【接口篇 / Wan】(6.4) ❀ 02. 单条宽带旁挂软路由优化 ❀ FortiGate 防火墙

已于 2022-07-26 15:46:36 修改
阅读量3.8k 收藏 7
点赞数 4
分类专栏: # Wan 文章标签: Fortinet 飞塔 旁挂 软路由 分流
于 2021-01-22 16:58:01 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/meigang2012/article/details/112983557
版权

  【简介】在只有一条宽带的环境下,需要同时能正常上网,又能通过软路由访问指定网站,这会是一个挑战。

  网络拓朴

        为了清晰的了解网络的访问原理,这里描述一下常见的防火墙连接方法。

        

  ① 最常见的防火墙连接方法是:路由器或防火墙通过ADSL宽带猫拨号连接宽带,交换机连接防火墙以及上网设备,包括电脑及无线AP,防火墙允许或阻止某些IP上网。如果是专线宽带,可以省略掉ADSL宽带猫及路由器。如果是拨号宽带,并且有远程访问需求的话,可省略掉路由器,不能由ADSL宽带猫拨号,而是由防火墙拨号。如果只是上网,没有远程访问需求,建议用路由器拨号,这样比防火墙拨号速度会更快一些。

  ② 在某些情况下需要访问指定的网站,通过软路由可以实现。

  ③ 可以用软路由替代路由器,但是长期使用会有一个问题,那就是软路由访问是有流量限制的。如果所有上网都走软路由,很明显流量会不够用。

  ④ 因此我们可以将软路由旁挂,通过防火墙的策略路由设置,使得正常上网仍然走路由器,而访问指定网站则走软路由。这种方法仍然有个缺陷,那就是防火墙不能被远程访问。

  ⑤ 由防火墙拨号,可以使得防火墙能被远程访问,因此ADSL宽带猫直接接入防火墙。将软路由的两个接口都接入防火墙中的两个独立接口,其中接软路由wan口的防火墙接口允许通过防火墙上网。这样软路由也就可以上网了。接软路由lan口的防火墙接口,可以当作另一条宽带接口,这样通过策略路由,就可以分别走两个接口上网了。当正常上网时,可以看到蓝色箭头走向,当访问指定网站时,可以看到红色箭头走向。

  上网设置

  这里我们用FortiGate 300D来做示例。

  ① FortiGate 300D正好有四个独立的RJ45网口,我们用第1个口接宽带,名称为Wan1,第2个口接软路由的Wan口,由于第2个口是允许软路由上网,在防火墙上相当于内网口,因此命名为Lan2,第三个口用来接交换机或电脑上网,因此命令为Lan1,第4个口口是用来接软路由的Lan口,但是在防火墙上,相当于另一条出去的宽带口,因此命名为Wan2。

  ② 第一个接口port1,用来连接宽带,别名Wan-1,宽带可以是手动IP、DHCP获取或PPPOE。如果是DHCP或PPPOE,就不需单独设置静态路由了。

  ③ 第三个接口port3,用来连接交换机或上网的电脑,别名Lan-1,可以启用DHCP,使接口下的电脑自动获取IP,也可以手动设置电脑IP。

  ④ 新建一条上网策略,允许电脑通过第一个接口上网。

  ⑤ 电脑网卡设置为接口port3网关,网关指定port3接口IP,DNS建议使用8.8.8.8。

  ⑥ 电脑接入防火墙Port3口,Ping百度网址可以通,说明上网是OK的,Tracert跟踪路由,可以看到是从防火墙的port3口入,port1口出。

  软路由设置

  我们已经用了1和3口连接电脑上网,现在用2和4口连接软路由。

  ① 我们用防火墙的port2口连接软路由的lan口,由于软路由的lan口地址是192.168.2.1,因此防火墙的port2口IP设置为192.168.2.2,别名Wan-2。

  ② 防火墙的Port4口用来连接软路由的wan口,由于软路由的wan口默认启用了DHCP,因此在防火墙的port4口上启用DHCP服务器,使软路由的wan口可以获得IP。port4口别名Lan-2,这是因为在防火墙上,它相当于是个内网接口。

  ③ 新建一条策略,允许port4通过port1上网,这样软路由的wan口就可以连通互联网了。

  ④ 还要建一条策略,允许port3,也就是电脑接口,能通过port2上网,port2是连接软路由的lan口。那么上网的路径是port3(电脑)->port2->软路由lan口->软路由wan口->port4->port1(接宽带)。

  ⑤ 是不是配置好了接口,建好了策略就能走软路由上网呢,并不是的,还需要建立一策略路由,允许电脑的所有访问都走port2口到达软路由的lan口。由于策略路由优先于静态路由,因此所有的访问都会走软路由。

  ⑥ tracert跟踪路由,发现现在是通过软路由绕了一圈再去上网的。

   分流

  现在我们有两条线路可以上网,下一步要做的,就是按需访问了。

  ① 首先需要建立一个地理的地址对象,国家选择China。

  ② 建立一条策略路由,当port3访问的IP为中国的地址时,走port1接口。

  ③ 将新建的策略路由移到最上方,移动方法是鼠标按住策略路由最前面的数字,向上或向下拖动即可。由于指定目的为China的路由在最上面,因此先执行。如果访问非中国IP,则会匹配第二条策略路由。

  ④ 分别打开不同的网页。

  ⑤ 点击【仪表板】-【FortiView Sources】菜单,找到刚刚打开网页的电脑IP,双击。

  ⑥ 选择【目标】,点击最左边的齿轮,弹出菜单里选择【目标接口】,点击【应用】。

  ⑦ 这里可以看到不同的目标走的是不同的接口上网。这样就实现了访问国内的网址时直接上网其它网址走软路由上网。

飞塔老梅子
关注
专栏目录
考题(6.4) 07 企业防火墙 Fortinet 网络安全架构师 NSE7
防火墙技术专栏
06-18 307
Which of the following statements are true regardingthe SIP session helper and the SIP application layer gateway (ALG)? (Choose three.)〖关于SIP会话helper和SIP应用层网关(ALG),下列哪个陈述是正确的?(选择三个)〗   A. SIP session helper runs in the kernel; SIP ALG runs as a user spa..
教程(7.4) 07. 安全配置文件 & 网络安全支持工程师 FORTINET认证解决方案专家
最新发布
防火墙技术专栏
08-27 95
通过展示理解安全配置文件的能力,你将能够了解如何对FortiGuard和Web过滤问题进行故障排除。你还将学习如何修复证书警告问题,并监控IPS和反病毒事件。
防火墙旁挂(VRF&VFW)
weixin_43311721的博客
01-09 1622
核心利用VRF方式将流量引流到FW进行检测,检测后FW回注到核心全局路由表;FW在此基础上还可以部署VFW,允许不同的VPN实例通信
防火墙配置【最详细的实验演示】
A_991128a的博客
06-28 1741
以上操作可定义一个名称为new,优先级为60的安全域从时代发展的角度看,网络安全的知识是学不完的,而且以后要学的会更多,同学们要摆正心态,既然选择入门网络安全,就不能仅仅只是入门程度而已,能力越强机会才越多。因为入门学习阶段知识点比较杂,所以我讲得比较笼统,大家如果有不懂的地方可以找我咨询,我保证知无不言言无不尽,需要相关资料也可以找我要,我的网盘里一大堆资料都在吃灰呢。干货主要有:①1000+CTF历届题库(主流和经典的应该都有了)②CTF技术文档(最全中文版)
华为策略路由引流旁挂防火墙
热门推荐
weixin_45457085的博客
11-08 1万+
拓扑图解释:由于没有ENSP防火墙插件,故用AR2代替防火墙,PC1与PC2模拟内网trust区域设备,AR3模拟外网untrust区域 项目要求: 1.外网访问内网流量需要通过防火墙过滤再进入内网; 2.内网访问外网流量直接出站无需过滤。 配置思路: 1.首先配通底层,为了直观我这里采用手写静态路由,项目上为了方便可以直接跑内部动态路由协议; 2.在外网入站口AR1的G0/0/2上使用策略路由PBR进行流量重定向。 配置开始: 1.配通底层: SW1上: AR1上: ...
旁挂防火墙 —— 初级
2401_84389418的博客
04-15 551
防火墙旁挂配置
pfSense软路由防火墙
weixin_30678821的博客
12-22 241
才刚刚架起来,等着入门呀。。 想作网络的QOS限流这些的。。。 转载于:https://www.cnblogs.com/aguncn/p/3486591.html
FortiGate for VMWare ESXi platform Version 6.4.14Upgrade Path Re
01-08
FortiGate for VMWare ESXi platform Version 6.4.14Upgrade Path Release Notes
Fortigate飞塔防火墙6.2虚机版本(VMware)FGT_VM64-v6-build0866-FORTINET.out.ovf
08-27
Fortigate飞塔防火墙6.2虚机版本(VMware) 最新VMware虚机版本,下载吧,很好的
飞塔FortiGate防火墙固件镜像6.2.4_1112(FGT_50E-v6-build1112-FORTINET.out)升级包
05-21
飞塔防火墙固件镜像6.2.4_1112版本,适用于 FortiGate 50E. 发布时间为:2020年5月10号(FGT_50E-v6-build1112-FORTINET.out)
强悍的软路由防火墙ipcop配置全程指南
10-14
是一款非常好用的路由器软件,内置防火墙,对机器的性能要求低,运行稳定,因此得到了广大用户的称赞。Ipcop是一款类似于Linux界面的操作系统,具备良好的路由功能和高度的稳定性。 本文略去安装的过程,对具体配置进行了详细的解说,全中文带图
华为策略路由-旁挂IPGUARD安全网关
11-23
华为交换机策略路由配置,适合旁挂路由器,安全网关等设备。
NSE4 FGT-6.4 VCEplus premium.pdf
06-16
"FGT-6.4"指的是使用FortiOS 6.4版本的FortiGate设备,这是Fortinet提供的一个先进的安全操作系统,提供了广泛的安全服务和功能。 在NSE4的认证考试中,考生需要达到800分才能通过,考试时间为120分钟。VCEplus提供...
旁挂防火墙(USG6000V)实验
weixin_72910567的博客
06-09 2700
本实验通过配置旁挂防火墙,实现了内网用户访问外网的安全过滤功能。通过配置策略路由,将内网用户访问外网的流量(回包)重定向到防火墙上,使流量经过防火墙的安全检测后再返回交换机。通过配置DHCP服务,为内网用户分配IP地址。通过配置安全策略,控制不同区域之间的流量访问权限。本实验加深了对旁挂防火墙的理解和应用,提高了网络安全性。
软路由防火墙IPcop的安装,配置
Ricklzc的博客
11-27 3396
软路由防火墙IPcop IPCop是一款基于LINUX内核的开源的软路由防火墙系统,是一款非常易用的路由器软件,它对硬件和对机器的性能的要求非常地低,IPCop的最低硬件需求只要是一台安装有386处理器,32MB内存和一块300MB大小容量硬盘的“古董级”机器。而且运行稳定,因此得到了广大用户的称赞。 功能和特点 稳定 安全 可以使用命令行进行详细配置 易于维护 易于配置 简洁的界面 下载地址 http://www.ipcop.org/download.html 安装步骤 1、点击文件 > 新建虚拟
H3C华三旁挂防火墙
weixin_45457085的博客
12-09 9872
适用场景: 旁挂防火墙部署 注意事项: 1.接入与汇聚都是二层部署,流量之间可以透传到防火墙 2.防火墙与汇聚交换机之间双线互联,一条做子接口起网关剥掉VLAN,一条做三层口用来路由,保证来回流量路径一致 3.汇聚与核心之间可以不通过OSPF,直接指静态路由,接入端VLAN比较多还是推荐动态协议比较方便。 配置思路: 1.首先配置接入与汇聚,打通二层。 2.配置防火墙与汇聚的互联与起网关 3.配通汇聚与接入OSPF 4.测试配置 配置开始 接入交换机上: vlan 2...
网络安全--防火墙旁挂部署方式和高可靠性技术
weixin_65685029的博客
09-25 3232
防火墙防火墙部署方式,防火墙高可靠技术,配置VRRP双机备份
华为路由器旁挂引流实验(使用流策略)
weixin_45857582的博客
08-07 2876
旁挂引流,使用流策略的方式
FORTIGATE防火墙内部接口DHCP配置与管理教程
文章主要介绍了如何在FORTIGATE防火墙(具体型号未明确提及,但提到至少包含Internal接口)上进行实验配置网络的IP地址,以及FORTIGATE防火墙的基本安装和管理指南。首先,实验步骤包括在Internal接口上配置DHCP...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

飞塔老梅子

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值