用防火墻連接兩個局域網

發布時間：2020-06-29 14:35:17 來源：網絡閱讀：2032 作者：影分身欄目：安全技術

防火墻型號 hillstone M3108

本公司之前的生產網絡都是單獨的局域網，現在需要從辦公網絡中能遠程連接生產網中的一臺操作站，以對生產過程進行監控。經過內部討論和跟廠家的交流，為了節約成本，我們采用防火墻連接兩個網絡，用遠程桌面的方式實現（被遠程連接的操作站設置為無法修改）。線面將配置整理為筆記，供大家分享。

總的來說，需要三步，

第一步是對防火墻本身進行配置，端口地址、策略、默認路由等

第二步是對操作站進行配置，設置好網關。網關地址即為防火墻上與生產網連接的端口地址。因為我們生產網中每臺操作站都沒有設置網關，用兩塊網卡兩根網線的冗余方式。

第三步是在核心交換機上配置一條路由，讓辦公網能訪問到生產網。我們為了安全，只允許訪問某一臺操作站。

下面是詳細配置情況

一.防火墻配置

如上圖所示，由于只允許辦公網部分電腦單向訪問某臺操作站（工控機），因此只設置一條策略就可以了。注意“部分”“單向”“某臺”等關鍵字。

兩個安全域對應防火墻上兩個端口，office對應辦公網，mcs對應生產網

兩個地址簿，源地址中的地址簿里加的是允許遠程連接操作站的IP，目的地址中的地址簿加的是“某臺”操作站（工控機）的IP

一個服務薄，里面只有兩個服務（端口），一個RDP（3389端口），是遠程連接命令MSTSC要用的，一個PING，是為了維護方便。也就是說只允許這兩個服務，其他的一概禁止。也是為了安全。其實也不是很安全，MSTSC權限很大，可以完全操控對方電腦，所以操作站的系統還要修改權限，只能看不能改，這樣遠程桌面連上也不怕了。

安全域、地址簿和服務薄的名字是自定義的，方便管理。

二.操作站配置網關

將要訪問的操作站的網關設置為mcs全區域對應端口的地址。我們生產網中操作站是不設置網關的，因為是雙網卡雙線冗余。

三.核心交換機配置路由

在核心交換機（我們用cisco6509）上加如下路由

iproute 操作站IP 255.255.255.255 防火墻offic域對應端口地址

當辦公電腦訪問操作站時，給它指明訪問路由，如果要找操作站IP，先找防火墻offic域對應端口地址。

特殊情況：

集團與子公司間是專線連接，起路由，子公司的路由器和核心之間也是起路由，子公司辦公網絡與其生產網連接通過防火墻連接，集團的電腦要想訪問過來，比本埠的連接要多做幾處路由，從集團核心開始，配合tracert命令，一層一層做下去，直到能找到要訪問的

操作站地址，就OK了。

向AI問一下細節

中文字幕av专区_日韩电影在线播放_精品国产精品久久一区免费式_av在线免费观看网站

用防火墻連接兩個局域網

猜你喜歡

中文字幕av专区_日韩电影在线播放_精品国产精品久久一区免费式_av在线免费观看网站

用防火墻連接兩個局域網

猜你喜歡

最新資訊

相關推薦

相關標簽