fox_m Posted April 11, 2018 Коллеги, в свете последних событий (атака на коммутаторы Cisco), решил наконец озаботится безопасностью сети. После прочтения https://www.cisco.com/c/en/us/support/docs/ip/access-lists/13608-21.html решил для начала повесить ACL на аплинки к внешним провайдерам. Подскажите, есть какой-то общий шаблон ACL именно для внешних каналов? Share this post Link to post Share on other sites More sharing options...
ShyLion Posted April 11, 2018 statefull firewall решает все подобные проблемы, если вы энтерпрайз. на IOS цисках это ZBFW, на ASA они сами себе фаерволы. Share this post Link to post Share on other sites More sharing options...
VolanD666 Posted April 11, 2018 ИМХО ацл на аплинк- это лишнее. Понятно что есть дыры, за ними надо следить и закрывать при первой же возможности. А так, у вас контрол план в принципе не должен светить в инет и в сторону пользователей. Share this post Link to post Share on other sites More sharing options...
smart85 Posted April 11, 2018 У меня на juniper/cisco защита control-plane + на бордерах на аплинках режу входящий траф, который мне не нужен внутри AS. Share this post Link to post Share on other sites More sharing options...
fox_m Posted April 11, 2018 19 минут назад, mse.rus77 сказал: У меня на juniper/cisco защита control-plane + на бордерах на аплинках режу входящий траф, который мне не нужен внутри AS. У меня на бордерах ASR9006. CPPr там тоже есть, пока не крутил. А какой трафик режете на входе? Share this post Link to post Share on other sites More sharing options...
Ivan_83 Posted April 11, 2018 2 часа назад, ShyLion сказал: statefull firewall решает все подобные проблемы Провайдеру такое не подходит: 1. оно ресурсов слишком дохрена сожрёт 2. у провайдера ассиметрия трафика встречается почти всегда Share this post Link to post Share on other sites More sharing options...
smart85 Posted April 11, 2018 1 час назад, fox_m сказал: У меня на бордерах ASR9006. CPPr там тоже есть, пока не крутил. А какой трафик режете на входе? В моей специфике режу так: accept-transit-ae7.224-i 77186332281 1106761032 accept-transit-ntp-to-trusted-ae7.224-i 0 0 accept-trusted-ssh-transit-ae7.224-i 0 0 discard-bl-sources-ae7.224-i 0 0 discard-cisco-smartinstall-ae7.224-i 8124 164 discard-transit-ntp-ae7.224-i 116237 1724 discard-transit-smb-tcp-ae7.224-i 3236476 72397 discard-transit-smb-udp-ae7.224-i 754170 9669 discard-transit-snmp-ae7.224-i 278610 3998 discard-transit-ssh-ae7.224-i 863084 19021 discard-transit-telnet-ae7.224-i 18352196 452757 Share this post Link to post Share on other sites More sharing options...
starik-i-more Posted April 12, 2018 (edited) У Циски по ACL есть вот такой неновый документ https://www.cisco.com/c/en/us/about/security-center/protecting-border-gateway-protocol.html Edited April 12, 2018 by starik-i-more Share this post Link to post Share on other sites More sharing options...
