查了好多资料,感觉有点混乱。有些交换机也是防火墙,大多数防火墙好像是路由器,有或没有自己的交换机,但根据制造商不同,它们都不一样。所以现在在这里求教!
我的问题:
我有两个端口可以访问两个公共 IP 子网。
我想要的是能够将服务器连接到它们并运行 ipfilter 作为防火墙,但有些服务器我想根据 IP 来阻止流量,然后再将数据包传送到机器。
现在,cisco 第 3 层交换机似乎具有此功能(ACL:s 就是他们所说的防火墙功能,对吧?)。我以前通过 cisco pix 上的 CLI 管理过 cisco ACL:s(很久以前),所以我猜它差不多。
我是否可以将这样的交换机连接到我的两个子网端口,以便连接到交换机的机器都可以从任何子网窃取 IP 地址?
我不想直接暴露在 WAN 上的网络单元都是远程访问控制器,众所周知,它们存在大量安全漏洞。也许在这些接口前面安装一个“哑”交换机和一个廉价路由器会比安装具有防火墙功能的高级交换机更好?
这是一个拥有 2-4 台服务器的小型企业网络,可能会稍微扩大一点。除了我上面描述的内容之外,欢迎任何其他想法!
答案1
因此您从 ISP 获得两个 /8 网络(两个端口各一个)。
/8 是一个巨大的网络,我想知道为什么你会获得如此大的地址空间,但无论如何。
如果您在两个独立的端口上有两个独立的 IP 地址,如果您想设置防火墙,然后在网络后面拥有一些相同的 IP 系列,那么您应该将两个子网一分为二,这样一部分在防火墙之外,而另一部分则在防火墙之内。(这至少是我会做的)。
我是一个 Juniper 用户,所以我会使用 SRX100 之类的设备(前提是不需要太多流量),然后在网络中设置至少 3 个不同的区域
1. RED1 = x.x.x.x/9
2. RED2 = y.y.y.y/9
3. GREEN = x.x.x.B/9 and also y.y.y.C/9
其中 B 和 C 是从 8 分割到 9 后的网络编号(使用子网计算器来查找该网络)。
这样,绿色(受保护)网络上的任何服务器都可以从两个 IP 系列中获取网络地址。