16、网络防火墙设计与QoS配置实战
网络防火墙设计与QoS配置实战
1. 防火墙设计概述
乍一看,为这个网络设计防火墙似乎很复杂,但实际上构建起来相当简单。主要关注点在于数据库安全,通过在不同地点之间建立隧道,加密为我们提供了所需的大部分保护,确保数据库复制时数据不会被拦截。中间人若想窃取站点间的数据包,看到的只是加密的GRE数据包,没有密钥就无法使用捕获的数据。
对于第三方数据库开发者访问数据库服务器,有两种方式:一是信任他们的IP地址(即信任通往他们的路由,也就是途中的服务提供商);二是让他们通过VPN连接到站点或总部,通过加密连接进行工作。在实际案例中,由于信任中间的服务提供商,允许他们直接从其IP地址进行工作。
2. 具体配置需求
- MSSQL端口配置:拒绝所有人访问用于MSSQL的1433/TCP端口,然后允许并对第三方开发者的受信任IP地址进行DNAT,使其能访问每个地点的数据库。对于站点A有特殊配置,可以更改MSSQL运行的端口,或者给开发者另一个端口并将其DNAT到1433/TCP。在示例中,让MSSQL继续在1433/TCP上运行,给开发者9001/TCP端口连接站点A的MSSQL服务器,然后将其DNAT到1433/TCP。
- IP模拟电话适配器(ATA)配置:ATA使用H.323协议,该协议不太适合NAT,因为它使用UDP传输语音。标准呼叫信令端口是1720/TCP,并且可以为每个ATA设置所需的呼叫信令端口,也能设置每个ATA用于RTP(实时协议,用于通过IP传输语音)的UDP端口。没有防火墙配置时,IP ATA可以拨打电话但听不到对方音频,也无法接收呼叫。