Проектирование сети DMZ
-
Уважаемые коллеги Я настраиваю сеть DMZ, и мы приобрели WSA. Я хотел бы понять с точки зрения проектирования, можно ли подключить порт P1 WSA к внутреннему основному коммутатору, но логически трафик будет проходить через внутренний брандмауэр, а порт P2 будет подключен к зоне DMZ внешнего брандмауэра. Является ли это хорошим способом подключения? ИЛИ Мне следует подключить оба порта P1 и P2 к внешнему брандмауэру через DMZ-1 и DMZ-2. Сценарий 1 Поток трафика Пользователь запустил google.com. Трафик поступит на внутренний брандмауэр как шлюз по умолчанию, а затем брандмауэр направит трафик на порт P1 прокси (явно настроенный прокси), поскольку порт P1 шлюза по умолчанию является внутренним брандмауэром, подключенным через основной коммутатор. Прокси выполняет веб-фильтрацию, а затем отправляет трафик из порта P2 на внешний брандмауэр, который затем направляет его в Интернет. Сценарий 2 Поток трафика Пользователь инициировал трафик google.com. Трафик попадает во внутренний брандмауэр как шлюз по умолчанию, затем брандмауэр направляет трафик на порт прокси P1 через внутренний интерфейс внешнего брандмауэра, а затем внешний брандмауэр направляет его в DMZ 1 на интерфейс прокси. Прокси выполняет веб-фильтрацию, а затем отправляет трафик из порта P2 снова на внешний брандмауэр DMZ-2, а затем внешний брандмауэр направляет его в Интернет. Кроме того, у меня нет внешних коммутаторов (обращенных к интернет-маршрутизатору ISP), к которым я могу подключить интернет-соединение, поэтому в этом случае, если я использую свои коммутаторы DMZ с разделением Vlan, это будет хорошей мерой безопасности, или же предпочтительнее иметь изолированные внешние коммутаторы. Спасибо
-
Привет,
@adamgibs7
, Я бы выбрал вариант № 1. Учитывая, что этот трафик является исходящим, я не вижу дополнительных преимуществ в прохождении этого трафика через несколько брандмауэров. С моей точки зрения, достаточно одного брандмауэра, расположенного перед интерфейсом P2. В вашем случае, учитывая, что внутренний FW является шлюзом по умолчанию для сегмента пользователей, мне кажется неизбежным прохождение через внутренний, а затем внешний FW, но я бы на этом остановился. Передача трафика через внутренний, а затем два внешних FW мне кажется ненужной. С уважением, Милош -
Я также согласен с Милосом не будет необходимости в дополнительном брандмауэре между WSA и клиентами, Порт P1 Шлюз по умолчанию — это внутренний брандмауэр, подключенный через основной коммутатор... Таким образом, в данном случае у вас будет: Клиент > Основной коммутатор > Внутренний брандмауэр > Основной коммутатор > WSA > Внешний брандмауэр > ISP а для сценария 2 (поправьте меня, если я ошибаюсь): Клиент > Основной коммутатор > Внутренний брандмауэр > Внешний брандмауэр > WSA > Внешний брандмауэр > ISP Обратите внимание, что большая часть вашего трафика будет HTTPS, поэтому WSA может расшифровать и заново зашифровать его, чтобы брандмауэры не имели большого доступа к вашему HTTPS-трафику. С уважением, Амирхоссейн Моджаррад +++++++++++++++++++++++++++++++++++++++++++++++++++ ++++ Если этот ответ оказался полезным, пожалуйста, оцените его ++++ +++++++++++++++++++++++++++++++++++++++++++++++++++ С уважением,
Амирхоссейн Моджаррад
+++++++++++++++++++++++++++++++++++++++++++++++++++
++++ Если этот ответ оказался вам полезным, пожалуйста, оцените его ++++
+++++++++++++++++++++++++++++++++++++++++++++++++++ -
Уважаемые коллеги, спасибо Серверы, которые находятся в DMZ и которым необходимо выйти в Интернет, чтобы отправить трафик на явный IP-адрес прокси, который является IP-адресом порта P1, должны маршрутизировать трафик из внешнего брандмауэра --- внутреннего брандмауэра -- WSA P1 порт ---- WSA-P2 порт --- Интернет, что занимает много времени и возвращается к прокси, вместо того, чтобы сделать следующее: если я подключу порт P3 от прокси к внешнему брандмауэру, и это будет явный IP-адрес прокси для сервера DMZ, будет ли это иметь смысл? Прошу ответить, жду совета экспертов. Спасибо.
-
Привет,
@adamgibs7
, На WSA нет порта P3. Ознакомьтесь с
этим руководством
, и вы поймете, как устроены порты. То, что вам кажется P3, на самом деле может быть T1, который не совпадает с P1. Лично я не вижу никаких значительных скачков (просто представьте, через сколько разных точек проходит ваш трафик через Интернет), и это вполне стандартная настройка. Вы не можете иметь порт WSA в каждой зоне, так как это просто не имеет смысла. Однако, если вас это все еще беспокоит, вы всегда можете запустить другой WSAv в другой зоне и использовать его для определенного трафика. С уважением, Милош -
Привет
[, @adamgibs7] Как упомянул Милош, у нас нет P3 (M1: управление, P1 и P2: порт данных, T1 и T2: интерфейс Tap, которые не используются для проксирования данных). Как вы наверняка знаете, дизайн не может быть универсальным, и есть несколько элементов, которые имеют решающее значение для принятия решений. Лучше всего определить путь между клиентом и Интернетом, а затем приступить к размещению WSA. Кроме того, если вы планируете использовать прозрачный прокси или IP-спуфинг, лучше всего использовать как P1, так и P2. Что касается пути, о котором вы упомянули, я вижу внешний брандмауэр между клиентами и внутренним брандмауэром: внешний брандмауэр --- внутренний брандмауэр -- порт WSA P1 --- порт WSA-P2 --- Интернет Возможно, это выглядит так: Клиент --> внутренний брандмауэр --> внешний брандмауэр --> Интернет Если вышеуказанный путь правильный, вы можете разместить WSA за каждым из брандмауэров, в зависимости от структуры вашей сети. [1] Клиент --> WSA --> внутренний брандмауэр --> внешний брандмауэр --> Интернет [2] Клиент --> внутренний брандмауэр -->WSA --> внешний брандмауэр --> Интернет Лучше не допускать, чтобы WSA был открыт для публичного Интернета, в этом случае вы можете фильтровать некоторый нежелательный трафик (например, флуд...) с помощью брандмауэра. С уважением, Амирхоссейн Моджаррад +++++++++++++++++++++++++++++++++++++++++++++++++++ ++++ Если этот ответ оказался вам полезным, пожалуйста, оцените его ++++ +++++++++++++++++++++++++++++++++++++++++++++++++++ С уважением,
Амирхоссейн Моджаррад
+++++++++++++++++++++++++++++++++++++++++++++++++++
++++ Если этот ответ оказался вам полезным, пожалуйста, оцените его ++++
+++++++++++++++++++++++++++++++++++++++++++++++++++
Здравствуйте! Похоже, вам интересна эта беседа, но у вас пока нет учетной записи.
Вы устали просматривать одни и те же посты каждый раз, когда заходите на сайт? После регистрации, вам не придётся искать обсуждения в которых вы принимали участие, настройте уведомления о новых сообщениях так как вам это удобно (по электронной почте или уведомлением). У вас появится возможность сохранять закладки и ставить лайки постам, чтобы выразить свою благодарность другим участникам сообщества.
С вашими комментариями этот пост может стать ещё лучше 💗
Зарегистрироваться Войти