用防火墙连接两个局域网

千家信息网最后更新 2024年11月27日用防火墙连接两个局域网防火墙型号 hillstone M3108
本公司之前的生产网络都是单独的局域网，现在需要从办公网络中能远程连接生产网中的一台操作站，以对生产过程进行监控。经过内部讨论和跟厂家的交流，为了节约成本，我们采用防火墙连接两个网络，用远程桌面的方式实现（被远程连接的操作站设置为无法修改）。 线面将配置整理为笔记，供大家分享。 总的来说，需要三步， 第一步是对防火墙本身进行配置，端口地址、策略、默认路由等 第二步是对操作站进行配置，设置好网关。网关地址即为防火墙上与生产网连接的端口地址。因为我们生产网中每台操作站都没有设置网关，用两块网卡两根网线的冗余方式。 第三步是在核心交换机上配置一条路由，让办公网能访问到生产网。我们为了安全，只允许访问某一台操作站。 下面是详细配置情况 一.防火墙配置 如上图所示，由于只允许办公网部分电脑单向访问某台操作站（工控机），因此只设置一条策略就可以了。注意"部分""单向""某台"等关键字。
两个安全域对应防火墙上两个端口，office对应办公网，mcs对应生产网 两个地址簿，源地址中的地址簿里加的是允许远程连接操作站的IP，目的地址中的地址簿加的是"某台"操作站（工控机）的IP 一个服务薄，里面只有两个服务（端口），一个RDP（3389端口），是远程连接命令MSTSC要用的，一个PING，是为了维护方便。也就是说只允许这两个服务，其他的一概禁止。也是为了安全。其实也不是很安全，MSTSC权限很大，可以完全操控对方电脑，所以操作站的系统还要修改权限，只能看不能改，这样远程桌面连上也不怕了。 安全域、地址簿和服务薄的名字是自定义的，方便管理。

二.操作站配置网关 将要访问的操作站的网关设置为mcs全区域对应端口的地址。我们生产网中操作站是不设置网关的，因为是双网卡双线冗余。
三.核心交换机配置路由 在核心交换机（我们用cisco6509）上加如下路由 iproute 操作站IP 255.255.255.255 防火墙offic域对应端口地址 当办公电脑访问操作站时，给它指明访问路由，如果要找操作站IP，先找防火墙offic域对应端口地址。 特殊情况： 集团与子公司间是专线连接，起路由，子公司的路由器和核心之间也是起路由，子公司办公网络与其生产网连接通过防火墙连接，集团的电脑要想访问过来，比本埠的连接要多做几处路由，从集团核心开始， 配合tracert命令，一层一层做下去，直到能找到要访问的
操作站地址，就OK了。