欧美性猛交xxxx免费看_牛牛在线视频国产免费_天堂草原电视剧在线观看免费_国产粉嫩高清在线观看_国产欧美日本亚洲精品一5区

0
  • 聊天消息
  • 系統(tǒng)消息
  • 評論與回復(fù)
登錄后你可以
  • 下載海量資料
  • 學(xué)習(xí)在線課程
  • 觀看技術(shù)視頻
  • 寫文章/發(fā)帖/加入社區(qū)
會員中心
創(chuàng)作中心

完善資料讓更多小伙伴認識你,還能領(lǐng)取20積分哦,立即完善>

3天內(nèi)不再提示

防火墻在廣電出口安全方案中的應(yīng)用

網(wǎng)絡(luò)技術(shù)干貨圈 ? 來源:網(wǎng)絡(luò)技術(shù)干貨圈 ? 作者:圈圈 ? 2022-10-27 16:36 ? 次閱讀

一、方案簡介

廣電行業(yè)除了提供家庭廣播電視業(yè)務(wù),還向ISP租用鏈路開展寬帶用戶上網(wǎng)、服務(wù)器托管等網(wǎng)絡(luò)接入服務(wù)。此時網(wǎng)絡(luò)出口處通常部署防火墻作為出口網(wǎng)關(guān)提供Internet接入及安全保障功能。

6e3b052c-3966-11ed-9e49-dac502259ad0.png
圖1 防火墻在廣電網(wǎng)絡(luò)出口的應(yīng)用

如圖1所示,防火墻部署在網(wǎng)絡(luò)出口主要提供如下功能:

NAT:提供源NAT功能將寬帶用戶私網(wǎng)IP轉(zhuǎn)換為公網(wǎng)IP,提供NAT Server功能將托管服務(wù)器的私網(wǎng)IP轉(zhuǎn)換為公網(wǎng)IP供外網(wǎng)用戶訪問。

多出口智能選路:提供基于目的IP、應(yīng)用等多種選路措施,合理利用多條ISP鏈路保證上網(wǎng)質(zhì)量。

安全管理:通過安全區(qū)域及安全策略進行區(qū)域隔離,提供入侵防御、DDoS攻擊防范等安全功能進行安全防護。

用戶溯源和審計:記錄用戶NAT前后IP地址、端口等日志發(fā)往日志服務(wù)器,滿足相關(guān)部門的審計和溯源需求。

二、方案設(shè)計

2.1 典型組網(wǎng)

如圖2所示,廣電向兩個ISP各租用了兩條鏈路,為城域網(wǎng)的廣電用戶提供寬帶上網(wǎng)服務(wù)。廣電還在服務(wù)器區(qū)部署了服務(wù)器,為內(nèi)外網(wǎng)用戶提供服務(wù)器托管業(yè)務(wù)。

廣電的Internet出口處部署了兩臺防火墻雙機熱備組網(wǎng)(主備方式)。兩臺防火墻的上行接口通過出口匯聚交換機與兩個ISP相連,下行接口通過核心路由器與城域網(wǎng)相連,通過服務(wù)器區(qū)的交換機與服務(wù)器相連。

6e512262-3966-11ed-9e49-dac502259ad0.png
圖2 防火墻在廣電網(wǎng)絡(luò)出口的典型組網(wǎng)

廣電網(wǎng)絡(luò)對Internet出口防火墻的具體需求如下:

兩臺防火墻能夠組成主備備份組網(wǎng),提升網(wǎng)絡(luò)可靠性。

通過防火墻的源NAT功能保證城域網(wǎng)的海量用戶能夠同時訪問Internet。

為了提升內(nèi)網(wǎng)用戶的寬帶上網(wǎng)體驗,廣電的出口選路需求如下:

能夠根據(jù)目的地址所屬的ISP進行選路。例如,訪問ISP1的服務(wù)器的流量能夠通過ISP1鏈路轉(zhuǎn)發(fā),訪問ISP2的服務(wù)器的流量能夠通過ISP2鏈路轉(zhuǎn)發(fā)。

屬于同一個ISP的流量在兩條鏈路間按權(quán)重負載分擔(dān)。

引導(dǎo)P2P流量由資費較低、帶寬較大的ISP2鏈路轉(zhuǎn)發(fā)。

托管的服務(wù)器能夠供外網(wǎng)用戶訪問,對服務(wù)器進行管理。

廣電網(wǎng)絡(luò)內(nèi)還部署了DNS服務(wù)器為以上服務(wù)器提供域名解析。廣電希望各ISP的外網(wǎng)用戶能夠解析到自己ISP為服務(wù)器分配的地址,從而提高訪問服務(wù)器的速度。

防火墻能夠保護內(nèi)部網(wǎng)絡(luò),防止各種DDoS攻擊,并對僵尸、木馬、蠕蟲等網(wǎng)絡(luò)入侵行為進行告警。

為了應(yīng)對有關(guān)部門的審查,防火墻能夠提供內(nèi)網(wǎng)用戶訪問Internet的溯源功能,包括NAT轉(zhuǎn)換前后的IP地址、端口等。

2.2 業(yè)務(wù)規(guī)劃

2.2.1 設(shè)備規(guī)劃

廣電網(wǎng)絡(luò)出口可能用到的設(shè)備如表1所示,USG9500和USG6000如有差異將補充說明。

6e80ef56-3966-11ed-9e49-dac502259ad0.png
表1 廣電網(wǎng)絡(luò)出口設(shè)備規(guī)劃

2.2.2 雙機熱備規(guī)劃

由于一個ISP接入點無法與兩臺防火墻直接相連,因此需要在防火墻與ISP之間部署出口匯聚交換機。出口匯聚交換機可以將ISP的一條鏈路變?yōu)閮蓷l鏈路,然后分別將兩條鏈路與兩臺防火墻的上行接口相連。而防火墻與下行路由器之間運行OSPF,所以這就組成了“兩臺防火墻上行連接交換機,下行連接路由器”的典型雙機熱備組網(wǎng)。該種組網(wǎng)方式防火墻上行配置VRRP備份組,下行配置VGMP組監(jiān)控業(yè)務(wù)口。

雙機熱備組網(wǎng)可以轉(zhuǎn)換為圖3,將與同一個ISP接入點連接的主備防火墻接口加入同一個VRRP備份組。

6e8d769a-3966-11ed-9e49-dac502259ad0.png
圖3 雙機熱備組網(wǎng)

2.2.3 多出口選路規(guī)劃

廣電向不同運營商租用鏈路,多出口選路功能尤為重要,防火墻提供豐富的多出口功能滿足需求:

通過DNS透明代理分擔(dān)內(nèi)網(wǎng)用戶上網(wǎng)的DNS請求,從而達到在多個ISP間分擔(dān)流量的目的。

內(nèi)網(wǎng)用戶上網(wǎng)的第一步是用戶訪問某個域名,DNS服務(wù)器將域名解析為IP地址。這一步存在一個問題,內(nèi)網(wǎng)PC往往都配置了同一個ISP的DNS服務(wù)器,這樣將導(dǎo)致用戶只能解析到一個ISP的地址,后續(xù)的ISP選路也就無從談起了。防火墻提供DNS透明代理功能解決這一問題,防火墻通過一定的規(guī)則將內(nèi)網(wǎng)用戶的DNS請求分擔(dān)至不同ISP的DNS服務(wù)器,從而解析到不同ISP的地址。本例采取指定鏈路權(quán)重的方式分擔(dān)DNS請求。

通過基于多出口的策略路由實現(xiàn)ISP選路。

防火墻的策略路由可以同時指定多個出接口,并配置多個出接口的流量分擔(dān)方式。例如指定目的地址為ISP1地址的流量從ISP1的兩個出接口發(fā)送,同時指定兩個出接口間按權(quán)重進行負載分擔(dān)。

通過基于應(yīng)用的策略路由將P2P流量引導(dǎo)至ISP2鏈路。

通過健康檢查探測鏈路的可達性。

防火墻探測某個出接口到指定目的地址的鏈路健康狀態(tài),保證流量不會被轉(zhuǎn)發(fā)到故障鏈路上。

2.2.4 源NAT規(guī)劃

在FW配置源NAT使內(nèi)網(wǎng)用戶可以通過有限的公網(wǎng)IP地址訪問Internet。

地址池

根據(jù)向ISP申請的公網(wǎng)IP地址,配置兩個對應(yīng)不同ISP的地址池,注意地址池中排除VRRP備份組的公網(wǎng)IP、服務(wù)器對外發(fā)布的公網(wǎng)IP。

NAPT(Network Address and Port Translation)

NAPT同時對IP地址和端口進行轉(zhuǎn)換,內(nèi)網(wǎng)用戶訪問Internet的報文到達防火墻后,報文的源地址會被NAT轉(zhuǎn)換成公網(wǎng)地址,源端口會被NAT轉(zhuǎn)換成隨機的非知名端口。這樣一個公網(wǎng)地址就可以同時被多個內(nèi)網(wǎng)用戶使用,實現(xiàn)了公網(wǎng)地址的復(fù)用,解決了海量用戶同時訪問Internet的問題。

NAT ALG

當防火墻既開啟NAT功能,又需要轉(zhuǎn)發(fā)多通道協(xié)議報文(例如FTP等)時,必須開啟相應(yīng)的NAT ALG功能。例如FTP、SIP、H323、RTSP和QQ等多通道協(xié)議。

2.2.5 NAT Server規(guī)劃

廣電的托管服務(wù)器業(yè)務(wù)主要開通網(wǎng)站托管業(yè)務(wù),如某個學(xué)校的網(wǎng)站托管,同時還有公司內(nèi)部的辦公網(wǎng),公司門戶網(wǎng)站等。由于托管服務(wù)器部署在內(nèi)網(wǎng)的DMZ區(qū)域,所以需要在防火墻上部署NAT server功能,將服務(wù)器的私網(wǎng)地址轉(zhuǎn)換成公網(wǎng)地址,而且需要為不同的ISP用戶提供不同的公網(wǎng)地址。

如果DNS服務(wù)器在內(nèi)網(wǎng),則需要配置智能DNS使外網(wǎng)用戶可以獲取最適合的服務(wù)器解析地址,即與用戶屬于同一ISP網(wǎng)絡(luò)地址避免跨網(wǎng)絡(luò)訪問。

2.2.6 安全功能規(guī)劃

缺省情況下FW拒絕所有流量通過,需要配置安全策略允許正常的業(yè)務(wù)訪問。具體規(guī)劃見下文的數(shù)據(jù)規(guī)劃。

出口網(wǎng)關(guān)作為廣電網(wǎng)絡(luò)與外界通信的關(guān)口,需要配置入侵防御(IPS)、攻擊防范等安全功能。

本案例使用缺省的IPS配置文件default,對檢測到的入侵行為進行阻斷;還可以選擇配置文件ids先記錄攻擊日志不阻斷,然后根據(jù)日志再配置具體的IPS配置文件。

2.2.6 用戶溯源規(guī)劃

通過與日志服務(wù)器配合完成用戶溯源:

FW配置向日志服務(wù)器發(fā)送會話日志功能,會話日志中詳細記錄了會話的原始(即NAT轉(zhuǎn)換前)源IP地址/端口、目的IP地址/端口,以及會話經(jīng)過NAT轉(zhuǎn)換后的源IP地址/端口和目的IP地址/端口等信息

如果某個用戶在外網(wǎng)發(fā)布了非法言論,管理員在日志服務(wù)器中根據(jù)該用戶的公網(wǎng)IP地址追蹤到其私網(wǎng)IP地址。

管理員根據(jù)企業(yè)內(nèi)部的認證系統(tǒng)等追蹤到具體用戶賬號。

2.2.7 數(shù)據(jù)規(guī)劃

根據(jù)上述業(yè)務(wù)規(guī)劃進行數(shù)據(jù)規(guī)劃。

三、注意事項

3.1 License

IPS功能和智能DNS功能需要License支持,另外智能DNS功能需要加載內(nèi)容安全組件包才能使用。

3.2 硬件要求

對于USG9500,IPS、基于應(yīng)用的策略路由、智能DNS需要應(yīng)用安全業(yè)務(wù)處理子卡(SPC-APPSEC-FW)在位,否則功能不可用。

使用IPS功能前,建議將IPS特征庫升級到最新版本。

3.3 組網(wǎng)部署

為了避免心跳接口故障導(dǎo)致雙機通信異常,心跳接口建議使用Eth-trunk接口。對于支持擴展多個接口卡的設(shè)備(具體支持情況,請查閱硬件指南),必須使用跨板Eth-Trunk接口,即一個Eth-Trunk的成員接口來自于不同的接口板,這樣既提高了可靠性,又增加了備份通道的帶寬。對于無接口擴展能力無法使用跨板Eth-Trunk的設(shè)備,可能存在一塊接口卡故障導(dǎo)致所有HRP備份通道不可用、業(yè)務(wù)受損。

當雙機熱備與智能選路結(jié)合使用時,如果上行部署交換機運行VRRP,防火墻的上行物理接口必須配置與ISP路由器同一網(wǎng)段的公網(wǎng)IP地址,否則無法指定接口的gateway。gateway命令是智能選路、鏈路健康探測的必選配置。

如果上行是路由器則無此限制。

3.4 智能選路

防火墻在接口下提供gateway命令生成等價缺省路由,協(xié)議類型為UNR,路由優(yōu)先級為70,低于靜態(tài)路由的優(yōu)先級(60)。配置了此命令后不能再手動配置多出口的靜態(tài)等價路由

策略路由智能選路不能和IP欺騙攻擊防范功能或URPF(Unicast Reverse Path Forwarding,單播逆向路徑轉(zhuǎn)發(fā))功能一起使用。如果開啟IP欺騙攻擊防范功能或URPF功能,可能導(dǎo)致防火墻丟棄報文。

3.5 黑洞路由

防火墻支持為NAT地址池中的地址生成UNR(User Network Route)路由,該UNR路由的作用與黑洞路由的作用相同,可以防止路由環(huán)路,同時也可以引入到OSPF等動態(tài)路由協(xié)議中發(fā)布出去。對于NAT Server來說,如果指定了協(xié)議和端口,則還需要手工配置目的地址為公網(wǎng)地址的黑洞路由,使外網(wǎng)訪問公網(wǎng)地址但沒有匹配到Server-Map的報文匹配到黑洞路由后直接被丟棄,防止路由環(huán)路。

四、方案配置

4.1 配置接口和安全區(qū)域

4.1.1 背景信息

按下圖配置接口和安全區(qū)域。

6eb00f84-3966-11ed-9e49-dac502259ad0.png
接口IP及安全區(qū)域

4.1.2 操作步驟

1.配置FW_A接口IP地址。

system-view
[FW_A]interfaceEth-Trunk1
[FW_A-Eth-Trunk1]undoservice-manageenable
[FW_A-Eth-Trunk1]descriptionTo-isp1
[FW_A-Eth-Trunk1]trunkportGigabitEthernet1/0/1
[FW_A-Eth-Trunk1]trunkportGigabitEthernet1/0/6
[FW_A-Eth-Trunk1]quit
[FW_A]interfaceEth-Trunk2
[FW_A-Eth-Trunk2]undoservice-manageenable
[FW_A-Eth-Trunk2]descriptionTo-isp2
[FW_A-Eth-Trunk2]trunkportGigabitEthernet1/0/2
[FW_A-Eth-Trunk2]trunkportGigabitEthernet1/0/7
[FW_A-Eth-Trunk2]quit
[FW_A]interfaceEth-Trunk1.1
[FW_A-Eth-Trunk1.1]descriptionTo-isp1-1
[FW_A-Eth-Trunk1.1]vlan-typedot1q11
[FW_A-Eth-Trunk1.1]ipaddress1.1.1.229
[FW_A-Eth-Trunk1.1]quit
[FW_A]interfaceEth-Trunk2.1
[FW_A-Eth-Trunk2.1]descriptionTo-isp2-1
[FW_A-Eth-Trunk2.1]vlan-typedot1q21
[FW_A-Eth-Trunk2.1]ipaddress2.2.2.229
[FW_A-Eth-Trunk2.1]quit
[FW_A]interfaceEth-Trunk1.2
[FW_A-Eth-Trunk1.2]descriptionTo-isp1-2
[FW_A-Eth-Trunk1.2]vlan-typedot1q12
[FW_A-Eth-Trunk1.2]ipaddress1.1.2.229
[FW_A-Eth-Trunk1.2]quit
[FW_A]interfaceEth-Trunk2.2
[FW_A-Eth-Trunk2.2]descriptionTo-isp2-2
[FW_A-Eth-Trunk2.2]vlan-typedot1q22
[FW_A-Eth-Trunk2.2]ipaddress2.2.3.229
[FW_A-Eth-Trunk2.2]quit
[FW_A]interfaceGigabitEthernet1/0/3
[FW_A-GigabitEthernet1/0/3]undoservice-manageenable
[FW_A-GigabitEthernet1/0/3]descriptionTo-router
[FW_A-GigabitEthernet1/0/3]ipaddress10.0.3.124
[FW_A-GigabitEthernet1/0/3]quit
[FW_A]interfaceGigabitEthernet1/0/4
[FW_A-GigabitEthernet1/0/4]undoservice-manageenable
[FW_A-GigabitEthernet1/0/4]descriptionTo-server
[FW_A-GigabitEthernet1/0/4]ipaddress10.0.5.124
[FW_A-GigabitEthernet1/0/4]quit
[FW_A]interfaceEth-Trunk0
[FW_A-Eth-Trunk0]undoservice-manageenable
[FW_A-Eth-Trunk0]descriptionHrp-interface
[FW_A-Eth-Trunk0]ipaddress10.0.7.124
[FW_A-Eth-Trunk0]quit
[FW_A]interfaceGigabitEthernet2/0/0
[FW_A-GigabitEthernet2/0/0]undoservice-manageenable
[FW_A-GigabitEthernet2/0/0]eth-trunk0
[FW_A-GigabitEthernet2/0/0]quit
[FW_A]interfaceGigabitEthernet1/0/5
[FW_A-GigabitEthernet1/0/5]undoservice-manageenable
[FW_A-GigabitEthernet1/0/5]eth-trunk0
[FW_A-GigabitEthernet1/0/5]quit

2.將FW_A接口加入安全區(qū)域。

[FW_A]firewallzonenameisp1_1
[FW_A-zone-isp1_1]setpriority10
[FW_A-zone-isp1_1]addinterfaceEth-Trunk1.1
[FW_A-zone-isp1_1]quit
[FW_A]firewallzonenameisp1_2
[FW_A-zone-isp1_2]setpriority15
[FW_A-zone-isp1_2]addinterfaceEth-Trunk1.2
[FW_A-zone-isp1_2]quit
[FW_A]firewallzonenameisp2_1
[FW_A-zone-isp2_1]setpriority20
[FW_A-zone-isp2_1]addinterfaceEth-Trunk2.1
[FW_A-zone-isp2]quit
[FW_A]firewallzonenameisp2_2
[FW_A-zone-isp2_2]setpriority25
[FW_A-zone-isp1_2]addinterfaceEth-Trunk2.2
[FW_A-zone-isp2]quit
[FW_A]firewallzonetrust
[FW_A-zone-trust]addinterfaceGigabitEthernet1/0/3
[FW_A-zone-trust]quit
[FW_A]firewallzonedmz
[FW_A-zone-dmz]addinterfaceGigabitEthernet1/0/4
[FW_A-zone-dmz]quit
[FW_A]firewallzonenamehrp
[FW_A-zone-hrp]setpriority75
[FW_A-zone-hrp]addinterfaceEth-Trunk0
[FW_A-zone-hrp]quit

3.參考上述步驟配置FW_B的接口IP和安全區(qū)域,不同之處是接口IP不同。

4.2 配置智能選路及路由

4.2.1 操作步驟

1.配置FW_A的健康檢查功能,分別為ISP1和ISP2鏈路配置健康檢查。

其中目的地址是Internet真實存在的IP地址,本例以ISP網(wǎng)關(guān)地址、DNS地址為例。

[FW_A]healthcheckenable
[FW_A]healthchecknameisp1_health1
[FW_A-healthcheck-isp1_health1]destination1.1.1.6interfaceEth-Trunk1.1protocolicmp
[FW_A-healthcheck-isp1_health1]destination1.1.1.222interfaceEth-Trunk1.1protocoldns
[FW_A-healthcheck-isp1_health1]quit
[FW_A]healthchecknameisp1_health2
[FW_A-healthcheck-isp1_health2]destination1.1.2.6interfaceEth-Trunk1.2protocolicmp
[FW_A-healthcheck-isp1_health2]destination1.1.1.222interfaceEth-Trunk1.2protocoldns
[FW_A-healthcheck-isp1_health2]quit
[FW_A]healthchecknameisp2_health1
[FW_A-healthcheck-isp2_health1]destination2.2.2.6interfaceEth-Trunk2.1protocolicmp
[FW_A-healthcheck-isp2_health1]destination2.2.2.222interfaceEth-Trunk2.1protocoldns
[FW_A-healthcheck-isp2_health1]quit
[FW_A]healthchecknameisp2_health2
[FW_A-healthcheck-isp2_health2]destination2.2.3.6interfaceEth-Trunk2.2protocolicmp
[FW_A-healthcheck-isp2_health2]destination2.2.2.222interfaceEth-Trunk2.2protocoldns
[FW_A-healthcheck-isp2_health2]quit

FW_B與FW_A的配置相同,請自行配置。

2.配置接口的網(wǎng)關(guān)地址、接口帶寬并應(yīng)用對應(yīng)的健康檢查。

接口應(yīng)用健康檢查功能后,當接口所在鏈路故障時,與其綁定的路由將失效。

[FW_A]interfaceEth-Trunk1.1
[FW_A-Eth-Trunk1.1]gateway1.1.1.6
[FW_A-Eth-Trunk1.1]bandwidthingress800000
[FW_A-Eth-Trunk1.1]bandwidthegress800000
[FW_A-Eth-Trunk1.1]healthcheckisp1_health1
[FW_A-Eth-Trunk1.1]quit
[FW_A]interfaceEth-Trunk1.2
[FW_A-Eth-Trunk1.2]gateway1.1.2.6
[FW_A-Eth-Trunk1.2]bandwidthingress400000
[FW_A-Eth-Trunk1.2]bandwidthegress400000
[FW_A-Eth-Trunk1.2]healthcheckisp1_health2
[FW_A-Eth-Trunk1.2]quit
[FW_A]interfaceEth-Trunk2.1
[FW_A-Eth-Trunk2.1]gateway2.2.2.6
[FW_A-Eth-Trunk2.1]bandwidthingress900000
[FW_A-Eth-Trunk2.1]bandwidthegress900000
[FW_A-Eth-Trunk2.1]healthcheckisp2_health1
[FW_A-Eth-Trunk2.1]quit
[FW_A]interfaceEth-Trunk2.2
[FW_A-Eth-Trunk2.2]gateway2.2.3.6
[FW_A-Eth-Trunk2.2]bandwidthingress600000
[FW_A-Eth-Trunk2.2]bandwidthegress600000
[FW_A-Eth-Trunk2.2]healthcheckisp2_health2
[FW_A-Eth-Trunk2.2]quit

FW_B與FW_A的配置相同,請自行配置。

3.配置DNS透明代理。

a.配置DNS透明代理參數(shù)。

[FW_A]dns-transparent-policy
[FW_A-policy-dns]dnstransparent-proxyenable
[FW_A-policy-dns]dnsserverbindinterfaceEth-Trunk1.1preferred1.1.1.222alternate1.1.1.223
[FW_A-policy-dns]dnsserverbindinterfaceEth-Trunk1.2preferred1.1.1.222alternate1.1.1.223
[FW_A-policy-dns]dnsserverbindinterfaceEth-Trunk2.1preferred2.2.2.222alternate2.2.2.223
[FW_A-policy-dns]dnsserverbindinterfaceEth-Trunk2.2preferred2.2.2.222alternate2.2.2.223
[FW_A-policy-dns]dnstransparent-proxyexcludedomainwww.example.comserverpreferred1.1.1.222
[FW_A-policy-dns]rulenamedns_proxy
[FW_A-policy-dns-rule-dns_proxy]actiontpdns
[FW_A-policy-dns-rule-dns_proxy]source-address10.3.0.024
[FW_A-policy-dns-rule-dns_proxy]quit
[FW_A-policy-dns]quit

FW_B與FW_A的配置相同,請自行配置。

dns transparent-proxy exclude domain命令用來配置不需要DNS透明代理的域名,這里假設(shè)www.example.com固定使用1.1.1.222這個DNS服務(wù)器進行解析,不進行DNS透明代理。

b.配置基于DNS服務(wù)的策略路由使DNS請求按鏈路權(quán)重進行分擔(dān)。

[FW_A]policy-based-route
[FW_A-policy-pbr]rulenamedns_pbr
[FW_A-policy-pbr-rule-dns_pbr]ingress-interfaceGigabitEthernet1/0/3
[FW_A-policy-pbr-rule-dns_pbr]servicedns
[FW_A-policy-pbr-rule-dns_pbr]actionpbregress-interfacemulti-interface
[FW_A-policy-pbr-rule-dns_pbr-multi-inter]addinterfaceEth-Trunk1.1weight2
[FW_A-policy-pbr-rule-dns_pbr-multi-inter]addinterfaceEth-Trunk1.2weight1
[FW_A-policy-pbr-rule-dns_pbr-multi-inter]addinterfaceEth-Trunk2.1weight3
[FW_A-policy-pbr-rule-dns_pbr-multi-inter]addinterfaceEth-Trunk2.2weight2
[FW_A-policy-pbr-rule-dns_pbr-multi-inter]modeproportion-of-weight
[FW_A-policy-pbr-rule-dns_pbr-multi-inter]quit
[FW_A-policy-pbr-rule-dns_pbr]quit

FW_B與FW_A的配置相同,請自行配置。

4.配置策略路由智能選路。

a.按如下格式準備ISP1和ISP2的地址文件,isp1.csv和isp2.csv。

6ec18c8c-3966-11ed-9e49-dac502259ad0.png

b.上傳ISP地址文件到FW_A。

c.為ISP1和ISP2分別創(chuàng)建運營商名稱isp1和isp2,并關(guān)聯(lián)對應(yīng)的ISP地址文件。

[FW_A]ispnameisp1setfilenameisp1.csv
[FW_A]ispnameisp2setfilenameisp2.csv

完成此配置后,防火墻自動生成以ISP名稱命名的地址集,地址集中包含對應(yīng)ISP的地址。該地址集中的內(nèi)容不能直接修改,只能通過重新導(dǎo)入ISP地址文件進行間接修改。ISP地址集可以被策略路由引用,作為源地址或目的地址。

FW_B與FW_A的配置相同,請自行配置。

d.配置基于應(yīng)用的策略路由,引導(dǎo)P2P流量從ISP2轉(zhuǎn)發(fā)。

[FW_A]policy-based-route
[FW_A-policy-pbr]rulenamep2p_pbr
[FW_A-policy-pbr-rule-p2p_pbr]ingress-interfaceGigabitEthernet1/0/3
[FW_A-policy-pbr-rule-p2p_pbr]applicationappBTThundereDonkey_eMule
[FW_A-policy-pbr-rule-p2p_pbr]actionpbregress-interfacemulti-interface
[FW_A-policy-pbr-rule-p2p_pbr-multi-inter]addinterfaceEth-Trunk2.1weight3
[FW_A-policy-pbr-rule-p2p_pbr-multi-inter]addinterfaceEth-Trunk2.2weight2
[FW_A-policy-pbr-rule-p2p_pbr-multi-inter]modeproportion-of-weight
[FW_A-policy-pbr-rule-p2p_pbr-multi-inter]quit
[FW_A-policy-pbr-rule-p2p_pbr]quit

多條策略路由規(guī)則的匹配順序是按配置順序匹配。本例配置了多條策略路由規(guī)則,注意先配置基于DNS服務(wù)和P2P應(yīng)用的策略路由,再配置基于目的地址的策略路由,否則將先匹配基于目的地址的策略路由,基于DNS服務(wù)和P2P應(yīng)用的策略路由就不生效了。

此處僅給出了BT、迅雷和電驢應(yīng)用作為例子,具體配置時請根據(jù)實際需求指定應(yīng)用。

FW_B與FW_A的配置相同,請自行配置。

e.配置基于ISP1地址為目的地址的策略路由,引導(dǎo)訪問ISP1的流量從ISP1鏈路轉(zhuǎn)發(fā)。

[FW_A-policy-pbr]rulenameisp1_pbr
[FW_A-policy-pbr-rule-isp1_pbr]ingress-interfaceGigabitEthernet1/0/3
[FW_A-policy-pbr-rule-isp1_pbr]destination-addressispisp1
[FW_A-policy-pbr-rule-isp1_pbr]actionpbregress-interfacemulti-interface
[FW_A-policy-pbr-rule-isp1_pbr-multi-inter]addinterfaceEth-Trunk1.1weight2
[FW_A-policy-pbr-rule-isp1_pbr-multi-inter]addinterfaceEth-Trunk1.2weight1
[FW_A-policy-pbr-rule-isp1_pbr-multi-inter]modeproportion-of-weight
[FW_A-policy-pbr-rule-isp1_pbr-multi-inter]quit
[FW_A-policy-pbr-rule-isp1_pbr]quit

FW_B與FW_A的配置相同,請自行配置。

f.配置基于ISP2地址為目的地址的策略路由,引導(dǎo)訪問ISP2的流量從ISP1鏈路轉(zhuǎn)發(fā)。

[FW_A-policy-pbr]rulenameisp2_pbr
[FW_A-policy-pbr-rule-isp2_pbr]ingress-interfaceGigabitEthernet1/0/3
[FW_A-policy-pbr-rule-isp2_pbr]destination-addressispisp2
[FW_A-policy-pbr-rule-isp2_pbr]actionpbregress-interfacemulti-interface
[FW_A-policy-pbr-rule-isp2_pbr-multi-inter]addinterfaceEth-Trunk2.1weight3
[FW_A-policy-pbr-rule-isp2_pbr-multi-inter]addinterfaceEth-Trunk2.2weight2
[FW_A-policy-pbr-rule-isp2_pbr-multi-inter]modeproportion-of-weight
[FW_A-policy-pbr-rule-isp2_pbr-multi-inter]quit
[FW_A-policy-pbr-rule-isp2_pbr]quit

FW_B與FW_A的配置相同,請自行配置。

5.配置OSPF。

a.在FW_A上配置OSPF,發(fā)布下行接口所在網(wǎng)段。

[FW_A]ospf1
[FW_A-ospf-1]area0
[FW_A-ospf-1-area-0.0.0.0]network10.0.3.00.0.0.255
[FW_A-ospf-1-area-0.0.0.0]network10.0.5.00.0.0.255
[FW_A-ospf-1-area-0.0.0.0]quit
[FW_A-ospf-1]quit

b.在FW_B上配置OSPF,發(fā)布下行接口所在網(wǎng)段。

[FW_B]ospf1
[FW_B-ospf-1]area0
[FW_B-ospf-1-area-0.0.0.0]network10.0.4.00.0.0.255
[FW_B-ospf-1-area-0.0.0.0]network10.0.6.00.0.0.255
[FW_B-ospf-1-area-0.0.0.0]quit
[FW_B-ospf-1]quit

4.3 配置雙機熱備

4.3.1 背景信息

按下圖配置雙機熱備。

6e8d769a-3966-11ed-9e49-dac502259ad0.png
雙機熱備

4.3.2 操作步驟

1.在FW_A的上行接口上配置VRRP備份組,并將VRRP備份組狀態(tài)設(shè)置為Active。

system-view
[FW_A]interfaceEth-Trunk1.1
[FW_A-Eth-Trunk1.1]vrrpvrid1virtual-ip1.1.1.129active
[FW_A-Eth-Trunk1.1]quit
[FW_A]interfaceEth-Trunk2.1
[FW_A-Eth-Trunk2.1]vrrpvrid2virtual-ip2.2.2.129active
[FW_A-Eth-Trunk2.1]quit
[FW_A]interfaceEth-Trunk1.2
[FW_A-Eth-Trunk1.2]vrrpvrid3virtual-ip1.1.2.129active
[FW_A-Eth-Trunk1.2]quit
[FW_A]interfaceEth-Trunk2.2
[FW_A-Eth-Trunk2.2]vrrpvrid4virtual-ip2.2.3.129active
[FW_A-Eth-Trunk2.2]quit

2.在FW_A上配置VGMP組監(jiān)控下行接口。

[FW_A]hrptrackinterfaceGigabitEthernet1/0/3
[FW_A]hrptrackinterfaceGigabitEthernet1/0/4

3.在FW_A配置根據(jù)VGMP狀態(tài)調(diào)整OSPF Cost值功能。

[FW_A]hrpadjustospf-costenable

4.在FW_A上開啟搶占功能,并配置搶占延遲時間為300s。

[FW_A]hrppreemptdelay300

5.在FW_A上指定心跳口,并啟用雙機熱備。

[FW_A]hrpinterfaceEth-Trunk0remote10.0.7.2
[FW_A]hrpenable

6.參考上述步驟配置FW_B的雙機熱備功能,不同之處是VRRP備份組狀態(tài)設(shè)置為Standby、hrp interface的遠端地址設(shè)置為10.0.7.1。

7.配置路由器和交換機。

a.在路由器上配置OSPF,發(fā)布相鄰網(wǎng)段,具體配置命令請參考路由器的相關(guān)文檔。

b.在交換機上將三個接口加入同一個VLAN,具體配置命令請參考交換機的相關(guān)文檔。

4.3.3 操作結(jié)果

至此,雙機熱備關(guān)系已經(jīng)建立,后續(xù)大部分配置都能夠備份。所以在下面的步驟中,我們只需在主用設(shè)備FW_A上配置即可(有特殊說明的配置除外)。

4.4 配置源NAT

4.4.1 操作步驟

1.配置NAT地址池pool_isp1_1,并指定地址池類型為NAPT。

HRP_M[FW_A]nataddress-grouppool_isp1_1
HRP_M[FW_A-address-group-pool_isp1_1]modepat
HRP_M[FW_A-address-group-pool_isp1_1]section1.1.1.101.1.1.12
HRP_M[FW_A-address-group-pool_isp1_1]routeenable
HRP_M[FW_A-address-group-pool_isp1_1]quit

route enable命令將會為NAT地址池中的地址生成UNR(User Network Route)路由,該UNR路由的作用與黑洞路由的作用相同,可以防止路由環(huán)路,

2.配置Trust與isp1_1區(qū)域之間的NAT策略,將來自Trust區(qū)域用戶報文的源地址轉(zhuǎn)換成地址池pool_isp1_1中的地址。

HRP_M[FW_A]nat-policy
HRP_M[FW_A-policy-nat]rulenamepolicy_nat1
HRP_M[FW_A-policy-nat-rule-policy_nat1]source-zonetrust
HRP_M[FW_A-policy-nat-rule-policy_nat1]destination-zoneisp1_1
HRP_M[FW_A-policy-nat-rule-policy_nat1]actionsource-nataddress-grouppool_isp1_1
HRP_M[FW_A-policy-nat-rule-policy_nat1]quit
HRP_M[FW_A-policy-nat]quit

3.配置NAT地址池pool_isp1_2,并指定地址池類型為NAPT。

HRP_M[FW_A]nataddress-grouppool_isp1_2
HRP_M[FW_A-address-group-pool_isp1_2]modepat
HRP_M[FW_A-address-group-pool_isp1_2]section1.1.2.101.1.2.12
HRP_M[FW_A-address-group-pool_isp1_2]routeenable
HRP_M[FW_A-address-group-pool_isp1_2]quit

4.配置Trust與isp1_2區(qū)域之間的NAT策略,將來自Trust區(qū)域用戶報文的源地址轉(zhuǎn)換成地址池pool_isp1_2中的地址。

HRP_M[FW_A]nat-policy
HRP_M[FW_A-policy-nat]rulenamepolicy_nat2
HRP_M[FW_A-policy-nat-rule-policy_nat2]source-zonetrust
HRP_M[FW_A-policy-nat-rule-policy_nat2]destination-zoneisp1_2
HRP_M[FW_A-policy-nat-rule-policy_nat2]actionsource-nataddress-grouppool_isp1_2
HRP_M[FW_A-policy-nat-rule-policy_nat2]quit
HRP_M[FW_A-policy-nat]quit

5.配置NAT地址池pool_isp2_1,并指定地址池類型為NAPT。

HRP_M[FW_A]nataddress-grouppool_isp2_1
HRP_M[FW_A-address-group-pool_isp2_1]modepat
HRP_M[FW_A-address-group-pool_isp2_1]section2.2.2.102.2.2.12
HRP_M[FW_A-address-group-pool_isp2_1]routeenable
HRP_M[FW_A-address-group-pool_isp2_1]quit

6.配置Trust與isp2_1區(qū)域之間的NAT策略,將來自Trust區(qū)域用戶報文的源地址轉(zhuǎn)換成地址池pool_isp2_1中的地址。

HRP_M[FW_A]nat-policy
HRP_M[FW_A-policy-nat]rulenamepolicy_nat3
HRP_M[FW_A-policy-nat-rule-policy_nat3]source-zonetrust
HRP_M[FW_A-policy-nat-rule-policy_nat3]destination-zoneisp2_1
HRP_M[FW_A-policy-nat-rule-policy_nat3]actionsource-nataddress-grouppool_isp2_1
HRP_M[FW_A-policy-nat-rule-policy_nat3]quit
HRP_M[FW_A-policy-nat]quit

7.配置NAT地址池pool_isp2_2,并指定地址池類型為NAPT。

HRP_M[FW_A]nataddress-grouppool_isp2_2
HRP_M[FW_A-address-group-pool_isp2_2]modepat
HRP_M[FW_A-address-group-pool_isp2_2]section2.2.3.102.2.3.12
HRP_M[FW_A-address-group-pool_isp2_2]routeenable
HRP_M[FW_A-address-group-pool_isp2_2]quit

8.配置Trust與isp2_2區(qū)域之間的NAT策略,將來自Trust區(qū)域用戶報文的源地址轉(zhuǎn)換成地址池pool_isp2_2中的地址。

HRP_M[FW_A]nat-policy
HRP_M[FW_A-policy-nat]rulenamepolicy_nat4
HRP_M[FW_A-policy-nat-rule-policy_nat4]source-zonetrust
HRP_M[FW_A-policy-nat-rule-policy_nat4]destination-zoneisp2_2
HRP_M[FW_A-policy-nat-rule-policy_nat4]actionsource-nataddress-grouppool_isp2_2
HRP_M[FW_A-policy-nat-rule-policy_nat4]quit
HRP_M[FW_A-policy-nat]quit

9.配置NAT ALG功能。

HRP_M[FW_A]detectftp

HRP_M[FW_A]detectsip

HRP_M[FW_A]detecth323

HRP_M[FW_A]detectrtsp

HRP_M[FW_A]detectqq

4.5 配置NAT Server和智能DNS

4.5.1 背景信息

智能DNS受內(nèi)容安全組合License控制,并且通過動態(tài)加載功能加載相應(yīng)組件包后方可使用。

對于USG9500,智能DNS需要應(yīng)用安全業(yè)務(wù)處理子卡(SPC-APPSEC-FW)在位,否則功能不可用。

4.5.2 操作步驟

1.配置NAT Server。

a.配置NAT Server功能,將Web服務(wù)器的私網(wǎng)地址分別映射成供ISP1和ISP2用戶訪問的公網(wǎng)地址。

HRP_M[FW_A]natserverpolicy_web1zoneisp1_1protocoltcpglobal1.1.1.158080inside10.0.10.10www
HRP_M[FW_A]natserverpolicy_web2zoneisp1_2protocoltcpglobal1.1.2.158080inside10.0.10.10www
HRP_M[FW_A]natserverpolicy_web3zoneisp2_1protocoltcpglobal2.2.2.158080inside10.0.10.10www
HRP_M[FW_A]natserverpolicy_web4zoneisp2_2protocoltcpglobal2.2.3.158080inside10.0.10.10www

b.配置NAT Server功能,將FTP服務(wù)器的私網(wǎng)地址分別映射成供ISP1和ISP2用戶訪問的公網(wǎng)地址。

HRP_M[FW_A]natserverpolicy_ftp1zoneisp1_1protocoltcpglobal1.1.1.16ftpinside10.0.10.11ftp
HRP_M[FW_A]natserverpolicy_ftp2zoneisp1_2protocoltcpglobal1.1.2.16ftpinside10.0.10.11ftp
HRP_M[FW_A]natserverpolicy_ftp3zoneisp2_1protocoltcpglobal2.2.2.16ftpinside10.0.10.11ftp
HRP_M[FW_A]natserverpolicy_ftp4zoneisp2_2protocoltcpglobal2.2.3.16ftpinside10.0.10.11ftp

c.配置NAT Server功能,將DNS服務(wù)器的私網(wǎng)地址分別映射成供ISP1和ISP2用戶訪問的公網(wǎng)地址。

HRP_M[FW_A]natserverpolicy_dns1zoneisp1_1protocoltcpglobal1.1.1.17domaininside10.0.10.20domain
HRP_M[FW_A]natserverpolicy_dns2zoneisp1_2protocoltcpglobal1.1.2.17domaininside10.0.10.20domain
HRP_M[FW_A]natserverpolicy_dns3zoneisp2_1protocoltcpglobal2.2.2.17domaininside10.0.10.20domain
HRP_M[FW_A]natserverpolicy_dns4zoneisp2_2protocoltcpglobal2.2.3.17domaininside10.0.10.20domain

2.配置源進源出功能。

在接口上配置IP地址和網(wǎng)關(guān)地址后,才能配置源進源出功能。IP地址和網(wǎng)關(guān)地址已經(jīng)在配置接口和安全區(qū)域和配置智能選路及路由中配置完成。

接口下配置不支持備份,因此需要同時在FW_A和FW_B上配置源進源出功能。

HRP_M[FW_A]interfaceEth-Trunk1.1
HRP_M[FW_A-Eth-Trunk1.1]redirect-reversenext-hop1.1.1.6
HRP_M[FW_A-Eth-Trunk1.1]quit
HRP_M[FW_A]interfaceEth-Trunk2.1
HRP_M[FW_A-Eth-Trunk2.1]redirect-reversenext-hop2.2.2.6
HRP_M[FW_A-Eth-Trunk2.1]quit
HRP_M[FW_A]interfaceEth-Trunk1.2
HRP_M[FW_A-Eth-Trunk1.2]redirect-reversenext-hop1.1.2.6
HRP_M[FW_A-Eth-Trunk1.2]quit
HRP_M[FW_A]interfaceEth-Trunk2.2
HRP_M[FW_A-Eth-Trunk2.2]redirect-reversenext-hop2.2.3.6
HRP_M[FW_A-Eth-Trunk2.2]quit
HRP_S[FW_B]interfaceEth-Trunk1.1
HRP_S[FW_B-Eth-Trunk1.1]redirect-reversenext-hop1.1.1.6
HRP_S[FW_B-Eth-Trunk1.1]quit
HRP_S[FW_B]interfaceEth-Trunk2.1
HRP_S[FW_B-Eth-Trunk2.1]redirect-reversenext-hop2.2.2.6
HRP_S[FW_B-Eth-Trunk2.1]quit
HRP_S[FW_B]interfaceEth-Trunk1.2
HRP_S[FW_B-Eth-Trunk1.2]redirect-reversenext-hop1.1.2.6
HRP_S[FW_B-Eth-Trunk1.2]quit
HRP_S[FW_B]interfaceEth-Trunk2.2
HRP_S[FW_B-Eth-Trunk2.2]redirect-reversenext-hop2.2.3.6
HRP_S[FW_B-Eth-Trunk2.2]quit

3.配置智能DNS。

DNS服務(wù)器部署在內(nèi)網(wǎng)且記錄了Web和FTP服務(wù)器域名與公網(wǎng)IP地址的對應(yīng)關(guān)系,此時配置智能DNS功能,確保各個ISP的用戶訪問內(nèi)網(wǎng)服務(wù)器時,都能夠解析到自己ISP為服務(wù)器分配的地址,從而提高訪問速度。例如使ISP1的用戶訪問內(nèi)網(wǎng)的Web服務(wù)器10.0.10.10時,能夠解析到服務(wù)器的ISP1地址1.1.1.15, ISP2的用戶訪問內(nèi)網(wǎng)的Web服務(wù)器10.0.10.10時,能夠解析到服務(wù)器的ISP2地址2.2.2.15。

HRP_M[FW_A]dns-smartenable
HRP_M[FW_A]dns-smartgroup1typemulti
HRP_M[FW_A-dns-smart-group-1]out-interfaceEth-Trunk1.1map1.1.1.15
HRP_M[FW_A-dns-smart-group-1]out-interfaceEth-Trunk2.1map2.2.2.15
HRP_M[FW_A-dns-smart-group-1]out-interfaceEth-Trunk1.2map1.1.2.15
HRP_M[FW_A-dns-smart-group-1]out-interfaceEth-Trunk2.2map2.2.3.15
HRP_M[FW_A-dns-smart-group-1]quit
HRP_M[FW_A]dns-smartgroup2typemulti
HRP_M[FW_A-dns-smart-group-2]out-interfaceEth-Trunk1.1map1.1.1.16
HRP_M[FW_A-dns-smart-group-2]out-interfaceEth-Trunk2.1map2.2.2.16
HRP_M[FW_A-dns-smart-group-2]out-interfaceEth-Trunk1.2map1.1.2.16
HRP_M[FW_A-dns-smart-group-2]out-interfaceEth-Trunk2.2map2.2.3.16
HRP_M[FW_A-dns-smart-group-2]quit

4.配置NAT Server公網(wǎng)地址的黑洞路由,避免防火墻與ISP路由器之間產(chǎn)生路由環(huán)路。

路由配置不支持備份,因此需要同時在FW_A和FW_B上配置。

HRP_M[FW_A]iproute-static1.1.1.1532NULL0
HRP_M[FW_A]iproute-static1.1.1.1632NULL0
HRP_M[FW_A]iproute-static1.1.1.1732NULL0
HRP_M[FW_A]iproute-static2.2.2.1532NULL0
HRP_M[FW_A]iproute-static2.2.2.1632NULL0
HRP_M[FW_A]iproute-static2.2.2.1732NULL0
HRP_M[FW_A]iproute-static1.1.2.1532NULL0
HRP_M[FW_A]iproute-static1.1.2.1632NULL0
HRP_M[FW_A]iproute-static1.1.2.1732NULL0
HRP_M[FW_A]iproute-static2.2.3.1532NULL0
HRP_M[FW_A]iproute-static2.2.3.1632NULL0
HRP_M[FW_A]iproute-static2.2.3.1732NULL0
HRP_S[FW_B]iproute-static1.1.1.1532NULL0
HRP_S[FW_B]iproute-static1.1.1.1632NULL0
HRP_S[FW_B]iproute-static1.1.1.1732NULL0
HRP_S[FW_B]iproute-static2.2.2.1532NULL0
HRP_S[FW_B]iproute-static2.2.2.1632NULL0
HRP_S[FW_B]iproute-static2.2.2.1732NULL0
HRP_S[FW_B]iproute-static1.1.2.1532NULL0
HRP_S[FW_B]iproute-static1.1.2.1632NULL0
HRP_S[FW_B]iproute-static1.1.2.1732NULL0
HRP_S[FW_B]iproute-static2.2.3.1532NULL0
HRP_S[FW_B]iproute-static2.2.3.1632NULL0
HRP_S[FW_B]iproute-static2.2.3.1732NULL0

4.6 配置安全策略及安全防護

4.6.1 操作步驟

1.配置Trust區(qū)域到isp1_1、isp1_2區(qū)域的安全策略,允許內(nèi)網(wǎng)用戶通過ISP1訪問Internet,并進行入侵防御檢測。

HRP_M[FW_A]security-policy
HRP_M[FW_A-policy-security]rulenametrust_to_isp1
HRP_M[FW_A-policy-security-rule-trust_to_isp1]source-zonetrust
HRP_M[FW_A-policy-security-rule-trust_to_isp1]destination-zoneisp1_1isp1_2
HRP_M[FW_A-policy-security-rule-trust_to_isp1]profileipsdefault
HRP_M[FW_A-policy-security-rule-trust_to_isp1]actionpermit
HRP_M[FW_A-policy-security-rule-trust_to_isp1]quit

2.配置Trust區(qū)域到isp2_1、isp2_2區(qū)域的安全策略,允許內(nèi)網(wǎng)用戶通過ISP2訪問Internet,并進行入侵防御檢測。

HRP_M[FW_A-policy-security]rulenametrust_to_isp2
HRP_M[FW_A-policy-security-rule-trust_to_isp2]source-zonetrust
HRP_M[FW_A-policy-security-rule-trust_to_isp2]destination-zoneisp2_1isp2_2
HRP_M[FW_A-policy-security-rule-trust_to_isp2]profileipsdefault
HRP_M[FW_A-policy-security-rule-trust_to_isp2]actionpermit
HRP_M[FW_A-policy-security-rule-trust_to_isp2]quit

3.配置isp1_1、isp1_2區(qū)域到DMZ區(qū)域的安全策略,允許外網(wǎng)用戶通過ISP1鏈路訪問DMZ區(qū)域的Web服務(wù)器、FTP服務(wù)器和DNS服務(wù)器,并進行入侵防御檢測。

HRP_M[FW_A-policy-security]rulenameisp1_to_http
HRP_M[FW_A-policy-security-rule-isp1_to_http]source-zoneisp1_1isp1_2
HRP_M[FW_A-policy-security-rule-isp1_to_http]destination-zonedmz
HRP_M[FW_A-policy-security-rule-isp1_to_http]destination-address10.0.10.1024
HRP_M[FW_A-policy-security-rule-isp1_to_http]servicehttp
HRP_M[FW_A-policy-security-rule-isp1_to_http]profileipsdefault
HRP_M[FW_A-policy-security-rule-isp1_to_http]actionpermit
HRP_M[FW_A-policy-security-rule-isp1_to_http]quit
HRP_M[FW_A-policy-security]rulenameisp1_to_ftp
HRP_M[FW_A-policy-security-rule-isp1_to_ftp]source-zoneisp1_1isp1_2
HRP_M[FW_A-policy-security-rule-isp1_to_ftp]destination-zonedmz
HRP_M[FW_A-policy-security-rule-isp1_to_ftp]destination-address10.0.10.1124
HRP_M[FW_A-policy-security-rule-isp1_to_ftp]serviceftp
HRP_M[FW_A-policy-security-rule-isp1_to_ftp]profileipsdefault
HRP_M[FW_A-policy-security-rule-isp1_to_ftp]actionpermit
HRP_M[FW_A-policy-security-rule-isp1_to_ftp]quit
HRP_M[FW_A-policy-security]rulenameisp1_to_dns
HRP_M[FW_A-policy-security-rule-isp1_to_dns]source-zoneisp1_1isp1_2
HRP_M[FW_A-policy-security-rule-isp1_to_dns]destination-zonedmz
HRP_M[FW_A-policy-security-rule-isp1_to_dns]destination-address10.0.10.2024
HRP_M[FW_A-policy-security-rule-isp1_to_dns]servicedns
HRP_M[FW_A-policy-security-rule-isp1_to_dns]profileipsdefault
HRP_M[FW_A-policy-security-rule-isp1_to_dns]actionpermit
HRP_M[FW_A-policy-security-rule-isp1_to_dns]quit

4.配置isp2_1、isp2_2區(qū)域到DMZ區(qū)域的安全策略,允許外網(wǎng)用戶通過ISP2鏈路訪問DMZ區(qū)域的Web服務(wù)器、FTP服務(wù)器和DNS服務(wù)器,并進行入侵防御檢測。

HRP_M[FW_A-policy-security]rulenameisp2_to_http
HRP_M[FW_A-policy-security-rule-isp2_to_http]source-zoneisp2_1isp2_2
HRP_M[FW_A-policy-security-rule-isp2_to_http]destination-zonedmz
HRP_M[FW_A-policy-security-rule-isp2_to_http]destination-address10.0.10.1024
HRP_M[FW_A-policy-security-rule-isp2_to_http]servicehttp
HRP_M[FW_A-policy-security-rule-isp2_to_http]profileipsdefault
HRP_M[FW_A-policy-security-rule-isp2_to_http]actionpermit
HRP_M[FW_A-policy-security-rule-isp2_to_http]quit
HRP_M[FW_A-policy-security]rulenameisp2_to_ftp
HRP_M[FW_A-policy-security-rule-isp2_to_ftp]source-zoneisp2_1isp2_2
HRP_M[FW_A-policy-security-rule-isp2_to_ftp]destination-zonedmz
HRP_M[FW_A-policy-security-rule-isp2_to_ftp]destination-address10.0.10.1124
HRP_M[FW_A-policy-security-rule-isp2_to_ftp]serviceftp
HRP_M[FW_A-policy-security-rule-isp2_to_ftp]profileipsdefault
HRP_M[FW_A-policy-security-rule-isp2_to_ftp]actionpermit
HRP_M[FW_A-policy-security-rule-isp2_to_ftp]quit
HRP_M[FW_A-policy-security]rulenameisp1_to_dns
HRP_M[FW_A-policy-security-rule-isp2_to_dns]source-zoneisp2_1isp2_2
HRP_M[FW_A-policy-security-rule-isp2_to_dns]destination-zonedmz
HRP_M[FW_A-policy-security-rule-isp2_to_dns]destination-address10.0.10.2024
HRP_M[FW_A-policy-security-rule-isp2_to_dns]servicedns
HRP_M[FW_A-policy-security-rule-isp2_to_dns]profileipsdefault
HRP_M[FW_A-policy-security-rule-isp2_to_dns]actionpermit
HRP_M[FW_A-policy-security-rule-isp2_to_dns]quit

5.配置Trust區(qū)域到DMZ區(qū)域的安全策略,允許內(nèi)網(wǎng)用戶訪問DMZ區(qū)域的Web服務(wù)器、FTP服務(wù)器和DNS服務(wù)器,并進行入侵防御檢測。

HRP_M[FW_A-policy-security]rulenametrust_to_http
HRP_M[FW_A-policy-security-rule-trust_to_http]source-zonetrust
HRP_M[FW_A-policy-security-rule-trust_to_http]destination-zonedmz
HRP_M[FW_A-policy-security-rule-trust_to_http]destination-address10.0.10.1024
HRP_M[FW_A-policy-security-rule-trust_to_http]servicehttp
HRP_M[FW_A-policy-security-rule-trust_to_http]profileipsdefault
HRP_M[FW_A-policy-security-rule-trust_to_http]actionpermit
HRP_M[FW_A-policy-security-rule-trust_to_http]quit
HRP_M[FW_A-policy-security]rulenametrust_to_ftp
HRP_M[FW_A-policy-security-rule-trust_to_ftp]source-zonetrust
HRP_M[FW_A-policy-security-rule-trust_to_ftp]destination-zonedmz
HRP_M[FW_A-policy-security-rule-trust_to_ftp]destination-address10.0.10.1124
HRP_M[FW_A-policy-security-rule-trust_to_ftp]serviceftp
HRP_M[FW_A-policy-security-rule-trust_to_ftp]profileipsdefault
HRP_M[FW_A-policy-security-rule-trust_to_ftp]actionpermit
HRP_M[FW_A-policy-security-rule-trust_to_ftp]quit
HRP_M[FW_A-policy-security]rulenametrust_to_dns
HRP_M[FW_A-policy-security-rule-trust_to_dns]source-zonetrust
HRP_M[FW_A-policy-security-rule-trust_to_dns]destination-zonedmz
HRP_M[FW_A-policy-security-rule-trust_to_dns]destination-address10.0.10.2024
HRP_M[FW_A-policy-security-rule-trust_to_dns]servicedns
HRP_M[FW_A-policy-security-rule-trust_to_dns]profileipsdefault
HRP_M[FW_A-policy-security-rule-trust_to_dns]actionpermit
HRP_M[FW_A-policy-security-rule-trust_to_dns]quit

6.配置Local到DMZ區(qū)域的安全策略,允許防火墻向與日志服務(wù)器發(fā)送日志。

HRP_M[FW_A-policy-security]rulenamelocal_to_logcenter
HRP_M[FW_A-policy-security-rule-local_to_logcenter]source-zonelocal
HRP_M[FW_A-policy-security-rule-local_to_logcenter]destination-zonedmz
HRP_M[FW_A-policy-security-rule-local_to_logcenter]destination-address10.0.10.3024
HRP_M[FW_A-policy-security-rule-local_to_logcenter]actionpermit
HRP_M[FW_A-policy-security-rule-local_to_logcenter]quit

7.配置Local到isp1和isp2區(qū)域的安全策略,允許FW連接安全中心升級特征庫、發(fā)送健康檢查報文。

HRP_M[FW_A-policy-security]rulenamelocal_to_isp
HRP_M[FW_A-policy-security-rule-local_to_isp]source-zonelocal
HRP_M[FW_A-policy-security-rule-local_to_isp]destination-zoneisp1_1isp1_2isp2_1isp2_2
HRP_M[FW_A-policy-security-rule-local_to_isp]actionpermit
HRP_M[FW_A-policy-security-rule-local_to_isp]quit
HRP_M[FW_A-policy-security]quit

對于USG6000&USG9500 V500R001C80之前的版本,需要在FW上配置對應(yīng)的安全策略,允許FW向目的設(shè)備發(fā)送健康檢查探測報文。對于V500R001C80及之后的版本,健康檢查的探測報文不受安全策略控制,默認放行,無需配置相應(yīng)安全策略。

8.入侵防御特征庫和應(yīng)用識別特征庫自動升級。

a.確保防火墻已經(jīng)激活支持入侵防御特征庫升級服務(wù)器的License。

HRP_M[FW_A]displaylicense
IPS:Enabled;serviceexpiretime:2015/06/12

b.配置DNS服務(wù)器,使防火墻能通過域名訪問安全中心。

HRP_M[FW_A]dnsresolve
HRP_M[FW_A]dnsserver1.1.1.222

c.配置特征庫定時自動升級。

HRP_M[FW_A]updatescheduleips-sdbenable
HRP_M[FW_A]updateschedulesa-sdbenable
HRP_M[FW_A]updatescheduleips-sdbdaily03:00
HRP_M[FW_A]updateschedulesa-sdbweeklyMon03:00

9.配置攻擊防范。

HRP_M[FW_A]firewalldefendlandenable
HRP_M[FW_A]firewalldefendsmurfenable
HRP_M[FW_A]firewalldefendfraggleenable
HRP_M[FW_A]firewalldefendip-fragmentenable
HRP_M[FW_A]firewalldefendtcp-flagenable
HRP_M[FW_A]firewalldefendwinnukeenable
HRP_M[FW_A]firewalldefendsource-routeenable
HRP_M[FW_A]firewalldefendteardropenable
HRP_M[FW_A]firewalldefendroute-recordenable
HRP_M[FW_A]firewalldefendtime-stampenable
HRP_M[FW_A]firewalldefendping-of-deathenable

4.7 配置用戶溯源

4.7.1 背景信息

防火墻向eLog發(fā)送二進制會話日志、IM日志,eLog采集并存儲、分析日志。根據(jù)這些日志可以獲取用戶NAT前的原始IP、IM上下線記錄等滿足審需求。

4.7.2 操作步驟

1.在FW_A上配置日志主機。

HRP_M[FW_A]firewallloghost110.0.10.309002
HRP_M[FW_A]firewalllogsource10.0.5.16000

2.在FW_A的安全策略中開啟會話日志功能記錄功能。

HRP_M[FW_A]security-policy
HRP_M[FW_A-policy-security]rulenametrust_to_isp1
HRP_M[FW_A-policy-security-rule-trust_to_isp1]sessionlogging
HRP_M[FW_A-policy-security-rule-trust_to_isp1]quit
HRP_M[FW_A-policy-security]rulenametrust_to_isp2
HRP_M[FW_A-policy-security-rule-trust_to_isp2]sessionlogging
HRP_M[FW_A-policy-security-rule-trust_to_isp2]quit
HRP_M[FW_A-policy-security]quit

3.在FW_A上開啟IM日志發(fā)送功能。

HRP_M[FW_A]firewalllogimenable

4.在FW_B上配置向日志主機發(fā)送日志的源IP和端口,此配置不支持備份。

HRP_S[FW_B]firewalllogsource10.0.6.16000

5.在FW_A上配置SNMP V3。

HRP_M[FW_A]snmp-agentsys-infoversionv3
HRP_M[FW_A]snmp-agentgroupv3NMS1privacy
HRP_M[FW_A]snmp-agentusm-userv3admin1groupNMS1
HRP_M[FW_A]snmp-agentusm-userv3admin1authentication-modemd5cipherAdmin@123abcdefg1234567890abccba10
HRP_M[FW_A]snmp-agentusm-userv3admin1privacy-modeaes256cipherAdmin@123abcdefg1234567890abccba10

6.在FW_B上配置SNMP V3,此配置不支持備份。

HRP_S[FW_B]snmp-agentsys-infoversionv3
HRP_S[FW_B]snmp-agentgroupv3NMS1privacy
HRP_S[FW_B]snmp-agentusm-userv3admin1groupNMS1
HRP_S[FW_B]snmp-agentusm-userv3admin1authentication-modemd5cipherAdmin@123abcdefg1234567890abccba10
HRP_S[FW_B]snmp-agentusm-userv3admin1privacy-modeaes256cipherAdmin@123abcdefg1234567890abccba10

7.eLog配置完成后,在eLog上選擇“日志分析 > 會話分析 > IPv4會話日志”,可以查看會話日志。選擇“日志分析 > 網(wǎng)絡(luò)安全分析 > 即時通信”,可以查看IM日志。

4.8 查看流量統(tǒng)計

4.8.1 操作步驟

1.登錄Web配置界面。

2.在面板中查看接口或整機流量趨勢。

6f105948-3966-11ed-9e49-dac502259ad0.png

3.對于USG6000,如果安裝有硬盤還可以選擇“監(jiān)控 > 報表 > 流量報表”查看流量報表。可以基于地址、應(yīng)用等查詢流量趨勢。

6f2b6fda-3966-11ed-9e49-dac502259ad0.png

4.9 結(jié)果驗證

內(nèi)網(wǎng)用戶可以正常訪問Internet。

外網(wǎng)用戶可以通過公網(wǎng)IP訪問內(nèi)網(wǎng)服務(wù)器。

eLog可以獲取防火墻會話日志。

在主防火墻的接口GigabitEthernet 1/0/1上執(zhí)行shutdown命令,模擬鏈路故障,發(fā)現(xiàn)主備正常倒換,業(yè)務(wù)不會中斷。

五、方案總結(jié)與建議

5.1 方案總結(jié)

本案例介紹了防火墻部署在廣電網(wǎng)絡(luò)出口的組網(wǎng)規(guī)劃及部署,實際可以根據(jù)需求選擇配置的功能。該方案有如下幾點總結(jié):

網(wǎng)絡(luò)部署上采取了雙機熱備部署方式,上行連接交換機部署VRRP,下行連接路由器運行OSPF。實際還可能上行也部署出口路由器運行OSPF。本案例中的部署方式尤其注意防火墻上行接口需規(guī)劃公網(wǎng)地址,否則無法指定接口網(wǎng)關(guān)。

多出口智能選路是廣電出口的重要需求,本例通過如下方式實現(xiàn)需求:

出站:本例通過多出口策略路由實現(xiàn)了兩個需求,目的地址屬于哪個ISP就從哪條鏈路轉(zhuǎn)發(fā)、屬于同一個ISP的流量在該ISP的多條鏈路間按權(quán)重負載分擔(dān)。

入站:配置NAT Server向不同ISP公布不同的服務(wù)器公網(wǎng)IP地址。同時如果為服務(wù)器提供域名解析的DNS服務(wù)器部署在內(nèi)網(wǎng),防火墻還提供了智能DNS功能使各ISP的外網(wǎng)用戶能夠解析到自己ISP為服務(wù)器分配的地址,從而提高訪問服務(wù)器的速度。

5.2 其他配置建議

本例中使用了最常用的NAPT進行地址轉(zhuǎn)換,如果網(wǎng)絡(luò)中P2P流量較多可以選擇配置三元組NAT節(jié)省二級運營商的運營資費。

文件共享、語音通信、視頻等P2P應(yīng)用的實現(xiàn)原理都是先從服務(wù)器獲取對端的IP和端口,然后直接與對方建立連接。此時NAPT與P2P不能很好地共存。

例如:內(nèi)網(wǎng)PC1首先和外網(wǎng)的P2P服務(wù)器進行交互(登錄、認證等操作),防火墻會對PC1訪問P2P服務(wù)器的報文進行NAPT方式的轉(zhuǎn)換,P2P服務(wù)器記錄PC1經(jīng)過轉(zhuǎn)換后的公網(wǎng)地址和端口。當PC2需要下載文件時,服務(wù)器會將PC1的地址和端口發(fā)給PC2,然后PC2從PC1上下載文件。但是因為PC2訪問PC1無法匹配會話表而被防火墻拒絕訪問,PC2就只能再向其他主機請求資源文件。

這樣如果PC1和PC2都位于內(nèi)網(wǎng),PC2卻只能向外網(wǎng)主機請求資源文件。這樣當有大量的內(nèi)網(wǎng)用戶進行P2P下載時,這種業(yè)務(wù)就會占用很多運營商帶寬,而且浪費了二級運營商的流量資費。同時,對于跨網(wǎng)絡(luò)訪問,用戶的下載體驗也不佳。

三元組NAT可以解決此問題,無論PC1是否訪問過PC2,只要PC2獲取到PC1經(jīng)過NAT轉(zhuǎn)換后的地址和端口,就可以主動向該地址和端口發(fā)起訪問。防火墻上即使沒有配置相應(yīng)的安全策略,也允許此類訪問報文通過。兩臺內(nèi)網(wǎng)PC可以不通過外網(wǎng)直接進行P2P下載,節(jié)約了二級運營商的流量資費。

三元組NAT配置與NAPT配置差異不大,只是指定地址池類型為full-cone類型。

HRP_M[FW_A]nataddress-grouppool_isp1
HRP_M[FW_A-address-group-pool_isp1]modefull-coneglobal
HRP_M[FW_A-address-group-pool_isp1]section1.1.1.101.1.1.12
HRP_M[FW_A-address-group-isp1]quit

對于USG9500配置三元組NAT前,必須保證HASH選板模式為源地址HASH模式。具體的配置命令如下:

[FW]firewallhash-modesource-only

配置完成后需要重新啟動設(shè)備才能生效。

審核編輯:湯梓紅
聲明:本文內(nèi)容及配圖由入駐作者撰寫或者入駐合作網(wǎng)站授權(quán)轉(zhuǎn)載。文章觀點僅代表作者本人,不代表電子發(fā)燒友網(wǎng)立場。文章及其配圖僅供工程師學(xué)習(xí)之用,如有內(nèi)容侵權(quán)或者其他違規(guī)問題,請聯(lián)系本站處理。 舉報投訴
  • 服務(wù)器
    +關(guān)注

    關(guān)注

    12

    文章

    9332

    瀏覽量

    86132
  • 防火墻
    +關(guān)注

    關(guān)注

    0

    文章

    420

    瀏覽量

    35692
  • 廣電網(wǎng)絡(luò)
    +關(guān)注

    關(guān)注

    0

    文章

    41

    瀏覽量

    9389

原文標題:防火墻在廣電出口安全方案中的應(yīng)用

文章出處:【微信號:網(wǎng)絡(luò)技術(shù)干貨圈,微信公眾號:網(wǎng)絡(luò)技術(shù)干貨圈】歡迎添加關(guān)注!文章轉(zhuǎn)載請注明出處。

收藏 人收藏

    評論

    相關(guān)推薦

    【電腦安全技巧】電腦防火墻的使用技巧

    、根據(jù)法規(guī)協(xié)議和更改需求來校驗每項防火墻的更改 防火墻操作,日常工作都是以尋找問題,修正問題和安裝新系統(tǒng)為中心的。安裝最新
    發(fā)表于 07-12 15:59

    發(fā)現(xiàn) STM32 防火墻安全配置

    時使用了不同的配置,演示了防火墻外設(shè)的靈活性與不同的安全性,具有很好的學(xué)習(xí)用途,但是實際應(yīng)用,為最大化安全考慮,我們究竟應(yīng)該去應(yīng)用哪一種
    發(fā)表于 07-27 11:04

    防火墻多級安全參考模型的設(shè)計與實現(xiàn)

    為了更好地利用防火墻阻止拒絕服務(wù)攻擊和信息泄露,針對防火墻發(fā)展現(xiàn)狀和存在的問題基礎(chǔ)上,提出了防火墻多級安全參考模型,設(shè)計了對防火墻的自主和強
    發(fā)表于 02-27 16:09 ?21次下載
    <b class='flag-5'>防火墻</b>多級<b class='flag-5'>安全</b>參考模型的設(shè)計與實現(xiàn)

    基于Linux 高校網(wǎng)絡(luò)防火墻的設(shè)計

    眾多網(wǎng)絡(luò)安全技術(shù),防火墻技術(shù)是常用的一種。本文首先分析了網(wǎng)絡(luò)安全防火墻的基本概念,然后設(shè)計
    發(fā)表于 06-06 15:40 ?30次下載

    防火墻技術(shù)

    防火墻技術(shù).ppt 防火墻及相關(guān)概念包過濾型防火墻代理服務(wù)型防火墻 防火墻的配置分布式防火墻
    發(fā)表于 06-16 23:41 ?0次下載

    基于Linux高校網(wǎng)絡(luò)防火墻的設(shè)計

    眾多網(wǎng)絡(luò)安全技術(shù),防火墻技術(shù)是常用的一種。本文首先分析了網(wǎng)絡(luò)安全防火墻的基本概念,然后設(shè)計
    發(fā)表于 12-16 12:15 ?23次下載

    防火墻防火墻的滲透技術(shù)

    防火墻防火墻的滲透技術(shù) 傳統(tǒng)的防火墻工作原理及優(yōu)缺點: 1.(傳統(tǒng)的)包過濾防火墻的工作原理   包過濾是IP層實現(xiàn)的,因
    發(fā)表于 08-01 10:26 ?1081次閱讀

    究竟什么是防火墻

    究竟什么是防火墻?     Q:防火墻初級入門:究竟什么是防火墻?     A:防火墻定義
    發(fā)表于 02-24 11:51 ?788次閱讀

    防火墻的性能測試方案

      隨著信息安全要求越來越高,防火墻成為必不可少的網(wǎng)絡(luò)元素。但防火墻設(shè)備在網(wǎng)絡(luò)的主要作用不是報文轉(zhuǎn)
    發(fā)表于 11-16 11:11 ?2749次閱讀

    防火墻穿透技術(shù)及其應(yīng)用探析

    技術(shù)的實際應(yīng)用。防火墻穿透技術(shù)可以穿透現(xiàn)階段主流防火墻。研究表明,防火墻穿透技術(shù)能夠有效保護互聯(lián)網(wǎng)安全,現(xiàn)代網(wǎng)絡(luò)應(yīng)用
    發(fā)表于 12-28 09:54 ?6次下載

    什么是數(shù)據(jù)庫防火墻 數(shù)據(jù)庫防火墻作用是什么

    由于數(shù)據(jù)庫防火墻這個詞通俗易懂,和防火墻、Web防火墻、下一代防火墻等主流安全產(chǎn)品一脈相承,很多公司也就把自己的數(shù)據(jù)(庫)
    發(fā)表于 07-04 14:50 ?1.2w次閱讀

    什么是防火墻防火墻如何工作?

    防火墻是網(wǎng)絡(luò)與萬維網(wǎng)之間的關(guān)守,它位于網(wǎng)絡(luò)的入口和出口。 它評估網(wǎng)絡(luò)流量,僅允許某些流量進出。防火墻分析網(wǎng)絡(luò)數(shù)據(jù)包頭,其中包含有關(guān)要進入或退出網(wǎng)絡(luò)的流量的信息。然后,基于防火墻上配置的
    的頭像 發(fā)表于 09-30 14:35 ?5449次閱讀

    防火墻云計算安全方案的應(yīng)用方案

      防火墻旁掛在云計算網(wǎng)絡(luò)的核心交換機上,通過虛擬系統(tǒng)隔離網(wǎng)絡(luò)的虛擬機業(yè)務(wù)。同時,防火墻形成雙機熱備狀態(tài),提高業(yè)務(wù)的可靠性。
    的頭像 發(fā)表于 11-02 16:33 ?1544次閱讀

    恒訊科技分析:什么是防火墻與下一代防火墻(NGFW)?

    本文中,小編將詳細給大家分析一下什么是防火墻與下一代防火墻(NGFW)? 一、什么是防火墻? 防火墻是一種網(wǎng)絡(luò)
    的頭像 發(fā)表于 06-13 17:38 ?1419次閱讀

    防火墻和web應(yīng)用防火墻詳細介紹

    防火墻和Web應(yīng)用防火墻是兩種不同的網(wǎng)絡(luò)安全工具,它們多個方面存在顯著的區(qū)別,同時也各自的領(lǐng)域內(nèi)發(fā)揮著重要的作用,主機推薦小編為您整理
    的頭像 發(fā)表于 12-19 10:14 ?137次閱讀