有什么想法可以在 ASA 上完成此操作吗?之前有一个 SonicWall,但它刚刚坏了,除了这个 ASA,我们没有替代品。24.172.x.132 是一个垃圾邮件过滤器,我无法更改 IP 地址。它需要能够访问 LAN 中的一台服务器。
答案1
传统 DMZ 会在 DMZ 与互联网之间以及 DMZ 与内部网络之间设置防火墙。您可以在 ASA 上完成所有操作,但这取决于型号和许可。
Internet
--------- Firewall
DMZ (with your spam filter)
--------- Firewall
Inside network
您可以将第一个防火墙设为软件防火墙,并在垃圾邮件过滤服务器上运行。
因此,就 ASA 而言,您可以将服务器置于 Internet 网络上。如果您的 ASA 上有备用端口,您可以只将一个端口分配给外部网络(这样您就有两个端口),并将垃圾邮件服务器连接到该端口。然后根据需要创建防火墙规则,允许垃圾邮件过滤服务器的流量进入您的内部网络。如果您没有备用端口,则需要在 ASA 前安装交换机。
您可以在 ASA 本身上使用 DMZ VLAN,并使用 ASA 防火墙来过滤垃圾邮件过滤器和内部网络。这可能最接近您的 Sonicwall 所做的。
答案2
解决方案是否是在调制解调器后面放置一个交换机,并将 ASA 和垃圾邮件过滤器都连接到交换机,然后放置 ACL 以允许数据从过滤器传输到内部网络?
答案3
我不确定这是否适合您 - 但我有一个可以与我的内部交换服务器对话的云垃圾邮件过滤器,所以看起来情况类似。
我有一个传入访问规则,允许源 24.172.x.132 与服务 smtp 的目标 xxxx(服务器的外部 ip)进行通信。
然后我在外部接口上为源 192.xxx(服务器的内部 IP)设置一个静态 NAT 规则,用于服务 smtp 的地址为 xxxx(服务器的外部 IP)
例子:
access rule:
outside:
source;24.172.x.132
destination;server-outside-ip
service;smtp
action; permit
NAT Rule:
type;static
no destination
source;server-inside-ip
service;smtp
interface;outside