兩層式防火牆架設問題

windows 網站網路系統管理

xsuper0027 2012-01-18 17:28:34 ‧ 7112 瀏覽

分享至

請問各位前輩兩層式防火牆，因為沒實際架過所以不清楚他實際是怎麼架的，我看架構圖是這樣畫的
前端防火牆-DMZ-後端防火牆
問題一:大致上都是這樣，我想問的是前端防火牆最起碼要有兩張網卡一個對外一個連到DMZ，如果DMZ區有三台SERVER 所以就必須將前端防火牆的DMZ的網卡接了一台SWITCH在接上三台SERVR嗎??
問題二:後端防火牆也要有一張網卡到DMZ區一張到內部，那道DMZ區的網卡是接在問題一的SWITCH嗎??所以SWITCH上就會用掉五個PORT，三台SERVER+外防火牆的DMZ網卡的線路+內防火牆DMZ的線路，我的認知是這樣不知道有沒有錯誤請前輩們指導一下。

我就把你嘿嘿嘿 iT邦新手 3 級 ‧ 2012-02-16 09:23:06 檢舉

TO那位最佳解達的仁兄

因為網路拓樸只是一個抽象概念，只要架構上符合就行了。事實上你內外防火牆都只有一張網卡，設內外兩個 IP 也是一樣行啊。

雖然 IP Alias 這種功能早就出現了
而且無論是在 Windows 環境還是 Linux 都可以使用
但是
一張網卡同時做內、外介面
恐怕不太好吧？

wiseguy iT邦超人 1 級 ‧ 2012-02-16 13:43:09 檢舉

這裡只是說 DMZ 的抽象概念，我並非說一定得用一卡雙IP 型式，您自己也都說『都可以使用』。至於要不要這樣用，是處理的人自己去決定的。

登入發表討論

直播研討會

{{ item.channelVendor }} {{ item.webinarstarted }} |

直播中

4 個回答

wiseguy

iT邦超人 1 級 ‧ 2012-01-18 21:24:45

最佳解答

如果你只是想問你這樣子設定對不對，答案是對的。不過並不絕對一定是這樣的實體接法。你敘述的只是其中一種符合的狀況。
因為網路拓樸只是一個抽象概念，只要架構上符合就行了。事實上你內外防火牆都只有一張網卡，設內外兩個 IP 也是一樣行啊。

回應
分享
檢舉

登入發表回應

林門神JanusLin

iT邦超人 1 級 ‧ 2012-01-18 19:16:29

xsuper0027提到：
式防火牆，因為沒實際架過所以不清楚他實際是怎麼架的，我看架構圖是這樣畫的

查現場應該是最準的
tracert
ip/password
進Firewall查設定

回應 2
分享
檢舉

花輪 iT邦大師 1 級 ‧ 2012-01-18 22:05:59 檢舉

也可以在 DMZ 的 SW 上面設 VLAN 啊...

林門神JanusLin iT邦超人 1 級 ‧ 2012-01-19 08:31:30 檢舉

fran633 說：
也可以在 DMZ 的 SW 上面設 VLAN 啊...

人都在現場了
有啥不可以查的
DMZ只有三台Server設vlan的意義在那???
讓Server彼此看不見???

登入發表回應

chiounan

iT邦研究生 1 級 ‧ 2012-01-19 09:56:01

我也是這樣設定的，It's work.

回應
分享
檢舉

登入發表回應

goodnight

iT邦研究生 2 級 ‧ 2012-01-19 20:16:47

首先您是否了解 DMZ??
既然您的 SERVER 都掛在 DMZ 了, 就不需要再掛防火牆 , 當然您高興的話, 多掛一個也行, 安全性會高一點, 但設定會變複雜
您是用PC軟體防火牆嗎? 一共只要三張卡
1.DMZ
2.INTERNET (WAN1)
3.LOCAL LAN
4.INTERNET (WAN2)
如果 DMZ 的 SERVER 又要跟 LOCAL LAN 溝通, 需要指定做 ROUTER

因為我公司是用硬體式防火牆, 所以 DMZ 直接指定 IP 及 ROUTER

這是我個人的做法, 請參考