0

我的帖子

个人中心

设置

  发新话题
这是公司拓扑图 遇到个问题请教下各位大神 行政楼可以pingSAP通服务器 SAP服务器无法ping通行政楼IP 我现在想要SAP服务器ping通行政楼  我到防火墙上做了允许策略(SAP服务器是可以ping通防火墙的)发现还是不行 然后我到核心上去看是不是做了隔离  发现核心只做了些acl  行政楼的汇聚也是只做了acl  主要是才接手的华为设备 不知道问题出在哪里了 核心是华为S7700系列的 哪位大神能不能帮忙看看
qqq.jpg (53.42 KB)

2017-9-11 10:43

qqq.jpg




引用:
原帖由 wb57d25ad7ed4fc 于 2017-9-11 10:43 发表
这是公司拓扑图 遇到个问题请教下各位大神 行政楼可以pingSAP通服务器 SAP服务器无法ping通行政楼IP 我现在想要SAP服务器ping通行政楼  我到防火墙上做了允许策略(SAP服务器是可以ping通防火墙的)发现还是不行 然后我 ...
了解一下dmz就明白了。我发现论坛很多人对dmz了解甚少,很多人认为dmz就是把里面的设备暴露都互联网上,要不就搞个dmz共享打印机之类的(当然,当年我也这么认为,这么做过,我还做过共享),当时觉得自己老牛逼了,现在再回头想想其实挺搞笑的。
下面给你简单介绍一下dmz

dmz 一般字面解释,非军事化区域
在网络上一般指的就是策略比较宽松。很容易被外界访问,这就会造成一个漏洞,如果有黑客很容易进入了你的服务器区域。然后用服务器做跳板就能黑进你所有的系统和主机。为了解决这个问题。就发明了DMZ区域,这个区域的设备的特点就是策略很宽松,容易被访问。但是这里的设备默认是不能访问外面的设备的。也就是说dmz访问trust是不可以的。如果你设置了可以,那就是去了dmz的意义。你都放到trust区域或是local区域多好?



"大师,什么是快乐的秘诀?"
"不要和愚者争论."
"大师,我完全不同意这就是秘诀."
"是的,你是对的。"
引用:
原帖由 lygzhan 于 2017-9-11 11:11 发表

了解一下dmz就明白了。我发现论坛很多人对dmz了解甚少,很多人认为dmz就是把里面的设备暴露都互联网上,要不就搞个dmz共享打印机之类的(当然,当年我也这么认为,这么做过,我还做过共享),当时觉得自己老牛逼了,现在再回头想想其 ...
我不懂以前他们为什么要这样部署 现在已经这样了 确实添加到信任区域DMZ就没意义了 关键是现在需要做访问



引用:
原帖由 wb57d25ad7ed4fc 于 2017-9-11 11:29 发表

我不懂以前他们为什么要这样部署 现在已经这样了 确实添加到信任区域DMZ就没意义了 关键是现在需要做访问
你服务器要主动访问电脑?不都是电脑访问服务器的吗?那就添加dmz到信任区域的策略好了,然后再做条之信任其中访问某台电脑。



"大师,什么是快乐的秘诀?"
"不要和愚者争论."
"大师,我完全不同意这就是秘诀."
"是的,你是对的。"
引用:
原帖由 lygzhan 于 2017-9-11 11:32 发表

你服务器要主动访问电脑?不都是电脑访问服务器的吗?那就添加dmz到信任区域的策略好了,然后再做条之信任其中访问某台电脑。
策略我已经做了 就是ping不通 所有找不到原因出在哪里



引用:
原帖由 wb57d25ad7ed4fc 于 2017-9-11 11:44 发表

策略我已经做了 就是ping不通 所有找不到原因出在哪里
你做什么策略? 发来看看



"大师,什么是快乐的秘诀?"
"不要和愚者争论."
"大师,我完全不同意这就是秘诀."
"是的,你是对的。"
引用:
原帖由 wb57d25ad7ed4fc 于 2017-9-11 11:44 发表

策略我已经做了 就是ping不通 所有找不到原因出在哪里
你要想清楚了。你这么做就间接打通了,untrust和trust。 这样防火墙就失去了意义。
dmz的意义就是让untrust和trust 都可以访问的区域而且又可以隔离 这两个区域。



"大师,什么是快乐的秘诀?"
"不要和愚者争论."
"大师,我完全不同意这就是秘诀."
"是的,你是对的。"
服务IP是10.1.1.20 目标是 10.10.34.65
01.jpg (61.62 KB)

2017-9-11 12:16

01.jpg

02.jpg (11.04 KB)

2017-9-11 12:16

02.jpg

03.jpg (10.94 KB)

2017-9-11 12:16

03.jpg




引用:
原帖由 lygzhan 于 2017-9-11 11:45 发表

你做什么策略? 发来看看
在楼下 有没有问题



引用:
原帖由 lygzhan 于 2017-9-11 12:01 发表

你要想清楚了。你这么做就间接打通了,untrust和trust。 这样防火墙就失去了意义。
dmz的意义就是让untrust和trust 都可以访问的区域而且又可以隔离 这两个区域。 ...
他只是测试 如果测试完我在关掉



行政楼能ping通行政楼的吗,可能行政楼的机器并没有开通ping服务,或者拒绝ping



引用:
原帖由 幻清风尘 于 2017-9-11 13:15 发表
行政楼能ping通行政楼的吗,可能行政楼的机器并没有开通ping服务,或者拒绝ping
可以ping通 我只需要SAP服务器可以访问就行了行政楼



tracert 10.10.34.65  看从哪里断了。



172.21.254.252 是行政楼汇聚
ww.jpg (11.45 KB)

2017-9-11 13:53

ww.jpg




引用:
原帖由 幻清风尘 于 2017-9-11 13:42 发表
tracert 10.10.34.65  看从哪里断了。
我在核心上tracert



引用:
原帖由 wb57d25ad7ed4fc 于 2017-9-11 12:16 发表
服务IP是10.1.1.20 目标是 10.10.34.65
不好意思,我没有搞过web,所以看不懂你发的。
如果你想dmz访问trust 你做如下策略

firewall packet-filter default permit interzone trust dmz direction inbound



"大师,什么是快乐的秘诀?"
"不要和愚者争论."
"大师,我完全不同意这就是秘诀."
"是的,你是对的。"
引用:
原帖由 lygzhan 于 2017-9-11 14:16 发表

不好意思,我没有搞过web,所以看不懂你发的。
如果你想dmz访问trust 你做如下策略

firewall packet-filter default permit interzone trust dmz direction inbound
我这边设备是ASG2000的



引用:
原帖由 wb57d25ad7ed4fc 于 2017-9-11 14:27 发表

我这边设备是ASG2000的
不能命令管理?



"大师,什么是快乐的秘诀?"
"不要和愚者争论."
"大师,我完全不同意这就是秘诀."
"是的,你是对的。"
引用:
原帖由 lygzhan 于 2017-9-11 14:36 发表

不能命令管理?
好像没有 是web管理 我现在不知道问题是不是出在这上面



引用:
原帖由 wb57d25ad7ed4fc 于 2017-9-11 14:27 发表

我这边设备是ASG2000的
为了你,我去看了一遍web管理手册,
你的策略第七条 信任区到oa叮叮服务 这条反过来写一条

你最好写在最上面,我没有看这规则是怎么匹配的。但一般都是从上往下匹配
你写一条oa叮叮服务到 信任区通过的规则就可以了。



"大师,什么是快乐的秘诀?"
"不要和愚者争论."
"大师,我完全不同意这就是秘诀."
"是的,你是对的。"
‹‹ 上一贴:公司网络间歇性延迟很高怎么办   |   下一贴:网络不定时断网 ››
  发新话题
快速回复主题
关于我们 | 诚聘英才 | 联系我们 | 网站大事 | 友情链接 |意见反馈 | 网站地图
Copyright©2005-2017 51CTO.COM
本论坛言论纯属发布者个人意见,不代表51CTO网站立场!如有疑义,请与管理员联系:bbs@51cto.com