Jump to content

Meine PIX gegen ASA ersetzen?


Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Recommended Posts

Der ist nicht voll routingfaehig. Wenn du ne richtige DMZ willst isses n bisschen doof.

Was macht denn deine PIX alles?

 

 

Naja wenns nicht routingfähig ist, isses auch kein DMZ Port :)

 

Meine Pix dient im Moment als VPN-Server, für SitetoSite VPN und Internet-Firewall.

 

ICh würde aber gerne eine DMZ einrichten, deshlab meine Frage.

Link to comment

As business needs grow, customers can install a Security Plus upgrade license, enabling the Cisco ASA 5505 Adaptive Security Appliance to scale to support a higher connection capacity and a higher number of IPsec VPN users, add full DMZ support, and integrate into switched network environments through VLAN trunking support.

 

Cisco ASA 5500 Series Adaptive Security Appliances [Cisco ASA 5500 Series Adaptive Security Appliances] - Cisco Systems

Link to comment
As business needs grow, customers can install a Security Plus upgrade license, enabling the Cisco ASA 5505 Adaptive Security Appliance to scale to support a higher connection capacity and a higher number of IPsec VPN users, add full DMZ support, and integrate into switched network environments through VLAN trunking support.

 

Cisco ASA 5500 Series Adaptive Security Appliances [Cisco ASA 5500 Series Adaptive Security Appliances] - Cisco Systems

 

 

 

Naja genau das war meine Frage. Wo ist der Unterschied zwischen DMZ und "full" DMZ :)

Link to comment

Bei der "Normal" DMZ (kostenfrei) kannst du von nur einem Interface (meisst Outside) in die DMZ zugreifen - aber nicht von einem anderen (z.B. Inside) - man kann so z.B. einen Web oder was auch immer Server da reinstellen - den man aber von innen nicht erreichen will. Wenn man die Erweiterung macht - kommt man von allen Seiten an die DMZ ran.

Link to comment
Bei der "Normal" DMZ (kostenfrei) kannst du von nur einem Interface (meisst Outside) in die DMZ zugreifen - aber nicht von einem anderen (z.B. Inside) - man kann so z.B. einen Web oder was auch immer Server da reinstellen - den man aber von innen nicht erreichen will. Wenn man die Erweiterung macht - kommt man von allen Seiten an die DMZ ran.

 

 

Nun gut, aber das DMZ Interface der Firewall muss ja auch eine IP haben.

Wenn ich jetzt das DMZ Interface einfach in ein eigenes VLAN auf meinem Switch hänge, in dem auch die ganzen Server hängen, die in der DMZ sein sollen, kann ich ja mitm L3-Switch InterVLAN-Routing beteieben und komme dann auch von "inside" auf das DMZ-Port. Die eigentliche Zugriffsteuerung läuft dann über Access-Listen.

Link to comment
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

×
×
  • Create New...