Как правильно организовать доступ в интернет? Asa + Router?

@jlevistk · Регистрация: 05.05.2011

Author24 — интернет-сервис помощи студентам

Добрый день. Вопрос возник следующий..
Если организовывать локальную сеть правильно, как это должно выглядеть? Я понимаю, что все зависит от нужд предприятия, но все же.Вот выдвинутые требования: средства межсетевого экранирования и средства предотвращения вторжений.
В моем понимании, все это может делать ASA, но роутер например, умеет в отличии от ASA разбирать пакет вплоть до уровня приложений и анализировать трафик уже основываясь на этом. Стоит ли покупать ASA + Router, или же будет достаточно только ASA?

И как это должно выглядеть, при покупке обоих? ASA смотрит лицом в интернет, а роутер за ней или же наоборот?

Jabbson · 22.11.2012, 22:46

Сообщение от jlevistk

В моем понимании, все это может делать ASA, но роутер например, умеет в отличии от ASA разбирать пакет вплоть до уровня приложений и анализировать трафик уже основываясь на этом. Стоит ли покупать ASA + Router, или же будет достаточно только ASA?

И как это должно выглядеть, при покупке обоих? ASA смотрит лицом в интернет, а роутер за ней или же наоборот?

вот Вы сейчас очень Асу обидели)
если позволяет бюджет - лучше оба девайса купить.
Наоборот.

@jlevistk · 22.11.2012, 23:18 **[ТС]**

Jabbson,

вот Вы сейчас очень Асу обидели)

Я не специально) вычитал в презентации цисок, что роутеры умеют анализировать пакеты аж до 7го уровня.
И мол с легкостью блокируют скайп на основе этого анализа. А про АСА такой информации не нашел. Если поделитесь ссылочкой буду рад)) вы говорили про маркирование трафика или дроп его в роутере, для этих нужд.

Я на самом деле не представляю как организовать сеть используя эти устройства в связке. Можете посоветовать как вы бы разделили между ними обязанности? Я планировал на Асе поделить сеть на инсайд, аутсайд и Дмз. Так же в планах было держать с ее помощью сайт ту сайт впн. Далее , сделать фильтрацию доступа к интернет контенту на основе регулярных выражений(возможно предварительно синхронизировав АСА с АД). И в перспективе настроить ИПС. А чем я роутер смогу занять, если на Асе будет все это? не могли бы пример привести?

Ну, бюджет дело такое.. Главное обосновать нужды)

А, вот, я бы на роутере нс сервер возможно сделал, для своей зоны )

Jabbson · 23.11.2012, 01:00

причин ставить роутер сразу после интернета, а только потом стену несколько (только на роутере можно сделать BGP, балансировку, всякие DMVPN и иже с ними, и список можно продолжать)... А устройство сетевой безопасности должно организовывать безопасность. Для меня резон всегда такой - каждое устройство должно заниматься своим делом - маршрутизатор маршрутизирует, фаервол фаерволит и т.д., ибо роутер никогда так хорошо не проинспектит пакет, а аса не смаршрутизирует так быстро. Если затраты не оправдываются нуждами бизнеса, то вполне можно обойтись и IOS firewall, IOS IPS и т.д., но я сторонник эшелонной защиты, плюс полистайте дизайн гайд по безопасности - всегда будет ИНТЕРНЕТ - РОУТЕР - ФАЕРВОЛ - ЛОКАЛЬ.

@jlevistk · 23.11.2012, 10:03 **[ТС]**

4 бранча(20 people) * asa 5505 -> internet < - cisco router 2911(dmvpn whith branches) <- asa 5512x IPS <-LAN(180 people)

Типа того?)

Jabbson · 23.11.2012, 10:31

Аса не терминимует DMVPN.

@jlevistk · 23.11.2012, 10:35 **[ТС]**

Jabbson, в том смысле, что с 5505 роутер не сможет держать связь?

Jabbson · 23.11.2012, 10:38

В смысле, что 5505 фаервол не умеет DMVPN

@jlevistk · 23.11.2012, 10:54 **[ТС]**

А аса в этом случае как правило устанавливается прозрачной?

Jabbson · 23.11.2012, 11:40

Нет, прозрачная аса на периметре не сделает много полезного. Точно также выносить роутер на бордер.

@jlevistk · 23.11.2012, 12:51 **[ТС]**

Информация BGP у меня в голове что-то не очень на курсе CCNA отложилась, почему то только RIP, EIGRP и OSPF осели в голове(
Но если брать определение:

Border Gateway Protocol (BGP), описанный в RFC 1771, предназначен для маршрутизации между автономными системами. Этот протокол включает в себя защиту от "зацикливания". Автономная система [AS] - это набор роутеров, которые работают под управлением одного администратора, или одной группы администраторов, и используют общую стратегию маршрутизации. BGP часто используется в сетях между ISP (Inetrnet Service Providers).

То его использование желательно при наличии хотя бы второго роутера в моих руках..)

Балансировка нужна при подключении к двум провайдерам.. я правильно понимаю?

А что еще полезного от роутера можно подцепить для решения поставленной задачи? Можете подсказать?)
По сути все это решает ASA..

Jabbson · 23.11.2012, 12:54

Если все ваши задачи решает АСА - берите АСУ, зачем придумывать что Вам может понадобиться, чтобы купить что-то, что Вам не нужно?..

@jlevistk · 23.11.2012, 13:25 **[ТС]**

Сообщение от Jabbson

зачем придумывать что Вам может понадобиться, чтобы купить что-то, что Вам не нужно?

Вот я и думаю... чего городить огород?

В идеале - купить 2 АСА, чтобы если с одной что-то случиться, её подхватила другая. Да?
А если покупать 2 АСА, то и лицензии на IPS нужно две? Вторая не сможет с неё файлик брать?

Jabbson · 23.11.2012, 13:34

Сообщение от jlevistk

А если покупать 2 АСА, то и лицензии на IPS нужно две?

да, две, IPS в фэйловере не работают - это будет просто два IPS с отдельными (хоть и одинаковыми) наборами правил.

@jlevistk · 23.11.2012, 13:41 **[ТС]**

Сообщение от Jabbson

IPS в фэйловере не работают

Но в теории, если IPS на одной АСЕ пропустит,то и на второй тоже пропустит?

А я еще вычитал, что в фэйловере я не смогу сделать Site-to-Site IPSec VPN. Это так?

Jabbson · 23.11.2012, 13:51

Сообщение от jlevistk

А я еще вычитал, что в фэйловере я не смогу сделать Site-to-Site IPSec VPN. Это так?

не совсем так, не сможете сделать Site-to-Site IPSec VPN только в режиме фэйловера active/active, в active/standby - сможете.

@jlevistk · 23.11.2012, 13:57 **[ТС]**

Сообщение от Jabbson

active/standby

Одна работает - другая ждет?)

Jabbson · 23.11.2012, 14:00

Сообщение от jlevistk

Одна работает - другая ждет?)

не, ждет - это как будто она сидит балду пинает, скажем так, - "одна работает, другая - на подхвате"

@jlevistk · 23.11.2012, 14:06 **[ТС]**

Понятно.. вроде просветы появились как правильно стоит все организовать)

Мне кажется, что для 180 человек + бранчи, хватит Cisco ASA 5512-X, если откажутся от IPS.
Если использовать IPS, то понадобится уже Cisco ASA 5515-X.. В теории) они мощные нынче пошли..

Я прикинул.. правильнее ведь создать список сайтов(штук 100) который будет соответствовать корпоративным стандартам, а к остальному не пускать. Это снизит по идее нагрузку на проц, если пытаться запрещать все по очереди. А регулярные выражения сильно проц грузят?

Чувствую надо либо английский подтягивать, либо идти на русскоязычный курс Firewall..)

Jabbson · 23.11.2012, 14:54

Не загрузите Вы 180ю человеками и регулярками даже 5512)
Хотя если постараться - возможно все. Все зависит от необходимой пропускной.

Jabbson 5898 / 3355 / 1035 Регистрация: 03.11.2009 Сообщений: 10,003
	23.11.2012, 13:51	16
	Сообщение от jlevistk А я еще вычитал, что в фэйловере я не смогу сделать Site-to-Site IPSec VPN. Это так? не совсем так, не сможете сделать Site-to-Site IPSec VPN только в режиме фэйловера active/active, в active/standby - сможете. 1

@jlevistk 239 / 234 / 8 Регистрация: 05.05.2011 Сообщений: 1,553
	23.11.2012, 14:06 [ТС]	19
	Понятно.. вроде просветы появились как правильно стоит все организовать) Мне кажется, что для 180 человек + бранчи, хватит Cisco ASA 5512-X, если откажутся от IPS. Если использовать IPS, то понадобится уже Cisco ASA 5515-X.. В теории) они мощные нынче пошли.. Я прикинул.. правильнее ведь создать список сайтов(штук 100) который будет соответствовать корпоративным стандартам, а к остальному не пускать. Это снизит по идее нагрузку на проц, если пытаться запрещать все по очереди. А регулярные выражения сильно проц грузят? Чувствую надо либо английский подтягивать, либо идти на русскоязычный курс Firewall..) 0

Jabbson 5898 / 3355 / 1035 Регистрация: 03.11.2009 Сообщений: 10,003
	22.11.2012, 22:46	2
	Сообщение от jlevistk В моем понимании, все это может делать ASA, но роутер например, умеет в отличии от ASA разбирать пакет вплоть до уровня приложений и анализировать трафик уже основываясь на этом. Стоит ли покупать ASA + Router, или же будет достаточно только ASA? И как это должно выглядеть, при покупке обоих? ASA смотрит лицом в интернет, а роутер за ней или же наоборот? вот Вы сейчас очень Асу обидели) если позволяет бюджет - лучше оба девайса купить. Наоборот. 1

@jlevistk 239 / 234 / 8 Регистрация: 05.05.2011 Сообщений: 1,553
	22.11.2012, 23:18 [ТС]	3
	Jabbson, вот Вы сейчас очень Асу обидели) Я не специально) вычитал в презентации цисок, что роутеры умеют анализировать пакеты аж до 7го уровня. И мол с легкостью блокируют скайп на основе этого анализа. А про АСА такой информации не нашел. Если поделитесь ссылочкой буду рад)) вы говорили про маркирование трафика или дроп его в роутере, для этих нужд. Я на самом деле не представляю как организовать сеть используя эти устройства в связке. Можете посоветовать как вы бы разделили между ними обязанности? Я планировал на Асе поделить сеть на инсайд, аутсайд и Дмз. Так же в планах было держать с ее помощью сайт ту сайт впн. Далее , сделать фильтрацию доступа к интернет контенту на основе регулярных выражений(возможно предварительно синхронизировав АСА с АД). И в перспективе настроить ИПС. А чем я роутер смогу занять, если на Асе будет все это? не могли бы пример привести? Ну, бюджет дело такое.. Главное обосновать нужды) А, вот, я бы на роутере нс сервер возможно сделал, для своей зоны ) 0

Jabbson 5898 / 3355 / 1035 Регистрация: 03.11.2009 Сообщений: 10,003
	23.11.2012, 01:00	4
	причин ставить роутер сразу после интернета, а только потом стену несколько (только на роутере можно сделать BGP, балансировку, всякие DMVPN и иже с ними, и список можно продолжать)... А устройство сетевой безопасности должно организовывать безопасность. Для меня резон всегда такой - каждое устройство должно заниматься своим делом - маршрутизатор маршрутизирует, фаервол фаерволит и т.д., ибо роутер никогда так хорошо не проинспектит пакет, а аса не смаршрутизирует так быстро. Если затраты не оправдываются нуждами бизнеса, то вполне можно обойтись и IOS firewall, IOS IPS и т.д., но я сторонник эшелонной защиты, плюс полистайте дизайн гайд по безопасности - всегда будет ИНТЕРНЕТ - РОУТЕР - ФАЕРВОЛ - ЛОКАЛЬ. 1

@jlevistk 239 / 234 / 8 Регистрация: 05.05.2011 Сообщений: 1,553
	23.11.2012, 10:03 [ТС]	5
	4 бранча(20 people) * asa 5505 -> internet < - cisco router 2911(dmvpn whith branches) <- asa 5512x IPS <-LAN(180 people) Типа того?) 0

Jabbson 5898 / 3355 / 1035 Регистрация: 03.11.2009 Сообщений: 10,003
	23.11.2012, 10:31	6
	Аса не терминимует DMVPN. 1

@jlevistk 239 / 234 / 8 Регистрация: 05.05.2011 Сообщений: 1,553
	23.11.2012, 10:35 [ТС]	7
	Jabbson, в том смысле, что с 5505 роутер не сможет держать связь? 0

Jabbson 5898 / 3355 / 1035 Регистрация: 03.11.2009 Сообщений: 10,003
	23.11.2012, 10:38	8
	В смысле, что 5505 фаервол не умеет DMVPN 1

@jlevistk 239 / 234 / 8 Регистрация: 05.05.2011 Сообщений: 1,553
	23.11.2012, 10:54 [ТС]	9
	А аса в этом случае как правило устанавливается прозрачной? 0

Jabbson 5898 / 3355 / 1035 Регистрация: 03.11.2009 Сообщений: 10,003
	23.11.2012, 11:40	10
	Нет, прозрачная аса на периметре не сделает много полезного. Точно также выносить роутер на бордер. 0

@jlevistk 239 / 234 / 8 Регистрация: 05.05.2011 Сообщений: 1,553
	23.11.2012, 12:51 [ТС]	11
	Информация BGP у меня в голове что-то не очень на курсе CCNA отложилась, почему то только RIP, EIGRP и OSPF осели в голове( Но если брать определение: Border Gateway Protocol (BGP), описанный в RFC 1771, предназначен для маршрутизации между автономными системами. Этот протокол включает в себя защиту от "зацикливания". Автономная система [AS] - это набор роутеров, которые работают под управлением одного администратора, или одной группы администраторов, и используют общую стратегию маршрутизации. BGP часто используется в сетях между ISP (Inetrnet Service Providers). То его использование желательно при наличии хотя бы второго роутера в моих руках..) Балансировка нужна при подключении к двум провайдерам.. я правильно понимаю? А что еще полезного от роутера можно подцепить для решения поставленной задачи? Можете подсказать?) По сути все это решает ASA.. 0

	23.11.2012, 14:54

Jabbson 5898 / 3355 / 1035 Регистрация: 03.11.2009 Сообщений: 10,003
	23.11.2012, 12:54	12
	Если все ваши задачи решает АСА - берите АСУ, зачем придумывать что Вам может понадобиться, чтобы купить что-то, что Вам не нужно?.. 1

@jlevistk 239 / 234 / 8 Регистрация: 05.05.2011 Сообщений: 1,553
	23.11.2012, 13:25 [ТС]	13
	Сообщение от Jabbson зачем придумывать что Вам может понадобиться, чтобы купить что-то, что Вам не нужно? Вот я и думаю... чего городить огород? В идеале - купить 2 АСА, чтобы если с одной что-то случиться, её подхватила другая. Да? А если покупать 2 АСА, то и лицензии на IPS нужно две? Вторая не сможет с неё файлик брать? 0

Jabbson 5898 / 3355 / 1035 Регистрация: 03.11.2009 Сообщений: 10,003
	23.11.2012, 13:34	14
	Сообщение от jlevistk А если покупать 2 АСА, то и лицензии на IPS нужно две? да, две, IPS в фэйловере не работают - это будет просто два IPS с отдельными (хоть и одинаковыми) наборами правил. 1

@jlevistk 239 / 234 / 8 Регистрация: 05.05.2011 Сообщений: 1,553
	23.11.2012, 13:41 [ТС]	15
	Сообщение от Jabbson IPS в фэйловере не работают Но в теории, если IPS на одной АСЕ пропустит,то и на второй тоже пропустит? А я еще вычитал, что в фэйловере я не смогу сделать Site-to-Site IPSec VPN. Это так? 0

@jlevistk 239 / 234 / 8 Регистрация: 05.05.2011 Сообщений: 1,553
	23.11.2012, 13:57 [ТС]	17
	Сообщение от Jabbson active/standby Одна работает - другая ждет?) 0

Jabbson 5898 / 3355 / 1035 Регистрация: 03.11.2009 Сообщений: 10,003
	23.11.2012, 14:00	18
	Сообщение от jlevistk Одна работает - другая ждет?) не, ждет - это как будто она сидит балду пинает, скажем так, - "одна работает, другая - на подхвате" 1