长话短说,我们刚刚使用 2 个 sonicwall nsa3600 实现了 HA......我们现场只有 1 个 ISP 连接......因此我们需要在 WAN 端安装一个交换机,将连接分离到主 sonicwall 和辅 sonicwall 上的两个 WAN 接口。
问题是,我们没有可用的交换机!我的老板一心想配置好它,但是,他建议我在我们的内部 LAN 交换机堆栈上配置一个 vlan,并使用它来划分出 3 个端口用于此目的。
因此,建议的拓扑结构是 ISP 在我们的 LAN SWITCHSTACK 上的端口上进入其自己的 VLAN,然后分离回 sonicwalls 上的 WAN 接口,然后通过 sonicwalls LAN 接口返回到 switchstack。
不用说,我认为这是个糟糕的主意。但是,我没有任何确凿的事实来说明为什么这是一个糟糕的主意,除了……局域网设备应该始终位于防火墙后面……有人能告诉我这会产生哪些潜在危险和安全漏洞吗?他声称这是他上一份工作时设置的……
我想到的一些潜在矛盾是,VLAN 是第 2 层技术,而数据将通过这些交换机端口进行路由……那么广播风暴和 DDoS 攻击怎么办?我不知道……这似乎真的非常错误。
答案1
你老板的建议将会顺利实施,不会出现任何安全问题。
除了,内部交换机的错误配置可能会无意中将不受信任的流量桥接到防火墙内部。
考虑到最常见的网络问题来源是意外配置错误,这是一个真正的风险。一定要记录好。
当然,你的老板可能会回答说,正确的交换机配置完全是你的责任。你必须处理这个问题。
你的其他反对意见毫无根据。不存在“不一致”问题。任何外部 DoS 或风暴都会在影响交换机之前很久就使 WAN 链路饱和。