我们可以在子网中设置文件墙规则来控制吗?
如图所示,我们可以使用防火墙来控制 PC0 只访问 PC1 上的某个端口吗?如果我们将网关设置为路由器,它总是会先去路由器吗?据我了解,这 2 台 PC ( PC0 + PC1 )只能通过交换机看到对方,因此它们的流量不会通过防火墙 这是正确的吗?
如果我们在同一个接口上使用 2 个子网,这对防火墙规则有影响吗?同一端口在路由器中,我们将同一接口 172.17.2.1 和 172.17.2.1 上的两个 ip 设置为两个网络的网关,并且只有一根电缆从路由器端连接到防火墙。这可以吗,还是我们需要为每个子网单独端口?
仅当子网 A 与子网 B 通信时才会涉及防火墙。
可以在一个接口上设置多个子网,但您的第 3 层必须在 Fortigates 上。(作为辅助 IP 地址)
简而言之,如果通信是从 PC 1 到 PC 2,并且它们在同一个子网上,则不会涉及防火墙。
您可以使用软件防火墙来做到这一点,例如 Windows 防火墙、Linux IPtables/firewalld/等。在主机本身。不幸的是,这是本网站讨论的禁区。
除此之外,您还有一些选择。你可以:
使用“私有 VLAN”来隔离这两个主机的流量,但是对于这个任务来说这样做是不必要的复杂。您可以在这两个主机都连接到的交换机上执行此操作。
使用 VACL(VLAN ACL)在 VLAN(第 2 层)级别进行过滤,而不是 RACL(路由器 ACL),这是您在防火墙上习惯的方式,并且大多数时间在路由器和交换机上以第 3 层。您可以在这两个主机都连接到的交换机上执行此操作。
我们可以在子网中设置文件墙规则来控制吗?
通常,防火墙只能控制在其上运行的流量。通常,子网内的流量只通过交换机,因此任何流量控制都需要在那里进行(使用 ACL)。
如果我们在同一个接口上使用 2 个子网,这对防火墙规则有影响吗?
有些。不同的 IP 子网需要在其间使用网关,即使它们在同一个 L2 网段中。该网关可用于控制流量。
但是,由于不同子网中的节点可以轻松绕过网关(只需使用辅助 IP 地址加入另一个子网),因此您没有“真正的”控制权。强烈建议使用 VLAN 将 L3 子网分成不同的 L2 段。