带有两个防火墙的 DMZ 设置 - 从 DMZ 到 LAN 和 LAN 到 DMZ 的流量
我正在使用需要从 Internet 访问的机器建立网络。我计划将这些放在 DMZ 中。DMZ 中的一些机器需要访问私有网络上的机器,而私有网络上的机器需要访问 DMZ 中的机器。
我读过最安全的实现是带有两个防火墙的实现。我计划使用的两个防火墙都是 CISCO ASA 5500。
虽然我对如何使用这些特定设备实现这一点很感兴趣,但我对理论方面也很感兴趣,因为我正在为我们公司的客户创建有关如何设置的文档。特定于我使用的设备的说明帮助,但我也想知道如何一般地解决这个问题。
我有三台特定的机器:
- DMZ_Web
- DMZ_服务
- INT_SRV
顾名思义,DMZ_Web 和 DMZ_Service 位于 DMZ 中,INT_SRV 是内部服务器。
我也有两个防火墙:
- FW1
- FW2
简而言之:
- Ext 客户端需要在端口 443 上访问 DMZ_Web
- Ext 客户端需要访问端口 3030 上的 DMZ_Service
- DMZ_Web 需要在端口 2020 上访问 INT_SRV
- 在客户端需要访问端口 3030 上的 DMZ_Service
联网:
- FW1连接互联网、DMZ和内部网络
- FW2连接DMZ网络(外部接口),内部网络(内部接口)
- 内部网络是 192.168.1.0 255.255.0.0
- DMZ 网络是 192.169.1.0 255.255.0.0
- DMZ 机器有两个 NIC,一个连接到 FW1,一个连接到 FW2。连接到 FW2 的 NIC 具有 192.169.1.0 范围内的静态 IP。连接到 FW1 的 NIC 具有可从 Internet 公开访问的静态 IP。
下面链接的是一张图,我希望它能回答很多关于拓扑的问题。
我发现我可能需要设置一些静态 NAT 规则才能将流量从 DMZ 机器传输到内部网络,反之亦然,但我不确定。
我想指出的一件事是内部网络连接到FW1&FW2。它连接到 FW1 以允许访问互联网。它连接到 FW2,以便它可以访问 DMZ 中的设备。
我不确定这是否正确。如果不正确,正确的实现是什么?另外,如果它不正确,它会起作用吗?
我到处搜索,但找不到实现我的整个解决方案的地方。大多数时候它到处都是一块。我一直无法让所有的部分一起工作:(
小智 6
如果您打算使用两个防火墙层,那么最佳安全实践会要求您使用两个不同的供应商,理论是其中一个的漏洞不会出现在另一个中(根据我的经验,这在实践中是正确的)。如果您尚未购买两个 ASA 并且您的预算允许,我建议您对其中一层使用不同的解决方案。
从技术上讲,您拥有的不是 DMZ。真正的 DMZ 将挂在您的外部防火墙层上,而不是挂在两个防火墙层之间的 vlan 上。这可能是语义,可能不是您可以做的事情。对于从 DMZ 返回到 LAN 的连接,您只需通过一个防火墙。大多数人使用两个防火墙来隔离这些区域,在两个防火墙之间有一个中间层。你的设计合并了 DMZ 和中间层,老实说,这种配置中的 DMZ 服务器是一个很好的跳转点(如果被黑了)到你的局域网,我认为那里保存了更重要的数据等。
只是想知道,您的预算是否允许使用 L2/L3 交换机,以便您的服务器不直接连接到防火墙?
对于从 LAN 到 DMZ 服务器的内部访问,我认为您不需要 NAT 规则,因为您可以从 LAB 到 192.169 网络的路由通过内部防火墙(假设它配置为允许和路由这些数据包)。
你为什么使用 192.169。. 作为内部 IP 范围?阅读 RFC1918,这不是私有 IP 范围。
客户端如何访问 Internet?