iT邦幫忙

0

路由、ACL問題

GJ 2021-06-16 19:24:16959 瀏覽
  • 分享至 

  • xImage

https://ithelp.ithome.com.tw/upload/images/20210616/20014975U7ikygWh8k.png

想請教幾個問題,目地是提升安全性

1.外點回來的流量,我在FRREWALL沒辦法抓到去限制ip通行,只能用SWITCH 設acl?
2.acl 要限制回來只能到幾個ip位置,要怎麼排DENY或是PERMIT
3.建議FIREWALL、SWITCH、ROUTER自成一網段,還是說ROUTER單獨換網段然後換接到FIREWALL上?

圖片
  直播研討會
圖片
{{ item.channelVendor }} {{ item.webinarstarted }} |
{{ formatDate(item.duration) }}
直播中

2 個回答

0
zyman2008
iT邦大師 6 級 ‧ 2021-06-16 23:20:53
最佳解答

如果firewall除了161.x外,還有多的 L3 interface。建議把 MPLS router 接入firewall另一個L3 interface。或是L3 switch 再切一個 P2P subnet,接 MPLS router。
用firewall 或 L3 switch 都可以設 ACL。
其實 MPLS router 如果是自管的話,也可以設ACL。

我看過太多案例,都是懶得另外切一個 L3 subnet 來接 MPLS router,就像你圖上設成161.253的狀況。Firewall 沒設好就會產生因 triangle route 被 state ful session check擋掉的問題。

GJ iT邦好手 1 級 ‧ 2021-06-17 10:06:29 檢舉

了解,謝謝

0
mytiny
iT邦超人 1 級 ‧ 2021-06-18 12:02:41

樓主改在Firwall接另一介面會是比較根本的做法
這樣所有外點流量入主公司
不但可以限制IP也可以做一些L7的防護
如防毒防入侵等等
不然外點的資安若有漏洞
很快就會進來總公司內部,而且還全無知覺(因不經防火牆)
但是JUNIPER SSG140實在太舊了,不知L7防護還有作用嗎?

GJ iT邦好手 1 級 ‧ 2021-06-18 15:03:11 檢舉

這一台基本上只有L4的功用,其他當時沒買授權沒有了
已有評估換成L7的防火牆

mytiny iT邦超人 1 級 ‧ 2021-06-18 15:43:02 檢舉

以貴公司有多點辦公室需求
推薦您參考一下 Secure SD-WAN

我要發表回答

立即登入回答