所选语种没有对应资源,请选择:

本站点使用Cookies,继续浏览表示您同意我们使用Cookies。Cookies和隐私政策>

提示

尊敬的用户,您的IE浏览器版本过低,为获取更好的浏览体验,请升级您的IE浏览器。

升级

防火墙在金融数据中心安全方案中的应用

评分并提供意见反馈 :
华为采用机器翻译与人工审校相结合的方式将此文档翻译成不同语言,希望能帮助您更容易理解此文档的内容。 请注意:即使是最好的机器翻译,其准确度也不及专业翻译人员的水平。 华为对于翻译的准确性不承担任何责任,并建议您参考英文文档(已提供链接)。
防火墙在金融数据中心安全方案中的应用

防火墙在金融数据中心安全方案中的应用

简介

本案例介绍了防火墙在金融数据中心网络的部署和规划,对其他行业的数据中心防火墙部署也有借鉴意义。

基于USG6000&USG9500 V500R005C00版本写作,可供USG6000&USG9500 V500R005C00、USG6000E V600R006C00及后续版本参考。不同版本之间可能存在差异,请以实际版本为准。

方案简介

数据中心承载着企业的核心业务、存储海量的业务数据,是企业正常生产和运行的关键资源,因此数据中心的网络安全显得尤为重要。

华为金融数据中心方案通常采用模块化和层次化设计。模块化设计是将整个数据中心网络划分成多个分区,并通过防火墙保证业务的安全隔离。层次化设计是指整个网络采用核心层、汇聚层、接入层的设计,使网络具备横向弹性,易扩展。

为了保证数据中心网络和内部服务器安全,通常需要在数据中心网络中部署防火墙产品,提供网络安全隔离、访问控制、攻击防范和入侵防御等功能。

图1-1所示,金融数据中心解决方案中,防火墙主要部署在三个位置:数据中心出口、内网接入区、互联网出口。不同位置的防火墙提供不同的安全防护功能。

图1-1 金融数据中心组网示意图

项目

说明

数据中心出口防火墙

  • 通过精细化的安全策略,精确的控制不同用户对数据中心业务服务区的访问权限。
  • 提供IPS、攻击防范等多种安全防护功能,保护数据中心业务服务区免受木马、蠕虫、DDoS等攻击。

内网接入区防火墙

防火墙作为SACG,和Agile Controller配合,对本地和专线接入的内部用户进行准入认证。

互联网出口防火墙

  • 提供自定义安全域功能,对于不同可信度的接入用户进行安全分区。
  • 通过精细化的安全策略,精确的控制不同用户对园区内网的访问权限。
  • 提供NAT功能,实现报文私网地址和公网地址的转换。
  • 提供IPS、攻击防范等多种安全防护功能,保护园区内网免受木马、蠕虫、DDoS等攻击。
  • 作为IPSec VPN网关和SSL VPN网关,满足出差员工、合作伙伴、分支机构的安全VPN接入需求。

下面我们一起来看下各个位置防火墙的组网方案和配置方法。

数据中心出口防火墙

典型组网

图1-2所示为数据中心出口防火墙的典型组网。

  • 核心交换机SW1/SW2堆叠组网、汇聚交换机SW3/SW4堆叠组网。防火墙位于核心交换机和汇聚交换机之间,三层接入并启用主备备份方式的双机热备。
  • 防火墙连接上下行设备的接口上配置VRRP,防火墙使用VRRP虚拟IP地址与上下行设备通信。
  • 防火墙上配置静态路由,引导流量的转发。
图1-2 数据中心出口防火墙典型组网

业务规划

防火墙接口规划

FW-1的接口规划:

序号

本端设备

本端接口

对端设备

对端接口

备注

1

FW-1

GE1/0/1

SW-1

GE1/1/0/1

Eth-Trunk1,防火墙上行业务接口

2

FW-1

GE1/0/2

SW-1

GE1/1/0/2

Eth-Trunk1,防火墙上行业务接口

3

FW-1

GE1/0/3

SW-3

GE1/1/0/1

Eth-Trunk2,防火墙下行业务接口

4

FW-1

GE1/0/4

SW-3

GE1/1/0/2

Eth-Trunk2,防火墙下行业务接口

5

FW-1

GE1/0/5

FW-2

GE1/0/5

Eth-Trunk0,防火墙心跳接口

6

FW-1

GE1/0/6

FW-2

GE1/0/6

Eth-Trunk0,防火墙心跳接口

FW-2的接口规划:

序号

本端设备

本端接口

对端设备

对端接口

备注

1

FW-2

GE1/0/1

SW-2

GE2/1/0/1

Eth-Trunk1,上行业务接口

2

FW-2

GE1/0/2

SW-2

GE2/1/0/2

Eth-Trunk1,上行业务接口

3

FW-2

GE1/0/3

SW-4

GE2/1/0/1

Eth-Trunk2,下行业务接口

4

FW-2

GE1/0/4

SW-4

GE2/1/0/2

Eth-Trunk2,下行业务接口

5

FW-2

GE1/0/5

FW-1

GE1/0/5

Eth-Trunk0,防火墙心跳接口

6

FW-2

GE1/0/6

FW-1

GE1/0/6

Eth-Trunk0,防火墙心跳接口

防火墙IP地址规划

序号

本端设备

本端接口

本端IP

对端设备

对端接口

对端IP

1

FW-1

Eth-trunk1

10.6.1.2/29

VRID:1

VIP:10.6.1.1

SW-1

VLANIF1000

10.6.1.4/29

2

FW-1

Eth-trunk2

10.7.1.2/29

VRID:2

VIP:10.7.1.1

SW-3

VLANIF2000

10.7.1.4/29

3

FW-1

Eth-trunk0

11.11.11.1/24

FW-2

Eth-trunk0

11.11.11.2/24

4

FW-2

Eth-trunk1

10.6.1.3/29

VRID:1

VIP:10.6.1.1

SW-2

VLANIF1000

10.6.1.4/29

5

FW-2

Eth-trunk2

10.7.1.3/29

VRID:2

VIP:10.7.1.1

SW-4

VLANIF2000

10.7.1.4/29

6

FW-2

Eth-trunk0

11.11.11.2/24

FW-2

Eth-trunk0

11.11.11.1/24

防火墙安全区域规划

序号

安全区域名称

安全区域优先级

包含接口

备注

1

untrust

5

Eth-trunk1

防火墙上行业务接口

2

trust

100

Eth-trunk2

防火墙下行业务接口

3

dmz

50

Eth-trunk0

防火墙心跳接口

防火墙安全策略规划

地址组

序号

地址组名

地址

备注

1

remote_users

address 0 172.168.3.0 mask 24

出差员工SSL VPN接入

2

partner

address 0 172.168.4.0 mask 24

合作伙伴

3

branch1

address 0 10.8.1.0 mask 24

分支机构1

4

branch2

address 0 10.9.1.0 mask 24

分支机构2

5

server1

address 0 10.1.1.10 mask 32

address 1 10.1.1.11 mask 32

出差员工可以访问的服务器

6

server2

address 0 10.2.1.4 mask 32

address 1 10.2.1.5 mask 32

合作伙伴可以访问的服务器

7

server3

address 0 10.1.2.4 mask 32

address 1 10.1.2.5 mask 32

分支机构1可以访问的服务器

8

server4

address 0 10.1.1.4 mask 32

address 1 10.1.1.5 mask 32

分支机构2可以访问的服务器

自定义服务

序号

服务名

协议/端口

备注

1

tcp_1414

service 0 protocol tcp destination-port 1414

合作伙伴访问策略使用

2

tcp_8888_9000

service 0 protocol tcp destination-port 8888

service 1 protocol tcp destination-port 9000

分支机构1访问策略使用

安全策略

序号

策略名

源安全区域

源地址

目的安全区域

目的地址

服务

动作

1

remote_users_to_server1

untrust

remote_users

trust

server1

ftp,http

permit

2

partner_to_server2

untrust

partner

trust

server2

tcp_1414

permit

3

branch1_to_server3

untrust

branch1

trust

server3

tcp_8888_9000

permit

4

branch2_to_server4

untrust

branch2

trust

server4

ftp

permit

5

default

any

any

any

any

any

deny

说明:

“default”是设备默认存在的缺省安全策略,如果流量没有匹配到管理员定义的安全策略,就会命中缺省安全策略(条件均为any,动作默认为禁止)。如果需要控制只有某些IP可以访问服务器,则需要保持缺省安全策略的禁止动作,然后配置允许哪些IP访问服务器的安全策略。

双机热备心跳报文不受安全策略控制,不需要针对心跳报文配置安全策略。

防火墙长连接

延长协议的会话老化时间来实现长连接。

序号

协议

老化时间

1

tcp_1414

40000秒

通过Long-link功能实现长连接。

序号

策略名

老化时间

1

branch2_to_server4

480小时

说明:

延长协议的会话老化时间来实现长连接与Long-link功能相比,配置更简单。而Long-link功能可以细化保持长连接的条件,仅对特定的流量保持长连接。延长协议的会话老化时间是全局配置,对所有该类型的协议都生效。这会导致一些不需要保持长连接的会话长时间得不到老化,占用大量的会话表项资源。一旦会话表项资源耗尽,将无法再继续新建业务。

因此,确认某个协议的所有会话都要保持一个较长的老化时间时,可以使用延长该协议的会话老化时间的方法来实现长连接。否则,请使用Long-link功能实现长连接。

Long-link功能仅对基于TCP协议的连接有效。

防火墙路由规划

防火墙上配置静态路由,具体如下:

序号

目的地址

掩码

下一跳

备注

1

10.1.0.0

255.255.0.0

10.7.1.4

到数据中心业务服务区1的路由

2

10.2.0.0

255.255.0.0

10.7.1.4

到数据中心业务服务区2的路由

3

10.3.0.0

255.255.0.0

10.7.1.4

到数据中心业务服务区3的路由

4

172.168.3.0

255.255.255.0

10.6.1.4

到出差员工SSL VPN接入终端的路由

5

172.168.4.0

255.255.255.0

10.6.1.4

到合作伙伴网络的路由

6

10.8.1.0

255.255.255.0

10.6.1.4

到分支机构1网络的路由

7

10.9.1.0

255.255.255.0

10.6.1.4

到分支机构2网络的路由

安全防护规划

  • 攻击防范规划

    为了保证内部网络免受网络攻击侵袭,需要在防火墙上配置攻击防范功能。

    一般情况下,推荐防火墙配置以下攻击防范:

    • Smurf攻击防范
    • Land攻击防范
    • Fraggle攻击防范
    • Ping of Death攻击防范
    • WinNuke攻击防范
    • 带路由记录项的IP报文攻击防范
    • 带源路由选项的IP报文攻击防范
    • 带时间戳选项的IP报文攻击防范
    • SYN Flood攻击防范
    • UDP Flood攻击防范
    • ICMP Flood攻击防范

      在实际部署时,对于以上Flood类型的攻击,接口的攻击报文的最大速率可以先配置一个较大的取值,然后一边观察一边调小取值,直到调整至合适的范围(原则是既很好的限制了攻击,又不影响正常业务)。

  • IPS规划

    为了保证内部网络免受黑客、僵尸、木马、蠕虫等的侵袭,需要在防火墙上配置IPS功能。

说明:

IPS功能可以部署在防火墙上,可以通过单独的IPS设备部署。

IPS和功能的配置方式是在配置安全策略时引用IPS配置文件。在本案例中,我们需要在上述配置的安全策略中都引用IPS配置文件,即对安全策略允许通过的流量都进行IPS检测。

一般情况下,在初始部署防火墙时,选择缺省的IPS配置文件default即可。防火墙运行一段时间后,管理员可以根据网络运行状况,自定义配置文件。IPS还支持缺省的配置文件ids,即只对入侵报文产生告警,不阻断。如果对安全性要求不是很高,为了降低IPS误报的风险,可以选择ids配置文件。

注意事项

IPS

配置IPS功能前需要确保IPS特征库为最新版本。

攻击防范

本案例的攻击防范配置为推荐的标准配置。

策略备份加速

当策略数量较多时(比如超过500条),为了提升策略加速期间的匹配效率,需要开启备份加速功能。但是开启该功能后,新配置的策略需要等待策略备份加速完成后才能生效。

配置步骤

操作步骤

  1. 配置接口的IP地址,并将接口加入安全区域。

    # 配置FW-1的Eth-Trunk接口。

    <sysname> system-view 
    [sysname] sysname FW-1 
    [FW-1] interface Eth-Trunk 1 
    [FW-1-Eth-Trunk1] description Link_To_CoreSwitch_SW1 
    [FW-1-Eth-Trunk1] trunkport GigabitEthernet 1/0/1 
    [FW-1-Eth-Trunk1] trunkport GigabitEthernet 1/0/2 
    [FW-1-Eth-Trunk1] ip address 10.6.1.2 29 
    [FW-1-Eth-Trunk1] quit 
    [FW-1] interface Eth-Trunk 2 
    [FW-1-Eth-Trunk2] description Link_To_Aggregation_SW3 
    [FW-1-Eth-Trunk2] trunkport GigabitEthernet 1/0/3 
    [FW-1-Eth-Trunk2] trunkport GigabitEthernet 1/0/4 
    [FW-1-Eth-Trunk2] ip address 10.7.1.2 29 
    [FW-1-Eth-Trunk2] quit 
    [FW-1] interface Eth-Trunk 0 
    [FW-1-Eth-Trunk0] description HRP_Interface 
    [FW-1-Eth-Trunk0] trunkport GigabitEthernet 1/0/5 
    [FW-1-Eth-Trunk0] trunkport GigabitEthernet 1/0/6 
    [FW-1-Eth-Trunk0] ip address 11.11.11.1 24 
    [FW-1-Eth-Trunk0] quit

    # 配置FW-2的Eth-Trunk接口。

    <sysname> system-view 
    [sysname] sysname FW-2 
    [FW-2] interface Eth-Trunk 1 
    [FW-2-Eth-Trunk1] description Link_To_CoreSwitch_SW2 
    [FW-2-Eth-Trunk1] trunkport GigabitEthernet 1/0/1 
    [FW-2-Eth-Trunk1] trunkport GigabitEthernet 1/0/2 
    [FW-2-Eth-Trunk1] ip address 10.6.1.3 29 
    [FW-2-Eth-Trunk1] quit 
    [FW-2] interface Eth-Trunk 2 
    [FW-2-Eth-Trunk2] description Link_To_Aggregation_SW4 
    [FW-2-Eth-Trunk2] trunkport GigabitEthernet 1/0/3 
    [FW-2-Eth-Trunk2] trunkport GigabitEthernet 1/0/4 
    [FW-2-Eth-Trunk2] ip address 10.7.1.3 29 
    [FW-2-Eth-Trunk2] quit 
    [FW-2] interface Eth-Trunk 0 
    [FW-2-Eth-Trunk0] description HRP_Interface 
    [FW-2-Eth-Trunk0] trunkport GigabitEthernet 1/0/5 
    [FW-2-Eth-Trunk0] trunkport GigabitEthernet 1/0/6 
    [FW-2-Eth-Trunk0] ip address 11.11.11.2 24 
    [FW-2-Eth-Trunk0] quit

    # 将FW-1的各接口加入相应的安全区域。

    [FW-1] firewall zone trust 
    [FW-1-zone-trust] add interface Eth-Trunk 2 
    [FW-1-zone-trust] quit 
    [FW-1] firewall zone untrust 
    [FW-1-zone-untrust] add interface Eth-Trunk 1 
    [FW-1-zone-untrust] quit 
    [FW-1] firewall zone dmz 
    [FW-1-zone-dmz] add interface Eth-Trunk 0 
    [FW-1-zone-dmz] quit

    # 将FW-2的各接口加入相应的安全区域。

    [FW-2] firewall zone trust 
    [FW-2-zone-trust] add interface Eth-Trunk 2 
    [FW-2-zone-trust] quit 
    [FW-2] firewall zone untrust 
    [FW-2-zone-untrust] add interface Eth-Trunk 1 
    [FW-2-zone-untrust] quit 
    [FW-2] firewall zone dmz 
    [FW-2-zone-dmz] add interface Eth-Trunk 0 
    [FW-2-zone-dmz] quit

  2. 配置静态路由。

    # 在FW-1上配置到数据中心业务服务区的静态路由,下一跳为汇聚交换机的IP地址。

    [FW-1] ip route-static 10.1.0.0 255.255.0.0 10.7.1.4 
    [FW-1] ip route-static 10.2.0.0 255.255.0.0 10.7.1.4 
    [FW-1] ip route-static 10.3.0.0 255.255.0.0 10.7.1.4

    # 在FW-2上配置到数据中心业务服务区的静态路由,下一跳为汇聚交换机的IP地址。

    [FW-2] ip route-static 10.1.0.0 255.255.0.0 10.7.1.4 
    [FW-2] ip route-static 10.2.0.0 255.255.0.0 10.7.1.4 
    [FW-2] ip route-static 10.3.0.0 255.255.0.0 10.7.1.4

    # 在FW-1上配置到出差员工SSL VPN接入终端、分支机构、合作伙伴的静态路由,下一跳为核心交换机的IP地址。

    [FW-1] ip route-static 172.168.3.0 255.255.255.0 10.6.1.4 
    [FW-1] ip route-static 172.168.4.0 255.255.255.0 10.6.1.4 
    [FW-1] ip route-static 10.8.1.0 255.255.255.0 10.6.1.4 
    [FW-1] ip route-static 10.9.1.0 255.255.255.0 10.6.1.4

    # 在FW-2上配置到出差员工SSL VPN接入终端、分支机构、合作伙伴的静态路由,下一跳为核心交换机的IP地址。

    [FW-2] ip route-static 172.168.3.0 255.255.255.0 10.6.1.4 
    [FW-2] ip route-static 172.168.4.0 255.255.255.0 10.6.1.4 
    [FW-2] ip route-static 10.8.1.0 255.255.255.0 10.6.1.4 
    [FW-2] ip route-static 10.9.1.0 255.255.255.0 10.6.1.4

  3. 配置双机热备。

    # 在FW-1的上行接口Eth-Trunk1上配置VRRP备份组1,并设置状态为Active。

    [FW-1] interface Eth-Trunk1 
    [FW-1-Eth-Trunk1] vrrp vrid 1 virtual-ip 10.6.1.1 active 
    [FW-1-Eth-Trunk1] quit

    # 在FW-1的下行接口Eth-Trunk2上配置VRRP备份组2,并设置状态为Active。

    [FW-1] interface Eth-Trunk2 
    [FW-1-Eth-Trunk2] vrrp vrid 2 virtual-ip 10.7.1.1 active 
    [FW-1-Eth-Trunk2] quit

    # 在FW-1上指定Eth-Trunk0为心跳口,并启用双机热备。

    [FW-1] hrp interface Eth-Trunk0 remote 11.11.1.2 
    [FW-1] hrp enable

    # 在FW-2的上行接口Eth-Trunk1上配置VRRP备份组1,并设置状态为Standby。

    [FW-2] interface Eth-Trunk1 
    [FW-2-Eth-Trunk1] vrrp vrid 1 virtual-ip 10.6.1.1 standby 
    [FW-2-Eth-Trunk1] quit

    # 在FW-2的下行接口Eth-Trunk2上配置VRRP备份组2,并设置状态为Standby。

    [FW-2] interface Eth-Trunk2 
    [FW-2-Eth-Trunk2] vrrp vrid 2 virtual-ip 10.7.1.1 standby 
    [FW-2-Eth-Trunk2] quit

    # 在FW-2上指定Eth-Trunk0为心跳口,并启用双机热备。

    [FW-2] hrp interface Eth-Trunk0 remote 11.11.11.1 
    [FW-2] hrp enable

  4. 配置安全策略和IPS。

    说明:

    双机热备功能配置完成后,安全策略和攻击防范等功能只需要在主用设备FW-1上配置即可。FW-1上的配置会自动备份到FW-2上。

    # 在FW-1上配置地址组。

    HRP_M[FW-1] ip address-set remote_users type object 
    HRP_M[FW-1-object-address-set-remote_users] address 0 172.168.3.0 mask 24 
    HRP_M[FW-1-object-address-set-remote_users] description "for remote users" 
    HRP_M[FW-1-object-address-set-remote_users] quit 
    HRP_M[FW-1] ip address-set partner type object 
    HRP_M[FW-1-object-address-set-partner] address 0 172.168.4.0 mask 24 
    HRP_M[FW-1-object-address-set-partner] description "for partner" 
    HRP_M[FW-1-object-address-set-partner] quit 
    HRP_M[FW-1] ip address-set branch1 type object 
    HRP_M[FW-1-object-address-set-branch1] address 0 10.8.1.0 mask 24 
    HRP_M[FW-1-object-address-set-branch1] description "for branch1" 
    HRP_M[FW-1-object-address-set-branch1] quit 
    HRP_M[FW-1] ip address-set branch2 type object 
    HRP_M[FW-1-object-address-set-branch2] address 0 10.9.1.0 mask 24 
    HRP_M[FW-1-object-address-set-branch2] description "for branch2" 
    HRP_M[FW-1-object-address-set-branch2] quit 
    HRP_M[FW-1] ip address-set server1 type object 
    HRP_M[FW-1-object-address-set-server1] address 0 10.1.1.10 mask 32 
    HRP_M[FW-1-object-address-set-server1] address 1 10.1.1.11 mask 32 
    HRP_M[FW-1-object-address-set-server1] description "for server1" 
    HRP_M[FW-1-object-address-set-server1] quit 
    HRP_M[FW-1] ip address-set server2 type object 
    HRP_M[FW-1-object-address-set-server2] address 0 10.2.1.4 mask 32 
    HRP_M[FW-1-object-address-set-server2] address 1 10.2.1.5 mask 32 
    HRP_M[FW-1-object-address-set-server2] description "for server2" 
    HRP_M[FW-1-object-address-set-server2] quit 
    HRP_M[FW-1] ip address-set server3 type object 
    HRP_M[FW-1-object-address-set-server3] address 0 10.1.2.4 mask 32 
    HRP_M[FW-1-object-address-set-server3] address 1 10.1.2.5 mask 32 
    HRP_M[FW-1-object-address-set-server3] description "for server3" 
    HRP_M[FW-1-object-address-set-server3] quit 
    HRP_M[FW-1] ip address-set server4 type object 
    HRP_M[FW-1-object-address-set-server4] address 0 10.1.1.4 mask 32 
    HRP_M[FW-1-object-address-set-server4] address 1 10.1.1.5 mask 32 
    HRP_M[FW-1-object-address-set-server4] description "for server4" 
    HRP_M[FW-1-object-address-set-server4] quit

    # 在FW-1上配置服务集。

    HRP_M[FW-1] ip service-set tcp_1414 type object 
    HRP_M[FW-1-object-service-set-tcp_1414] service 0 protocol tcp destination-port 1414 
    HRP_M[FW-1-object-service-set-tcp_1414] quit 
    HRP_M[FW-1] ip service-set tcp_8888_9000 type object 
    HRP_M[FW-1-object-service-set-tcp_8888_9000] service 0 protocol tcp destination-port 8888 
    HRP_M[FW-1-object-service-set-tcp_8888_9000] service 1 protocol tcp destination-port 9000 
    HRP_M[FW-1-object-service-set-tcp_8888_9000] quit

    # 在FW-1上配置安全策略remote_users_to_server1,并引用IPS安全配置文件。

    HRP_M[FW-1] security-policy 
    HRP_M[FW-1-policy-security] rule name remote_users_to_server1 
    HRP_M[FW-1-policy-security-rule-to_remote_users_to_server1] source-zone untrust  
    HRP_M[FW-1-policy-security-rule-to_remote_users_to_server1] destination-zone trust  
    HRP_M[FW-1-policy-security-rule-to_remote_users_to_server1] source-address address-set remote_users  
    HRP_M[FW-1-policy-security-rule-to_remote_users_to_server1] destination-address address-set server1  
    HRP_M[FW-1-policy-security-rule-to_remote_users_to_server1] service ftp http 
    HRP_M[FW-1-policy-security-rule-to_remote_users_to_server1] action permit 
    HRP_M[FW-1-policy-security-rule-to_remote_users_to_server1] profile ips default 
    HRP_M[FW-1-policy-security-rule-to_remote_users_to_server1] quit

    # 在FW-1上配置安全策略partner_to_server2,并引用IPS安全配置文件。

    HRP_M[FW-1-policy-security] rule name partner_to_server2 
    HRP_M[FW-1-policy-security-rule-partner_to_server2] source-zone untrust  
    HRP_M[FW-1-policy-security-rule-partner_to_server2] destination-zone trust  
    HRP_M[FW-1-policy-security-rule-partner_to_server2] source-address address-set partner  
    HRP_M[FW-1-policy-security-rule-partner_to_server2] destination-address address-set server2  
    HRP_M[FW-1-policy-security-rule-partner_to_server2] service tcp_1414 
    HRP_M[FW-1-policy-security-rule-partner_to_server2] action permit 
    HRP_M[FW-1-policy-security-rule-partner_to_server2] profile ips default 
    HRP_M[FW-1-policy-security-rule-partner_to_server2] quit

    # 在FW-1上配置安全策略branch1_to_server3,并引用IPS安全配置文件。

    HRP_M[FW-1-policy-security] rule name branch1_to_server3 
    HRP_M[FW-1-policy-security-rule-branch1_to_server3] source-zone untrust  
    HRP_M[FW-1-policy-security-rule-branch1_to_server3] destination-zone trust  
    HRP_M[FW-1-policy-security-rule-branch1_to_server3] source-address address-set branch1  
    HRP_M[FW-1-policy-security-rule-branch1_to_server3] destination-address address-set server3  
    HRP_M[FW-1-policy-security-rule-branch1_to_server3] service tcp_8888_9000 
    HRP_M[FW-1-policy-security-rule-branch1_to_server3] action permit 
    HRP_M[FW-1-policy-security-rule-branch1_to_server3] profile ips default 
    HRP_M[FW-1-policy-security-rule-branch1_to_server3] quit

    # 在FW-1上配置安全策略branch2_to_server4,并引用IPS安全配置文件。

    HRP_M[FW-1-policy-security] rule name branch2_to_server4 
    HRP_M[FW-1-policy-security-rule-branch2_to_server4] source-zone untrust  
    HRP_M[FW-1-policy-security-rule-branch2_to_server4] destination-zone trust  
    HRP_M[FW-1-policy-security-rule-branch2_to_server4] source-address address-set branch2  
    HRP_M[FW-1-policy-security-rule-branch2_to_server4] destination-address address-set server4  
    HRP_M[FW-1-policy-security-rule-branch2_to_server4] service ftp 
    HRP_M[FW-1-policy-security-rule-branch2_to_server4] action permit 
    HRP_M[FW-1-policy-security-rule-branch2_to_server4] profile ips default 
    HRP_M[FW-1-policy-security-rule-branch2_to_server4] quit 
    HRP_M[FW-1-policy-security] quit

  5. 配置长连接。

    # 修改tcp_1414的会话老化时间为40000秒。

    HRP_M[FW-1] firewall session aging-time service-set tcp_1414 40000

    # 在安全策略branch2_to_server4中启用长连接功能,将命中该策略的连接的老化时间修改为480小时。

    HRP_M[FW-1] security-policy 
    HRP_M[FW-1-policy-security] rule name branch2_to_server4 
    HRP_M[FW-1-policy-security-rule-branch2_to_server4] long-link enable 
    HRP_M[FW-1-policy-security-rule-branch2_to_server4] long-link aging-time 480 
    HRP_M[FW-1-policy-security-rule-branch2_to_server4] quit 
    HRP_M[FW-1-policy-security] quit

  6. 配置攻击防范。

    # 在FW-1上配置单包攻击防范功能。

    HRP_M[FW-1] firewall defend land enable 
    HRP_M[FW-1] firewall defend smurf enable 
    HRP_M[FW-1] firewall defend fraggle enable 
    HRP_M[FW-1] firewall defend ip-fragment enable 
    HRP_M[FW-1] firewall defend tcp-flag enable 
    HRP_M[FW-1] firewall defend winnuke enable 
    HRP_M[FW-1] firewall defend source-route enable 
    HRP_M[FW-1] firewall defend teardrop enable 
    HRP_M[FW-1] firewall defend route-record enable 
    HRP_M[FW-1] firewall defend time-stamp enable 
    HRP_M[FW-1] firewall defend ping-of-death enable

  7. 配置策略备份加速。

    当策略数量较多时(比如超过500条),为了提升策略加速期间的匹配效率,需要开启备份加速功能。但是开启该功能后,新配置的策略需要等待策略备份加速完成后才能生效。

    HRP_M[FW-1] policy accelerate standby enable

结果验证

  1. 在FW-1和FW-2上分别执行display hrp state verbose命令,查看双机热备的状态。
    HRP_M<FW-1> display hrp state verboseRole: active, peer: standby 
     Running priority: 45000, peer: 45000 
     Backup channel usage: 0.00% 
     Stable time: 0 days, 3 hours, 8 minutes 
     Last state change information: 2016-05-14 11:18:13 HRP core state changed, old_state = abnormal(active), new_state = normal, local_priority = 45000, peer_priority = 45000. 
     
     Configuration: 
     hello interval:              1000ms 
     preempt:                     60s 
     mirror configuration:        off 
     mirror session:              off 
     track trunk member:          on 
     auto-sync configuration:     on 
     auto-sync connection-status: on 
     adjust ospf-cost:            on 
     adjust ospfv3-cost:          on 
     adjust bgp-cost:             on 
     nat resource:                off 
     
     Detail information: 
                         Eth-Trunk1 vrrp vrid 1: active 
                         Eth-Trunk2 vrrp vrid 2: active 
                           GigabitEthernet1/0/1: up 
                           GigabitEthernet1/0/2: up 
                           GigabitEthernet1/0/3: up 
                           GigabitEthernet1/0/4: up 
                                      ospf-cost: +0 
                                    ospfv3-cost: +0 
                                       bgp-cost: +0
    HRP_S<FW-2> display hrp state verboseRole: standby, peer: active 
     Running priority: 45000, peer: 45000 
     Backup channel usage: 0.00% 
     Stable time: 0 days, 3 hours, 8 minutes 
     Last state change information: 2016-05-14 11:18:18 HRP core state changed, old_state = abnormal(standby), new_state = normal, local_priority = 45000, peer_priority = 45000. 
     
     Configuration: 
     hello interval:              1000ms 
     preempt:                     60s 
     mirror configuration:        off 
     mirror session:              off 
     track trunk member:          on 
     auto-sync configuration:     on 
     auto-sync connection-status: on 
     adjust ospf-cost:            on 
     adjust ospfv3-cost:          on 
     adjust bgp-cost:             on 
     nat resource:                off 
     
     Detail information: 
                         Eth-Trunk1 vrrp vrid 1: standby 
                         Eth-Trunk2 vrrp vrid 2: standby 
                           GigabitEthernet1/0/1: up 
                           GigabitEthernet1/0/2: up 
                           GigabitEthernet1/0/3: up 
                           GigabitEthernet1/0/4: up 
                                      ospf-cost: +65500 
                                    ospfv3-cost: +65500 
                                       bgp-cost: +100
  2. 双机倒换测试。

    在untrust区域的PC上长ping服务器的IP地址,然后将FW-1的Eth-trunk1接口shutdown,观察FW状态切换及ping包丢包情况。如果切换正常,FW-2会立即切换为主机承载业务。FW-2命令行提示符前的前缀由HRP_S变为HRP_M,FW-1命令行提示符前的前缀由HRP_M变为HRP_S。ping包不丢包或出现若干个丢包(一般是1到3个包,实际视网络环境而定)。 再将FW-1的Eth-trunk1接口undo shutdown,观察FW状态切换及ping包丢包情况。如果切换正常,在抢占延迟时间到达(缺省是60s)后,FW-1会重新切换为主机承载业务。FW-1命令行提示符前的前缀由HRP_S变为HRP_M,FW-2命令行提示符前的前缀由HRP_M变为HRP_S。ping包不丢包或出现若干个丢包(一般是1到3个包,实际视网络环境而定)。

  3. 检查IPS特征库的配置信息和升级信息。

    # 使用display update configuration命令查看当前升级特征库的配置信息。

    HRP_M<FW-1> display update configuration 
    Update Configuration Information:                                                
    ------------------------------------------------------------                     
      Update Server               : sec.huawei.com                                   
      Update Port                 : 80                                               
      Proxy State                 : disable                                          
      Proxy Server                : -                                                
      Proxy Port                  : -                                                
      Proxy User                  : -                                                
      Proxy Password              : -                                                
      IPS-SDB:                                                                       
        Application Confirmation  : Disable                                          
        Schedule Update           : Enable                                           
        Schedule Update Frequency : Daily                                            
        Schedule Update Time      : 02:30                                            
      AV-SDB:                 
        Application Confirmation  : Disable                                          
        Schedule Update           : Enable                                           
        Schedule Update Frequency : Daily                                            
        Schedule Update Time      : 02:30                                            
      SA-SDB:                                                                        
        Application Confirmation  : Disable                                          
        Schedule Update           : Enable                                           
        Schedule Update Frequency : Daily                                            
        Schedule Update Time      : 02:30                                            
      IP-REPUTATION:                                                             
        Application Confirmation  : Disable                                          
        Schedule Update           : Enable                                           
        Schedule Update Frequency : Daily                                            
        Schedule Update Time      : 02:30                                            
      CNC:                                                                           
        Application Confirmation  : Disable                                          
        Schedule Update           : Enable                                           
        Schedule Update Frequency : Daily                                            
        Schedule Update Time      : 02:30                                            
    ------------------------------------------------------------                    

    # 使用display version ips-sdb命令查看IPS特征库的信息。

    HRP_M<FW-1> display version ips-sdb 
    IPS SDB Update Information List:                                                 
    ----------------------------------------------------------------                 
      Current Version:                                                               
        Signature Database Version    : 2016050703                                   
        Signature Database Size(byte) : 2659606                                      
        Update Time                   : 02:30:00 2016/05/08                          
        Issue Time of the Update File : 16:06:30 2016/05/07                          
                                                                                     
      Backup Version:                                                                
        Signature Database Version    :                                              
        Signature Database Size(byte) : 0                                            
        Update Time                   : 00:00:00 0000/00/00                          
        Issue Time of the Update File : 00:00:00 0000/00/00                          
    ----------------------------------------------------------------                 
    IPS Engine Information List:                                                     
    ----------------------------------------------------------------                 
      Current Version:                                                               
        IPS Engine Version            : V200R002C00SPC060                            
        IPS Engine Size(byte)         : 3145728                                      
        Update Time                   : 02:30:00 2016/05/08                          
        Issue Time of the Update File : 16:06:30 2016/05/07                          
                                                                                     
      Backup Version:                                                                
        IPS Engine Version            :                                              
        IPS Engine Size(byte)         : 0                                            
        Update Time                   : 00:00:00 0000/00/00                          
        Issue Time of the Update File : 00:00:00 0000/00/00                          
    ----------------------------------------------------------------                     
  4. 验证各个区域用户对数据中心的网络访问权限。

    如果访问控制权限能够达到“业务规划”中安全策略规划的需求,则证明配置成功。

配置脚本

FW-1

FW-2

#

hrp enable

hrp interface Eth-Trunk0 remote 11.11.11.2

#

firewall defend land enable

firewall defend smurf enable

firewall defend fraggle enable

firewall defend ip-fragment enable

firewall defend tcp-flag enable

firewall defend winnuke enable

firewall defend source-route enable

firewall defend teardrop enable

firewall defend route-record enable

firewall defend time-stamp enable

firewall defend ping-of-death enable

#

ip address-set remote_users type object

description "for remote users"

address 0 172.168.3.0 mask 24

#

ip address-set partner type object

description "for partner"

address 0 172.168.4.0 mask 24

#

ip address-set branch1 type object

description "for branch1"

address 0 10.8.1.0 mask 24

#

ip address-set branch2 type object

description "for branch2"

address 0 10.9.1.0 mask 24

#

ip address-set server1 type object

description "for server1"

address 0 10.1.1.10 mask 32

address 1 10.1.1.11 mask 32

#

ip address-set server2 type object

description "for server2"

address 0 10.2.1.4 mask 32

address 1 10.2.1.5 mask 32

#

ip address-set server3 type object

description "for server3"

address 0 10.1.2.4 mask 32

address 1 10.1.2.5 mask 32

#

ip address-set server4 type object

description "for server4"

address 0 10.1.1.4 mask 32

address 1 10.1.1.5 mask 32

#

ip service-set tcp_1414 type object

service 0 protocol tcp destination-port 1414

#

ip service-set tcp_8888_9000 type object

service 0 protocol tcp destination-port 8888

service 1 protocol tcp destination-port 9000

#

interface Eth-Trunk0

ip address 11.11.11.1 255.255.255.0

#

interface Eth-Trunk1

ip address 10.6.1.2 255.255.255.248

vrrp vrid 1 virtual-ip 10.6.1.1 active

#

interface Eth-Trunk2

ip address 10.7.1.2 255.255.255.248

vrrp vrid 2 virtual-ip 10.7.1.1 active

#

interface GigabitEthernet 1/0/1

eth-trunk 1

#

interface GigabitEthernet 1/0/2

eth-trunk 1

#

interface GigabitEthernet 1/0/3

eth-trunk 2

#

interface GigabitEthernet 1/0/4

eth-trunk 2

#

interface GigabitEthernet 1/0/5

eth-trunk 0

#

interface GigabitEthernet 1/0/5

eth-trunk 0

#

firewall zone trust

add interface Eth-Trunk2

#

firewall zone untrust

add interface Eth-Trunk1

#

firewall zone dmz

add interface Eth-Trunk0

#

ip route-static 10.1.0.0 255.255.0.0 10.7.1.4

ip route-static 10.2.0.0 255.255.0.0 10.7.1.4

ip route-static 10.3.0.0 255.255.0.0 10.7.1.4

ip route-static 10.8.1.0 255.255.255.0 10.6.1.4

ip route-static 10.9.1.0 255.255.255.0 10.6.1.4

ip route-static 192.168.3.0 255.255.255.0 10.6.1.4

ip route-static 192.168.4.0 255.255.255.0 10.6.1.4

#

firewall session aging-time service-set tcp_1414 40000

#

security-policy

rule name remote_users_to_server1

source-zone untrust

destination-zone trust

source-address address-set remote_users

destination-address address-set server1

service http

service ftp

profile ips default

action permit

rule name partner_to_server2

source-zone untrust

destination-zone trust

source-address address-set partner

destination-address address-set server2

service tcp_1414

profile ips default

action permit

rule name branch1_to_server3

source-zone untrust

destination-zone trust

source-address address-set branch1

destination-address address-set server3

service tcp_8888_9000

profile ips default

action permit

rule name branch2_to_server4

source-zone untrust

destination-zone trust

source-address address-set branch2

destination-address address-set server4

service ftp

profile ips default

long-link enable

long-link aging-time 480

action permit

#

hrp enable

hrp interface Eth-Trunk0 remote 11.11.11.1

#

firewall defend land enable

firewall defend smurf enable

firewall defend fraggle enable

firewall defend ip-fragment enable

firewall defend tcp-flag enable

firewall defend winnuke enable

firewall defend source-route enable

firewall defend teardrop enable

firewall defend route-record enable

firewall defend time-stamp enable

firewall defend ping-of-death enable

#

ip address-set remote_users type object

description "for remote users"

address 0 172.168.3.0 mask 24

#

ip address-set partner type object

description "for partner"

address 0 172.168.4.0 mask 24

#

ip address-set branch1 type object

description "for branch1"

address 0 10.8.1.0 mask 24

#

ip address-set branch2 type object

description "for branch2"

address 0 10.9.1.0 mask 24

#

ip address-set server1 type object

description "for server1"

address 0 10.1.1.10 mask 32

address 1 10.1.1.11 mask 32

#

ip address-set server2 type object

description "for server2"

address 0 10.2.1.4 mask 32

address 1 10.2.1.5 mask 32

#

ip address-set server3 type object

description "for server3"

address 0 10.1.2.4 mask 32

address 1 10.1.2.5 mask 32

#

ip address-set server4 type object

description "for server4"

address 0 10.1.1.4 mask 32

address 1 10.1.1.5 mask 32

#

ip service-set tcp_1414 type object

service 0 protocol tcp destination-port 1414

#

ip service-set tcp_8888_9000 type object

service 0 protocol tcp destination-port 8888

service 1 protocol tcp destination-port 9000

#

interface Eth-Trunk0

ip address 11.11.11.2 255.255.255.0

#

interface Eth-Trunk1

ip address 10.6.1.3 255.255.255.248

vrrp vrid 1 virtual-ip 10.6.1.1 standby

#

interface Eth-Trunk2

ip address 10.7.1.3 255.255.255.248

vrrp vrid 2 virtual-ip 10.7.1.1 standby

#

interface GigabitEthernet 1/0/1

eth-trunk 1

#

interface GigabitEthernet 1/0/2

eth-trunk 1

#

interface GigabitEthernet 1/0/3

eth-trunk 2

#

interface GigabitEthernet 1/0/4

eth-trunk 2

#

interface GigabitEthernet 1/0/5

eth-trunk 0

#

interface GigabitEthernet 1/0/5

eth-trunk 0

#

firewall zone trust

add interface Eth-Trunk2

#

firewall zone untrust

add interface Eth-Trunk1

#

firewall zone dmz

add interface Eth-Trunk0

#

ip route-static 10.1.0.0 255.255.0.0 10.7.1.4

ip route-static 10.2.0.0 255.255.0.0 10.7.1.4

ip route-static 10.3.0.0 255.255.0.0 10.7.1.4

ip route-static 10.8.1.0 255.255.255.0 10.6.1.4

ip route-static 10.9.1.0 255.255.255.0 10.6.1.4

ip route-static 192.168.3.0 255.255.255.0 10.6.1.4

ip route-static 192.168.4.0 255.255.255.0 10.6.1.4

#

firewall session aging-time service-set tcp_1414 40000

#

security-policy

rule name remote_users_to_server1

source-zone untrust

destination-zone trust

source-address address-set remote_users

destination-address address-set server1

service http

service ftp

profile ips default

action permit

rule name partner_to_server2

source-zone untrust

destination-zone trust

source-address address-set partner

destination-address address-set server2

service tcp_1414

profile ips default

action permit

rule name branch1_to_server3

source-zone untrust

destination-zone trust

source-address address-set branch1

destination-address address-set server3

service tcp_8888_9000

profile ips default

action permit

rule name branch2_to_server4

source-zone untrust

destination-zone trust

source-address address-set branch2

destination-address address-set server4

service ftp

profile ips default

long-link enable

long-link aging-time 480

action permit

内网接入区防火墙

典型组网

图1-3所示,防火墙挂接在核心交换机作为Agile Controller的硬件SACG。在分支机构1的用户访问数据中心的业务服务区时,防火墙和Agile Controller配合,对用户进行准入控制并实现如下需求:

  • 为保护数据中心业务服务区安全,防止非本公司人员以及不安全的终端主机接入,只有身份认证和终端主机安全检查通过才允许访问保护数据中心业务服务区。
  • 数据中心业务服务区属于核心资源,只允许员工在上班时间段访问。
  • 希望方案部署过程对现有网络影响最小;整个网络业务优先原则,如果准入控制系统失效,业务不能中断。

将数据中心内网按逻辑划分为认证前域、隔离域和后域。

  • 前域是指终端主机在通过身份认证之前能够访问的区域,如DNS服务器、外部认证源、业务控制器(SC)、业务管理器(SM)。
  • 隔离域是指在终端用户通过了身份认证但未通过安全认证时允许访问的区域,如补丁服务器、病毒库服务器。
  • 后域是指终端用户通过了身份认证和安全认证后能够访问的区域,即数据中心业务服务区。
图1-3 内网接入区防火墙典型组网

业务规划

防火墙接口规划

序号

本端设备

本端接口

对端设备

对端接口

备注

1

FW-3

GE1/0/1

SW-1

GE1/1/0/3

防火墙上行业务接口

2

FW-3

GE1/0/2

SW-1

GE1/1/0/4

防火墙下行业务接口

3

FW-4

GE1/0/1

SW-2

GE2/1/0/3

防火墙上行业务接口

4

FW-4

GE1/0/2

SW-2

GE2/1/0/4

防火墙下行业务接口

5

FW-3

GE1/0/3

FW-4

GE1/0/3

防火墙心跳接口

6

FW-4

GE1/0/3

FW-3

GE1/0/3

防火墙心跳接口

防火墙IP地址规划

序号

本端设备

本端接口

本端IP

对端设备

对端接口

对端IP

1

FW-3

GE1/0/1

10.4.1.2/29

VRID:1

VIP:10.4.1.1

SW-1

VLANIF101

10.4.1.4/29

2

FW-3

GE1/0/2

10.5.1.2/29

VRID:2

VIP:10.5.1.1

SW-1

VLANIF102

10.5.1.4/29

3

FW-3

GE1/0/3

10.10.10.1/24

FW-4

GE1/0/3

10.10.10.2/24

4

FW-4

GE1/0/1

10.4.1.3/29

VRID:1

VIP:10.4.1.1

SW-2

VLANIF101

10.4.1.4/29

5

FW-4

GE1/0/2

10.5.1.3/29

VRID:2

VIP:10.5.1.1

SW-2

VLANIF102

10.5.1.4/29

6

FW-4

GE1/0/3

10.10.10.2/24

FW-1

GE1/0/3

10.10.10.1/24

防火墙安全区域规划

序号

安全区域名称

安全区域优先级

包含接口

备注

1

untrust

5

GE1/0/2

防火墙下行业务接口

2

trust

100

GE1/0/1

防火墙上行业务接口

3

dmz

50

GE1/0/3

防火墙心跳接口

防火墙安全策略规划

序号

策略名

源安全区域

源地址

目的安全区域

目的地址

动作

1

sc_to_sacg

trust

any

local

any

permit

2

sacg_to_client

local

any

untrust

any

permit

防火墙路由规划

防火墙上配置静态路由,具体如下:

序号

目的地址

掩码

下一跳

备注

1

0.0.0.0

0.0.0.0

10.4.1.4

流量回注核心交换机

Agile Controller数据规划

项目

数据

备注

业务控制器1

IP地址:192.168.1.2/24

端口:3288

共享密钥:TSM_Security

FW上配置的端口与共享密钥需与业务控制器上配置的相同。

当终端用户在未通过身份认证的情况下尝试访问认证后域中的Web服务器时,在FW上配置Web页面推送功能,FW将给终端用户推送Web认证页面,方便终端用户通过Web页面进行身份认证。

业务控制器2

IP地址:192.168.1.3/24

端口:3288

共享密钥:TSM_Security

同业务控制器1。

业务管理器

登录地址:https://192.168.1.2:8443

用户名:admin

密码:Admin@123

与业务控制器1安装在同一台服务器上,需登录业务管理器对业务控制器进行配置。

终端用户所在网段

10.8.1.0/24

分支机构1的用户所在网段。

认证后域

10.1.1.4

10.1.1.5

将数据中心业务服务区的服务器加入认证后域,并应用于分支机构1的用户帐号。

隔离域

补丁服务器:192.168.2.3

病毒库服务器:192.168.2.5

将补丁服务器地址和病毒库服务器地址加入隔离域,并应用于分支机构1的用户帐号。

认证前域

DNS服务器:192.168.3.3

业务控制器1:192.168.1.2

业务控制器2:192.168.1.3

认证前域包括DNS服务器和两台业务控制器。

Agile Controller用户数据规划

用户名

用户IP地址

用户组

角色ID

角色名称

lee

10.8.1.3

ROOT\开发部

1

DefaultDeny

该角色表示禁止访问所有区域。

6

Permit_1

该角色表示允许访问数据中心业务服务区。

255

Last

该角色表示允许访问认证前域。

注意事项

关闭防火墙状态检测功能。

配置步骤

操作步骤

  1. 配置接口的IP地址,并将接口加入安全区域。

    # 配置FW-3的接口IP地址。

    <sysname> system-view 
    [sysname] sysname FW-3 
    [FW-3] interface GigabitEthernet 1/0/1 
    [FW-3-GigabitEthernet1/0/1] description SACG1_To_Coreswitch1_GE1/1/0/3 
    [FW-3-GigabitEthernet1/0/1] ip address 10.4.1.2 29 
    [FW-3-GigabitEthernet1/0/1] quit 
    [FW-3] interface GigabitEthernet 1/0/2 
    [FW-3-GigabitEthernet1/0/2] description SACG1_To_Coreswitch1_GE1/1/0/4 
    [FW-3-GigabitEthernet1/0/2] ip address 10.5.1.2 29 
    [FW-3-GigabitEthernet1/0/2] quit 
    [FW-3] interface GigabitEthernet 1/0/3 
    [FW-3-GigabitEthernet1/0/3] description hrp_interface 
    [FW-3-GigabitEthernet1/0/3] ip address 10.10.10.1 24 
    [FW-3-GigabitEthernet1/0/3] quit

    # 配置FW-4的接口IP地址。

    <sysname> system-view 
    [sysname] sysname FW-4 
    [FW-4] interface GigabitEthernet 1/0/1 
    [FW-4-GigabitEthernet1/0/1] description SACG2_To_Coreswitch2_GE2/1/0/3 
    [FW-4-GigabitEthernet1/0/1] ip address 10.4.1.3 29 
    [FW-4-GigabitEthernet1/0/1] quit 
    [FW-4] interface GigabitEthernet 1/0/2 
    [FW-4-GigabitEthernet1/0/2] description SACG2_To_Coreswitch2_GE2/1/0/4 
    [FW-4-GigabitEthernet1/0/2] ip address 10.5.1.3 29 
    [FW-4-GigabitEthernet1/0/2] quit 
    [FW-4] interface GigabitEthernet 1/0/3 
    [FW-4-GigabitEthernet1/0/3] description hrp_interface 
    [FW-4-GigabitEthernet1/0/3] ip address 10.10.10.2 24 
    [FW-4-GigabitEthernet1/0/3] quit

    # 将FW-3的各接口加入相应的安全区域。

    [FW-3] firewall zone trust 
    [FW-3-zone-trust] add interface GigabitEthernet 1/0/1 
    [FW-3-zone-trust] quit 
    [FW-3] firewall zone untrust 
    [FW-3-zone-untrust] add interface GigabitEthernet 1/0/2 
    [FW-3-zone-untrust] quit 
    [FW-3] firewall zone dmz 
    [FW-3-zone-dmz] add interface GigabitEthernet 1/0/3 
    [FW-3-zone-dmz] quit

    # 将FW-4的各接口加入相应的安全区域。

    [FW-4] firewall zone trust 
    [FW-4-zone-trust] add interface GigabitEthernet 1/0/1 
    [FW-4-zone-trust] quit 
    [FW-4] firewall zone untrust 
    [FW-4-zone-untrust] add interface GigabitEthernet 1/0/2 
    [FW-4-zone-untrust] quit 
    [FW-4] firewall zone dmz 
    [FW-4-zone-dmz] add interface GigabitEthernet 1/0/3 
    [FW-4-zone-dmz] quit

  2. 配置静态路由。

    # 在FW-3上配置回注核心交换机的静态路由。

    [FW-3] ip route-static 0.0.0.0 0.0.0.0 10.4.1.4

    # 在FW-4上配置回注核心交换机的静态路由。

    [FW-4] ip route-static 0.0.0.0 0.0.0.0 10.4.1.4

  3. 配置Link-group。

    # 在FW-3上配置Link-group,将上下行业务接口加入Link-group 1。

    [FW-3] interface GigabitEthernet 1/0/1 
    [FW-3-GigabitEthernet1/0/1] link-group 1 
    [FW-3-GigabitEthernet1/0/1] quit 
    [FW-3] interface GigabitEthernet 1/0/2 
    [FW-3-GigabitEthernet1/0/2] link-group 1 
    [FW-3-GigabitEthernet1/0/2] quit

    # 在FW-4上配置Link-group,将上下行业务接口加入Link-group 1。

    [FW-4] interface GigabitEthernet 1/0/1 
    [FW-4-GigabitEthernet1/0/1] link-group 1 
    [FW-4-GigabitEthernet1/0/1] quit 
    [FW-4] interface GigabitEthernet 1/0/2 
    [FW-4-GigabitEthernet1/0/2] link-group 1 
    [FW-4-GigabitEthernet1/0/2] quit

  4. 配置双机热备。

    # 在FW-3的上行接口GE1/0/1上配置VRRP备份组1,并设置状态为Active。

    [FW-3] interface GigabitEthernet 1/0/1 
    [FW-3-GigabitEthernet1/0/1] vrrp vrid 1 virtual-ip 10.4.1.1 active 
    [FW-3-GigabitEthernet1/0/1] quit

    # 在FW-3的下行接口GE1/0/2上配置VRRP备份组2,并设置状态为Active。

    [FW-3] interface GigabitEthernet 1/0/2 
    [FW-3-GigabitEthernet1/0/2] vrrp vrid 2 virtual-ip 10.5.1.1 active 
    [FW-3-GigabitEthernet1/0/2] quit

    # 在FW-3上指定GE1/0/3为心跳口,并启用双机热备。

    [FW-3] hrp interface GigabitEthernet 1/0/3 remote 10.10.10.2 
    [FW-3] hrp enable

    # 在FW-4的下行接口GE1/0/1上配置VRRP备份组1,并设置状态为Standby。

    [FW-4] interface GigabitEthernet 1/0/1 
    [FW-4-GigabitEthernet1/0/1] vrrp vrid 1 virtual-ip 10.4.1.1 standby 
    [FW-4-GigabitEthernet1/0/1] quit

    # 在FW-4的下行接口GE1/0/2上配置VRRP备份组2,并设置状态为Standby。

    [FW-4] interface GigabitEthernet 1/0/2 
    [FW-4-GigabitEthernet1/0/2] vrrp vrid 2 virtual-ip 10.5.1.1 standby 
    [FW-4-GigabitEthernet1/0/2] quit

    # 在FW-4上指定GE1/0/3为心跳口,并启用双机热备。

    [FW-4] hrp interface GigabitEthernet 1/0/3 remote 10.10.10.1 
    [FW-4] hrp enable
    说明:

    双机热备功能配置完成后,安全策略、SACG等配置只需要在主用设备FW-3上配置即可。FW-3上的配置会自动备份到FW-4上。

  5. 关闭会话状态检测功能。

    HRP_M[FW-3] undo firewall session link-state check

  6. 配置安全策略。

    # 配置local区域与trust区域之间的安全策略,允许FW和Service Controller通信。

    HRP_M[FW-3] security-policy 
    HRP_M[FW-3-security-policy] rule name sc_to_sacg 
    HRP_M[FW-3-security-policy-sc_to_sacg] source-zone trust local 
    HRP_M[FW-3-security-policy-sc_to_sacg] destination-zone local trust 
    HRP_M[FW-3-security-policy-sc_to_sacg] action permit 
    HRP_M[FW-3-security-policy-sc_to_sacg] quit

    # 配置local区域与untrust区域之间的安全策略,使FW能够推送用于认证的Web页面给用户。

    HRP_M[FW-3-security-policy] rule name sacg_to_client 
    HRP_M[FW-3-security-policy-sacg_to_client] source-zone local 
    HRP_M[FW-3-security-policy-sacg_to_client] destination-zone untrust 
    HRP_M[FW-3-security-policy-sacg_to_client] action permit 
    HRP_M[FW-3-security-policy-sacg_to_client] quit 
    HRP_M[FW-3-security-policy] quit

  7. 配置SACG。

    # 进入SACG配置视图,指定缺省ACL规则组号。

    说明:

    如果ACL 3099~3999已经被占用,需要先删除ACL 3099~3999再进行配置,以免FW生成ACL规则时产生冲突。

    HRP_M[FW-3] right-manager server-group 
    HRP_M[FW-3-rightm] default acl 3099

    # 在FW上添加Service Controller,以便FW能够连接Service Controller实施联动。由于有两台Service Controller,所以需要执行两遍server ip命令添加两台Service Controller。

    说明:

    server ip命令中的port和shared-key请务必与Service Controller侧的配置保持一致,否则FW不能与Service Controller连接,功能就无法使用。

    HRP_M[FW-3-rightm] server ip 192.168.1.2 port 3288 shared-key TSM_Security 
    HRP_M[FW-3-rightm] server ip 192.168.1.3 port 3288 shared-key TSM_Security

    # 配置Web认证。当终端用户在未通过身份认证的情况下尝试访问网络时,实现FW自动向终端主机推送Web认证页面的功能,方便终端用户通过Web页面进行身份认证。

    HRP_M[FW-3-rightm] right-manager authentication url http://192.168.1.2:8084/auth 
    HRP_M[FW-3-rightm] right-manager authentication url http://192.168.1.3:8084/auth

    # 配置FW与Service Controller通信时使用的本端IP地址。

    说明:

    该配置不支持备份,需要分别在主备FW上配置。备用FW的IP地址配置为10.4.1.3。

    HRP_M[FW-3-rightm] local ip 10.4.1.2

    # 启用服务器组,使FW立即连接Service Controller发送联动请求,连接成功后,FW可以接收到Agile Controller下发的角色和角色规则。

    HRP_M[FW-3-rightm] right-manager server-group enable

    # 配置逃生通道功能,将最少Service Controller数量设定为1。这样当FW可以成功连接的Service Controller达到或超过1台,就正常进行准入认证。当FW不能与任何一台Service Controller连接上的话,就打开逃生通道,允许所有用户终端访问受控网络。这样可以避免终端用户因Service Controller出现故障而无法访问网络。

    HRP_M[FW-3-rightm] right-manager server-group active-minimum 1 
    HRP_M[FW-3-rightm] right-manager status-detect enable 
    HRP_M[FW-3-rightm] quit

    在trust和untrust域间入方向应用ACL 3099,使终端用户可以与认证前域正常通信,同时也使逃生通道的放行规则可以正确下发到trust和untrust域间。

    HRP_M[FW-3] firewall interzone trust untrust 
    HRP_M[FW-3-interzone-trust-untrust] apply packet-filter right-manager inbound 
    HRP_M[FW-3-interzone-trust-untrust] quit

  8. 配置核心交换机。此处仅以CE12800为例,介绍了交换机和FW对接部分的配置。

    # 配置核心交换机接口和VLAN。

    [~CSS] vlan batch 101 to 102          
    [*CSS] interface gigabitethernet 1/1/0/3                 
    [*CSS-GigabitEthernet1/1/0/3] description To_SACG1_GE1/0/1 
    [*CSS-GigabitEthernet1/1/0/3] port link-type access                       
    [*CSS-GigabitEthernet1/1/0/3] port default vlan 101   
    [*CSS-GigabitEthernet1/1/0/3] quit          
    [*CSS] interface gigabitethernet 1/1/0/4                 
    [*CSS-GigabitEthernet1/1/0/4] description To_SACG1_GE1/0/2 
    [*CSS-GigabitEthernet1/1/0/4] port link-type access                       
    [*CSS-GigabitEthernet1/1/0/4] port default vlan 102   
    [*CSS-GigabitEthernet1/1/0/4] quit     
    [*CSS] interface gigabitethernet 2/1/0/3                 
    [*CSS-GigabitEthernet2/1/0/3] description To_SACG2_GE1/0/1 
    [*CSS-GigabitEthernet2/1/0/3] port link-type access                       
    [*CSS-GigabitEthernet2/1/0/3] port default vlan 101   
    [*CSS-GigabitEthernet2/1/0/3] quit          
    [*CSS] interface gigabitethernet 2/1/0/4                 
    [*CSS-GigabitEthernet2/1/0/4] description To_SACG2_GE1/0/2 
    [*CSS-GigabitEthernet2/1/0/4] port link-type access                       
    [*CSS-GigabitEthernet2/1/0/4] port default vlan 102   
    [*CSS-GigabitEthernet2/1/0/4] quit     
    [*CSS] interface vlanif 101 
    [*CSS-Vlanif101] ip address 10.4.1.4 29 
    [*CSS-Vlanif101] quit                       
    [*CSS] interface vlanif 102 
    [*CSS-Vlanif102] ip address 10.5.1.4 29 
    [*CSS-Vlanif102] quit   
    [*CSS] commit

    # 配置策略路由。

    [~CSS] acl 3001   
    [*CSS-acl4-advance-3001] rule 5 permit ip source 10.8.1.0 24   
    [*CSS-acl4-advance-3001] quit 
    [~CSS] traffic classifier c1   
    [*CSS-classifier-c1] if-match acl 3001   
    [*CSS-classifier-c1] quit 
    [~CSS] traffic behavior b1   
    [*CSS-behavior-b1] redirect nexthop 10.5.1.1   
    [*CSS-behavior-b1] quit 
    [~CSS] traffic policy p1   
    [*CSS-trafficpolicy-p1] classifier c1 behavior b1 precedence 5   
    [*CSS-trafficpolicy-p1] quit 
    [~CSS] interface eth-trunk 2  //Eth-Trunk2是核心交换机与分支机构1互联的接口 
    [*CSS-Eth-Trunk2] traffic-policy p1 inbound  
    [*CSS-Eth-Trunk2] quit 
    [*CSS] commit

  9. 配置Agile Controller和防火墙对接的参数。

    1. 添加防火墙作为硬件SACG。
      1. 选择“策略 > 准入控制 > 硬件SACG > 硬件SACG配置”。
      2. 在“硬件SACG”页签单击“增加”。

      说明:

      如果终端用户与SC之间配置了NAT地址转换,终端用户IP地址范围(起始IP和结束IP)需要添加终端用户NAT转换后的IP地址,并非用户终端真实的IP地址。否则终端用户无法在SACG上线。

    2. 配置前域、隔离域和后域。
      1. 在“前域”页签中单击“增加”。

        同样将前域规划的其他服务器IP地址添加到前域。

      2. 在“受控域”页签中单击“增加”,将隔离域资源加入受控域。

        重复操作将后域资源也加到受控域。

      3. 在“隔离域”页签中单击“增加”,只允许访问“隔离_受控域”资源。

      4. 在“后域”页签中单击“增加”,配置用于上班时间段的后域资源,即只允许访问“后域_受控域”。

        同样将下班时间禁止访问“后域_受控域”添加到后域。

    3. 配置硬件SACG策略组并应用于帐号/用户组或者IP地址段。
      1. 配置时间段,满足只允许在上班时间访问业务系统的需求。
        1. 选择“策略 > 准入控制 > 策略元素 > 时间段”。
      2. 单击“增加”。

      3. 单击“确定”。
      4. 配置SACG策略组。
        1. 选择“策略 > 准入控制 > 硬件SACG > 硬件SACG策略组”。
      5. 单击“增加”。

      6. 单击“确定”。
      7. 将SACG策略组应用于帐号/用户组或者IP地址段。本举例中以应用于用户组为例。
    说明:

    应用于帐号、用户组、IP地址段的匹配优先级逐步降低。

    单击“SACG策略”右侧的,将策略分配给指定用户组。

结果验证

  1. 分支机构用户在上班时间段认证通过并且终端主机安全检查通过情况下可以访问业务系统,下班时间无法访问。
  2. 终端主机检查存在严重违规的时候无法接入网络,提示需要修复,修复完成后可以成功接入网络。
  3. 在FW上查看Agile Controller状态。

    # 在主用FW上查看Agile Controller状态。

    HRP_M<FW-3> display right-manager server-group                  
     Server group state  :  Enable                                                         
     Server number :     2                                                           
     Server ip address        Port        State       Master                         
     192.168.1.2              3288        active        Y                       
     192.168.1.3              3288        active        N                           

    active表示Agile Controller与FW连接状态正常。

    # 在备用FW上查看Agile Controller状态。

    HRP_S<FW-4> display right-manager server-group                  
     Server group state  :  Enable                                                         
     Server number :     2                                                           
     Server ip address        Port        State       Master                         
     192.168.1.2              3288        active        Y                       
     192.168.1.3              3288        active        N                           
  4. 分支机构用户登录成功后,在主备FW上均可以查看到用户的登录信息。下面以在主用FW上执行命令display right-manager online-users为例查看在线用户的登录信息和角色信息。
    HRP_M<FW-3> display right-manager online-users  
      User name    : lee 
      Ip address   : 10.8.1.3 
      ServerIp     : 192.168.1.2 
      Login time   : 10:14:11 2016/05/06 ( Hour:Minute:Second Year/Month/Day) 
    ----------------------------------------- 
      Role id      Rolename 
         1          DefaultDeny   
         6          Permit_1   
       255          Last   
    -----------------------------------------

    执行命令display right-manager role-info,查看角色与ACL对应关系。

    HRP_M<FW-3> display right-manager role-info 
     All Role count:8  
     Role  ID      ACL number      Role name 
    ------------------------------------------------------------------------------ 
     Role   0      3099            default 
     Role   1      3100            DefaultDeny 
     Role   2      3101            DefaultPermit 
     Role   3      3102            Deny___0 
     Role   4      3103            Permit_0 
    ------------------------------------------------------------------------------ 
     Role   5      3104            Deny___1 
     Role   6      3105            Permit_1Role 255      3354            Last

    执行命令display acl acl-number命令查看acl 3100、3105、3354的内容。

    HRP_M<FW-3> display acl 3100 
    Advanced ACL  3100, 1 rule     //缺省禁止规则,在隔离域和后域中的“控制方式”选择“只允许访问列表中的受控域资源,禁止访问其它。”时使用。 
    Acl's step is 1 
     rule 1 deny ip (0 times matched) 
    HRP_M<FW-3> display acl 3105 
    Advanced ACL  3105, 1 rule     //允许访问认证后域。 
    Acl's step is 1 
     rule 1 permit ip destination 10.1.1.4 0 (0 times matched) 
     rule 2 permit ip destination 10.1.1.5 0 (0 times matched) 
    HRP_M<FW-3> display acl 3354 
    Advanced ACL  3354, 3 rules     //允许访问认证前域 
    Acl's step is 1 
     rule 1 permit ip destination 192.168.1.2 0 (0 times matched) 
     rule 2 permit ip destination 192.168.1.3 0 (0 times matched) 
     rule 3 permit ip destination 192.168.3.3 0 (0 times matched)     

    由此可知帐号lee对应1、6和255三个角色,匹配顺序从下到上,通过角色与ACL的对应关系可看出三个角色所对应的ACL内容。

    其中角色ID为255的角色表示允许访问认证前域,角色ID为6的角色表示允许访问数据中心业务服务区,角色ID为1的角色表示禁止访问所有。

    综合角色的内容和匹配顺序,可得出帐号lee可以访问认证前域和认证后域,禁止访问其他。

  5. 在Agile Controller上选择“资源 > 用户 > 在线用户管理”可以查看用户上线的详细信息。

配置脚本

FW-3

FW-4

#

hrp enable

hrp interface GigabitEthernet 1/0/3 remote 10.10.10.2

#

undo firewall session link-state check

#

interface GigabitEthernet 1/0/1

description SACG1_To_Coreswitch1_GE1/1/0/3

ip address 10.4.1.2 255.255.255.248

vrrp vrid 1 virtual-ip 10.4.1.1 active

link-group 1

#

interface GigabitEthernet 1/0/2

description SACG1_To_Coreswitch1_GE1/1/0/4

ip address 10.5.1.2 255.255.255.248

vrrp vrid 2 virtual-ip 10.5.1.1 active

link-group 1

#

interface GigabitEthernet 1/0/3

description hrp_interface

ip address 10.10.10.1 255.255.255.0

#

firewall zone trust

add interface GigabitEthernet 1/0/1

#

firewall zone untrust

add interface GigabitEthernet 1/0/2

#

firewall zone dmz

add interface GigabitEthernet 1/0/3

#

firewall interzone trust untrust

apply packet-filter right-manager inbound

#

ip route-static 0.0.0.0 0.0.0.0 10.4.1.4

#

firewall session aging-time service-set tcp_1414 40000

#

right-manager server-group

default acl 3099

server ip 192.168.1.2 port 3288 shared-key %$%$FxDAFSd(Y*Ku3%4+"%$%$

server ip 192.168.1.3 port 3288 shared-key %ef<f%7FxDAFSd(Y*Ku3%><dfe%&%$

integrity-check enable

right-manager server-group enable

right-manager status-detect enable

local ip 10.4.1.2

right-manager authentication url http://192.168.1.2:8084/auth

right-manager authentication url http://192.168.1.3:8084/auth

#

security-policy

rule name sc_to_sacg

source-zone trust

source-zone local

destination-zone local

destination-zone trust

action permit

rule name sacg_to_client

source-zone local

destination-zone untrust

action permit

#

hrp enable

hrp interface GigabitEthernet 1/0/3 remote 10.10.10.1

#

undo firewall session link-state check

#

interface GigabitEthernet 1/0/1

description SACG2_To_Coreswitch2_GE2/1/0/3

ip address 10.4.1.3 255.255.255.248

vrrp vrid 1 virtual-ip 10.4.1.1 standby

link-group 1

#

interface GigabitEthernet 1/0/2

description SACG2_To_Coreswitch2_GE2/1/0/4

ip address 10.5.1.3 255.255.255.248

vrrp vrid 2 virtual-ip 10.5.1.1 standby

link-group 1

#

interface GigabitEthernet 1/0/3

description hrp_interface

ip address 10.10.10.2 255.255.255.0

#

firewall zone trust

add interface GigabitEthernet 1/0/1

#

firewall zone untrust

add interface GigabitEthernet 1/0/2

#

firewall zone dmz

add interface GigabitEthernet 1/0/3

#

firewall interzone trust untrust

apply packet-filter right-manager inbound

#

ip route-static 0.0.0.0 0.0.0.0 10.4.1.4

#

firewall session aging-time service-set tcp_1414 40000

#

right-manager server-group

default acl 3099

server ip 192.168.1.2 port 3288 shared-key %$%$FxDAFSd(Y*Ku3%4+"%$%$

server ip 192.168.1.3 port 3288 shared-key %ef<f%7FxDAFSd(Y*Ku3%><dfe%&%$

integrity-check enable

right-manager server-group enable

right-manager status-detect enable

local ip 10.4.1.3

right-manager authentication url http://192.168.1.2:8084/auth

right-manager authentication url http://192.168.1.3:8084/auth

#

security-policy

rule name sc_to_sacg

source-zone trust

source-zone local

destination-zone local

destination-zone trust

action permit

rule name sacg_to_client

source-zone local

destination-zone untrust

action permit

互联网出口防火墙

典型组网

图1-4所示为互联网出口防火墙的典型组网。

  • 核心交换机SW1/SW2堆叠组网、出口汇聚交换机SW7/SW8堆叠组网。防火墙位于核心交换机和出口汇聚交换机之间,三层接入并启用主备备份方式的双机热备。
  • 防火墙连接上下行设备的接口上配置VRRP,防火墙使用VRRP虚拟IP地址与上下行设备通信。
  • 出差员工与出口防火墙间建立SSL VPN,安全接入内网。
  • 分支机构的互联网出口处也部署防火墙,与总部的互联网出口防火墙之间建立IPSec VPN,承载分支机构和数据中心之间的数据传输。
  • DMZ区域的部分服务器为业务前置服务器,需要开放给公网用户访问。因此,互联网出口防火墙上需要配置NAT Server功能,将服务器私网地址映射为公网地址。
图1-4 互联网出口防火墙典型组网

业务规划

防火墙接口规划

FW-5的接口规划:

序号

本端设备

本端接口

对端设备

对端接口

备注

1

FW-5

GE1/0/1

SW-5

GE1/1/0/1

Eth-Trunk1,防火墙上行业务接口

2

FW-5

GE1/0/2

SW-5

GE1/1/0/2

Eth-Trunk1,防火墙上行业务接口

3

FW-5

GE1/0/3

SW-1

GE1/1/0/5

Eth-Trunk2,防火墙下行业务接口

4

FW-5

GE1/0/4

SW-1

GE1/1/0/6

Eth-Trunk2,防火墙下行业务接口

5

FW-5

GE1/0/5

FW-6

GE1/0/5

Eth-Trunk0,防火墙心跳接口

6

FW-5

GE1/0/6

FW-6

GE1/0/6

Eth-Trunk0,防火墙心跳接口

FW-6的接口规划:

序号

本端设备

本端接口

对端设备

对端接口

备注

1

FW-6

GE1/0/1

SW-6

GE2/1/0/1

Eth-Trunk1,上行业务接口

2

FW-6

GE1/0/2

SW-6

GE2/1/0/2

Eth-Trunk1,上行业务接口

3

FW-6

GE1/0/3

SW-2

GE2/1/0/5

Eth-Trunk2,下行业务接口

4

FW-6

GE1/0/4

SW-2

GE2/1/0/6

Eth-Trunk2,下行业务接口

5

FW-6

GE1/0/5

FW-5

GE1/0/5

Eth-Trunk0,防火墙心跳接口

6

FW-6

GE1/0/6

FW-5

GE1/0/6

Eth-Trunk0,防火墙心跳接口

防火墙IP地址规划

序号

本端设备

本端接口

VLAN ID

本端IP

对端设备

备注

1

FW-5

Eth-Trunk1.1

10

172.6.1.2/29

VRID:1

VIP:1.1.1.1/29

SW-5

出差员工SSL VPN网关

2

FW-5

Eth-Trunk1.2

20

172.6.2.2/29

VRID:2

VIP:1.1.2.1/29

SW-5

IPSec网关

3

FW-5

Eth-Trunk1.3

30

172.6.3.2/29

VRID:3

VIP:1.1.3.1/29

SW-5

Internet用户接入网关

4

FW-5

Eth-Trunk1.4

40

172.6.4.2/29

VRID:4

VIP:1.1.4.1/29

SW-5

合作伙伴SSL VPN网关

5

FW-5

Eth-Trunk2.1

103

172.7.1.2/29

VRID:5

VIP:172.7.1.1

SW-1

数据中心业务服务区

6

FW-5

Eth-Trunk2.2

104

172.7.2.2/29

VRID:6

VIP:172.7.2.1

SW-1

DMZ区域

7

FW-5

Eth-Trunk0

-

12.12.12.1/24

FW-6

-

8

FW-6

Eth-Trunk1.1

10

172.6.1.3/29

VRID:1

VIP:1.1.1.1/29

SW-6

出差员工SSL VPN网关

9

FW-6

Eth-Trunk1.2

20

172.6.2.3/29

VRID:2

VIP:1.1.2.1/29

SW-6

IPSec网关

10

FW-6

Eth-Trunk1.3

30

172.6.3.3/29

VRID:3

VIP:1.1.3.1/29

SW-6

Internet用户接入网关

11

FW-6

Eth-Trunk1.4

40

172.6.4.3/29

VRID:4

VIP:1.1.4.1/29

SW-6

合作伙伴SSL VPN网关

11

FW-6

Eth-Trunk2.1

103

172.7.1.3/29

VRID:5

VIP:172.7.1.1

SW-2

数据中心业务服务区

11

FW-6

Eth-Trunk2.2

104

172.7.2.3/29

VRID:6

VIP:172.7.2.1

SW-2

DMZ区域

12

FW-6

Eth-Trunk0

-

12.12.12.2/24

FW-6

-

防火墙安全区域规划

序号

安全区域名称

安全区域优先级

包含接口

备注

1

zone1

45

Eth-Trunk1.1

出差员工

2

zone2

40

Eth-Trunk1.2

分支机构2

3

zone3

10

Eth-Trunk1.3

Internet用户

4

zone4

30

Eth-Trunk1.4

合作伙伴

4

hrp

85

Eth-Trunk0

防火墙心跳接口

5

trust

100

Eth-Trunk2.1

数据中心业务服务区

6

dmz

50

Eth-Trunk2.2

DMZ区域

防火墙安全策略规划

地址组

序号

地址组名

地址

备注

1

remote_users

address 0 172.168.3.0 mask 24

出差员工SSL VPN接入

2

partner

address 0 172.168.4.0 mask 24

合作伙伴

3

branch2

address 0 10.9.1.0 mask 24

分支机构2

4

server1

address 0 10.1.1.10 mask 32

address 1 10.1.1.11 mask 32

出差员工可以访问的服务器

5

server2

address 0 10.2.1.4 mask 32

address 1 10.2.1.5 mask 32

合作伙伴可以访问的服务器

6

server4

address 0 10.1.1.4 mask 32

address 1 10.1.1.5 mask 32

分支机构2可以访问的服务器

7

server5

address 0 192.168.4.2 mask 32

address 1 192.168.4.3 mask 32

address 2 192.168.4.4 mask 32

address 3 192.168.4.5 mask 32

Internet用户可以访问的服务器

8

ad_server

address 0 192.168.5.4 mask 32

address 1 192.168.5.5 mask 32

AD认证服务器,对SSL VPN接入用户进行身份认证

自定义服务

序号

服务名

协议/端口

备注

1

tcp_1414

service 0 protocol tcp destination-port 1414

合作伙伴访问策略使用

安全策略

序号

策略名

源安全区域

源地址

目的安全区域

目的地址

服务

动作

1

remote_users_to_server1

zone1

remote_users

trust

server1

ftp,http

permit

2

partner_to_server2

zone4

partner

trust

server2

tcp_1414

permit

4

branch2_to_server4

zone2

branch2

trust

server4

ftp

permit

5

internet_to_server5

zone3

any

dmz

server5

https,http

permit

6

ipsec

zone2,local

1.1.2.1/32,2.2.2.2/32(分支机构2 IPSec网关IP地址)

local,zone2

1.1.2.1/32,2.2.2.2/32(分支机构2 IPSec网关IP地址)

any

permit

7

ssl_vpn

zone1,zone4

any

local

1.1.1.1/32,1.1.4.1/32

any

permit

8

to_ad_server

local

any

dmz

ad_server

any

permit

8

default

any

any

any

any

any

deny

说明:

“default”是设备默认存在的缺省安全策略,如果流量没有匹配到管理员定义的安全策略,就会命中缺省安全策略(条件均为any,动作默认为禁止)。如果需要控制只有某些IP可以访问服务器,则需要保持缺省安全策略的禁止动作,然后配置允许哪些IP访问服务器的安全策略。

双机热备心跳报文不受安全策略控制,不需要针对心跳报文配置安全策略。

防火墙长连接

延长协议的会话老化时间来实现长连接。

序号

协议

老化时间

1

tcp_1414

40000秒

通过Long-link功能实现长连接。

序号

策略名

老化时间

1

branch2_to_server4

480小时

说明:

延长协议的会话老化时间来实现长连接与Long-link功能相比,配置更简单。而Long-link功能可以细化保持长连接的条件,仅对特定的流量保持长连接。延长协议的会话老化时间是全局配置,对所有该类型的协议都生效。这会导致一些不需要保持长连接的会话长时间得不到老化,占用大量的会话表项资源。一旦会话表项资源耗尽,将无法再继续新建业务。

因此,确认某个协议的所有会话都要保持一个较长的老化时间时,可以使用延长该协议的会话老化时间的方法来实现长连接。否则,请使用Long-link功能实现长连接。

Long-link功能仅对基于TCP协议的连接有效。

防火墙NAT规划

NAT Server

序号

名称

协议

公网IP

公网端口

私网IP

私网端口

1

https_server1

tcp

1.1.3.2

4433

192.168.4.2

443

2

https_server2

tcp

1.1.3.3

4433

192.168.4.3

443

3

https_server1

tcp

1.1.3.4

8000

192.168.4.4

80

4

https_server2

tcp

1.1.3.5

8000

192.168.4.5

80

防火墙路由规划

防火墙上配置静态路由,具体如下:

序号

目的地址

掩码

下一跳

备注

1

10.1.0.0

255.255.0.0

172.7.1.4

到数据中心业务服务区1的路由

2

10.2.0.0

255.255.0.0

172.7.1.4

到数据中心业务服务区2的路由

3

10.3.0.0

255.255.0.0

172.7.1.4

到数据中心业务服务区3的路由

4

192.168.0.0

255.255.0.0

172.7.1.4

到DMZ区域的路由

4

172.168.3.0

255.255.255.0

1.1.1.2

到出差员工SSL VPN接入终端的路由

5

172.168.4.0

255.255.255.0

1.1.4.2

到合作伙伴网络的路由

7

10.9.1.0

255.255.255.0

1.1.2.2

到分支机构2网络的路由

8

0.0.0.0

0.0.0.0

1.1.3.2

到Internet的缺省路由

IPSec数据规划

VPN网关位置

IPSec策略建立方式

本端地址

对端地址

认证方式

预共享密钥

本端ID

对端ID

总部

策略模板方式

-

-

预共享密钥

Test!1234

IP地址

IP地址

分支

ISAKMP方式

2.2.2.2

1.1.2.1

预共享密钥

Test!1234

IP地址

IP地址

SSL VPN数据规划

出差员工和合作伙伴的SSL VPN配置基本相同,本示例仅以出差员工的SSL VPN配置为例进行说明。

项目

数据

虚拟网关

名称:example

IP:1.1.1.1

域名:www.example.com

最大用户数:150

最大在线用户数:100

AD服务器

主服务器:192.168.5.4

从服务器:192.168.5.5

Web代理资源

名称:resource1,链接:http://10.1.1.10

名称:resource2,链接:http://10.1.1.11

网络扩展

网络扩展地址池:172.168.3.2-172.168.3.254

路由模式:手动

网络扩展用户可访问的内网网段:10.1.1.0/24

安全防护规划

  • 攻击防范规划

    为了保证内部网络免受网络攻击侵袭,需要在防火墙上配置攻击防范功能。

    一般情况下,推荐防火墙配置以下攻击防范:

    • Smurf攻击防范
    • Land攻击防范
    • Fraggle攻击防范
    • Ping of Death攻击防范
    • WinNuke攻击防范
    • 带路由记录项的IP报文攻击防范
    • 带源路由选项的IP报文攻击防范
    • 带时间戳选项的IP报文攻击防范
    • SYN Flood攻击防范
    • UDP Flood攻击防范
    • ICMP Flood攻击防范

      在实际部署时,对于以上Flood类型的攻击,接口的攻击报文的最大速率可以先配置一个较大的取值,然后一边观察一边调小取值,直到调整至合适的范围(原则是既很好的限制了攻击,又不影响正常业务)。

  • IPS规划

    为了保证内部网络免受黑客、僵尸、木马、蠕虫等的侵袭,需要在防火墙上配置IPS功能。

说明:

IPS功能可以部署在防火墙上,可以通过单独的IPS设备部署。

IPS和功能的配置方式是在配置安全策略时引用IPS配置文件。在本案例中,我们需要在上述配置的安全策略中都引用IPS配置文件,即对安全策略允许通过的流量都进行IPS检测。

一般情况下,在初始部署防火墙时,选择缺省的IPS配置文件default即可。防火墙运行一段时间后,管理员可以根据网络运行状况,自定义配置文件。IPS还支持缺省的配置文件ids,即只对入侵报文产生告警,不阻断。如果对安全性要求不是很高,为了降低IPS误报的风险,可以选择ids配置文件。

注意事项

IPS

配置IPS功能前需要确保IPS特征库为最新版本。

攻击防范

本案例的攻击防范配置为推荐的标准配置。

策略备份加速

当策略数量较多时(比如超过500条),为了提升策略加速期间的匹配效率,需要开启备份加速功能。但是开启该功能后,新配置的策略需要等待策略备份加速完成后才能生效。

配置步骤

配置接口、安全区域和路由

操作步骤
  1. 配置FW-5接口IP地址。

    <sysname> system-view 
    [sysname] sysname FW-5 
    [FW-5] interface Eth-trunk 1 
    [FW-5-Eth-Trunk1] description Link_To_SW5 
    [FW-5-Eth-Trunk1] trunkport GigabitEthernet 1/0/1 
    [FW-5-Eth-Trunk1] trunkport GigabitEthernet 1/0/2 
    [FW-5-Eth-Trunk1] quit 
    [FW-5] interface Eth-trunk 1.1 
    [FW-5-Eth-Trunk1.1] vlan-type dot1q 10 
    [FW-5-Eth-Trunk1.1] ip address 172.6.1.2 29 
    [FW-5-Eth-Trunk1.1] quit 
    [FW-5] interface Eth-trunk 1.2 
    [FW-5-Eth-Trunk1.2] vlan-type dot1q 20 
    [FW-5-Eth-Trunk1.2] ip address 172.6.2.2 29 
    [FW-5-Eth-Trunk1.2] quit 
    [FW-5] interface Eth-trunk 1.3 
    [FW-5-Eth-Trunk1.3] vlan-type dot1q 30 
    [FW-5-Eth-Trunk1.3] ip address 172.6.3.2 29 
    [FW-5-Eth-Trunk1.3] quit 
    [FW-5] interface Eth-trunk 1.4 
    [FW-5-Eth-Trunk1.4] vlan-type dot1q 40 
    [FW-5-Eth-Trunk1.4] ip address 172.6.4.2 29 
    [FW-5-Eth-Trunk1.4] quit 
    [FW-5] interface Eth-trunk 2 
    [FW-5-Eth-Trunk2] description Link_To_SW1 
    [FW-5-Eth-Trunk2] trunkport GigabitEthernet 1/0/3 
    [FW-5-Eth-Trunk2] trunkport GigabitEthernet 1/0/4 
    [FW-5-Eth-Trunk2] quit 
    [FW-5] interface Eth-trunk 2.1 
    [FW-5-Eth-Trunk2.1] vlan-type dot1q 103 
    [FW-5-Eth-Trunk2.1] ip address 172.7.1.2 29 
    [FW-5-Eth-Trunk2.1] quit 
    [FW-5] interface Eth-trunk 2.2 
    [FW-5-Eth-Trunk2.2] vlan-type dot1q 104 
    [FW-5-Eth-Trunk2.2] ip address 172.7.2.2 29 
    [FW-5-Eth-Trunk2.2] quit 
    [FW-5] interface Eth-trunk 0 
    [FW-5-Eth-Trunk0] description HRP_Interface 
    [FW-5-Eth-Trunk0] trunkport GigabitEthernet 1/0/5 
    [FW-5-Eth-Trunk0] trunkport GigabitEthernet 1/0/6 
    [FW-5-Eth-Trunk0] ip address 12.12.12.1 24 
    [FW-5-Eth-Trunk0] quit

  2. 将FW-5接口加入安全区域。

    [FW-5] firewall zone name zone1 
    [FW-5-zone-zone1] set priority 45 
    [FW-5-zone-zone1] add interface Eth-trunk1.1 
    [FW-5-zone-zone1] quit 
    [FW-5] firewall zone name zone2 
    [FW-5-zone-zone2] set priority 40 
    [FW-5-zone-zone2] add interface Eth-trunk1.2 
    [FW-5-zone-zone2] quit 
    [FW-5] firewall zone name zone3 
    [FW-5-zone-zone3] set priority 10 
    [FW-5-zone-zone3] add interface Eth-trunk1.3 
    [FW-5-zone-zone3] quit 
    [FW-5] firewall zone name zone4 
    [FW-5-zone-zone4] set priority 30 
    [FW-5-zone-zone4] add interface Eth-trunk1.4 
    [FW-5-zone-zone4] quit 
    [FW-5] firewall zone trust 
    [FW-5-zone-trust] add interface Eth-trunk2.1 
    [FW-5-zone-trust] quit 
    [FW-5] firewall zone dmz 
    [FW-5-zone-dmz] add interface Eth-trunk2.2 
    [FW-5-zone-dmz] quit 
    [FW-5] firewall zone name hrp 
    [FW-5-zone-hrp] set priority 85 
    [FW-5-zone-hrp] add interface Eth-trunk0 
    [FW-5-zone-hrp] quit

  3. 在FW-5上配置静态路由。

    # 在FW-5上配置到数据中心业务服务区的静态路由,下一跳为核心交换机的IP地址。

    [FW-5] ip route-static 10.1.0.0 255.255.0.0 172.7.1.4 
    [FW-5] ip route-static 10.2.0.0 255.255.0.0 172.7.1.4 
    [FW-5] ip route-static 10.3.0.0 255.255.0.0 172.7.1.4

    # 在FW-5上配置到出差员工SSL VPN接入终端、分支机构、合作伙伴、Internet的静态路由,下一跳为ISP路由器的IP地址。

    [FW-5] ip route-static 172.168.3.0 255.255.255.0 1.1.1.2 
    [FW-5] ip route-static 172.168.4.0 255.255.255.0 1.1.4.2 
    [FW-5] ip route-static 10.9.1.0 255.255.255.0 1.1.2.2 
    [FW-5] ip route-static 0.0.0.0 0.0.0.0 1.1.3.2

  4. 参考上述步骤配置FW-6的接口IP、安全区域和路由,不同之处是接口IP不同。

配置双机热备

操作步骤
  1. 在FW-5的上行接口上配置VRRP备份组,并将VRRP备份组状态设置为Active。

    <FW-5> system-view 
    [FW-5] interface Eth-Trunk1.1 
    [FW-5-Eth-Trunk1.1] vrrp vrid 1 virtual-ip 1.1.1.1 29 active 
    [FW-5-Eth-Trunk1.1] quit 
    [FW-5] interface Eth-Trunk1.2 
    [FW-5-Eth-Trunk1.2] vrrp vrid 2 virtual-ip 1.1.2.1 29 active 
    [FW-5-Eth-Trunk1.2] quit 
    [FW-5] interface Eth-Trunk1.3 
    [FW-5-Eth-Trunk1.3] vrrp vrid 3 virtual-ip 1.1.3.1 29 active 
    [FW-5-Eth-Trunk1.3] quit 
    [FW-5] interface Eth-Trunk1.4 
    [FW-5-Eth-Trunk1.4] vrrp vrid 4 virtual-ip 1.1.4.1 29 active 
    [FW-5-Eth-Trunk1.4] quit 
    [FW-5] interface Eth-Trunk2.1 
    [FW-5-Eth-Trunk2.1] vrrp vrid 5 virtual-ip 172.7.1.1 29 active 
    [FW-5-Eth-Trunk2.1] quit 
    [FW-5] interface Eth-Trunk2.2 
    [FW-5-Eth-Trunk2.2] vrrp vrid 6 virtual-ip 172.7.2.1 29 active 
    [FW-5-Eth-Trunk2.2] quit

  2. 在FW-5上指定Eth-Trunk0为心跳口,并启用双机热备。

    [FW-5] hrp interface Eth-Trunk0 remote 12.12.12.2 
    [FW-5] hrp enable

  3. 在FW-6的接口上配置VRRP备份组,并将VRRP备份组状态设置为Standby。

    <FW-6> system-view 
    [FW-6] interface Eth-Trunk1.1 
    [FW-6-Eth-Trunk1.1] vrrp vrid 1 virtual-ip 1.1.1.1 29 standby 
    [FW-6-Eth-Trunk1.1] quit 
    [FW-6] interface Eth-Trunk1.2 
    [FW-6-Eth-Trunk1.2] vrrp vrid 2 virtual-ip 1.1.2.1 29 standby 
    [FW-6-Eth-Trunk1.2] quit 
    [FW-6] interface Eth-Trunk1.3 
    [FW-6-Eth-Trunk1.3] vrrp vrid 3 virtual-ip 1.1.3.1 29 standby 
    [FW-6-Eth-Trunk1.3] quit 
    [FW-6] interface Eth-Trunk1.4 
    [FW-6-Eth-Trunk1.4] vrrp vrid 4 virtual-ip 1.1.4.1 29 standby 
    [FW-6-Eth-Trunk1.4] quit 
    [FW-6] interface Eth-Trunk2.1 
    [FW-6-Eth-Trunk2.1] vrrp vrid 5 virtual-ip 172.7.1.1 29 standby 
    [FW-6-Eth-Trunk2.1] quit 
    [FW-6] interface Eth-Trunk2.2 
    [FW-6-Eth-Trunk2.2] vrrp vrid 6 virtual-ip 172.7.2.1 29 standby 
    [FW-6-Eth-Trunk2.2] quit

  4. 在FW-6上指定Eth-Trunk0为心跳口,并启用双机热备。

    [FW-6] hrp interface Eth-Trunk0 remote 12.12.12.1 
    [FW-6] hrp enable

操作结果

至此,双机热备关系已经建立,后续大部分配置都能够备份。所以在下面的步骤中,我们只需在主用设备FW-5上配置即可(有特殊说明的配置除外)。

配置NAT Server

操作步骤
  1. 配置NAT Server,将前置服务器的私网地址分别映射公网地址。

    HRP_M[FW-5] nat server https_server1 protocol tcp global 1.1.3.2 4433 inside 192.168.4.2 443 
    HRP_M[FW-5] nat server https_server2 protocol tcp global 1.1.3.3 4433 inside 192.168.4.3 443 
    HRP_M[FW-5] nat server http_server1 protocol tcp global 1.1.3.4 8000 inside 192.168.4.4 80 
    HRP_M[FW-5] nat server http_server2 protocol tcp global 1.1.3.5 8000 inside 192.168.4.5 80

  2. 配置NAT Server公网地址的黑洞路由,避免防火墙与ISP路由器之间产生路由环路。

    路由配置不支持备份,因此需要同时在FW-5和FW-6上配置。

    HRP_M[FW-5] ip route-static 1.1.3.2 32 NULL 0 
    HRP_M[FW-5] ip route-static 1.1.3.3 32 NULL 0 
    HRP_M[FW-5] ip route-static 1.1.3.4 32 NULL 0 
    HRP_M[FW-5] ip route-static 1.1.3.5 32 NULL 0     
    HRP_S[FW-6] ip route-static 1.1.3.2 32 NULL 0 
    HRP_S[FW-6] ip route-static 1.1.3.3 32 NULL 0 
    HRP_S[FW-6] ip route-static 1.1.3.4 32 NULL 0 
    HRP_S[FW-6] ip route-static 1.1.3.5 32 NULL 0

配置安全策略及安全防护

操作步骤
  1. 配置安全策略和IPS。

    # 在FW-5上配置地址组。

    HRP_M[FW-5] ip address-set remote_users type object 
    HRP_M[FW-5-object-address-set-remote_users] address 0 172.168.3.0 mask 24 
    HRP_M[FW-5-object-address-set-remote_users] description "for remote users" 
    HRP_M[FW-5-object-address-set-remote_users] quit 
    HRP_M[FW-5] ip address-set partner type object 
    HRP_M[FW-5-object-address-set-partner] address 0 172.168.4.0 mask 24 
    HRP_M[FW-5-object-address-set-partner] description "for partner" 
    HRP_M[FW-5-object-address-set-partner] quit 
    HRP_M[FW-5] ip address-set branch2 type object 
    HRP_M[FW-5-object-address-set-branch2] address 0 10.9.1.0 mask 24 
    HRP_M[FW-5-object-address-set-branch2] description "for branch2" 
    HRP_M[FW-5-object-address-set-branch2] quit 
    HRP_M[FW-5] ip address-set server1 type object 
    HRP_M[FW-5-object-address-set-server1] address 0 10.1.1.10 mask 32 
    HRP_M[FW-5-object-address-set-server1] address 1 10.1.1.11 mask 32 
    HRP_M[FW-5-object-address-set-server1] description "for server1" 
    HRP_M[FW-5-object-address-set-server1] quit 
    HRP_M[FW-5] ip address-set server2 type object 
    HRP_M[FW-5-object-address-set-server2] address 0 10.2.1.4 mask 32 
    HRP_M[FW-5-object-address-set-server2] address 1 10.2.1.5 mask 32 
    HRP_M[FW-5-object-address-set-server2] description "for server2" 
    HRP_M[FW-5-object-address-set-server2] quit 
    HRP_M[FW-5] ip address-set server4 type object 
    HRP_M[FW-5-object-address-set-server4] address 0 10.1.1.4 mask 32 
    HRP_M[FW-5-object-address-set-server4] address 1 10.1.1.5 mask 32 
    HRP_M[FW-5-object-address-set-server4] description "for server4" 
    HRP_M[FW-5-object-address-set-server4] quit 
    HRP_M[FW-5] ip address-set server5 type object 
    HRP_M[FW-5-object-address-set-server5] address 0 192.168.4.2 mask 32 
    HRP_M[FW-5-object-address-set-server5] address 1 192.168.4.3 mask 32 
    HRP_M[FW-5-object-address-set-server5] address 2 192.168.4.4 mask 32 
    HRP_M[FW-5-object-address-set-server5] address 3 192.168.4.5 mask 32 
    HRP_M[FW-5-object-address-set-server5] description "for server5" 
    HRP_M[FW-5-object-address-set-server5] quit 
    HRP_M[FW-5] ip address-set ad_server type object 
    HRP_M[FW-5-object-address-set-ad_server] address 0 192.168.5.4 mask 32 
    HRP_M[FW-5-object-address-set-ad_server] address 1 192.168.5.5 mask 32 
    HRP_M[FW-5-object-address-set-ad_server] description "for ad_server" 
    HRP_M[FW-5-object-address-set-ad_server] quit

    # 在FW-5上配置服务集。

    HRP_M[FW-5] ip service-set tcp_1414 type object 
    HRP_M[FW-5-object-service-set-tcp_1414] service 0 protocol tcp destination-port 1414 
    HRP_M[FW-5-object-service-set-tcp_1414] quit

    # 在FW-5上配置安全策略remote_users_to_server1,并引用IPS安全配置文件。

    HRP_M[FW-5] security-policy 
    HRP_M[FW-5-policy-security] rule name remote_users_to_server1 
    HRP_M[FW-5-policy-security-rule-remote_users_to_server1] source-zone zone1  
    HRP_M[FW-5-policy-security-rule-remote_users_to_server1] destination-zone trust  
    HRP_M[FW-5-policy-security-rule-remote_users_to_server1] source-address address-set remote_users  
    HRP_M[FW-5-policy-security-rule-remote_users_to_server1] destination-address address-set server1  
    HRP_M[FW-5-policy-security-rule-remote_users_to_server1] service ftp http 
    HRP_M[FW-5-policy-security-rule-remote_users_to_server1] action permit 
    HRP_M[FW-5-policy-security-rule-remote_users_to_server1] profile ips default 
    HRP_M[FW-5-policy-security-rule-remote_users_to_server1] quit

    # 在FW-5上配置安全策略partner_to_server2,并引用IPS安全配置文件。

    HRP_M[FW-5-policy-security] rule name partner_to_server2 
    HRP_M[FW-5-policy-security-rule-partner_to_server2] source-zone zone4  
    HRP_M[FW-5-policy-security-rule-partner_to_server2] destination-zone trust  
    HRP_M[FW-5-policy-security-rule-partner_to_server2] source-address address-set partner  
    HRP_M[FW-5-policy-security-rule-partner_to_server2] destination-address address-set server2  
    HRP_M[FW-5-policy-security-rule-partner_to_server2] service tcp_1414 
    HRP_M[FW-5-policy-security-rule-partner_to_server2] action permit 
    HRP_M[FW-5-policy-security-rule-partner_to_server2] profile ips default 
    HRP_M[FW-5-policy-security-rule-partner_to_server2] quit

    # 在FW-5上配置安全策略branch2_to_server4,并引用IPS安全配置文件。

    HRP_M[FW-5-policy-security] rule name branch2_to_server4 
    HRP_M[FW-5-policy-security-rule-branch2_to_server4] source-zone zone2  
    HRP_M[FW-5-policy-security-rule-branch2_to_server4] destination-zone trust  
    HRP_M[FW-5-policy-security-rule-branch2_to_server4] source-address address-set branch2  
    HRP_M[FW-5-policy-security-rule-branch2_to_server4] destination-address address-set server4  
    HRP_M[FW-5-policy-security-rule-branch2_to_server4] service ftp 
    HRP_M[FW-5-policy-security-rule-branch2_to_server4] action permit 
    HRP_M[FW-5-policy-security-rule-branch2_to_server4] profile ips default 
    HRP_M[FW-5-policy-security-rule-branch2_to_server4] quit

    # 在FW-5上配置安全策略internet_to_server5,并引用IPS安全配置文件。

    HRP_M[FW-5-policy-security] rule name internet_to_server5 
    HRP_M[FW-5-policy-security-rule-internet_to_server5] source-zone zone3  
    HRP_M[FW-5-policy-security-rule-internet_to_server5] destination-zone dmz  
    HRP_M[FW-5-policy-security-rule-internet_to_server5] destination-address address-set server5  
    HRP_M[FW-5-policy-security-rule-internet_to_server5] service https http 
    HRP_M[FW-5-policy-security-rule-internet_to_server5] action permit 
    HRP_M[FW-5-policy-security-rule-internet_to_server5] profile ips default 
    HRP_M[FW-5-policy-security-rule-internet_to_server5] quit

    # 在FW-5上配置安全策略ipsec

    HRP_M[FW-5-policy-security] rule name ipsec 
    HRP_M[FW-5-policy-security-rule-ipsec] source-zone zone2 local  
    HRP_M[FW-5-policy-security-rule-ipsec] destination-zone zone2 local  
    HRP_M[FW-5-policy-security-rule-ipsec] source-address 1.1.2.1 32  
    HRP_M[FW-5-policy-security-rule-ipsec] source-address 2.2.2.2 32  
    HRP_M[FW-5-policy-security-rule-ipsec] destination-address 1.1.2.1 32 
    HRP_M[FW-5-policy-security-rule-ipsec] destination-address 2.2.2.2 32 
    HRP_M[FW-5-policy-security-rule-ipsec] action permit 
    HRP_M[FW-5-policy-security-rule-ipsec] quit

    # 在FW-5上配置安全策略ssl_vpn

    HRP_M[FW-5-policy-security] rule name ssl_vpn 
    HRP_M[FW-5-policy-security-rule-ssl_vpn] source-zone zone1 zone4  
    HRP_M[FW-5-policy-security-rule-ssl_vpn] destination-zone local  
    HRP_M[FW-5-policy-security-rule-ssl_vpn] destination-address 1.1.1.1 32 
    HRP_M[FW-5-policy-security-rule-ssl_vpn] destination-address 1.1.4.1 32 
    HRP_M[FW-5-policy-security-rule-ssl_vpn] action permit 
    HRP_M[FW-5-policy-security-rule-ssl_vpn] quit

    # 在FW-5上配置安全策略to_ad_server

    HRP_M[FW-5-policy-security] rule name to_ad_server 
    HRP_M[FW-5-policy-security-rule-to_ad_server] source-zone local  
    HRP_M[FW-5-policy-security-rule-to_ad_server] destination-zone dmz  
    HRP_M[FW-5-policy-security-rule-to_ad_server] destination-address address-set ad_server 
    HRP_M[FW-5-policy-security-rule-to_ad_server] action permit 
    HRP_M[FW-5-policy-security-rule-to_ad_server] quit 
    HRP_M[FW-5-policy-security] quit

  2. 配置长连接。

    # 修改tcp_1414的会话老化时间为40000秒。

    HRP_M[FW-5] firewall session aging-time service-set tcp_1414 40000

    # 在安全策略branch2_to_server4中启用长连接功能,将命中该策略的连接的老化时间修改为480小时。

    HRP_M[FW-5] security-policy 
    HRP_M[FW-5-policy-security] rule name branch2_to_server4 
    HRP_M[FW-5-policy-security-rule-branch2_to_server4] long-link enable 
    HRP_M[FW-5-policy-security-rule-branch2_to_server4] long-link aging-time 480 
    HRP_M[FW-5-policy-security-rule-branch2_to_server4] quit 
    HRP_M[FW-5-policy-security] quit

  3. 配置攻击防范。

    # 在FW-5上配置单包攻击防范功能。

    HRP_M[FW-5] firewall defend land enable 
    HRP_M[FW-5] firewall defend smurf enable 
    HRP_M[FW-5] firewall defend fraggle enable 
    HRP_M[FW-5] firewall defend ip-fragment enable 
    HRP_M[FW-5] firewall defend tcp-flag enable 
    HRP_M[FW-5] firewall defend winnuke enable 
    HRP_M[FW-5] firewall defend source-route enable 
    HRP_M[FW-5] firewall defend teardrop enable 
    HRP_M[FW-5] firewall defend route-record enable 
    HRP_M[FW-5] firewall defend time-stamp enable 
    HRP_M[FW-5] firewall defend ping-of-death enable

  4. 配置策略备份加速。

    当策略数量较多时(比如超过500条),为了提升策略加速期间的匹配效率,需要开启备份加速功能。但是开启该功能后,新配置的策略需要等待策略备份加速完成后才能生效。

    HRP_M[FW-5] policy accelerate standby enable

配置IPSec VPN

操作步骤
  1. 在总部FW上配置IPSec策略,并在接口上应用此IPSec策略。

    1. 定义被保护的数据流。配置高级ACL 3000,允许10.1.1.0/24网段访问10.9.1.0/24网段。
      HRP_M<FW-5> system-view 
      HRP_M[FW-5] acl 3000 
      HRP_M[FW-5-acl-adv-3000] rule 5 permit ip source 10.1.1.0 0.0.0.255 destination 10.9.1.0 0.0.0.255 
      HRP_M[FW-5-acl-adv-3000] quit
    2. 配置IPSec安全提议。缺省参数可不配置。
      HRP_M[FW-5] ipsec proposal tran1 
      HRP_M[FW-5-ipsec-proposal-tran1] esp authentication-algorithm sha2-256 
      HRP_M[FW-5-ipsec-proposal-tran1] esp encryption-algorithm aes-256 
      HRP_M[FW-5-ipsec-proposal-tran1] quit
    3. 配置IKE安全提议。缺省参数可不配置。
      HRP_M[FW-5] ike proposal 10 
      HRP_M[FW-5-ike-proposal-10] authentication-method pre-share 
      HRP_M[FW-5-ike-proposal-10] prf hmac-sha2-256 
      HRP_M[FW-5-ike-proposal-10] encryption-algorithm aes-256 
      HRP_M[FW-5-ike-proposal-10] dh group2 
      HRP_M[FW-5-ike-proposal-10] integrity-algorithm hmac-sha2-256   
      HRP_M[FW-5-ike-proposal-10] quit
    4. 配置IKE peer。
      HRP_M[FW-5] ike peer b 
      HRP_M[FW-5-ike-peer-b] ike-proposal 10 
      HRP_M[FW-5-ike-peer-b] pre-shared-key Test!1234 
      HRP_M[FW-5-ike-peer-b] quit
    5. 配置IPSec策略。
      HRP_M[FW-5] ipsec policy-template policy1 1 
      HRP_M[FW-5-ipsec-policy-templet-policy1-1] security acl 3000 
      HRP_M[FW-5-ipsec-policy-templet-policy1-1] proposal tran1 
      HRP_M[FW-5-ipsec-policy-templet-policy1-1] ike-peer b 
      HRP_M[FW-5-ipsec-policy-templet-policy1-1] quit 
      HRP_M[FW-5] ipsec policy map1 10 isakmp template policy1
    6. 在接口上应用IPSec策略组map1。
      HRP_M[FW-5] interface Eth-Trunk1.2 
      HRP_M[FW-5-Eth-Trunk1.2] ipsec policy map1 
      HRP_M[FW-5-Eth-Trunk1.2] quit

  2. 在分支FW-branch上配置IPSec策略,并在接口上应用此IPSec策略。

    1. 配置高级ACL 3000,允许10.9.1.0/24网段访问10.1.1.0/24网段。
      <FW-branch> system-view 
      [FW-branch] acl 3000 
      [FW-branch-acl-adv-3000] rule 5 permit ip source 10.9.1.0 0.0.0.255 destination 10.1.1.0 0.0.0.255 
      [FW-branch-acl-adv-3000] quit
    2. 配置IPSec安全提议。
      [FW-branch] ipsec proposal tran1 
      [FW-branch-ipsec-proposal-tran1] esp authentication-algorithm sha2-256 
      [FW-branch-ipsec-proposal-tran1] esp encryption-algorithm aes-256 
      [FW-branch-ipsec-proposal-tran1] quit
    3. 配置IKE安全提议。
      [FW-branch] ike proposal 10 
      [FW-branch-ike-proposal-10] authentication-method pre-share 
      [FW-branch-ike-proposal-10] prf hmac-sha2-256 
      [FW-branch-ike-proposal-10] encryption-algorithm aes-256 
      [FW-branch-ike-proposal-10] dh group2 
      [FW-branch-ike-proposal-10] integrity-algorithm hmac-sha2-256   
      [FW-branch-ike-proposal-10] quit
    4. 配置IKE peer。
      [FW-branch] ike peer a  
      [FW-branch-ike-peer-a] ike-proposal 10  
      [FW-branch-ike-peer-a] remote-address 1.1.2.1  
      [FW-branch-ike-peer-a] pre-shared-key Test!1234  
      [FW-branch-ike-peer-a] quit
    5. 配置IPSec策略。
      [FW-branch] ipsec policy map1 10 isakmp  
      [FW-branch-ipsec-policy-isakmp-map1-10] security acl 3000  
      [FW-branch-ipsec-policy-isakmp-map1-10] proposal tran1  
      [FW-branch-ipsec-policy-isakmp-map1-10] ike-peer a  
      [FW-branch-ipsec-policy-isakmp-map1-10] quit
    6. 在接口上应用IPSec策略组map1。此处假设分支机构的公网接口为GE1/0/1
      [FW-branch] interface GigabitEthernet 1/0/1  
      [FW-branch-GigabitEthernet1/0/1] ipsec policy map1 
      [FW-branch-GigabitEthernet1/0/1] quit

配置SSL VPN

操作步骤
  1. 配置FW和AD服务器的对接参数。

    此处设置的参数必须与AD服务器上的参数保持一致。

    HRP_M[FW-5] ad-server template ad_server    
    HRP_M[FW-5-ad-ad_server] ad-server authentication 192.168.5.4 88 
    HRP_M[FW-5-ad-ad_server] ad-server authentication 192.168.5.5 88 secondary 
    HRP_M[FW-5-ad-ad_server] ad-server authentication base-dn dc=cce,dc=com 
    HRP_M[FW-5-ad-ad_server] ad-server authentication manager cn=administrator,cn=users Admin@123 Admin@123 
    HRP_M[FW-5-ad-ad_server] ad-server authentication host-name info-server.cce.com 
    HRP_M[FW-5-ad-ad_server] ad-server authentication host-name info-server2.cce.com secondary 
    HRP_M[FW-5-ad-ad_server] ad-server authentication ldap-port 389       
    HRP_M[FW-5-ad-ad_server] ad-server user-filter sAMAccountName          
    HRP_M[FW-5-ad-ad_server] ad-server group-filter ou

    如果对AD服务器不熟悉,无法给出服务器机器名、Base DN、过滤字段等参数,可以通过AD Explorer或LDAP Browser等软件连接到AD服务器上查看具体的属性。以AD Explorer为例,查看到的AD服务器属性以及服务器属性和FW上参数对应关系如下。

    # 测试FW与AD服务器的连通性。

    HRP_M[FW-5-ad-ad_server] test-aaa user_0001 Admin@123 ad-template ad_server 
     Info: Server detection succeeded. 
    HRP_M[FW-5-ad-ad_server] quit
    说明:

    测试时使用的用户名和密码需要与AD服务器上已经存在的帐号的用户名和密码保持一致。

  2. 配置认证域。

    说明:

    FW使用AD/LDAP认证时,配置的认证域名称要和认证服务器上的域名保持一致。本示例中AD服务器上的域名是cce.com,FW上认证域名称也要配置成cce.com。

    HRP_M[FW-5] aaa 
    HRP_M[FW-5-aaa] authentication-scheme ad 
    HRP_M[FW-5-aaa-authen-ad] authentication-mode ad 
    HRP_M[FW-5-aaa-authen-ad] quit 
    HRP_M[FW-5-aaa] domain cce.com 
    HRP_M[FW-5-aaa-domain-cce.com] service-type ssl-vpn  
    HRP_M[FW-5-aaa-domain-cce.com] authentication-scheme ad 
    HRP_M[FW-5-aaa-domain-cce.com] ad-server ad_server  
    HRP_M[FW-5-aaa-domain-cce.com] reference user current-domain 
    HRP_M[FW-5-aaa-domain-cce.com] quit 
    HRP_M[FW-5-aaa] quit

  3. 配置服务器导入策略。

    HRP_M[FW-5] user-manage import-policy ad_server from ad  
    HRP_M[FW-5-import-ad_server] server template ad_server 
    HRP_M[FW-5-import-ad_server] server basedn dc=cce,dc=com 
    HRP_M[FW-5-import-ad_server] server searchdn ou=remoteusers,dc=cce,dc=com 
    HRP_M[FW-5-import-ad_server] destination-group /cce.com 
    HRP_M[FW-5-import-ad_server] user-attribute sAMAccountName 
    HRP_M[FW-5-import-ad_server] import-type all          
    HRP_M[FW-5-import-ad_server] import-override enable  
    HRP_M[FW-5-import-ad_server] sync-mode incremental schedule interval 120 
    HRP_M[FW-5-import-ad_server] sync-mode full schedule daily 01:00 
    HRP_M[FW-5-import-ad_server] quit
    说明:
    • 如果只导入用户组,import-type设置为group步骤5中的新用户选项设置为new-user add-temporary group /cce.com auto-import ad_server。用户认证通过后使用用户所在组的权限。
    • 本例中的用户过滤条件和用户组过滤条件使用缺省值“(&(|(objectclass=person)(objectclass=organizationalPerson))(cn=*)(!(objectclass=computer)))”和“(|(objectclass=organizationalUnit)(ou=*))”,一般使用缺省值即可。如果需要改变请执行user-filtergroup-filter命令设置。

  4. 执行导入策略将用户导入FW。

    HRP_M[FW-5] execute user-manage import-policy ad_server 
     Now importing user, security group and user-group information from remote server...successfully.

    导入成功后,可以执行display user-manage user verbose查看导入的用户。

  5. 在FW上配置认证域的新用户选项。

    HRP_M[FW-5] aaa 
    HRP_M[FW-5-aaa] domain cce.com 
    HRP_M[FW-5-aaa-domain-cce.com] new-user add-temporary group /cce.com auto-import ad_server 
    HRP_M[FW-5-aaa-domain-cce.com] quit 
    HRP_M[FW-5-aaa] quit

  6. 配置SSL VPN虚拟网关。

    # 创建SSL VPN虚拟网关。

    HRP_M[FW-5] v-gateway example 1.1.1.1 private www.example.com 
    HRP_M[FW-5-example] quit

    # 配置SSL VPN虚拟网关允许接入的最大用户数和允许同时接入的最大用户数。

    HRP_M[FW-5] v-gateway example max-user 150 
    HRP_M[FW-5] v-gateway example cur-max-user 100

    # 配置虚拟网关和认证域绑定。

    HRP_M[FW-5] v-gateway example authentication-domain cce.com
    说明:

    当虚拟网关绑定了认证域时,用户登录时输入的用户名中不能带认证域。如果用户名里带了认证域,网关会将“@”以及“@”后的字符串视为用户名的一部分,而不会将其视为认证域。例如,虚拟网关绑定了认证域“cce.com”,该认证域内的用户“user_0001”在登录时输入的用户名应该是“user_0001”,而不能是“user_0001@cce.com”。

  7. 配置Web代理功能。

    # 启用Web代理功能。

    HRP_M[FW-5] v-gateway example 
    HRP_M[FW-5-example] service 
    HRP_M[FW-5-example-service] web-proxy enable

    # 添加Web代理资源Webmail和ERP。

    HRP_M[FW-5-example-service] web-proxy proxy-resource resource1 http://10.1.1.10 show-link 
    HRP_M[FW-5-example-service] web-proxy proxy-resource resource2 http://10.1.1.11 show-link

  8. 配置网络扩展功能。

    # 启用网络扩展功能。

    HRP_M[FW-5-example-service] network-extension enable

    # 配置网络扩展地址池。

    HRP_M[FW-5-example-service] network-extension netpool 172.168.3.2 172.168.3.254 255.255.255.0

    # 配置网络扩展的路由模式为手动模式。

    HRP_M[FW-5-example-service] network-extension mode manual

    # 配置网络扩展用户可访问的内网网段。

    HRP_M[FW-5-example-service] network-extension manual-route 10.1.1.0 255.255.255.0 
    HRP_M[FW-5-example-service] quit

  9. 配置SSL VPN的角色授权/用户。

    # 将用户组remoteusers添加到虚拟网关。

    HRP_M[FW-5-example] vpndb 
    HRP_M[FW-5-example-vpndb] group /cce.com/remoteusers 
    HRP_M[FW-5-example-vpndb] quit

    # 创建角色remoteusers。

    HRP_M[FW-5-example] role 
    HRP_M[FW-5-example-role] role remoteusers

    # 将角色与相应的用户组绑定。

    HRP_M[FW-5-example-role] role remoteusers group /cce.com/remoteusers

    # 配置角色的功能。角色remoteusers启用Web代理和网络扩展功能。

    HRP_M[FW-5-example-role] role remoteusers web-proxy network-extension enable

    # 配置角色与Web代理资源关联。

    HRP_M[FW-5-example-role] role remoteusers web-proxy resource resource1 
    HRP_M[FW-5-example-role] role remoteusers web-proxy resource resource1 
    HRP_M[FW-5-example-role] quit 
    HRP_M[FW-5-example] quit

结果验证

  • 出差员工和合作伙伴能够和互联网出口防火墙建立SSL VPN隧道,并能访问数据中心的资源服务器。
  • 分支机构出口防火墙和互联网出口防火墙之间能建立IPSec VPN隧道,分支机构能够通过IPSec VPN访问数据中心的资源服务器。
  • Internet用户能够访问到DMZ区域的前置服务器。
  • 在主防火墙的业务接口上执行shutdown命令,模拟链路故障,发现主备正常倒换,业务不会中断。

配置脚本

接口、路由、双机热备配置脚本

FW-5

FW-6

#

hrp enable

hrp interface Eth-Trunk0 remote 12.12.12.2

#

nat server https_server1 protocol tcp global 1.1.3.2 4433 inside 192.168.4.2 443

nat server https_server2 protocol tcp global 1.1.3.3 4433 inside 192.168.4.3 443

nat server http_server1 protocol tcp global 1.1.3.4 8000 inside 192.168.4.4 80

nat server http_server2 protocol tcp global 1.1.3.5 8000 inside 192.168.4.5 80

#

interface Eth-Trunk0

ip address 12.12.12.1 255.255.255.0

#

interface Eth-Trunk1

description Link_To_SW5

#

interface Eth-trunk 2

description Link_To_SW1

#

interface Eth-Trunk1.1

vlan-type dot1q 10

ip address 172.6.1.2 255.255.255.248

vrrp vrid 1 virtual-ip 1.1.1.1 active

#

interface Eth-Trunk1.2

vlan-type dot1q 20

ip address 172.6.2.2 255.255.255.248

vrrp vrid 2 virtual-ip 1.1.2.1 active

#

interface Eth-Trunk1.3

vlan-type dot1q 30

ip address 172.6.3.2 255.255.255.248

vrrp vrid 3 virtual-ip 1.1.3.1 active

#

interface Eth-Trunk1.4

vlan-type dot1q 40

ip address 172.6.4.2 255.255.255.248

vrrp vrid 4 virtual-ip 1.1.4.1 active

#

interface Eth-Trunk2.1

vlan-type dot1q 103

ip address 172.7.1.2 255.255.255.248

vrrp vrid 5 virtual-ip 172.7.1.1 active

#

interface Eth-Trunk2.2

vlan-type dot1q 104

ip address 172.7.2.2 255.255.255.248

vrrp vrid 6 virtual-ip 172.7.2.1 active

#

interface GigabitEthernet 1/0/1

eth-trunk 1

#

interface GigabitEthernet 1/0/2

eth-trunk 1

#

interface GigabitEthernet 1/0/3

eth-trunk 2

#

interface GigabitEthernet 1/0/4

eth-trunk 2

#

interface GigabitEthernet 1/0/5

eth-trunk 0

#

interface GigabitEthernet 1/0/5

eth-trunk 0

#

firewall zone trust

add interface Eth-Trunk2.1

#

firewall zone dmz

add interface Eth-Trunk2.2

#

firewall zone hrp

set priority 85

add interface Eth-Trunk0

#

firewall zone name zone1

set priority 45

add interface Eth-Trunk1.1

#

firewall zone name zone2

set priority 40

add interface Eth-Trunk1.2

#

firewall zone name zone3

set priority 10

add interface Eth-Trunk1.3

#

firewall zone name zone4

set priority 30

add interface Eth-Trunk1.4

#

ip route-static 10.1.0.0 255.255.0.0 172.7.1.4

ip route-static 10.2.0.0 255.255.0.0 172.7.1.4

ip route-static 10.3.0.0 255.255.0.0 172.7.1.4

ip route-static 0.0.0.0 0.0.0.0 1.1.3.2

ip route-static 10.9.1.0 255.255.255.0 1.1.2.2

ip route-static 172.168.3.0 255.255.255.0 1.1.1.2

ip route-static 172.168.4.0 255.255.255.0 1.1.4.2

ip route-static 1.1.3.2 32 NULL 0

ip route-static 1.1.3.3 32 NULL 0

ip route-static 1.1.3.4 32 NULL 0

ip route-static 1.1.3.5 32 NULL 0

#

hrp enable

hrp interface Eth-Trunk0 remote 12.12.12.1

#

nat server https_server1 protocol tcp global 1.1.3.2 4433 inside 192.168.4.2 443

nat server https_server2 protocol tcp global 1.1.3.3 4433 inside 192.168.4.3 443

nat server http_server1 protocol tcp global 1.1.3.4 8000 inside 192.168.4.4 80

nat server http_server2 protocol tcp global 1.1.3.5 8000 inside 192.168.4.5 80

#

interface Eth-Trunk0

ip address 12.12.12.2 255.255.255.0

#

interface Eth-Trunk1

description Link_To_SW6

#

interface Eth-trunk 2

description Link_To_SW2

#

interface Eth-Trunk1.1

vlan-type dot1q 10

ip address 172.6.1.3 255.255.255.248

vrrp vrid 1 virtual-ip 1.1.1.1 standby

#

interface Eth-Trunk1.2

vlan-type dot1q 20

ip address 172.6.2.3 255.255.255.248

vrrp vrid 2 virtual-ip 1.1.2.1 standby

#

interface Eth-Trunk1.3

vlan-type dot1q 30

ip address 172.6.3.3 255.255.255.248

vrrp vrid 3 virtual-ip 1.1.3.1 standby

#

interface Eth-Trunk1.4

vlan-type dot1q 40

ip address 172.6.4.3 255.255.255.248

vrrp vrid 4 virtual-ip 1.1.4.1 standby

#

interface Eth-Trunk2.1

vlan-type dot1q 103

ip address 172.7.1.3 255.255.255.248

vrrp vrid 5 virtual-ip 172.7.1.1 standby

#

interface Eth-Trunk2.2

vlan-type dot1q 104

ip address 172.7.2.3 255.255.255.248

vrrp vrid 6 virtual-ip 172.7.2.1 standby

#

interface GigabitEthernet 1/0/1

eth-trunk 1

#

interface GigabitEthernet 1/0/2

eth-trunk 1

#

interface GigabitEthernet 1/0/3

eth-trunk 2

#

interface GigabitEthernet 1/0/4

eth-trunk 2

#

interface GigabitEthernet 1/0/5

eth-trunk 0

#

interface GigabitEthernet 1/0/5

eth-trunk 0

#

firewall zone trust

add interface Eth-Trunk2.1

#

firewall zone dmz

add interface Eth-Trunk2.2

#

firewall zone hrp

set priority 85

add interface Eth-Trunk0

#

firewall zone name zone1

set priority 45

add interface Eth-Trunk1.1

#

firewall zone name zone2

set priority 40

add interface Eth-Trunk1.2

#

firewall zone name zone3

set priority 10

add interface Eth-Trunk1.3

#

firewall zone name zone4

set priority 30

add interface Eth-Trunk1.4

#

ip route-static 10.1.0.0 255.255.0.0 172.7.1.4

ip route-static 10.2.0.0 255.255.0.0 172.7.1.4

ip route-static 10.3.0.0 255.255.0.0 172.7.1.4

ip route-static 0.0.0.0 0.0.0.0 1.1.3.2

ip route-static 10.9.1.0 255.255.255.0 1.1.2.2

ip route-static 172.168.3.0 255.255.255.0 1.1.1.2

ip route-static 172.168.4.0 255.255.255.0 1.1.4.2

ip route-static 1.1.3.2 32 NULL 0

ip route-static 1.1.3.3 32 NULL 0

ip route-static 1.1.3.4 32 NULL 0

ip route-static 1.1.3.5 32 NULL 0

NAT Server配置脚本

FW-5

FW-6

#

nat server https_server1 protocol tcp global 1.1.3.2 4433 inside 192.168.4.2 443

nat server https_server2 protocol tcp global 1.1.3.3 4433 inside 192.168.4.3 443

nat server http_server1 protocol tcp global 1.1.3.4 8000 inside 192.168.4.4 80

nat server http_server2 protocol tcp global 1.1.3.5 8000 inside 192.168.4.5 80

#

nat server https_server1 protocol tcp global 1.1.3.2 4433 inside 192.168.4.2 443

nat server https_server2 protocol tcp global 1.1.3.3 4433 inside 192.168.4.3 443

nat server http_server1 protocol tcp global 1.1.3.4 8000 inside 192.168.4.4 80

nat server http_server2 protocol tcp global 1.1.3.5 8000 inside 192.168.4.5 80

安全策略和攻击防范配置脚本

FW-5

FW-6

#

firewall defend land enable

firewall defend smurf enable

firewall defend fraggle enable

firewall defend ip-fragment enable

firewall defend tcp-flag enable

firewall defend winnuke enable

firewall defend source-route enable

firewall defend teardrop enable

firewall defend route-record enable

firewall defend time-stamp enable

firewall defend ping-of-death enable

#

ip address-set remote_users type object

description "for remote users"

address 0 172.168.3.0 mask 24

#

ip address-set partner type object

description "for partner"

address 0 172.168.4.0 mask 24

#

ip address-set branch2 type object

description "for branch2"

address 0 10.9.1.0 mask 24

#

ip address-set server1 type object

description "for server1"

address 0 10.1.1.10 mask 32

address 1 10.1.1.11 mask 32

#

ip address-set server2 type object

description "for server2"

address 0 10.2.1.4 mask 32

address 1 10.2.1.5 mask 32

#

ip address-set server4 type object

description "for server4"

address 0 10.1.1.4 mask 32

address 1 10.1.1.5 mask 32

#

ip address-set server5 type object

description "for server5"

address 0 192.168.4.2 mask 32

address 1 192.168.4.3 mask 32

address 2 192.168.4.4 mask 32

address 3 192.168.4.5 mask 32

#

ip address-set ad_server type object

description "for ad_server"

address 0 192.168.5.4 mask 32

address 1 192.168.5.5 mask 32

#

ip service-set tcp_1414 type object

service 0 protocol tcp destination-port 1414

#

firewall session aging-time service-set tcp_1414 40000

#

security-policy

rule name remote_users_to_server1

source-zone zone1

destination-zone trust

source-address address-set remote_users

destination-address address-set server1

service http

service ftp

profile ips default

action permit

rule name partner_to_server2

source-zone zone4

destination-zone trust

source-address address-set partner

destination-address address-set server2

service tcp_1414

profile ips default

action permit

rule name branch2_to_server4

source-zone zone2

destination-zone trust

source-address address-set branch2

destination-address address-set server4

service ftp

profile ips default

long-link enable

long-link aging-time 480

action permit

rule name internet_to_server5

source-zone zone3

destination-zone dmz

destination-address address-set server5

service http

service https

profile ips default

action permit

rule name ipsec

source-zone zone2

source-zone local

destination-zone zone2

destination-zone local

source-address 1.1.2.1 32

source-address 2.2.2.2 32

destination-address 1.1.2.1 32

destination-address 2.2.2.2 32

action permit

rule name ssl_vpn

source-zone zone1

source-zone zone4

destination-zone local

destination-address 1.1.1.1 32

destination-address 1.1.4.1 32

action permit

rule name to_ad_server

source-zone local

destination-zone dmz

destination-address address-set ad_server

action permit

#

firewall defend land enable

firewall defend smurf enable

firewall defend fraggle enable

firewall defend ip-fragment enable

firewall defend tcp-flag enable

firewall defend winnuke enable

firewall defend source-route enable

firewall defend teardrop enable

firewall defend route-record enable

firewall defend time-stamp enable

firewall defend ping-of-death enable

#

ip address-set remote_users type object

description "for remote users"

address 0 172.168.3.0 mask 24

#

ip address-set partner type object

description "for partner"

address 0 172.168.4.0 mask 24

#

ip address-set branch2 type object

description "for branch2"

address 0 10.9.1.0 mask 24

#

ip address-set server1 type object

description "for server1"

address 0 10.1.1.10 mask 32

address 1 10.1.1.11 mask 32

#

ip address-set server2 type object

description "for server2"

address 0 10.2.1.4 mask 32

address 1 10.2.1.5 mask 32

#

ip address-set server4 type object

description "for server4"

address 0 10.1.1.4 mask 32

address 1 10.1.1.5 mask 32

#

ip address-set server5 type object

description "for server5"

address 0 192.168.4.2 mask 32

address 1 192.168.4.3 mask 32

address 2 192.168.4.4 mask 32

address 3 192.168.4.5 mask 32

#

ip address-set ad_server type object

description "for ad_server"

address 0 192.168.5.4 mask 32

address 1 192.168.5.5 mask 32

#

ip service-set tcp_1414 type object

service 0 protocol tcp destination-port 1414

#

firewall session aging-time service-set tcp_1414 40000

#

security-policy

rule name remote_users_to_server1

source-zone zone1

destination-zone trust

source-address address-set remote_users

destination-address address-set server1

service http

service ftp

profile ips default

action permit

rule name partner_to_server2

source-zone zone4

destination-zone trust

source-address address-set partner

destination-address address-set server2

service tcp_1414

profile ips default

action permit

rule name branch2_to_server4

source-zone zone2

destination-zone trust

source-address address-set branch2

destination-address address-set server4

service ftp

profile ips default

long-link enable

long-link aging-time 480

action permit

rule name internet_to_server5

source-zone zone3

destination-zone dmz

destination-address address-set server5

service http

service https

profile ips default

action permit

rule name ipsec

source-zone zone2

source-zone local

destination-zone zone2

destination-zone local

source-address 1.1.2.1 32

source-address 2.2.2.2 32

destination-address 1.1.2.1 32

destination-address 2.2.2.2 32

action permit

rule name ssl_vpn

source-zone zone1

source-zone zone4

destination-zone local

destination-address 1.1.1.1 32

destination-address 1.1.4.1 32

action permit

rule name to_ad_server

source-zone local

destination-zone dmz

destination-address address-set ad_server

action permit

IPSec VPN配置脚本

FW-5

FW-6

#

acl number 3000

rule 5 permit ip source 10.1.1.0 0.0.0.255 destination 10.9.1.0 0.0.0.255

#

ipsec proposal tran1

esp authentication-algorithm sha2-256

esp encryption-algorithm aes-256

#

ike proposal 10

encryption-algorithm aes-256

dh group2

authentication-algorithm sha2-256

authentication-method pre-share

integrity-algorithm hmac-sha2-256

prf hmac-sha2-256

#

ike peer b

pre-shared-key %@%@'OMi3SPl%@TJdx5uDE(44*I^%@%@

ike-proposal 10

remote-address 1.1.5.1

#

ipsec policy-template policy1 1

security acl 3000

ike-peer b

proposal tran1

#

ipsec policy map1 10 isakmp template policy1

#

interface Eth-Trunk1.2

ip address 1.1.3.1 255.255.255.0

ipsec policy map1

#

acl number 3000

rule 5 permit ip source 10.1.1.0 0.0.0.255 destination 10.9.1.0 0.0.0.255

#

ipsec proposal tran1

esp authentication-algorithm sha2-256

esp encryption-algorithm aes-256

#

ike proposal 10

encryption-algorithm aes-256

dh group2

authentication-algorithm sha2-256

authentication-method pre-share

integrity-algorithm hmac-sha2-256

prf hmac-sha2-256

#

ike peer b

pre-shared-key %@%@'OMi3SPl%@TJdx5uDE(44*I^%@%@

ike-proposal 10

remote-address 1.1.5.1

#

ipsec policy-template policy1 1

security acl 3000

ike-peer b

proposal tran1

#

ipsec policy map1 10 isakmp template policy1

#

interface Eth-Trunk1.2

ip address 1.1.3.1 255.255.255.0

ipsec policy map1

SSL VPN配置脚本

FW-5

FW-6

#

ad-server template ad_server

ad-server authentication 192.168.5.4 88

ad-server authentication 192.168.5.5 88 secondary

ad-server authentication base-dn dc=cce,dc=com

ad-server authentication manager cn=administrator,cn=users %$%$M#._~J4QrR[kJu7PUMtHUqh_%$%$

ad-server authentication host-name info-server2.cce.com secondary

ad-server authentication host-name info-server.cce.com

ad-server authentication ldap-port 389

ad-server user-filter sAMAccountName

ad-server group-filter ou

#

user-manage import-policy ad_server from ad

server template ad_server

server basedn dc=cce,dc=com

server searchdn ou=remoteusers,dc=cce,dc=com

destination-group /cce.com

user-attribute sAMAccountName

user-filter (&(|(objectclass=person)(objectclass=organizationalPerson))(cn=*)(!(objectclass=computer)))

group-filter (|(objectclass=organizationalUnit)(ou=*))

import-type all

import-override enable

sync-mode incremental schedule interval 120

sync-mode full schedule daily 01:00

#

aaa

authentication-scheme ad

authentication-mode ad

#

domain cce.com

authentication-scheme ad

ad-server ad_server

service-type ssl-vpn

reference user current-domain

new-user add-temporary group /cce.com auto-import ad_server

#

v-gateway example 1.1.1.1 private www.example.com

v-gateway example authentication-domain cce.com

v-gateway example max-user 150

v-gateway example cur-max-user 100

#

v-gateway example

service

web-proxy enable

web-proxy web-link enable

web-proxy proxy-resource resource1 http://10.1.1.10 show-link

web-proxy proxy-resource resource2 http://10.1.1.11 show-link

network-extension enable

network-extension keep-alive enable

network-extension netpool 172.168.3.2 172.168.3.254 255.255.255.0

network-extension mode manual

network-extension manual-route 10.1.1.0 255.255.255.0

role

role remoteusers condition all

role remoteusers network-extension enable

role remoteusers web-proxy enable

role remoteusers web-proxy resource resource1

role remoteusers web-proxy resource resource2

# 以下配置为一次性操作,不保存在配置文件中

execute user-manage import-policy ad_server

# 以下配置保存于数据库,不在配置文件体现

v-gateway example

vpndb

group /cce.com/remoteusers

role

role director group /cce.com/remoteusers

#

ad-server template ad_server

ad-server authentication 192.168.5.4 88

ad-server authentication 192.168.5.5 88 secondary

ad-server authentication base-dn dc=cce,dc=com

ad-server authentication manager cn=administrator,cn=users %$%$M#._~J4QrR[kJu7PUMtHUqh_%$%$

ad-server authentication host-name info-server2.cce.com secondary

ad-server authentication host-name info-server.cce.com

ad-server authentication ldap-port 389

ad-server user-filter sAMAccountName

ad-server group-filter ou

#

user-manage import-policy ad_server from ad

server template ad_server

server basedn dc=cce,dc=com

server searchdn ou=remoteusers,dc=cce,dc=com

destination-group /cce.com

user-attribute sAMAccountName

user-filter (&(|(objectclass=person)(objectclass=organizationalPerson))(cn=*)(!(objectclass=computer)))

group-filter (|(objectclass=organizationalUnit)(ou=*))

import-type all

import-override enable

sync-mode incremental schedule interval 120

sync-mode full schedule daily 01:00

#

aaa

authentication-scheme ad

authentication-mode ad

#

domain cce.com

authentication-scheme ad

ad-server ad_server

service-type ssl-vpn

reference user current-domain

new-user add-temporary group /cce.com auto-import ad_server

#

v-gateway example 1.1.1.1 private www.example.com

v-gateway example authentication-domain cce.com

v-gateway example max-user 150

v-gateway example cur-max-user 100

#

v-gateway example

service

web-proxy enable

web-proxy web-link enable

web-proxy proxy-resource resource1 http://10.1.1.10 show-link

web-proxy proxy-resource resource2 http://10.1.1.11 show-link

network-extension enable

network-extension keep-alive enable

network-extension netpool 172.168.3.2 172.168.3.254 255.255.255.0

network-extension mode manual

network-extension manual-route 10.1.1.0 255.255.255.0

role

role remoteusers condition all

role remoteusers network-extension enable

role remoteusers web-proxy enable

role remoteusers web-proxy resource resource1

role remoteusers web-proxy resource resource2

# 以下配置为一次性操作,不保存在配置文件中

execute user-manage import-policy ad_server

# 以下配置保存于数据库,不在配置文件体现

v-gateway example

vpndb

group /cce.com/remoteusers

role

role director group /cce.com/remoteusers

方案总结与建议

本案例以防火墙在某银行数据中心的实际应用为例,介绍了防火墙在金融行业数据中心的典型应用。

案例中重点讲解了防火墙在数据中心的安全策略规划和网络部署规划。

其中安全策略规划的步骤为:

  1. 分析确定各个分区业务和用户的安全等级。
  2. 根据业务和用户的安全级别以及企业的具体需求来确定各个区域间的访问控制权限。
  3. 将访问控制权限的规划转换为各个防火墙上的安全策略规划。
翻译
下载文档
更新时间:2019-06-17

文档编号:EDOC1100087931

浏览量:1136

下载量:342

平均得分:
本文档适用于这些产品
相关版本
相关文档
Share
上一页 下一页