我正在从事一个网络项目,我必须设计我们的网络以提供两个不同的出口点。这些出口点通过公司网络的路径来区分。其中一个出口点通过一些监控硬件,另一个则不通过。我们使用 Watchguard Firebox 作为网关。目前,网络端提供不受监控的出口点。我想知道,如果我将选项端口连接到我们的局域网,并强制流量通过受监控的路径,这会导致任何问题吗?对不受监控的网关端口的访问将受到 IP 的限制。这将迫使所有未经授权的其他人指向受监控的网关端口。
我认为,有了上述设计,我可能就不需要购买另一个火箱来实现我想要的设计了。
感谢:D
答案1
这应该是可以实现的(虽然我从未尝试过)。我不清楚你使用“网络端”一词的原因。防火墙上的所有端口都是“网络端”,旨在连接到不同的“网络”,例如受信任网络、可选网络、外部网络等。
为可选端口分配一个有效的 IP 地址,并将 DG 网关设置为应通过可选接口出去的客户端上的可选接口的 IP 地址。
可选接口通常用作 DMZ 网络,但并不局限于此用途。
编辑:
我的错。我的回答不够详细。您可以这样做,但这需要将可选接口和应使用可选接口作为其 DG 的客户端放在与受信任接口不同的子网上。
答案2
我想知道如果我将选项端口连接到我们的局域网并强制流量通过监控路径,是否会引起任何问题?
您无法为可选端口分配 LAN 上的 IP 地址,它需要位于单独的子网中。我认为解决这个问题的唯一方法是使它们成为具有主 IP 和辅助 IP 的桥接接口,尽管这意味着两个物理连接都在监听两个地址,并且意味着您无法在两个端口之间设置防火墙,并且可能取决于 Firebox 所运行的软件版本。
我不太明白您所说的强制通过不同的出口是什么意思 - 听起来您想要两个独立的网络,但又不必创建两个独立的网络,这听起来像是一个有点不切实际的解决方案。有两个独立的网络,您可以通过 DHCP 分配不同的网关。