Вопросы Теги

Брандмауэр мультидемилитаризованной зоны Cisco

Это - очень типичная проблема с VMs, что путешествие во времени (откатывают снимок), у меня есть объект GPO, который фиксирует это, что я заскакиваю в каждый OU, где существуют существующие VMs.

Эта статья MS KB объясняет, что продолжается: Эффекты машины считают репликацию на домене

Вот ссылка на то, как создать объект GPO, который что я упомянул и здесь являюсь другим с некоторыми дополнительными опциями для Вас думать о...

1
задан 21 April 2010 в 12:06
3 ответа

Одна из серий Cisco 55xx, аппаратные брандмауэры ASA должны быть тем, что Вы после.

Вы должны, вероятно, иметь хороший взгляд через их различные спецификации и выбрать ту, которая дает Вам правильный набор функций. (Для меня трудно сделать это, не зная Ваш точный набор в настоящее время). Также выберите тот, который даст Вам комнату для расширения в будущем.

Если бы я должен был предположить, то я сказал бы для выбора 5 520 или 5 540 моделей..

Если Вы захотите Высокую доступность, то Вам будут нужны 2 из них, та поддержка Активная/Резервная конфигурация. Это поддерживается моделями 5520 и выше.

Вы смогли экономить некоторые деньги при наличии портов DMZ на VLAN, который затем распределяется управляемым коммутатором. Тем путем Вы могли соединить несколько магистралью трафик DMZs по единственному порту с виртуальным интерфейсом (Вы могли сделать это на своем поле FreeBSD также, мог бы сохранить Вас имеющий необходимость иметь квадратический сервер порта NIC.) [YMMV на этом бите, хотя]

3
ответ дан 3 December 2019 в 17:26
  • 1
    И это было также моим предложением, я просто хотел получить подтверждение приблизительно 5-7 различных зон демилитаризованной зоны. +1 –  pauska 21 April 2010 в 12:33
  • 2
    Мы используем Cisco Cat65' s с ТУЗАМИ - но that' s, вероятно, излишество... –  Chopper3 21 April 2010 в 16:37
  • 3
    +1 на ASA' s..., хотя я начал бы смотреть на 5510 (возможно с безопасностью +, хотя с тем, что он описывает ее doesn' t кажутся, что это необходимо), особенно, если цена является проблемой. –  Zypher 21 April 2010 в 19:15
  • 4
    @Chopper: позерство :) –  Zypher 21 April 2010 в 19:15
  • 5
    @Zypher, я знаю, I' m удачный - я добираюсь для решения проблем с чековой книжкой, я люблю продвигаться здесь и видеть, как более умные парни, чем я делают то же, шевелящее их мозгами :) –  Chopper3 21 April 2010 в 21:03

Я уточню какой описание Kyle:

Вам нужен брандмауэр, который понимает 802.1q маркирование VLAN. Идеально это будет иметь по крайней мере один гигабитный интерфейс.

Вам нужен переключатель, который также говорит 802.1q маркирование VLAN.

Теперь - настраивают каждый из Ваших DMZs и связывают каждую демилитаризованную зону с другим 802.1q тег, позволяет, говорят, что теги равняются 10, 20, 30, и 40.

Теперь, добавьте все те теги к одному интерфейсу на брандмауэре (таким образом создающий "магистраль VLAN") и выполните ту "соединительную линию" к переключателю, которому также связали те теги VLAN с тем портом.

Теперь, поместите несколько других интерфейсов, с которых снимают метку на каждый VLAN, и подключите те порты, с которых снимают метку, к главным компьютерам.

Теперь Ваш брандмауэр имеет эксклюзивный доступ ко всем тегам и может осуществить ACLs, которые препятствуют тому, чтобы одна подсеть получила доступ к любой другой подсети демилитаризованной зоны.

2
ответ дан 3 December 2019 в 17:26
  • 1
    Я думаю, что это то, почему некоторые поставщики don' t поддержка 802.1q наклеивает их брандмауэры. Если I' ve получил брандмауэр с интерфейсом концерта, который поддерживает 802.1q, я don' t действительно нужны больше, чем порт или два. Пока я никогда не выставляю соединительную линию несетевому устройству, I' m не действительно взволнованный по поводу выходок скачкообразного движения тега. –  chris 21 April 2010 в 19:41
  • 2
    от вершины их голов, делает любой знает если BSD' s ipfw поддерживают 802.1q метки? если так, можно ли указать на меня в направлении пользы как к? –  BParker 23 April 2010 в 11:02
  • 3
    Я don' t думают, что это - IPFW по сути, который поддерживает 802.1q метки; это - это, Вы создаете несколько виртуальных интерфейсов каждый с их собственным тегом и затем создаете политики между этими интерфейсами (и следовательно VLAN). страница справочника VLAN и people.freebsd.org/~arved/vlan/vlan_en.html обсуждает это. –  chris 26 April 2010 в 07:35

В зависимости от Ваших потребностей безопасности, если у Вас есть хороший современный переключатель, можно сделать каждый dmz VLAN и просто использовать один порт и затем иметь правила, разделяющие каждый dmz на маршрутизаторе.

Существуют аргументы против этого, хотя, раньше были способы обойти VLAN (скачкообразное движение VLAN), но я думаю, что нет ничего текущего. Кроме того, неверная конфигурация переключателя могла привести к дыре в системе безопасности.

0
ответ дан 3 December 2019 в 17:26
  • 1
    I' n не также borthed о скачкообразном движении VLAN, так как это находится в управляемой среде. Можно ли дать мне, дальше детализируют о том, как установить это способ, которым Вы описываете? –  BParker 23 April 2010 в 11:01

Теги

Похожие вопросы