我正在考虑购买 Fortigate 50b(或 Fortigate 60b)防火墙,将我的 Web(iis)计算机与 DB 计算机分开。(请参阅http://www.fortinet.com/doc/FGT50_100DS.pdf)
到目前为止,两台服务器使用第二张网卡通过交叉电缆直接连接。
50b 型号没有 DMZ 端口。
这是什么意思?防火墙 DMZ 端口与接口端口之间有什么区别?是否无法在接口端口上创建规则(阻止/允许基于端口的流量)?
附言:我知道一般来说我应该将任何连接到 wan(互联网)的服务器放在 DMZ 端口上,但是在我们当前的防火墙(Fortigate 200a)上,任何接口端口都可以用作 dmz 端口。
谢谢。
答案1
DMZ 只是一个网络设计术语,表示网络被防火墙保护,无法将流量发送到受保护的网络。端口或网络并没有什么特别之处。尽管从防火墙软件的角度来看,标记为 DMZ 的端口可能应用了不同的默认防火墙规则。
我不知道 50b 的情况,但使用 60b,您可以取消桥接所有内部端口并在每个端口上运行不同的网络。防火墙规则和 FortiGate 的所有其他功能在这些网络之间运行良好。几年前,我使用这种方法使用 FortiGate 60b 建立了多个 DMZ。所以我看不出有什么理由说这种方法行不通。
答案2
完全正确,我这里有一个 50B 并且有 dmz。只需使用任何接口端口并从命令行使用防火墙规则对其进行配置。在具有一个接口的老式防火墙中使用类似别名的概念。只需定义你想要有趣的流量去哪里或不去哪里,你就完成了。
对于 dmz,不允许它进入您的内部网络并允许它进入您的 wan 接口。否则您可以通过仅选择 http、https 和 dns 来限制。