公司 firewall 問題

公司而家用緊部PC + Microsft ISA 當firewall,係上一手set左好耐,
而家諗住換部Hardware firewall, 睇中左FortiGate-100A,
公司 50部PC + 1 mail server + 1 FTP server,應該夠用,
不過我check左而家公司個setting 係, 有4個fix ip set 晒入部舊PC
張network card,再 forward 去唔同server,我見隻100A 得兩個WAN port,
佢可唔可以一個WAN port set 多過一個 fix IP? 如果唔可以應該點set?

[ 本帖最後由 choy9353 於 2009-3-23 17:57 編輯 ]

你有幾多個wan ip先?

有4個fix ip set 晒入部舊PC
張network card,再 forward 去唔同server  <----唔該詳細d講

fortinet可以set VIP,幾多都得

TOP

原帖由 erhugod 於 2009-3-23 18:11 發表
你有幾多個wan ip先?

有4個fix ip set 晒入部舊PC
張network card,再 forward 去唔同server   


Fix IP PCCW 比左8個我地,不過我地用3個only
1個 fix ip gatwway上網
1個 fix ip FTP server
1個 fix ip email server

而家舊個部PC 張network card set 左 4 個FIX IP 入去,即
係我用呢4個IP 入都係去左呢部機, ISA 入面再set rule 唔同
Port/IP forward 去 唔同 internal IP

如果我完全唔想再用部舊PC, 一換一換隻hardeware 既firewall
咁我都要set返 3個 fix IP 入部 hardware firewall,佢得兩個WAN,
可以點set?

[ 本帖最後由 choy9353 於 2009-3-23 18:17 編輯 ]

TOP

可唔可以pccw 出來之後用switch 分開gateway, ftp server 同埋email server, 咁就可以有各自o既real ip
再係ftp 同埋email server 度加多張lan card link 返去gateway做intarnet..

TOP

原帖由 choy9353 於 2009-3-23 17:56 發表
公司而家用緊部PC + Microsft ISA 當firewall,係上一手set左好耐,
而家諗住換部Hardware firewall, 睇中左FortiGate-100A,
公司 50部PC + 1 mail server + 1 FTP server,應該夠用,
不過我check左而家公司個setting ...


pccw 有8粒 ip 可以自已set config 應該係ao plan,你係隻華為 router (可能其他) lan port 駁條線去 firewall wan1 ,再係隻firewall 做mip 就得

想internal邊部機要邊粒public ip就map 落果部機到

TOP

原帖由 Inti 於 2009-3-23 18:21 發表
可唔可以pccw 出來之後用switch 分開gateway, ftp server 同埋email server, 咁就可以有各自o既real ip
再係ftp 同埋email server 度加多張lan card link 返去gateway做intarnet..


............................................................... 無言,咁樓主要隻firewall 黎做咩

將d web/ftp/mail 放晒去 dmz ,其他機放係trust ,靜係放port 53/80 就算已經好安全

TOP

原帖由 faat 於 2009-3-23 20:00 發表


............................................................... 無言,咁樓主要隻firewall 黎做咩

只firewall 係比公司內部用...server 要public ip, 至於另一張lan 卡, 係for 內部用, 唔係for gateway.
公司其他機都係要經firewall 出街...

TOP

我想keep住而家個setting, 即係mail server, FTP server 同其他PC 上網都要經隻firewall先

想問問faat "係隻firewall 做mip 就得"
係唔係即係可以係個WAN1到食晒4粒true IP
跟住map落internal D IP到
即係:
203.x.x.1--->10.10.0.1
203.x.x.2--->10.10.0.2

如果係咁,即係同而家firewall一樣,咁就ok la

[ 本帖最後由 choy9353 於 2009-3-24 00:49 編輯 ]

TOP

原帖由 choy9353 於 2009-3-24 12:48 AM 發表
我想keep住而家個setting, 即係mail server, FTP server 同其他PC 上網都要經隻firewall先

想問問faat "係隻firewall 做mip 就得"
係唔係即係可以係個WAN1到食晒4粒true IP
跟住map落internal D IP到 ...


MIP 即係 1-to-1 NAT
即係 external ip map 去 internal ip, 1 對 1 mapping
要邊隻 ip 就做一個 mapping
set 咗 mapping 再 set policies/rules 放 ports
一般都係咁做

TOP

原帖由 madcow 於 2009-3-24 01:09 發表


MIP 即係 1-to-1 NAT
即係 external ip map 去 internal ip, 1 對 1 mapping
要邊隻 ip 就做一個 mapping
set 咗 mapping 再 set policies/rules 放 ports
一般都係咁做


ya,樓上師兄已解釋很詳細,如果1to 1NAT嫌太晒或唔安全,可以用VIP

fortinet support  1個physical wan port 幾個ip

TOP