239 / 234 / 8
Регистрация: 05.05.2011
Сообщений: 1,553
|
|
1 | |
Как правильно организовать доступ в интернет? Asa + Router?22.11.2012, 17:52. Показов 7268. Ответов 21
Метки нет (Все метки)
Добрый день. Вопрос возник следующий..
Если организовывать локальную сеть правильно, как это должно выглядеть? Я понимаю, что все зависит от нужд предприятия, но все же.Вот выдвинутые требования: средства межсетевого экранирования и средства предотвращения вторжений. В моем понимании, все это может делать ASA, но роутер например, умеет в отличии от ASA разбирать пакет вплоть до уровня приложений и анализировать трафик уже основываясь на этом. Стоит ли покупать ASA + Router, или же будет достаточно только ASA? И как это должно выглядеть, при покупке обоих? ASA смотрит лицом в интернет, а роутер за ней или же наоборот?
0
|
22.11.2012, 17:52 | |
Ответы с готовыми решениями:
21
Как дать доступ в интернет (cisco asa). Как организовать общий доступ в интернет Как правильно организовать хранение заказов в интернет-магазине VPN ASA ROUTER |
239 / 234 / 8
Регистрация: 05.05.2011
Сообщений: 1,553
|
|
22.11.2012, 23:18 [ТС] | 3 |
Jabbson,
И мол с легкостью блокируют скайп на основе этого анализа. А про АСА такой информации не нашел. Если поделитесь ссылочкой буду рад)) вы говорили про маркирование трафика или дроп его в роутере, для этих нужд. Я на самом деле не представляю как организовать сеть используя эти устройства в связке. Можете посоветовать как вы бы разделили между ними обязанности? Я планировал на Асе поделить сеть на инсайд, аутсайд и Дмз. Так же в планах было держать с ее помощью сайт ту сайт впн. Далее , сделать фильтрацию доступа к интернет контенту на основе регулярных выражений(возможно предварительно синхронизировав АСА с АД). И в перспективе настроить ИПС. А чем я роутер смогу занять, если на Асе будет все это? не могли бы пример привести? Ну, бюджет дело такое.. Главное обосновать нужды) А, вот, я бы на роутере нс сервер возможно сделал, для своей зоны )
0
|
5898 / 3355 / 1035
Регистрация: 03.11.2009
Сообщений: 10,003
|
|
23.11.2012, 01:00 | 4 |
причин ставить роутер сразу после интернета, а только потом стену несколько (только на роутере можно сделать BGP, балансировку, всякие DMVPN и иже с ними, и список можно продолжать)... А устройство сетевой безопасности должно организовывать безопасность. Для меня резон всегда такой - каждое устройство должно заниматься своим делом - маршрутизатор маршрутизирует, фаервол фаерволит и т.д., ибо роутер никогда так хорошо не проинспектит пакет, а аса не смаршрутизирует так быстро. Если затраты не оправдываются нуждами бизнеса, то вполне можно обойтись и IOS firewall, IOS IPS и т.д., но я сторонник эшелонной защиты, плюс полистайте дизайн гайд по безопасности - всегда будет ИНТЕРНЕТ - РОУТЕР - ФАЕРВОЛ - ЛОКАЛЬ.
1
|
239 / 234 / 8
Регистрация: 05.05.2011
Сообщений: 1,553
|
|
23.11.2012, 10:03 [ТС] | 5 |
4 бранча(20 people) * asa 5505 -> internet < - cisco router 2911(dmvpn whith branches) <- asa 5512x IPS <-LAN(180 people)
Типа того?)
0
|
239 / 234 / 8
Регистрация: 05.05.2011
Сообщений: 1,553
|
|
23.11.2012, 10:35 [ТС] | 7 |
Jabbson, в том смысле, что с 5505 роутер не сможет держать связь?
0
|
239 / 234 / 8
Регистрация: 05.05.2011
Сообщений: 1,553
|
|
23.11.2012, 10:54 [ТС] | 9 |
А аса в этом случае как правило устанавливается прозрачной?
0
|
239 / 234 / 8
Регистрация: 05.05.2011
Сообщений: 1,553
|
|
23.11.2012, 12:51 [ТС] | 11 |
Информация BGP у меня в голове что-то не очень на курсе CCNA отложилась, почему то только RIP, EIGRP и OSPF осели в голове(
Но если брать определение: Балансировка нужна при подключении к двум провайдерам.. я правильно понимаю? А что еще полезного от роутера можно подцепить для решения поставленной задачи? Можете подсказать?) По сути все это решает ASA..
0
|
239 / 234 / 8
Регистрация: 05.05.2011
Сообщений: 1,553
|
|
23.11.2012, 13:25 [ТС] | 13 |
Вот я и думаю... чего городить огород?
В идеале - купить 2 АСА, чтобы если с одной что-то случиться, её подхватила другая. Да? А если покупать 2 АСА, то и лицензии на IPS нужно две? Вторая не сможет с неё файлик брать?
0
|
239 / 234 / 8
Регистрация: 05.05.2011
Сообщений: 1,553
|
|
23.11.2012, 13:41 [ТС] | 15 |
Но в теории, если IPS на одной АСЕ пропустит,то и на второй тоже пропустит?
А я еще вычитал, что в фэйловере я не смогу сделать Site-to-Site IPSec VPN. Это так?
0
|
239 / 234 / 8
Регистрация: 05.05.2011
Сообщений: 1,553
|
|
23.11.2012, 13:57 [ТС] | 17 |
0
|
239 / 234 / 8
Регистрация: 05.05.2011
Сообщений: 1,553
|
|
23.11.2012, 14:06 [ТС] | 19 |
Понятно.. вроде просветы появились как правильно стоит все организовать)
Мне кажется, что для 180 человек + бранчи, хватит Cisco ASA 5512-X, если откажутся от IPS. Если использовать IPS, то понадобится уже Cisco ASA 5515-X.. В теории) они мощные нынче пошли.. Я прикинул.. правильнее ведь создать список сайтов(штук 100) который будет соответствовать корпоративным стандартам, а к остальному не пускать. Это снизит по идее нагрузку на проц, если пытаться запрещать все по очереди. А регулярные выражения сильно проц грузят? Чувствую надо либо английский подтягивать, либо идти на русскоязычный курс Firewall..)
0
|
5898 / 3355 / 1035
Регистрация: 03.11.2009
Сообщений: 10,003
|
|
23.11.2012, 14:54 | 20 |
Не загрузите Вы 180ю человеками и регулярками даже 5512)
Хотя если постараться - возможно все. Все зависит от необходимой пропускной.
1
|
23.11.2012, 14:54 | |
23.11.2012, 14:54 | |
Помогаю со студенческими работами здесь
20
Cisco ASA и Router. Удаленное администрирование Cisco ASA. Как правильно сменить IP? Искать еще темы с ответами Или воспользуйтесь поиском по форуму: |