XX公司的现有网络环境属于内外网隔离环境,网络环境如下:
现有网络环境两台服务器属于双网卡【内外网环境】,内网用户只限定固定的用户可以访问服务器,服务器1对外提供业务,服务器2需要访问互联网,且外网的用户可以访问服务器区,但不能访问外网,根据客户的需求;
本人分析如下;
双网卡环境存在物理安全,外网的用户可以让服务器作为跳板威胁内网安全,同理内网用户一样;服务器区划分一个单独的区域,用防火墙做到区域间的策略控制;现有网络拓扑如图1,
XX公司准备购买一台防火墙设备保证服务器的网络安全,服务器1,2改成单网卡环境,新增网络拓扑如下:
新增防火墙划分三个区域-LAN/WAN/DMZ区域,配置接口IP和路由【1,去外网的默认路由2,去网内网的回包路由】,默认路由的下一跳地址双出口防火墙的LAN的IP地址,内网的回包路由下一跳地址是与新增防火墙直接的内网VLAN地址【如果内网有多个网段,回包路由需要全部写上,也可以进行路由汇总】出口防火墙需要DMZ区的回包路由,由于内网用户不需要访问外网,因此不需写内网的回包路由;
经过测试,服务器2可以访问外网,服务器1发布的8000端口,需要在出口防火墙修改映射关系,
总结:1,出口防火墙回包路由需要写正确,本人由于回包路由写错了接口排错了很长时间;
2,DMZ的交换机检查,排错了很长时间,
3,核心上无需写DMZ区的网段,
4,内网访问DMZ的服务器,路由下一跳地址是DMZ区的接口地址
5,思路一定要清楚,
6,新增防火墙的管理口无需要写内网网段
扫一扫
661
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
