Chapter 7 設定範例

Chapter 7 設定範例 本章節列出一些常見的 PowerStation 設定範例 7-1 範例 1: 簡易防火牆 PowerStation 之設定需求如下及圖 7-1 所示 : 客戶是一家小型的零售業公司, 網路架構為 : 對外線路為一條 ADSL 線路和一個公司內部網路 LAN 該公司有提供對外 Web DNS 和 Mail 等相關對外服務 需求 : 1. Internet 使用者只能存取伺服器所提供之服務, 其餘服務均禁止 2. 公司內部網路的使用者對於 Internet 服務存取全部允許 Router Router: 210.243.241.222/27 eth0 : 210.243.241.193/27 eth1 : 192.168.1.9/24 Switch Web/Mail/DNS Private IP:192.168.1.3 Public IP:210.243.241.194 AD Server Private IP:192.168.1.7 Public IP:210.243.241.198 Remore Desktop Server Private IP:192.168.1.4 Public IP:210.243.241.195 圖 7-1 MS-SQL Server Private IP:192.168.1.5 Public IP:210.243.241.197

7-1-1 範例 1:PowerStation 組態設定 系統網路介面設定表 7-1 用途 系統網路介面 IP 位址 閘道器 WAN eth0 210.243.241.193/27 210.243.241.222 LAN eth1 192.168.1.9/24 Inbound 服務對應 表 7-2 WAN IP 服務 LAN IP 210.243.241.194 Web/Mail/DNS 192.168.1.3 210.243.241.195 Remote Desktop Server 192.168.1.4 210.243.241.197 MYSQL 192.168.1.5 210.243.241.198 LDAP Remote Desktop Server 192.168.1.7

7-1-2 範例 1:PowerStation 系統畫面 網路介面 圖 7-2 eth0 為該公司 ADSL 線路, 設定對外線路時需設定閘道器 (Gateway) eth1 為該公司內部網路 LAN, 設定時不需要設定閘道器 路由與閘道器 圖 7-3 在 [ 網路介面 ] 中設定完網卡後, 系統會自動產生所相對應的路由, 若無靜 態路由要增加時則不需要作任何修改設定, 直接使用系統自動產生的路由即 可

網路介面優先權 圖 7-4 [ 網路介面優先權 ] 對外線路 eth0 設定為 0, 公司內部網路 eth1 設定為 3 表示將預設的防火牆權限設定為 WAN 網路不允許連往公司內部網路 LAN, 公司內部網路 LAN 允許連往 WAN 的所有網路服務 Inbound 政策 圖 7-5

設定公司所提供的對外網路服務之對應, 該公司分別提供 DNS Web 與 Mail 等相關的網路服務, 在這要注意的是設定好 [Inbound 政策 ] 規則後 PowerStation 預設會在 [ 安全政策 ] 自動產生允許外部使用者對公司所提供的對外網路服務之存取規則

Outbound 政策 圖 7-6 在 [Outbound 政策 ] 是設定將公司內部網路對外網路服務的存取走 eth0-line, 並自動將公司內部網路來源位址轉換為 eth0 系統網卡 IP 位址

DMZ 7-2 範例 2: 一般防火牆設定 PowerStation 之設定需求如下及圖 7-7 所示 : 客戶是一家電子公司, 網路架構為 : 對外線路一條 ADSL 線路和一個公司內部網路 LAN 由於安全性的考量該公司將所提供的對外網路服務之伺服器主機均放置於 DMZ 區中與公司內部網路 LAN 作實體網路的區隔 需求 : 1. Internet 使用者只能存取伺服器所提供之服務, 其餘服務均禁止 2. 公司內部網路的使用者對於 Internet 服務存取全部允許 DNS/Web Private IP:172.16.0.25 Public IP:210.241.239.218 Router Router: 210.241.239.217/29 eth0 : 210.241.239.221/29 eth2 : 172.16.0.254/24 eth1 : 192.168.200.254/24 Switch Mail Server Private IP:172.16.0.21 Public IP:210.241.239.218 LAN 圖 7-7 Net:192.168.200.0/24 GW:192.168.200.254

7-2-1 範例 2:PowerStation 組態設定 系統網路介面設定表 7-3 用途 系統網路介面 IP 位址 閘道器 WAN eth0 210.241.239.221/29 210.241.239.217 LAN eth1 192.168.200.254/24 DMZ eth2 172.16.0.254/24 Inbound 服務對應 表 7-4 外部 IP 服務內部 IP 210.241.239.218 DNS/WEB 172.16.0.25 210.241.239.218 Email 172.16.0.21

7-2-2 範例 2:PowerStation 系統畫面 網路介面 圖 7-8 eth0 為該公司 ADSL 外線, 設定對外線路時需設定閘道器 eth1 為該公司內部網路 LAN, 設定時不需要設定閘道器 eth2 為該公司 DMZ 區, 設定時不需要設定閘道器 路由與閘道器 圖 7-9 在 [ 網路介面 ] 中設定完網卡後, 系統會自動產生所相對應的路由, 若無靜 態路由要增加時是不需要作任何修改設定, 直接使用系統自動產生的路由即 可

網路介面優先權 圖 7-10 [ 網路介面優先權 ] 對外線路 eth0 設定為 0, 公司內部網路 eth1 設定為 3, 公司所提供對外服務伺服器 eth2 設定為 1, 表示將預設的防火牆權限設定為 : WAN 網路不允許連往公司內部網路 LAN 和 DMZ 區 公司內部網路 LAN 和 DMZ 區允許連往 WAN 的所有網路服務 DMZ 區不允許連往公司內部網路 LAN 但公司內部網路 LAN 可以連往 DMZ 區

Inbound 政策 圖 7-11 設定公司所提供的對外網路服務之對應, 該公司分別提供 DNS Web 與 Mail 等相關的網路服務 在 [Outbound 政策 ] 產生 NAT 的規則, 規則編 號分別為 1 2 等

Outbound 政策 圖 7-12 規則 1 和 2 是因為公司有提供對外網路服務, 是設定將公司內部網路對外 網路服務的存取走 eth0-line 並將公司內部網路來源位址轉換為 eth0 系統 網卡 IP 位址

7-3 範例 3: 線路負載平衡 PowerStation 之設定需求如下及圖 7-13 所示 : 客戶是一家有規模的電子公司, 網路架構為 : 對外線路有三條 ADSL 線路和一個公司內部網路 LAN 該公司利用 Router 與一廠網路相互連接 需求 : 1. Internet 使用者只能存取伺服器所提供之服務, 其餘服務均禁止 2. 公司內部網路的使用者對於 Internet 服務存取全部允許 3. 客戶對外的網路服務存取要以這三條 ADSL 線路要作流量的負載平衡 Internet Router A Router B Router C Ethernet: 172.16.2.254/24 PowerStation eth0: IP: 210.243.241.193/27 GW: 210.243.241.222 Router E 一廠 Net: 172.16.2.0/24 GW 172.16.2.254 eth1: IP: 210.241.239.221/29 GW: 210.241.239.217 Switch Serial 0/1 : 10.0.0.2/30 eth2: IP: 211.21.189.90/29 GW: 211.21.189.89 eth3: IP: 172.16.1.254/24 Router D LAN Ethernet 0/0 : 172.16.1.253/24 serial 0/1 : 10.0.0.1/30 Ethernet 0/1 : 172.17.1.254/24 Net: 172.17.1.0/24 GW: 172.17.1.254 圖 7-13

7-3-1 範例 3:PowerStation 組態設定 系統網路介面表 7-5 用途 系統網路介面 IP 位址 閘道器 WAN eth0 210.243.241.193/27 210.243.241.222 WAN eth1 210.241.239.221/29 210.241.239.217 WAN eth2 211.21.189.90/29 211.21.189.89 LAN eth3 172.16.1.254/24 靜態路由表 7-6 網域位址 子網路遮罩 下一站 網路介面 10.0.0.0 255.255.255.0 (/24) 172.16.1.253 eth4 172.16.2.0 255.255.255.0 (/24) 172.16.1.253 eth4 172.17.1.0 255.255.255.0 (/24) 172.16.1.253 eth4

7-3-2 範例 3:PowerStation 系統畫面 網路介面 圖 7-14 eth0 ~ eth2 為該公司 ADSL 外線, 設定對外線路時需設定閘道器 eth2 為該公司內部網路 LAN, 設定時不需要設定閘道器 路由與閘道器 圖 7-15 在 [ 網路介面 ] 中設定完網卡後, 系統會自動產生所相對應的路由 由於該公司利用 Router 與一廠網路相連, 所以需設定往一廠網段的靜態路由, 將一廠所使用到的相關網段 (10.0.0.0/24 172.16.2.0/24 172.17.1.0/24) 往下一個節點 172.16.1.253 轉送

網路介面優先權 圖 7-16 [ 網路介面優先權 ] 對外線路 eth0 ~ eth2 均設定為 0, 公司內部網路 eth3 設定 為 3, 這表示將預設的防火牆權限設定為 WAN 網路不允許連往公司內部網路 LAN, 公司內部網路 LAN 允許連往 WAN 的所有全部網路服務

Outbound 政策 圖 7-17 由於此客戶沒有提供對外網路服務, 規則一中設定公司內部網路 172.16.2.0/24, 一廠網段 172.16.2.0/24 和 10.0.0.0/24 對外網路服務的存取是經由三條 ADSL 對外線路其中一條出去, 會選擇哪條對外線路出去的原則是 PowerStation 會利用當時線路偵測中所偵測出的線路品質判斷三條對外線路哪條品質較好, 就由哪條線路出去

7-4 範例 4: 線路負載平衡 PowerStation 之設定需求如下及圖 7-18 所示 : 客戶是一家科技公司, 網路架構為 : 對外線路二條 ADSL 線路和一個公司內部網路 LAN 該公司有提供對外 FTP 與 Terminal Service 等相關對外服務 需求 : 1. Internet 使用者只能存取伺服器所提供之服務, 其餘服務均禁止 2. 公司內部網路的使用者對於 Internet 服務存取全部允許 3. 公司所提供的 Terminal Service 只允許來源位址為 59.125.130.40 才可 以連線 4. 公司內部網路的使用者對於 Internet 服務存取均走 ADSL 2 線路 Router: 210.241.239.217/29 eth1 : 210.241.239.221/29 ADSL 2 Router Router ADSL 1 Router: 210.243.241.222/27 eth0 : 210.243.241.193/27 eth2 : 192.168.1.9/24 Terminal Service 只限制來源位址為 59.125.130.40 才可以連線 FTP Server 1 Private IP:192.168.1.3 Public IP:210.243.241.194 FTP Server 2 Private IP:192.168.1.4 Public IP:210.243.241.195 圖 7-18 Terminal Service Private IP:192.168.1.5 Public IP:210.243.241.198

7-4-1 範例 4:PowerStation 組態設定 系統網路介面表 7-7 用途 系統網路介面 IP 位址 閘道器 WAN eth0 210.243.241.193/27 210.243.241.222/27 WAN eth1 210.241.239.221/29 210.241.239.217/29 LAN eth2 192.168.1.9/24 Inbound 服務對應表 7-8 來源位址 外部 IP 服務 內部 IP 59.125.130.40 210.243.241.198 Terminal 192.168.1.5 ALL 210.243.241.195 FTP 192.168.1.4 ALL 210.243.241.194 FTP 192.168.1.3 Outbound 服務對應表 7-9 來源位址 目的地位址 服務 線路 NAT 192.168.1.0/24 ALL ALL eth1-line YES

7-4-2 範例 4:PowerStation 系統畫面 網路介面 圖 7-19 eth0 eth1 為該公司 ADSL 外線, 設定對外線路時需設定閘道器 eth2 為該公司內部網路 LAN, 設定時不需要設定閘道器 網路介面修先權 圖 7-20 [ 網路介面優先權 ] 對外線路 eth0 eth1 均設定為 0, 公司內部網路 eth2 設 定為 3, 表示我們將預設的防火牆權限設定為 WAN 網路不允許連往公司 內部網路 LAN, 公司內部網路 LAN 允許連往 WAN 的所有全部網路服務

Inbound 政策 圖 7-21 設定公司所提供的對外網路服務之對應, 該公司分別提供 FTP 與 Terminal Service 等相關的網路服務, 在 [Outbound 政策 ] 產生 NAT 的規則, 規則 編號分別為 1~3 等 Outbound 政策 圖 7-22 規則 1 ~ 3 是因為公司有提供對外網路服務, 在 [Inbound 政策 ] 設定完後 系統自動產生的 規則一 (3 下方那條 ) 為設定將公司內部網路對外網路服

務的存取走 eth1-line, 並自動將公司內部網路來源位址轉換為 eth1 系統網 卡 IP 位址

7-5 範例 5: 線路負載平衡 PowerStation 之設定需求如下及圖 7-23 所示 : 客戶是一家雜誌出版社, 網路架構為 : 對外線路為二條 ADSL 線路和一個公司內部網路 LAN 該公司有提供對外 DNS FTP WEB 與 Mail 等相關對外服務 需求 : 1. Internet 使用者只能存取伺服器所提供之服務, 其餘服務均禁止 2. 公司內部網路的使用者對於 Internet 服務存取全部允許 3. 公司的 Mail Server 主機對外的連線所使用的對外 IP 需為 210.243.241.194 4. 公司內部網路的使用者對於 Internet 服務存取均走 ADSL 2 線路 圖 7-23

7-5-1 範例 5:PowerStation 組態設定 系統網路介面表 7-10 用途 系統網路介面 IP 位址 閘道器 WAN eth0 210.243.241.193/27 210.243.241.222/27 WAN eth0:1 210.243.241.194/27 WAN eth1 210.241.239.221/29 210.241.239.217/29 LAN eth2 192.168.1.9/24 Inbound 服務對應表 7-11 來源位址 外部 IP 服務 內部 IP ALL 210.243.241.194 Mail 192.168.1.3 ALL 210.243.241.195 FTP 192.168.1.4 ALL 210.243.241.198 WEB/DNS 192.168.1.5 Outbound 服務對應表 7-12 規則順序 來源位址 目的地位址 服務 線路 NAT Before-DMZ 192.168.1.3 ALL Mail eth0-line eth0:1(210.243.241.194) After-DMZ 192.168.1.0/24 ALL ALL eth1-line YES

7-5-2 範例 5:PowerStation 系統畫面 網路介面 圖 7-24 eth0 eth1 為該公司 ADSL 外線, 設定對外線路時需設定閘道器 eth0:1 是為了要讓 Mail Server 主機對外所使用的對外 IP 而設定的, 在此有設定的 IP 才會在 [Outbound 政策 ] 中 NAT 的下拉式選單中出現, 需特別注意 eth2 為該公司內部網路 LAN, 設定時不需要設定閘道器 網路介面優先權 圖 7-25

[ 網路介面優先權 ] 對外線路 eth0 eth1 均設定為 0, 公司內部網路 eth2 設 定為 3, 表示我們將預設的防火牆權限設定為 WAN 網路不允許連往公司 內部網路 LAN, 公司內部網路 LAN 允許連往 WAN 的所有全部網路服務

Inbound 政策 圖 7-26 設定公司所提供的對外網路服務之對應, 該公司分別提供 Web FTP DNS 與 Mail 等相關的網路服務, 在這要注意的是設定好 [Inbound 政策 ] 規則 後, 在 [Outbound 政策 ] 產生 NAT 的規則, 規則編號分別為 1~3 等

Outbound 政策 圖 7-27 規則 1 ~ 3 是因為公司有提供對外網路服務, 在設定此範例 [Outbound 政策 ] 時需特別小心, 因為客戶要讓 Mail Server 主機所使用的對外 IP 為 210.243.241.194, 所以此需求必須在 [Outbound 政策 ] 中的 Before DNZ 規則完成 在圖 7-27 中的第一條規則設定 Mail Server 主機 IP 192.168.1.3 的 Mail 服務出去走 eth0-line, 並將來源位址 (192.168.1.3) 轉換為 210.243.241.194, 其中 NAT 欄位中的 IP 是必須在 [ 網路介面 ] 中有設定的 IP 才會在此欄位中出現規則五是設定將公司內部網路對外網路服務的存取走 eth1-line, 並自動將公司內部網路來源位址轉換為 eth1 系統網卡 IP 位址

7-6 範例 6: 線路負載平衡與線路備援 PowerStation 之設定需求如下及圖 7-28 所示 : 客戶是一家科技公司, 網路架構為 : 對外線路為二條 ADSL 線路和一個公司內部網路 LAN 該公司有提供對外 DNS FTP Web 與 Mail 等相關對外服務 需求 : 1. Internet 使用者只能存取伺服器所提供之服務, 其餘服務均禁止 2. 公司內部網路的使用者對於 Internet 服務存取全部允許 3. 公司內部網路的使用者對外 Mail 服務存取均走 ADSL 1 線路 4. 公司內部網路的使用者對外除 Mail 服務外的所有網路服務存取均走 ADSL 2 線路 5. 客戶要求 ADSL 1 線路與 ADSL 2 線路需互相備援 圖 7-28

7-6-1 範例 6:PowerStation 組態設定 系統網路介面表 7-13 用途 系統網路介面 IP 位址 閘道器 WAN eth0 210.241.239.221/29 210.241.139.217/29 WAN eth1 210.243.241.193/27 210.243.241.222/27 LAN eth2 192.168.1.9/24 Outbound 服務對應表 7-14 來源位址 目的地位址 服務 線路 NAT 192.168.1.0/24 ALL Mail eth0-line YES 192.168.1.0/24 ALL ALL eth1-line YES 192.168.1.0/24 ALL ALL eth0-line YES

7-6-2 範例 6:PowerStation 系統畫面 網路介面 圖 7-29 eth0 eth1 為該公司 ADSL 外線, 設定對外線路時需設定閘道器 eth2 為該公司內部網路 LAN, 設定時不需要設定閘道器 網路介面優先權 圖 7-30 [ 網路介面優先權 ] 對外線路 eth0 eth1 均設定為 0, 公司內部網路 eth2 設 定為 3 表示我們將預設的防火牆權限設定為 WAN 網路不允許連往公司 內部網路 LAN, 公司內部網路 LAN 允許連往 WAN 的所有全部網路服務

Outbound 政策 圖 7-31 規則一是設定將公司內部網路對外 Mail 服務的存取走 eth0-line, 並自動將公司內部網路來源位址轉換為 eth0 系統網卡 IP 位址 規則二是設定將公司內部網路對外除 Mail 服務以外的所有網路服務存取走 eth1-line, 並自動將公司內部網路來源位址轉換為 eth1 系統網卡 IP 位址 規則三是設定線路備援用 假設 eth1-line 斷線, 公司內部某台電腦要存取對外 WEB 服務時, 當此台電腦的封包要出去時會由上而下比對 [Outbound 政策 ] 規則 在規則中只有規則三會被套用, 因為規則一是 Mail 服務專用, 規則二是 eth1-line, 但 eth1-line 線路是斷線的, 所以最終此台電腦封包會套用規則三走 eth0 線路出去而達到線路備援效果 需注意的是, 需在 [MultiHoming] [ 參數設定 ] [ 線路偵測 ] [ 參數設定 ] 將線路偵測模式設定成線路備援模式, 否規則比對將停在規則二之 eth1-line 斷線線路, 無法自動轉換到規則三之 eth0-line 正常線路

線路備援參數設定 圖 7-32 當要作對外線路備援時, 除了要配合 [Outbound 政策 ] 規則以外還必須將 線路偵測模式設定成線路備援模式 (Link Failover), 線路備援才會啟動