碼上快樂

相關內容    簡體    繁體

公網防火牆通外網配置思路

本文轉載自   查看原文   2020-06-03 21:49   1048    A:工作相關

BG公司公網防火牆通外網配置

思路

第一步:
服務器想通過外網,除了映射之外,就是在安裝系統的時候需要連接一些軟件倉庫啥的,這需要服務器主動去外網,這是一個需求;假設我在西安,此外還有一個需求,就是有時候杭州研發要連接到這台服務器。所以由此在內網防火牆上就要配置兩條策略,服務器所在區域到to_FW,to_FW到所在區域的。還有研發到所在區域的,這是第三個需求。

第二步:到AC上排除這個地址,排除時最好用直通,如果用策略的話,其實還是有的限制,而用直接就不會用任何的限制了。
第三步:在外網防火牆的NAT,ACL加上這個IP

前言

之前給杭州一家公司做過網絡建設項目,至於是哪個公司這里就不提了。這是一家互聯網公司,由於這家公司初建,並沒有專業的網絡運維人員,網絡較復雜,分為研發內網、研發大網、SERVER區、DMZ等區,經常有網絡改動的需求,每當網絡改動時就給我們打電話,這么說吧,不堪其擾。

在此奉上拓撲,此處隱去了公網地址,如下所示:

在內網防火牆下接四個交換機,這四個交換機四個虛擬三層接口分別對應一個網絡。他們經常有一種需求,就是經常在某一個區加上一台服務器,新安裝的服務器在安裝軟件時有上網的需求,這就要求區域里面的服務器能與外網聯通,平時是不允許這些區域里面的主機和外網聯通的。

這個需求其實很好辦?下面把步驟寫下一來,AC的配置略過,因為那不是我們公司的,兩台防火牆是我們公司做的。

第一步:內網防火牆策略放行

在內網防火牆的策略里面,有一條策略為to_internet,這個策略里面加入了多個區域,有local、dmz、rnd,nrnd,而目的區域只有一個那就是untrust,那源區域怎么設置這么多?因為這里面區域里面或多或少都有主機上網,當然,默認dmz、rnd是不允許有人上網的,但是,但是,但是,總有些例外,比如研發區域就有那么幾個主機就得上網!源區域就得設置這么多,並不是說這些區域里面的所有的主機都能通過untrust了,這僅僅代表有需要去往untrust的主機來自於這些區域,至於是哪些主機,策略后面還有源地址呢!我們可以指定源地址,而源地址如果我們用具體的IP來指定的話,時間長了,策略一多我們可能會都不會記得這個IP是干嘛的!所以,廠商想到了一個好的辦法,就是將具體相同特性的IP放到一個組里面,比如有三個主機比較特殊:A、B、C,但這三個主機有共同特性,比如它們都是用來遠程的,那就將這三個主機放到一組里面,然后給這個組起一個名字,名字可以隨便起了,假如說就叫遠程組,這三台主要來自dmz區,我們在添加策略在選擇源IP時,就可以調用這個組,調用這個組就相當於調用這三台主機,這樣時間長了,我們一看組名就知道這三台主機是干啥的,也不會忘掉,而目的地址也可以添加對象組的,但是如果是上網的話,我們怎么知道這三台主機要訪問哪些目標主機呢?這總不能一個個寫吧,干脆就寫成any。我們總結一下思路。

  1. 將A、B、C主機加入到遠程組對象組,在添加策略的時候也可以添加對象組。
  2. 然后設置策略,源區域(這三台主機來自於哪個區域,假設是unv區域),要去哪個區域(上網的話肯定是untrust區域),還沒完呢?還要寫源地址和目標地址,源地址調用遠程組,而目標地址不寫,不寫默認就是any,最后是動作,是拒絕還是放行,防火牆默認是白名單,所謂白名單就是不允許全都拒絕,那我們肯定是要放行的。

但我們工程師在配置的時候,把研發、非研發、dmz、local區域所涉及的網段都放行了,為什么這么搞呢?其實還是因為有AC,把是否能上網的工作交給AC去管理。

AC由於不是我們公司的設備,我也不知道里面配置了啥?但我推測一下,里面應該有一個上網認證功能,就是收到研發網段的流量直接丟棄,而收到非研發網段的流量回執一個認證界面,當用戶輸入正確的用戶名和密碼之后才放行。那其余網段的主機呢?比如linux主機,是無法彈出輸入用戶名和密碼的瀏覽器界面的,怎么辦呢?無法做用瀏覽器做認證,對於無法彈出界面的主機,不做認證,肯定還是白名單,允許通過的才能放行。

第二步:外網防火牆策略放行

到了untrust之后,下面一個設備就是AC了,AC不是我們公司的,所以也不歸我們管。這里不介紹了。再下一個設備又到了我們的設備,一個外網防火牆,外網防火牆沒有那么多的區域,因為外網防火牆它與內網防火牆不一樣了,內網防火牆的的主要作用是控制報文之間的數據流動,而外網防火牆上的主要作用是些偏於保護和路由,所以就策略數量而言,內網防火牆的策略比外網防火牆的策略要多得多。

外網防火牆上有只有三個區域,對內的trust,對外的untrust,還有兩個vlan20對應的三層口。當遠程組的報文上來之后,就是從trust到untrust,那么這個地方放行一下子,都放行嗎?肯定不行,如果都放行的豈不是所有的流量都能到達untrust了,這也可以呀!怎么不可以呢?因為內網防火牆有對象組呀,內網防火牆不同意的報文根本過不來,而內網防火牆同意的,在外網防火牆也沒有必要阻攔了,所以在這里面策略當中,源區域肯定是trust,而目的區域是untrust,源地址的話可以是any,目標地址也可以是any,下面是截圖。

這樣就完了嗎?還沒有,別忘記了,我們的目的是讓遠程組能上網,到此時,遠程組還是內網地址,內網地址想要上外網還要NAT轉換。

第三步:NAT和ACL

常見的NAT類型有兩種:

  • 靜態NAT,一對一的,很少用,哪有那么多IP地址
  • 動態的,一對多的,這個常用,此外還有一個名字easy-ip nat

easy-ip有一個特點,就是它需要先定義一個ACL,被ACL匹配上的源地址才能被轉換成公網地址,所以還要從這些把遠程組里面的主機加入到這個ACL當中,並應用到防火牆的外網出接口,outbound方向,意為出去的時候被轉換。


免責聲明!

本站轉載的文章為個人學習借鑒使用,本站對版權不負任何法律責任。如果侵犯了您的隱私權益,請聯系本站郵箱yoyou2525@163.com刪除。



猜您在找 FortiGate防火牆辦公網常用配置 Linux防火牆配置—訪問外網WEB 2020實現ssh公網外聯和外網遠程穿透以及內網穿透防火牆 華為——防火牆——策略路由配置及思路 防火牆配置 Linux防火牆--IPtables配置策略思路 防火牆配置 防火牆的基本配置 防火牆配置及防火牆NAT配置 防火牆管理配置
 
粵ICP備18138465號   © 2018-2025 CODEPRJ.COM