Cisco ASA Config for PCI Compliant Office

我們有一個小型企業辦公室，但由於 PCI 合規性，我們需要將其分成兩個網際網路網路（一個“合規”，一個供任何其他設備使用）。

我們目前有一個 Draytek 調製解調器/WAN 負載平衡器，它也有防火牆，但這是非常基本的，不支持每個 vlan 上的單獨安全策略。

因此，我剛剛購買了 ASA 5505，並希望獲得一些設置建議：

虛擬區域網路：

1. 外部 (draytek)
2. InsidePci（我們的安全區域，包含 Windows 域控制器/dhcp/等）
3. 內部（只是一個普通的網路，只有網際網路訪問，沒有連接到 vlan

我的問題：

1. 目前一切都在一個子網 192.168.2.x 上。draytek 有一個靜態 IP，其他一切都從我們的 Windows DHCP 伺服器分配一個 IP。由於此 Windows 伺服器將位於“insidepci”網路中，因此我計劃讓該 vlan 繼續使用該網路，並使用來自 ASA 的 DHCP 進行正常“內部”網路。那可能嗎？
2. 我是否需要將 draytek 放在它自己的子網上（所以只有 draytek 位於 192.168.3.x 上），因為我似乎無法將同一範圍內的 IP 分配給兩個不同的 VLAN。
3. 通過查看其中一個線上指南，我似乎需要一個內部路由器？我不知道這一點，我希望我可以將一個交換機分配給“內部”VLAN，並將一個單獨的交換機分配給“insidepci”VLAN？這些 VLAN 之間不需要通信，但都需要能夠訪問“外部”（draytek 網關）

談到 PCI 合規性時，您要做的第一件事就是想盡一切辦法限制您的範圍。通過實際考慮不涉及哪些系統並將它們移動到其他地方，您已經在網路分段方面取得了良好進展。在理想情況下，您的 PCI 環境將位於物理上獨立的網路中，但這不是必需的。概念化分割的最佳方法是圍繞廣播域的概念。實際上有很多不同的方法可以充分獲得必要的細分水平，

• 將範圍內的設備放置在單獨的子網上
• 將您的範圍內設備放置在與範圍外相同的地址空間中的專用 VLAN 上
• 在範圍內和範圍外安裝透明防火牆
• ETC

話雖如此，您應該能夠擺脫使用 5505 作為主要隔離設備的情況，如果您需要額外的埠，則可以將其他開關掛在其上。您只想確保來自 VLAN 的任何流量inside在進入 VLAN 之前通過防火牆模組insidepci。

PCI 安全標準委員會有一份名為Navigating the PCI DSS v2.0的文件。我強烈建議您通讀它，以便您更好地理解需求的意圖。這應該可以幫助您正確地制定合規性要求。

免責聲明：我不是 QSA、ASV 或 ISA。我給出的任何建議都是友好的，遵循它絕不意味著遵守。

引用自：https://serverfault.com/questions/365051