各位好:
請教一個問題,公司這邊有三條對外網路
目前使用一台FortiGate UTM , 但因為效能不夠
所以打算使用之前公司多的一台防火牆來作為20M 這條線路出去用
這樣要請問各位
要如何讓兩台防火牆的內部網站可以互連呢 ?
謝謝
請在防火牆內各設對方路由就可以互通了
如果將所以內部電腦都設同一網段, 設成不同gateway, 會不會比較簡單?
1.路由通不通
2.Policy 設了沒...
LAN 1 與 LAN 2 之間的路由要設
Policy 就像沿路的關卡,也要設定,預設都是 Deny,就算路由通了,也過不去...
一般IP 分享器,防火牆預設都是 Allow,而 Fortigate 防火牆預設都是 Deny...
兩台防火牆,內部又使用不同的網段,那直接建立Site to Site VPN就可以讓兩方互通囉。
之前公司是用Fortigate 60B
Fortigate的policy預設都是Deny
所以先把路由設定好,再去設定policy
兩個網段是獨立?還是都插在同一個SWITCH只是IP設定不同網段?
如果是後者,a218066大的方式即可
如果是前者,還是要有一台ROUTER的設備當路由比較恰當
若是因為UTM無法負荷三條頻寬,應省下防火牆的費用,改買一台load balance的設備,
不僅可讓內部網段一致,外部頻寬也可以作最好的運用
這就是DMZ的架構阿(只是拆成兩個防火牆)
在內網的防火牆上開一個port設定DMZ區的IP 接到DMZ網段的Switch上
在DMZ的防火牆上加入內網網段路由指向剛剛的IP
在內網的防火牆上做限制只有DMZ區的IP能連"入",往DMZ區只有內網IP能連"出"
這樣應該就可以了
您好:
但現在是不同對外線路接到不同的防火牆,採用這種架構,那兩台對外線路的負擔就落到前端那台上了
,以目前的防火牆效能可能無法負荷,謝謝
不會阿, 我講的架構是你目前的架購, 平行非前後
假設A是辦公室
Port 1 12/3 ADSL
Port 2 12/3 ADSL
port 3 IP設定為192.168.2.253, 並接上B環境的Switch
Port 4 IP為192.168.1.254
B_FW
Port 1 30/30
Port 2 IP:192.168.2.254
各防火牆的路由還是預設走自己的線路出去,
B_FW多條路由把192.168.1.0/24導到192.168.2.253
A_FW也只是把192.168.2.0/24導到192.168.2.253
Client不用動 還是以FW為GW
通常會在A_FW加入
Port3->Port4
192.168.2.0 -> 192.169.1.0 Allow
Port4->Port3
192.168.1.0 -> 192.168.2.0 Allow
如果還看不懂, 我再畫圖好了...
您好:我大概了解您的意思了,這樣可能要先研究一下兩台UTM的設定再來確認怎麼做
謝謝