思科 5505 防火墙,公司网络配置请教

思科 5505 防火墙,公司网络配置请教,第1张

你描述的需求,有几点没看懂:
1你服务器只有3台是不是?
2你服务器到底放inside区域,还是放DMZ区域?
3你这样的话,就是5505做出口网络设备了?你这是测试,还是以后正儿八经要跑流量的?(如果局域网比较大的话,个人不建议这么做)
4你公网ip到底有几个,如果是3台服务器的话,你是要一个公网ip对应一台服务器?(不过按照你的需求的话,也必须要这么做了)
描述清楚后,我会给你一个简单的解决方案

你值得限制是限速还是不允许访问?
如果限速的话可以用QOS中的traffic-shape应用在接口上来实现:
R1(config-if)#int fa0/0
R1(config-if)#traffic-shape group 100 80000 --限速
R1(config)#ip access-list extended 100
R1(config-ext-nacl)#per
R1(config-ext-nacl)#permit ip any h
R1(config-ext-nacl)#permit ip any host 211111 --匹配流量
R1(config-ext-nacl)#
如果单纯的限制的话,就是禁止访问,就用ACL,访问控制列表配置:
R1(config)#ip access-list extended 110
R1(config-ext-nacl)#deny ip any ho 211111
R1(config-ext-nacl)#per ip any any
R1(config-ext-nacl)#int fa0/0
R1(config-if)#ip acces
R1(config-if)#ip access-group 110 out

流量:是防火墙监视到网口通过的网络中数据的通过量
一般一台电脑中装了防火墙,当然,这个多是软防,会在系统里面可以看到的
win7的墙还是可以的,当然看你的要求有多高
硬件防火墙是一台外形类似与台式机机箱,但是是平放的设备,可以达到软防所不能解决的防御

而下周Lancope将开始在它的NetFlow采集器StealthWatch中支持NSEL。
现在,支持生成NSEL流记录的防火墙数量还很有限。思科系统的自适应安全性设备(ASA)是第一个支持NSEL的。SonicWall在今年春季增加了NSEL支持。
Lancope的CTOAdam Powers说,“您将看到越来越多的防火墙供应商在他们的产品中增加NSEL支持。思科是第一个。其他供应商将随之添加支持,因为它是构成差异性的关键。CheckPoint支持了少量的功能,但是仍然有一些供应商是我未提及的,因为我们正帮助它们实现NetFlow支持,这些现在完全属于NDA保密协议。”
NSEL:系统日志的NetFlow替代方法 企业已经转向采用防火墙日志分析器供应商的产品,来优化防火墙行为监控。企业管理协会的研究主管Jim Frey说,诸如LogLogic和Splunk等供应商通过收集和分析防火墙系统日志数据,确定到达防火墙的流量类型。
思科将NSEL称为是一种专门针对防火墙报告定制的修订版NetFlow。传统的NetFlow数据包含一些简单的信息,如源,目标IP地址和端口。NSEL会指出一个流量流是被防火墙接受、拒绝还是丢弃。它也规定了与这个流相关的访问控制列表(ACL)。
支持NSEL的NetFlow采集器比防火墙日志分析器更高效,因为生成系统日志会耗尽防火墙的计算资源。“如果在一个ASA上实现NetFlow特性,那么这有利于释放CPU,使防火墙能够处理其他事务,如处理第7层数据和进行网络地址转换(NAT),”Powers说。
虽然防火墙通常是NetFlow采集的盲点,但是分析NSEL数据的采集器能够帮助检测出防火墙是否影响网络访问,Frey说。它也可以将数据整合到整个网络的更广泛视图中,期间会超出网络安全范畴,还会涉及到性能监控方面。
“防火墙是联机设备,所以它们可能对常规业务网络访问相关的设备产生影响,”Frey说。“当出现影响时,有可能是流中出现了恶意内容,也有可能是由防火墙规则不当造成的,这让人讨厌,而且有时候很难发现。有专门一整套工具用来优化多个供应商防火墙规则监控和分析。但是,一个完全可以被安全供应商接受的规则,却可能对合理的网络服务产生意想不到的结果。”
通过NSEL,NetFlow采集器可以将防火墙的遥测数据与其他网络设备的NetFlow数据进行组合,使企业更好地了解网络的状态和行为。
“假设您有一个连接互联网的边界路由器,而在这个路由器之后部署了一个传统的ASA防火墙。再往里,您还部署了一个Catalyst 6500。然后是Catalyst 3750-X接入层交换机。那么这四台设备所生成的流量流都将穿越网络,”Powers说。
所有这些设备都会提供包含不同信息的NetFlow记录。Catalyst 3750可能会产生一个NetFlow记录,其中包含发起这个流的笔记本电脑的MAC地址。路由器可能只提供DNS系统中与流相关的数据。现在,防火墙可以生成一条NSEL记录,告诉NetFlow采集器这个流被拒绝还是允许,它关联的ACL是什么。

防火墙上面是看不出来的,如果是公司的话可以考虑添加一台AC设备,根据需要设定网络权限,同时进行IP-MAC绑定(如果有AD域或ldap可以使用单点登录),可以实时发现流量异常,确定流量方向及应用,并锁定到人。
如果是家庭环境的话可以考虑装一个聚生网管,做一下网络监控。


欢迎分享,转载请注明来源:内存溢出

原文地址: http://outofmemory.cn/yw/13376729.html

(0)
打赏 微信扫一扫 微信扫一扫 支付宝扫一扫 支付宝扫一扫
上一篇 2023-07-24
下一篇 2023-07-24

发表评论

登录后才能评论

评论列表(0条)

保存