firewall Cisco Multi-DMZ

Navegue suas respostas
1

Eu preciso encontrar um firewall que me forneça 1 porta LAN e 5-7 portas DMZ.

Eu tenho um requisito para substituir alguns sistemas FreeBSD que são usados para executar algum equipamento de teste. É essencial que as portas DMZ não possam se comunicar umas com as outras, mas a porta LAN pode se comunicar com todos. Dessa forma, um usuário na LAN pode se conectar aos sistemas de teste, mas os sistemas de teste são totalmente isolados e não podem interferir uns com os outros.

Uma das DMZs será conectada a um servidor VMWare ESXi, uma a um servidor padrão e o restante a vários tipos de equipamentos.

A porta lan será conectada ao switch da LAN corporativa.

Desculpe se estou um pouco vago, estou apenas tentando resolver tudo isso sozinho! Atualmente temos um FreeBSD configurado, mas as NIC's de porta quádrupla são bem caras, e o PC em si é antigo, então eu prefiro substituí-lo por uma peça dedicada de kit que pode fazer o mesmo trabalho, mas de forma mais confiável! Esses equipamentos de teste são usados em todo o lugar, e são movidos com bastante frequência, então estou buscando o kit da Cisco para facilitar a configuração e a confiabilidade do hardware em si.

Obrigado

    
por BParker 21.04.2010 / 11:06

3 respostas

3

Um dos firewalls de hardware Cisco 55xx série ASA deve ser o que você depois.

Você provavelmente deve dar uma boa olhada nas várias especificações e escolher aquela que oferece o conjunto de recursos certo. (É difícil para mim fazer isso, sem saber sua configuração exata atualmente). Escolha também uma que lhe dará espaço para expandir no futuro.

Se eu tivesse que adivinhar, eu diria para escolher os modelos 5520 ou 5540 ...

Se você quiser alta disponibilidade, precisará de 2 desses recursos, que suportam a configuração ativa / em espera. Isto é suportado pelos modelos 5520 e acima.

Você pode economizar algum dinheiro tendo as portas DMZ em uma VLAN, que é então distribuída por um switch gerenciado. Dessa forma, você poderia fazer o trunk do tráfego de múltiplas DMZs através de uma única porta, com uma interface virtual (você poderia fazer isso na sua caixa FreeBSD também, você pode ter que ter uma NIC com servidor de porta quádrupla). / p>     

por 21.04.2010 / 11:28
2

Vou elaborar sobre o que Kyle está descrevendo:

Você precisa de um firewall que entenda a marcação vlan 802.1q. Idealmente, ele terá pelo menos uma interface de gigabit.

Você precisa de um switch que também fale de marcação vlan 802.1q.

Agora - configure cada um dos seus DMZs e associe cada DMZ a uma tag 802.1q diferente, digamos que as tags sejam 10, 20, 30 e 40.

Agora, adicione todas essas tags a uma interface no firewall (criando assim um "tronco de VLAN") e execute esse "trunk" para um switch que também tem as tags de VLAN associadas a essa porta .

Agora, coloque várias outras interfaces sem tag em cada vlan e conecte as portas sem tag aos computadores host.

Agora, seu firewall tem acesso exclusivo a todas as tags e pode impor ACLs que impedem que uma sub-rede acesse qualquer outra sub-rede DMZ.

    
por 21.04.2010 / 16:12
0

Dependendo das suas necessidades de segurança, se você tiver um bom switch moderno, você pode transformar cada dmz em vlan e usar apenas uma porta, e depois ter as regras que separam cada dmz no roteador.

Existem argumentos contra isso, no entanto, costumava haver maneiras de contornar vlans (vlan hopping), mas acho que não há nada atual. Além disso, uma configuração incorreta do switch pode levar a uma falha de segurança.

    
por 21.04.2010 / 14:56

Tags

O banco de dados do Sql falha em todas as noites Servidor com múltiplos endereços IP?