從事網路維運工作已超過15個年頭,曾在公司內部擔任資料中心網路管理員,並偕同Intranet網域網路共數十顆路由器的維運工作,目睹完整的CORE-EDGE-ACCESS三層式佈局,並兼任資訊安全與防火牆管理人員,經歷過CodeRed與Nimda與對於公司內部伺服器的蹂躪以及網路的嚴重癱瘓,深切體認到資訊安全軟體是資訊基礎建設的基石樑柱。
維運期間共在三個不同的應用中採用了fortigate的產品,都屬於小型的應用,包含VPN Server、Office簡易防火牆,這次要分享的屬於較為少見的雙WAN路由應用。公司擁有大批從客戶端拿回來的骨董級Fortigate 60B防火牆,便拿了兩顆來使用,使之不會變成骨灰。
▲ 一般SOHO級的fireware,幾乎都是使用NAT或者transparent模式,針對來源PORT與IP做簡易的阻隔。Fortigate 60B擁有兩個WAN Port,除了連接兩個異質性網路外,Dual WAN也可拿來作為網路負載平衡使用。
▲ Fortigate 60B擁有兩個WAN Port,這次的系統必須同時存取兩個異質性網路,一端則提供同仁在辦公室內登入伺服器,一遍透過另一端對內部機台控制。其實更標準的作法是把伺服器放置在DMZ介面中,DB及工作站放置在INT介面內。但由於是輕度使用的系統,便使用docker技術將WEB與DB同時安裝在一台實體伺服器內,只好於DMZ與INT中擇一置放。
▲ 機體還有Intrustion Protection、Web Filter、AntiSpam等功能,由於訂閱已經過期,本應用也沒有VPN的需求,所以就讓Fortigate 60B的CPU專心擔任防火牆與路由的工作。
▲ 針對每一個IP設定易讀易懂的名稱,類似功能的IP更設定成一個群組或者範圍。
▲ 零零總總為Fortigate 60B設定詳細的防火牆,並針對每一個IP設定易讀易懂的名稱。
▲ 每個real ip都應對一個WAN1的外部IP與一個WAN2的外部IP。兩部相同功能的伺服器各占用Fortigate 60B在INT的一個介面。封包經由fortigate 60B的路由功能轉送到指定網路上。
結語:
小系統而以採精簡備置,障礙回復時間要求不高,容錯使用備料容錯,不採用高可用度設計可簡化維護流程與人力成本。
沒有留言:
張貼留言