iT邦幫忙

0

不同點兩台防火牆是否可以只利用其中一台上網

各位先進,

小弟網管小菜鳥有個防火牆的問題想要請教前輩們

我們公司有兩個點在不同大樓(簡稱A點跟B點)
各有一台防火牆,(簡稱防火牆A跟防火牆B)

因為防火牆A的功能比較強,所以現在公司打算讓B點辦公室上網都先繞回A點辦公室
然後統一由A點辦公室的防火牆A出去

不知道這樣應該如何設定呢(是否須在AB兩台防火牆上面做什麼樣的設定)
懇請前輩們指點迷津 謝謝

看更多先前的討論...收起先前的討論...
mytiny iT邦大師 1 級 ‧ 2016-12-21 14:20:41 檢舉
兩個防火牆各自型號為何? 確定功能有發揮嗎?
當初建置自有其評估考量,如果全部走A(外加VPN)
確定A能撐得住嗎?
cd1212 iT邦新手 5 級 ‧ 2016-12-21 14:59:50 檢舉
感謝您的回覆,因B點人少,A點防火牆確定是可以支撐住的,想這樣佈建是希望能由一個防火牆來對user的上網行為作統一管理
leo52668 iT邦新手 5 級 ‧ 2016-12-22 09:27:30 檢舉
將防火牆B的default gateway只到防火牆A不就可以了!
cd1212 iT邦新手 5 級 ‧ 2016-12-22 17:15:59 檢舉
Leo前輩,不好意思請問您的意思是我把防火牆B的X0端口(防火牆A和B X0都是Lan,X1,X2都是Wan)那邊的default gateway改成防火牆A的IP嗎又這裡指的IP是內網的IP不是ISP給的真實IP這樣對嗎?感謝Leo前輩的指導
nono iT邦新手 5 級 ‧ 2016-12-22 17:16:37 檢舉
routeing指到A, 當路由器用囉~
leo52668 iT邦新手 5 級 ‧ 2016-12-23 09:35:39 檢舉
cd1212 沒錯當然是內網的IP
souda iT邦研究生 4 級 ‧ 2017-01-16 09:02:09 檢舉
兩台防火牆再同個地點嗎?還是同點但非同網段?這兩台可以相互PING得到嗎?
WilliamHuang
iT邦研究生 1 級 ‧ 2016-12-21 02:28:42
【**此則訊息已被站方移除**】
1
門神JanusLin
iT邦超人 1 級 ‧ 2016-12-21 08:05:56

你看一下現有的 Firewall有沒有這個功能

如何將大陸整個流量往台灣的VPN端點導流

http://www.ublink.org/index.php/news/news-choice-s/12-vigor/35-vpn

0
牛哥
iT邦好手 1 級 ‧ 2016-12-21 08:09:12

PROXY 也會是一個選項。
又能監管...
/images/emoticon/emoticon12.gif

牛哥 iT邦好手 1 級 ‧ 2016-12-21 10:41:40 檢舉

會這樣做,通常是因為:

  1. 要統一管控所有USER的網路使用狀況
  2. A-WAN 申裝流量 > B-WAN 申裝流量

若你的A-LAN和B-LAN是光纖,那麼這麼搞,的確有意義!
如果不是走光纖,你的A和B是利用
A-WAN<=>VPN<=>B-WAN 建成LAN?!
那其實對外流量還是一樣擁塞,只是把原本直接對外的流量,又導回另一端。
加重另一端對外流量,效果沒有比較優化~
直接建構兩部效率都一樣好的UTM還比較好
一旦對外網路出問題,已經切開的環境也比較好追蹤。

cd1212 iT邦新手 5 級 ‧ 2016-12-21 14:54:29 檢舉

謝謝牛哥前輩,沒錯,您說對了,我們是打算要統一管理,因B點人少,所以流量問題應該還可以接受,目前兩個點已走sit to site vpn內網可互通,但上網行為還是各自防火牆在作管理,所以希望B點流量可以導回A點,然後統一由zA點防火牆作user的上網行為管理

0
做工仔人!
iT邦高手 1 級 ‧ 2016-12-21 10:03:38

樓主有一個問題沒有提到:二個點(大樓)間有沒有連線? 如何連線?
如果二個點之間沒有連線(就是二邊的網路不能互通).個人認為:不要浪費時間玩這個.直接升級B點的防火牆.
如果有VPN連線.那還要分:是用防火牆建的VPN 或是用其他設備建的VPN .
直接用防火牆建:也是不必麻煩了! 升級比較快.
用其他設備(如ROUTER)建:那就改 ROUTING 就可以了. 但是:要注意這條VPN的頻寛.(將B點上網的流量全部改到這條VPN上之後,造成VPN的流量負載過高,而影響到其他正常作業.就得不償失)

如果樓主有網路架構圖,就會更清楚.該如何規劃.

cd1212 iT邦新手 5 級 ‧ 2016-12-21 14:46:09 檢舉

謝謝前輩的回覆,現在兩個點是走site to site vpn ,內網可以互通,但是上網流覽網頁等等行為還是透過各別的防火牆在做管理,所以希望能夠使B點上網等等行為先回到A點由A防火牆出去做統一管理

0
李大瑋
iT邦研究生 3 級 ‧ 2016-12-21 11:05:56

我的作法

  1. A大樓開VPN連線+上網功能
  2. B大樓開VPN連線
    前提兩邊都可以上網
    防火牆支援硬體VPN連線
    這樣就可以達到要求了

令小弟有做遠端無線
三公里無障礙可以直接連線成區網
這樣用一台防火牆+上網+AP一對就可以完全解決

看更多先前的回應...收起先前的回應...
cd1212 iT邦新手 5 級 ‧ 2016-12-21 15:16:10 檢舉

感謝大瑋前輩,兩邊目前已有site to site vpn但是這樣只有內網可互通,但上網依舊是走各字的防火牆,還是我有誤解的地方呢

李大瑋 iT邦研究生 3 級 ‧ 2016-12-22 10:40:30 檢舉

Getway有設定嗎
一般來說是跟著getway.

nono iT邦新手 5 級 ‧ 2016-12-22 17:18:22 檢舉

兩邊目前已有site to site vpn但是這樣只有內網可互通

所以, 把routing, 0.0.0.0/24 指到A
不管用標記route封包或是全指向應該都可以囉

cd1212 iT邦新手 5 級 ‧ 2016-12-22 17:19:32 檢舉

大瑋前輩,請問您所指的Getway是指我X0端口的Getway嗎(蔽公司x0端口是Lan,X1X2是Wan)

李大瑋 iT邦研究生 3 級 ‧ 2016-12-23 10:22:11 檢舉

隊的

李大瑋 iT邦研究生 3 級 ‧ 2016-12-24 08:07:47 檢舉

對不起
應該是防火牆上面就應該要有支援才對呀

我要發表回答

立即登入回答