Комментарии 26
спасибо, очень полезно
открываю для себя новые вещи
открываю для себя новые вещи
ждём продолжения!
Как раз CCNA заканчиваю, очень полезно. Благодарю еще раз от себя и от нашей группы -)
Как-то привык, что ip inspect больше удел pix-ов. Пошёл на cisco.com изучать пристальней.
Имхо, это курс совсем немолодого бойца :)
Имхо, это курс совсем немолодого бойца :)
имхо
для КМБ — все таки мало ссылок для объяснения приведенного кода, к примеру про инверсию масок.
для КМБ — все таки мало ссылок для объяснения приведенного кода, к примеру про инверсию масок.
Добавьте чуть конкретнее с какой IOS вы работаете. Я сомневаюсь, что в версиях 12.2 есть ip inspect (могу, конечно и ошибаться).
Есть. Начиная с 12.2.8(Т). Ключевые слова firewall feature set
ЗЫ А где вы такие старые ИОСы нашли? :)
ЗЫ А где вы такие старые ИОСы нашли? :)
Почему «старые»-то? :) Старость — она зависит не только от версии, а еще и от платформы и от feature set.
Вопрос не в том где нашли. Задачи бывают разные — раз. Обновление стоит денег — два. Просто просьба, от себя лично, указывайте в следующий раз версии IOS ;)
Не указали, как лучше «навешивать» ACL. Даже вообще — как его применять ;)
Я в свое время не раз напарывался на грабли, когда вставлял из буфера обмена строчки с правилами, и на четвертой-пятой меня сбрасывало с маршрутизатора, т.к. ACL начинал действовать, а IP-адрес моей машины стоял не на самом верху. Поэтому сперва пришел к выводу, что правило для моей машины должно быть в самом верху. Потом — что можно убрать ACL из интерфейсов, подправить его как надо, и только потом вернуть на интерфейсы обратно.
Правда, это относится скорее к зашите своих внутренних подсетей, а не обороне периметра, но все же…
Я в свое время не раз напарывался на грабли, когда вставлял из буфера обмена строчки с правилами, и на четвертой-пятой меня сбрасывало с маршрутизатора, т.к. ACL начинал действовать, а IP-адрес моей машины стоял не на самом верху. Поэтому сперва пришел к выводу, что правило для моей машины должно быть в самом верху. Потом — что можно убрать ACL из интерфейсов, подправить его как надо, и только потом вернуть на интерфейсы обратно.
Правда, это относится скорее к зашите своих внутренних подсетей, а не обороне периметра, но все же…
ACL на маршрутизаторах в плане фильтрации основоного трафика не нужны. Они нужны для distribute-list'ов, route-map'ов и т.д. Ну, может простенький на line vty с логированием по 23, 22 порту и на SNMP. Фильтровать трафик должна отдельная железка — PIX, Checkpoint, сервер с *nix и т.п.
Не могу с вами согласиться. Базовую фильтрацию как раз на рутерах делать наиболее правильно.
Мало того, ваше мнение касается ТОЛЬКО больших сетей, где кроме рутера ещё полный зоопарк. А если строить правильные распределенные сети, то часто достаточно на границе одного ретара, но с кучей функций.
Планирую и про топологии/дизайн тоже написать. Там много интересных и возможно спорных моментов — поспорим :)
Мало того, ваше мнение касается ТОЛЬКО больших сетей, где кроме рутера ещё полный зоопарк. А если строить правильные распределенные сети, то часто достаточно на границе одного ретара, но с кучей функций.
Планирую и про топологии/дизайн тоже написать. Там много интересных и возможно спорных моментов — поспорим :)
Куда более логичным и понятным выглядит применение Zone-Based FW чем использование невыносимо стремящегося к legacy CBAC. :)
Я как-то ковырялся.
Я как-то ковырялся.
Да, ZBF ГОРАЗДО мощнее.
Например, там выделяется зона self, можно задать глубокое инспектирование с анализом контента (class-map type)…
На молодому бойцу я бы для начала базу подтянул, а если он умный и быстрый — то ещё намекнул, куда самому копать.
ЗЫ Ну и к тому же ZBF — очень новая фича. С существующими бы разобраться :)
Например, там выделяется зона self, можно задать глубокое инспектирование с анализом контента (class-map type)…
На молодому бойцу я бы для начала базу подтянул, а если он умный и быстрый — то ещё намекнул, куда самому копать.
ЗЫ Ну и к тому же ZBF — очень новая фича. С существующими бы разобраться :)
НЛО прилетело и опубликовало эту надпись здесь
очень бы хотелось увидеть статью о версиях IOS и различных платформах, обновлении официальном и не очень ;)
Зарегистрируйтесь на Хабре, чтобы оставить комментарий
Курс молодого бойца cisco: защищаем периметр маршрутизатором