Мой босс не будет нанимать сетевого парня, поэтому я изо всех сил стараюсь сделать это и помочь. Я достаточно хорошо знаю систему sonicwall, чтобы попасть в беду, но я ни в коем случае не эксперт. вот моя проблема:
у нас есть простая сеть, защищенная sonicwall nsa 240. Она отлично работает уже пару лет. это t1, и у нас есть единственный используемый ip. Недавно нам потребовалось пройти проверку соответствия PCI для нашей системы кредитных карт торгового счета. все проходит, кроме 1 элемента ... видеорегистратор системы видеонаблюдения, доступный из внешнего мира через наш IP-адрес на порте 8080 (входящий) и 5900 (исходящий) (это жестко запрограммировано в видеорегистраторе и не может быть изменено - у меня есть проверил это с производителем). поскольку он доступен и отвечает на запросы, мы не прошли наш тест pci.
Я могу получить другой IP-адрес (хотя они заставляют меня прыгать через обручи, чтобы получить его), но я не уверен, поможет ли это. Я уже использую dmz на sonicwall для общедоступного Wi-Fi в магазине для нашего дома, и не похоже, что я могу установить 2 dmz.
Есть ли способ маршрутизировать это так, чтобы видеорегистратор системы безопасности не был доступен и полностью отделен от другого внешнего IP-адреса? Доступен ли он для LAN, на самом деле не имеет значения. Мне просто нужно, чтобы он был полностью на собственном внешнем IP-адресе. очевидно, что самым простым способом здесь было бы просто получить другое интернет-соединение (кабель или dsl), но мы пытаемся избежать этих дополнительных 50 долларов в месяц, когда у нас уже есть t1 с большой пропускной способностью.
Когда вы говорите, что можете получить другой IP-адрес, будет ли он маршрутизирован через вашу линию T1, или вы говорите о новой физической линии, входящей в коробку? Если вы можете получить второй IP-адрес, маршрутизируемый через существующую линию T1, то да, вы можете легко преобразовать все запросы на новый IP-адрес на порт 8080 в DVR, тогда любой извне должен быть уведомлен для доступа к нему. новый IP-адрес. Если это новый физический провод, вы все равно сможете это сделать, если у вас есть доступный интерфейс. Просто подключите его, установите в зону WAN, настройте его с новым IP-адресом и установите свои правила NAT.
Если это что-то вроде nsa 3500 (это то, что я использую, и я думаю, что так и должно быть, поскольку они оба используют Sonicwall OS Enhanced), тогда да, вы сможете создать более одной DMZ, хотя, если вы этого не сделаете не требовать, чтобы ваш DVR был отключен от LAN, тогда это, вероятно, не обязательно.