forum.opennet.ru

Составление сообщения

Исходное сообщение

"inside/outside интерфейсы на ASA 5510"
Отправлено Potemkin, 09-Май-09 18:26

Для решения задач разграничения доступа из корп.сети в технологическую сеть, политик безопасности планируется использование ASA 5510 в bundle-решении (потому как посмотрел что дешевле при наличии необходимого функционала).
На 1 порту ASA смотрящему в корп.сеть выставляем outside, на 2, смотрящему в тех.сеть - inside, с наивысшим уровнем защиты 100.
Параллельно есть желание использовать ASA в качестве FW для другой сети - для доступа в корп.сеть из сети удаленного офиса. Благо на 5510 в том решении, на котором остановился - а это ASA5510-BUN-K9 - на борту 5 портов FE, да и бабло надо отбивать.
Т.е. на 3 порт цепляем линк уходящий на сетку удаленного офиса. По логике порт 1 для сети удаленного офиса должен быть inside, либо с каким то др.уровнем доступа, а порт 3 по отношению к порту 1 - outside. Порт 3 по отношению к порту 2 - inside.
Так вот вопрос, как сделать и возможно ли это чтобы 1 порт был одноврменно с противоположным (или разным) статусом для разных сегментов формируемой сети.
Копая глубже обратил внимание на такую фичу как Security Contexts, предоставляемую за отд. денежки при приобретении лицензии Security Plus. Она вроде как позволяет одну железку PIX/ASA исползовать в качестве нескольких виртуальных FW. Возможно в моем случае это единственное решение. Если да, то остается выяснить входит ли она в комплектацию ASA5510-BUN-K9.

Исходное сообщение
"inside/outside интерфейсы на ASA 5510" Отправлено Potemkin, 09-Май-09 18:26
Для решения задач разграничения доступа из корп.сети в технологическую сеть, политик безопасности планируется использование ASA 5510 в bundle-решении (потому как посмотрел что дешевле при наличии необходимого функционала). На 1 порту ASA смотрящему в корп.сеть выставляем outside, на 2, смотрящему в тех.сеть - inside, с наивысшим уровнем защиты 100. Параллельно есть желание использовать ASA в качестве FW для другой сети - для доступа в корп.сеть из сети удаленного офиса. Благо на 5510 в том решении, на котором остановился - а это ASA5510-BUN-K9 - на борту 5 портов FE, да и бабло надо отбивать. Т.е. на 3 порт цепляем линк уходящий на сетку удаленного офиса. По логике порт 1 для сети удаленного офиса должен быть inside, либо с каким то др.уровнем доступа, а порт 3 по отношению к порту 1 - outside. Порт 3 по отношению к порту 2 - inside. Так вот вопрос, как сделать и возможно ли это чтобы 1 порт был одноврменно с противоположным (или разным) статусом для разных сегментов формируемой сети. Копая глубже обратил внимание на такую фичу как Security Contexts, предоставляемую за отд. денежки при приобретении лицензии Security Plus. Она вроде как позволяет одну железку PIX/ASA исползовать в качестве нескольких виртуальных FW. Возможно в моем случае это единственное решение. Если да, то остается выяснить входит ли она в комплектацию ASA5510-BUN-K9.

Ваше сообщение

Имя*:

EMail:

Для отправки новых сообщений в текущей нити на email укажите знак ! перед адресом, например, !user@host.ru (!! - не показывать email).
Более тонкая настройка отправки ответов производится в профиле зарегистрированного участника форума.

Заголовок*:

Сообщение*:

> Для решения задач разграничения доступа из корп.сети в технологическую сеть, политик безопасности 
> планируется использование ASA 5510 в bundle-решении (потому как посмотрел что дешевле 
> при наличии необходимого функционала).

> На 1 порту ASA смотрящему в корп.сеть выставляем outside, на 2, смотрящему 
> в тех.сеть - inside, с наивысшим уровнем защиты 100.
> Параллельно есть желание использовать ASA в качестве FW для другой сети - 
> для доступа в корп.сеть из сети удаленного офиса. Благо на 5510 
> в том решении, на котором остановился - а это ASA5510-BUN-K9 - 
> на борту 5 портов FE, да и бабло надо отбивать.
> Т.е. на 3 порт цепляем линк уходящий на сетку удаленного офиса. По 
> логике порт 1 для сети удаленного офиса должен быть inside, либо 
> с каким то др.уровнем доступа, а порт 3 по отношению к 
> порту 1 - outside. Порт 3 по отношению к порту 2 
> - inside.
> Так вот вопрос, как сделать и возможно ли это чтобы 1 порт 
> был одноврменно с противоположным (или разным) статусом для разных сегментов формируемой 
> сети.

> Копая глубже обратил внимание на такую фичу как Security Contexts, предоставляемую за 
> отд. денежки при приобретении лицензии Security Plus. Она вроде как позволяет 
> одну железку PIX/ASA исползовать в качестве нескольких виртуальных FW. Возможно в 
> моем случае это единственное решение. Если да, то остается выяснить входит 
> ли она в комплектацию ASA5510-BUN-K9.

При общении не допускается: неуважительное отношение к собеседнику, хамство, унизительное обращение, ненормативная лексика, переход на личности, агрессивное поведение, обесценивание собеседника, провоцирование флейма голословными и заведомо ложными заявлениями. Не отвечайте на сообщения, явно нарушающие правила - удаляются не только сами нарушения, но и все ответы на них. Лог модерирования.

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру