Я собираюсь перейти с ASA на Palo. У меня на ASA много контекстов и ACL. Я хочу объединить все в одном файерволе. Как работает зона доверия? Каков лучший подход к тому, что нужно поместить в одну зону? Например, у меня есть ACL: внешняя, управление, приложения, база данных, DMZ. Люди просто помещают внешнюю зону в зону недоверия, а все остальные в доверие? Нужно ли проходить через политику безопасности, если 2 сети находятся в одной зоне? Я задаю эти вопросы, потому что видел, как 2 больших компании работают в основном только с 2 зонами: доверие и недоверие. Они не заботятся о безопасности между сетью приложений и сетью базы данных?
То, как используются зоны, зависит от потребностей бизнеса. У нас в центре обработки данных два PA имеют более 20 зон, а в небольших магазинах 2-4. Насколько много трафика с различными привилегиями внутри компании вы хотите контролировать?
Что касается того, что вы “видите большие компании с только 2 зонами”, то это может быть их внешний фаервол, возможно, они используют внутренний фаервол для внутреннего трафика.
Зоны - это просто логическая группировка хостов/подсетей для целей контроля, такая же функциональность, как и в ASA. Если вы хотите, чтобы “хост A не мог говорить с хостом B”, и это, скажем, два ПК в бухгалтерии, которые находятся рядом друг с другом, поместите их в одну зону, переопределите правило по умолчанию о разрешении внутри зоны на запрет, включите частные VLAN на уровне порта коммутатора для обеспечения изоляции портов (по сути отключите локальный ARP для CAM-коммутирования, которое в противном случае обошло бы фаервол), и создайте любые политики по мере необходимости (от зоны бухгалтерии до зоны бухгалтерии, хост A к хосту B). Если вы делаете это, будьте очень внимательны к ограничениям пропускной способности и таблицы сессий вашего PA. Обычно это полное избыточность, но я видел это и внедрял это, это имеет свое место.
На ASA вы можете создавать ACL, которые соответствуют входящему интерфейсу. Это может вызвать проблемы с масштабированием, если вы хотите, чтобы одно правило соответствовало нескольким похожим интерфейсам. Зоны - это способ группировки интерфейсов, чтобы обращаться с ними одинаково в одном правиле.
Например, у меня есть туннели OOB для управления, ведущие к различным сайтам. Поскольку каждый из этих туннелей выполняет одну и ту же задачу и передает один и тот же трафик, у меня есть только одно правило для всех туннелей. Я создал зону для всех этих интерфейсов и добавил их в зону. Теперь я могу создать правило, которое говорит “источник зоны туннелей OOB управления” и сопоставить их все сразу.
Надеюсь, это имеет смысл!
Я создаю зону для всего, что хочу регулировать по-разному. Например, на нашем основном заводе у меня есть зона серверов, DMZ, зона корпоративной локальной сети, зона беспроводной локальной сети, зона беспроводной сети для гостей, зона аутентифицированного VPN, зона VPN между сайтами, зона репликации данных, зона автоматизации, зона недоверенной сети Интернет и т.д.
Зависит от требований бизнеса. Доверие, DMZ, недоверие, удаленный доступ, VPN, партнерский VPN, Azure, корпоративный Wi-Fi, Wi-Fi для гостей и т.д.
Меньшим компаниям может потребоваться только зоны доверия и недоверия.
У нас есть зона для каждого интерфейса/VLAN, и только в определенных случаях несколько интерфейсов существуют в одной зоне (например, для разных VPN-шлюзов или если нам нужно выделить новую подсеть/VLAN для другой тестовой сети). Это гарантирует, что весь трафик попадает под правила брандмауэра для трафика между зонами. Интерфейсы в одной зоне могут передавать трафик для внутренней зоны, если у вас нет правил, ограничивающих по зоне и по подсети.
Это утомительно иметь много зон, потому что если у вас есть правило, позволяющее определенным пользователям почти в любую зону, вам нужно их перечислить (возможно, вы не хотите выбирать любую зону в качестве назначения, потому что не хотите, чтобы у них был доступ к определенным зонам). Однако это лучше с точки зрения безопасности, так как это означает, что пользователи могут идти только туда, куда говорят ваши правила, ничего не подразумевается, кроме внутреннего трафика/L2.
Мы создаем зоны для почти каждого VLAN, VPN и интернет WAN-соединения.
Я, в принципе, не хочу, чтобы что-либо общалось между сетями друг с другом. Я бы просто создал плоскую сеть. Вот почему я, наверное, запутался.
Да, это имеет смысл. Я предполагаю, что под этими примерами, которые я видел, есть более низкие фаерволы, и поэтому это не имеет никакого смысла.