Рекомендации по ведению сетевых правил (ACL списков)

Рекомендованная последовательность шагов

1. Разбить сеть на VLAN, заполнив в VLAN основные и вспомогательные адреса
2. Выгрузить конфигурационный файл с сетевого устройства и загрузить в acledit
3. Завести как минимум 2 шаблона правил, один для DMZ сервисов, другой для внутренних, например, дополнительно разрешающий трафик к мониторингу, DNS, NTP. Шаблоны позволят при в будущем быстро добавлять правила во все списки. Например, через некоторое время появится новый антивирус и надо будет на него разрешить трафик. Достаточно будет внести строку в одно место в шаблон и разрешение будет во всех сетевых правилаъ (ACL списках).
4. Заполнить справочники сервисов, сетей
5. Внести списки ACL. Так как шанс ошибки при настройке достаточно большой, то на первом этапе в последнем правиле стоит указать 998 permit any any log для логирования того трафика, который не учтен правилами.
6. Выгрузить из acledit настройки для ACL списков и загрузить их в устройства.
7. Вписать внешние IP адреса сетевых устройств в разрешенные в acledit и на сетевых устройствах добавить отправку логов в acledit
8. Периодически просматривать новые логи в acledit и разрешать / запрещать новые строки.
9. После того, как неизвестный трафик перестает появляться надо заменить правило 998 permit any any log на 998 deny any any log. Если планируется запрет внутреннего трафика, а трафик в интернет допустим, то надо установить 998 deny any 10.0.0.0/8 log 1000 permit any any

Условия использования

Программу можно использовать бесплатно согласно MIT License

© 2020 acledit@yandex.ru

При возникновении вопросов, предложений, обнаружении ошибок прошу их регистрировать по ссылке Gutlab.com проект acledit