为 100% 隔离配置网络(出于安全考虑)

网络工程 路由 转变 局域网 防火墙 安全
2022-02-05 05:28:49

我正在为办公室配置 LAN。这是一个新设置,因此有台式机,但没有服务器,也没有 PC 到 PC 通信——一切都在云上。几个外围设备(打印机、扫描仪等)除外,当然还有管理网络交换机和防火墙本身。

我的目标是配置交换机和防火墙以实现完全隔离,以确保安全。只应允许这些流:

  1. 电脑上网,防火墙检查
  2. PC 到外围设备,通过防火墙
  3. PC 到网络设备管理(防火墙和交换机)
  4. VoIP 电话到 Internet,通过防火墙

我想阻止 PC 之间的任何和所有流量。当然,还要防止从外围设备到 PC。

配置它的最佳方法是什么?

这就是我要做的事情:

VLAN 和子网

  • 用于 PC 的 VLAN 2
  • 电话的 VLAN 3
  • 用于外围设备的 VLAN 4
  • VLAN 5 用于网络设备管理

每个 VLAN 对应一个子网(VLAN 2 为 10.1.2.0/24,VLAN 3 为 10.1.3.0/24 等)

转变:

  • 所有 PC、电话和外围端口都是专用 VLAN 边缘/受保护端口
  • 1 个连接到 VLAN 2 上的防火墙 NIC 2 *
  • 1 个连接到 VLAN 3 上的防火墙 NIC 3 *
  • 1 个连接到 VLAN 4 上的防火墙 NIC 4 *
  • 1 个连接到 VLAN 5 上的防火墙 NIC 5 *

* 我认为这些端口应该是混杂的中继端口,但不确定;请指教

防火墙接口:

  1. NIC 1 WAN(互联网)第 3 层 DHCP
  2. NIC 2 第 3 层接口,VLAN 2 上有子接口,IP 为 10.1.2.1 ***
  3. NIC 3 第 3 层接口,子接口位于 VLAN 3 上,IP 为 10.1.3.1
  4. NIC 4 第 3 层接口,子接口位于 VLAN 4 上,IP 为 10.1.4.1
  5. NIC 5 第 3 层接口,子接口位于 VLAN 5 上,IP 为 10.1.5.1

*** 我的理解是配置 VLAN 子接口告诉防火墙只通过与某个 VLAN 匹配的流量

所有防火墙接口都配置为在它们之间进行路由

防火墙规则:

  • 允许 NIC 2 / VLAN 2 --> NIC 1
  • 允许 NIC 2 / VLAN 2 --> NIC 4 / VLAN 4
  • 允许 NIC 2 / VLAN 2 --> NIC 5 / VLAN 5
  • 允许 NIC 3 / VLAN 3 --> NIC 1

这种配置会起作用吗?它会阻止 LAN 上的所有内部流量,除了非常特别允许的流量吗?

3个回答

撇开 100% 安全的可能性不谈,您的计划似乎是合理的。当然,一切都取决于防火墙上的策略。要回答您的具体问题,是的,防火墙的交换机端口是混杂的,并且在(大多数)防火墙上配置 VLAN 会创建一个单独的逻辑接口。

找到 100% 的安全性基本上是不可能的,但是有一些东西可以帮助你,那就是接口隔离。这意味着您使用特定于用户数据、管理和其他的网卡(接口),并且您不会混合使用它们。这并非总是可行的,但可以防止 VLAN 管理以及与 VLAN 相关的复杂防火墙规则等问题,这些问题可能会产生问题。

根据您的要求选择所需的设备一般来说,网络工程师的动机应该始终是优化的、可扩展的、可靠的、安全的网络设计和实施......

  1. 路由器(边缘路由器)
  2. 防火墙(外围防火墙)
  3. L3交换机(核心交换机)
  4. L2交换机(接入交换机)

路由器

ISP互联网连接应该登陆这个路由器,DNS转发可以在这个路由器中配置

1 ) 指向 ISP 网关的默认路由应该在路由器上配置

  1. 应配置指向防火墙出口接口网关的默认路由

防火墙

此防火墙用于出站 Internet 访问流量的 NAT 和 PAT 配置。并用于配置启用安全功能的安全策略,如 webfilterring、防病毒、IPS 和 IDS 功能。

L3 开关

可以在此交换机上为 VLAN 配置交换机虚拟接口 (SVI),并启用 VLAN 间路由并相应配置访问列表,以根据您的要求限制 Vlan 之间的流量

L2 开关

此交换机用于通过分配访问端口并根据要求传递所需的 Vlan 来连接笔记本电脑、台式机等终端设备。

其它你可能感兴趣的问题
上一篇为什么我的 vlan“蛇形拓扑”需要此子网配置? 下一篇VLAN 查询中的 CSMA/CD