使用三个防火墙区域评估此网络

使用三个防火墙区域评估此网络

我想为一次性项目建立一个基本实验室。

我的想法是这样的:

computer ->Router -> firewall e0 -> switch 1 -> DMZ (just a web server for now)
                     firewall e1 -> switch 2 -> inner network (office comps)

现在,它不会以任何方式连接到互联网,它将全部位于同一个 LAN 内。我通常使用 192.168.1.0 和 205.7.5.0...但这可能并不那么重要。

我的问题:

首先,这个设置能用吗?它不需要太好。我只想对目标机器进行一些扫描,并在防火墙上设置一些新规则。我担心计算机与路由器的连接,我只需要它连接到网络,而我没有其他交换机。我想我可以随时断开连接并移动它们以显示另一种场景。

其次,我可能需要为此设置做哪些特殊配置(RIP、中继等)?

如果需要的话我确实有另一个路由器,但只有一根交叉电缆,如果需要的话我确实有一条路由器的串行线。

答案1

如果所有工作站/测试机器都在同一个子网中,那么它就可以正常工作。我建议您打开 DHCP 服务器,这样您的测试机器就可以更轻松地获取 IP 和默认网关。

如果没有,则需要配置静态路由或路由协议。

根据您的设备的使用年限,不再需要交叉电缆,现代交换机和路由器足够智能,可以检测到连接到它们的设备。

答案2

您的路由器上至少需要 3 个端口,因为您有 3 个子网。

(暂时忽略防火墙)您不需要任何类型的动态路由,因为您只有 3 个子网直接连接到路由器。只有当您有多个路由器时才需要共享路由。每个子网上的机器应使用路由器的 IP 地址作为其子网上的接口作为默认网关(上游网关)。

如果您使用透明防火墙(防火墙没有 IP 地址),则您只有 3 个子网。如果您不想使用桥接防火墙,则需要有其他子网,然后您需要通知路由器“子网 dmz”可通过接口 X 访问,反之亦然。

一旦开始在第 3 层(IP 和子网)进行分段,可能会使 DHCP 变得更加复杂,因为它依赖于子网内的广播。

答案3

该设置是有效的,但是对于这种规模的设置,我建议只在路由器和防火墙上使用静态路由。如果您计划进行一些扫描,请注意防火墙上的 nat。您可能根本不想进行 nat。

至于 RIP,它不是必需的,但如果您想学习路由协议,请使用 OSPF 或 EGRP。

如果您只是想学习,您可以尝试中继或 VLANS,但这种规模的网络不会从 VLAN 提供的第 2 层优化中受益匪浅。更不用说在这些图中,您的交换机上似乎只有一个或没有连接任何设备。

如今,大多数现代设备不需要交叉线,但如果您遇到一些较旧的设备,例如这些,则很可能需要创建交叉电缆。

相关内容