深信服防火墙&第三方VPN配置记录
前情提要
我们目前拥有一台深信服AF-1000防火墙,需要与合作伙伴提供的飞塔FORTIGATE-81E防火墙配合使用,以实现我们的互联网接入至加速平台的配置。
在此,其他功能性需求将不予详述,本文主要记录相应的配置方案。
深信服AF-1000配置
网络--》接口--》物理接口
eth1
eth2
eth3
网络--》路由--》策略路由
策略1:DNS
策略2:默认本地线路
策略3:国际专线
在这次过程中,我遇到了两个意料之外的问题。首先是DNS污染,这个问题就不展开讨论了,相关信息可以通过百度搜索了解其原理和解决方案,简单来说,就是更换DNS
接下来,重点讨论分流问题。我们有两个及以上的固定场所需要通过VPN线路访问网络,鉴于预算限制,我们考虑共享一个出口。
最初,我计划在合作伙伴的VPN设备上进行分流,但这里存在一个难题:所有数据都需要经过他们的设备,这无疑会影响效率和性能。然而,领导建议在防火墙上实现分流。经过研究,我们发现可以通过目标国家/地区来进行分流。
在实施过程中,我们最初采用了常规思路,即先区分国际和国内数据,将目标地址设置为除了中国大陆以外的所有选项。理论上这是可行的,但实际上我们无法确保深信服防火墙的地址库完全准确。因此,我们调整了策略,先将默认线路设置为国内,对于不符合条件的流量,再转向国际专线。
Tip:
全方位查询您的IP地址:https://ip111.cn/
测速:https://www.speedtest.net/
THE END
0
二维码
打赏
海报
深信服防火墙&第三方VPN配置记录
前情提要
我们目前拥有一台深信服AF-1000防火墙,需要与合作伙伴提供的飞塔FORTIGATE-81E防火墙配合使用,以实现我们的互联网接入至加速平台的配置。
在此,其……
共有 0 条评论