back-to-back防火墙和三层交换设置提醒一例

有朋友打电话问了一些和背靠背防火墙场景中的一些问题,分享出来,供大家参考!

1、背靠背中的网络关系,此时DMZ区存在于两者之间!

A、此时,第一个防火墙的内部接口所连的网络均可以作为内部网络(第二个防火墙后的内部网络以及DMZ)。

B、此时,第二个防火墙会把此外网网卡所连接的网络看作为外部网络(第一个防火墙和DMZ)

你可以把A为NAT。B为路由。此时DMZ为私有IP

你可以把B为路由。A为NAT。此时DMZ为公有IP

2、现在有如此场影。外部---路由---防火墙-DMZ---防火墙---三层交换(VLAN)

看到后,就一种感觉,这基本上全世界最安全的网络架构啦。

现在时这样的,三层交换所连的网络为VLAN区域,共计六个。

此时与三层交换相连的ISA(防火墙)作为NAT代理(或是WEB代理,为域场景)

现在六个VLAN都以ISA防火墙的NAT代理服务器与外部网络通讯。且ISA在其中一个VLAN内。

要在其接口上设置默认路由为到所有的网络经由ISA的内网网卡IP地址。

但此时,要注意的在ISA上也要有个回指路由(这也是最关键的一点):就是在ISA本地主机上新建路由(route add)到各个VLAN网络的路由均走三层交换ISA所在的VLAN的IP地址。

本文转自 rickyfang 51CTO博客,原文链接:http://blog.51cto.com/rickyfang/125799,如需转载请自行联系原作者

上一篇:无法连接远程桌面--必须为远程桌面启用Windows防火墙例外
下一篇:防火墙(ASA)高级配置之URL过滤、日志管理、透明模式