iT邦幫忙

4

FortiGate兩層式防火牆及多VLAN

  • 分享至 

  • xImage

https://ithelp.ithome.com.tw/upload/images/20240814/20107770MsCabJe7No.jpg
上圖大致畫出FortiGate兩層式防火牆架構圖
主要需求:
在FortiGate 200B上設定Policy管理vlan電腦
vlan32可以訪問FortiGate 201 port9的Server Farm
vlan32可以訪問FortiGate 201 port16的DMZ

網路IP環境
FortiGate 201 port5,6,7,8為(LAN)Switch_Inside IP:192.168.1.254/24
FortiGate 200B port1(WAN) IP:192.168.1.253/24
FortiGate 200B port9(LAN)
設定VLAN32,33,34,35,36
連接Juniper Switch ge-0/0/0
Juniper Switch IP:192.168.5.1/24
設定VLAN32,33,34,35,36
ge-0/0/0 trunk

請問以上這樣的一個多層式架構, 要做哪些的設定?

懇請FortiGate高手協助

rb1102 iT邦研究生 3 級 ‧ 2024-08-08 14:59:01 檢舉
你vlan都切在200B,那就可以在200B裡面的policy去控管你的vlan能到哪了
201F要設定的就是policy,vlan32的ip可以通到port9跟port16
路由也要記得
Henry iT邦新手 5 級 ‧ 2024-08-14 10:30:27 檢舉
vlan32的ip可以通到port9跟port16路由, 是不是設定政策路由呢?
圖片
  直播研討會
圖片
{{ item.channelVendor }} {{ item.webinarstarted }} |
{{ formatDate(item.duration) }}
直播中
2
傑克
iT邦新手 5 級 ‧ 2024-08-08 10:03:51
最佳解答

圖中看起來架構如下:
[FortiGate 201]<--(實體A段)-->[FortiGate 200B]<--(實體B段)-->[Juniper Switch]<--(實體C段)

圖文似乎不符,因為:

  1. 實體A段看起來只有一個網段,那這樣該段應該沒有多個 VLAN 存在
  2. 從第一點判斷,DMZ、ServerFarm 沒有辦法分開,這樣從架構上跟能達成的目的來看,圖中都沒有滿足兩層式防火牆的型態

兩層式防火牆基本架構:

  • 外部防火牆-DMZ-內部防火牆

兩層式防火牆主要目的:

  • 形成緩衝區,即DMZ,限制讓網際網路使用者無法觸碰到內部防火牆
  • 外部防火牆控制對外服務的政策,以及完成NAT的任務
  • 內部防火牆控制內部各網段的訪問政策,不做NAT任務

兩層式防火牆架構主要關注設定項目:

  1. 內部防火牆的路由表
  2. 內部防火牆的政策
  3. 外部防火牆的路由表
  4. 外部防火牆的政策
  5. 外部防火牆的NAT規則

把握以上原則,然後找看看有沒有相關文件,或者WebUI是否有提供help頁面可查說明,應該就可以操作設定完成任務了。

Henry iT邦新手 5 級 ‧ 2024-08-14 10:34:11 檢舉

環境中在FortiGate 201下都只是用網段方式管理, 並沒有用VLAN方式管理
主要想把內網的部份放在第二層FortiGate 200B作VLAN管理

傑克 iT邦新手 5 級 ‧ 2024-08-14 17:10:27 檢舉

Henry 基本上,像 mytiny 回答的那樣,policy 直接粗暴定義好即可。

先做以下設定,應該就可以滿足您描述的需求。
在 Network > Interfaces 頁面,將實體介面、VLAN 所屬、IP 對應定義好。
在 Policy&Object > IPv4 Policy 頁面,將各網段的訪問規則定義好;兩臺的 policy 怎麼分工就看您自行規劃安排。

然後防火牆政策跟路由政策是兩回事,看到您在其他回覆位置提到跟您提醒一下。

0
bluegrass
iT邦高手 1 級 ‧ 2024-08-07 17:35:30

樓主你應該把所有JUNIPER的VLAN INTERFACE搬到200B上

再用200B控制就可以了

話說200B真的太舊了, 該換了, 可以換成Paloalto 460.

兩層式防火牆不應該同一品牌

mytiny iT邦超人 1 級 ‧ 2024-08-08 10:19:01 檢舉

不一定
樓主這種架構在Forti有個專有名詞叫ISFW
但是感覺應該內外對調一下才是
啊!知道了
樓主這種應該是分公司跟總公司連
話說FG200B未免太舊了
故障風險很高哦

0
mytiny
iT邦超人 1 級 ‧ 2024-08-08 10:26:14

按描述來說,網路是通暢的狀況
那麼照著把policy設一設就好
在FG200B上用介面(vlan)to介面(vlan)
允許(allow)或阻擋(deny)就好
直接粗暴就好

若樓主是終端用戶還是不能設好或原因是網路不通
請務必找SI來進行協助
該花錢的請付費

如果是SI
請自我檢討一下
當初接CASE的時候為何不先搞清楚客戶需求
先低價接案再想蒙混過關
現在就是付出代價的時候了

我要發表回答

立即登入回答