Я собираюсь перейти с ASA на Palo. На моем ASA у меня есть множество контекстов и ACL. Я хочу объединить все в одном файрволе. Как работает зона доверия? Каковы лучшие практики для размещения в одной зоне? Например, у меня были бы ACL: внешний, управление, приложение, база данных, DMZ. Люди просто помещают внешний в зону без доверия, а все остальное в доверительную? Нужно ли проходить через политики безопасности, если 2 сети находятся в одной зоне? Я задаю эти вопросы только потому, что видел, как две большие компании работают почти только на 2 зонах: доверительной и недоверительной. Их не волнует безопасность между приложением и базой данных?
Как использовать зоны, зависит от бизнес-потребностей. У наших PA в центре обработки данных более 20 зон, в маленьких магазинах — от 2 до 4. Насколько много внутреннего трафика с разными привилегиями вы хотите контролировать?
Что касается того, что вы “видели большие компании только с 2 зонами”, возможно, это относится только к их внешнему файрволу, может, они используют внутренний файрвол для внутреннего трафика.
Зоны — это просто логическая группировка хостов/подсетей для целей контроля, такая же функция, как и на ASA. Если вы хотите, чтобы “хост a не мог разговаривать с хостом b”, и они, например, два ПК в бухгалтерии, которые стоят рядом, тогда поместите их в одну зону, переопределите правило разрешения по умолчанию для этой зоны на запрещение, включите частные VLAN на уровне порта коммутатора для обеспечения изоляции порта (по сути отключите локальный ARP для переключения CAM, который в противном случае обойдет файрвол), и создайте любые необходимые политики (от зоны бухгалтерии до зоны бухгалтерии, хост a к хосту b). Если вы сделаете это, будьте очень внимательны к пропускной способности и ограничениям таблицы сеансов вашего PA. Обычно это полное избыточное решение, но я это видел и внедрял, это имеет свое место.
На ASA вы можете создавать ACL, которые соответствуют входному интерфейсу. Это может вызвать проблемы с масштабированием, если вы хотите, чтобы одно правило соответствовало нескольким схожим интерфейсам. Зоны — это способ группировки интерфейсов, чтобы обращаться с ними одинаково в правиле.
Например, у меня есть OOB-менеджментные туннели, выходящие на различные сайты. Поскольку каждый из этих туннелей выполняет одну и ту же функцию и передает один и тот же трафик, у меня только одно правило для всех туннелей. Я создал зону для всех этих интерфейсов и добавил их в зону. Теперь я могу создать правило, которое говорит “зона источника OOB-менеджментных туннелей” и сопоставить их все сразу.
Надеюсь, это имеет смысл!
Я создаю зону для всего, что хочу регулировать иначе. Например, на нашем главном заводе у меня есть серверная зона, DMZ, корпоративная зона LAN, зона беспроводной LAN, зона беспроводных гостей, зона аутентифицированного VPN, зона VPN сайта-сайта, зона репликации хранения, зона автоматизации сети, зона интернета с недоверием и т.д.
Зависит от бизнес-требований. Доверительная, DMZ, недоверительная, удаленный доступ, VPN, VPN сторонних организаций, Azure, корпоративный WiFi, гостевой WiFi и т.д.
Меньшим бизнесам могут понадобиться только зоны доверия и недоверия.
У нас есть зона для каждого интерфейса/VLAN, и только в специфических случаях несколько интерфейсов существуют в одной зоне (например, для разных VPN-шлюзов или если нам нужно выделить новую подсеть/VLAN для другой тестовой сети). Это гарантирует, что весь трафик проходит через правила файрвола для межзонального трафика. Интерфейсы в одной зоне могут передавать трафик во внутристороне, если у вас нет правил, которые ограничивают по зоне и подсети.
Иметь много зон - это утомительно, потому что если у вас есть правило, позволяющее определенным пользователям почти в любую зону, вам нужно перечислить их (возможно, вы не захотите выбирать любую зону как пункт назначения, потому что не хотите, чтобы они имели доступ к определенным зонам). Однако это лучше для безопасности, потому что это означает, что пользователи могут идти только туда, куда говорят ваши правила, ничего не подразумевается, кроме внутристороннего/L2 трафика.
Мы зонируем почти каждый VLAN, VPN и интернет WAN-соединение.
Я в принципе не хочу, чтобы ничего общалось между сетями. Я бы просто создал плоскую сеть. Вот почему я, видимо, в замешательстве.
Да, это имеет смысл. Я собираюсь предположить, что на этих примерах есть более низкие файрволы, и поэтому это не имеет смысла.