R: Firewall e VLAN

[ Home | Liste | F.A.Q. | Risorse | Cerca... ]

[ Data: precedente | successivo | indice ] [ Argomento: precedente | successivo | indice ]

Archivio: Marzo 2002 ml@sikurezza.org
Soggetto: R: Firewall e VLAN
Mittente: mailing lists
Data: 16 Mar 2002 16:29:32 -0000


>Posto questo requisito fai un ragionamento sul rapporto costi/benefici
e valuta se
>effettivamente a livello progettuale hai bisogno di 14 DMZ ( non ho mai
visto
>un firewall con 14 interfaccie e potrebbero esserci dei ragionamenti
errati a
>livello di progettazione dell'infrastruttura... ) o se ti basta
raggruppare i
>14 server a seconda delle loro funzioni e della delicatezza delle
informazioni
>ivi presenti arrivando ad avere 5/6 interfaccie sul firewall.

Sono pienamente d'accordo con te: c'è qualcosa che non va nel progetto
(v. mail precedete)
La risposta la dài tu stesso:

                 ___________________
>Server 1 ----|   |                  |Trunking
>Server 2 ----|---- Catalyst 2900 XL -------- Firewall con vlan ---
Internet
>Server n ----|   |__________________| 


Per firewall, se usi un Catalyst ricorda che se utilizzi ISL
(proprietario) invece di 802.1q devi verificare che il firewall abbia
un'interfaccia 10/100 e supporti l'isl. Io con IOS FW suggerirei un 1700
(fast nativa) Cisco .... Oppure un bel pix, ma i prezzi cambiano :-(

>e dove non dovresti avere problemi relativamente al tipo di schede di
rete
>utilizzate sui server, in quanto tutta la parte di switching e gestione
delle
>VLAN viene demandata al catalyst .

Infatti metterai tutti i server in una VLAN "server-block", e gestirai
gli accessi ad essa grazie a semplici ACL sul router (router on a stick
per intervlan routing)

>p.s. Nel mercato dei Firewall a breve ci sara' il boom di vendor che
>     supporteranno l'802.1Q .


Io credo invece che si andrà verso soluzioni 10/100 (realizzazione di
segmenti di trunk a 10 Mbit mi sembrano riduttivi, specialmente se ci
riferiamo al segmento che porta al router on a stick) ... Ricordo che
802.1q è sì standard, ma supporta solo interfacce ethernet 10 Mbit, e
non fast 10/100 (a meno che non abbiano aggiornato gli standards a mia
insaputa, in tal caso Vi prego avvisatemi proponendo link).

Ciao
Andrea


________________________________________________________
http://www.sikurezza.org - Italian Security Mailing List

Messaggi successivi:
- Re: R: Firewall e VLAN, Filo

In risposta a:
- Re: Firewall e VLAN, Fabio Pietrosanti (naif)

Data:
- precedente: R: Wireless Networking Security: As Part of Your Perimeter Defense Strategy, mailing lists
- successivo: R: dmz, ip pubblici?, cat_roger22
- indice

Argomento:
- precedente: Re: ??Le VLAN sono una soluzione comoda??, Filo
- successivo: Re: R: Firewall e VLAN, Filo
- indice

[ Home | Liste | F.A.Q. | Risorse | Cerca... ]

www.sikurezza.org - Italian Security Mailing List
(c) 1999-2005