GoldenLine
Zaloguj się
Ryszard Copa

Ryszard Copa Senior IT Manager,
Firma moich marzeń

Temat: Firewall i domena zamiast zakresu adresacji IP

Witajcie,
Chciałem zapytać czy w urządzeniach Cisco, w ustawieniach firewall'a i regułach jest możliwe podanie domeny np. *.contoso.com zamiast zakresu adresów IP (od 192.168... do 192.169.xxx)?

W celu wyjaśnienia, nie mam do czynienia z urządzeniami Cisco, a obsługuje nas firma outsourcingowa, wg której nie jest to możliwe. Chciałem się upewnić, korzystając z doświadczeń szanownych kolegów.

Z góry dziękuję za informację.
Link do wypowiedziLink
Adam O.

Adam O. Internetwork Expert
and Experienced
Telecommunications
Co...

Temat: Firewall i domena zamiast zakresu adresacji IP

W nowszych wersjach ASA 8.4++ jest dostępny Cisco Identity-Based Firewall Security.

http://www.cisco.com/en/US/docs/security/asa/asa84/con...
Link do wypowiedziLink
Ryszard Copa

Ryszard Copa Senior IT Manager,
Firma moich marzeń

Temat: Firewall i domena zamiast zakresu adresacji IP

Dzięki. Obawiam się jednak że nie o to mi chodziło. Nie chodziło mi o współpracę między AD a Firewall'em, a raczej o to aby w firewall rules można było wpisać:

Allow flow:
*contoso.com

zamiast:
Allow flow:
192.168.0.1/24

Wiem że moje tłumaczenie jest słabe, ale nie mam pomysłu jak inaczej to opisać...
Może to wyjaśni lepiej:
http://onlinehelp.microsoft.com/Office365-enterprises/...

i potrzeba podania URL - jako że mamy do czynienia z chmurą.

Cytując:
"enable routing to the root domain names listed in the following tables (such as *.Outlook.com, *.MicrosoftOnline.com and *.SharePoint.com) instead of routing to specific IP address subnets. Relying on IP address subnets runs the risk of outages for your users as changes are made."
Link do wypowiedziLink
Adam O.

Adam O. Internetwork Expert
and Experienced
Telecommunications
Co...

Temat: Firewall i domena zamiast zakresu adresacji IP

To co podałem daje Ci możliwość budowania reguł na podstawie userID z AD.
Zamiast IP polityka może bazować na jankowalski@firma.w.pl.

Filtrowanie po DNS nie ma większego sensu w dzisiejszym Internecie.
Można to robić na poziomie content security (np. IronPort) ale nie na poziome ruchu sieciowego...
Jak masz ruch IP to już rozwiązanie DNS miało miejsce.
A co np. jeżeli pod jednym IP masz 500 domen?
Link do wypowiedziLink
Ryszard Copa

Ryszard Copa Senior IT Manager,
Firma moich marzeń

Temat: Firewall i domena zamiast zakresu adresacji IP

Dziękuję
Dla mnie nie jest jasna Twoja odpowiedź.
Tak jak napisałem nie miałem do czynienia z konfiguracją urządzeń Cisco (Zaawansowanych...)
Chciałbym Cię prosić o mniej skomplikowaną odpowiedź....

1. Chciałem zapytać czy w urządzeniach Cisco, w ustawieniach firewall'a i regułach jest możliwe podanie domeny np. *.contoso.com zamiast zakresu adresów IP (od 192.168... do 192.169.xxx)?

Tak / Nie ?

2. Microsoft ma taki kaprys aby było filtrowanie po DNS -> W związku z tym co jest potrzebne, aby było to możliwe? (nie wnikając w sensowność takiego rozwiązania - zalecenia Microsoft podałem w linku poniżej)
Link do wypowiedziLink
Adam O.

Adam O. Internetwork Expert
and Experienced
Telecommunications
Co...

Temat: Firewall i domena zamiast zakresu adresacji IP

Możesz to zrobić np. http://www.cisco.com/en/US/products/ps6120/products_co...

Microsoft bardzo ładnie podaje cały obszar adresacji IP który trzeba otworzyć.

Zatem filtrowanie po nazwach można robić ale będzie dużo bardziej kosztowne (CPU!) a efekt taki sam ;-)
Link do wypowiedziLink
Ryszard Copa

Ryszard Copa Senior IT Manager,
Firma moich marzeń

Temat: Firewall i domena zamiast zakresu adresacji IP

Dziękuję i pozdrawiam
Link do wypowiedziLink
« Wróć do tematów
Odpowiedz

Podobne tematy


Następna dyskusja:

Szukam Firewall Log Analyze...




Wyślij zaproszenie do
Anuluj