由于年龄,容量和Windows 7不支持VPN软件,我们正在将防火墙从Cisco Pix 501迁移到Netgear FVS336G。 防火墙提供DHCP,传出的互联网和传入的VPN(我不知道哪些协议)。 不需要其他types的连接。
我们也使用Netgear DG834G无线ADSL防火墙路由器作为ADSL调制解调器。 NAT已禁用,但防火墙似乎已启动。
我们有6个外部IP地址(host1-host6,Cisco是host5),ADSL路由器configuration为将Cisco防火墙视为DMZ服务器。 据我所知,这意味着所有未知的传入协议被路由到PiX。
是否可以并行运行两个防火墙,NetGear防火墙为新configuration的客户端提供DHCP,传出Internet和VPN,思科只向旧客户端提供VPN,如下图所示?
+------+ +----+ IP=Host5 | PiX | | | +--------+ +-------| Fire |---| | | | | | wall | | R | Internet | ADSL | | +------+ | o | ----------| ROUTER |---+ <IP=Host6 | u | IP | | | +------+ | t | xxxx +--------+ | | NetG | | e | +-------| Fire |---| r | IP=Host1 | wall | | | +------+ +----+ 如果是这样,我们可以简单地离开思科和ADSL路由器,并将Netgear防火墙设置在不同的IP地址(host1)上,或者我需要configurationADSL路由器以将不同的协议路由到不同的IP地址?
作为一个中间步骤,我是否只需closuresADSL路由器上的防火墙,并根据需要configurationNetGear?
另外,如何禁用DHCP服务器等在Pix? 从一些随机的谷歌search,下面显示它应该工作。 它是否正确?
conf t clear dhcpd wr m
假设您的DG834G只是路由而不是防火墙,发起VPN连接应该是可以的,因为客户端将联系PIX外部IP地址(host5),而不是netgear(host6)。 但是你说'DMZ服务器',所以我不知道这是什么意思,在这种情况下…
我认为一个问题是外部VPN客户端和服务器之间的stream量会发生什么。 思科大概是VPN端点,所以stream量在pix上被解密。 这个stream量然后被转发(清除)到服务器,该服务器回复。 这个答复需要路由到pixencryption,而不是netgear – 那么内部路由器如何知道哪些stream量是VPNstream量,哪些不是? 如果你的cisco vpn从一个地址池给客户端一个IP地址,那么你需要这个来自一个不同于你的内部networking的地址池 – 这样你就可以把一个路由器放到里面的路由器来把这个stream量引导到这个pix上。 这可能意味着你只需要一个在PIX上运行的DHCP服务器。