Ich möchte meine PIX 501 zu Hause gegen eine ASA 5505 ersetzen. Auf der Cisco Homepage steht etwas über ein "restricted" DMZ-Port. Was ist mit restricted in diesem Fall für eine Einschänkung gemeint?
As business needs grow, customers can install a Security Plus upgrade license, enabling the Cisco ASA 5505 Adaptive Security Appliance to scale to support a higher connection capacity and a higher number of IPsec VPN users, add full DMZ support, and integrate into switched network environments through VLAN trunking support.
As business needs grow, customers can install a Security Plus upgrade license, enabling the Cisco ASA 5505 Adaptive Security Appliance to scale to support a higher connection capacity and a higher number of IPsec VPN users, add full DMZ support, and integrate into switched network environments through VLAN trunking support.
Bei der "Normal" DMZ (kostenfrei) kannst du von nur einem Interface (meisst Outside) in die DMZ zugreifen - aber nicht von einem anderen (z.B. Inside) - man kann so z.B. einen Web oder was auch immer Server da reinstellen - den man aber von innen nicht erreichen will. Wenn man die Erweiterung macht - kommt man von allen Seiten an die DMZ ran.
Bei der "Normal" DMZ (kostenfrei) kannst du von nur einem Interface (meisst Outside) in die DMZ zugreifen - aber nicht von einem anderen (z.B. Inside) - man kann so z.B. einen Web oder was auch immer Server da reinstellen - den man aber von innen nicht erreichen will. Wenn man die Erweiterung macht - kommt man von allen Seiten an die DMZ ran.
Nun gut, aber das DMZ Interface der Firewall muss ja auch eine IP haben.
Wenn ich jetzt das DMZ Interface einfach in ein eigenes VLAN auf meinem Switch hänge, in dem auch die ganzen Server hängen, die in der DMZ sein sollen, kann ich ja mitm L3-Switch InterVLAN-Routing beteieben und komme dann auch von "inside" auf das DMZ-Port. Die eigentliche Zugriffsteuerung läuft dann über Access-Listen.
