我们只是订购了一台sonicwall NSA 4500防火墙,并且正在准备一个networking图表。
- 我们在新安装的机架中有12台服务器,一台48端口交换机和一台Sonicwall NSA 4500防火墙
- 我需要2个VLAN,一个DMZ用于公共stream量和一个内部networking,防火墙将提供NAT
- DMZ VLAN将连接到防火墙PORT 1
- DMZ VLAN中的所有服务器都具有公共的互联网可路由的IP(它们是networking服务器,每个盒子都有一个连接到内部networking的第二个NIC与内部盒子,DB /应用程序服务器进行通信)
- 内部VLAN将连接到防火墙PORT 2
我的问题是configuration防火墙与这些VLAN。
我想保证DMZ VLAN的带宽不受内部VLAN的影响(内部VLAN可能有时会饱和1Gbit链路,不会影响DMZ用户stream量)。
所以从路由器可以configuration2个端口:
- 防火墙端口3configuration了一个公共互联网可路由的IP,并将端口2上的内部VLAN的NAT转换(这两个端口在防火墙的VLAN中隔离)
- 防火墙端口4与上游网关有独立的连接, 但在这种情况下,我对configuration端口4感到困惑,在这种情况下是否应该有一个IP? 我认为不是因为DMZ VLAN盒都configuration了自己的公网IP,在这种情况下防火墙只是正确的转发stream量?
我甚至可以假设我可以/应该有2个出站链接的2个VLAN(私人和DMZ)?
我很感谢第二点的困惑,我的主要专长是应用程序架构而不是networking架构。
在防火墙上find一些文档后,我相当确信答案是DMZnetworking在防火墙上被configuration为“透明模式或直通”,那个networking上的设备将不知道防火墙存在。