ASA5510 jako firewall
ASA5510 jako firewall
witam!
jest ASA5510 z modułem ASA SSM-10.
na moduł wygasła licencja.
jaka funkcjonalność firewall moge uruchomić na ASA5510 - oprócz VPNow, bo to wiem jak.
warto odnawiać licencję?
jest ASA5510 z modułem ASA SSM-10.
na moduł wygasła licencja.
jaka funkcjonalność firewall moge uruchomić na ASA5510 - oprócz VPNow, bo to wiem jak.
warto odnawiać licencję?
Nobody's perfect...
...I'm nobody
...I'm nobody
Hej,
nie kosztuje wiele a masz pierwszy stopien filtracji i ochrony, drugi to wewnetrzne serwery AV i mailowe, trzeci to samo oprogramowanie na hostach.
Do ISR nie mozna porownywac bo na ASA jest inna wydajnosc wynikajaca z przeznaczenia tych urzadzen. Jako FW zostawilbym ASA i odnowil licencje.
Pozdruffka!
nie kosztuje wiele a masz pierwszy stopien filtracji i ochrony, drugi to wewnetrzne serwery AV i mailowe, trzeci to samo oprogramowanie na hostach.
Do ISR nie mozna porownywac bo na ASA jest inna wydajnosc wynikajaca z przeznaczenia tych urzadzen. Jako FW zostawilbym ASA i odnowil licencje.
Pozdruffka!
Ciężko dobrze doradzić nie znając pełnej struktury Twojej sieci. Z tego co się domyślam, to raczej do niewielu rzeczy się przyda. Może kiedyś, jak będziesz miał jakiś oddział, to dałoby się tam wykorzystać. W centrali możesz próbować chronić jakieś krytyczne zasoby (np. vlan serwerowy), ale na podstawie moich domysłów wnioskuję, że to rozwiązanie trochę na siłę.
serwery mam w DMZ w innym vlanie.
w sumie to chce wpiąć tą ASA5505 w LAN roboczy i zobaczyc co mogę na niej zrobić i stad moje pytanie: co mogę sensownego na niej skonfigurowac.?
ja to tak myslalem ze ona jakoś będzie jakos monitorować ruch w LANie pod katem virów, malware itd. taki IPS/IDS
w sumie to chce wpiąć tą ASA5505 w LAN roboczy i zobaczyc co mogę na niej zrobić i stad moje pytanie: co mogę sensownego na niej skonfigurowac.?
ja to tak myslalem ze ona jakoś będzie jakos monitorować ruch w LANie pod katem virów, malware itd. taki IPS/IDS
Ostatnio zmieniony 26 sty 2010, 12:59 przez stentor, łącznie zmieniany 1 raz.
Nobody's perfect...
...I'm nobody
...I'm nobody
Jesli wymyslasz na sile zeby tylko ja gdzies wstawic to zostaw lepiej na polce albo wyslij mi poczta w prezencie
A tak na serio - skoro design twojej sieci nie wymaga zastosowania tego pudelka, to zostaw je lub pobaw sie po prostu i polabuj, a jak kluje w oko managera lub szefa... to podepnij do switcha na dummy-vlan i po sprawie
Pozdruffka!
A tak na serio - skoro design twojej sieci nie wymaga zastosowania tego pudelka, to zostaw je lub pobaw sie po prostu i polabuj, a jak kluje w oko managera lub szefa... to podepnij do switcha na dummy-vlan i po sprawie
Pozdruffka!
no IPS/IDS nie mam - chcialem to zrobic na ISR.drake pisze:design twojej sieci nie wymaga zastosowania tego pudelka
moze cos a la antywir? chcialbym sie właśnie pobawić, zobaczyc co można skonfigurować pod kątem security. nikt mnie nie naciska ani w oczy nie kluje - chce sam dla siebie pobawić się.
w sumie ta ASA robila ostatnio jako HW vpn client.
Nobody's perfect...
...I'm nobody
...I'm nobody
Jesli masz ISR ktory uciagnie funkcjonalnosc IPSa to zrobilbym takze na routerze (np. na 2811 rozbudowanym o RAM i flash) kompilacja sygnatur po restrcie trwa 30 min (w tym czasie CPU jedzie na 100%). Poza tym IPS jest na ISR osobno licencjonowany (do pobierania update-ow sygnatur).
Jesli jednak myslisz "powaznie" o IPS, to oczywiscie osobny dedykowany sensor bylby polecany, mala ASA 5505 ma iles tam (bodajze 30-60) sygnatur i nie stanowi czegos sensownego, wiec z tym tez nie zaszalejesz... dla niej ten wbudowany IPS to w zasadzie Add-on Mozesz ewentualnie zastanowic sie nad wstawieniem duzego pudelka np. 5520 z modulem AIM-IPS, wowczas to juz inna gadka...
Pozdruffka
Jesli jednak myslisz "powaznie" o IPS, to oczywiscie osobny dedykowany sensor bylby polecany, mala ASA 5505 ma iles tam (bodajze 30-60) sygnatur i nie stanowi czegos sensownego, wiec z tym tez nie zaszalejesz... dla niej ten wbudowany IPS to w zasadzie Add-on Mozesz ewentualnie zastanowic sie nad wstawieniem duzego pudelka np. 5520 z modulem AIM-IPS, wowczas to juz inna gadka...
Pozdruffka
Coz, przy odpowiedniej konfiguracji nie ma prawa sie cos podobnego wydarzyc, no chyba ze ktos odpala IPS zanim zrobi retirement wszystkich sygnatur i odpali potrzebne (albo trafi na jakis konkretny Bug), ale nie wchodzmy w szczegoly. Generalnie 2811 udzwignie funkcjonalnosc IPSastentor pisze:mam ISR2811.
pamietam jak kiedyś na prezentacji cisco inzynier odpalil IPS i total zwiecha wszystkiego
pomogło odłączenie isr'a od prądu
pytanie retoryczne?stentor pisze:czyli reasumując - niewiele zdziałam z moją ASA5505?
Pozdruffka!
IMHO robienie na 2811 IPS-a to jest sztuka dla sztuki a te 30minut kompilacji to tak optymistycznie liczone Jak testowalem to chyba to trwalo wiecej zdazylem wyskoczyc na obiad wypic kawe... itd. he he
Natomiast jak IPS to wywalic z 5510 tego SSM-10 i wpakowa IPS-a. Filtracje AV itp. mozna robic rownie dobrze i sensownie w innym miejscu za inna kase. Na ISR najlepiej zrobic wstepna filtracje tego co idzie na ASA bez jakiegos przeginania. Wtedy to co sie przebija tniesz na ASA i dodatkowo modulik robi IPS-a...
Co do mydelniczki (5505) to juz kwestia struktury sieci czyli jakas dodatkowa wydzielona filtracja o ile sie wyrobi w danym miejscu... Kombinowac mozna na rozne sposoby.
Odnosnie porownywania ASA do ISR to troche nie tak to ze ISR ma jakies bajery to nie znaczy ze wydajonosciowo jest tez tak ladnie jak na ASA Jak sie nie ma kasy to mozna upychac bajery na ISR z tym ze jak to powiedzialem bardziej sztuka dla sztuki aby cos miec na sile.
Choc jak masz no. dalej M$ to mozna i pobawic sie w rozwiazanie tupu ISR<--->ASA<--->M$ ISA ...
A co do wykupienia licencji to hmm sam sobie odpowiedz na to pytanie czy potzebujesz takiej funkcjonalnosci w tym miejscu gdzie jest ASA czy czegos innego, moze lepiej dokupic licencje na VPN SSL itp. ??? Ale to juz sam musisz zdecydowac.
Natomiast jak IPS to wywalic z 5510 tego SSM-10 i wpakowa IPS-a. Filtracje AV itp. mozna robic rownie dobrze i sensownie w innym miejscu za inna kase. Na ISR najlepiej zrobic wstepna filtracje tego co idzie na ASA bez jakiegos przeginania. Wtedy to co sie przebija tniesz na ASA i dodatkowo modulik robi IPS-a...
Co do mydelniczki (5505) to juz kwestia struktury sieci czyli jakas dodatkowa wydzielona filtracja o ile sie wyrobi w danym miejscu... Kombinowac mozna na rozne sposoby.
Odnosnie porownywania ASA do ISR to troche nie tak to ze ISR ma jakies bajery to nie znaczy ze wydajonosciowo jest tez tak ladnie jak na ASA Jak sie nie ma kasy to mozna upychac bajery na ISR z tym ze jak to powiedzialem bardziej sztuka dla sztuki aby cos miec na sile.
Choc jak masz no. dalej M$ to mozna i pobawic sie w rozwiazanie tupu ISR<--->ASA<--->M$ ISA ...
A co do wykupienia licencji to hmm sam sobie odpowiedz na to pytanie czy potzebujesz takiej funkcjonalnosci w tym miejscu gdzie jest ASA czy czegos innego, moze lepiej dokupic licencje na VPN SSL itp. ??? Ale to juz sam musisz zdecydowac.