不同點兩台防火牆是否可以只利用其中一台上網

防火牆多點上網 routing

cd1212 2016-12-21 01:35:55 ‧ 6625 瀏覽

分享至

各位先進,

小弟網管小菜鳥有個防火牆的問題想要請教前輩們

我們公司有兩個點在不同大樓（簡稱A點跟B點）
各有一台防火牆,（簡稱防火牆A跟防火牆B）

因為防火牆A的功能比較強,所以現在公司打算讓B點辦公室上網都先繞回A點辦公室
然後統一由A點辦公室的防火牆A出去

不知道這樣應該如何設定呢（是否須在ＡＢ兩台防火牆上面做什麼樣的設定）
懇請前輩們指點迷津謝謝

看更多先前的討論...收起先前的討論...

mytiny iT邦超人 1 級 ‧ 2016-12-21 14:20:41 檢舉

兩個防火牆各自型號為何? 確定功能有發揮嗎?
當初建置自有其評估考量，如果全部走A(外加VPN)
確定A能撐得住嗎?

cd1212 iT邦新手 5 級 ‧ 2016-12-21 14:59:50 檢舉

感謝您的回覆，因B點人少，A點防火牆確定是可以支撐住的，想這樣佈建是希望能由一個防火牆來對user的上網行為作統一管理

leo52668 iT邦新手 5 級 ‧ 2016-12-22 09:27:30 檢舉

將防火牆B的default gateway只到防火牆A不就可以了！

cd1212 iT邦新手 5 級 ‧ 2016-12-22 17:15:59 檢舉

Leo前輩,不好意思請問您的意思是我把防火牆B的X0端口(防火牆A和B X0都是Lan,X1,X2都是Wan)那邊的default gateway改成防火牆A的IP嗎又這裡指的IP是內網的IP不是ISP給的真實IP這樣對嗎?感謝Leo前輩的指導

nono iT邦新手 5 級 ‧ 2016-12-22 17:16:37 檢舉

routeing指到A, 當路由器用囉~

leo52668 iT邦新手 5 級 ‧ 2016-12-23 09:35:39 檢舉

cd1212 沒錯當然是內網的IP

souda iT邦高手 1 級 ‧ 2017-01-16 09:02:09 檢舉

兩台防火牆再同個地點嗎?還是同點但非同網段?這兩台可以相互PING得到嗎?

登入發表討論

直播研討會

{{ item.channelVendor }} {{ item.webinarstarted }} |

直播中

4 個回答

WilliamHuang

iT邦研究生 1 級 ‧ 2016-12-21 02:28:42

【＊＊此則訊息已被站方移除＊＊】

林門神JanusLin

iT邦超人 1 級 ‧ 2016-12-21 08:05:56

你看一下現有的 Firewall有沒有這個功能

如何將大陸整個流量往台灣的VPN端點導流

http://www.ublink.org/index.php/news/news-choice-s/12-vigor/35-vpn

回應
分享
檢舉

登入發表回應

牛哥

iT邦好手 1 級 ‧ 2016-12-21 08:09:12

PROXY 也會是一個選項。
又能監管...

回應 2
分享
檢舉

牛哥 iT邦好手 1 級 ‧ 2016-12-21 10:41:40 檢舉

會這樣做，通常是因為：

要統一管控所有USER的網路使用狀況
A-WAN 申裝流量 > B-WAN 申裝流量

若你的A-LAN和B-LAN是光纖，那麼這麼搞，的確有意義！
如果不是走光纖，你的A和B是利用
A-WAN<=>VPN<=>B-WAN 建成LAN？！
那其實對外流量還是一樣擁塞，只是把原本直接對外的流量，又導回另一端。
加重另一端對外流量，效果沒有比較優化~
直接建構兩部效率都一樣好的UTM還比較好，
一旦對外網路出問題，已經切開的環境也比較好追蹤。

cd1212 iT邦新手 5 級 ‧ 2016-12-21 14:54:29 檢舉

謝謝牛哥前輩，沒錯，您說對了，我們是打算要統一管理，因B點人少，所以流量問題應該還可以接受，目前兩個點已走sit to site vpn內網可互通，但上網行為還是各自防火牆在作管理，所以希望B點流量可以導回A點，然後統一由zA點防火牆作user的上網行為管理

登入發表回應

做工仔人!

iT邦大師 1 級 ‧ 2016-12-21 10:03:38

樓主有一個問題沒有提到:二個點(大樓)間有沒有連線? 如何連線?
如果二個點之間沒有連線(就是二邊的網路不能互通).個人認為:不要浪費時間玩這個.直接升級B點的防火牆.
如果有VPN連線.那還要分:是用防火牆建的VPN 或是用其他設備建的VPN .
直接用防火牆建:也是不必麻煩了! 升級比較快.
用其他設備(如ROUTER)建:那就改 ROUTING 就可以了. 但是:要注意這條VPN的頻寛.(將B點上網的流量全部改到這條VPN上之後,造成VPN的流量負載過高,而影響到其他正常作業.就得不償失)

如果樓主有網路架構圖,就會更清楚.該如何規劃.

回應 1
分享
檢舉

cd1212 iT邦新手 5 級 ‧ 2016-12-21 14:46:09 檢舉

謝謝前輩的回覆，現在兩個點是走site to site vpn ，內網可以互通，但是上網流覽網頁等等行為還是透過各別的防火牆在做管理，所以希望能夠使B點上網等等行為先回到A點由A防火牆出去做統一管理

登入發表回應

李大瑋

iT邦好手 1 級 ‧ 2016-12-21 11:05:56

我的作法

A大樓開VPN連線+上網功能
B大樓開VPN連線
前提兩邊都可以上網
防火牆支援硬體VPN連線
這樣就可以達到要求了

令小弟有做遠端無線
三公里無障礙可以直接連線成區網
這樣用一台防火牆+上網+AP一對就可以完全解決

回應 6
分享
檢舉

看更多先前的回應...收起先前的回應...

cd1212 iT邦新手 5 級 ‧ 2016-12-21 15:16:10 檢舉

感謝大瑋前輩，兩邊目前已有site to site vpn但是這樣只有內網可互通，但上網依舊是走各字的防火牆，還是我有誤解的地方呢

李大瑋 iT邦好手 1 級 ‧ 2016-12-22 10:40:30 檢舉

Getway有設定嗎
一般來說是跟著getway.

nono iT邦新手 5 級 ‧ 2016-12-22 17:18:22 檢舉

兩邊目前已有site to site vpn但是這樣只有內網可互通

所以, 把routing, 0.0.0.0/24 指到A
不管用標記route封包或是全指向應該都可以囉

cd1212 iT邦新手 5 級 ‧ 2016-12-22 17:19:32 檢舉

大瑋前輩,請問您所指的Getway是指我X0端口的Getway嗎(蔽公司x0端口是Lan,X1X2是Wan)

李大瑋 iT邦好手 1 級 ‧ 2016-12-23 10:22:11 檢舉

隊的

李大瑋 iT邦好手 1 級 ‧ 2016-12-24 08:07:47 檢舉

對不起
應該是防火牆上面就應該要有支援才對呀

登入發表回應

我要發表回答

立即登入回答

參賽組數

1064 組

團體組數

40 組

累計文章數

22200 篇

完賽人數

602 人

15th鐵人賽 16th鐵人賽 13th鐵人賽 14th鐵人賽 12th鐵人賽 11th鐵人賽鐵人賽 2019鐵人賽 javascript 2018鐵人賽 python 2017鐵人賽 windows php c# windows server linux css react vue.js

IT邦幫忙