各位邦友好
小弟近期有跨網段的問題,問題詳細描述如下(文字甚多
):
Q1:若跨網段192.168.1.xxx、192.168.2.xxx(伺服器端)、192.168.3.xxx、192.168.4.xxx
上述的四個網段若都要連到外網、內部網路都要可以互通與連線到File Server,Routing是要讓L7 Firewall來做,還是設定在L3 Switch來做routing比較安全與穩定呢?
P.S
A.小弟知道若要讓此某段不能連線道內部網路,是可以使用Firewall擋掉
B.連線到外網,小弟是使用防毒軟體的集中控制台控制連線外網的權利
已邀請的邦友 {{ invite_list.length }}/5
一般L3 Switch做好routing之後
所有網段都是互通的,
並沒有任何的安全性可言,只是路由交換速度較快
除非你有閒功夫做網段間的ACL
估計會累死,而且應該很容易漏失service port
如果為了管理各網段間的交流
防火牆是你很好的選擇
未必需要很高等級,例如FG-60D,FG-70D
完全可以將其每個埠口獨立成port1,2,3.....
交換速度極高(最高可達3.5GMbps...官網)
建議您找家有技術服務的SI詢問(不推薦資X艦隊)
mytiny你好
謝謝您的寶貴意見,做ACL覺得是要有時間才真的可以好好的做,
不過,小弟之前有幸借到FG-100D,可是,借來的FG-100D的版本有BUG(一直Loading到最後error),
讓小弟對於FG的產品有壞的印象,SI廠商一直跟我推cisco,雖然是認識的朋友,
可是,一直在猛推銷自家的產品,又沒有正面的分析各家產品的優點與缺點,小弟
真的覺得感覺很差
saberaster提到:
做ACL覺得是要有時間才真的可以好好的做
要達到L3 Switch的封包交換速率, 防火牆要多大顆?
ACL本來就是L3 Switch基本功能, 那要花什麼時間.
各家產品各自有各自的優點,弄到不能用那產品也就不用在市場上賣了
倒是近年來有些SI的技術能力實在有待加強
建議版大可以多找幾家SI來詢問比較才是(也比較產品)
至於L3 Switch的封包交換速率,以前軟體式的防火牆才會效能不佳
近年許多防火牆都採晶片式(或晶片加速),價格並不昂貴
要用ACL達到防火牆的作用確實有其困難,情境題舉例如下
就如版大案例,要讓.1網段可用outlook存取.2的exchange
但卻不能讓.3.4網段存取,如再加幾個存取網段交錯的限制
甚至到一些應用程式的管制,只怕既不好設定又不容易維護
實作上都不能比防火牆方便,
這只是小小實務上的淺見,提供各位前輩參考
mytiny你好
非常感謝您的淺見,其實,小弟正是需要把switch與防火牆比較(ex.維護、安全性、效能‧等)
請問貴公司的L7 Firewall,有幾個Lan孔呢?
除非是Fortinet的中高階防火牆,可將8孔LAN Switch 變成8個獨立的LAN Port
(Lan1~8)
除非您的Firewall可以搭配VLAN 功能的Layer 2 Switch ,並將唯一的LAN Port
以802.1Q方式,與Switch Trunk Port連接
再將此Firewall的唯一的LAN,建立四個虛擬Interface,
以便定義為LAN1~LAN4,並設立四個獨立的IP及網段遮罩
以便每個VLAN網段的電腦,可以透過Firewall的虛擬Interface當作Gateway
最重要的一點,該防火牆有沒有LAN to LAN的Rule可以設定呢?
這樣子,才有符合您要的控管功能喔!
--
如果您的Firewall沒有辦法達到以上兩種其中一種功能
那就無法如我所說的方式規劃,請改用以下方式
必須要改用Layer3 Switch,並切VLAN 1 ~4,並將Layer3 Switch的四個IP interface 給予四個不同的IP及網段遮罩
至於控管VLAN 1 to VLAN2的封包,則不能透過Firewall控管,僅能從Layer3 Switch來控管,如果不熟析Layer3 Switch的CMD指令,那不如就別控管囉!
iThome鐵人賽
看影片追技術