用防火墻連接兩個(gè)局域網(wǎng)

發(fā)布時(shí)間：2020-06-29 14:35:17 來(lái)源：網(wǎng)絡(luò) 閱讀：2021 作者：影分身欄目：安全技術(shù)

防火墻型號(hào) hillstone M3108

本公司之前的生產(chǎn)網(wǎng)絡(luò)都是單獨(dú)的局域網(wǎng)，現(xiàn)在需要從辦公網(wǎng)絡(luò)中能遠(yuǎn)程連接生產(chǎn)網(wǎng)中的一臺(tái)操作站，以對(duì)生產(chǎn)過(guò)程進(jìn)行監(jiān)控。經(jīng)過(guò)內(nèi)部討論和跟廠家的交流，為了節(jié)約成本，我們采用防火墻連接兩個(gè)網(wǎng)絡(luò)，用遠(yuǎn)程桌面的方式實(shí)現(xiàn)（被遠(yuǎn)程連接的操作站設(shè)置為無(wú)法修改）。線(xiàn)面將配置整理為筆記，供大家分享。

總的來(lái)說(shuō)，需要三步，

第一步是對(duì)防火墻本身進(jìn)行配置，端口地址、策略、默認(rèn)路由等

第二步是對(duì)操作站進(jìn)行配置，設(shè)置好網(wǎng)關(guān)。網(wǎng)關(guān)地址即為防火墻上與生產(chǎn)網(wǎng)連接的端口地址。因?yàn)槲覀兩a(chǎn)網(wǎng)中每臺(tái)操作站都沒(méi)有設(shè)置網(wǎng)關(guān)，用兩塊網(wǎng)卡兩根網(wǎng)線(xiàn)的冗余方式。

第三步是在核心交換機(jī)上配置一條路由，讓辦公網(wǎng)能訪問(wèn)到生產(chǎn)網(wǎng)。我們?yōu)榱税踩?，只允許訪問(wèn)某一臺(tái)操作站。

下面是詳細(xì)配置情況

一.防火墻配置

如上圖所示，由于只允許辦公網(wǎng)部分電腦單向訪問(wèn)某臺(tái)操作站（工控機(jī)），因此只設(shè)置一條策略就可以了。注意“部分”“單向”“某臺(tái)”等關(guān)鍵字。

兩個(gè)安全域?qū)?yīng)防火墻上兩個(gè)端口，office對(duì)應(yīng)辦公網(wǎng)，mcs對(duì)應(yīng)生產(chǎn)網(wǎng)

兩個(gè)地址簿，源地址中的地址簿里加的是允許遠(yuǎn)程連接操作站的IP，目的地址中的地址簿加的是“某臺(tái)”操作站（工控機(jī)）的IP

一個(gè)服務(wù)薄，里面只有兩個(gè)服務(wù)（端口），一個(gè)RDP（3389端口），是遠(yuǎn)程連接命令MSTSC要用的，一個(gè)PING，是為了維護(hù)方便。也就是說(shuō)只允許這兩個(gè)服務(wù)，其他的一概禁止。也是為了安全。其實(shí)也不是很安全，MSTSC權(quán)限很大，可以完全操控對(duì)方電腦，所以操作站的系統(tǒng)還要修改權(quán)限，只能看不能改，這樣遠(yuǎn)程桌面連上也不怕了。

安全域、地址簿和服務(wù)薄的名字是自定義的，方便管理。

二.操作站配置網(wǎng)關(guān)

將要訪問(wèn)的操作站的網(wǎng)關(guān)設(shè)置為mcs全區(qū)域?qū)?yīng)端口的地址。我們生產(chǎn)網(wǎng)中操作站是不設(shè)置網(wǎng)關(guān)的，因?yàn)槭请p網(wǎng)卡雙線(xiàn)冗余。

三.核心交換機(jī)配置路由

在核心交換機(jī)（我們用cisco6509）上加如下路由

iproute 操作站IP 255.255.255.255 防火墻offic域?qū)?yīng)端口地址

當(dāng)辦公電腦訪問(wèn)操作站時(shí)，給它指明訪問(wèn)路由，如果要找操作站IP，先找防火墻offic域?qū)?yīng)端口地址。

特殊情況：

集團(tuán)與子公司間是專(zhuān)線(xiàn)連接，起路由，子公司的路由器和核心之間也是起路由，子公司辦公網(wǎng)絡(luò)與其生產(chǎn)網(wǎng)連接通過(guò)防火墻連接，集團(tuán)的電腦要想訪問(wèn)過(guò)來(lái)，比本埠的連接要多做幾處路由，從集團(tuán)核心開(kāi)始，配合tracert命令，一層一層做下去，直到能找到要訪問(wèn)的

操作站地址，就OK了。

向AI問(wèn)一下細(xì)節(jié)

用防火墻連接兩個(gè)局域網(wǎng)

猜你喜歡

最新資訊

相關(guān)推薦

相關(guān)標(biāo)簽