ASA: Как подключить сервер с уже назначенным внешним IP-адресом?

В традиционной DMZ будет брандмауэр между DMZ и Интернетом, а также между DMZ и внутренней сетью. Все это можно сделать на ASA, но это зависит от модели и лицензирования.

Internet
--------- Firewall
DMZ (with your spam filter)
--------- Firewall
Inside network

Вы можете сделать этот первый брандмауэр программным, работающим на сервере спам-фильтра.

Таким образом, у вас может быть сервер в сети Интернет, если речь идет о ASA. Если у вас есть запасные порты на вашем ASA, вы можете просто назначить один для внешней сети (так что у вас будет два) и подключить к нему свой спам-сервер. Затем создайте правило брандмауэра, разрешающее трафик с сервера фильтрации спама во внутреннюю сеть по мере необходимости. Если у вас нет запасного порта, вам понадобится коммутатор перед ASA.

Вы могли бы получить больше удовольствия, используя DMZ vlan на самом ASA, и использовать ASA для межсетевого экрана спам-фильтра и внутренней сети. Вероятно, это наиболее близко к тому, что делал ваш Sonicwall.

Я не уверен, что это сработает для вас, но у меня есть облачный фильтр спама, который может взаимодействовать с моим внутренним сервером обмена, поэтому ситуация похожа на аналогичную.

У меня есть правило входящего доступа, которое позволяет источнику 24.172.x.132 разговаривать с получателем x.x.x.x (за пределами IP-адреса вашего сервера) для службы smtp.

Затем у меня есть статическое правило NAT на внешнем интерфейсе для источника 192.x.x.x (внутри ip вашего сервера) для службы smtp с адресом x.x.x.x (за пределами ip вашего сервера)

пример:

access rule:

outside: 
source;24.172.x.132
destination;server-outside-ip 
service;smtp 
action; permit

NAT Rule:

type;static
no destination
source;server-inside-ip
service;smtp
interface;outside

Можно ли было бы поставить коммутатор после модема и подключить к коммутатору как ASA, так и фильтр спама, а затем установить ACL, чтобы разрешить данные из фильтра во внутреннюю сеть?