Difference between revisions of "Security Services Design"
m (→Placering af FWSM) |
m (→Placering af FWSM) |
||
| Line 28: | Line 28: | ||
{| | {| | ||
|[[Image:Security Placement.png|500px|left|thumb|FWSM Placement]] | |[[Image:Security Placement.png|500px|left|thumb|FWSM Placement]] | ||
| + | |} | ||
| + | == Active/Active Firewall topology == | ||
| + | Ved fejl i den aktive firewall vil Standby firewallen overtage MAC og IP adresse fra den aktive. | ||
| + | *Bemærk at i Failover trunk'en sendes al tekst i klartekst. Hvis [[FWSM]] anvendes til at terminere VPN tunneller vil brugernavne og passwords kunne ses her. | ||
| + | {| | ||
| + | |[[Image:Security ActiveActive.png|700px|left|thumb|Active/Active Firewall topology]] | ||
| + | |} | ||
| + | == Asymmetrisk Routning med Firewalls == | ||
| + | [[FWSM]] supporterer asymmetrisk Routning. Returtraffik sendes sendes ud af et andet interface end hvor det var modtaget. | ||
| + | |||
| + | Asymmetrisk Routning anvendes mest hvor der er forbindelse til to Service Providere og der ikke anvendes [[NAT]]. | ||
| + | |||
| + | [[FWSM]] kan arbejde med '''asr-group interfaces'''. Tabeller over hvilke forbindelser der er lovlige imellem flere Interfaces på samme [[FWSM]] eller mellem Active/Active failover redundans mode. | ||
| + | {| | ||
| + | |[[Image:Security Asymetric.png|500px|left|thumb|Asymetrisk Routning med en [[FWSM]]]] | ||
| + | |- | ||
| + | |[[Image:Security Asymetric2.png|700px|left|thumb|Asymetrisk Routning med Active/Active topologi.]] | ||
[[Category:CCDP]] | [[Category:CCDP]] | ||
Revision as of 06:19, 12 August 2009
Kapitel 8 fra CCDP ARCH bogen.
This article is under development....Contents
Designing Firewalls
Dette kapitel anvender primært FWSM som eksempel. PIX eller ASA enheder kunne også godt anvendes. (Forskelle vises).
PIX, ASA og FWSM forskelle
- En PIX eller ASA Firewall tillader som standard trafik fra et inside (high security level) til outside (low security level)
- En FWSM tillader ikke trafik mellem Interfaces medmindre det er eksplicit tilladt af en ACL.
Firewall Modes
Virtual Firewall
Bemærk at en FWSM som er en option til Cisco Catalyst 6500 serie switches ingen fysiske Interfaces har, men tilslutter sig VLAN interfaces.
Firewall Context Design Consideration
Contexts kan fordele FWSM'ens ressourcer, således at et angreb på en context ikke har indflydelse på et andet Context. Hvis FWSM'en løber tør for ressourcer nægtes flere forbindelser. I eksemplet nedenunder vil et angreb på Context Pop kunne få indflydelse på Context Water og hvis angrebet er på defaulte parametre også på Context Tonic og Context Soft Drinks. Men ikke på Context Soda da denne er konfigureret med ressourcer på alle parametre.
Placering af FWSM
- Ved at placere MSFC (Catalyst 6500 Router Card) indenfor FWSM, gør designet af Firewallen nemmere og Firewallen sikrer MSFC.
- Ved at placere MSFC (Catalyst 6500 Router Card) udenfor FWSM, bør der kun anvendes en enkelt Context (Firewall instans) da der ellers Routes mellem forskellige Contexts, hvilket nok ikke er meningen.
Active/Active Firewall topology
Ved fejl i den aktive firewall vil Standby firewallen overtage MAC og IP adresse fra den aktive.
- Bemærk at i Failover trunk'en sendes al tekst i klartekst. Hvis FWSM anvendes til at terminere VPN tunneller vil brugernavne og passwords kunne ses her.
Asymmetrisk Routning med Firewalls
FWSM supporterer asymmetrisk Routning. Returtraffik sendes sendes ud af et andet interface end hvor det var modtaget.
Asymmetrisk Routning anvendes mest hvor der er forbindelse til to Service Providere og der ikke anvendes NAT.
FWSM kan arbejde med asr-group interfaces. Tabeller over hvilke forbindelser der er lovlige imellem flere Interfaces på samme FWSM eller mellem Active/Active failover redundans mode.
 Asymetrisk Routning med en FWSM |
