防火墙型号 hillstone M3108 本公司之前的生产网络都是单独的局域网,现在需要从办公网络中能远程连接生产网中的一台操作站,以对生产过程进行监控。经过内部讨论和跟厂家的交流,为了节约成本,
.防火墙型号 hillstone M3108.
.. 本公司之前的生产网络都是单独的局域网,现在需要从办公网络中能远程连接生产网中的一台操作站,以对生产过程进行监控。经过内部讨论和跟厂家的交流,为了节约成本,我们采用防火墙连接两个网络,用远程桌面的方式实现(被远程连接的操作站设置为无法修改)。 线面将配置整理为笔记,供大家分享。.. .. 总的来说,需要三步,.. 第一步是对防火墙本身进行配置,端口地址、策略、默认路由等.. 第二步是对操作站进行配置,设置好网关。网关地址即为防火墙上与生产网连接的端口地址。因为我们生产网中每台操作站都没有设置网关,用两块网卡两根网线的冗余方式。.. 第三步是在核心交换机上配置一条路由,让办公网能访问到生产网。我们为了安全,只允许访问某一台操作站。.. .. 下面是详细配置情况..一.防火墙配置.. 
..如上图所示,由于只允许办公网部分电脑单向访问某台操作站(工控机),因此只设置一条策略就可以了。注意“部分”“单向”“某台”等关键字。..
..两个安全域对应防火墙上两个端口,office对应办公网,mcs对应生产网..两个地址簿,源地址中的地址簿里加的是允许远程连接操作站的IP,目的地址中的地址簿加的是“某台”操作站(工控机)的IP..一个服务薄,里面只有两个服务(端口),一个RDP(3389端口),是远程连接命令MSTSC要用的,一个PING,是为了维护方便。也就是说只允许这两个服务,其他的一概禁止。也是为了安全。其实也不是很安全,MSTSC权限很大,可以完全操控对方电脑,所以操作站的系统还要修改权限,只能看不能改,这样远程桌面连上也不怕了。..安全域、地址簿和服务薄的名字是自定义的,方便管理。..
..
..二.操作站配置网关.. 将要访问的操作站的网关设置为mcs全区域对应端口的地址。我们生产网中操作站是不设置网关的,因为是双网卡双线冗余。..
..三.核心交换机配置路由.. 在核心交换机(我们用cisco6509)上加如下路由.. iproute 操作站IP 255.255.255.255 防火墙offic域对应端口地址.. 当办公电脑访问操作站时,给它指明访问路由,如果要找操作站IP,先找防火墙offic域对应端口地址。.. ..特殊情况:..集团与子公司间是专线连接,起路由,子公司的路由器和核心之间也是起路由,子公司办公网络与其生产网连接通过防火墙连接,集团的电脑要想访问过来,比本埠的连接要多做几处路由,从集团核心开始, 配合tracert命令,一层一层做下去,直到能找到要访问的..
..操作站地址,就OK了。
..
..
