Мне нужно найти брандмауэр, который предоставит мне 1 порт LAN и 5-7 портов DMZ.
У меня есть требование заменить некоторые системы FreeBSD, которые используются для запуска некоторого тестового оборудования. Важно, чтобы порты DMZ не могли взаимодействовать друг с другом, но порт LAN может связываться со всеми. Таким образом, пользователь локальной сети может подключиться к тестовым системам, но тестовые системы полностью изолированы и не могут мешать друг другу.
Одна из DMZ будет подключена к серверу VMWare ESXi, одна - к стандартному серверу, а остальные - к различным типам оборудования.
Порт локальной сети будет подключен к коммутатору корпоративной локальной сети.
Извините, если я немного неясен, я просто пытаюсь разобраться со всем этим сам! В настоящее время у нас настроена FreeBSD, но сетевые адаптеры с четырьмя портами довольно дороги, а сам ПК старый, поэтому я бы предпочел заменить его специальным комплектом, который может выполнять ту же работу, но более надежно! Эти испытательные стенды используются повсюду и довольно часто перемещаются, поэтому я стремлюсь к комплекту Cisco, чтобы упростить настройку и повысить надежность самого оборудования.
Спасибо
Один из Аппаратные межсетевые экраны Cisco серии 55xx ASA должно быть то, что вам нужно.
Вам, вероятно, следует внимательно изучить их различные спецификации и выбрать ту, которая дает вам правильный набор функций. (Мне сложно это сделать, потому что я не знаю точную настройку в настоящее время). Также выберите тот, который даст вам возможность расширяться в будущем.
Если бы я угадал, я бы выбрал модели 5520 или 5540 ..
Если вам нужна высокая доступность, вам понадобятся 2 из них, которые поддерживают конфигурацию активный / резервный. Это поддерживается моделями 5520 и выше.
Возможно, вы сможете сэкономить деньги, разместив порты DMZ в VLAN, которая затем распределяется управляемым коммутатором. Таким образом, вы можете транслировать трафик из нескольких DMZ через один порт с виртуальным интерфейсом (вы можете сделать это и на вашем компьютере с FreeBSD, это может избавить вас от необходимости иметь четырехпортовый серверный сетевой адаптер.) [YMMV на этом бите]
Я уточню, что описывает Кайл:
Вам нужен брандмауэр, который понимает теги 802.1q vlan. В идеале у него должен быть хотя бы один гигабитный интерфейс.
Вам нужен коммутатор, который также поддерживает теги 802.1q vlan.
Теперь - настройте каждую из ваших DMZ и свяжите каждую DMZ с другим тегом 802.1q, скажем, тегами 10, 20, 30 и 40.
Теперь добавьте все эти теги к одному интерфейсу на брандмауэре (таким образом создав «магистраль VLAN») и запустите эту «магистраль» на коммутатор, который также имеет эти теги VLAN, связанные с этим портом.
Теперь поставим еще несколько интерфейсов непомеченный на каждом влане и подключите те непомеченный порты к хост-компьютерам.
Теперь ваш брандмауэр имеет эксклюзивный доступ ко всем тегам и может применять списки управления доступом, которые предотвращают доступ одной подсети к любой другой подсети DMZ.
В зависимости от ваших требований безопасности, если у вас есть хороший современный коммутатор, вы можете сделать каждый dmz vlan и просто использовать один порт, а затем иметь правила, разделяющие каждый dmz на маршрутизаторе.
Хотя есть аргументы против этого, раньше были способы обойти vlans (vlan hopping), но я думаю, что нет ничего актуального. Кроме того, неправильная конфигурация коммутатора может привести к брешь в безопасности.