Vpn

Cisco ASA 與 pfSense - 數據包檢測如何與 VPN 配合使用

  • September 1, 2017

我們有一個小型辦公室,我們大約 75% 的基礎架構是基於雲的,包括我們用於遠端訪問和站點到站點連接的 pfSense 部署,這是目前面向公眾的。我們決定部署支持 Firepower 的 Cisco ASA 作為我們的本地外圍防火牆。

是否有人有使用 Firepower 許可和/或 pfSense 中包含的 IPS 功能以及安裝在內聯模式下執行的 Suricata 包的經驗以及如何處理 VPN 流量?由於我們要連接到由 pfSense 管理的 VPN 伺服器,為了滿足合規性需求,我們需要準確確定數據包檢查發生的位置。

使用從我們的本地 ASA 連接到 pfSense 的 IPsec VPN 客戶端,ASA 是否會在路由之前解密數據包並將其轉發到 Firepower 模組進行檢查,還是會在發送數據包之前或之後在 pfSense/Suricata 端進行處理從 VPN 伺服器到 ASA?

我不是 100% 清楚你的設計目標是什麼,但我想我可以幫你回答你的問題。

無論您的對等端點是什麼,VPN 流量都將被加密/解密。如果您有 VPN 流量通過 ASA 到 pfSense,FirePower 無法檢查任何該流量。

如果您在 ASA 處終止 VPN,那麼我認為此連結將幫助您在 ASA 將流量發送出出口介面之前查看 Firepower 模組的使用位置。

見圖 2-15 http://www.ciscopress.com/articles/article.asp?p=2730336&seqNum=7

引用自:https://serverfault.com/questions/871364