我需要找到一个能给我 1 个 LAN 端口和 5-7 个 DMZ 端口的防火墙。
我有一个需求,需要替换一些用于运行某些测试设备的 FreeBSD 系统。DMZ 端口不能相互通信,但 LAN 端口可以与所有人通信,这一点至关重要。这样,LAN 上的用户可以连接到测试系统,但测试系统完全隔离,不会相互干扰。
其中一个 DMZ 将连接到 VMWare ESXi 服务器,一个 DMZ 将连接到标准服务器,其余 DMZ 将连接到各种类型的设备。
该 LAN 端口将连接到企业 LAN 交换机。
抱歉,如果我说得有点模糊,我只是想自己解决这一切!目前我们配置了一个 FreeBSD,但四端口 NIC 非常昂贵,而且 PC 本身很旧,所以我更愿意用一个可以完成相同工作但更可靠的专用套件来替换它!这些测试设备随处可见,而且经常移动,所以我的目标是 Cisco 套件,以便于配置和硬件本身的可靠性。
谢谢
答案1
中的一个Cisco 55xx 系列 ASA 硬件防火墙应该是你想要的。
您可能应该仔细查看它们的各种规格,然后选择能为您提供正确功能集的规格。(这对我来说很难,因为目前不知道您的确切设置)。另外,选择一个能为您提供未来扩展空间的规格。
如果我不得不猜测的话,我会说选择 5520 或 5540 型号。
如果您想要高可用性,则需要 2 个支持主动/备用配置的服务器。5520 及以上型号支持此功能。
通过将 DMZ 端口放在 VLAN 上,然后由托管交换机进行分配,您可能会节省一些钱。这样,您就可以通过虚拟接口将多个 DMZ 流量中继到单个端口(您也可以在 FreeBSD 机上执行此操作,这样就不必使用四端口服务器 NIC。)[不过,这一点可能因人而异]
答案2
我将详细说明 Kyle 的描述:
您需要一个能够理解 802.1q VLAN 标记的防火墙。理想情况下,它至少有一个千兆位接口。
您需要一个也能支持 802.1q vlan 标记的交换机。
现在——配置每个 DMZ 并将每个 DMZ 与不同的 802.1q 标签关联,假设标签为 10、20、30 和 40。
现在,将所有这些标签添加到防火墙的一个接口(从而创建“VLAN 中继”),并将该“中继”运行到交换机,还具有与该端口关联的 VLAN 标签。
现在,把其他几个接口未标记在每个 VLAN 上并连接这些未标记端口至主机。
现在,您的防火墙对所有标签具有独占访问权限,并可以强制执行 ACL,以防止一个子网访问任何其他 DMZ 子网。
答案3
根据您的安全需求,如果您有一个好的现代交换机,您可以将每个 dmz 设为一个 vlan 并只使用一个端口,然后在路由器上制定分离每个 dmz 的规则。
不过,也有人反对这种做法,过去有办法绕过 VLAN(VLAN 跳跃),但我认为目前没有什么办法了。此外,交换机配置错误可能会导致安全漏洞。