在安全、VLAN ACL、防火墙 DMZ 策略等方面,我是个新手。因此,任何帮助我都会很感激。
我们正在尝试构建我们的网络,将所有可通过 Web 访问的服务器放置在 DMZ 中。我们有 Watchguard 防火墙和 Dell 第 3 层交换机。我们所有的 Web 服务器都是虚拟的,托管在 Hyper-V 集群上。
我们在三层交换机上设置了两个新的 VLAN,分别称为 DMZ(VLAN 210)和 CMZ(VLAN 211),每个 VLAN 都有自己的子网,范围为 172.20.XX。我们的每个 Web 服务器都有两个网络接口,每个新 VLAN 一个。我们尝试使用三层交换机上的 ACL 规则阻止对我们 LAN 的所有访问,并且只允许访问位于其自己的 VLAN 200 中的防火墙。在防火墙上,我们设置了 VLAN 子网。在 VLAN 210 上,我们只希望能够访问互联网进行 Windows 更新,因为我们的 Web 服务器不会加入域。在 VLAn 211 上,我们希望允许通过防火墙访问所需的内部服务器。
当我们没有为 210 和 211 设置任何 ACL 规则时,我们可以 ping 所有内部服务器,并在 WebServer 上访问互联网。当我们应用阻止所有内部子网但允许所有其他子网的 ACL 时,似乎什么都无法正常工作。我们曾尝试在 WebServer 上进行一些“路由添加”,让它们指向正确的内部服务器,但同样,在设置了 ACL 的情况下,似乎什么都无法正常工作。
我首先要问两个问题:我们尝试做的事情是否适合我们现有的硬件?我们需要在第 3 层交换机上进行一些路由才能使其工作吗?到目前为止我还没有做过任何事,也不知道该怎么做。
谢谢你!!
答案1
Watchguard 是一个防火墙,尝试将交换机用作防火墙听起来不合理。
我计划移除连接到 LAN 的服务器接口,只给它们一个连接到 DMZ 的接口。通过 Watchguard 路由所有流量,该接口应该同时具有 VLAN 210 和 VLAN 211 中的接口。完全移除 VLAN 200,移除交换机上的任何路由,使用 Watchguard 作为默认网关,移除交换机上的大部分 ACL(可能保留任何限制交换机管理访问的 ACL)。
然后使用 Watchguard 策略来管理哪些流量可以从哪里到哪里,例如允许 DMZ 访问 DNS 服务器的策略、Windows 更新的 HTTP 和 HTTPS - 最好通过代理策略,并允许从 LAN 到 Web 服务器的管理连接(例如 RDP)。