由于使用年限、容量以及 Windows 7 不支持 VPN 软件,我们正在将防火墙从 Cisco Pix 501 迁移到 Netgear FVS336G。防火墙提供 DHCP、传出互联网和传入 VPN(我不确定是哪些协议)。不需要其他类型的连接。
我们还使用 Netgear DG834G 无线 ADSL 防火墙路由器作为 ADSL 调制解调器。NAT 已禁用,但防火墙似乎已启动。
我们有 6 个外部 IP 地址(host1-host6,其中 Cisco 为 host5),并且 ADSL 路由器配置为将 Cisco 防火墙视为 DMZ 服务器。据我了解,这意味着所有未知的传入协议都会路由到 PiX。
是否可以并行运行这两个防火墙,其中 NetGear 防火墙为新配置的客户端提供 DHCP、传出互联网和 VPN,而 Cisco 仅为旧客户端提供 VPN,如下图所示?
+------+ +----+
IP=Host5 | PiX | | |
+--------+ +-------| Fire |---| |
| | | | wall | | R |
Internet | ADSL | | +------+ | o |
----------| ROUTER |---+ <IP=Host6 | u |
IP | | | +------+ | t |
x.x.x.x +--------+ | | NetG | | e |
+-------| Fire |---| r |
IP=Host1 | wall | | |
+------+ +----+
如果是这样,我们是否可以简单地保留 Cisco 和 ADSL 路由器,并在不同的 IP 地址(host1)上设置 Netgear 防火墙,或者我是否需要配置 ADSL 路由器以将不同的协议路由到不同的 IP 地址?
作为中途的一步,我是否只需关闭 ADSL 路由器上的防火墙,然后根据需要配置 NetGear?
另外,我该如何在 Pix 中禁用 DHCP 服务器等?通过一些随机的谷歌搜索,以下内容似乎应该有效。这是正确的吗?
conf t
clear dhcpd
wr m
答案1
假设您的 DG834G 只是路由,而不是防火墙,发起 VPN 连接应该没问题,因为客户端将联系 PIX 外部 IP 地址 (host5),而不是 netgear (host6)。但是您说的是“dmz 服务器”,所以我不确定这在这种情况下是什么意思……
我认为一个问题是外部 VPN 客户端和内部服务器之间的流量会发生什么。思科可能是 VPN 端点,因此流量在 pix 上解密。然后,此流量(明文)转发到服务器,服务器回复。此回复需要路由到 pix 进行加密,而不是 netgear - 那么内部路由器如何知道哪些流量是 vpn 流量,哪些不是?如果您的思科 vpn 从地址池中为客户端提供 IP 地址,那么您需要将其从不同于内部网络的地址池中获取 - 这样,您只需将路由放入内部路由器即可将此类流量定向到 pix。这可能意味着您需要在 pix 上运行一个仅供 vpn 客户端使用的 dhcp 服务器。