带两个防火墙的DMZ设置 – 从DMZ到LAN和LAN到DMZ的通信
我正在build立一个需要从互联网上访问的机器的networking。 我打算把这些放在非军事区。 DMZ中的一些机器需要访问专用networking上的机器,专用networking上的机器需要访问DMZ中的机器。
我已经读过,最安全的实现是有两个防火墙的。 我打算使用的两个防火墙都是CISCO ASA 5500。
虽然我对如何使用这些特定设备实现这一点感兴趣,但我也对理论方面感兴趣,因为我正在为我们公司的客户创build文档,以便如何设置这些文档。 具体到我正在使用的设备的说明帮助,但我也想知道如何解决这个一般。
我有三个特定的机器:
- 如何模拟一个源IP来testing哪个iptables规则不被触发?
- 我应该把我们的networking服务器(DMZ /内部networking)还是只是做一对一的NAT?
- 通过HTTP代理连接到ssh服务器通过80?
- iptables – 括号内的范围是什么意思?
- 否认ICMPtypes3代码4stream量 – 好还是坏?
- DMZ_Web
- DMZ_Service
- INT_SRV
正如它们的名字所描述的,DMZ_Web和DMZ_Service在DMZ中,而INT_SRV是内部服务器。
我也有两个防火墙:
- FW1
- FW2
简而言之:
- Ext客户端需要访问端口443上的DMZ_Web
- Ext客户端需要访问端口3030上的DMZ_Service
- DMZ_Web需要在端口2020上访问INT_SRV
- 在客户端需要访问端口3030上的DMZ_Service
联网:
- FW1连接到互联网,DMZ和内部networking
- FW2连接到DMZnetworking(外部接口),内部networking(内部接口)
- 内部networking是192.168.1.0 255.255.0.0
- DMZnetworking是192.169.1.0 255.255.0.0
- DMZ机器有两个NIC,一个连接到FW1,一个连接到FW2。 连接到FW2的NIC具有192.169.1.0范围内的静态IP。 连接到FW1的NIC具有可从互联网公开访问的静态IP。
下面链接是一个图,我希望能回答很多有关拓扑的问题。
我已经收集到,我可能需要设置一些静态NAT规则来从DMZ机器到内部networking的stream量,反之亦然,但我不知道。
有一点我想指出的是内部networking连接到FW1和FW2。 它连接到FW1允许访问互联网。 它连接到FW2,以便它可以访问DMZ中的设备。
我不确定这是否正确。 如果不正确,什么是正确的实施? 如果不正确,它会起作用吗?
我搜遍了所有,但无法find一个地方,实施我的整个解决scheme。 大多数时候,这是一个地方。 我一直没有能够得到所有的作品一起工作:(
如果你打算使用两个防火墙层,那么最好的安全实践就是指你使用两个不同的供应商,理论上说一个漏洞不会在另一个漏洞中(根据我的经验,这在实践中是这样的)。 如果您还没有购买两个ASA,并且您的预算允许,我build议您为其中一个层使用不同的解决scheme。
从技术上讲,你所拥有的不是DMZ。 一个真正的DMZ将挂在你的外部防火墙层,而不是在两个防火墙层之间的vlan上。 这可能是语义学,可能不是你可以做的很多事情。 对于从DMZ连接到您的LAN的连接,您只需要通过一个防火墙。 大多数民众在两个防火墙之间用两层防火墙隔开这样的防火墙。 你的devise合并了DMZ和中间层,说实话,这个configuration中的DMZ服务器是一个不错的跳跃点(如果被黑客攻击)到你的局域网,我认为更重要的数据等。
只是想知道,你的预算允许L2 / L3交换机,所以你的服务器不直接连接到防火墙?
对于从局域网到DMZ服务器的内部访问,我不认为你需要NAT规则,因为你可以从LAB到192.169networking的路由通过内部防火墙(假设它被configuration为允许路由这些数据包)。
你为什么使用192.169。 。 作为内部IP范围? 阅读RFC1918,这不是一个私人的IP范围。
客户如何访问互联网?