Security

此網路拓撲的潛在安全隱患

  • September 6, 2019

長話短說,我們剛剛使用 2 個 sonicwall nsa3600s 實現了 HA…我們現場只有 1 個 ISP 連接…因此我們需要在 WAN 側使用一個開關將連接拆分到主要和輔助 sonicwalls 上的兩個 WAN 介面.

問題是,我們沒有任何可用的開關!我的老闆一心想要配置這個,但是,他建議我在我們的內部 LAN 交換機堆棧上配置一個 vlan,並使用它來分割 3 個埠以用於此目的。

所以 - 建議的拓撲是 ISP 在我們的 LAN SWITCHSTACK 上的埠上進入它自己的 vlan,然後分裂回 sonicwalls 上的 WAN 介面,然後通過 sonicwalls LAN 介面回到交換機堆棧。

不用說,我認為這是一個可怕的想法。但是,我沒有任何確鑿的事實來說明為什麼這是一個糟糕的想法,除了…… LAN 設備應該始終留在防火牆後面……誰能告訴我這會造成潛在的危險和安全漏洞嗎?他聲稱這就是他在上一份工作中的設置方式……

想到的一些潛在的不一致是,vlan 是第 2 層技術,而數據將通過這些交換機埠路由……廣播風暴和 ddos​​ 攻擊呢?我不知道……這似乎真的,真的錯了。

你老闆的建議可以正常工作,沒有安全問題。

除了,內部交換機上的錯誤配置可能會無意中將不受信任的流量橋接到防火牆內部。

考慮到網路問題最常見的來源是意外配置錯誤,這是一個真正的風險。一定要把事情記錄好。

當然,您的老闆可能會回答說正確的交換機配置完全是您的責任。你必須處理那個。

你的其他反對是毫無根據的。不存在“不一致”問題。任何外部 DoS 或風暴都會在影響交換機之前很久就使 WAN 鏈路飽和。

引用自:https://serverfault.com/questions/982224