iT邦幫忙

0

資安艦隊80C(Fort os5.0)是否可以這樣設定

不明 2014-06-28 22:39:482569 瀏覽

因為公司有分成總公司上網跟分公司上網兩條線路,總公司沒有問題,但是問題是因為分公司上網是採取NAT模式...五家分公司都配發IP為192.168.2.X~192.168.6.X...中間會需要經過資安艦隊去做控管,星期五有問中華電信的資安艦隊工程師 它們說如果使用穿透模式的話是沒辦法看各分公司IP的上網的流量及連外的IP,可是有打電話問另外一位說是可以的...不過因為他在駐點所以沒辦法遠端連進來設定我想說我自己動手試看看,請問 如果可以控管192.168.2.X~192.168.6.X..步驟又為何呢?

2 個回答

6
mytiny
iT邦大師 2 級 ‧ 2014-06-29 11:06:39

如果能把架構圖放上來會比較好判斷問題
現在只能猜測一下你的狀況,不足或不對的再補充
我猜想你總共只有一台FG-80C,
但是接了兩條去Internet的Wan1&Wan2
分別給總公司上網及分公司上網用

現在在FG-80C上當然可以看到總公司各IP的流量
因為是由80C做NAT的工作
但如果各分公司各自做完NAT以後,線路才轉進到FG-80C
自然在FG-80C上面只看的到NAT轉過之後的五個IP
旗下的192.168.2.X~192.168.6.X..是無法看的到流量

按此狀況判斷(小弟猜測的)
你可以控管分公司轉換過的五個IP對外的流量
最好把它分成五條不同的政策,例如:
A分公司NAT後IP > Wan2
B分公司NAT後IP > Wan2
C分公司NAT後IP > Wan2
.........
於各防火牆策略中啟動流量塑形(traffic shaping)
其下三種塑型方式案需求設定之

在規則>防火牆政策中
畫面上方黑色部分點右鍵,選取"計數"
之後重整規則畫面,可在每條規則後看到流量及Packet數

目前想到方法先這樣,如果有架構圖會更好判讀

不明 檢舉

是兩台FG-80C 一台給總公司用 一台給分公司(都是插上兩台的WAN-1上面,各分公司各自做完NAT以後,線路才轉進到FG-80C在FG-80C上面只看的到NAT轉過之後的五個IP

6
xxoo1122
iT邦新手 3 級 ‧ 2014-06-29 21:53:55

建議總公司與分公司之間使用site-to-site vpn來建置,這樣就沒有nat等問題

我要發表回答

立即登入回答