Назад | Перейти на главную страницу

Межсетевой экран Cisco Multi-DMZ

Мне нужно найти брандмауэр, который предоставит мне 1 порт LAN и 5-7 портов DMZ.

У меня есть требование заменить некоторые системы FreeBSD, которые используются для запуска некоторого тестового оборудования. Важно, чтобы порты DMZ не могли взаимодействовать друг с другом, но порт LAN может связываться со всеми. Таким образом, пользователь локальной сети может подключиться к тестовым системам, но тестовые системы полностью изолированы и не могут мешать друг другу.

Одна из DMZ будет подключена к серверу VMWare ESXi, одна - к стандартному серверу, а остальные - к различным типам оборудования.

Порт локальной сети будет подключен к коммутатору корпоративной локальной сети.

Извините, если я немного неясен, я просто пытаюсь разобраться со всем этим сам! В настоящее время у нас настроена FreeBSD, но сетевые адаптеры с четырьмя портами довольно дороги, а сам ПК старый, поэтому я бы предпочел заменить его специальным комплектом, который может выполнять ту же работу, но более надежно! Эти испытательные стенды используются повсюду и довольно часто перемещаются, поэтому я стремлюсь к комплекту Cisco, чтобы упростить настройку и повысить надежность самого оборудования.

Спасибо

Один из Аппаратные межсетевые экраны Cisco серии 55xx ASA должно быть то, что вам нужно.

Вам, вероятно, следует внимательно изучить их различные спецификации и выбрать ту, которая дает вам правильный набор функций. (Мне сложно это сделать, потому что я не знаю точную настройку в настоящее время). Также выберите тот, который даст вам возможность расширяться в будущем.

Если бы я угадал, я бы выбрал модели 5520 или 5540 ..

Если вам нужна высокая доступность, вам понадобятся 2 из них, которые поддерживают конфигурацию активный / резервный. Это поддерживается моделями 5520 и выше.

Возможно, вы сможете сэкономить деньги, разместив порты DMZ в VLAN, которая затем распределяется управляемым коммутатором. Таким образом, вы можете транслировать трафик из нескольких DMZ через один порт с виртуальным интерфейсом (вы можете сделать это и на вашем компьютере с FreeBSD, это может избавить вас от необходимости иметь четырехпортовый серверный сетевой адаптер.) [YMMV на этом бите]

Я уточню, что описывает Кайл:

Вам нужен брандмауэр, который понимает теги 802.1q vlan. В идеале у него должен быть хотя бы один гигабитный интерфейс.

Вам нужен коммутатор, который также поддерживает теги 802.1q vlan.

Теперь - настройте каждую из ваших DMZ и свяжите каждую DMZ с другим тегом 802.1q, скажем, тегами 10, 20, 30 и 40.

Теперь добавьте все эти теги к одному интерфейсу на брандмауэре (таким образом создав «магистраль VLAN») и запустите эту «магистраль» на коммутатор, который также имеет эти теги VLAN, связанные с этим портом.

Теперь поставим еще несколько интерфейсов непомеченный на каждом влане и подключите те непомеченный порты к хост-компьютерам.

Теперь ваш брандмауэр имеет эксклюзивный доступ ко всем тегам и может применять списки управления доступом, которые предотвращают доступ одной подсети к любой другой подсети DMZ.

В зависимости от ваших требований безопасности, если у вас есть хороший современный коммутатор, вы можете сделать каждый dmz vlan и просто использовать один порт, а затем иметь правила, разделяющие каждый dmz на маршрутизаторе.

Хотя есть аргументы против этого, раньше были способы обойти vlans (vlan hopping), но я думаю, что нет ничего актуального. Кроме того, неправильная конфигурация коммутатора может привести к брешь в безопасности.