Watchguard Firebox将光纤线路分成2个接口
我们对WatchGuard Firebox XTM505有一个要求,能够将我们的input外部接口,在这种情况下,光纤专用租用线,100/100。
我们在大约30台机器的办公室里使用这条生产线,但是我们也把这个生产线转卖给了一个外部公司,这个公司使用它来为公众提供无线networking解决scheme。
目前的基础设施如下:
数据(专线) – >由ISPpipe理的瞻博networkingSRX210 – > 1个非网pipe型Netgear交换机 – > 1条电缆连接到我们的防火墙和办公networking,1条电缆连接到我们pipe理的外部供应商核心路由器。
我们被告知,将非pipe理型交换机安置在这个位置会带来安全风险,并且一个好的select是让我们的Watchguard防火墙执行拆分,将我们的办公室分隔到一个可靠的接口上,并通过“传递”外部线路到他们的被pipe理的路由器。 据称,WatchGuard有能力做到这一点,也限制了接口的速度,即可信接口的20mbps和“pass-through”的80mbps,但是Watchguard的技术支持似乎无法理解我们“重新努力实现。
任何人都可以提供任何build议,这是否可以在一个WatchGuard设备,以及如何或者如果有一个更好的方式来实现这一点,也许与托pipe交换机,而不是非托pipe?
编辑:我附上了一个我想解释的图。 所以,图1是我们现在所拥有的,而且我们已经被告知橙色虚线区域是一个安全漏洞。 我们想要分开连接,而不是仅仅使用哑开关,所以图2就是我们想要实现的。 但是,红线会转到另一个由第三方控制的路由器。 我们希望做的尽可能less,理想情况下对networking没有任何影响,因为他们在设备上处理所有路由和策略,我们只是试图在此之前将其分开。 当然,如果人们认为这是不必要的,或者有更好的方法来实现这一点,那么请说!
干杯
谁告诉你现在的devise构成安全风险是错误的。 只要你控制防火墙前面的交换机,并确保没有人能够设置端口镜像或类似的,我真的不能看到一个更好的方式与您的当前硬件做到这一点。 它们毕竟不在你的防火墙后面,这会比你现在正在做的事情带来更大的安全风险。
如果要限速是你真正想要的,那么我会购买另一个防火墙(或路由器)放在ISP CE(Juniper)和你的防火墙之间,然后把这些公司分开。
您可以通过WatchGuardpipe理所有这些
VLAN中的信任接口,默认VLAN以及其他客户的辅助VLAN。
然后,您可以在必要时将带宽限制应用到VLAN接口 – 不需要不信任的交换机
老问题我知道,只是以为我会把它扔在那里