想請教幾個問題,目地是提升安全性
1.外點回來的流量,我在FRREWALL沒辦法抓到去限制ip通行,只能用SWITCH 設acl?
2.acl 要限制回來只能到幾個ip位置,要怎麼排DENY或是PERMIT
3.建議FIREWALL、SWITCH、ROUTER自成一網段,還是說ROUTER單獨換網段然後換接到FIREWALL上?
已邀請的邦友 {{ invite_list.length }}/5
如果firewall除了161.x外,還有多的 L3 interface。建議把 MPLS router 接入firewall另一個L3 interface。或是L3 switch 再切一個 P2P subnet,接 MPLS router。
用firewall 或 L3 switch 都可以設 ACL。
其實 MPLS router 如果是自管的話,也可以設ACL。
我看過太多案例,都是懶得另外切一個 L3 subnet 來接 MPLS router,就像你圖上設成161.253的狀況。Firewall 沒設好就會產生因 triangle route 被 state ful session check擋掉的問題。
樓主改在Firwall接另一介面會是比較根本的做法
這樣所有外點流量入主公司
不但可以限制IP也可以做一些L7的防護
如防毒防入侵等等
不然外點的資安若有漏洞
很快就會進來總公司內部,而且還全無知覺(因不經防火牆)
但是JUNIPER SSG140實在太舊了,不知L7防護還有作用嗎?
iThome鐵人賽
看影片追技術