各位前輩好
最近公司要更改網路架構,架構類似於外部連線進來會先經過外部防火牆,接著再到中間內部防火牆(nat mode),最後到內部防火牆(brige mode),而內部主機都接在內部防火牆上,防火牆都是fortigate廠牌。
想詢問各位前輩,如果今天一個外部連線想要連接內部防火牆的某台主機上,我應該如何在每台防火牆做dnat對應設定呢?
已邀請的邦友 {{ invite_list.length }}/5
首先要告誡樓主這是個 bad idea
有些官大學問大的長官總是自以為是
不知道ISO是怎麼驗過的??
凡外部存取內部主機
記得一定要注意資安風險,不能直接存取
加密通訊與嚴格身分驗證及限制來源是必需的手段
樓主的長官估計只是想VIP一路到底
(還有那些搞AnyDesk穿透的....)
出了事就叫樓主自己扛吧
三層防火牆都是Fortigate -> 那還有什麼卵用??
同一個資料庫掃瞄三次的意義是什麼-.- 另把IP轉三次也不見得特別猛
你外部用FORTI, 很好, 最好配上SSLVPN+ FORTITOKEN 2FA, 再來SSL INSPECTION
而中間二層就應該用CHECKPOINT NAT
最後一層用PALOALTO VIRTUAL-WIRE BRDIGE
這樣的SCANNING才有點意義好沒
iThome鐵人賽
看影片追技術