关于路由器和放火墙的问题！

ccnuwy

情况是这样的：\r\n1.有TP-LINKR480路由器一台，天融信ARES放火墙一台。\r\n2.电信分配公网地址： 219.138.xxx.xxx.\r\n3.内网有FTP和WEB服务器对外服务\r\n4.线路接法如下\r\nIntelnet---->;路由器WAN口（R480）---->;ARES防火墙(ETH1)---->;\r\n---->;SWITCH---->C\r\n这样的接法合理吗，如果不合理，还有其他的接法吗？\r\n我很菜，请高手指点啊！！！

ccnuwy

还有，能否利用防火墙控制客户机访问内网网关达到控制上网的目的？\r\n\r\n期待中。。。。。。！

ccnuwy

非常感谢楼上的各位朋友。\r\n但是如果没有三层交换机，而且网络情况也不是很复杂的情况下如何接是最为完美？（具体情况已经列出。）

vincent_leung

看到以上朋友答复,我也凑个热闹:\r\n我不知道你的防火墙的SSN端口是不是DMZ端口,我现在假设SSN是DMZ区,那么可以把服务器群接在这个端口上。如果你们有路由器之外的全球IP地址，可以提供给WEB之类的服务器，这可以让内外网都可以访问了。如果没有，你可以在防火墙之下，PC终端机之上接一个三层交换机做一个静态路由什么的，目的让各个子网段的PC终端机都可以在内网访问。那么边界路由器可作为汇总路由，这样来解决。但网内多路由会导致PC终端机上网稍微慢点，但影响不大，因为他们是普通应用；服务器如果没有足够的全球IP地址，可以用私网IP地址，让路由器做各个功能的NAT，并做它们的路由网关，并不影响网速。\r\n一般防火墙是可以让某个网段之类可以访问INTERNET，另一个网段不能让访问，

Ecore

给天融信技术支持中心打电话。

ccnuwy

难道没人给小弟一点建议嘛？期待大家的建议。

ccnuwy

等待各位给小第建议。

蓝点之光

还有别的想法吗？\r\n\r\n我想知道！

ccnuwy

服务器放到DMZ区，安全吗？现在把WEB，FTP服务器放到路由器LAN口可以对内和对外服务（路由器上做了映射），如果接倒防火墙内网口者不能对外和对内服务，防火墙做成透明网络模式。如果接倒SSN口也是一样。\r\n\r\n请问该如何设置规则？\r\n\r\n或者请朋友提供点天融信防火墙的相关配置技术资料！\r\n\r\n谢谢各位！

剑心通明

把服务器放到DMZ里面去