防火墙型号 hillstone M3108
本公司之前的生产网络都是单独的局域网,现在需要从办公网络中能远程连接生产网中的一台操作站,以对生产过程进行监控。经过内部讨论和跟厂家的交流,为了节约成本,我们采用防火墙连接两个网络,用远程桌面的方式实现(被远程连接的操作站设置为无法修改)。 线面将配置整理为笔记,供大家分享。
总的来说,需要三步,
第一步是对防火墙本身进行配置,端口地址、策略、默认路由等
第二步是对操作站进行配置,设置好网关。网关地址即为防火墙上与生产网连接的端口地址。因为我们生产网中每台操作站都没有设置网关,用两块网卡两根网线的冗余方式。
第三步是在核心交换机上配置一条路由,让办公网能访问到生产网。我们为了安全,只允许访问某一台操作站。
下面是详细配置情况
一.防火墙配置
如上图所示,由于只允许办公网部分电脑单向访问某台操作站(工控机),因此只设置一条策略就可以了。注意“部分”“单向”“某台”等关键字。
两个安全域对应防火墙上两个端口,office对应办公网,mcs对应生产网
两个地址簿,源地址中的地址簿里加的是允许远程连接操作站的IP,目的地址中的地址簿加的是“某台”操作站(工控机)的IP
一个服务薄,里面只有两个服务(端口),一个RDP(3389端口),是远程连接命令MSTSC要用的,一个PING,是为了维护方便。也就是说只允许这两个服务,其他的一概禁止。也是为了安全。其实也不是很安全,MSTSC权限很大,可以完全操控对方电脑,所以操作站的系统还要修改权限,只能看不能改,这样远程桌面连上也不怕了。
安全域、地址簿和服务薄的名字是自定义的,方便管理。
二.操作站配置网关
将要访问的操作站的网关设置为mcs全区域对应端口的地址。我们生产网中操作站是不设置网关的,因为是双网卡双线冗余。
三.核心交换机配置路由
在核心交换机(我们用cisco6509)上加如下路由
iproute 操作站IP 255.255.255.255 防火墙offic域对应端口地址
当办公电脑访问操作站时,给它指明访问路由,如果要找操作站IP,先找防火墙offic域对应端口地址。
特殊情况:
集团与子公司间是专线连接,起路由,子公司的路由器和核心之间也是起路由,子公司办公网络与其生产网连接通过防火墙连接,集团的电脑要想访问过来,比本埠的连接要多做几处路由,从集团核心开始, 配合tracert命令,一层一层做下去,直到能找到要访问的
操作站地址,就OK了。