Introducción: Política de base expedición
Resolution
¿Qué más puede mi firewall hacer? ¡Política base de expedición!
Debido a la creciente demanda de ancho de banda en el lugar de trabajo debido a la navegación web, redes sociales y otras aplicaciones de consumo de ancho de banda, muchas empresas añaden una conexión ISP secundaria. El ISP secundario puede proporcionar más ancho de banda pero disminución de nivel de servicio. El menor nivel de servicio garantiza la descarga menos importante del tráfico web a favor de garantizar ancho de banda para aplicaciones de misión crítica.
Es posible que ya haya revisado la calidad del servicio y el ancho de banda limitado o garantizado basado en la aplicación, pero hay otro truco genial que puede hacer el Firewall: reenvío basado en políticas o PBF. Expedición de la política le permite anular la tabla de enrutamiento a favor de opciones de enrutamiento dictada por una política configurable basada en aplicaciones, fuente o destino. En Resumen, esto significa que usted puede elegir que ciertas aplicaciones utilicen un enlace diferente sin necesidad de modificar la tabla de enrutamiento.
Comencemos tomando un vistazo a cómo está configurado el servidor de seguridad de ejemplo mientras usted toma nota de la configuración:
ISP1 es el enlace primario utilizado para aplicaciones críticas
ISP2 es una copia de seguridad conexión con gran ancho de banda pero no hay garantías de nivel de servicio
El gateway por defecto de mi Router Virtual está configurado para apuntar a ISP1.
Opcional: como respaldo, he añadido ISP2 con una métrica más alta. Esto hará que ISP2 el enlace copia de seguridad en caso de experimentar una interrupción ISP1.
Empezar por abrir las políticas política basado en la expedición y la creación de una nueva política:
- Dar un nombre descriptivo a la política
- Establecer la zona de la fuente o la interfaz
- Establecer el destino de aplicación a la navegación por la web y otra aplicación que desee redireccionar sobre ISP2 (ftp,...)
- Mejor práctica sería establecer el servicio de aplicación predeterminado
En la ficha de reenvío:
- Ajuste la acción en adelante (otras opciones son 'Descartar' para descartar cualquier sesión que empareja la PBF política o 'NO PBF' no aplicar PBF a un cierto período de sesiones)
- Configurar la interfaz de salida a la interfaz conectada ISP2
- Establecer siguiente salto como dirección IP de router de ISP2 así que los paquetes se enrutan correctamente a este dispositivo
- Activar Monitor
- Crear un perfil de monitor que está programado para fallar sobre
- Activar la casilla de verificación 'Deshabilitar esta regla' para permitir que esta política esté deshabilitada en el caso de experiencias ISP2 una interrupción, esta voluntad redireccionar las sesiones hacia atrás a través de la puerta de enlace predeterminada
- Set router IP de ISP2 como un objetivo de control
Usted tiene ahora ha había configurado una política política basado en la expedición! Sólo lo dejó es crear políticas de seguridad para permitir sesiones para ser creado a partir de la zona de confianza en la zona del ISP2 y si es necesario, realizar NAT en estas sesiones:
Después de esta configuración se ha cometido, hay varios comandos CLI útil a su disposición para verificar si la regla PBF es funcional y si se está utilizando:
> Mostrar PBF regla todas las reglas
ID regla estado acción salida if/VSYS NextHop NextHop status = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = =
ISP2_webac 1 Active FO rward ethernet1/2 172.16.31.1 UP
> Mostrar ejecutando PBF-Policy
ISP2_webaccess {
ID 1;
de la confianza;
fuente cualquiera;
destino cualquiera;
usuario cualquiera;
aplicación/servicio [FTP/TCP/any/21 navegación web/TCP/any/80];
acción hacia adelante;
no de retorno simétrico;
expedición-salida-if/VSYS ethernet1/2;
Next-hop 172.16.31.1;
terminal no;
}
> PBF de prueba-política-coincidencia de la aplicación de confianza web-navegación de origen 192.168.0.7 destino 93.184.216.34 Protocolo 6 destino-puerto 80
ISP2_webaccess {
ID 1;
de la confianza;
fuente cualquiera;
destino cualquiera;
usuario cualquiera;
aplicación/servicio [FTP/TCP/any/21 navegación web/TCP/any/80];
acción hacia adelante;
no de retorno simétrico;
expedición-salida-if/VSYS ethernet1/2;
Next-hop 172.16.31.1;
terminal no;
}
> Mostrar sesión todos los filtros PBF-regla ISP2_webaccess--------------------------------------------------------------------------------ID aplicación tipo de estado bandera src [Sport]/Zone/proto (traducido IP [puerto])Vsys DST [dport]/Zone (traducido IP [puerto])--------------------------------------------------------------------------------9873 navegación web flujo activo NS 192.168.0.7 [4015]/Trust/6 (172.16.31.2 [7914])vsys1 93,18 4.216.34 [80]/ISP2 (93.184.216.34 [80])> Mostrar Session ID 9873sesión 9873 C2S flujo: Fuente: 192.168.0.7 [Trust] DST: 93.184.216.34 proto: 6 deporte: 4015 dport: 80 Estado: init tipo: flujo src usuario: desconocido DST usuario: desconocido PBF regla: ISP2_webaccess 1 s2c flujo: Fuente: 93.184.216.34 [ISP2] DST: 172.16.31.2 proto: 6 deporte: 80 dport: 7914 Estado: init tipo: flujo src usuario: Unknown usuario de DST: desconocido
Espero que usted encontró este artículo útil. Por favor, siéntase libre de comprobar el resto de los episodios de introducción o dejar un comentario a continuación!
Saludos,
Tom