Назад | Перейти на главную страницу

Конфигурация Cisco ASA для офиса, совместимого с PCI

У нас есть небольшой офис, но из-за соответствия требованиям PCI нам необходимо разделить его на две интернет-сети (одну «совместимую» и одну для использования любых других устройств).

В настоящее время у нас есть балансировщик нагрузки модема / WAN Draytek, который также имеет брандмауэр, но он очень простой и не поддерживает отдельные политики безопасности для каждого vlan.

Таким образом, я только что купил ASA 5505 и хотел бы кое-какие указания по настройке:

ВЛАНС:

  1. Снаружи (Драйтек)
  2. InsidePci (наша безопасная зона, содержит контроллер домена Windows / dhcp / etc)
  3. Внутри (просто обычная сеть с доступом в Интернет и без подключения к vlan

Мои вопросы:

  1. На данный момент все находится в одной подсети 192.168.2.x. Драйтек имеет статический IP-адрес, а всему остальному IP-адрес назначается нашим DHCP-сервером Windows. Поскольку этот сервер Windows будет находиться в сети «insidepci», я планировал, чтобы этот vlan продолжал использовать его, а также обычную «внутреннюю» сеть, использующую DHCP от ASA. Это возможно?

  2. Нужно ли мне помещать дрейтек в его собственную подсеть (так что драйтек, скажем, находится на 192.168.3.x), поскольку кажется, что я не могу выделить IP-адрес в одном и том же диапазоне для двух разных VLAN.

  3. Глядя на одно из онлайн-руководств, кажется, что мне тогда понадобится внутренний маршрутизатор? Я не знал об этом, я надеялся, что смогу просто назначить один коммутатор для «внутренней» VLAN, а отдельный коммутатор - для «insidepci» vlan? Нет необходимости связываться между этими VLANS, но оба должны иметь доступ «извне» (шлюз draytek)

Когда дело доходит до соответствия PCI, первое, что вам нужно сделать, - это найти все, что можно, чтобы ограничить свой объем. Вы уже добились хороших успехов в сегментации сети, фактически думая о том, какие системы не задействованы, и перемещая их в другое место. В идеальном мире ваша PCI-среда должна быть размещена в физически отдельной сети, однако это не является обязательным требованием. Лучший способ концептуализировать вашу сегментацию - это идея широковещательного домена. На самом деле существует множество различных способов адекватно получить необходимый уровень сегментации,

  • Размещение вашего оборудования в отдельной подсети
  • Размещение оборудования в частной сети VLAN в том же адресном пространстве, что и вне области
  • Установка прозрачного межсетевого экрана между входящим и выходящим за пределы
  • и т.д

При этом вы сможете обойтись без использования 5505 в качестве основного изолирующего устройства и отключения от него других переключателей, если вам понадобятся дополнительные порты. Вы просто хотите убедиться, что любой трафик из inside VLAN проходит через модуль межсетевого экрана перед входом в insidepci VLAN.

У Совета по стандартам безопасности PCI есть документ под названием Навигация по PCI DSS v2.0. Я настоятельно рекомендую прочитать его, чтобы вы могли лучше понять намерение требований. Это должно помочь вам правильно сформулировать требования для соответствия.

Отказ от ответственности: я не являюсь QSA, ASV или ISA. Любой совет, который я даю, является дружественным, и следование ему никоим образом не означает соблюдения.