрутизирует, фаервол фаерволит и т.д., ибо роутер никогда так хорошо не проинспектит пакет, а аса не смаршрутизирует так быстро. Если затраты не оправдываются нуждами бизнеса, то вполне можно обойтись и IOS firewall, IOS IPS и т.д., но я сторонник эшелонной защиты, плюс полистайте дизайн гайд по безопасности - всегда будет ИНТЕРНЕТ - РОУТЕР - ФАЕРВОЛ - ЛОКАЛЬ.
1
jlevistk
236 / 231 / 8
Регистрация: 05.05.2011
Сообщений: 1,549
23.11.2012, 10:03  [ТС] 5
4 бранча(20 people) * asa 5505 -> internet < - cisco router 2911(dmvpn whith branches) <- asa 5512x IPS <-LAN(180 people)


Типа того?)
0
Jabbson
Эксперт по компьютерным сетям
3445 / 2491 / 776
Регистрация: 03.11.2009
Сообщений: 7,930
Записей в блоге: 3
23.11.2012, 10:31 6
Аса не терминимует DMVPN.
1
jlevistk
236 / 231 / 8
Регистрация: 05.05.2011
Сообщений: 1,549
23.11.2012, 10:35  [ТС] 7
Jabbson, в том смысле, что с 5505 роутер не сможет держать связь?
0
Jabbson
Эксперт по компьютерным сетям
3445 / 2491 / 776
Регистрация: 03.11.2009
Сообщений: 7,930
Записей в блоге: 3
23.11.2012, 10:38 8
В смысле, что 5505 фаервол не умеет DMVPN
1
jlevistk
236 / 231 / 8
Регистрация: 05.05.2011
Сообщений: 1,549
23.11.2012, 10:54  [ТС] 9
А аса в этом случае как правило устанавливается прозрачной?
0
Jabbson
Эксперт по компьютерным сетям
3445 / 2491 / 776
Регистрация: 03.11.2009
Сообщений: 7,930
Записей в блоге: 3
23.11.2012, 11:40 10
Нет, прозрачная аса на периметре не сделает много полезного. Точно также выносить роутер на бордер.
0
jlevistk
236 / 231 / 8
Регистрация: 05.05.2011
Сообщений: 1,549
23.11.2012, 12:51  [ТС] 11
Информация BGP у меня в голове что-то не очень на курсе CCNA отложилась, почему то только RIP, EIGRP и OSPF осели в голове(
Но если брать определение:
Border Gateway Protocol (BGP), описанный в RFC 1771, предназначен для маршрутизации между автономными системами. Этот протокол включает в себя защиту от "зацикливания". Автономная система [AS] - это набор роутеров, которые работают под управлением одного администратора, или одной группы администраторов, и используют общую стратегию маршрутизации. BGP часто используется в сетях между ISP (Inetrnet Service Providers).
То его использование желательно при наличии хотя бы второго роутера в моих руках..)

Балансировка нужна при подключении к двум провайдерам.. я правильно понимаю?

А что еще полезного от роутера можно подцепить для решения поставленной задачи? Можете подсказать?)
По сути все это решает ASA..
0
Jabbson
Эксперт по компьютерным сетям
3445 / 2491 / 776
Регистрация: 03.11.2009
Сообщений: 7,930
Записей в блоге: 3
23.11.2012, 12:54 12
Если все ваши задачи решает АСА - берите АСУ, зачем придумывать что Вам может понадобиться, чтобы купить что-то, что Вам не нужно?..
1
jlevistk
236 / 231 / 8
Регистрация: 05.05.2011
Сообщений: 1,549
23.11.2012, 13:25  [ТС] 13
Цитата Сообщение от Jabbson Посмотреть сообщение
зачем придумывать что Вам может понадобиться, чтобы купить что-то, что Вам не нужно?
Вот я и думаю... чего городить огород?

В идеале - купить 2 АСА, чтобы если с одной что-то случиться, её подхватила другая. Да?
А если покупать 2 АСА, то и лицензии на IPS нужно две? Вторая не сможет с неё файлик брать?
0
Jabbson
Эксперт по компьютерным сетям
3445 / 2491 / 776
Регистрация: 03.11.2009
Сообщений: 7,930
Записей в блоге: 3
23.11.2012, 13:34 14
Цитата Сообщение от jlevistk Посмотреть сообщение
А если покупать 2 АСА, то и лицензии на IPS нужно две?
да, две, IPS в фэйловере не работают - это будет просто два IPS с отдельными (хоть и одинаковыми) наборами правил.
1
jlevistk
236 / 231 / 8
Регистрация: 05.05.2011
Сообщений: 1,549
23.11.2012, 13:41  [ТС] 15
Цитата Сообщение от Jabbson Посмотреть сообщение
IPS в фэйловере не работают
Но в теории, если IPS на одной АСЕ пропустит,то и на второй тоже пропустит?

А я еще вычитал, что в фэйловере я не смогу сделать Site-to-Site IPSec VPN. Это так?
0
Jabbson
Эксперт по компьютерным сетям
3445 / 2491 / 776
Регистрация: 03.11.2009
Сообщений: 7,930
Записей в блоге: 3
23.11.2012, 13:51 16
Цитата Сообщение от jlevistk Посмотреть сообщение
А я еще вычитал, что в фэйловере я не смогу сделать Site-to-Site IPSec VPN. Это так?
не совсем так, не сможете сделать Site-to-Site IPSec VPN только в режиме фэйловера active/active, в active/standby - сможете.
1
jlevistk
236 / 231 / 8
Регистрация: 05.05.2011
Сообщений: 1,549
23.11.2012, 13:57  [ТС] 17
Цитата Сообщение от Jabbson Посмотреть сообщение
active/standby
Одна работает - другая ждет?)
0
Jabbson
Эксперт по компьютерным сетям
3445 / 2491 / 776
Регистрация: 03.11.2009
Сообщений: 7,930
Записей в блоге: 3
23.11.2012, 14:00 18
Цитата Сообщение от jlevistk Посмотреть сообщение
Одна работает - другая ждет?)
не, ждет - это как будто она сидит балду пинает, скажем так, - "одна работает, другая - на подхвате"
1
jlevistk
236 / 231 / 8
Регистрация: 05.05.2011
Сообщений: 1,549
23.11.2012, 14:06  [ТС] 19
Понятно.. вроде просветы появились как правильно стоит все организовать)

Мне кажется, что для 180 человек + бранчи, хватит Cisco ASA 5512-X, если откажутся от IPS.
Если использовать IPS, то понадобится уже Cisco ASA 5515-X.. В теории) они мощные нынче пошли..

Я прикинул.. правильнее ведь создать список сайтов(штук 100) который будет соответствовать корпоративным стандартам, а к остальному не пускать. Это снизит по идее нагрузку на проц, если пытаться запрещать все по очереди. А регулярные выражения сильно проц грузят?

Чувствую надо либо английский подтягивать, либо идти на русскоязычный курс Firewall..)
0
Jabbson
Эксперт по компьютерным сетям
3445 / 2491 / 776
Регистрация: 03.11.2009
Сообщений: 7,930
Записей в блоге: 3
23.11.2012, 14:54 20
Не загрузите Вы 180ю человеками и регулярками даже 5512)
Хотя если постараться - возможно все. Все зависит от необходимой пропускной.
1
23.11.2012, 14:54
MoreAnswers
Эксперт
37091 / 29110 / 5898
Регистрация: 17.06.2006
Сообщений: 43,301
23.11.2012, 14:54

Как правильно организовать хранение заказов в интернет-магазине
При разработке интернет-магазина пришел к такому вопросу: есть база товаров. Условно назовем их...

Как организовать доступ к БД?
Всем доброго времени суток! Описание: Было приложение на C# и работающее с базой данных MySQL...

Router tl-wr841n доступ к интернету из внешней сети
Здравствуйте. Имеется роутер фирмыTP-link tl-wr841n и мне интересно можно ли настроить доступ к...


Искать еще темы с ответами

Или воспользуйтесь поиском по форуму:
20
Ответ Создать тему
Опции темы

КиберФорум - форум программистов, компьютерный форум, программирование
Powered by vBulletin® Version 3.8.9
Copyright ©2000 - 2019, vBulletin Solutions, Inc.
Рейтинг@Mail.ru