Qual è la procedura migliore per la separazione delle zone affidabili da una DMZ con un singolo firewall?

Naviga le tue risposte
7

Presso la nostra organizzazione disponiamo di un singolo firewall tra le nostre zone interne e Internet pubblica. Attualmente tutte le nostre zone fidate sono definite come vlans differenti su uno switch di livello 3 collegato a un'interfaccia fisica sul firewall. La zona DMZ è definita sul firewall stesso ed è trunked su uno switch di livello 2 da un'interfaccia fisica separata sul firewall.

È un modo abbastanza sicuro per separare le nostre zone fidate dalla nostra DMZ o questo pone molti problemi?

Inoltre avere la DMZ vlan definita sul firewall e trunked su uno switch di livello 2 rappresenta un rischio o dovrei cercare di ottenere anche un altro switch di livello 3 per la DMZ?

Ho preso in considerazione il tentativo di ottenere finanziamenti per un secondo firewall da collocare tra il nostro firewall primario e le nostre zone fidate, ma non so se sarebbe il posto migliore per apportare una modifica per ottenere il miglior miglioramento della quantità, se non del tutto .

    
posta YerPhate 01.07.2011 - 17:42
fonte

2 risposte

2

Da quello che ho capito, questo è meno una domanda di sicurezza e più una domanda di ingegneria di rete, sebbene l'ingegneria della sicurezza abbia sicuramente un posto in cui qualsiasi progetto di rete.

Per prima cosa dovrai disegnare quello che stai facendo. Che hai fatto nel periodo in cui stavo scrivendo questo, haha. Ho anche allegato il Visio che ho buttato insieme quando ho letto per la prima volta la tua domanda.

Quindidevochiederequalcosa.HaidettochelaDMZè"trunked to a switch di livello 2". Significa che stai effettivamente troncando le VLAN allo switch di livello 2? In tal caso, potrebbe essere opportuno eliminare le VLAN dall'interfaccia del firewall. Soprattutto se non stai provando a realizzare una configurazione DMZ a sandwich. Quello switch DMZ sembra che dovrebbe essere senza tag.

Non penso ci sia bisogno di un interruttore aggiuntivo per la tua DMZ, a meno che tu non abbia problemi di dimensioni e configurazione. Se si tratta di una rete su piccola scala, come immagino, dovresti impostare la piccola configurazione DMZ on-a-stick.

Molte piccole appliance di tipo all-in-one hanno una configurazione molto simile. Ho visto molti dispositivi di bordo Checkpoint utilizzati in questa stessa configurazione esatta.

È garantito che maggiore sicurezza / separazione è in grado di fornire il meglio quando si tratta di sicurezza, ma questa configurazione è perfetta per una piccola azienda o per l'installazione domestica.

Inoltre, ho appena trovato questo articolo che ha una spiegazione estremamente breve di questa stessa configurazione qui .

    
risposta data 01.07.2011 - 21:46
fonte
0

La configurazione mi sembra corretta, non vedo flussi che non possano essere facilmente identificati e filtrati al firewall.

Quando si parla della VLAN definita sul firewall e sul firewall secondario, la vera domanda è quale scenario di attacco è di cui si vuole difendere. DMZ significa che stai considerando server compromessi. Nella configurazione specificata, il firewall (potenzialmente) proteggerà contro questo. Ci possono essere motivi per un secondo firewall su / sullo switch Layer3 a seconda di quali flussi dovrebbero essere consentiti tra le VLAN.

Il trunking tra FW e DMZ ti consente di aumentare il throughput della rete, giusto? Perché non vedo un motivo di sicurezza per avere una VLAN sul lato DMZ del FW.

    
risposta data 01.07.2011 - 22:43
fonte

Leggi altre domande sui tag

Quali sono i problemi di sicurezza con la disattivazione della protezione estesa per l'autenticazione in IIS7 su ADFS? Configurazione UAC preferita in Aziende che utilizzano gli script di Login per mappare le unità?