Fortigate Firewall - DMZ против портов интерфейса
Я подумываю о покупке брандмауэра Fortigate 50b (или Fortigate 60b), чтобы отделить мой веб (iis) компьютер от компьютера с БД. (См. http://www.fortinet.com/doc/FGT50_100DS.pdf)
До сих пор два сервера были подключены напрямую через кросс-кабель с использованием второй сетевой карты.
Модель 50b не имеет порта DMZ.
Что это значит? В чем разница между DMZ-портом брандмауэра и интерфейсным портом? Разве невозможно создать правила (блокировать / разрешать трафик на основе порта) на интерфейсном порту?
PS: я знаю, что в целом я должен поставить любой сервер, подключенный к wan(интернет), на порт DMZ, но на нашем текущем брандмауэре (Fortigate 200a) любой порт интерфейса можно использовать в качестве порта dmz..
Благодарю.
2 ответа
DMZ - это просто термин проектирования сети, который означает, что сеть защищена брандмауэром таким образом, что она не может инициировать трафик в защищенную сеть. В этом отношении нет ничего особенного в порте или сети. Хотя для порта, помеченного как DMZ с точки зрения программного обеспечения брандмауэра, к нему может применяться другое правило брандмауэра по умолчанию.
Я не знаю о 50b, но с 60b вы можете отсоединить все внутренние порты и запустить разные сети на каждом порту. Правила межсетевого экрана и все другие функции FortiGate прекрасно работают между этими сетями. Я использовал этот подход, чтобы несколько DMZ использовать FortiGate 60b пару лет назад. Поэтому я не вижу причин, по которым это не сработает.
Совершенно верно, у меня есть 50B здесь, и у меня есть dmz. Просто используйте любой интерфейсный порт и настройте его с помощью правил брандмауэра из командной строки. Используйте концепцию как псевдоним в брандмауэре старой школы с одним интерфейсом. Просто определите, где вы хотите интересный трафик идти или не идти, и все готово.
Для dmz не разрешайте ему переходить во внутреннюю сеть и разрешайте переходить на интерфейс wan. В противном случае вы можете ограничить выбор, выбрав только http, https и dns.