我的老板不愿意雇佣网络人员,所以我会尽我最大的努力完成这项工作并提供帮助。我对 SonicWall 操作系统非常了解,足以应付麻烦,但我绝不是专家。这是我的问题:
我们有一个简单的网络,受 SonicWall NSA 240 保护。几年来,它一直运行良好。它是 T1,我们有一个可用的 IP。最近,我们需要为我们的商家帐户信用卡系统通过 PCI 合规性测试。除了一项之外,其他一切都通过了……一个视频安全系统 DVR,可以通过我们的 IP 端口 8080(传入)和 5900(传出)从外界访问(这是 DVR 中的硬编码,无法更改 - 我已经与制造商验证过)。因为它是可访问的,并且可以响应请求,所以我们的 PCI 测试失败。
我可以得到另一个 IP 地址(虽然他们让我费尽周折才得到它),但我不确定这是否有帮助。我已经在我们的地方使用 SonicWall 上的 dmz 作为店内公共 wifi,但似乎无法设置 2 个 dmz。
有什么方法可以路由它,以便安全系统 dvr 无法访问并完全隔离在另一个外部 ip 地址上?它是否可以访问 LAN 并不重要。我只需要它完全位于自己的外部 ip 地址上。显然,最简单的方法就是获得另一个互联网连接(电缆或 dsl),但我们正在尝试避免每月多花 50 美元,因为我们已经有一个带宽充足的 t1。
答案1
当您说您可以获得另一个 IP 地址时,该 IP 地址是通过 T1 线路路由的,还是您指的是进入机箱的新物理线路?如果您可以通过现有的 T1 线路路由第二个 IP 地址,那么是的,您可以轻松地将新 IP 地址上的所有请求通过 NAT 发送到 DVR 端口 8080,然后外部的任何人都必须得到通知才能在新 IP 地址上访问它。如果是一条新的物理线路,只要您有可用的接口,您仍然可以这样做。只需将其插入,将其设置为 WAN 区域,使用新 IP 地址对其进行配置,然后设置您的 NAT 规则。
如果它类似于 nsa 3500(我使用的就是这个,我认为应该是因为它们都使用 Sonicwall OS Enhanced),那么是的,您应该能够创建多个 DMZ,但如果您不要求您的 DVR 脱离 LAN,那么可能就没有必要了。