iT邦幫忙

5

防火牆互通問題

  • 分享至 

  • xImage

請問一下,目前公司有兩台防火牆架在同一個機架上,上層要求一台單獨連mail server,另一台則是連Client端,除了用VPN site to site使兩邊內網互通外(之前試過但VPN無法通,不確定是不是兩邊韌體版本差異太多的關係導致無法通),還有其他方法嗎?能透過兩邊的lan來互通嗎?由於我還不是很懂規劃防火牆,還請大家多多指教,謝謝。

用這篇的方法再配合設定固定路由就可以

https://ithelp.ithome.com.tw/questions/10216601
supermaxfight iT邦研究生 4 級 ‧ 2024-11-21 10:17:05 檢舉
我想問的是你目前現行的接法
因為我看不懂上頭要求這樣接的原因
圖片
  直播研討會
圖片
{{ item.channelVendor }} {{ item.webinarstarted }} |
{{ formatDate(item.duration) }}
直播中
1
rin0913
iT邦新手 5 級 ‧ 2024-11-20 23:58:23

能透過兩邊的lan來互通嗎?由於我還不是很懂規劃防火牆,還請大家多多指教,謝謝。

可以,最簡單的方法就是兩臺防火牆直接插一條網路線,然後妥善配置,因爲不確定你的防火牆型號,這裏以 Palo Alto 爲例子:

  1. 插入網路線到兩臺防火牆的某個界面,例如 ethernetX
  2. 創建專屬 VLAN
  3. 將 ethernetX 設置爲 L2 介面,然後選擇 VLAN,並且允許所有流量通過。

還有其他方法嗎?

最簡單的兩個想法:

  1. 利用 VXLAN 來實作 L2 的延伸。
  2. 透過第三台兩者皆可訪問的機器來當 VPN 伺服器。
3
mytiny
iT邦超人 1 級 ‧ 2024-11-21 00:23:47

不需要用到VPN
況且VPN並不會兩邊韌體版本差異太多而不通
但確實能連通就好

最簡單的方式
就是一台單獨連mail server
然後用來上網

另一台把WAN接到上一台防火牆LAN
而這台防火牆LAN接到PC
防火牆政策做NAT就好

0
EGG
iT邦新手 5 級 ‧ 2024-11-21 08:31:40

用AI的回答,第一條我覺得可以參考

在您的情況下,兩台防火牆需要分別連接 Mail Server 和 Client 端,同時還需要互通內網,以下是一些可能的解決方案:

  1. 使用雙防火牆互聯
    您可以設計防火牆之間的直接互聯,透過 LAN 埠或 DMZ 埠實現內網互通。

步驟:
配置靜態路由

為兩台防火牆分別設定靜態路由,確保可以辨識對方的內網網段。
例如:防火牆 A 的 LAN 網段是 192.168.1.0/24,防火牆 B 是 192.168.2.0/24,需在各自路由表內添加指向對方網段的靜態路由。
互聯埠配置

在兩台防火牆上選擇一個空閒的 LAN 埠,將它們物理連接。
設定該埠的 IP,確保兩台防火牆互相可達。
ACL 或防火牆規則

開啟相關內網流量的通行規則,例如允許 192.168.1.0/24 與 192.168.2.0/24 的雙向通訊。
2. 使用第三方交換機實現互通
若兩台防火牆背後的內網通過相同的交換機,則可以利用交換機的 VLAN 功能來實現內網互通。

步驟:
配置 VLAN

在交換機上劃分 VLAN,分別對應兩台防火牆後的內網網段。
VLAN 間路由

如果交換機具備 L3 路由功能,可以直接在交換機上實現 VLAN 間路由。
如果交換機是 L2 交換機,則需要將 VLAN 流量路由至防火牆處理。

chox609
iT邦新手 5 級 ‧ 2024-11-21 11:23:04
【**此則訊息已被站方移除**】
0
I.T. Wang
iT邦新手 1 級 ‧ 2024-11-21 12:09:31

我覺得要先清楚自己的防火牆型號與版本,儘管您的需求很簡單基本上防火牆都能做到,但是重點在每家防火牆一定都有各自適合的架構,比如說目前應該是paloalto有更明顯zone概念,而且介面彈性大可以獨立定義L3/L2/vwire等介面類型,不像大多數防火牆只能整台router/transparent mode。
當然我不是幫PA打廣告,只是說儘管能做卻基礎架構設計不好,容易苦到後面維護或查修。

0
bluegrass
iT邦高手 1 級 ‧ 2024-12-02 09:29:09

單獨連mail server,另一台則是連Client端

然後你Client端要用內網IP來抓mail server

你是因為這個目標才搞的VPN嗎?

我要發表回答

立即登入回答