blutgraf 10 Geschrieben 25. Mai 2010 Melden Geschrieben 25. Mai 2010 Hallo, mal ne Frage in die Runde, was welche Lösung für ein DMZ Design würdet ihr empfehlen? Es ist folgende Konfiguration vorhanden: - Cisco Router 3800 für den Netzzugang - Cisco ASA 5500 IPS Firewall, VPN - Cisco 6500 als Core mit FWSM, IDS, WLAN Controller Modulen jetzt zu meiner Frage würdet ihr die DMZ an der ASA mittel eigene Switchen realisieren oder würdet ihr die DMZ am Core realisieren? Es geht um 3-4 Server
blackbox 10 Geschrieben 25. Mai 2010 Melden Geschrieben 25. Mai 2010 Hallo, das ist jetzt wieder so eine "philosophie" Frage :-) - Designmäßig würde ich sie an der ASA sehen - und dann das ganze in ein eigenes VLAN auf den Switchen packen. Wenn man nun der VLAN Sicherheit nicht traut - nen eigenen Switch nehmen. Wenn du jedoch "speed" zwischen dem internen und der dmz brauchst - kann man es auch am 6500 aufbauen - aber da ja die DMZ in der Regel nah am Internet steht - eher auf der ASA - oder hast du die "Dark Site" auch auf dem 6500er anliegen ?
nerd 28 Geschrieben 25. Mai 2010 Melden Geschrieben 25. Mai 2010 Hi, ein Grundsatz für Sicheres Design ist: "verwende nie die gleiche Hardware für verschiedenen Sicherheitszone - es sei denn es ist ne Firewall". Die DMZ und dein internes Netz sind auf jeden Fall unterschiedliche Sicherheitszonen... Viele Grüße
blutgraf 10 Geschrieben 25. Mai 2010 Autor Melden Geschrieben 25. Mai 2010 das ist genau das Problem, da die einen das eine die anderen das eine empfehlen. Ach ja noh mal kurz zur Anmerkung falls das für euch wichtig ist, es geht hier um ein 2-Tier Netzwerk. Was bedeutet das vom Dual Chassis Core, einmal auf nen Server Access Switch und einmal auf nen LAN Access Switch mit PoE geht.
Otaku19 33 Geschrieben 25. Mai 2010 Melden Geschrieben 25. Mai 2010 Kommt auf die Kohle und wie schon erwähnt die Philosophie an. Wir haben bei Kunden beides realisiert, 2 Firewalls verschiedener Hersteller, alle Bereiche sind auf seperaten Switchen und ebenso die absolute Sparmaßnahme wo wirklich ALLES auf einem Switch landet. ich würde da einen guten Mittelweg wählen, hosts die Dienste an Hacker jedermann anbieten würde ich aber nur mit Bauchweh an einem "internen" Switch anbinden.
Wordo 11 Geschrieben 26. Mai 2010 Melden Geschrieben 26. Mai 2010 Jo, DMZ an der ASA mit eigenem Switch. Performance brauchst du i.d.R. nur fuer Backups, und da sollte ein eigener Server in dem Netz stehen.
Empfohlene Beiträge
Erstelle ein Benutzerkonto oder melde dich an, um zu kommentieren
Du musst ein Benutzerkonto haben, um einen Kommentar verfassen zu können
Benutzerkonto erstellen
Neues Benutzerkonto für unsere Community erstellen. Es ist einfach!
Neues Benutzerkonto erstellenAnmelden
Du hast bereits ein Benutzerkonto? Melde dich hier an.
Jetzt anmelden