Назад | Перейти на главную страницу

Fortigate Firewall - DMZ против интерфейсных портов

Я подумываю о покупке межсетевого экрана Fortigate 50b (или Fortigate 60b), чтобы отделить мою веб-машину (iis) от машины DB. (Видеть http://www.fortinet.com/doc/FGT50_100DS.pdf)

До сих пор два сервера были подключены напрямую через кросс-кабель через вторую сетевую карту.

Модель 50b не имеет порта DMZ.

Что это значит? В чем разница между портом DMZ межсетевого экрана и портом интерфейса? Нельзя ли создавать правила (блокировать / разрешать трафик на основе порта) для порта интерфейса?

P.S: Я знаю, что в целом я должен поместить любой сервер, подключенный к wan (Интернету), на порт DMZ, но на нашем текущем брандмауэре (Fortigate 200a) любой интерфейсный порт может использоваться как порт dmz ..

Спасибо.

Совершенно верно, у меня здесь 50B и dmz. Просто используйте любой интерфейсный порт и настройте его с помощью правил брандмауэра из командной строки. используйте такую ​​концепцию, как псевдоним в старом школьном брандмауэре с одним интерфейсом. Просто определите, где вы хотите получить интересный трафик идти или не идти, и все готово.

Что касается dmz, не позволяйте ему переходить во внутреннюю сеть и разрешайте ему переходить к вашему wan-интерфейсу. В противном случае вы можете ограничить, выбрав только http, https и dns.

DMZ - это просто термин проектирования сети, который означает, что сеть защищена брандмауэром таким образом, что она не может инициировать трафик в защищенную сеть. В этом отношении нет ничего особенного ни в порту, ни в этой сети. Хотя порт, помеченный как DMZ с точки зрения программного обеспечения брандмауэра, может иметь другое правило брандмауэра по умолчанию, примененное к нему.

Я не знаю насчет 50b, но с 60b вы можете отключить все внутренние порты и запустить разные сети на каждом порту. Правила брандмауэра и все другие функции FortiGate отлично работают между этими сетями. Я использовал этот подход, чтобы создать несколько DMZ с помощью FortiGate 60b пару лет назад. Так что я не вижу причин, по которым это не сработает.