防火牆的設計 - 第2頁 - PCZONE 討論區

返回   PCZONE 討論區 > ▲ ADSL_CABLE_FTTH 寬 頻 上 網 討 論 > -- 網 路 技 術 版


PCZONE 討論區



通知

-- 網 路 技 術 版 較深入的網路方面技術問題,請來此這版討論

進階會員
回覆: 防火牆的設計
在設備不知的狀態下 我實在無法想像如何去討論網路技術&規劃 .

資料再怎樣的敏感 .只要你有付錢.網路規劃施工的單位都可以說眼睛是瞎的

賭場的監視設備也很敏感呀.還不是讓專業的去施工
六合彩的組頭總部也很敏感呀.還不是讓修電腦的長驅直入

回覆
會員
回覆: 防火牆的設計
提供出兩邊的Firewall和Switch型號才可以讓人查詢規格提供建議
否則直接看最快的就是(1)/(2)兩地都用自己的網路上網
(1)防火牆或是網管電腦用VPN連到(2)防火牆進行地點(2)電腦管理。
如此一來地點(2)的電腦永遠不會有機會接觸到File Server
否則手動設定IP或是(C)電腦接到(B)網路一樣會突破防火牆
(B)部門電腦於(2)點時使用軟體VPN連回防火牆(1)存取file server.
回覆
會員
回覆: 防火牆的設計
非常謝謝adamkuo!
終於有前輩正視我們的問題,我們當初的架構,如同前述,跟adamkuo前輩講的是一樣的!

我們的switch設備都是cisco 2950/2960,將要發下來的防火牆是5510和5520。整個重點除了用防火牆的功能外,還希望減輕使用者的負擔,讓他們不用每次連server都要自己開vpn client。曾經串接兩台2960,底下帶相同vlan tag的電腦可以溝通無誤,但不曉得這樣的vlan tag可以穿防火牆嘛??曾看國外的資料,似乎要在VPN中才能保留該vlan tag,但很可惜該資料沒有詳細講實作過程,希望有經驗的前輩,能指到一下,雖然我們不是兩岸三地的公司,但這樣的需求我想在兩岸三地的公司應該是有的。這麼做的目的是希望,如果vlan可以穿防火牆且點(1)的外部介面可以辨識,或設定acl讓同為vlan10的流量進來存取server,那點(2)部門B人員就完全不用做任何額外動作了,如果不能用上述方法,則希望IP綁MAC,讓特定IP進來。

此外,還有一個重點希望能達成的就是,希望能有效管理部門C,部門C的每一台電腦(有PC也有MAC),都是幾個人共用的,我們一直有使用port security,所以實體port已經綁住MAC,但是總有人手賤,一直改IP在用p2p或下載有的沒的,目前不是很確定防火牆可以做到怎樣的程度,所以最少希望能用MAC綁住IP,這樣起碼可以抓到元兇。希望大家多多提供意見,謝謝。

此篇文章於 2010-08-29 05:25 PM 被 astronomy 編輯。.
回覆
會員
回覆: 防火牆的設計
1. Catalyst 2950以上應該都有DHCP snooping 可以綁定IP與MAC
http://www.cisco.com/en/US/docs/swit.../swdhcp82.html
2.防火牆中設定規則則只讓VLAN10穿透VPN即可

引用:
作者: astronomy 觀看文章
非常謝謝adamkuo!
終於有前輩正視我們的問題,我們當初的架構,如同前述,跟adamkuo前輩講的是一樣的!

我們的switch設備都是cisco 2950/2960,將要發下來的防火牆是5510和5520。整個重點除了用防火牆的功能外,還希望減輕使用者的負擔,讓他們不用每次連server都要自己開vpn client。曾經串接兩台2960,底下帶相同vlan tag的電腦可以溝通無誤,但不曉得這樣的vlan tag可以穿防火牆嘛??曾看國外的資料,似乎要在VPN中才能保留該vlan tag,但很可惜該資料沒有詳細講實作過程,希望有經驗的前輩,能指到一下,雖然我們不是兩岸三地的公司,但這樣的需求我想在兩岸三地的公司應該是有的。這麼做的目的是希望,如果vlan可以穿防火牆且點(1)的外部介面可以辨識,或設定acl讓同為vlan10的流量進來存取server,那點(2)部門B人員就完全不用做任何額外動作了,如果不能用上述方法,則希望IP綁MAC,讓特定IP進來。

此外,還有一個重點希望能達成的就是,希望能有效管理部門C,部門C的每一台電腦(有PC也有MAC),都是幾個人共用的,我們一直有使用port security,所以實體port已經綁住MAC,但是總有人手賤,一直改IP在用p2p或下載有的沒的,目前不是很確定防火牆可以做到怎樣的程度,所以最少希望能用MAC綁住IP,這樣起碼可以抓到元兇。希望大家多多提供意見,謝謝。
回覆
低等會員
回覆: 防火牆的設計
你不能只鎖MAC
要將PORT/MAC/IP三個綁在一起
這個要在switch上面可以做,FW沒有這個功能
上面的功能做起來了
要控管行為
都會變得很簡單
只要FW policy設定即可
也不必VPN或VLAN TAG了
我覺得這是最簡單的方式

回覆
主題工具







 XML   RSS 2.0   RSS 
本站使用 vBulletin 合法版權程式
站務信箱 : [email protected]

本論壇所有文章僅代表留言者個人意見,並不代表本站之立場,討論區以「即時留言」方式運作,故無法完全監察所有即時留言,若您發現文章可能有異議,請 email :[email protected] 處理。