進階會員 | 回覆: 防火牆的設計 在設備不知的狀態下 我實在無法想像如何去討論網路技術&規劃 . 資料再怎樣的敏感 .只要你有付錢.網路規劃施工的單位都可以說眼睛是瞎的 賭場的監視設備也很敏感呀.還不是讓專業的去施工 六合彩的組頭總部也很敏感呀.還不是讓修電腦的長驅直入 |
回覆 |
會員 | 回覆: 防火牆的設計 提供出兩邊的Firewall和Switch型號才可以讓人查詢規格提供建議 否則直接看最快的就是(1)/(2)兩地都用自己的網路上網 (1)防火牆或是網管電腦用VPN連到(2)防火牆進行地點(2)電腦管理。 如此一來地點(2)的電腦永遠不會有機會接觸到File Server 否則手動設定IP或是(C)電腦接到(B)網路一樣會突破防火牆 (B)部門電腦於(2)點時使用軟體VPN連回防火牆(1)存取file server. |
回覆 |
會員 | 回覆: 防火牆的設計 非常謝謝adamkuo! 終於有前輩正視我們的問題,我們當初的架構,如同前述,跟adamkuo前輩講的是一樣的! 我們的switch設備都是cisco 2950/2960,將要發下來的防火牆是5510和5520。整個重點除了用防火牆的功能外,還希望減輕使用者的負擔,讓他們不用每次連server都要自己開vpn client。曾經串接兩台2960,底下帶相同vlan tag的電腦可以溝通無誤,但不曉得這樣的vlan tag可以穿防火牆嘛??曾看國外的資料,似乎要在VPN中才能保留該vlan tag,但很可惜該資料沒有詳細講實作過程,希望有經驗的前輩,能指到一下,雖然我們不是兩岸三地的公司,但這樣的需求我想在兩岸三地的公司應該是有的。這麼做的目的是希望,如果vlan可以穿防火牆且點(1)的外部介面可以辨識,或設定acl讓同為vlan10的流量進來存取server,那點(2)部門B人員就完全不用做任何額外動作了,如果不能用上述方法,則希望IP綁MAC,讓特定IP進來。 此外,還有一個重點希望能達成的就是,希望能有效管理部門C,部門C的每一台電腦(有PC也有MAC),都是幾個人共用的,我們一直有使用port security,所以實體port已經綁住MAC,但是總有人手賤,一直改IP在用p2p或下載有的沒的,目前不是很確定防火牆可以做到怎樣的程度,所以最少希望能用MAC綁住IP,這樣起碼可以抓到元兇。希望大家多多提供意見,謝謝。 此篇文章於 2010-08-29 05:25 PM 被 astronomy 編輯。. |
回覆 |
會員 | 回覆: 防火牆的設計 1. Catalyst 2950以上應該都有DHCP snooping 可以綁定IP與MAC http://www.cisco.com/en/US/docs/swit.../swdhcp82.html 2.防火牆中設定規則則只讓VLAN10穿透VPN即可 引用:
| |
回覆 |
低等會員 | 回覆: 防火牆的設計 你不能只鎖MAC 要將PORT/MAC/IP三個綁在一起 這個要在switch上面可以做,FW沒有這個功能 上面的功能做起來了 要控管行為 都會變得很簡單 只要FW policy設定即可 也不必VPN或VLAN TAG了 我覺得這是最簡單的方式 |
回覆 |
XML | RSS 2.0 | RSS |
本論壇所有文章僅代表留言者個人意見,並不代表本站之立場,討論區以「即時留言」方式運作,故無法完全監察所有即時留言,若您發現文章可能有異議,請 email :[email protected] 處理。