我们有一个小型的商务办公室,但由于PCI合规性,我们需要把这个分成两个互联网(一个“兼容”,一个用于其他设备)。
我们目前有一个Draytek调制解调器/湾负载平衡器也具有防火墙,但这是非常基本的,不支持每个VLAN的单独的安全策略。
因此,我刚刚购买了一台ASA 5505,想要设置一些指标:
虚拟局域网:
我的问题:
目前一切都在一个子网192.168.2.x. draytek有一个静态的IP,其他的都是从我们的Windows DHCP服务器分配一个IP。 由于这个windows服务器将在'insidepci'networking内,我打算让这个vlan继续使用它,并且使用来自ASA的DHCP的常规“内部”networking。 那可能吗?
我是否需要将draytek放在它自己的子网上(因此只需要draytek就是192.168.3.x),因为看起来我不能在相同的范围内将IP分配给两个不同的VLAN。
从看在线指南之一,似乎我需要一个内部路由器? 我没有意识到这一点,我希望我可以只分配一个开关到'内部'VLAN和一个单独的开关到'insidepci'的VLAN? 这些VLAN之间不需要通信,但都需要能够访问“外部”(draytek网关)
当涉及PCI合规性时,您要做的第一件事就是尽一切可能限制您的范围。 通过实际考虑哪些系统没有涉及并将其移动到其他地方,您已经在实现networking分割方面取得了良好的进展。 在一个完美的世界里,你的PCI环境将被安置在一个物理上独立的networking中,但这不是必需的。 概念化分段的最好方法是围绕广播域的想法。 实际上有很多不同的方法可以充分获得必要的细分水平,
所有这一切,你应该能够摆脱使用5505作为你的主要隔离设备,并挂断其他开关,如果你需要额外的端口。 您只需要确保在进入insidepci VLAN之前,来自inside VLAN的任何stream量都通过防火墙模块。
PCI安全标准委员会有一份名为导航PCI DSS v2.0的文件 。 我强烈build议阅读,以便更好地理解这些要求的意图 。 这应该可以帮助您正确地确定合规要求。
免责声明:我不是QSA,ASV或ISA。 我给的任何build议都是友好的,遵循它绝不意味着遵守。