Networking

Cisco ASA Config for PCI Compliant Office

  • May 13, 2012

我們有一個小型企業辦公室,但由於 PCI 合規性,我們需要將其分成兩個網際網路網路(一個“合規”,一個供任何其他設備使用)。

我們目前有一個 Draytek 調製解調器/WAN 負載平衡器,它也有防火牆,但這是非常基本的,不支持每個 vlan 上的單獨安全策略。

因此,我剛剛購買了 ASA 5505,並希望獲得一些設置建議:

虛擬區域網路:

  1. 外部 (draytek)
  2. InsidePci(我們的安全區域,包含 Windows 域控制器/dhcp/等)
  3. 內部(只是一個普通的網路,只有網際網路訪問,沒有連接到 vlan

我的問題:

  1. 目前一切都在一個子網 192.168.2.x 上。draytek 有一個靜態 IP,其他一切都從我們的 Windows DHCP 伺服器分配一個 IP。由於此 Windows 伺服器將位於“insidepci”網路中,因此我計劃讓該 vlan 繼續使用該網路,並使用來自 ASA 的 DHCP 進行正常“內部”網路。那可能嗎?
  2. 我是否需要將 draytek 放在它自己的子網上(所以只有 draytek 位於 192.168.3.x 上),因為我似乎無法將同一範圍內的 IP 分配給兩個不同的 VLAN。
  3. 通過查看其中一個線上指南,我似乎需要一個內部路由器?我不知道這一點,我希望我可以將一個交換機分配給“內部”VLAN,並將一個單獨的交換機分配給“insidepci”VLAN?這些 VLAN 之間不需要通信,但都需要能夠訪問“外部”(draytek 網關)

談到 PCI 合規性時,您要做的第一件事就是想盡一切辦法限制您的範圍。通過實際考慮不涉及哪些系統並將它們移動到其他地方,您已經在網路分段方面取得了良好進展。在理想情況下,您的 PCI 環境將位於物理上獨立的網路中,但這不是必需的。概念化分割的最佳方法是圍繞廣播域的概念。實際上有很多不同的方法可以充分獲得必要的細分水平,

  • 將範圍內的設備放置在單獨的子網上
  • 將您的範圍內設備放置在與範圍外相同的地址空間中的專用 VLAN 上
  • 在範圍內和範圍外安裝透明防火牆
  • ETC

話雖如此,您應該能夠擺脫使用 5505 作為主要隔離設備的情況,如果您需要額外的埠,則可以將其他開關掛在其上。您只想確保來自 VLAN 的任何流量inside在進入 VLAN 之前通過防火牆模組insidepci

PCI 安全標準委員會有一份名為Navigating the PCI DSS v2.0的文件。我強烈建議您通讀它,以便您更好地理解需求的意圖。這應該可以幫助您正確地制定合規性要求。

免責聲明:我不是 QSA、ASV 或 ISA。我給出的任何建議都是友好的,遵循它絕不意味著遵守。

引用自:https://serverfault.com/questions/365051