Ben*_*Ben 6 networking security cisco firewall cisco-asa
我们有一个小型企业办公室,但由于 PCI 合规性,我们需要将其划分为两个互联网网络(一个“合规”,一个供任何其他设备使用)。
我们目前有一个 Draytek 调制解调器/WAN 负载平衡器,它也有防火墙,但这是非常基本的,不支持每个 vlan 上的单独安全策略。
因此,我刚刚购买了 ASA 5505 并希望获得一些设置指导:
VLAN:
我的问题:
目前一切都在一个子网 192.168.2.x 上。draytek 有一个静态 IP,其他一切都从我们的 Windows DHCP 服务器分配了一个 IP。由于此 Windows 服务器将位于“insidepci”网络内,因此我计划让此 vlan 继续使用该网络,以及使用来自 ASA 的 DHCP 的常规“内部”网络。那可能吗?
我是否需要将 draytek 放在它自己的子网中(所以只有 draytek 在 192.168.3.x 上),因为我似乎无法将同一范围内的 IP 分配给两个不同的 VLAN。
通过查看其中一个在线指南,我似乎需要一个内部路由器?我不知道这一点,我希望我可以将一个交换机分配给“内部”VLAN,将一个单独的交换机分配给“insidepci”VLAN?不需要在这些 VLAN 之间进行通信,但都需要能够访问“外部”(draytek 网关)
当谈到 PCI 合规性时,您要做的第一件事就是找到一切可以限制您的范围的方法。通过实际考虑哪些系统不涉及并将它们移到其他地方,您已经在网络分段方面取得了良好进展。在完美的世界中,您的 PCI 环境将位于物理上独立的网络中,但这不是必需的。概念化分段的最佳方法是围绕广播域的概念。实际上有很多不同的方法可以充分获得必要的细分级别,
话虽如此,您应该能够使用 5505 作为主要隔离设备,如果您需要额外的端口,则可以将其他交换机挂在其上。您只需确保来自insideVLAN 的任何流量在进入 VLAN 之前都会经过防火墙模块insidepci。
PCI 安全标准委员会有一份名为“浏览 PCI DSS v2.0”的文档。我强烈建议您仔细阅读它,以便您可以更好地理解需求的意图。这应该可以帮助您正确制定合规性要求。
免责声明:我不是 QSA、ASV 或 ISA。我给出的任何建议都是友好的,遵循它并不意味着服从。
| 归档时间: |
|
| 查看次数: |
2240 次 |
| 最近记录: |