说到安全性,VLAN ACL,防火墙DMZ策略等我是一个新手。 所以任何帮助将不胜感激。
我们正在尝试构build我们的networking,将我们所有可访问的networking服务器放置在DMZ中。 我们有Watchguard防火墙和戴尔三层交换机。 我们所有的Web服务器都是虚拟的,并托pipe在Hyper-V群集上。
我们在三层交换机上build立了两个新的VLAN,分别是DMZ(VLAN 210)和CMZ(VLAN 211),每个VLAN都有自己的子网172.20.XX范围。 我们的Web服务器每个都有两个networking接口,每个新的VLAN都有一个接口。 我们试图通过三层交换机上的ACL规则阻止所有对局域网的访问,只允许访问位于其自己VLAN 200中的防火墙。在防火墙上,我们已经build立了VLAN子网。 在VLAN 210上,我们只希望能够访问互联网的Windows更新,因为我们的Web服务器不会join域。 在VLAn 211上,我们希望允许通过防火墙访问所需的内部服务器。
当我们没有任何适用于210和211的ACL规则时,我们可以ping所有内部服务器,并在Web服务器上获得Internet。 当我们应用阻止所有内部子网但允许所有其他子网的ACL时,似乎没有任何工作正常。 我们试图在Web服务器上做一些“路由添加”,让它们指向正确的内部服务器,但是再次,在ACL已经到位的情况下,似乎没有任何工作。
我的两个开始的问题是:我们正在试图做什么似乎是一个很好的方式去与我们的硬件? 我们是否需要在三层交换机上进行一些路由才能使其工作? 到目前为止,我还没有做,也不知道如何。
谢谢!!
Watchguard是防火墙,尝试将交换机用作防火墙听起来不合理。
我打算摆脱到局域网的服务器接口,给他们只有一个接口到DMZ。 将所有stream量通过Watchguard进行路由,该VLAN应该具有VLAN 210和VLAN 211中的接口。彻底摆脱VLAN 200,摆脱交换机上的任何路由,使用Watchguard作为默认网关,摆脱大部分ACL交换机(可能保留任何限制交换机pipe理访问权限)。
然后使用Watchguard策略pipe理可以从哪里获取stream量的策略,例如允许DMZ访问DNS服务器的策略,Windows Update的HTTP和HTTPS(最好通过代理策略),并允许从LAN到pipe理连接(例如RDP) Web服务器。