從事網路維運工作已超過15個年頭,曾在公司內部擔任資料中心網路管理員,並偕同Intranet網域網路共數十顆路由器的維運工作,目睹完整的CORE-EDGE-ACCESS三層式佈局,並兼任資訊安全與防火牆管理人員,經歷過CodeRed與Nimda與對於公司內部伺服器的蹂躪以及網路的嚴重癱瘓,深切體認到資訊安全軟體是資訊基礎建設的基石樑柱。
維運期間共在三個不同的應用中採用了fortigate的產品,都屬於小型的應用,包含VPN Server、Office簡易防火牆,這次要分享的屬於較為少見的雙WAN路由應用。公司擁有大批從客戶端拿回來的骨董級Fortigate 60B防火牆,便拿了兩顆來使用,使之不會變成骨灰。
▲ 一般SOHO級的fireware,幾乎都是使用NAT或者transparent模式,針對來源PORT與IP做簡易的阻隔。Fortigate 60B擁有兩個WAN Port,除了連接兩個異質性網路外,Dual WAN也可拿來作為網路負載平衡使用。
▲ Fortigate 60B擁有兩個WAN Port,這次的系統必須同時存取兩個異質性網路,一端則提供同仁在辦公室內登入伺服器,一遍透過另一端對內部機台控制。其實更標準的作法是把伺服器放置在DMZ介面中,DB及工作站放置在INT介面內。但由於是輕度使用的系統,便使用docker技術將WEB與DB同時安裝在一台實體伺服器內,只好於DMZ與INT中擇一置放。
▲ 機體還有Intrustion Protection、Web Filter、AntiSpam等功能,由於訂閱已經過期,本應用也沒有VPN的需求,所以就讓Fortigate 60B的CPU專心擔任防火牆與路由的工作。
沒有留言:
張貼留言