[FRnOG] Administration de pare-feu Cisco ASA 5520
Salut à tous, nous sommes en train de terminer le déploiement de deux pare-feu Cisco ASA 5520. Notre architecture étant redondante, ils doivent avoir tous les deux les même règles de filtrage afin que la reprise en cas de panne se passe bien. Nous utilisions auparavant des OpenBSD avec pf. Avec un petit make et quelques commandes (SCP, pfctl), nous pouvions facilement répliquer la configuration. Nous cherchons le moyen d'avoir un fonctionnement similaire avec les Cisco. Par exemple, un fichier texte de ce type : adresse ip group qui nous permette, en une commande, de construire les groupes (auxquels nous appliquons les ACL) et de les pousser sur les deux pare-feu. Avant que l'on commence à scripter, connaissez vous une solution de ce type ? Comment faites vous pour bien gérer vos ASA ? Merci. --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] Administration de pare-feu Cisco ASA 5520
Bonjour, Je me trompe peut être mais Firewall Builder en gui ? Le 29 juillet 2009 15:36, Romain LE DISEZ romain.fr...@ledisez.net a écrit : Salut à tous, nous sommes en train de terminer le déploiement de deux pare-feu Cisco ASA 5520. Notre architecture étant redondante, ils doivent avoir tous les deux les même règles de filtrage afin que la reprise en cas de panne se passe bien. Nous utilisions auparavant des OpenBSD avec pf. Avec un petit make et quelques commandes (SCP, pfctl), nous pouvions facilement répliquer la configuration. Nous cherchons le moyen d'avoir un fonctionnement similaire avec les Cisco. Par exemple, un fichier texte de ce type : adresse ip group qui nous permette, en une commande, de construire les groupes (auxquels nous appliquons les ACL) et de les pousser sur les deux pare-feu. Avant que l'on commence à scripter, connaissez vous une solution de ce type ? Comment faites vous pour bien gérer vos ASA ? Merci. --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] Administration de pare-feu Cisco ASA 5520
Le 29/7/2009, Simon Morvan gar...@zone84.net a écrit: Par ailleurs, ASA ne gère pas de lui même le fait que le slave soit iso au master ? PIX le faisait pourtant. Les firewalls Juniper SSG ont nativement un mode cluster. Ca serait quand meme pas de veine que les ASA ne le fasse pas... gu!llaume --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] Administration de pare-feu Cisco ASA 5520
On Wed, 29 Jul 2009 17:50:40 +0200, Raphael Mazelier r...@futomaki.net said: Petite question ? pourquoi vouloir se faire du mal avec des cisco ASA qui sont vraiment relou à configurer alors que vous aviez une solution qui marchait avant ? pas assez cher ? Nous utilisions auparavant des OpenBSD avec pf. Avec un petit make et Because OpenBSD c'est pas corporate, et certains big chiefs n'aiment pas les trucs qui sortent des normes corporate. Il y a aussi le fait de pouvoir dire on a utilise le meilleur (dpdv marketing) qui existe quand/si les choses tournent mal. Parfois il faut faire des choses debiles pour des raisons encore plus debiles. -- Radu-Adrian Feurdean raf (a) ftml ! net --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] Administration de pare-feu Cisco ASA 5520
Bonjour, Je confirme les ASA 5510, 5520, 5550 et 5580 peuvent s'administrer via une interface graphique ASDM (beaucoup moins ergonomique et moins pratique que Fwbuilder car par exemple pas possible de regrouper des règles ... ce n'est qu'un exemple parmi beaucoup d'autres) et peuvent aussi bien évidement se gérer en cluster actif/passif et suivant les modèles actif/actif avec même des contextes différents. C'est assez facile à prendre en main, et assez fiable en cas de bascule (les boitiers se partagent les sessions donc en cas de bascule c'est transparent (normalement) ) Thierry Le 29/07/2009 17:39, gu!llaume a écrit : Le 29/7/2009, Simon Morvangar...@zone84.net a écrit: Par ailleurs, ASA ne gère pas de lui même le fait que le slave soit iso au master ? PIX le faisait pourtant. Les firewalls Juniper SSG ont nativement un mode cluster. Ca serait quand meme pas de veine que les ASA ne le fasse pas... gu!llaume --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] Administration de pare-feu Cisco ASA 5520
Hello, Je confirme que c'est automatique à partir du moment où tes ASA sont bien configurés. Eventuellement un write standby force la synchronisation. Pour la doc, ca devrait etre ici pour du Actif/Stdby: http://www.cisco.com/en/US/products/hw/vpndevc/ps2030/products_configuration_example09186a00807dac5f.shtml et ici pour de l'actif/actif: http://www.cisco.com/en/US/products/ps6120/products_configuration_example09186a0080834058.shtml En ce qui concerne le suivi de session, je n'ai jamais eu de problème, que ce soit en cas de crash d'un des 2 FW ou pendant un upgrade de l'OS, aucune coupure de session (testé sur Pix6.3.5, ASA7.0 et ASA7.2)... Hugues. Romain LE DISEZ a écrit : Salut à tous, nous sommes en train de terminer le déploiement de deux pare-feu Cisco ASA 5520. Notre architecture étant redondante, ils doivent avoir tous les deux les même règles de filtrage afin que la reprise en cas de panne se passe bien. Nous utilisions auparavant des OpenBSD avec pf. Avec un petit make et quelques commandes (SCP, pfctl), nous pouvions facilement répliquer la configuration. Nous cherchons le moyen d'avoir un fonctionnement similaire avec les Cisco. Par exemple, un fichier texte de ce type : adresse ip group qui nous permette, en une commande, de construire les groupes (auxquels nous appliquons les ACL) et de les pousser sur les deux pare-feu. Avant que l'on commence à scripter, connaissez vous une solution de ce type ? Comment faites vous pour bien gérer vos ASA ? Merci. smime.p7s Description: S/MIME Cryptographic Signature
