我们有一个小型商务办公室,但由于 PCI 合规性,我们需要将其分成两个互联网网络(一个“合规”,一个供任何其他设备使用)。
我们目前有一个 Draytek 调制解调器/wan 负载平衡器,它也具有防火墙,但它非常基础,并且不支持每个 VLAN 上单独的安全策略。
因此,我刚刚购买了 ASA 5505,并希望获得一些设置方面的指导:
VLAN:
- 外部(draytek)
- InsidePci(我们的安全区域,包含 Windows 域控制器/dhcp/等)
- 内部(只是一个常规网络,只有互联网访问并且没有连接到 VLAN)
我的问题:
目前,所有内容都在一个子网 192.168.2.x 上。draytek 有一个静态 IP,其他所有内容都从我们的 Windows DHCP 服务器分配一个 IP。由于此 Windows 服务器将位于“insidepci”网络内,我计划让此 vlan 继续使用它,而常规“内部”网络使用来自 ASA 的 DHCP。这可能吗?
我是否需要将 draytek 放在它自己的子网上(因此 draytek 就在 192.168.3.x 上),因为似乎我无法将同一范围内的 IP 分配给两个不同的 VLAN。
从网上的指南来看,我似乎需要一个内部路由器?我不知道这一点,我希望我可以将一个交换机分配给“内部”VLAN,将一个单独的交换机分配给“insidepci”VLAN?这些 VLAN 之间不需要通信,但两者都需要能够访问“外部”(draytek 网关)
答案1
当谈到 PCI 合规性时,您要做的第一件事就是想尽一切办法限制您的范围。您已经在网络分段方面取得了很大进展,因为您实际上考虑了哪些系统不涉及并将它们移到其他地方。在理想情况下,您的 PCI 环境将位于物理上独立的网络中,但这不是必需的。概念化分段的最佳方法是围绕广播域的概念。实际上,有很多不同的方法可以充分获得必要的分段级别,
- 将范围内的设备放在单独的子网上
- 将范围内的设备放置在与范围外设备位于同一地址空间的私有 VLAN 上
- 在范围内和范围外之间安装透明防火墙
- ETC
话虽如此,您应该能够使用 5505 作为主要隔离设备,并在需要更多端口时将其他交换机挂在其上。您只需确保来自 VLAN 的任何流量inside在进入 VLAN 之前都通过防火墙模块insidepci。
PCI 安全标准委员会有一份文件,名为浏览 PCI DSS v2.0。我强烈建议您通读一遍,以便您更好地理解意图的要求。这应该有助于您正确制定合规要求。
免责声明:我不是 QSA、ASV 或 ISA。我给出的任何建议都是友好的,遵循这些建议并不意味着遵守。