iT邦幫忙

0

如何在防火牆設定限定外部某些IP連到內部的某主機

匿名 2013-02-25 15:12:2123508 瀏覽

請教各位高手
由於公司的需要,需限定分公司之員工只能在各分公司內部透過分公司自已的IP連到總公司的某A主機(總公司跟各分公司都是各自獨立的網路)
其實目的就是要分公司的員工不能在家裡(外面)摸魚
但我是防火牆新手,相關搜尋也找不到答案(不知正確的關鍵字?),
想請問大家該如何在防火牆上做設定?或是有其他更好的方法?!

zyman2008 iT邦大師 8 級 ‧ 2013-02-25 15:26:02 檢舉

其實目的就是要分公司的員工不能在家裡(外面)摸魚


要用機器來管人的行為, 這應該很難吧.
公司沒有定KPI嗎? 能達成任務指標,在哪上班都一樣吧.

CalvinKuo iT邦大師 7 級 ‧ 2013-02-25 17:13:13 檢舉
既然都用到 Fortigate 50B...
若分公司沒固定IP,設定分公司Gateway或差勤系統電腦以VPN連進公司伺服器應該是個解法。
zyman2008 iT邦大師 8 級 ‧ 2013-02-25 17:46:54 檢舉
那分公司也有防火牆嗎?
也是屬於你管理的嗎?
甚麼廠牌型號?
8
aaronlin
iT邦新手 3 級 ‧ 2013-02-27 18:00:10
最佳解答

Fortinet
防火牆物件>位址(請建立各分公司固定IP位置X.X.X.X/255.255.255.255)介面(任意)
A分公司 192.168.1.X/255.255.255.255
B分公司 192.168.2.X/255.255.255.255
類推
規則>防火牆策略
Intelnet>Wan
設定來源端各公司Allow到總公司的出缺勤主機
Default沒設定都是Deny

這樣應該可以簡易解決你現在的問題!!因為他只允許各分公司出來的IP才能連這此主機!!
只要你沒開VPN給他們用!!應該可以解決非公司IP連線的問題

8
richardsuma
iT邦大師 3 級 ‧ 2013-02-25 16:01:12

問你們公司採購的防火牆廠商會比較快。
或是要將你們公司的防火牆廠牌與型號告知一下吧?。

8
poemnite
iT邦研究生 3 級 ‧ 2013-02-25 16:16:57

所以, 分公司是在員工的家裡?
那不然分公司的員工在分公司怎麼在家裡摸魚?

如果你是要讓外部特定 IP 可以連公司的 A 主機
那你就在防火牆把 特定 IP 到 A 主機的 access 設為 允許 (allow or permit)

但如果你要那個特定 IP 僅可以連 A, 那裡都去不了
那你要去設的是分公司 (or 家裡), 把那邊的防火牆設成那裡都去不了, 僅能連 A 主機

但是, 員工還是可以摸魚, 只要不要用電腦摸, 或是, 另外用 3G 上網就出去了..

如果這麼不相信員工, 就火了他吧..
要管的應該是員工的效率, 不是綁員工的行為吧

12
ppclouds
iT邦新手 5 級 ‧ 2013-02-25 16:18:36

通常步驟是
1.建立物件(各分公司的IP網段,每個網段建一個,如果有防火牆有支援群組的話可以設定在一起)
2.建立物件(某A主機的IP)
3.建立服務(某A主機要開放的服務,可設定為自訂的服務群組)(如果要全部開放(0-65535),就不需設定)
4.防火牆規則,Wan To Lan(或DMZ,要看某A主機放在哪裡)
然後來源選擇分公司的網段(位於Wan),目的選擇LAN(或DMZ)的某A主機(請選擇上面建立的物件)
服務:選擇上面步驟建立的服務(若有的化),
動作要允許連線,若需設定時間的話,請選擇允許存取的時間。

接著,在防火牆規則的最下面設定一條
Wan To Lan (或DMZ)
的Any (Wan) To 某A主機(Lan或DMZ),Deny All Service。

注意:Policy是有順序性的,所以要注意。
這樣的話,在外部的IP就無法連到某A這台機器,只有允許的各分公司網段才能夠連。

12
hon2006
iT邦大師 1 級 ‧ 2013-02-25 16:35:49

首先分公司要有固定對外的ip
總公司的主機也要有固定對外的ip
設定防火牆mapping主機一個固定對外的ip
再訂規則或政策只允許分公司的ip連進來

2
darkeryu
iT邦新手 1 級 ‧ 2013-02-28 01:34:33

Hi,
不知道使用 site to site VPN是不是您所尋求的答案, 使用site to site VPN可以把所有分公司透過site to site VPN 連結成一個內網, 這樣就不用考慮防火牆的問題.

我要發表回答

立即登入回答