Назад | Перейти на главную страницу

Настройка DMZ с двумя брандмауэрами - трафик из DMZ в LAN и из LAN в DMZ

Я настраиваю сеть с машинами, которые должны быть доступны из Интернета. Я планирую поместить их в демилитаризованную зону. Некоторым машинам в DMZ необходим доступ к машинам в частной сети, а машинам в частной сети нужен доступ к машинам в DMZ.

Я читал, что наиболее безопасная реализация - это реализация с двумя брандмауэрами. Я планирую использовать два межсетевых экрана - CISCO ASA 5500.

Хотя меня интересует, как я могу реализовать это с этими конкретными устройствами, меня также интересует теоретическая сторона, потому что я создаю документацию для клиентов нашей компании о том, как это настроить. Инструкции, относящиеся к устройствам, которые я использую, помогают, но я также хочу знать, как решить эту проблему в целом.

У меня есть три конкретных машины:

Как описывают их названия, DMZ_Web и DMZ_Service находятся в DMZ, а INT_SRV - это внутренний сервер.

Еще у меня есть два межсетевых экрана:

Коротко:

Сеть:

Ниже приведена диаграмма, которая, я надеюсь, ответит на многие вопросы, касающиеся топологии.

Я понял, что мне может потребоваться настроить некоторые статические правила NAT для передачи трафика с машин DMZ во внутреннюю сеть и наоборот, но я не уверен.

Одна вещь, на которую я хотел бы обратить внимание, это то, что внутренняя сеть подключена к FW1 и FW2. Он подключен к FW1, чтобы разрешить доступ в Интернет. Он подключен к FW2, чтобы иметь доступ к устройствам в DMZ.

Я не уверен, что это правильно. Если это неверно, какова правильная реализация? Также, если это неправильно, будет ли это работать?

Я обыскал повсюду, но не нашел места, в котором реализовано все мое решение. В большинстве случаев это был кусок здесь и там. Мне не удалось собрать все части вместе :(

Если вы собираетесь использовать два уровня брандмауэра, то лучшая практика безопасности диктует, что вы используете двух разных поставщиков, при этом теория заключается в том, что уязвимости в одном не будет в другом (по моему опыту, это верно на практике). Если вы еще не приобрели два ASA и ваш бюджет позволяет, я бы рекомендовал использовать другое решение для одного из уровней.

Технически говоря, у вас нет DMZ. Настоящая DMZ будет висеть на вашем внешнем уровне межсетевого экрана, а не на vlan между двумя уровнями межсетевого экрана. Возможно, это семантика, и вы вряд ли сможете что-то с этим поделать. Для обратных подключений из вашей DMZ в вашу LAN вам нужно пройти только через один брандмауэр. Большинство людей разделяют такие зоны с помощью двух межсетевых экранов со средним уровнем между двумя межсетевыми экранами. Ваш дизайн объединяет DMZ и средний уровень, и, честно говоря, серверы DMZ в этой конфигурации являются хорошей точкой перехода (если взломаны) к вашей локальной сети, где, как я полагаю, хранятся более важные данные и т. Д.

Просто интересно, позволяет ли ваш бюджет переключаться на L2 / L3, чтобы ваши серверы не были напрямую подключены к брандмауэрам?

Я не верю, что для внутреннего доступа из локальной сети к серверам DMZ вам понадобятся правила NAT, потому что у вас может быть просто маршрут из вашей лаборатории в сеть 192.169, чтобы пройти через внутренний брандмауэр (при условии, что он настроен на разрешение и маршрутизировать эти пакеты).

Почему вы используете 192.169.. как внутренний диапазон IP? Прочтите RFC1918, это не частный диапазон IP-адресов.

Как клиенты выходят в Интернет?