Хабр Курсы для всех
РЕКЛАМА
Практикум, Хекслет, SkyPro, авторские курсы — собрали всех и попросили скидки. Осталось выбрать!
Хабр доступен 24/7 благодаря поддержке друзей
Комментарии 26
спасибо, очень полезно
открываю для себя новые вещи
открываю для себя новые вещи
ждём продолжения!
Как раз CCNA заканчиваю, очень полезно. Благодарю еще раз от себя и от нашей группы -)
Как-то привык, что ip inspect больше удел pix-ов. Пошёл на cisco.com изучать пристальней.
Имхо, это курс совсем немолодого бойца :)
Имхо, это курс совсем немолодого бойца :)
имхо
для КМБ — все таки мало ссылок для объяснения приведенного кода, к примеру про инверсию масок.
для КМБ — все таки мало ссылок для объяснения приведенного кода, к примеру про инверсию масок.
Добавьте чуть конкретнее с какой IOS вы работаете. Я сомневаюсь, что в версиях 12.2 есть ip inspect (могу, конечно и ошибаться).
Есть. Начиная с 12.2.8(Т). Ключевые слова firewall feature set
ЗЫ А где вы такие старые ИОСы нашли? :)
ЗЫ А где вы такие старые ИОСы нашли? :)
Почему «старые»-то? :) Старость — она зависит не только от версии, а еще и от платформы и от feature set.
Вопрос не в том где нашли. Задачи бывают разные — раз. Обновление стоит денег — два. Просто просьба, от себя лично, указывайте в следующий раз версии IOS ;)
Не указали, как лучше «навешивать» ACL. Даже вообще — как его применять ;)
Я в свое время не раз напарывался на грабли, когда вставлял из буфера обмена строчки с правилами, и на четвертой-пятой меня сбрасывало с маршрутизатора, т.к. ACL начинал действовать, а IP-адрес моей машины стоял не на самом верху. Поэтому сперва пришел к выводу, что правило для моей машины должно быть в самом верху. Потом — что можно убрать ACL из интерфейсов, подправить его как надо, и только потом вернуть на интерфейсы обратно.
Правда, это относится скорее к зашите своих внутренних подсетей, а не обороне периметра, но все же…
Я в свое время не раз напарывался на грабли, когда вставлял из буфера обмена строчки с правилами, и на четвертой-пятой меня сбрасывало с маршрутизатора, т.к. ACL начинал действовать, а IP-адрес моей машины стоял не на самом верху. Поэтому сперва пришел к выводу, что правило для моей машины должно быть в самом верху. Потом — что можно убрать ACL из интерфейсов, подправить его как надо, и только потом вернуть на интерфейсы обратно.
Правда, это относится скорее к зашите своих внутренних подсетей, а не обороне периметра, но все же…
ACL на маршрутизаторах в плане фильтрации основоного трафика не нужны. Они нужны для distribute-list'ов, route-map'ов и т.д. Ну, может простенький на line vty с логированием по 23, 22 порту и на SNMP. Фильтровать трафик должна отдельная железка — PIX, Checkpoint, сервер с *nix и т.п.
Не могу с вами согласиться. Базовую фильтрацию как раз на рутерах делать наиболее правильно.
Мало того, ваше мнение касается ТОЛЬКО больших сетей, где кроме рутера ещё полный зоопарк. А если строить правильные распределенные сети, то часто достаточно на границе одного ретара, но с кучей функций.
Планирую и про топологии/дизайн тоже написать. Там много интересных и возможно спорных моментов — поспорим :)
Мало того, ваше мнение касается ТОЛЬКО больших сетей, где кроме рутера ещё полный зоопарк. А если строить правильные распределенные сети, то часто достаточно на границе одного ретара, но с кучей функций.
Планирую и про топологии/дизайн тоже написать. Там много интересных и возможно спорных моментов — поспорим :)
Куда более логичным и понятным выглядит применение Zone-Based FW чем использование невыносимо стремящегося к legacy CBAC. :)
Я как-то ковырялся.
Я как-то ковырялся.
Да, ZBF ГОРАЗДО мощнее.
Например, там выделяется зона self, можно задать глубокое инспектирование с анализом контента (class-map type)…
На молодому бойцу я бы для начала базу подтянул, а если он умный и быстрый — то ещё намекнул, куда самому копать.
ЗЫ Ну и к тому же ZBF — очень новая фича. С существующими бы разобраться :)
Например, там выделяется зона self, можно задать глубокое инспектирование с анализом контента (class-map type)…
На молодому бойцу я бы для начала базу подтянул, а если он умный и быстрый — то ещё намекнул, куда самому копать.
ЗЫ Ну и к тому же ZBF — очень новая фича. С существующими бы разобраться :)
очень бы хотелось увидеть статью о версиях IOS и различных платформах, обновлении официальном и не очень ;)
Зарегистрируйтесь на Хабре, чтобы оставить комментарий
Курс молодого бойца cisco: защищаем периметр маршрутизатором