Getting Started: Richtlinienbasierte Weiterleitung
Resolution
Was kann meine Firewall zu tun? Richtlinienbasierte Weiterleitung!
Aufgrund der steigenden Bandbreiten-Anforderungen am Arbeitsplatz wegen Surfen im Web, social Media und andere Bandbreite verbrauchen Anwendungen, fügen viele Firmen eine sekundäre ISP-Verbindung. Die sekundäre ISP kann mehr Bandbreite aber verringerte sich Service-Level. Im Untergeschoss Service sorgt für Verschiebung weniger wichtigen Webverkehr zu Gunsten der Bandbreite für geschäftskritische Anwendungen zu gewährleisten.
Vielleicht haben Sie bereits die Service Qualität und die begrenzte oder garantierte Bandbreite auf der Grundlage der Anwendung überprüft, aber es gibt noch einen weiteren coolen Trick, den die Firewall — Policy-basierter weiterLEITUNG oder PBF machen kann. Auf der Grundlage weiterleiten können Sie die routing-Tabelle zu Gunsten der routing-Optionen durch eine konfigurierbare auf Anwendungen, Quelle oder Ziel beruhende Politik diktiert zu umgehen. Kurz gesagt, bedeutet dies, dass Sie wählen können, um bestimmte Anwendungen, die einen anderen Link verwenden, ohne um zu zwicken die routing-Tabelle haben.
Beginnen wir mit einem näheren Blick auf wie die Beispiel-Firewall konfiguriert ist, während Sie Ihre Konfiguration beachten:
ISP1 ist die primäre Verbindung verwendet für kritische Anwendungen
ISP2 ist eine backup-Verbindung mit hoher Bandbreite aber keine Service-Level Garantien
Das Standard-Gateway des virtuellen Routers ist so konfiguriert, dass auf ISP1 verweisen.
Optional: als Backup habe ich ISP2 mit einer höheren Metrik hinzugefügt. Dadurch wird ISP2 der backup-Link, für den Fall, dass ISP1 wurden zu einen Ausfall zu erleben.
Starten Sie durch Öffnen der Politik basierte Weiterleitung Politik und eine neue Richtlinie zu erstellen:
- Der Politik einen Anzeigenamen geben
- Legen Sie die Quelle Zone oder Schnittstelle
- Geben Sie das Ziel Anwendung, Web-browsing und eine andere Anwendung, die Sie über ISP2 umleiten möchten (ftp,...)
- Beste Praxis wäre der Dienst auf dem Standard-Anwendung festgelegt
In der Registerkarte "Weiterleitung":
- Legen Sie die Aktion für Vorlauf (die anderen Optionen sind "Verwerfen", um jede Sitzung passende PBF Politik oder "NO PBF" PBF nicht zu einer bestimmten Sitzung anzuwenden zu verwerfen)
- Der Egress-Schnittstelle auf die ISP2 angeschlossene Schnittstelle festgelegt
- Festlegen Sie nächsten Hop als ISP2s Router IP-Adresse, also Pakete richtig an das Gerät weitergeleitet werden
- Monitor zu aktivieren
- Erstellen Sie ein Monitorprofil, die für Fail Over festgelegt ist
- Aktivieren Sie die Checkbox "Diese Regel deaktivieren", um diese Richtlinie deaktiviert werden, für den Fall, dass ISP2 Erfahrungen ein Ausfall, dies wird die Sitzungen wieder über das Standard-Gateway umleiten zu ermöglichen
- ISP2 Router-IP als Überwachung Ziel gesetzt
Sie haben nun erfolgreich eine Politik Politik basierte Weiterleitung konfiguriert! Das einzige was noch zu tun ist die Schaffung von Sicherheitsrichtlinien zum Sitzungen aus dem Vertrauen in die ISP2 Zone erstellt werden können und bei Bedarf NAT für diese Sitzungen ausführen:
Nach dieser Konfiguration begangen worden ist, gibt es mehrere nützliche CLI-Befehle zur Verfügung, um überprüfen, ob die PBF-Regel funktionsfähig ist und wenn es verwendet wird:
> PBF-Regel alle
Regel-ID-Regel State Action Egress if/Vsys nexthop nexthop Status = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = =
= = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = [= = = = = = =
rward Ethernet1/2 172.16.31.1 UP
> Show laufen PBF-Policy
ISP2_webaccess {
ID 1;
aus Vertrauen;
Quelle any;
Ziel,
Benutzer;
Anwendung/Service [FTP/TCP/any/21 Web-Browsing/TCP/any/80];
Aktion vorwärts;
symmetrisch-Rückgabe Nr.
Spedition-Egress-if/Vsys Ethernet1/2;
Next-Hop 172.16.31.1;
Terminal Nr.
}
> Test PBF-Policy-Match von Trust-Anwendung Web-Browsing-Quelle 192.168.0.7 Destination 93.184.216.34 Protokoll 6 Destination-Port 80
ISP2_webaccess {
ID 1;
aus Vertrauen;
Quelle any;
Ziel,
Benutzer;
Anwendung/Service [FTP/TCP/any/21 Web-Browsing/TCP/any/80];
Aktion vorwärts;
symmetrisch-Rückgabe Nr.
Spedition-Egress-if/Vsys Ethernet1/2;
Next-Hop 172.16.31.1;
Terminal Nr.
}
> Session alle Filter PBF-Regel ISP2_webaccess--------------------------------------------------------------------------------ID-Anwendung State Type Flag src [Sport]/Zone/Proto (ÜBERsetzte IP [Port]) Vsys DST [dport]/Zone (übersetzte IP [Port])--------------------------------------------------------------------------------9873 Web-Browsing Active Flow NS 192.168.0.7 [4015]/Trust/6 (172.16.31.2 [7914])vsys1 93,18 4.216.34 [80]/ISP2 (93.184.216.34 [80])> Session ID 9873Session 9873 C2S Flow: Quelle: 192.168.0.7 [Trust] DST: 93.184.216.34 Proto: 6 Sport: 4015 dport: 80 Zustand: init-Typ: Flow src-Nutzer: Unbekannter DST-Nutzer: Unbekannte PBF-Regel: ISP2_webaccess 1 S2C Flow: Quelle: 93.184.216.34 [ISP2] DST: 172.16.31.2 Proto: 6 Sport: 80 dport: 7914 Zustand: init-Typ: Flow src-Benutzer: unbekannt DST User: unbekannt
Ich hoffe, Sie fanden diesen Artikel nützlich. Bitte schauen Sie sich die restlichen Episoden an oder hinterlassen Sie einen Kommentar unten!
Viele Grüße,
Tom