DMZ 2つのファイアウォールでのセットアップ-DMZからLANへ、LANからDMZ

インターネットからアクセスできる必要のあるマシンでネットワークをセットアップしています。これらをDMZに配置する予定です。 DMZ内のマシンの一部はプライベートネットワーク上のマシンにアクセスする必要があり、プライベートネットワーク上のマシンはDMZ内のマシンにアクセスする必要があります。

私は、最も安全な実装が2つのファイアウォールを備えたものであることを読みました。使用を計画している2つのファイアウォールは、どちらもCisco ASA 5500です。

これらの特定のデバイスでこれをどのように実装できるかに興味がありますが、これをセットアップする方法について、当社の顧客向けのドキュメントを作成しているため、理論的な側面にも興味があります。ヘルプを使用しているデバイスに固有の手順ですが、これを一般的に解決する方法も知りたいです。

私は3つの特定のマシンを持っています：

• DMZ_Web
• DMZ_Service
• INT_SRV

名前が示すように、DMZ_WebとDMZ_ServiceはDMZにあり、INT_SRVは内部サーバーです。

また、2つのファイアウォールがあります。

• FW1
• FW2

要するに：

• 外部クライアントはポート443でDMZ_Webにアクセスする必要があります
• 外部クライアントはポート3030でDMZ_Serviceにアクセスする必要があります
• DMZ_Webはポート2020のINT_SRVにアクセスする必要があります
• クライアントでは、ポート3030でDMZ_Serviceにアクセスする必要があります

ネットワーキング：

• FW1は、インターネット、DMZ、および内部ネットワークに接続されています
• FW2は、DMZネットワーク（外部インターフェース）、および内部ネットワーク（内部インターフェース）に接続されています。
• 内部ネットワークは192.168.1.0 255.255.0.0です
• DMZネットワークは192.169.1.0 255.255.0.0です
• DMZマシンには2つのNICがあり、1つはFW1に、もう1つはFW2に接続されています。 FW2に接続されているNICには、192.169.1.0の範囲の静的IPがあります。 FW1に接続されているNICには、インターネットから公的にアクセス可能な静的IPがあります。

以下にリンクされている図は、トポロジーに関する多くの質問に答えてくれることを願っています。

NATルールを設定してDMZマシンから内部ネットワークに、またはその逆にトラフィックを取得するために、いくつかの静的ルールを設定する必要があるかもしれませんが、 m分からない。

指摘したいのは、内部ネットワークがFW1とFW2に接続されていることです。これは、インターネットへのアクセスを許可するためにFW1に接続されています。 DM2のデバイスにアクセスできるように、FW2に接続されています。

これが正しいかどうかはわかりません。それが正しくない場合、正しい実装は何ですか？また、正しくない場合でも機能しますか？

あちこちを検索しましたが、ソリューション全体を実装する場所が見つかりませんでした。ほとんどの場合、あちこちにありました。すべてを連携させることができませんでした:(