配置具有 2 个 VLAN 的防火墙设备 - 如何配置防火墙上的出站链接?

配置具有 2 个 VLAN 的防火墙设备 - 如何配置防火墙上的出站链接?

我们刚刚订购了 SonicWall NSA 4500 防火墙,我正在为它的到货准备网络图。

  • 我们在新安装的机架中安装了 12 台服务器、一台 48 端口交换机和一台 Sonicwall NSA 4500 防火墙
  • 我想要 2 个 VLAN,一个用于公共流量的 DMZ 和一个防火墙将提供 NAT 的内部网络
  • DMZ VLAN 将连接到防火墙端口 1
    • DMZ VLAN 中的所有服务器都具有公共互联网可路由 IP(它们是 Web 服务器,每个盒子都有第二个 NIC 连接到内部网络,以便与内部盒子、DB/应用程序服务器通信)
  • 内部 VLAN 将连接到防火墙端口 2

我的问题是使用这些 VLAN 配置防火墙。

我想保证 DMZ VLAN 的带宽不受内部 VLAN 的影响(内部 VLAN 有时可能会使其 1Gbit 链路饱和,但这不会影响 DMZ 用户流量)。

那么我们可以从路由器配置 2 个端口吗:

  1. 防火墙端口 3 配置了公共互联网可路由 IP,并为端口 2 上的内部 VLAN 提供 NAT 转换(这两个端口在防火墙上被隔离在各自的 VLAN 中)
  2. 防火墙端口 4 与上游网关有单独的连接,但在这种情况下,我对配置端口 4 感到困惑,在这种情况下它应该有一个 IP 吗?我认为不是,因为 DMZ VLAN 盒都配置了自己的公共 IP,在这种情况下防火墙只是转发流量,对吗?

我是否正确地假设我可以/应该为 2 个 VLAN(私有和 DMZ)中的每一个提供 2 个出站链接?

我很感激您对这个第二点困惑的帮助,我的主要专业知识是应用程序架构而不是网络架构。

答案1

在找到防火墙的一些文档后,我非常确信答案是 DMZ 网络在防火墙上配置为“透明模式或直通”,该网络上的设备不会知道防火墙的存在。

相关内容