【求助】(Kerio Firewall)想在防火牆新增一條頻寬?不知是否可行



贊助商連結


pat6626
2004-07-07, 09:40 AM
請教各位大哥

小弟公司目前的網路架構如下(FW上總共有3張網卡)
ㄧ條對外網路(512K雙向)
連接FW
FW下有二個interface
(A interface)A網段
(B interface)B網段

現在想在FW另加一塊網卡,並申請一條6M/640K的ADSL,當另一條對外連線
請教ㄧ下
我是否可以設定讓
A網段的走512K雙向
B網段的走6M/640K這段 而不會有問題(我的FW沒有負載平衡的功能)
或是A網段中(ㄧ部分的IP走512K雙向,另一部分IP走6M/640K)
當然我知道實務上跟硬體的配合也是有相關
只是不知道是否有人 也有用過這樣的方法來增加公司的頻寬效益
謝謝大家

P>S>我的防火牆是軟體Kerio winroute firewall V 5.1.9
不知道有沒有人用過 還滿好用的

贊助商連結


allanhwliu
2004-07-10, 06:26 PM
你好

剛剛看了一下手冊 目前還是支援 fail over 的功能

還未有 load balance and QOS 的功能 期待在未來的版本 可加入

若你有時間 可試一下 加入另 一張 wan 網卡, 別把 fail over 的功能打開 , 看看可不可以用 設定路由規則的方式把

(nic1) wan1 -----> 192.168.1.0 (nic2)
(nic3) wan2 -----> 192.168.2.0 (nic4) <-----可能需要在一張網卡給 lan

我記得 winroute 好像沒有限制網卡的數量 你能在 windows 下 驅動的網卡

應該 winroute 都可以辨認 可以的話 你也不訪參考 winroute pro
4.2 的使用手冊, 4.2 板好像有教如何設定 上面的模式

但我有點記不清了

winroute 6.0.1 已出了 你應可找到 像 5.1.9 ......

若沒有 來信告知 我現在用 6.0.1 板
我目前 還是用 nexland ISB pro 800 來合併頻寬
用過的 合併頻寬機器 有 AF420B , SLR 7204, linksys RV082, 還是較喜歡 nexland 功能簡單,其他的進階功能 我都是 用 winroute 設定的

但 nexland 已不出新的 韌體了, 目前 先把 nexland 用到死機後 再換 slr 7204, AF420B <----使在有夠 XXXXX 好在是買美規板 FR24 價錢是 75 美金不然真的會很xx,買了一年多 也擺了一年多.

一直還沒有辦法 把 ISB pro 800 turbo 韌體變成 Syamantec 200 型

pat6626
2004-07-12, 11:32 AM
我原本是想說 在STATIC ROUTE加入一個RULE
後來 直接在traffic policy中直接指定哪個網段走那張網卡
結果 就可以了
比我之前想像中的還容易
static route 加不加 都沒有影響說
對了 請問一下 什麼是fail over
這個功能不是很了
謝謝大哥囉

allanhwliu
2004-07-12, 02:19 PM
fail over 的功能是當第一條 wan 斷線時

winroute 會把 第二條線的 備援功能打開 類似在一些 2 wans的分享器上的fail over 的功能

個人建議是使用上把 winroute 電腦當成 網域主控站 再其之前可外加一便宜
的 IP 分享器 如 draytek 2104

Internet --> IP 分享器 ---> winroute firewall (domain conrtol)-->

private network .

如此做法是更加保護你的私人網路 當駭客入侵你的網路時 先由 IP 分享器檔掉大部分的攻擊, 剩下的再由 winroute firewall 的網域主控站 過濾, 當你的 IP 分享器被駭客攻到當機時, 應該你的網路也癱瘓了, 如此一來 駭客要想在進一部攻擊或攫取你內部的資料的機會也會降低, 再來即使 駭客還可以再攻
擊你的網路的話, winroute firewall 會起第二道防線的功能.

較不建議下情況

internet----> winroute firewall (domain control) ---> 私人網域

當你的 winroute firewall 網域主控站 被攻破時 有可能 你的網域的一些重要的資料可能會外洩, 更據 winroute 的結構 ,當winroute 的防火牆被攻破時, winroute 會把 internet 與你的私人網路斷線, 進而達到保護你私人網路的目的. 如同我說的 最後駭客也只能偷你 winroute 防火牆電腦的資料而已
但是一般你都不想辛辛苦苦建立的 網域主控站被毀掉吧

所以 我都是先用 ip 分享器當第一道簡單的防火牆, 若 ip 分享器被攻到當機,最多重開機就好了, 重新建立網域主控站 就要花好幾小時的功夫了


ps 或是把一台電腦單獨當 winroute 防火牆,此電腦無關任何網域, 就好像你用
windows 2000 pro 版本 外加 winroute 設定成你自己的硬體防火牆

allanhwliu
2004-07-12, 02:36 PM
winroute 6.0.1 版已修正一些功能

建議你更新, 6.0.0 內建的 McAfee的防毒已可掃 pop3 與 smtp 的通信協定



Version 6.0.0 - June 7, 2004
+ Integrated client/server and server-to-server VPN solution
+ Alerts and notifications
+ Antivirus protection for emails (POP3 and SMTP)
+ Improved realtime user monitoring and traffic statistics
+ P2P Eliminator - universal P2P blocking
+ Support for VisNetic Antivirus Plug-in 4

唯一美中不足的是 kerio 的 update.kerio.com 的 病毒碼還未有更新
我都是去 mcafee 下載新的病毒碼 在手動 用檔案取代的方式更新

allanhwliu
2004-07-12, 03:00 PM
fail over 的功能 應該可以做到如下的功能 我沒實際測試 但應該可行

若你有三條頻寬
internet 1---> nic1 ---> private network 1

internet 2---> nic2 ---> private network 2

internet 3---> nic3 ---> 可當 internet1 或 internet2 的斷線備援 <---兩條選一條

經由 設定 interface 的 fail over 功能 如此以外 你還可能需要設定
traffic policy

winroute 是一個 企業級的防火牆 其等級可與 checkpoint NG 同等

也和 cisco 與 netscreen, lucent, 等等的硬體防火牆同級
看下面的連結就可一幕了然了
http://www.icsalabs.com/html/communities/firewalls/newsite/cert2.shtml
他們都是通過 ICSA lab 的認證
價錢可能一般小型的公司都可接受的 美金 400 元起跳
http://www.kerio.com/kwf_price.html

PS 我與 winroute 公司無關 我只是喜歡他們的產品風格而已
draytek vigor 3300 也通過 ICSA IPSec 1.0D 的認證

allanhwliu
2004-07-12, 04:34 PM
個人想法
若是把 winroute 加 windows 2000 pro 加 一台還可以跑的舊電腦 設定成
一台類似硬體的防火牆, 那對與個人與小型公司可能是一個可行的辦法,
買 10 人份的版本, 外加一台網域主控站( Domain controler), 所有的對外連線, 由 domain controler 控制(有附加簡單的ICS 或 路由功能), 對於 winroute 防火牆而言, 都只有一個客戶端 ( domain controler)而已.

Internet---> winroute firewall ---> domain controler---> private network <---- 20 台電腦相連

或是

Internet1 ----> winroute firewall ----> domain controler1 ---> private netowrk1 <---- 20 台電腦相連

Internet2 ----> winroute firewall ----> domain controler2 ----> private netowkr2 <---- 20 台電腦相連

Internet -----> winroute firewall ----> domain controler3 ----->
private network3 <---- 20 台電腦相連

以上的網路結構 是一台 winroute firewall 有三個子網域(三個 internet network card,三個 LAN cards), 三個 domain controlers 是 winroute firewall 的三個用戶端.

所有在 domain controler 下的電腦要接 internet 一律要用 domain controler 轉接出去, 也就是說對於 winroute firewall而言, 不管 domain
controler 的下面接多少台電腦, winroute firewall 永遠就只看到 domain controler 一人使用它的服務而已. 如此一來 對於 winroute firewall 而言
只有三台電腦用它的服務, 但實際上是 60 台電腦透過他接到 internet.

以上祇是個人的想法而已, 本人還未試過,
看過以前的 winroute firewall 手冊, 若會活用winroute firewall, 一些
網路架構是可以模擬的.

PS winroute firewall 可下載 30 天的試用版

http://www.kerio.com/kwf_download.html

linux_xp
2004-07-15, 10:34 PM
如果主機是Linux的話

用iptables,可達到你說的功能