F5 AFM - InterVLAN Security
Il existe principalement quatre architectures pour les services d'équilibrage de charge. Le mode à un bras est largement déployé lorsque nous voulons que seul le trafic des services de charge passe par des appareils d'équilibrage de charge, par exemple, lorsque les appareils d'équilibrage de charge sont licenciés par débit. Par conséquent, le trafic de service hors charge ne passe pas par les équilibreurs de charge. Le mode DSR ou le mode de retour direct du serveur n'est pas beaucoup utilisé car il y a un routage asymétrique et il y a beaucoup de problèmes avec les pare-feu de type stateful. Le mode transparent n'est pas utilisé. En fait, je n'ai jamais installé cette architecture du tout. Enfin, le mode route est également très déployé lorsque l'on dispose de dispositifs d'équilibrage de charge performants. Cependant, cette architecture nécessite que la passerelle de serveur soit l'équilibreur de charge qui ont des problèmes de sécurité.
Le principal problème de sécurité dans les architectures en mode route est de savoir comment refuser et autoriser le trafic inter-vlan, car si nous créons un serveur virtuel IPF, tout le trafic inter-vlan est autorisé par défaut. Cependant, il existe plusieurs configurations que nous pouvons appliquer pour refuser et autoriser le trafic inter-VLAN lorsque le mode route est déployé. Une méthode consiste à configurer des serveurs virtuels avec une passerelle de pare-feu en tant que membre du pool, mais il existe une bien meilleure méthode si le pare-feu est sous licence dans F5 BIG-IP.
J'ai enregistré une vidéo dans laquelle vous pouvez voir comment configurer une politique de sécurité avec des règles dans F5 AFM pour autoriser du trafic inter-VLAN ainsi que du trafic Internet. Tout d'abord, j'ai créé une règle pour autoriser uniquement le trafic Internet et, par conséquent, le trafic inter-VLAN est refusé. Enfin, j'ai modifié la politique pour autoriser également un certain trafic inter-VLAN. Vous pouvez également voir comment configurer un profil de journalisation pour voir le journal de trafic.
Le principal problème de sécurité dans les architectures en mode route est de savoir comment refuser et autoriser le trafic inter-vlan, car si nous créons un serveur virtuel IPF, tout le trafic inter-vlan est autorisé par défaut. Cependant, il existe plusieurs configurations que nous pouvons appliquer pour refuser et autoriser le trafic inter-VLAN lorsque le mode route est déployé. Une méthode consiste à configurer des serveurs virtuels avec une passerelle de pare-feu en tant que membre du pool, mais il existe une bien meilleure méthode si le pare-feu est sous licence dans F5 BIG-IP.
J'ai enregistré une vidéo dans laquelle vous pouvez voir comment configurer une politique de sécurité avec des règles dans F5 AFM pour autoriser du trafic inter-VLAN ainsi que du trafic Internet. Tout d'abord, j'ai créé une règle pour autoriser uniquement le trafic Internet et, par conséquent, le trafic inter-VLAN est refusé. Enfin, j'ai modifié la politique pour autoriser également un certain trafic inter-VLAN. Vous pouvez également voir comment configurer un profil de journalisation pour voir le journal de trafic.
Comment configurez-vous le trafic inter-VLAN dans F5 BIG-IP ?
Commentaires
Enregistrer un commentaire