PIX 515 e DMZ

DigitalKiller · mer 25 ott , 2006 4:12 pm

Ciao a tutti, sono un nuovo utente!

Secondo il mio capo sarei il responsabile del settore informatico dell'ufficio ed in quanto tale mi ha chiesto di occuparmi della "riconfigurazione" della rete.

Abbiamo la necessità di rendere accessibili da internet un web server ed un ftp server. La mia intenzione è, quindi, quella di creare una DMZ in cui posizionare questi servizi.
Non sono un esperto di apparati Cisco, per questo vi chiedo un aiuto.
Ho a disposizione un firewall Pix 515 (non il 515E), con due interfacce di rete, una verso il router e l'altra verso l'hub.
Per creare la DMZ, ho bisogno di un altra interfaccia ethernet, vero? Se si, dove posso acquistarla?
Grazie

Ps. purtroppo la persona che fino ad oggi si è occupata del firewall si è resa irreperibile e non sappiamo a chi rivolgerci

Wizard · gio 26 ott , 2006 4:22 pm

O hai una altra interfaccia fisica oppure metti dietro al pix uno switch che faccia vlan e crei una dmz virtuale (che in pratica non cambia niente).

Wizard · gio 26 ott , 2006 4:48 pm

Mi spiego meglio: sullo switch configuri una vlan che chiami "DMZ" e una altra che chiami "LAN"; la dmz avrà come ID 2 e la LAN avrà ID 1.
Ora, sul pix agguingi una interfaccia virtuale sotto alla tua inside con vlan id 2 che si chiamerà dmz.
La vlan sullo switch non dovrà avere ip perchè il gateway del server da pubblicare sarà l'ip virtuale della vlna dmz del tuo PIX.
A questo punto crei le acl e le regole di nat sul pix per proteggere la lan e pubblicare le porte che vi interessano.
Chiedi pure se non hai capito bene.
Se invece non vuoi\puoi prendere uno switch per fare le vlan e il tuo pix ha un modulo vuoto per una interfaccia eth allora puoi avere una interfaccia fisica per le macchine in dmz.
La scheda la puoi comprare dalla azienda che ti fornisce il materiele networking.

DigitalKiller · gio 26 ott , 2006 5:30 pm

Wizard ha scritto:Mi spiego meglio: sullo switch configuri una vlan che chiami "DMZ" e una altra che chiami "LAN"; la dmz avrà come ID 2 e la LAN avrà ID 1.
Ora, sul pix agguingi una interfaccia virtuale sotto alla tua inside con vlan id 2 che si chiamerà dmz.
La vlan sullo switch non dovrà avere ip perchè il gateway del server da pubblicare sarà l'ip virtuale della vlna dmz del tuo PIX.
A questo punto crei le acl e le regole di nat sul pix per proteggere la lan e pubblicare le porte che vi interessano.
Chiedi pure se non hai capito bene.
Se invece non vuoi\puoi prendere uno switch per fare le vlan e il tuo pix ha un modulo vuoto per una interfaccia eth allora puoi avere una interfaccia fisica per le macchine in dmz.
La scheda la puoi comprare dalla azienda che ti fornisce il materiele networking.

Ti ringrazio per la risposta!
Visto che è possibile fare il tutto con 2 sole interfacce, credo che seguirò questa strada, senza comprare un modulo aggiuntivo.
Una cosa, però, non mi è chiara. Che intendi con "uno switch che faccia vlan"? Attualmente, il firewall è collegato ad un patch panel.
Anche se la sezione non è corretta, hai un link con un esempio?
Grazie

Wizard · ven 27 ott , 2006 1:18 pm

Intendo uno switch su cui puoi configurare delle vlan che si affacciano poi con il pix, se non ce lo hai già non so se ti conviene (economicamente perlando) comprare un nuovo switch...una porta in + per il pix forse costa meno...

DigitalKiller · ven 27 ott , 2006 1:59 pm

Wizard ha scritto:Intendo uno switch su cui puoi configurare delle vlan che si affacciano poi con il pix, se non ce lo hai già non so se ti conviene (economicamente perlando) comprare un nuovo switch...una porta in + per il pix forse costa meno...

A questo punto credo che convenga acquistare un'altra interfaccia.
Solo una curiosità..
Le interfacce aggiuntive sono standard o cambiano in base al modello? Cioè le interfacce che trovo ora in commercio, sono sempre compatibili con i vecchi firewall?

Wizard · mar 31 ott , 2006 10:19 am

Secondo me una interfaccia per un PIX 515 la trovi!
Se hai uno sloto libero

MaiO · mar 31 ott , 2006 2:54 pm

Certo che la trovi. Se sei un'azienda te la posso vendere io. Contattami in PM.

Ciao

DigitalKiller · gio 02 nov , 2006 10:44 am

Vi ringrazio per le risposte!

Purtroppo per il momento sono costretto a sospendere il "progetto" in quanto sono sorti alcuni problemi più urgetnti

@ MaiO

Se non ti dispiace, mi riservo di contattarti in PM fra qualche giorno, non appena avrò sistemato alcune cose.

Ps. Approssimativamente, puoi dirmi il costo della scheda? Anche in PM.
Grazie

PIX 515 e DMZ

Login • Iscriviti