有朋友打电话问了一些和背靠背防火墙场景中的一些问题,分享出来,供大家参考!
1、背靠背中的网络关系,此时DMZ区存在于两者之间!
A、此时,第一个防火墙的内部接口所连的网络均可以作为内部网络(第二个防火墙后的内部网络以及DMZ)。
B、此时,第二个防火墙会把此外网网卡所连接的网络看作为外部网络(第一个防火墙和DMZ)
你可以把A为NAT。B为路由。此时DMZ为私有IP
你可以把B为路由。A为NAT。此时DMZ为公有IP
2、现在有如此场影。外部---路由---防火墙-DMZ---防火墙---三层交换(VLAN)
看到后,就一种感觉,这基本上全世界最安全的网络架构啦。
现在时这样的,三层交换所连的网络为VLAN区域,共计六个。
此时与三层交换相连的ISA(防火墙)作为NAT代理(或是WEB代理,为域场景)
现在六个VLAN都以ISA防火墙的NAT代理服务器与外部网络通讯。且ISA在其中一个VLAN内。
要在其接口上设置默认路由为到所有的网络经由ISA的内网网卡IP地址。
1、背靠背中的网络关系,此时DMZ区存在于两者之间!
A、此时,第一个防火墙的内部接口所连的网络均可以作为内部网络(第二个防火墙后的内部网络以及DMZ)。
B、此时,第二个防火墙会把此外网网卡所连接的网络看作为外部网络(第一个防火墙和DMZ)
你可以把A为NAT。B为路由。此时DMZ为私有IP
你可以把B为路由。A为NAT。此时DMZ为公有IP
2、现在有如此场影。外部---路由---防火墙-DMZ---防火墙---三层交换(VLAN)
看到后,就一种感觉,这基本上全世界最安全的网络架构啦。
现在时这样的,三层交换所连的网络为VLAN区域,共计六个。
此时与三层交换相连的ISA(防火墙)作为NAT代理(或是WEB代理,为域场景)
现在六个VLAN都以ISA防火墙的NAT代理服务器与外部网络通讯。且ISA在其中一个VLAN内。
要在其接口上设置默认路由为到所有的网络经由ISA的内网网卡IP地址。
但此时,要注意的在ISA上也要有个回指路由(这也是最关键的一点):就是在ISA本地主机上新建路由(route add)到各个VLAN网络的路由均走三层交换ISA所在的VLAN的IP地址。
本文转自 rickyfang 51CTO博客,原文链接:http://blog.51cto.com/rickyfang/125799,如需转载请自行联系原作者
