防火墙设备最有效的放置位置是什么?

网络工程 思科 思科 树干
2021-07-21 17:33:28

在此处输入图片说明

由于需要在 2 个核心站点之间保留一个公共 vlan,在尝试对此进行研究后,我仍然不确定在现有网络中放置防火墙的最佳位置。网络有以下要求:

  • 2 个公司站点之间的冗余,以允许基于网络的 Internet 访问与 Cisco1921 路由器之间的 HSRP 的 L2 邻接,以便 DMZ 资源和客户 LAN 主机使用 vip 作为其默认网关
  • 进出客户 LAN 的所有互联网流量都应由本地 ASA 处理
  • 从互联网到 DMZ 的所有流量都应由 ASA 处理
  • Internet 流量和企业数据将共享相同的 WAN 链接,并且需要保留一个公共 vlan,该 vlan 在 L3 交换机上的 SVI 之间进行中继

有没有更好的方法来实现这一点,而不必在互联网访问、dmz 和 lan 用户之间通过 ASA 防火墙转换和明确发送所有内容?我希望在路由器和交换机之间的直接路径中安装防火墙以简化它们的配置,但不确定如果放置在图中以外的位置,我还能如何保持站点之间的 HSRP 通信?从安全角度来看,ASA 的位置真的很重要吗?

1个回答

以下是对一种解决方案的描述:

在 L2 中继上创建 4 个额外的 VLAN。在路由器和L3交换机之间放置防火墙,并使用3个VLAN连接内部、外部和DMZ接口,将防火墙变成HA(故障转移)对。第 4 个 VLAN 成为两个防火墙之间的心跳链路。

外部接口的默认网关是 HSRP 地址。防火墙配置有两个具有相同策略的上下文。上下文 1 将在图的左侧具有主要 FW,上下文 2 将具有右侧 FW 作为主要 FW。

左边的用户将他们的默认gw设置为contect1,右边的用户将使用context 2。这将保持本地FW上的流量,并在本地FW出现故障时提供冗余。

每个上下文都有一个唯一的公共地址(和 NAT 配置),以便入站流量始终到达正确的 FW。

这样做的缺点是,如果您的 DMZ 设备位于网络的两侧,它们将有两个公共地址。您可以: 1. 决定 DMZ 设备将始终使用一个上下文,而不管它们的物理位置如何 2. 使用全局负载平衡器将流量定向到一个或另一个上下文。这当然需要额外的硬件和配置。

固件图

其它你可能感兴趣的问题
上一篇Cisco RIP - 为接口或网络设置度量 下一篇AODV 中的环路预防