MIS之IT基礎建設(3)-Firewall基本設定(Fortigate 60B)

L3 Switch 規劃完畢後內部網路都可以正常運作,在來就是要設定Firewall ,這次使用的是Fortigate 60B有兩個WAN 端口,所以會接上兩條線路。

預計要讓內部用戶可以連線Internet,IT 人員可以遠端RDP 連線至Hyper-v 主機

預設 fortigate 60b 內部管理IP為192.168.1.99

FW LAN IP 設定 :

將PC設定與FW同網段(192.168.1.x)後,利用瀏覽器連線http://192.168.1.99 預設帳號密碼amin/空白

點選 網路 > 介面 > 編輯 Intrenal 後將IP改為192.168.0.253,然後重新連線新的IP就可以了。

clip_image002

設定 WAN 端IP

設定方式也是在網路>介面 > 編輯 WAN1 & WAN2 將ISP 提供的資訊設定上去即可。

clip_image004

設定路由:

設定6筆靜態路由

其中兩筆是 ISP 線路路由,另外四筆是要讓FW知道要到內部網段要將封包丟到L3 Switch (192.168.0.254)

ISP 路由設定 > 靜態路由 > 新增

clip_image006

內部路由新增

clip_image008

設定完畢

clip_image010

設定兩條內部 TO Internet Policy

主要是讓內部可以連線網際網路

在規則 > 防火牆策略 新增 內到 > wan1 (wan2)

clip_image012

clip_image014

設定Port Forward RDP 服務:

主要是讓IT可以由遠端連線到內部Hyper-v 主機,在FG60B 就是需要設定虛擬IP對應

在防火牆規則 > 虛擬IP 來設定

輸入名稱及介面(此示範事由WAN2 連線近來) 名稱: HV01-RDP

服務網路位址 : 輸入外部連線IP
對映網路位址 : Hyper-v 主機內部IP
勾選 [埠號轉換]
並輸入 port 號 : 3389

clip_image016

設定policy
來源介面=> WAN2
目的介面=>Internal
目的位址=> 前面設定的虛擬IP對映名稱HV01-RDP
服務 : RDP

clip_image017

所以目前的架構圖會是

1

以上利用兩篇的分享,簡單設定讓內部不同網段之間可以透過L3來互通,最後讓內部用戶能過透過Firewall 連上Internet

接下來就會是一些服務建置的介紹囉。

本文同步發表於IT幫鐵人賽 : http://ithelp.ithome.com.tw/ironman7/app/#/article/all/recent/10156938



本篇瀏覽人數: 24626
分類: 2014-IT邦幫忙鐵人賽(第七屆)。這篇內容的永久連結

在〈MIS之IT基礎建設(3)-Firewall基本設定(Fortigate 60B)〉中有 2 則留言

  1. joe表示:

    1.請問設定防火牆的順序是先設定路由在設定規則嗎?
    2.請問一下,我對路由設定的觀念不太熟悉,為甚麼要新增4條內部的路由,而gw是設定192.168.0.254呢?
    3.請問edge switch跟一般的switch有甚麼不同嗎?

    • 榮哥表示:

      您好
      1.設定順序沒有規定喔
      2.因為在cisco L3 switch 上我規畫了幾個VLAN,所以內部網段只要啟動ip rounting功能後內部vlan 就可以互相交換資料,然後其中一個vlan 我規畫的和firewall對接
      也就是firewll internal介面,所以當內部要上internet 經過firewall後,要回來的封包到了防火牆時只會認識和L3-switch界街的網段而不認識其他網段,所以此時就要把其他網段的路徑加入靜態路由設定(及該vlan gw 192.168.0.254)
      3.我個人認為這只是個通稱,edge switch最終接在用戶端所以這樣稱呼,例如
      有公司的規劃 有一台switch 他的下一層接了另外幾台switch 然然這台上層就稱core switch,大致上是這樣。

      以上提供參考

發表迴響

你的電子郵件位址並不會被公開。 必要欄位標記為 *