Switch
一種在乙太網 Mellanox 交換機上配置 DMZ 區域的方法
根本找不到任何資訊,以及如何在 Mellanox MSN2100 交換機上配置 DMZ 區域。
如果我設置 ACL 禁用從 DMZ 到 LAN 的流量,我無法收到對從 LAN 到 DMZ 的請求的響應。
有什麼辦法可以做到嗎?
我這樣做的主要原因是最大化我的防火牆的吞吐量,將其限制為僅與網際網路相關的連接。否則,我將防火牆上的每個連接加倍(從 LAN 到 DMZ 中的代理伺服器,然後從代理到 WAN),將防火牆的最大吞吐量減半。
謝謝你的幫助。
ACL 本質上是無狀態的。與防火牆(通常是有狀態的)不同,您需要設置 ACE 來過濾或允許雙向。
因此,您可以只允許來自 DMZ 服務的回复,而拒絕其他一切。要允許從 LAN 到 DMZ 的 DNS、WWW 和 RDP 連接,您可以將此 ACL 應用到入口上的 DMZ 埠:
1000 permit udp dmz/24 lan/24 eq-source 53 1010 permit tcp dmz/24 lan/24 eq-source 80 1020 permit tcp dmz/24 lan/24 eq-source 443 1030 permit tcp dmz/24 lan/24 eq-source 3389 1200 deny ip dmz/24 lan/24 9999 permit ip any any
(用您的 DMZ 和 LAN 地址/遮罩替換
dmz/24
和lan/24
)ACE 1200 過濾從 DMZ 到 LAN 的所有流量,這些流量以前不允許。如果該埠需要,ACE 9999 允許 WAN 流量。