Zone Based Firewall. Interfaccia fisica o virtuale?

Mettete al sicuro la vostra rete!

Moderatore: Federico.Lagni

Rispondi
andITcsco
Cisco fan
Messaggi: 63
Iscritto il: mer 05 apr , 2006 4:06 pm

Ciao a tutti,

devo rendere pubblico un sito web "controllando" gli stessi accessi al server web e proteggere la LAN. Ho a disposizione un Cisco 2811 con IOS Advanced Security 12.24. Avrei pensato a zone based firewall, vorrei creare tre diverse zone

Internet
DMZ
LAN

e gestire in modo opportuno i flussi (Internet>DMZ, LAN>Internet, LAN>DMZ ecc.)

Ora è chiaro che le interfacce fast ethernet native sul 2811 non sono sufficienti. Sono indeciso tra le seguenti soluzioni:

- usare una HWIC-1FE da assegnare alla DMZ e configurare

f0/0 per Internet zone
f0/1 per DMZ zone
f1/0 per LAN zone

- oppure installare una scheda HWIC-4ESW, configurare 2 VLAN e assegnare le porte fisiche della scheda alle VLAN create.

f0/0 per Internet zone
f0/1 switch trunk port 802.1q
f0/1.10 VLAN 10 DMZ zone
f0/1.20 VLAN 20 LAN zone

Quale è secondo voi la soluzione migliore da un punto di vista tecnico?

Grazie.

P.s. per quanto riguarda i costi ho visto che la HWIC-4ES costa quasi la metà..
Avatar utente
zot
Messianic Network master
Messaggi: 1274
Iscritto il: mer 17 nov , 2004 1:13 am
Località: Teramo
Contatta:

andITcsco ha scritto:
P.s. per quanto riguarda i costi ho visto che la HWIC-4ES costa quasi la metà..
Ed ha anche molte meno features....cmq ti consiglio VLAN...una struttura basata su VLAN e' molto piu' scalabile...
Se c'è soluzione perchè t'arrabbi?
Se non c'è soluzione perchè t'arrabbi?


http://www.zotbox.net
andITcsco
Cisco fan
Messaggi: 63
Iscritto il: mer 05 apr , 2006 4:06 pm

Grazie Zot,

avevo già proceduto con l'ordine della scheda switch, Guardando meglio la documentazione di Zone Based Firewall ho trovato configurazioni con interfacce VLAN.

http://www.cisco.com/en/US/products/sw/ ... 09186a0080

Per quanto riguarda la configurazione delle interfacce, nel mio primo post ho fatto forse un pò di confusione. Non credo sia necessario creare la seconda FE nativa sul router come trunk e configurare le sub-interfaces. La configurazione potrebbe essere:

fe0/0 Internet (Wan Interf.)
fe0/1 unassigned
interface vlan10 DMZ
interface vlan 20 LAN

e assegnare poi oppurtunamente le porte fast ethernet della scheda switch alla vlan desiderata con il comando

Codice: Seleziona tutto

switchport access
.

Corretto?

Un ultima cosa ancora: quali sono le features (quelle che potrebbe essere più importanti) non disponibili sulla scheda HWIC-4ESW rispetto alla scheda HWIC-FE?

Andy
andITcsco
Cisco fan
Messaggi: 63
Iscritto il: mer 05 apr , 2006 4:06 pm

Non ho copiato correttamente il link, la pagina web di cui parlavo è questa

http://www.cisco.com/en/US/products/sw/ ... c994.shtml
Avatar utente
zot
Messianic Network master
Messaggi: 1274
Iscritto il: mer 17 nov , 2004 1:13 am
Località: Teramo
Contatta:

Per le features ti consiglio di guardare il sito cisco,dalla mia ti posso dire che la scheda switch non fa ppoe..
Se c'è soluzione perchè t'arrabbi?
Se non c'è soluzione perchè t'arrabbi?


http://www.zotbox.net
Rispondi