我需要find一个防火墙,将给我1个LAN端口,和5-7个DMZ端口。
我有一个要求来replace一些用来运行一些testing设备的FreeBSD系统。 DMZ端口之间不能互相通信是非常重要的,但LAN端口可以与每个人进行通信。 这样局域网上的用户可以连接到testing系统,但testing系统完全隔离,不能相互干扰。
其中一个DMZ将连接到VMWare ESXi服务器,一个连接到标准服务器,其余连接到各种types的设备。
LAN端口将连接到企业LAN交换机。
对不起,如果我有点模糊,我只是想自己工作! 目前我们已经configuration了FreeBSD,但是四端口网卡非常昂贵,而且PC本身就是旧的,所以我宁愿用一个可以做同样工作但更可靠的专用工具包来代替它。 这些testing台被广泛使用,经常移动,所以我的目标是思科工具包,以便于configuration和硬件本身的可靠性。
谢谢
思科55xx系列ASA硬件防火墙之一应该是你所追求的。
您可能应该通过各种规格,并select一个给你正确的function集。 (我很难做到这一点,目前还不知道你的确切设置)。 也select一个会给你未来扩展的空间。
如果我不得不猜测,我会说select5520或5540型号..
如果您需要高可用性,则需要其中2个支持Active / Standbyconfiguration。 这是由型号5520及以上的支持。
您可以通过将DMZ端口放在VLAN上,然后通过pipe理型交换机进行分配来节省一些资金。 这样,你可以通过一个虚拟接口在一个端口上build立多个DMZstream量(你也可以在你的FreeBSD盒子上做到这一点,可以节省你必须有一个四端口服务器网卡。)[YMMV]
我将详细说明凯尔的描述:
你需要一个理解802.1q vlan标记的防火墙。 理想情况下,它将至less有一个千兆位接口。
你需要一个交换机,也说802.1q vlan标签。
现在,configuration每个DMZ,并将每个DMZ与一个不同的802.1q标签相关联,可以说标签是10,20,30和40。
现在,将所有这些标记添加到防火墙上的一个接口(从而创build一个“VLAN中继”),并将该“trunk”运行到交换机,交换机也具有与该端口关联的VLAN标记。
现在,在每个vlan上添加其他几个未标记的接口,并将这些未标记的端口连接到主机。
现在,您的防火墙可以独占访问所有标记,并可以强制执行ACL,防止一个子网访问任何其他DMZ子网。
根据你的安全需求,如果你有一个很好的现代交换机,你可以使每个DMZ一个VLAN,只使用一个端口,然后有规则分开路由器上的每个DMZ。
有反对这个的论据,虽然曾经有方法绕过vlan(vlan跳跃),但我认为没有什么最新的。 而且,交换机的错误configuration可能会导致安全漏洞。