iT邦幫忙

0

請問有關如何讓兩台防火牆的網段可以互連 ?

edras 2011-08-18 18:34:1913339 瀏覽

各位好:
請教一個問題,公司這邊有三條對外網路

  1. 雙向20M ==> 公司對外營運網站用
  2. 12M/3M ==> 公司辦公室環境用
  3. 12M/3M ==> 公司研發部門環境用

目前使用一台FortiGate UTM , 但因為效能不夠
所以打算使用之前公司多的一台防火牆來作為20M 這條線路出去用
這樣要請問各位

  1. 防火牆A : 192.168.1.x 網段
  2. 防火牆B : 192.168.2.x 網段

要如何讓兩台防火牆的內部網站可以互連呢 ?

謝謝

1. 防火牆A : 192.168.1.x 網段
2. 防火牆B : 192.168.2.x 網段

如果防火牆A 和 防火牆B 都支援Site-to-Site VPN的功能
那麼原則上只要用VPN把兩邊串起來就可以互通了
12
a218066
iT邦研究生 3 級 ‧ 2011-08-18 21:22:04
最佳解答

請在防火牆內各設對方路由就可以互通了

  1. 防火牆A : 192.168.1.x 網段 設路由 : IP:192.168.2.x GW:192.168.2.254
  2. 防火牆B : 192.168.2.x 網段 設路由 : IP:192.168.1.X GW:192.168.1.254
10
Tony
iT邦高手 4 級 ‧ 2011-08-18 19:10:31

如果將所以內部電腦都設同一網段, 設成不同gateway, 會不會比較簡單?

edras iT邦新手 4 級 ‧ 2011-08-19 09:54:48 檢舉

這樣的設定會有問題耶,謝謝

沒切網段就用不同 Gateway? 不會天下大亂嗎?

鐵殼心 iT邦高手 1 級 ‧ 2011-08-29 10:15:30 檢舉

hsw1976提到:
沒切網段就用不同 Gateway? 不會天下大亂嗎?

不給Gateway當心被老闆叫去領紙箱一個.

10
門神JanusLin
iT邦超人 1 級 ‧ 2011-08-19 08:26:28
edras iT邦新手 4 級 ‧ 2011-08-19 09:55:39 檢舉

謝謝告知,我會參考看看, 目前是FortiGate + Netscreen 互連, 但是發現NetScreen 效能有點不足,可能還是得換一台, 謝謝

12
tombo
iT邦高手 1 級 ‧ 2011-08-19 09:29:38

1.路由通不通
2.Policy 設了沒...

LAN 1 與 LAN 2 之間的路由要設
Policy 就像沿路的關卡,也要設定,預設都是 Deny,就算路由通了,也過不去...

一般IP 分享器,防火牆預設都是 Allow,而 Fortigate 防火牆預設都是 Deny...

edras iT邦新手 4 級 ‧ 2011-08-19 09:56:21 檢舉

您好:謝謝您的告知,目前還要再找一台防火牆設備, 目前的NetScreen 似乎無法負荷20M/20M 的頻寬, 謝謝

6
joey6519
iT邦新手 4 級 ‧ 2011-08-19 10:05:49

兩台防火牆,內部又使用不同的網段,那直接建立Site to Site VPN就可以讓兩方互通囉。

edras iT邦新手 4 級 ‧ 2011-08-25 10:46:26 檢舉

您好:內網的話用site to site VPN 多少會影響防火牆的效能,我想應該還是設定路油的方式比較好,謝謝

6
tn11428
iT邦新手 4 級 ‧ 2011-08-19 13:13:34

之前公司是用Fortigate 60B
Fortigate的policy預設都是Deny
所以先把路由設定好,再去設定policy

edras iT邦新手 4 級 ‧ 2011-08-19 15:26:13 檢舉

謝謝您,目前大概是這樣設定,接下來可能就要評估防火牆效能,謝謝

6
fireflybug
iT邦研究生 5 級 ‧ 2011-08-19 13:50:31

兩個網段是獨立?還是都插在同一個SWITCH只是IP設定不同網段?
如果是後者,a218066大的方式即可
如果是前者,還是要有一台ROUTER的設備當路由比較恰當

edras iT邦新手 4 級 ‧ 2011-08-19 15:27:12 檢舉

您好: 目前是前者
會拆開主要還是因為目前的UTM設備無法負荷三條對外線路的頻寬
謝謝

6
johnnet01
iT邦新手 3 級 ‧ 2011-08-31 17:20:47

若是因為UTM無法負荷三條頻寬,應省下防火牆的費用,改買一台load balance的設備,
不僅可讓內部網段一致,外部頻寬也可以作最好的運用

edras iT邦新手 4 級 ‧ 2011-08-31 17:23:41 檢舉

您好:
謝謝您的建議,因為目前預算有限,所以比較沒辦法購買LB 設備
謝謝

6
eeie9999
iT邦新手 4 級 ‧ 2011-09-08 16:01:09

這就是DMZ的架構阿(只是拆成兩個防火牆)
在內網的防火牆上開一個port設定DMZ區的IP 接到DMZ網段的Switch上
在DMZ的防火牆上加入內網網段路由指向剛剛的IP
在內網的防火牆上做限制只有DMZ區的IP能連"入",往DMZ區只有內網IP能連"出"
這樣應該就可以了

edras iT邦新手 4 級 ‧ 2011-09-16 15:49:28 檢舉

您好:
但現在是不同對外線路接到不同的防火牆,採用這種架構,那兩台對外線路的負擔就落到前端那台上了
,以目前的防火牆效能可能無法負荷,謝謝

eeie9999 iT邦新手 4 級 ‧ 2011-09-18 14:12:49 檢舉

不會阿, 我講的架構是你目前的架購, 平行非前後
假設A是辦公室
Port 1 12/3 ADSL
Port 2 12/3 ADSL
port 3 IP設定為192.168.2.253, 並接上B環境的Switch
Port 4 IP為192.168.1.254
B_FW
Port 1 30/30
Port 2 IP:192.168.2.254
各防火牆的路由還是預設走自己的線路出去,
B_FW多條路由把192.168.1.0/24導到192.168.2.253
A_FW也只是把192.168.2.0/24導到192.168.2.253
Client不用動 還是以FW為GW
通常會在A_FW加入
Port3->Port4
192.168.2.0 -> 192.169.1.0 Allow
Port4->Port3
192.168.1.0 -> 192.168.2.0 Allow
如果還看不懂, 我再畫圖好了...

edras iT邦新手 4 級 ‧ 2011-10-04 17:04:14 檢舉

您好:我大概了解您的意思了,這樣可能要先研究一下兩台UTM的設定再來確認怎麼做
謝謝

我要發表回答

立即登入回答