由自己的接入交换机分隔并通过同一分布交换机连接的两个部门的专用防火墙放在哪里?

网络工程 转变 防火墙 设计
2021-07-19 17:29:39

基于Cisco提出的网络设计模型,防火墙是针对进出互联网的流量,没有专门的防火墙来进/出内部网的流量。分布交换机上的防火墙是否足够强大,例如 Cisco 催化剂 3560 交换机?

基于下图。假设3560的交换机内防火墙是不够的。假设没有 VLAN,并且有 2 个部门,财务和营销部门,它们在同一分布交换机上由接入交换机隔开。这两个部门都在用户计算机和服务器中包含敏感信息。但是,两个部门的用户必须相互通信。

在此处输入图片说明

允许不同部门的用户相互交流,打开了攻击机会。例如,财务部门的用户可以通过聊天程序(例如Skype)相互通信,向营销部门的用户发送恶意程序,反之亦然。

如果要检查这两个部门之间的流量,应该将专用防火墙放置在哪里?

更新 1:添加图片和详细信息。

1个回答

如果两个部门之间的流量都要检查,应该把专用的防火墙放在哪里? 如果这两个部门之间的流量要检查,那么专用的防火墙应该放在哪里?

用防火墙和IPS模块替换c3560;我在工作中操作与此类似的拓扑。

如果您只关心 Skype 等 3rd 方聊天程序;最好的选择是完全阻止所有进入互联网的 Skype 流量。这样,甚至没有人能够连接到 Skype 服务并找到其他方。如果Skype 是唯一的问题,就不值得为部门设置防火墙。

无论如何,您还需要端点安全解决方案来扫描病毒并处理授权/未授权的应用程序。考虑文件也与 U 盘共享的现实。

其它你可能感兴趣的问题
上一篇如何最好地重新分配接口以移动到不同的 VDC 下一篇Captive Portal wifi(网络身份验证)的用户是否容易受到嗅探?