防火墻型號 hillstone M3108
本公司之前的生產(chǎn)網(wǎng)絡(luò)都是單獨的局域網(wǎng)��,現(xiàn)在需要從辦公網(wǎng)絡(luò)中能遠程連接生產(chǎn)網(wǎng)中的一臺操作站�����,以對生產(chǎn)過程進行監(jiān)控��。經(jīng)過內(nèi)部討論和跟廠家的交流����,為了節(jié)約成本�����,我們采用防火墻連接兩個網(wǎng)絡(luò),用遠程桌面的方式實現(xiàn)(被遠程連接的操作站設(shè)置為無法修改)����。 線面將配置整理為筆記��,供大家分享�。
總的來說,需要三步�,
第一步是對防火墻本身進行配置,端口地址����、策略、默認路由等
第二步是對操作站進行配置��,設(shè)置好網(wǎng)關(guān)��。網(wǎng)關(guān)地址即為防火墻上與生產(chǎn)網(wǎng)連接的端口地址���。因為我們生產(chǎn)網(wǎng)中每臺操作站都沒有設(shè)置網(wǎng)關(guān)�,用兩塊網(wǎng)卡兩根網(wǎng)線的冗余方式���。
第三步是在核心交換機上配置一條路由��,讓辦公網(wǎng)能訪問到生產(chǎn)網(wǎng)����。我們?yōu)榱税踩辉试S訪問某一臺操作站���。
下面是詳細配置情況
一.防火墻配置
如上圖所示�,由于只允許辦公網(wǎng)部分電腦單向訪問某臺操作站(工控機)����,因此只設(shè)置一條策略就可以了。注意“部分”“單向”“某臺”等關(guān)鍵字�����。
兩個安全域?qū)?yīng)防火墻上兩個端口����,office對應(yīng)辦公網(wǎng),mcs對應(yīng)生產(chǎn)網(wǎng)
兩個地址簿��,源地址中的地址簿里加的是允許遠程連接操作站的IP��,目的地址中的地址簿加的是“某臺”操作站(工控機)的IP
一個服務(wù)薄�,里面只有兩個服務(wù)(端口)����,一個RDP(3389端口)�����,是遠程連接命令MSTSC要用的�����,一個PING����,是為了維護方便�。也就是說只允許這兩個服務(wù),其他的一概禁止��。也是為了安全���。其實也不是很安全�,MSTSC權(quán)限很大�����,可以完全操控對方電腦,所以操作站的系統(tǒng)還要修改權(quán)限�����,只能看不能改����,這樣遠程桌面連上也不怕了。
安全域���、地址簿和服務(wù)薄的名字是自定義的��,方便管理���。
二.操作站配置網(wǎng)關(guān)
將要訪問的操作站的網(wǎng)關(guān)設(shè)置為mcs全區(qū)域?qū)?yīng)端口的地址。我們生產(chǎn)網(wǎng)中操作站是不設(shè)置網(wǎng)關(guān)的�,因為是雙網(wǎng)卡雙線冗余。
三.核心交換機配置路由
在核心交換機(我們用cisco6509)上加如下路由
iproute 操作站IP 255.255.255.255 防火墻offic域?qū)?yīng)端口地址
當(dāng)辦公電腦訪問操作站時�,給它指明訪問路由,如果要找操作站IP��,先找防火墻offic域?qū)?yīng)端口地址���。
特殊情況:
集團與子公司間是專線連接����,起路由,子公司的路由器和核心之間也是起路由����,子公司辦公網(wǎng)絡(luò)與其生產(chǎn)網(wǎng)連接通過防火墻連接,集團的電腦要想訪問過來�,比本埠的連接要多做幾處路由,從集團核心開始����, 配合tracert命令����,一層一層做下去,直到能找到要訪問的
操作站地址�,就OK了。
文章標(biāo)題:用防火墻連接兩個局域網(wǎng)
網(wǎng)站URL:
http://weahome.cn/article/jdhjjd.html
重慶分公司
重慶分公司
