Когда дело доходит до безопасности, списков ACL VLAN, политики DMZ брандмауэра и тому подобного, я новичок. Так что любая помощь будет оценена по достоинству.
Мы пытаемся спроектировать нашу сеть так, чтобы все наши веб-серверы находились в DMZ. У нас есть межсетевой экран Watchguard и коммутатор Dell Layer 3. Все наши веб-серверы являются виртуальными и размещены в кластере Hyper-V.
Мы создали две новые сети VLAN на коммутаторе уровня 3 под названием DMZ (VLAN 210) и CMZ (VLAN 211), каждая со своей собственной подсетью в диапазоне 172.20.X.X. Каждый из наших веб-серверов имеет два сетевых интерфейса, по одному для каждой новой VLAN. Мы пытаемся заблокировать любой доступ к нашей локальной сети с помощью правил ACL на коммутаторе уровня 3 и разрешить доступ только к межсетевому экрану, который находится в его собственной VLAN 200. На межсетевом экране мы настроили подсети VLAN. В VLAN 210 мы хотим иметь доступ к Интернету только для обновлений Windows, поскольку наши веб-серверы не будут присоединены к домену. На VLAn 211 мы хотим разрешить доступ к необходимым внутренним серверам через брандмауэр.
Когда у нас нет никаких правил ACL для 210 и 211, мы можем проверить связь со всеми внутренними серверами и получить доступ в Интернет на веб-серверах. Когда мы применяем ACL, который блокирует все внутренние подсети, но разрешает все другие подсети, кажется, что ничего не работает правильно. Мы попытались добавить несколько маршрутов на веб-серверах, чтобы они указывали на правильные внутренние серверы, но опять же, с установленным ACL, похоже, ничего не работает.
У меня два исходных вопроса: кажется ли то, что мы пытаемся сделать, хорошим вариантом с имеющимся у нас оборудованием? И нужно ли нам выполнять маршрутизацию на коммутаторе уровня 3, чтобы это работало? Пока я ничего не делал и не знаю как.
Спасибо!!
Watchguard - это брандмауэр, пытаться использовать коммутатор в качестве брандмауэра неразумно.
Я бы планировал избавиться от серверных интерфейсов к LAN, отдав им только один интерфейс в DMZ. Маршрутизируйте весь трафик через Watchguard, который должен иметь интерфейсы как в VLAN 210, так и в VLAN 211. Полностью избавьтесь от VLAN 200, избавьтесь от любой маршрутизации на коммутаторе, используйте Watchguard в качестве шлюза по умолчанию, избавьтесь от большинства списков ACL на переключатель (возможно, сохраняя те, которые ограничивают доступ к управлению коммутатором).
Затем используйте политики Watchguard, чтобы управлять тем, какой трафик может поступать откуда и куда, например политики, чтобы разрешить доступ DMZ к DNS-серверам, HTTP и HTTPS для Центра обновления Windows - предпочтительно через политики прокси, а также разрешить управляющие подключения (например, RDP) из локальной сети к веб-серверам.