У нас есть требование к нашему Watchguard Firebox XTM505, чтобы иметь возможность разделить наш входящий внешний интерфейс, в данном случае выделенную выделенную оптоволоконную линию, 100/100.
Мы используем линию в нашем офисе примерно из 30 машин, однако мы также перепродаем ее сторонней компании, которая использует ее для предоставления беспроводных интернет-решений для населения.
Текущая инфраструктура выглядит следующим образом:
Данные в (выделенная линия) -> Juniper SRX210, управляемый интернет-провайдером -> 1 кабель к неуправляемому коммутатору Netgear -> 1 кабель к нашему брандмауэру и офисной сети, 1 кабель к базовому маршрутизатору внешних поставщиков, управляемому ими.
Нам сообщили, что нахождение неуправляемого коммутатора в положении, в котором он находится, представляет собой угрозу безопасности, и что хорошим вариантом было бы заставить наш брандмауэр Watchguard выполнить разделение, разделив наш офис на доверенный интерфейс и "проходя через" внешняя линия к их управляемому маршрутизатору. Утверждается, что Watchguard способен на это, а также ограничивает скорость интерфейсов, то есть 20 Мбит / с для доверенного интерфейса и 80 Мбит / с для «сквозного», однако техническая поддержка Watchguard, похоже, не в состоянии понять, что мы ' повторно пытаюсь достичь.
Может ли кто-нибудь дать совет о том, возможно ли это на устройстве Watchguard и как или, возможно, есть лучший способ добиться этого, возможно, с помощью управляемого коммутатора вместо неуправляемого?
Изменить: я приложил диаграмму того, что пытаюсь объяснить. Итак, рис.1 - это то, что у нас есть сейчас, и нам сообщили, что оранжевая пунктирная область - это лазейка безопасности. Мы хотим разделить соединения, а не просто использовать тупой переключатель, поэтому рисунок 2 - это то, чего мы хотим достичь. Однако красная линия идет к другому маршрутизатору, контролируемому третьей стороной. Мы хотим делать как можно меньше, в идеале ничего не делать с этой стороной сети, поскольку они обрабатывают всю свою маршрутизацию и политики на своем оборудовании, мы просто пытаемся разделить это перед этим. Конечно, если люди думают, что в этом нет необходимости или есть лучший способ добиться этого, пожалуйста, скажите!
Ура
Кто бы ни сказал вам, что нынешний дизайн представляет угрозу безопасности, ошибается. Пока вы управляете переключателем перед брандмауэром и убедитесь, что никто не может настроить зеркалирование портов или что-то подобное, я не вижу лучшего способа сделать это с вашим текущим оборудованием. Они ведь не за вашим брандмауэром, что представляет большую угрозу безопасности, чем то, что вы делаете сейчас.
Если вам действительно нужно ограничение скорости, я бы купил другой брандмауэр (или маршрутизатор), чтобы установить его между ISP CE (Juniper) и вашим брандмауэром, и таким образом разделить компании.
Всем этим управлять можно через WatchGuard
VLAN - доверенный интерфейс в WG, VLAN по умолчанию для вас и вторичная VLAN для другого клиента.
Затем вы можете применить регулирование полосы пропускания к интерфейсам VLAN, где это необходимо - нет необходимости в ненадежном коммутаторе.
Старый вопрос, который я знаю, просто подумал, что брослю его там