防火墙防护区部署漫索系统方案及实现
目前急需在公网上直接访问漫索服务,考虑到网络及信息安全因素,特在现有防火墙上新增加防护区域。防护区域、内网区域、公网区域设备具有以下访问控制特点:
一、防护区域内的设备可以直接被内网区域设备进行访问,提供业务服务。反之防护区的设备无法访问内网区域设备及服务。
二、公司公网接口IP与防护区域内的设备通过端口映射的方式进行互联。未做映射的IP及端口不对外开放。通过策略的部署可实现防护区域内设备可控的、有限的对公网提供服务。
根据漫索系统的业务需求,将漫索系统部署于防护区域内,见下图:
现有资源:公网地址:联通网络接口32.4
公网地址的端口号:8630
内网地址:863漫索服务器(172.18.5.5)
内网地址端口号:8080
防火墙eth16接口:防火墙内网接口
设置过程:
1、在防火墙资源管理中增加防护区域,设置权限为“允许”。
2、在防火墙资源管理中对防火区域、漫索服务器、各个相关接口进行IP、服务(端口)等进行声明。
3、在网络管理-增加静态路由
目的地址:172.18.5.0
目的掩码:255.255.255.0
网关:172.18.1.249
接口:eth14
4、增加双向转换
源地址:any
目的地址:联通网络接口32.4
服务:8630
源地址转换为:eth14(防火墙防护区接口)
目的地址转换为:172.18.5.5
目的端口转换为:8080
完成 32.4:8630 与 172.18.5.5:8080 的双向转换
5、在–防火墙–访问控制 中添加2条策略
即 a、禁止防护区域访问内网区域。
b、允许任何地址访问 172.18.5.5 服务器8080端口。
设置完毕。至此可实现:
通过公网地址X.X.32.4:8630 与 172.18.5.5:8080的端口映射
172.18.5.5 :8080 可被公网用户访问。
172.18.5.5 可被内网用户进行访问。
172.18.5.5 无法访问内网及公网。
———————————————————————————
扩展补充:
1、私网区域如要上公网,仅需要设置源地址转换即可。
防护区域内未做源地址转换,故无法访问公网,虽然公网的区域是“允许”。可以针对整个防护区域或者防护区域内的某个ip进行源转换控制,达到控制访问公网的目的。
2、防护区域默认是无法访问内网区域的(内网区域的权限是“禁止”)。如需要设置防护区内的某台设备访问内网的某台/某几台设备,可以设置允许防护区域内的某台设备访问内网指定设备的访问控制。但注意,此条控制策略一定要在“禁止防护区域设备访问内网区域”的访问控制策略之前。