将特定流量路由到另一个防火墙

网络工程 思科 路由 思科-ASA 虚拟专用网 交换
2022-02-17 21:49:14

我正在寻找一种方法来设置从我的内部 LAN 到另一个路由器的路由。

这是目前的情况:我有一个 ASA5512-X,所有服务器都连接,所有员工都连接到,因此他们可以访问内部网络。另一家公司的 LAN 上有一个 Checkpoint 设备。当您连接到此 LAN 时,您可以打开一个网站(托管在他们的大楼内),您可以在其中登录他们的 VPN。该网站(例如:192.168.168.100)只能通过他们的 CheckPoint 防火墙访问。我还没有访问防火墙的权限。不是我配置的。目前,当员工想要连接到他们的网络时,他需要更改 LAN 电缆并获取 NOT-SO-SECURE-LAN​​ (192.168.10.0/24) 的 IP,这不是一个好的解决方案。

两个防火墙都有自己的外部接口,静态 IP 连接到非托管交换机,因为我们的调制解调器只有一个接口。

我正在寻找可以从内部 LAN 访问网站 192.168.168.100 的路线。当包的地址为 192.168.168.100 并发送到 CheckPoint 防火墙时。但是绝不应该允许检查点防火墙访问我内部网络中的某些内容。它应该像一个非军事区。

是否可以将接口配置为“不太安全的 LAN”的一部分?

不那么安全的局域网:192.168.10.0/24。网关:192.168.10.1

ASA 上接口的 IP 地址:192.168.10.10

然后像这样的路线(在linux中它会是这样的):

ip route add 192.168.168.100 via 192.168.10.1 dev GigabitEthernet 0/X?

在此处输入图像描述

1个回答

是的,这是可能的。只需像配置客户端一样配置 ASA(使用静态地址,而不是 DHCP 地址,除非它被保留),配置路由和防火墙规则并连接它。

注意事项:

  1. 当您通过 ASA 添加到(至少)192.168.168.100/32 的路由时,您还需要在检查点(甚至可能更远)中添加回到您的网络的路由。双方不能有模棱两可的 IP 范围(经过路由)。
  2. 透明路由失败,需要使用源NAT,将网络中的真实IP地址隐藏在192.168.10.10后面
  3. 您允许的连接必须在 ASA 上明确允许。只允许来自您希望能够连接的客户端的连接,并且不允许重新连接。
其它你可能感兴趣的问题
上一篇通过 Internet 在多个站点之间进行安全通信 下一篇欺骗隧道路线