评分并提供意见反馈 :
华为采用机器翻译与人工审校相结合的方式将此文档翻译成不同语言,希望能帮助您更容易理解此文档的内容。 请注意:即使是最好的机器翻译,其准确度也不及专业翻译人员的水平。 华为对于翻译的准确性不承担任何责任,并建议您参考英文文档(已提供链接)。
防火墙在金融数据中心安全方案中的应用
简介
本案例介绍了防火墙在金融数据中心网络的部署和规划,对其他行业的数据中心防火墙部署也有借鉴意义。
基于USG6000&USG9500 V500R005C00版本写作,可供USG6000&USG9500 V500R005C00、USG6000E V600R006C00及后续版本参考。不同版本之间可能存在差异,请以实际版本为准。
方案简介
数据中心承载着企业的核心业务、存储海量的业务数据,是企业正常生产和运行的关键资源,因此数据中心的网络安全显得尤为重要。
华为金融数据中心方案通常采用模块化和层次化设计。模块化设计是将整个数据中心网络划分成多个分区,并通过防火墙保证业务的安全隔离。层次化设计是指整个网络采用核心层、汇聚层、接入层的设计,使网络具备横向弹性,易扩展。
为了保证数据中心网络和内部服务器安全,通常需要在数据中心网络中部署防火墙产品,提供网络安全隔离、访问控制、攻击防范和入侵防御等功能。
如图1-1所示,金融数据中心解决方案中,防火墙主要部署在三个位置:数据中心出口、内网接入区、互联网出口。不同位置的防火墙提供不同的安全防护功能。
项目 |
说明 |
|---|---|
数据中心出口防火墙 |
|
内网接入区防火墙 |
防火墙作为SACG,和Agile Controller配合,对本地和专线接入的内部用户进行准入认证。 |
互联网出口防火墙 |
|
下面我们一起来看下各个位置防火墙的组网方案和配置方法。
数据中心出口防火墙
典型组网
如图1-2所示为数据中心出口防火墙的典型组网。
- 核心交换机SW1/SW2堆叠组网、汇聚交换机SW3/SW4堆叠组网。防火墙位于核心交换机和汇聚交换机之间,三层接入并启用主备备份方式的双机热备。
- 防火墙连接上下行设备的接口上配置VRRP,防火墙使用VRRP虚拟IP地址与上下行设备通信。
- 防火墙上配置静态路由,引导流量的转发。
业务规划
防火墙接口规划
FW-1的接口规划:
序号 |
本端设备 |
本端接口 |
对端设备 |
对端接口 |
备注 |
|---|---|---|---|---|---|
1 |
FW-1 |
GE1/0/1 |
SW-1 |
GE1/1/0/1 |
Eth-Trunk1,防火墙上行业务接口 |
2 |
FW-1 |
GE1/0/2 |
SW-1 |
GE1/1/0/2 |
Eth-Trunk1,防火墙上行业务接口 |
3 |
FW-1 |
GE1/0/3 |
SW-3 |
GE1/1/0/1 |
Eth-Trunk2,防火墙下行业务接口 |
4 |
FW-1 |
GE1/0/4 |
SW-3 |
GE1/1/0/2 |
Eth-Trunk2,防火墙下行业务接口 |
5 |
FW-1 |
GE1/0/5 |
FW-2 |
GE1/0/5 |
Eth-Trunk0,防火墙心跳接口 |
6 |
FW-1 |
GE1/0/6 |
FW-2 |
GE1/0/6 |
Eth-Trunk0,防火墙心跳接口 |
FW-2的接口规划:
序号 |
本端设备 |
本端接口 |
对端设备 |
对端接口 |
备注 |
|---|---|---|---|---|---|
1 |
FW-2 |
GE1/0/1 |
SW-2 |
GE2/1/0/1 |
Eth-Trunk1,上行业务接口 |
2 |
FW-2 |
GE1/0/2 |
SW-2 |
GE2/1/0/2 |
Eth-Trunk1,上行业务接口 |
3 |
FW-2 |
GE1/0/3 |
SW-4 |
GE2/1/0/1 |
Eth-Trunk2,下行业务接口 |
4 |
FW-2 |
GE1/0/4 |
SW-4 |
GE2/1/0/2 |
Eth-Trunk2,下行业务接口 |
5 |
FW-2 |
GE1/0/5 |
FW-1 |
GE1/0/5 |
Eth-Trunk0,防火墙心跳接口 |
6 |
FW-2 |
GE1/0/6 |
FW-1 |
GE1/0/6 |
Eth-Trunk0,防火墙心跳接口 |
防火墙IP地址规划
序号 |
本端设备 |
本端接口 |
本端IP |
对端设备 |
对端接口 |
对端IP |
|---|---|---|---|---|---|---|
1 |
FW-1 |
Eth-trunk1 |
10.6.1.2/29 VRID:1 VIP:10.6.1.1 |
SW-1 |
VLANIF1000 |
10.6.1.4/29 |
2 |
FW-1 |
Eth-trunk2 |
10.7.1.2/29 VRID:2 VIP:10.7.1.1 |
SW-3 |
VLANIF2000 |
10.7.1.4/29 |
3 |
FW-1 |
Eth-trunk0 |
11.11.11.1/24 |
FW-2 |
Eth-trunk0 |
11.11.11.2/24 |
4 |
FW-2 |
Eth-trunk1 |
10.6.1.3/29 VRID:1 VIP:10.6.1.1 |
SW-2 |
VLANIF1000 |
10.6.1.4/29 |
5 |
FW-2 |
Eth-trunk2 |
10.7.1.3/29 VRID:2 VIP:10.7.1.1 |
SW-4 |
VLANIF2000 |
10.7.1.4/29 |
6 |
FW-2 |
Eth-trunk0 |
11.11.11.2/24 |
FW-2 |
Eth-trunk0 |
11.11.11.1/24 |
防火墙安全区域规划
序号 |
安全区域名称 |
安全区域优先级 |
包含接口 |
备注 |
|---|---|---|---|---|
1 |
untrust |
5 |
Eth-trunk1 |
防火墙上行业务接口 |
2 |
trust |
100 |
Eth-trunk2 |
防火墙下行业务接口 |
3 |
dmz |
50 |
Eth-trunk0 |
防火墙心跳接口 |
防火墙安全策略规划
地址组
序号 |
地址组名 |
地址 |
备注 |
|---|---|---|---|
1 |
remote_users |
address 0 172.168.3.0 mask 24 |
出差员工SSL VPN接入 |
2 |
partner |
address 0 172.168.4.0 mask 24 |
合作伙伴 |
3 |
branch1 |
address 0 10.8.1.0 mask 24 |
分支机构1 |
4 |
branch2 |
address 0 10.9.1.0 mask 24 |
分支机构2 |
5 |
server1 |
address 0 10.1.1.10 mask 32 address 1 10.1.1.11 mask 32 |
出差员工可以访问的服务器 |
6 |
server2 |
address 0 10.2.1.4 mask 32 address 1 10.2.1.5 mask 32 |
合作伙伴可以访问的服务器 |
7 |
server3 |
address 0 10.1.2.4 mask 32 address 1 10.1.2.5 mask 32 |
分支机构1可以访问的服务器 |
8 |
server4 |
address 0 10.1.1.4 mask 32 address 1 10.1.1.5 mask 32 |
分支机构2可以访问的服务器 |
自定义服务
序号 |
服务名 |
协议/端口 |
备注 |
|---|---|---|---|
1 |
tcp_1414 |
service 0 protocol tcp destination-port 1414 |
合作伙伴访问策略使用 |
2 |
tcp_8888_9000 |
service 0 protocol tcp destination-port 8888 service 1 protocol tcp destination-port 9000 |
分支机构1访问策略使用 |
安全策略
序号 |
策略名 |
源安全区域 |
源地址 |
目的安全区域 |
目的地址 |
服务 |
动作 |
|---|---|---|---|---|---|---|---|
1 |
remote_users_to_server1 |
untrust |
remote_users |
trust |
server1 |
ftp,http |
permit |
2 |
partner_to_server2 |
untrust |
partner |
trust |
server2 |
tcp_1414 |
permit |
3 |
branch1_to_server3 |
untrust |
branch1 |
trust |
server3 |
tcp_8888_9000 |
permit |
4 |
branch2_to_server4 |
untrust |
branch2 |
trust |
server4 |
ftp |
permit |
5 |
default |
any |
any |
any |
any |
any |
deny |
“default”是设备默认存在的缺省安全策略,如果流量没有匹配到管理员定义的安全策略,就会命中缺省安全策略(条件均为any,动作默认为禁止)。如果需要控制只有某些IP可以访问服务器,则需要保持缺省安全策略的禁止动作,然后配置允许哪些IP访问服务器的安全策略。
双机热备心跳报文不受安全策略控制,不需要针对心跳报文配置安全策略。
防火墙长连接
延长协议的会话老化时间来实现长连接。
序号 |
协议 |
老化时间 |
|---|---|---|
1 |
tcp_1414 |
40000秒 |
通过Long-link功能实现长连接。
序号 |
策略名 |
老化时间 |
|---|---|---|
1 |
branch2_to_server4 |
480小时 |
延长协议的会话老化时间来实现长连接与Long-link功能相比,配置更简单。而Long-link功能可以细化保持长连接的条件,仅对特定的流量保持长连接。延长协议的会话老化时间是全局配置,对所有该类型的协议都生效。这会导致一些不需要保持长连接的会话长时间得不到老化,占用大量的会话表项资源。一旦会话表项资源耗尽,将无法再继续新建业务。
因此,确认某个协议的所有会话都要保持一个较长的老化时间时,可以使用延长该协议的会话老化时间的方法来实现长连接。否则,请使用Long-link功能实现长连接。
Long-link功能仅对基于TCP协议的连接有效。
防火墙路由规划
防火墙上配置静态路由,具体如下:
序号 |
目的地址 |
掩码 |
下一跳 |
备注 |
|---|---|---|---|---|
1 |
10.1.0.0 |
255.255.0.0 |
10.7.1.4 |
到数据中心业务服务区1的路由 |
2 |
10.2.0.0 |
255.255.0.0 |
10.7.1.4 |
到数据中心业务服务区2的路由 |
3 |
10.3.0.0 |
255.255.0.0 |
10.7.1.4 |
到数据中心业务服务区3的路由 |
4 |
172.168.3.0 |
255.255.255.0 |
10.6.1.4 |
到出差员工SSL VPN接入终端的路由 |
5 |
172.168.4.0 |
255.255.255.0 |
10.6.1.4 |
到合作伙伴网络的路由 |
6 |
10.8.1.0 |
255.255.255.0 |
10.6.1.4 |
到分支机构1网络的路由 |
7 |
10.9.1.0 |
255.255.255.0 |
10.6.1.4 |
到分支机构2网络的路由 |
安全防护规划
- 攻击防范规划
为了保证内部网络免受网络攻击侵袭,需要在防火墙上配置攻击防范功能。
一般情况下,推荐防火墙配置以下攻击防范:
- Smurf攻击防范
- Land攻击防范
- Fraggle攻击防范
- Ping of Death攻击防范
- WinNuke攻击防范
- 带路由记录项的IP报文攻击防范
- 带源路由选项的IP报文攻击防范
- 带时间戳选项的IP报文攻击防范
- SYN Flood攻击防范
- UDP Flood攻击防范
- ICMP Flood攻击防范
在实际部署时,对于以上Flood类型的攻击,接口的攻击报文的最大速率可以先配置一个较大的取值,然后一边观察一边调小取值,直到调整至合适的范围(原则是既很好的限制了攻击,又不影响正常业务)。
- IPS规划
为了保证内部网络免受黑客、僵尸、木马、蠕虫等的侵袭,需要在防火墙上配置IPS功能。
IPS功能可以部署在防火墙上,可以通过单独的IPS设备部署。
IPS和功能的配置方式是在配置安全策略时引用IPS配置文件。在本案例中,我们需要在上述配置的安全策略中都引用IPS配置文件,即对安全策略允许通过的流量都进行IPS检测。
一般情况下,在初始部署防火墙时,选择缺省的IPS配置文件default即可。防火墙运行一段时间后,管理员可以根据网络运行状况,自定义配置文件。IPS还支持缺省的配置文件ids,即只对入侵报文产生告警,不阻断。如果对安全性要求不是很高,为了降低IPS误报的风险,可以选择ids配置文件。
注意事项
IPS
配置IPS功能前需要确保IPS特征库为最新版本。
攻击防范
本案例的攻击防范配置为推荐的标准配置。
策略备份加速
当策略数量较多时(比如超过500条),为了提升策略加速期间的匹配效率,需要开启备份加速功能。但是开启该功能后,新配置的策略需要等待策略备份加速完成后才能生效。
配置步骤
操作步骤
- 配置接口的IP地址,并将接口加入安全区域。
# 配置FW-1的Eth-Trunk接口。
<sysname> system-view [sysname] sysname FW-1 [FW-1] interface Eth-Trunk 1 [FW-1-Eth-Trunk1] description Link_To_CoreSwitch_SW1 [FW-1-Eth-Trunk1] trunkport GigabitEthernet 1/0/1 [FW-1-Eth-Trunk1] trunkport GigabitEthernet 1/0/2 [FW-1-Eth-Trunk1] ip address 10.6.1.2 29 [FW-1-Eth-Trunk1] quit [FW-1] interface Eth-Trunk 2 [FW-1-Eth-Trunk2] description Link_To_Aggregation_SW3 [FW-1-Eth-Trunk2] trunkport GigabitEthernet 1/0/3 [FW-1-Eth-Trunk2] trunkport GigabitEthernet 1/0/4 [FW-1-Eth-Trunk2] ip address 10.7.1.2 29 [FW-1-Eth-Trunk2] quit [FW-1] interface Eth-Trunk 0 [FW-1-Eth-Trunk0] description HRP_Interface [FW-1-Eth-Trunk0] trunkport GigabitEthernet 1/0/5 [FW-1-Eth-Trunk0] trunkport GigabitEthernet 1/0/6 [FW-1-Eth-Trunk0] ip address 11.11.11.1 24 [FW-1-Eth-Trunk0] quit
# 配置FW-2的Eth-Trunk接口。
<sysname> system-view [sysname] sysname FW-2 [FW-2] interface Eth-Trunk 1 [FW-2-Eth-Trunk1] description Link_To_CoreSwitch_SW2 [FW-2-Eth-Trunk1] trunkport GigabitEthernet 1/0/1 [FW-2-Eth-Trunk1] trunkport GigabitEthernet 1/0/2 [FW-2-Eth-Trunk1] ip address 10.6.1.3 29 [FW-2-Eth-Trunk1] quit [FW-2] interface Eth-Trunk 2 [FW-2-Eth-Trunk2] description Link_To_Aggregation_SW4 [FW-2-Eth-Trunk2] trunkport GigabitEthernet 1/0/3 [FW-2-Eth-Trunk2] trunkport GigabitEthernet 1/0/4 [FW-2-Eth-Trunk2] ip address 10.7.1.3 29 [FW-2-Eth-Trunk2] quit [FW-2] interface Eth-Trunk 0 [FW-2-Eth-Trunk0] description HRP_Interface [FW-2-Eth-Trunk0] trunkport GigabitEthernet 1/0/5 [FW-2-Eth-Trunk0] trunkport GigabitEthernet 1/0/6 [FW-2-Eth-Trunk0] ip address 11.11.11.2 24 [FW-2-Eth-Trunk0] quit
# 将FW-1的各接口加入相应的安全区域。
[FW-1] firewall zone trust [FW-1-zone-trust] add interface Eth-Trunk 2 [FW-1-zone-trust] quit [FW-1] firewall zone untrust [FW-1-zone-untrust] add interface Eth-Trunk 1 [FW-1-zone-untrust] quit [FW-1] firewall zone dmz [FW-1-zone-dmz] add interface Eth-Trunk 0 [FW-1-zone-dmz] quit
# 将FW-2的各接口加入相应的安全区域。
[FW-2] firewall zone trust [FW-2-zone-trust] add interface Eth-Trunk 2 [FW-2-zone-trust] quit [FW-2] firewall zone untrust [FW-2-zone-untrust] add interface Eth-Trunk 1 [FW-2-zone-untrust] quit [FW-2] firewall zone dmz [FW-2-zone-dmz] add interface Eth-Trunk 0 [FW-2-zone-dmz] quit
- 配置静态路由。
# 在FW-1上配置到数据中心业务服务区的静态路由,下一跳为汇聚交换机的IP地址。
[FW-1] ip route-static 10.1.0.0 255.255.0.0 10.7.1.4 [FW-1] ip route-static 10.2.0.0 255.255.0.0 10.7.1.4 [FW-1] ip route-static 10.3.0.0 255.255.0.0 10.7.1.4
# 在FW-2上配置到数据中心业务服务区的静态路由,下一跳为汇聚交换机的IP地址。
[FW-2] ip route-static 10.1.0.0 255.255.0.0 10.7.1.4 [FW-2] ip route-static 10.2.0.0 255.255.0.0 10.7.1.4 [FW-2] ip route-static 10.3.0.0 255.255.0.0 10.7.1.4
# 在FW-1上配置到出差员工SSL VPN接入终端、分支机构、合作伙伴的静态路由,下一跳为核心交换机的IP地址。
[FW-1] ip route-static 172.168.3.0 255.255.255.0 10.6.1.4 [FW-1] ip route-static 172.168.4.0 255.255.255.0 10.6.1.4 [FW-1] ip route-static 10.8.1.0 255.255.255.0 10.6.1.4 [FW-1] ip route-static 10.9.1.0 255.255.255.0 10.6.1.4
# 在FW-2上配置到出差员工SSL VPN接入终端、分支机构、合作伙伴的静态路由,下一跳为核心交换机的IP地址。
[FW-2] ip route-static 172.168.3.0 255.255.255.0 10.6.1.4 [FW-2] ip route-static 172.168.4.0 255.255.255.0 10.6.1.4 [FW-2] ip route-static 10.8.1.0 255.255.255.0 10.6.1.4 [FW-2] ip route-static 10.9.1.0 255.255.255.0 10.6.1.4
- 配置双机热备。
# 在FW-1的上行接口Eth-Trunk1上配置VRRP备份组1,并设置状态为Active。
[FW-1] interface Eth-Trunk1 [FW-1-Eth-Trunk1] vrrp vrid 1 virtual-ip 10.6.1.1 active [FW-1-Eth-Trunk1] quit
# 在FW-1的下行接口Eth-Trunk2上配置VRRP备份组2,并设置状态为Active。
[FW-1] interface Eth-Trunk2 [FW-1-Eth-Trunk2] vrrp vrid 2 virtual-ip 10.7.1.1 active [FW-1-Eth-Trunk2] quit
# 在FW-1上指定Eth-Trunk0为心跳口,并启用双机热备。
[FW-1] hrp interface Eth-Trunk0 remote 11.11.1.2 [FW-1] hrp enable
# 在FW-2的上行接口Eth-Trunk1上配置VRRP备份组1,并设置状态为Standby。
[FW-2] interface Eth-Trunk1 [FW-2-Eth-Trunk1] vrrp vrid 1 virtual-ip 10.6.1.1 standby [FW-2-Eth-Trunk1] quit
# 在FW-2的下行接口Eth-Trunk2上配置VRRP备份组2,并设置状态为Standby。
[FW-2] interface Eth-Trunk2 [FW-2-Eth-Trunk2] vrrp vrid 2 virtual-ip 10.7.1.1 standby [FW-2-Eth-Trunk2] quit
# 在FW-2上指定Eth-Trunk0为心跳口,并启用双机热备。
[FW-2] hrp interface Eth-Trunk0 remote 11.11.11.1 [FW-2] hrp enable
- 配置安全策略和IPS。
双机热备功能配置完成后,安全策略和攻击防范等功能只需要在主用设备FW-1上配置即可。FW-1上的配置会自动备份到FW-2上。
# 在FW-1上配置地址组。
HRP_M[FW-1] ip address-set remote_users type object HRP_M[FW-1-object-address-set-remote_users] address 0 172.168.3.0 mask 24 HRP_M[FW-1-object-address-set-remote_users] description "for remote users" HRP_M[FW-1-object-address-set-remote_users] quit HRP_M[FW-1] ip address-set partner type object HRP_M[FW-1-object-address-set-partner] address 0 172.168.4.0 mask 24 HRP_M[FW-1-object-address-set-partner] description "for partner" HRP_M[FW-1-object-address-set-partner] quit HRP_M[FW-1] ip address-set branch1 type object HRP_M[FW-1-object-address-set-branch1] address 0 10.8.1.0 mask 24 HRP_M[FW-1-object-address-set-branch1] description "for branch1" HRP_M[FW-1-object-address-set-branch1] quit HRP_M[FW-1] ip address-set branch2 type object HRP_M[FW-1-object-address-set-branch2] address 0 10.9.1.0 mask 24 HRP_M[FW-1-object-address-set-branch2] description "for branch2" HRP_M[FW-1-object-address-set-branch2] quit HRP_M[FW-1] ip address-set server1 type object HRP_M[FW-1-object-address-set-server1] address 0 10.1.1.10 mask 32 HRP_M[FW-1-object-address-set-server1] address 1 10.1.1.11 mask 32 HRP_M[FW-1-object-address-set-server1] description "for server1" HRP_M[FW-1-object-address-set-server1] quit HRP_M[FW-1] ip address-set server2 type object HRP_M[FW-1-object-address-set-server2] address 0 10.2.1.4 mask 32 HRP_M[FW-1-object-address-set-server2] address 1 10.2.1.5 mask 32 HRP_M[FW-1-object-address-set-server2] description "for server2" HRP_M[FW-1-object-address-set-server2] quit HRP_M[FW-1] ip address-set server3 type object HRP_M[FW-1-object-address-set-server3] address 0 10.1.2.4 mask 32 HRP_M[FW-1-object-address-set-server3] address 1 10.1.2.5 mask 32 HRP_M[FW-1-object-address-set-server3] description "for server3" HRP_M[FW-1-object-address-set-server3] quit HRP_M[FW-1] ip address-set server4 type object HRP_M[FW-1-object-address-set-server4] address 0 10.1.1.4 mask 32 HRP_M[FW-1-object-address-set-server4] address 1 10.1.1.5 mask 32 HRP_M[FW-1-object-address-set-server4] description "for server4" HRP_M[FW-1-object-address-set-server4] quit
# 在FW-1上配置服务集。
HRP_M[FW-1] ip service-set tcp_1414 type object HRP_M[FW-1-object-service-set-tcp_1414] service 0 protocol tcp destination-port 1414 HRP_M[FW-1-object-service-set-tcp_1414] quit HRP_M[FW-1] ip service-set tcp_8888_9000 type object HRP_M[FW-1-object-service-set-tcp_8888_9000] service 0 protocol tcp destination-port 8888 HRP_M[FW-1-object-service-set-tcp_8888_9000] service 1 protocol tcp destination-port 9000 HRP_M[FW-1-object-service-set-tcp_8888_9000] quit
# 在FW-1上配置安全策略remote_users_to_server1,并引用IPS安全配置文件。
HRP_M[FW-1] security-policy HRP_M[FW-1-policy-security] rule name remote_users_to_server1 HRP_M[FW-1-policy-security-rule-to_remote_users_to_server1] source-zone untrust HRP_M[FW-1-policy-security-rule-to_remote_users_to_server1] destination-zone trust HRP_M[FW-1-policy-security-rule-to_remote_users_to_server1] source-address address-set remote_users HRP_M[FW-1-policy-security-rule-to_remote_users_to_server1] destination-address address-set server1 HRP_M[FW-1-policy-security-rule-to_remote_users_to_server1] service ftp http HRP_M[FW-1-policy-security-rule-to_remote_users_to_server1] action permit HRP_M[FW-1-policy-security-rule-to_remote_users_to_server1] profile ips default HRP_M[FW-1-policy-security-rule-to_remote_users_to_server1] quit
# 在FW-1上配置安全策略partner_to_server2,并引用IPS安全配置文件。
HRP_M[FW-1-policy-security] rule name partner_to_server2 HRP_M[FW-1-policy-security-rule-partner_to_server2] source-zone untrust HRP_M[FW-1-policy-security-rule-partner_to_server2] destination-zone trust HRP_M[FW-1-policy-security-rule-partner_to_server2] source-address address-set partner HRP_M[FW-1-policy-security-rule-partner_to_server2] destination-address address-set server2 HRP_M[FW-1-policy-security-rule-partner_to_server2] service tcp_1414 HRP_M[FW-1-policy-security-rule-partner_to_server2] action permit HRP_M[FW-1-policy-security-rule-partner_to_server2] profile ips default HRP_M[FW-1-policy-security-rule-partner_to_server2] quit
# 在FW-1上配置安全策略branch1_to_server3,并引用IPS安全配置文件。
HRP_M[FW-1-policy-security] rule name branch1_to_server3 HRP_M[FW-1-policy-security-rule-branch1_to_server3] source-zone untrust HRP_M[FW-1-policy-security-rule-branch1_to_server3] destination-zone trust HRP_M[FW-1-policy-security-rule-branch1_to_server3] source-address address-set branch1 HRP_M[FW-1-policy-security-rule-branch1_to_server3] destination-address address-set server3 HRP_M[FW-1-policy-security-rule-branch1_to_server3] service tcp_8888_9000 HRP_M[FW-1-policy-security-rule-branch1_to_server3] action permit HRP_M[FW-1-policy-security-rule-branch1_to_server3] profile ips default HRP_M[FW-1-policy-security-rule-branch1_to_server3] quit
# 在FW-1上配置安全策略branch2_to_server4,并引用IPS安全配置文件。
HRP_M[FW-1-policy-security] rule name branch2_to_server4 HRP_M[FW-1-policy-security-rule-branch2_to_server4] source-zone untrust HRP_M[FW-1-policy-security-rule-branch2_to_server4] destination-zone trust HRP_M[FW-1-policy-security-rule-branch2_to_server4] source-address address-set branch2 HRP_M[FW-1-policy-security-rule-branch2_to_server4] destination-address address-set server4 HRP_M[FW-1-policy-security-rule-branch2_to_server4] service ftp HRP_M[FW-1-policy-security-rule-branch2_to_server4] action permit HRP_M[FW-1-policy-security-rule-branch2_to_server4] profile ips default HRP_M[FW-1-policy-security-rule-branch2_to_server4] quit HRP_M[FW-1-policy-security] quit
- 配置长连接。
# 修改tcp_1414的会话老化时间为40000秒。
HRP_M[FW-1] firewall session aging-time service-set tcp_1414 40000
# 在安全策略branch2_to_server4中启用长连接功能,将命中该策略的连接的老化时间修改为480小时。
HRP_M[FW-1] security-policy HRP_M[FW-1-policy-security] rule name branch2_to_server4 HRP_M[FW-1-policy-security-rule-branch2_to_server4] long-link enable HRP_M[FW-1-policy-security-rule-branch2_to_server4] long-link aging-time 480 HRP_M[FW-1-policy-security-rule-branch2_to_server4] quit HRP_M[FW-1-policy-security] quit
- 配置攻击防范。
# 在FW-1上配置单包攻击防范功能。
HRP_M[FW-1] firewall defend land enable HRP_M[FW-1] firewall defend smurf enable HRP_M[FW-1] firewall defend fraggle enable HRP_M[FW-1] firewall defend ip-fragment enable HRP_M[FW-1] firewall defend tcp-flag enable HRP_M[FW-1] firewall defend winnuke enable HRP_M[FW-1] firewall defend source-route enable HRP_M[FW-1] firewall defend teardrop enable HRP_M[FW-1] firewall defend route-record enable HRP_M[FW-1] firewall defend time-stamp enable HRP_M[FW-1] firewall defend ping-of-death enable
- 配置策略备份加速。
当策略数量较多时(比如超过500条),为了提升策略加速期间的匹配效率,需要开启备份加速功能。但是开启该功能后,新配置的策略需要等待策略备份加速完成后才能生效。
HRP_M[FW-1] policy accelerate standby enable
结果验证
- 在FW-1和FW-2上分别执行display hrp state verbose命令,查看双机热备的状态。
HRP_M<FW-1> display hrp state verboseRole: active, peer: standby Running priority: 45000, peer: 45000 Backup channel usage: 0.00% Stable time: 0 days, 3 hours, 8 minutes Last state change information: 2016-05-14 11:18:13 HRP core state changed, old_state = abnormal(active), new_state = normal, local_priority = 45000, peer_priority = 45000. Configuration: hello interval: 1000ms preempt: 60s mirror configuration: off mirror session: off track trunk member: on auto-sync configuration: on auto-sync connection-status: on adjust ospf-cost: on adjust ospfv3-cost: on adjust bgp-cost: on nat resource: off Detail information: Eth-Trunk1 vrrp vrid 1: active Eth-Trunk2 vrrp vrid 2: active GigabitEthernet1/0/1: up GigabitEthernet1/0/2: up GigabitEthernet1/0/3: up GigabitEthernet1/0/4: up ospf-cost: +0 ospfv3-cost: +0 bgp-cost: +0 HRP_S<FW-2> display hrp state verboseRole: standby, peer: active Running priority: 45000, peer: 45000 Backup channel usage: 0.00% Stable time: 0 days, 3 hours, 8 minutes Last state change information: 2016-05-14 11:18:18 HRP core state changed, old_state = abnormal(standby), new_state = normal, local_priority = 45000, peer_priority = 45000. Configuration: hello interval: 1000ms preempt: 60s mirror configuration: off mirror session: off track trunk member: on auto-sync configuration: on auto-sync connection-status: on adjust ospf-cost: on adjust ospfv3-cost: on adjust bgp-cost: on nat resource: off Detail information: Eth-Trunk1 vrrp vrid 1: standby Eth-Trunk2 vrrp vrid 2: standby GigabitEthernet1/0/1: up GigabitEthernet1/0/2: up GigabitEthernet1/0/3: up GigabitEthernet1/0/4: up ospf-cost: +65500 ospfv3-cost: +65500 bgp-cost: +100 - 双机倒换测试。
在untrust区域的PC上长ping服务器的IP地址,然后将FW-1的Eth-trunk1接口shutdown,观察FW状态切换及ping包丢包情况。如果切换正常,FW-2会立即切换为主机承载业务。FW-2命令行提示符前的前缀由HRP_S变为HRP_M,FW-1命令行提示符前的前缀由HRP_M变为HRP_S。ping包不丢包或出现若干个丢包(一般是1到3个包,实际视网络环境而定)。 再将FW-1的Eth-trunk1接口undo shutdown,观察FW状态切换及ping包丢包情况。如果切换正常,在抢占延迟时间到达(缺省是60s)后,FW-1会重新切换为主机承载业务。FW-1命令行提示符前的前缀由HRP_S变为HRP_M,FW-2命令行提示符前的前缀由HRP_M变为HRP_S。ping包不丢包或出现若干个丢包(一般是1到3个包,实际视网络环境而定)。
- 检查IPS特征库的配置信息和升级信息。
# 使用display update configuration命令查看当前升级特征库的配置信息。
HRP_M<FW-1> display update configuration Update Configuration Information: ------------------------------------------------------------ Update Server : sec.huawei.com Update Port : 80 Proxy State : disable Proxy Server : - Proxy Port : - Proxy User : - Proxy Password : - IPS-SDB: Application Confirmation : Disable Schedule Update : Enable Schedule Update Frequency : Daily Schedule Update Time : 02:30 AV-SDB: Application Confirmation : Disable Schedule Update : Enable Schedule Update Frequency : Daily Schedule Update Time : 02:30 SA-SDB: Application Confirmation : Disable Schedule Update : Enable Schedule Update Frequency : Daily Schedule Update Time : 02:30 IP-REPUTATION: Application Confirmation : Disable Schedule Update : Enable Schedule Update Frequency : Daily Schedule Update Time : 02:30 CNC: Application Confirmation : Disable Schedule Update : Enable Schedule Update Frequency : Daily Schedule Update Time : 02:30 ------------------------------------------------------------# 使用display version ips-sdb命令查看IPS特征库的信息。
HRP_M<FW-1> display version ips-sdb IPS SDB Update Information List: ---------------------------------------------------------------- Current Version: Signature Database Version : 2016050703 Signature Database Size(byte) : 2659606 Update Time : 02:30:00 2016/05/08 Issue Time of the Update File : 16:06:30 2016/05/07 Backup Version: Signature Database Version : Signature Database Size(byte) : 0 Update Time : 00:00:00 0000/00/00 Issue Time of the Update File : 00:00:00 0000/00/00 ---------------------------------------------------------------- IPS Engine Information List: ---------------------------------------------------------------- Current Version: IPS Engine Version : V200R002C00SPC060 IPS Engine Size(byte) : 3145728 Update Time : 02:30:00 2016/05/08 Issue Time of the Update File : 16:06:30 2016/05/07 Backup Version: IPS Engine Version : IPS Engine Size(byte) : 0 Update Time : 00:00:00 0000/00/00 Issue Time of the Update File : 00:00:00 0000/00/00 ---------------------------------------------------------------- - 验证各个区域用户对数据中心的网络访问权限。
如果访问控制权限能够达到“业务规划”中安全策略规划的需求,则证明配置成功。
配置脚本
FW-1 |
FW-2 |
|---|---|
# hrp enable hrp interface Eth-Trunk0 remote 11.11.11.2 # firewall defend land enable firewall defend smurf enable firewall defend fraggle enable firewall defend ip-fragment enable firewall defend tcp-flag enable firewall defend winnuke enable firewall defend source-route enable firewall defend teardrop enable firewall defend route-record enable firewall defend time-stamp enable firewall defend ping-of-death enable # ip address-set remote_users type object description "for remote users" address 0 172.168.3.0 mask 24 # ip address-set partner type object description "for partner" address 0 172.168.4.0 mask 24 # ip address-set branch1 type object description "for branch1" address 0 10.8.1.0 mask 24 # ip address-set branch2 type object description "for branch2" address 0 10.9.1.0 mask 24 # ip address-set server1 type object description "for server1" address 0 10.1.1.10 mask 32 address 1 10.1.1.11 mask 32 # ip address-set server2 type object description "for server2" address 0 10.2.1.4 mask 32 address 1 10.2.1.5 mask 32 # ip address-set server3 type object description "for server3" address 0 10.1.2.4 mask 32 address 1 10.1.2.5 mask 32 # ip address-set server4 type object description "for server4" address 0 10.1.1.4 mask 32 address 1 10.1.1.5 mask 32 # ip service-set tcp_1414 type object service 0 protocol tcp destination-port 1414 # ip service-set tcp_8888_9000 type object service 0 protocol tcp destination-port 8888 service 1 protocol tcp destination-port 9000 # interface Eth-Trunk0 ip address 11.11.11.1 255.255.255.0 # interface Eth-Trunk1 ip address 10.6.1.2 255.255.255.248 vrrp vrid 1 virtual-ip 10.6.1.1 active # interface Eth-Trunk2 ip address 10.7.1.2 255.255.255.248 vrrp vrid 2 virtual-ip 10.7.1.1 active # interface GigabitEthernet 1/0/1 eth-trunk 1 # interface GigabitEthernet 1/0/2 eth-trunk 1 # interface GigabitEthernet 1/0/3 eth-trunk 2 # interface GigabitEthernet 1/0/4 eth-trunk 2 # interface GigabitEthernet 1/0/5 eth-trunk 0 # interface GigabitEthernet 1/0/5 eth-trunk 0 # firewall zone trust add interface Eth-Trunk2 # firewall zone untrust add interface Eth-Trunk1 # firewall zone dmz add interface Eth-Trunk0 # ip route-static 10.1.0.0 255.255.0.0 10.7.1.4 ip route-static 10.2.0.0 255.255.0.0 10.7.1.4 ip route-static 10.3.0.0 255.255.0.0 10.7.1.4 ip route-static 10.8.1.0 255.255.255.0 10.6.1.4 ip route-static 10.9.1.0 255.255.255.0 10.6.1.4 ip route-static 192.168.3.0 255.255.255.0 10.6.1.4 ip route-static 192.168.4.0 255.255.255.0 10.6.1.4 # firewall session aging-time service-set tcp_1414 40000 # security-policy rule name remote_users_to_server1 source-zone untrust destination-zone trust source-address address-set remote_users destination-address address-set server1 service http service ftp profile ips default action permit rule name partner_to_server2 source-zone untrust destination-zone trust source-address address-set partner destination-address address-set server2 service tcp_1414 profile ips default action permit rule name branch1_to_server3 source-zone untrust destination-zone trust source-address address-set branch1 destination-address address-set server3 service tcp_8888_9000 profile ips default action permit rule name branch2_to_server4 source-zone untrust destination-zone trust source-address address-set branch2 destination-address address-set server4 service ftp profile ips default long-link enable long-link aging-time 480 action permit |
# hrp enable hrp interface Eth-Trunk0 remote 11.11.11.1 # firewall defend land enable firewall defend smurf enable firewall defend fraggle enable firewall defend ip-fragment enable firewall defend tcp-flag enable firewall defend winnuke enable firewall defend source-route enable firewall defend teardrop enable firewall defend route-record enable firewall defend time-stamp enable firewall defend ping-of-death enable # ip address-set remote_users type object description "for remote users" address 0 172.168.3.0 mask 24 # ip address-set partner type object description "for partner" address 0 172.168.4.0 mask 24 # ip address-set branch1 type object description "for branch1" address 0 10.8.1.0 mask 24 # ip address-set branch2 type object description "for branch2" address 0 10.9.1.0 mask 24 # ip address-set server1 type object description "for server1" address 0 10.1.1.10 mask 32 address 1 10.1.1.11 mask 32 # ip address-set server2 type object description "for server2" address 0 10.2.1.4 mask 32 address 1 10.2.1.5 mask 32 # ip address-set server3 type object description "for server3" address 0 10.1.2.4 mask 32 address 1 10.1.2.5 mask 32 # ip address-set server4 type object description "for server4" address 0 10.1.1.4 mask 32 address 1 10.1.1.5 mask 32 # ip service-set tcp_1414 type object service 0 protocol tcp destination-port 1414 # ip service-set tcp_8888_9000 type object service 0 protocol tcp destination-port 8888 service 1 protocol tcp destination-port 9000 # interface Eth-Trunk0 ip address 11.11.11.2 255.255.255.0 # interface Eth-Trunk1 ip address 10.6.1.3 255.255.255.248 vrrp vrid 1 virtual-ip 10.6.1.1 standby # interface Eth-Trunk2 ip address 10.7.1.3 255.255.255.248 vrrp vrid 2 virtual-ip 10.7.1.1 standby # interface GigabitEthernet 1/0/1 eth-trunk 1 # interface GigabitEthernet 1/0/2 eth-trunk 1 # interface GigabitEthernet 1/0/3 eth-trunk 2 # interface GigabitEthernet 1/0/4 eth-trunk 2 # interface GigabitEthernet 1/0/5 eth-trunk 0 # interface GigabitEthernet 1/0/5 eth-trunk 0 # firewall zone trust add interface Eth-Trunk2 # firewall zone untrust add interface Eth-Trunk1 # firewall zone dmz add interface Eth-Trunk0 # ip route-static 10.1.0.0 255.255.0.0 10.7.1.4 ip route-static 10.2.0.0 255.255.0.0 10.7.1.4 ip route-static 10.3.0.0 255.255.0.0 10.7.1.4 ip route-static 10.8.1.0 255.255.255.0 10.6.1.4 ip route-static 10.9.1.0 255.255.255.0 10.6.1.4 ip route-static 192.168.3.0 255.255.255.0 10.6.1.4 ip route-static 192.168.4.0 255.255.255.0 10.6.1.4 # firewall session aging-time service-set tcp_1414 40000 # security-policy rule name remote_users_to_server1 source-zone untrust destination-zone trust source-address address-set remote_users destination-address address-set server1 service http service ftp profile ips default action permit rule name partner_to_server2 source-zone untrust destination-zone trust source-address address-set partner destination-address address-set server2 service tcp_1414 profile ips default action permit rule name branch1_to_server3 source-zone untrust destination-zone trust source-address address-set branch1 destination-address address-set server3 service tcp_8888_9000 profile ips default action permit rule name branch2_to_server4 source-zone untrust destination-zone trust source-address address-set branch2 destination-address address-set server4 service ftp profile ips default long-link enable long-link aging-time 480 action permit |
内网接入区防火墙
典型组网
如图1-3所示,防火墙挂接在核心交换机作为Agile Controller的硬件SACG。在分支机构1的用户访问数据中心的业务服务区时,防火墙和Agile Controller配合,对用户进行准入控制并实现如下需求:
- 为保护数据中心业务服务区安全,防止非本公司人员以及不安全的终端主机接入,只有身份认证和终端主机安全检查通过才允许访问保护数据中心业务服务区。
- 数据中心业务服务区属于核心资源,只允许员工在上班时间段访问。
- 希望方案部署过程对现有网络影响最小;整个网络业务优先原则,如果准入控制系统失效,业务不能中断。
将数据中心内网按逻辑划分为认证前域、隔离域和后域。
- 前域是指终端主机在通过身份认证之前能够访问的区域,如DNS服务器、外部认证源、业务控制器(SC)、业务管理器(SM)。
- 隔离域是指在终端用户通过了身份认证但未通过安全认证时允许访问的区域,如补丁服务器、病毒库服务器。
- 后域是指终端用户通过了身份认证和安全认证后能够访问的区域,即数据中心业务服务区。
业务规划
防火墙接口规划
序号 |
本端设备 |
本端接口 |
对端设备 |
对端接口 |
备注 |
|---|---|---|---|---|---|
1 |
FW-3 |
GE1/0/1 |
SW-1 |
GE1/1/0/3 |
防火墙上行业务接口 |
2 |
FW-3 |
GE1/0/2 |
SW-1 |
GE1/1/0/4 |
防火墙下行业务接口 |
3 |
FW-4 |
GE1/0/1 |
SW-2 |
GE2/1/0/3 |
防火墙上行业务接口 |
4 |
FW-4 |
GE1/0/2 |
SW-2 |
GE2/1/0/4 |
防火墙下行业务接口 |
5 |
FW-3 |
GE1/0/3 |
FW-4 |
GE1/0/3 |
防火墙心跳接口 |
6 |
FW-4 |
GE1/0/3 |
FW-3 |
GE1/0/3 |
防火墙心跳接口 |
防火墙IP地址规划
序号 |
本端设备 |
本端接口 |
本端IP |
对端设备 |
对端接口 |
对端IP |
|---|---|---|---|---|---|---|
1 |
FW-3 |
GE1/0/1 |
10.4.1.2/29 VRID:1 VIP:10.4.1.1 |
SW-1 |
VLANIF101 |
10.4.1.4/29 |
2 |
FW-3 |
GE1/0/2 |
10.5.1.2/29 VRID:2 VIP:10.5.1.1 |
SW-1 |
VLANIF102 |
10.5.1.4/29 |
3 |
FW-3 |
GE1/0/3 |
10.10.10.1/24 |
FW-4 |
GE1/0/3 |
10.10.10.2/24 |
4 |
FW-4 |
GE1/0/1 |
10.4.1.3/29 VRID:1 VIP:10.4.1.1 |
SW-2 |
VLANIF101 |
10.4.1.4/29 |
5 |
FW-4 |
GE1/0/2 |
10.5.1.3/29 VRID:2 VIP:10.5.1.1 |
SW-2 |
VLANIF102 |
10.5.1.4/29 |
6 |
FW-4 |
GE1/0/3 |
10.10.10.2/24 |
FW-1 |
GE1/0/3 |
10.10.10.1/24 |
防火墙安全区域规划
序号 |
安全区域名称 |
安全区域优先级 |
包含接口 |
备注 |
|---|---|---|---|---|
1 |
untrust |
5 |
GE1/0/2 |
防火墙下行业务接口 |
2 |
trust |
100 |
GE1/0/1 |
防火墙上行业务接口 |
3 |
dmz |
50 |
GE1/0/3 |
防火墙心跳接口 |
防火墙安全策略规划
序号 |
策略名 |
源安全区域 |
源地址 |
目的安全区域 |
目的地址 |
动作 |
|---|---|---|---|---|---|---|
1 |
sc_to_sacg |
trust |
any |
local |
any |
permit |
2 |
sacg_to_client |
local |
any |
untrust |
any |
permit |
防火墙路由规划
防火墙上配置静态路由,具体如下:
序号 |
目的地址 |
掩码 |
下一跳 |
备注 |
|---|---|---|---|---|
1 |
0.0.0.0 |
0.0.0.0 |
10.4.1.4 |
流量回注核心交换机 |
Agile Controller数据规划
项目 |
数据 |
备注 |
|---|---|---|
业务控制器1 |
IP地址:192.168.1.2/24 端口:3288 共享密钥:TSM_Security |
FW上配置的端口与共享密钥需与业务控制器上配置的相同。 当终端用户在未通过身份认证的情况下尝试访问认证后域中的Web服务器时,在FW上配置Web页面推送功能,FW将给终端用户推送Web认证页面,方便终端用户通过Web页面进行身份认证。 |
业务控制器2 |
IP地址:192.168.1.3/24 端口:3288 共享密钥:TSM_Security |
同业务控制器1。 |
业务管理器 |
登录地址:https://192.168.1.2:8443 用户名:admin 密码:Admin@123 |
与业务控制器1安装在同一台服务器上,需登录业务管理器对业务控制器进行配置。 |
终端用户所在网段 |
10.8.1.0/24 |
分支机构1的用户所在网段。 |
认证后域 |
10.1.1.4 10.1.1.5 |
将数据中心业务服务区的服务器加入认证后域,并应用于分支机构1的用户帐号。 |
隔离域 |
补丁服务器:192.168.2.3 病毒库服务器:192.168.2.5 |
将补丁服务器地址和病毒库服务器地址加入隔离域,并应用于分支机构1的用户帐号。 |
认证前域 |
DNS服务器:192.168.3.3 业务控制器1:192.168.1.2 业务控制器2:192.168.1.3 |
认证前域包括DNS服务器和两台业务控制器。 |
Agile Controller用户数据规划
用户名 |
用户IP地址 |
用户组 |
角色ID |
角色名称 |
|---|---|---|---|---|
lee |
10.8.1.3 |
ROOT\开发部 |
1 |
DefaultDeny 该角色表示禁止访问所有区域。 |
6 |
Permit_1 该角色表示允许访问数据中心业务服务区。 |
|||
255 |
Last 该角色表示允许访问认证前域。 |
配置步骤
操作步骤
- 配置接口的IP地址,并将接口加入安全区域。
# 配置FW-3的接口IP地址。
<sysname> system-view [sysname] sysname FW-3 [FW-3] interface GigabitEthernet 1/0/1 [FW-3-GigabitEthernet1/0/1] description SACG1_To_Coreswitch1_GE1/1/0/3 [FW-3-GigabitEthernet1/0/1] ip address 10.4.1.2 29 [FW-3-GigabitEthernet1/0/1] quit [FW-3] interface GigabitEthernet 1/0/2 [FW-3-GigabitEthernet1/0/2] description SACG1_To_Coreswitch1_GE1/1/0/4 [FW-3-GigabitEthernet1/0/2] ip address 10.5.1.2 29 [FW-3-GigabitEthernet1/0/2] quit [FW-3] interface GigabitEthernet 1/0/3 [FW-3-GigabitEthernet1/0/3] description hrp_interface [FW-3-GigabitEthernet1/0/3] ip address 10.10.10.1 24 [FW-3-GigabitEthernet1/0/3] quit
# 配置FW-4的接口IP地址。
<sysname> system-view [sysname] sysname FW-4 [FW-4] interface GigabitEthernet 1/0/1 [FW-4-GigabitEthernet1/0/1] description SACG2_To_Coreswitch2_GE2/1/0/3 [FW-4-GigabitEthernet1/0/1] ip address 10.4.1.3 29 [FW-4-GigabitEthernet1/0/1] quit [FW-4] interface GigabitEthernet 1/0/2 [FW-4-GigabitEthernet1/0/2] description SACG2_To_Coreswitch2_GE2/1/0/4 [FW-4-GigabitEthernet1/0/2] ip address 10.5.1.3 29 [FW-4-GigabitEthernet1/0/2] quit [FW-4] interface GigabitEthernet 1/0/3 [FW-4-GigabitEthernet1/0/3] description hrp_interface [FW-4-GigabitEthernet1/0/3] ip address 10.10.10.2 24 [FW-4-GigabitEthernet1/0/3] quit
# 将FW-3的各接口加入相应的安全区域。
[FW-3] firewall zone trust [FW-3-zone-trust] add interface GigabitEthernet 1/0/1 [FW-3-zone-trust] quit [FW-3] firewall zone untrust [FW-3-zone-untrust] add interface GigabitEthernet 1/0/2 [FW-3-zone-untrust] quit [FW-3] firewall zone dmz [FW-3-zone-dmz] add interface GigabitEthernet 1/0/3 [FW-3-zone-dmz] quit
# 将FW-4的各接口加入相应的安全区域。
[FW-4] firewall zone trust [FW-4-zone-trust] add interface GigabitEthernet 1/0/1 [FW-4-zone-trust] quit [FW-4] firewall zone untrust [FW-4-zone-untrust] add interface GigabitEthernet 1/0/2 [FW-4-zone-untrust] quit [FW-4] firewall zone dmz [FW-4-zone-dmz] add interface GigabitEthernet 1/0/3 [FW-4-zone-dmz] quit
- 配置静态路由。
# 在FW-3上配置回注核心交换机的静态路由。
[FW-3] ip route-static 0.0.0.0 0.0.0.0 10.4.1.4
# 在FW-4上配置回注核心交换机的静态路由。
[FW-4] ip route-static 0.0.0.0 0.0.0.0 10.4.1.4
- 配置Link-group。
# 在FW-3上配置Link-group,将上下行业务接口加入Link-group 1。
[FW-3] interface GigabitEthernet 1/0/1 [FW-3-GigabitEthernet1/0/1] link-group 1 [FW-3-GigabitEthernet1/0/1] quit [FW-3] interface GigabitEthernet 1/0/2 [FW-3-GigabitEthernet1/0/2] link-group 1 [FW-3-GigabitEthernet1/0/2] quit
# 在FW-4上配置Link-group,将上下行业务接口加入Link-group 1。
[FW-4] interface GigabitEthernet 1/0/1 [FW-4-GigabitEthernet1/0/1] link-group 1 [FW-4-GigabitEthernet1/0/1] quit [FW-4] interface GigabitEthernet 1/0/2 [FW-4-GigabitEthernet1/0/2] link-group 1 [FW-4-GigabitEthernet1/0/2] quit
- 配置双机热备。
# 在FW-3的上行接口GE1/0/1上配置VRRP备份组1,并设置状态为Active。
[FW-3] interface GigabitEthernet 1/0/1 [FW-3-GigabitEthernet1/0/1] vrrp vrid 1 virtual-ip 10.4.1.1 active [FW-3-GigabitEthernet1/0/1] quit
# 在FW-3的下行接口GE1/0/2上配置VRRP备份组2,并设置状态为Active。
[FW-3] interface GigabitEthernet 1/0/2 [FW-3-GigabitEthernet1/0/2] vrrp vrid 2 virtual-ip 10.5.1.1 active [FW-3-GigabitEthernet1/0/2] quit
# 在FW-3上指定GE1/0/3为心跳口,并启用双机热备。
[FW-3] hrp interface GigabitEthernet 1/0/3 remote 10.10.10.2 [FW-3] hrp enable
# 在FW-4的下行接口GE1/0/1上配置VRRP备份组1,并设置状态为Standby。
[FW-4] interface GigabitEthernet 1/0/1 [FW-4-GigabitEthernet1/0/1] vrrp vrid 1 virtual-ip 10.4.1.1 standby [FW-4-GigabitEthernet1/0/1] quit
# 在FW-4的下行接口GE1/0/2上配置VRRP备份组2,并设置状态为Standby。
[FW-4] interface GigabitEthernet 1/0/2 [FW-4-GigabitEthernet1/0/2] vrrp vrid 2 virtual-ip 10.5.1.1 standby [FW-4-GigabitEthernet1/0/2] quit
# 在FW-4上指定GE1/0/3为心跳口,并启用双机热备。
[FW-4] hrp interface GigabitEthernet 1/0/3 remote 10.10.10.1 [FW-4] hrp enable
双机热备功能配置完成后,安全策略、SACG等配置只需要在主用设备FW-3上配置即可。FW-3上的配置会自动备份到FW-4上。
- 关闭会话状态检测功能。
HRP_M[FW-3] undo firewall session link-state check
- 配置安全策略。
# 配置local区域与trust区域之间的安全策略,允许FW和Service Controller通信。
HRP_M[FW-3] security-policy HRP_M[FW-3-security-policy] rule name sc_to_sacg HRP_M[FW-3-security-policy-sc_to_sacg] source-zone trust local HRP_M[FW-3-security-policy-sc_to_sacg] destination-zone local trust HRP_M[FW-3-security-policy-sc_to_sacg] action permit HRP_M[FW-3-security-policy-sc_to_sacg] quit
# 配置local区域与untrust区域之间的安全策略,使FW能够推送用于认证的Web页面给用户。
HRP_M[FW-3-security-policy] rule name sacg_to_client HRP_M[FW-3-security-policy-sacg_to_client] source-zone local HRP_M[FW-3-security-policy-sacg_to_client] destination-zone untrust HRP_M[FW-3-security-policy-sacg_to_client] action permit HRP_M[FW-3-security-policy-sacg_to_client] quit HRP_M[FW-3-security-policy] quit
- 配置SACG。
# 进入SACG配置视图,指定缺省ACL规则组号。
如果ACL 3099~3999已经被占用,需要先删除ACL 3099~3999再进行配置,以免FW生成ACL规则时产生冲突。
HRP_M[FW-3] right-manager server-group HRP_M[FW-3-rightm] default acl 3099
# 在FW上添加Service Controller,以便FW能够连接Service Controller实施联动。由于有两台Service Controller,所以需要执行两遍server ip命令添加两台Service Controller。
server ip命令中的port和shared-key请务必与Service Controller侧的配置保持一致,否则FW不能与Service Controller连接,功能就无法使用。
HRP_M[FW-3-rightm] server ip 192.168.1.2 port 3288 shared-key TSM_Security HRP_M[FW-3-rightm] server ip 192.168.1.3 port 3288 shared-key TSM_Security
# 配置Web认证。当终端用户在未通过身份认证的情况下尝试访问网络时,实现FW自动向终端主机推送Web认证页面的功能,方便终端用户通过Web页面进行身份认证。
HRP_M[FW-3-rightm] right-manager authentication url http://192.168.1.2:8084/auth HRP_M[FW-3-rightm] right-manager authentication url http://192.168.1.3:8084/auth
# 配置FW与Service Controller通信时使用的本端IP地址。
该配置不支持备份,需要分别在主备FW上配置。备用FW的IP地址配置为10.4.1.3。
HRP_M[FW-3-rightm] local ip 10.4.1.2
# 启用服务器组,使FW立即连接Service Controller发送联动请求,连接成功后,FW可以接收到Agile Controller下发的角色和角色规则。
HRP_M[FW-3-rightm] right-manager server-group enable
# 配置逃生通道功能,将最少Service Controller数量设定为1。这样当FW可以成功连接的Service Controller达到或超过1台,就正常进行准入认证。当FW不能与任何一台Service Controller连接上的话,就打开逃生通道,允许所有用户终端访问受控网络。这样可以避免终端用户因Service Controller出现故障而无法访问网络。
HRP_M[FW-3-rightm] right-manager server-group active-minimum 1 HRP_M[FW-3-rightm] right-manager status-detect enable HRP_M[FW-3-rightm] quit
在trust和untrust域间入方向应用ACL 3099,使终端用户可以与认证前域正常通信,同时也使逃生通道的放行规则可以正确下发到trust和untrust域间。
HRP_M[FW-3] firewall interzone trust untrust HRP_M[FW-3-interzone-trust-untrust] apply packet-filter right-manager inbound HRP_M[FW-3-interzone-trust-untrust] quit
- 配置核心交换机。此处仅以CE12800为例,介绍了交换机和FW对接部分的配置。
# 配置核心交换机接口和VLAN。
[~CSS] vlan batch 101 to 102 [*CSS] interface gigabitethernet 1/1/0/3 [*CSS-GigabitEthernet1/1/0/3] description To_SACG1_GE1/0/1 [*CSS-GigabitEthernet1/1/0/3] port link-type access [*CSS-GigabitEthernet1/1/0/3] port default vlan 101 [*CSS-GigabitEthernet1/1/0/3] quit [*CSS] interface gigabitethernet 1/1/0/4 [*CSS-GigabitEthernet1/1/0/4] description To_SACG1_GE1/0/2 [*CSS-GigabitEthernet1/1/0/4] port link-type access [*CSS-GigabitEthernet1/1/0/4] port default vlan 102 [*CSS-GigabitEthernet1/1/0/4] quit [*CSS] interface gigabitethernet 2/1/0/3 [*CSS-GigabitEthernet2/1/0/3] description To_SACG2_GE1/0/1 [*CSS-GigabitEthernet2/1/0/3] port link-type access [*CSS-GigabitEthernet2/1/0/3] port default vlan 101 [*CSS-GigabitEthernet2/1/0/3] quit [*CSS] interface gigabitethernet 2/1/0/4 [*CSS-GigabitEthernet2/1/0/4] description To_SACG2_GE1/0/2 [*CSS-GigabitEthernet2/1/0/4] port link-type access [*CSS-GigabitEthernet2/1/0/4] port default vlan 102 [*CSS-GigabitEthernet2/1/0/4] quit [*CSS] interface vlanif 101 [*CSS-Vlanif101] ip address 10.4.1.4 29 [*CSS-Vlanif101] quit [*CSS] interface vlanif 102 [*CSS-Vlanif102] ip address 10.5.1.4 29 [*CSS-Vlanif102] quit [*CSS] commit
# 配置策略路由。
[~CSS] acl 3001 [*CSS-acl4-advance-3001] rule 5 permit ip source 10.8.1.0 24 [*CSS-acl4-advance-3001] quit [~CSS] traffic classifier c1 [*CSS-classifier-c1] if-match acl 3001 [*CSS-classifier-c1] quit [~CSS] traffic behavior b1 [*CSS-behavior-b1] redirect nexthop 10.5.1.1 [*CSS-behavior-b1] quit [~CSS] traffic policy p1 [*CSS-trafficpolicy-p1] classifier c1 behavior b1 precedence 5 [*CSS-trafficpolicy-p1] quit [~CSS] interface eth-trunk 2 //Eth-Trunk2是核心交换机与分支机构1互联的接口 [*CSS-Eth-Trunk2] traffic-policy p1 inbound [*CSS-Eth-Trunk2] quit [*CSS] commit
- 配置Agile Controller和防火墙对接的参数。
- 添加防火墙作为硬件SACG。
- 选择“策略 > 准入控制 > 硬件SACG > 硬件SACG配置”。
- 在“硬件SACG”页签单击“增加”。
如果终端用户与SC之间配置了NAT地址转换,终端用户IP地址范围(起始IP和结束IP)需要添加终端用户NAT转换后的IP地址,并非用户终端真实的IP地址。否则终端用户无法在SACG上线。
- 配置前域、隔离域和后域。
- 在“前域”页签中单击“增加”。
同样将前域规划的其他服务器IP地址添加到前域。
- 在“受控域”页签中单击“增加”,将隔离域资源加入受控域。
重复操作将后域资源也加到受控域。
- 在“隔离域”页签中单击“增加”,只允许访问“隔离_受控域”资源。
- 在“后域”页签中单击“增加”,配置用于上班时间段的后域资源,即只允许访问“后域_受控域”。
同样将下班时间禁止访问“后域_受控域”添加到后域。
- 在“前域”页签中单击“增加”。
- 配置硬件SACG策略组并应用于帐号/用户组或者IP地址段。
- 配置时间段,满足只允许在上班时间访问业务系统的需求。
- 选择“策略 > 准入控制 > 策略元素 > 时间段”。
- 单击“增加”。
- 单击“确定”。
- 配置SACG策略组。
- 选择“策略 > 准入控制 > 硬件SACG > 硬件SACG策略组”。
- 单击“增加”。
- 单击“确定”。
- 将SACG策略组应用于帐号/用户组或者IP地址段。本举例中以应用于用户组为例。
- 配置时间段,满足只允许在上班时间访问业务系统的需求。
应用于帐号、用户组、IP地址段的匹配优先级逐步降低。
单击“SACG策略”右侧的
,将策略分配给指定用户组。
- 添加防火墙作为硬件SACG。
,将策略分配给指定用户组。
结果验证
- 分支机构用户在上班时间段认证通过并且终端主机安全检查通过情况下可以访问业务系统,下班时间无法访问。
- 终端主机检查存在严重违规的时候无法接入网络,提示需要修复,修复完成后可以成功接入网络。
- 在FW上查看Agile Controller状态。
# 在主用FW上查看Agile Controller状态。
HRP_M<FW-3> display right-manager server-group Server group state : Enable Server number : 2 Server ip address Port State Master 192.168.1.2 3288 active Y 192.168.1.3 3288 active N
active表示Agile Controller与FW连接状态正常。
# 在备用FW上查看Agile Controller状态。
HRP_S<FW-4> display right-manager server-group Server group state : Enable Server number : 2 Server ip address Port State Master 192.168.1.2 3288 active Y 192.168.1.3 3288 active N
- 分支机构用户登录成功后,在主备FW上均可以查看到用户的登录信息。下面以在主用FW上执行命令display right-manager online-users为例查看在线用户的登录信息和角色信息。
HRP_M<FW-3> display right-manager online-users User name : lee Ip address : 10.8.1.3 ServerIp : 192.168.1.2 Login time : 10:14:11 2016/05/06 ( Hour:Minute:Second Year/Month/Day) ----------------------------------------- Role id Rolename 1 DefaultDeny 6 Permit_1 255 Last -----------------------------------------执行命令display right-manager role-info,查看角色与ACL对应关系。
HRP_M<FW-3> display right-manager role-info All Role count:8 Role ID ACL number Role name ------------------------------------------------------------------------------ Role 0 3099 default Role 1 3100 DefaultDeny Role 2 3101 DefaultPermit Role 3 3102 Deny___0 Role 4 3103 Permit_0 ------------------------------------------------------------------------------ Role 5 3104 Deny___1 Role 6 3105 Permit_1Role 255 3354 Last
执行命令display acl acl-number命令查看acl 3100、3105、3354的内容。
HRP_M<FW-3> display acl 3100 Advanced ACL 3100, 1 rule //缺省禁止规则,在隔离域和后域中的“控制方式”选择“只允许访问列表中的受控域资源,禁止访问其它。”时使用。 Acl's step is 1 rule 1 deny ip (0 times matched) HRP_M<FW-3> display acl 3105 Advanced ACL 3105, 1 rule //允许访问认证后域。 Acl's step is 1 rule 1 permit ip destination 10.1.1.4 0 (0 times matched) rule 2 permit ip destination 10.1.1.5 0 (0 times matched) HRP_M<FW-3> display acl 3354 Advanced ACL 3354, 3 rules //允许访问认证前域 Acl's step is 1 rule 1 permit ip destination 192.168.1.2 0 (0 times matched) rule 2 permit ip destination 192.168.1.3 0 (0 times matched) rule 3 permit ip destination 192.168.3.3 0 (0 times matched)
由此可知帐号lee对应1、6和255三个角色,匹配顺序从下到上,通过角色与ACL的对应关系可看出三个角色所对应的ACL内容。
其中角色ID为255的角色表示允许访问认证前域,角色ID为6的角色表示允许访问数据中心业务服务区,角色ID为1的角色表示禁止访问所有。
综合角色的内容和匹配顺序,可得出帐号lee可以访问认证前域和认证后域,禁止访问其他。
- 在Agile Controller上选择“资源 > 用户 > 在线用户管理”可以查看用户上线的详细信息。
配置脚本
FW-3 |
FW-4 |
|---|---|
# hrp enable hrp interface GigabitEthernet 1/0/3 remote 10.10.10.2 # undo firewall session link-state check # interface GigabitEthernet 1/0/1 description SACG1_To_Coreswitch1_GE1/1/0/3 ip address 10.4.1.2 255.255.255.248 vrrp vrid 1 virtual-ip 10.4.1.1 active link-group 1 # interface GigabitEthernet 1/0/2 description SACG1_To_Coreswitch1_GE1/1/0/4 ip address 10.5.1.2 255.255.255.248 vrrp vrid 2 virtual-ip 10.5.1.1 active link-group 1 # interface GigabitEthernet 1/0/3 description hrp_interface ip address 10.10.10.1 255.255.255.0 # firewall zone trust add interface GigabitEthernet 1/0/1 # firewall zone untrust add interface GigabitEthernet 1/0/2 # firewall zone dmz add interface GigabitEthernet 1/0/3 # firewall interzone trust untrust apply packet-filter right-manager inbound # ip route-static 0.0.0.0 0.0.0.0 10.4.1.4 # firewall session aging-time service-set tcp_1414 40000 # right-manager server-group default acl 3099 server ip 192.168.1.2 port 3288 shared-key %$%$FxDAFSd(Y*Ku3%4+"%$%$ server ip 192.168.1.3 port 3288 shared-key %ef<f%7FxDAFSd(Y*Ku3%><dfe%&%$ integrity-check enable right-manager server-group enable right-manager status-detect enable local ip 10.4.1.2 right-manager authentication url http://192.168.1.2:8084/auth right-manager authentication url http://192.168.1.3:8084/auth # security-policy rule name sc_to_sacg source-zone trust source-zone local destination-zone local destination-zone trust action permit rule name sacg_to_client source-zone local destination-zone untrust action permit |
# hrp enable hrp interface GigabitEthernet 1/0/3 remote 10.10.10.1 # undo firewall session link-state check # interface GigabitEthernet 1/0/1 description SACG2_To_Coreswitch2_GE2/1/0/3 ip address 10.4.1.3 255.255.255.248 vrrp vrid 1 virtual-ip 10.4.1.1 standby link-group 1 # interface GigabitEthernet 1/0/2 description SACG2_To_Coreswitch2_GE2/1/0/4 ip address 10.5.1.3 255.255.255.248 vrrp vrid 2 virtual-ip 10.5.1.1 standby link-group 1 # interface GigabitEthernet 1/0/3 description hrp_interface ip address 10.10.10.2 255.255.255.0 # firewall zone trust add interface GigabitEthernet 1/0/1 # firewall zone untrust add interface GigabitEthernet 1/0/2 # firewall zone dmz add interface GigabitEthernet 1/0/3 # firewall interzone trust untrust apply packet-filter right-manager inbound # ip route-static 0.0.0.0 0.0.0.0 10.4.1.4 # firewall session aging-time service-set tcp_1414 40000 # right-manager server-group default acl 3099 server ip 192.168.1.2 port 3288 shared-key %$%$FxDAFSd(Y*Ku3%4+"%$%$ server ip 192.168.1.3 port 3288 shared-key %ef<f%7FxDAFSd(Y*Ku3%><dfe%&%$ integrity-check enable right-manager server-group enable right-manager status-detect enable local ip 10.4.1.3 right-manager authentication url http://192.168.1.2:8084/auth right-manager authentication url http://192.168.1.3:8084/auth # security-policy rule name sc_to_sacg source-zone trust source-zone local destination-zone local destination-zone trust action permit rule name sacg_to_client source-zone local destination-zone untrust action permit |
互联网出口防火墙
典型组网
如图1-4所示为互联网出口防火墙的典型组网。
- 核心交换机SW1/SW2堆叠组网、出口汇聚交换机SW7/SW8堆叠组网。防火墙位于核心交换机和出口汇聚交换机之间,三层接入并启用主备备份方式的双机热备。
- 防火墙连接上下行设备的接口上配置VRRP,防火墙使用VRRP虚拟IP地址与上下行设备通信。
- 出差员工与出口防火墙间建立SSL VPN,安全接入内网。
- 分支机构的互联网出口处也部署防火墙,与总部的互联网出口防火墙之间建立IPSec VPN,承载分支机构和数据中心之间的数据传输。
- DMZ区域的部分服务器为业务前置服务器,需要开放给公网用户访问。因此,互联网出口防火墙上需要配置NAT Server功能,将服务器私网地址映射为公网地址。
业务规划
防火墙接口规划
FW-5的接口规划:
序号 |
本端设备 |
本端接口 |
对端设备 |
对端接口 |
备注 |
|---|---|---|---|---|---|
1 |
FW-5 |
GE1/0/1 |
SW-5 |
GE1/1/0/1 |
Eth-Trunk1,防火墙上行业务接口 |
2 |
FW-5 |
GE1/0/2 |
SW-5 |
GE1/1/0/2 |
Eth-Trunk1,防火墙上行业务接口 |
3 |
FW-5 |
GE1/0/3 |
SW-1 |
GE1/1/0/5 |
Eth-Trunk2,防火墙下行业务接口 |
4 |
FW-5 |
GE1/0/4 |
SW-1 |
GE1/1/0/6 |
Eth-Trunk2,防火墙下行业务接口 |
5 |
FW-5 |
GE1/0/5 |
FW-6 |
GE1/0/5 |
Eth-Trunk0,防火墙心跳接口 |
6 |
FW-5 |
GE1/0/6 |
FW-6 |
GE1/0/6 |
Eth-Trunk0,防火墙心跳接口 |
FW-6的接口规划:
序号 |
本端设备 |
本端接口 |
对端设备 |
对端接口 |
备注 |
|---|---|---|---|---|---|
1 |
FW-6 |
GE1/0/1 |
SW-6 |
GE2/1/0/1 |
Eth-Trunk1,上行业务接口 |
2 |
FW-6 |
GE1/0/2 |
SW-6 |
GE2/1/0/2 |
Eth-Trunk1,上行业务接口 |
3 |
FW-6 |
GE1/0/3 |
SW-2 |
GE2/1/0/5 |
Eth-Trunk2,下行业务接口 |
4 |
FW-6 |
GE1/0/4 |
SW-2 |
GE2/1/0/6 |
Eth-Trunk2,下行业务接口 |
5 |
FW-6 |
GE1/0/5 |
FW-5 |
GE1/0/5 |
Eth-Trunk0,防火墙心跳接口 |
6 |
FW-6 |
GE1/0/6 |
FW-5 |
GE1/0/6 |
Eth-Trunk0,防火墙心跳接口 |
防火墙IP地址规划
序号 |
本端设备 |
本端接口 |
VLAN ID |
本端IP |
对端设备 |
备注 |
|---|---|---|---|---|---|---|
1 |
FW-5 |
Eth-Trunk1.1 |
10 |
172.6.1.2/29 VRID:1 VIP:1.1.1.1/29 |
SW-5 |
出差员工SSL VPN网关 |
2 |
FW-5 |
Eth-Trunk1.2 |
20 |
172.6.2.2/29 VRID:2 VIP:1.1.2.1/29 |
SW-5 |
IPSec网关 |
3 |
FW-5 |
Eth-Trunk1.3 |
30 |
172.6.3.2/29 VRID:3 VIP:1.1.3.1/29 |
SW-5 |
Internet用户接入网关 |
4 |
FW-5 |
Eth-Trunk1.4 |
40 |
172.6.4.2/29 VRID:4 VIP:1.1.4.1/29 |
SW-5 |
合作伙伴SSL VPN网关 |
5 |
FW-5 |
Eth-Trunk2.1 |
103 |
172.7.1.2/29 VRID:5 VIP:172.7.1.1 |
SW-1 |
数据中心业务服务区 |
6 |
FW-5 |
Eth-Trunk2.2 |
104 |
172.7.2.2/29 VRID:6 VIP:172.7.2.1 |
SW-1 |
DMZ区域 |
7 |
FW-5 |
Eth-Trunk0 |
- |
12.12.12.1/24 |
FW-6 |
- |
8 |
FW-6 |
Eth-Trunk1.1 |
10 |
172.6.1.3/29 VRID:1 VIP:1.1.1.1/29 |
SW-6 |
出差员工SSL VPN网关 |
9 |
FW-6 |
Eth-Trunk1.2 |
20 |
172.6.2.3/29 VRID:2 VIP:1.1.2.1/29 |
SW-6 |
IPSec网关 |
10 |
FW-6 |
Eth-Trunk1.3 |
30 |
172.6.3.3/29 VRID:3 VIP:1.1.3.1/29 |
SW-6 |
Internet用户接入网关 |
11 |
FW-6 |
Eth-Trunk1.4 |
40 |
172.6.4.3/29 VRID:4 VIP:1.1.4.1/29 |
SW-6 |
合作伙伴SSL VPN网关 |
11 |
FW-6 |
Eth-Trunk2.1 |
103 |
172.7.1.3/29 VRID:5 VIP:172.7.1.1 |
SW-2 |
数据中心业务服务区 |
11 |
FW-6 |
Eth-Trunk2.2 |
104 |
172.7.2.3/29 VRID:6 VIP:172.7.2.1 |
SW-2 |
DMZ区域 |
12 |
FW-6 |
Eth-Trunk0 |
- |
12.12.12.2/24 |
FW-6 |
- |
防火墙安全区域规划
序号 |
安全区域名称 |
安全区域优先级 |
包含接口 |
备注 |
|---|---|---|---|---|
1 |
zone1 |
45 |
Eth-Trunk1.1 |
出差员工 |
2 |
zone2 |
40 |
Eth-Trunk1.2 |
分支机构2 |
3 |
zone3 |
10 |
Eth-Trunk1.3 |
Internet用户 |
4 |
zone4 |
30 |
Eth-Trunk1.4 |
合作伙伴 |
4 |
hrp |
85 |
Eth-Trunk0 |
防火墙心跳接口 |
5 |
trust |
100 |
Eth-Trunk2.1 |
数据中心业务服务区 |
6 |
dmz |
50 |
Eth-Trunk2.2 |
DMZ区域 |
防火墙安全策略规划
地址组
序号 |
地址组名 |
地址 |
备注 |
|---|---|---|---|
1 |
remote_users |
address 0 172.168.3.0 mask 24 |
出差员工SSL VPN接入 |
2 |
partner |
address 0 172.168.4.0 mask 24 |
合作伙伴 |
3 |
branch2 |
address 0 10.9.1.0 mask 24 |
分支机构2 |
4 |
server1 |
address 0 10.1.1.10 mask 32 address 1 10.1.1.11 mask 32 |
出差员工可以访问的服务器 |
5 |
server2 |
address 0 10.2.1.4 mask 32 address 1 10.2.1.5 mask 32 |
合作伙伴可以访问的服务器 |
6 |
server4 |
address 0 10.1.1.4 mask 32 address 1 10.1.1.5 mask 32 |
分支机构2可以访问的服务器 |
7 |
server5 |
address 0 192.168.4.2 mask 32 address 1 192.168.4.3 mask 32 address 2 192.168.4.4 mask 32 address 3 192.168.4.5 mask 32 |
Internet用户可以访问的服务器 |
8 |
ad_server |
address 0 192.168.5.4 mask 32 address 1 192.168.5.5 mask 32 |
AD认证服务器,对SSL VPN接入用户进行身份认证 |
自定义服务
序号 |
服务名 |
协议/端口 |
备注 |
|---|---|---|---|
1 |
tcp_1414 |
service 0 protocol tcp destination-port 1414 |
合作伙伴访问策略使用 |
安全策略
序号 |
策略名 |
源安全区域 |
源地址 |
目的安全区域 |
目的地址 |
服务 |
动作 |
|---|---|---|---|---|---|---|---|
1 |
remote_users_to_server1 |
zone1 |
remote_users |
trust |
server1 |
ftp,http |
permit |
2 |
partner_to_server2 |
zone4 |
partner |
trust |
server2 |
tcp_1414 |
permit |
4 |
branch2_to_server4 |
zone2 |
branch2 |
trust |
server4 |
ftp |
permit |
5 |
internet_to_server5 |
zone3 |
any |
dmz |
server5 |
https,http |
permit |
6 |
ipsec |
zone2,local |
1.1.2.1/32,2.2.2.2/32(分支机构2 IPSec网关IP地址) |
local,zone2 |
1.1.2.1/32,2.2.2.2/32(分支机构2 IPSec网关IP地址) |
any |
permit |
7 |
ssl_vpn |
zone1,zone4 |
any |
local |
1.1.1.1/32,1.1.4.1/32 |
any |
permit |
8 |
to_ad_server |
local |
any |
dmz |
ad_server |
any |
permit |
8 |
default |
any |
any |
any |
any |
any |
deny |
“default”是设备默认存在的缺省安全策略,如果流量没有匹配到管理员定义的安全策略,就会命中缺省安全策略(条件均为any,动作默认为禁止)。如果需要控制只有某些IP可以访问服务器,则需要保持缺省安全策略的禁止动作,然后配置允许哪些IP访问服务器的安全策略。
双机热备心跳报文不受安全策略控制,不需要针对心跳报文配置安全策略。
防火墙长连接
延长协议的会话老化时间来实现长连接。
序号 |
协议 |
老化时间 |
|---|---|---|
1 |
tcp_1414 |
40000秒 |
通过Long-link功能实现长连接。
序号 |
策略名 |
老化时间 |
|---|---|---|
1 |
branch2_to_server4 |
480小时 |
延长协议的会话老化时间来实现长连接与Long-link功能相比,配置更简单。而Long-link功能可以细化保持长连接的条件,仅对特定的流量保持长连接。延长协议的会话老化时间是全局配置,对所有该类型的协议都生效。这会导致一些不需要保持长连接的会话长时间得不到老化,占用大量的会话表项资源。一旦会话表项资源耗尽,将无法再继续新建业务。
因此,确认某个协议的所有会话都要保持一个较长的老化时间时,可以使用延长该协议的会话老化时间的方法来实现长连接。否则,请使用Long-link功能实现长连接。
Long-link功能仅对基于TCP协议的连接有效。
防火墙NAT规划
NAT Server
序号 |
名称 |
协议 |
公网IP |
公网端口 |
私网IP |
私网端口 |
|---|---|---|---|---|---|---|
1 |
https_server1 |
tcp |
1.1.3.2 |
4433 |
192.168.4.2 |
443 |
2 |
https_server2 |
tcp |
1.1.3.3 |
4433 |
192.168.4.3 |
443 |
3 |
https_server1 |
tcp |
1.1.3.4 |
8000 |
192.168.4.4 |
80 |
4 |
https_server2 |
tcp |
1.1.3.5 |
8000 |
192.168.4.5 |
80 |
防火墙路由规划
防火墙上配置静态路由,具体如下:
序号 |
目的地址 |
掩码 |
下一跳 |
备注 |
|---|---|---|---|---|
1 |
10.1.0.0 |
255.255.0.0 |
172.7.1.4 |
到数据中心业务服务区1的路由 |
2 |
10.2.0.0 |
255.255.0.0 |
172.7.1.4 |
到数据中心业务服务区2的路由 |
3 |
10.3.0.0 |
255.255.0.0 |
172.7.1.4 |
到数据中心业务服务区3的路由 |
4 |
192.168.0.0 |
255.255.0.0 |
172.7.1.4 |
到DMZ区域的路由 |
4 |
172.168.3.0 |
255.255.255.0 |
1.1.1.2 |
到出差员工SSL VPN接入终端的路由 |
5 |
172.168.4.0 |
255.255.255.0 |
1.1.4.2 |
到合作伙伴网络的路由 |
7 |
10.9.1.0 |
255.255.255.0 |
1.1.2.2 |
到分支机构2网络的路由 |
8 |
0.0.0.0 |
0.0.0.0 |
1.1.3.2 |
到Internet的缺省路由 |
IPSec数据规划
VPN网关位置 |
IPSec策略建立方式 |
本端地址 |
对端地址 |
认证方式 |
预共享密钥 |
本端ID |
对端ID |
|---|---|---|---|---|---|---|---|
总部 |
策略模板方式 |
- |
- |
预共享密钥 |
Test!1234 |
IP地址 |
IP地址 |
分支 |
ISAKMP方式 |
2.2.2.2 |
1.1.2.1 |
预共享密钥 |
Test!1234 |
IP地址 |
IP地址 |
SSL VPN数据规划
出差员工和合作伙伴的SSL VPN配置基本相同,本示例仅以出差员工的SSL VPN配置为例进行说明。
项目 |
数据 |
|---|---|
虚拟网关 |
名称:example IP:1.1.1.1 域名:www.example.com 最大用户数:150 最大在线用户数:100 |
AD服务器 |
主服务器:192.168.5.4 从服务器:192.168.5.5 |
Web代理资源 |
名称:resource1,链接:http://10.1.1.10 名称:resource2,链接:http://10.1.1.11 |
网络扩展 |
网络扩展地址池:172.168.3.2-172.168.3.254 路由模式:手动 网络扩展用户可访问的内网网段:10.1.1.0/24 |
安全防护规划
- 攻击防范规划
为了保证内部网络免受网络攻击侵袭,需要在防火墙上配置攻击防范功能。
一般情况下,推荐防火墙配置以下攻击防范:
- Smurf攻击防范
- Land攻击防范
- Fraggle攻击防范
- Ping of Death攻击防范
- WinNuke攻击防范
- 带路由记录项的IP报文攻击防范
- 带源路由选项的IP报文攻击防范
- 带时间戳选项的IP报文攻击防范
- SYN Flood攻击防范
- UDP Flood攻击防范
- ICMP Flood攻击防范
在实际部署时,对于以上Flood类型的攻击,接口的攻击报文的最大速率可以先配置一个较大的取值,然后一边观察一边调小取值,直到调整至合适的范围(原则是既很好的限制了攻击,又不影响正常业务)。
- IPS规划
为了保证内部网络免受黑客、僵尸、木马、蠕虫等的侵袭,需要在防火墙上配置IPS功能。
IPS功能可以部署在防火墙上,可以通过单独的IPS设备部署。
IPS和功能的配置方式是在配置安全策略时引用IPS配置文件。在本案例中,我们需要在上述配置的安全策略中都引用IPS配置文件,即对安全策略允许通过的流量都进行IPS检测。
一般情况下,在初始部署防火墙时,选择缺省的IPS配置文件default即可。防火墙运行一段时间后,管理员可以根据网络运行状况,自定义配置文件。IPS还支持缺省的配置文件ids,即只对入侵报文产生告警,不阻断。如果对安全性要求不是很高,为了降低IPS误报的风险,可以选择ids配置文件。
注意事项
IPS
配置IPS功能前需要确保IPS特征库为最新版本。
攻击防范
本案例的攻击防范配置为推荐的标准配置。
策略备份加速
当策略数量较多时(比如超过500条),为了提升策略加速期间的匹配效率,需要开启备份加速功能。但是开启该功能后,新配置的策略需要等待策略备份加速完成后才能生效。
配置步骤
配置接口、安全区域和路由
操作步骤
- 配置FW-5接口IP地址。
<sysname> system-view [sysname] sysname FW-5 [FW-5] interface Eth-trunk 1 [FW-5-Eth-Trunk1] description Link_To_SW5 [FW-5-Eth-Trunk1] trunkport GigabitEthernet 1/0/1 [FW-5-Eth-Trunk1] trunkport GigabitEthernet 1/0/2 [FW-5-Eth-Trunk1] quit [FW-5] interface Eth-trunk 1.1 [FW-5-Eth-Trunk1.1] vlan-type dot1q 10 [FW-5-Eth-Trunk1.1] ip address 172.6.1.2 29 [FW-5-Eth-Trunk1.1] quit [FW-5] interface Eth-trunk 1.2 [FW-5-Eth-Trunk1.2] vlan-type dot1q 20 [FW-5-Eth-Trunk1.2] ip address 172.6.2.2 29 [FW-5-Eth-Trunk1.2] quit [FW-5] interface Eth-trunk 1.3 [FW-5-Eth-Trunk1.3] vlan-type dot1q 30 [FW-5-Eth-Trunk1.3] ip address 172.6.3.2 29 [FW-5-Eth-Trunk1.3] quit [FW-5] interface Eth-trunk 1.4 [FW-5-Eth-Trunk1.4] vlan-type dot1q 40 [FW-5-Eth-Trunk1.4] ip address 172.6.4.2 29 [FW-5-Eth-Trunk1.4] quit [FW-5] interface Eth-trunk 2 [FW-5-Eth-Trunk2] description Link_To_SW1 [FW-5-Eth-Trunk2] trunkport GigabitEthernet 1/0/3 [FW-5-Eth-Trunk2] trunkport GigabitEthernet 1/0/4 [FW-5-Eth-Trunk2] quit [FW-5] interface Eth-trunk 2.1 [FW-5-Eth-Trunk2.1] vlan-type dot1q 103 [FW-5-Eth-Trunk2.1] ip address 172.7.1.2 29 [FW-5-Eth-Trunk2.1] quit [FW-5] interface Eth-trunk 2.2 [FW-5-Eth-Trunk2.2] vlan-type dot1q 104 [FW-5-Eth-Trunk2.2] ip address 172.7.2.2 29 [FW-5-Eth-Trunk2.2] quit [FW-5] interface Eth-trunk 0 [FW-5-Eth-Trunk0] description HRP_Interface [FW-5-Eth-Trunk0] trunkport GigabitEthernet 1/0/5 [FW-5-Eth-Trunk0] trunkport GigabitEthernet 1/0/6 [FW-5-Eth-Trunk0] ip address 12.12.12.1 24 [FW-5-Eth-Trunk0] quit
- 将FW-5接口加入安全区域。
[FW-5] firewall zone name zone1 [FW-5-zone-zone1] set priority 45 [FW-5-zone-zone1] add interface Eth-trunk1.1 [FW-5-zone-zone1] quit [FW-5] firewall zone name zone2 [FW-5-zone-zone2] set priority 40 [FW-5-zone-zone2] add interface Eth-trunk1.2 [FW-5-zone-zone2] quit [FW-5] firewall zone name zone3 [FW-5-zone-zone3] set priority 10 [FW-5-zone-zone3] add interface Eth-trunk1.3 [FW-5-zone-zone3] quit [FW-5] firewall zone name zone4 [FW-5-zone-zone4] set priority 30 [FW-5-zone-zone4] add interface Eth-trunk1.4 [FW-5-zone-zone4] quit [FW-5] firewall zone trust [FW-5-zone-trust] add interface Eth-trunk2.1 [FW-5-zone-trust] quit [FW-5] firewall zone dmz [FW-5-zone-dmz] add interface Eth-trunk2.2 [FW-5-zone-dmz] quit [FW-5] firewall zone name hrp [FW-5-zone-hrp] set priority 85 [FW-5-zone-hrp] add interface Eth-trunk0 [FW-5-zone-hrp] quit
- 在FW-5上配置静态路由。
# 在FW-5上配置到数据中心业务服务区的静态路由,下一跳为核心交换机的IP地址。
[FW-5] ip route-static 10.1.0.0 255.255.0.0 172.7.1.4 [FW-5] ip route-static 10.2.0.0 255.255.0.0 172.7.1.4 [FW-5] ip route-static 10.3.0.0 255.255.0.0 172.7.1.4
# 在FW-5上配置到出差员工SSL VPN接入终端、分支机构、合作伙伴、Internet的静态路由,下一跳为ISP路由器的IP地址。
[FW-5] ip route-static 172.168.3.0 255.255.255.0 1.1.1.2 [FW-5] ip route-static 172.168.4.0 255.255.255.0 1.1.4.2 [FW-5] ip route-static 10.9.1.0 255.255.255.0 1.1.2.2 [FW-5] ip route-static 0.0.0.0 0.0.0.0 1.1.3.2
- 参考上述步骤配置FW-6的接口IP、安全区域和路由,不同之处是接口IP不同。
配置双机热备
操作步骤
- 在FW-5的上行接口上配置VRRP备份组,并将VRRP备份组状态设置为Active。
<FW-5> system-view [FW-5] interface Eth-Trunk1.1 [FW-5-Eth-Trunk1.1] vrrp vrid 1 virtual-ip 1.1.1.1 29 active [FW-5-Eth-Trunk1.1] quit [FW-5] interface Eth-Trunk1.2 [FW-5-Eth-Trunk1.2] vrrp vrid 2 virtual-ip 1.1.2.1 29 active [FW-5-Eth-Trunk1.2] quit [FW-5] interface Eth-Trunk1.3 [FW-5-Eth-Trunk1.3] vrrp vrid 3 virtual-ip 1.1.3.1 29 active [FW-5-Eth-Trunk1.3] quit [FW-5] interface Eth-Trunk1.4 [FW-5-Eth-Trunk1.4] vrrp vrid 4 virtual-ip 1.1.4.1 29 active [FW-5-Eth-Trunk1.4] quit [FW-5] interface Eth-Trunk2.1 [FW-5-Eth-Trunk2.1] vrrp vrid 5 virtual-ip 172.7.1.1 29 active [FW-5-Eth-Trunk2.1] quit [FW-5] interface Eth-Trunk2.2 [FW-5-Eth-Trunk2.2] vrrp vrid 6 virtual-ip 172.7.2.1 29 active [FW-5-Eth-Trunk2.2] quit
- 在FW-5上指定Eth-Trunk0为心跳口,并启用双机热备。
[FW-5] hrp interface Eth-Trunk0 remote 12.12.12.2 [FW-5] hrp enable
- 在FW-6的接口上配置VRRP备份组,并将VRRP备份组状态设置为Standby。
<FW-6> system-view [FW-6] interface Eth-Trunk1.1 [FW-6-Eth-Trunk1.1] vrrp vrid 1 virtual-ip 1.1.1.1 29 standby [FW-6-Eth-Trunk1.1] quit [FW-6] interface Eth-Trunk1.2 [FW-6-Eth-Trunk1.2] vrrp vrid 2 virtual-ip 1.1.2.1 29 standby [FW-6-Eth-Trunk1.2] quit [FW-6] interface Eth-Trunk1.3 [FW-6-Eth-Trunk1.3] vrrp vrid 3 virtual-ip 1.1.3.1 29 standby [FW-6-Eth-Trunk1.3] quit [FW-6] interface Eth-Trunk1.4 [FW-6-Eth-Trunk1.4] vrrp vrid 4 virtual-ip 1.1.4.1 29 standby [FW-6-Eth-Trunk1.4] quit [FW-6] interface Eth-Trunk2.1 [FW-6-Eth-Trunk2.1] vrrp vrid 5 virtual-ip 172.7.1.1 29 standby [FW-6-Eth-Trunk2.1] quit [FW-6] interface Eth-Trunk2.2 [FW-6-Eth-Trunk2.2] vrrp vrid 6 virtual-ip 172.7.2.1 29 standby [FW-6-Eth-Trunk2.2] quit
- 在FW-6上指定Eth-Trunk0为心跳口,并启用双机热备。
[FW-6] hrp interface Eth-Trunk0 remote 12.12.12.1 [FW-6] hrp enable
操作结果
至此,双机热备关系已经建立,后续大部分配置都能够备份。所以在下面的步骤中,我们只需在主用设备FW-5上配置即可(有特殊说明的配置除外)。
配置NAT Server
操作步骤
- 配置NAT Server,将前置服务器的私网地址分别映射公网地址。
HRP_M[FW-5] nat server https_server1 protocol tcp global 1.1.3.2 4433 inside 192.168.4.2 443 HRP_M[FW-5] nat server https_server2 protocol tcp global 1.1.3.3 4433 inside 192.168.4.3 443 HRP_M[FW-5] nat server http_server1 protocol tcp global 1.1.3.4 8000 inside 192.168.4.4 80 HRP_M[FW-5] nat server http_server2 protocol tcp global 1.1.3.5 8000 inside 192.168.4.5 80
- 配置NAT Server公网地址的黑洞路由,避免防火墙与ISP路由器之间产生路由环路。
路由配置不支持备份,因此需要同时在FW-5和FW-6上配置。
HRP_M[FW-5] ip route-static 1.1.3.2 32 NULL 0 HRP_M[FW-5] ip route-static 1.1.3.3 32 NULL 0 HRP_M[FW-5] ip route-static 1.1.3.4 32 NULL 0 HRP_M[FW-5] ip route-static 1.1.3.5 32 NULL 0 HRP_S[FW-6] ip route-static 1.1.3.2 32 NULL 0 HRP_S[FW-6] ip route-static 1.1.3.3 32 NULL 0 HRP_S[FW-6] ip route-static 1.1.3.4 32 NULL 0 HRP_S[FW-6] ip route-static 1.1.3.5 32 NULL 0
配置安全策略及安全防护
操作步骤
- 配置安全策略和IPS。
# 在FW-5上配置地址组。
HRP_M[FW-5] ip address-set remote_users type object HRP_M[FW-5-object-address-set-remote_users] address 0 172.168.3.0 mask 24 HRP_M[FW-5-object-address-set-remote_users] description "for remote users" HRP_M[FW-5-object-address-set-remote_users] quit HRP_M[FW-5] ip address-set partner type object HRP_M[FW-5-object-address-set-partner] address 0 172.168.4.0 mask 24 HRP_M[FW-5-object-address-set-partner] description "for partner" HRP_M[FW-5-object-address-set-partner] quit HRP_M[FW-5] ip address-set branch2 type object HRP_M[FW-5-object-address-set-branch2] address 0 10.9.1.0 mask 24 HRP_M[FW-5-object-address-set-branch2] description "for branch2" HRP_M[FW-5-object-address-set-branch2] quit HRP_M[FW-5] ip address-set server1 type object HRP_M[FW-5-object-address-set-server1] address 0 10.1.1.10 mask 32 HRP_M[FW-5-object-address-set-server1] address 1 10.1.1.11 mask 32 HRP_M[FW-5-object-address-set-server1] description "for server1" HRP_M[FW-5-object-address-set-server1] quit HRP_M[FW-5] ip address-set server2 type object HRP_M[FW-5-object-address-set-server2] address 0 10.2.1.4 mask 32 HRP_M[FW-5-object-address-set-server2] address 1 10.2.1.5 mask 32 HRP_M[FW-5-object-address-set-server2] description "for server2" HRP_M[FW-5-object-address-set-server2] quit HRP_M[FW-5] ip address-set server4 type object HRP_M[FW-5-object-address-set-server4] address 0 10.1.1.4 mask 32 HRP_M[FW-5-object-address-set-server4] address 1 10.1.1.5 mask 32 HRP_M[FW-5-object-address-set-server4] description "for server4" HRP_M[FW-5-object-address-set-server4] quit HRP_M[FW-5] ip address-set server5 type object HRP_M[FW-5-object-address-set-server5] address 0 192.168.4.2 mask 32 HRP_M[FW-5-object-address-set-server5] address 1 192.168.4.3 mask 32 HRP_M[FW-5-object-address-set-server5] address 2 192.168.4.4 mask 32 HRP_M[FW-5-object-address-set-server5] address 3 192.168.4.5 mask 32 HRP_M[FW-5-object-address-set-server5] description "for server5" HRP_M[FW-5-object-address-set-server5] quit HRP_M[FW-5] ip address-set ad_server type object HRP_M[FW-5-object-address-set-ad_server] address 0 192.168.5.4 mask 32 HRP_M[FW-5-object-address-set-ad_server] address 1 192.168.5.5 mask 32 HRP_M[FW-5-object-address-set-ad_server] description "for ad_server" HRP_M[FW-5-object-address-set-ad_server] quit
# 在FW-5上配置服务集。
HRP_M[FW-5] ip service-set tcp_1414 type object HRP_M[FW-5-object-service-set-tcp_1414] service 0 protocol tcp destination-port 1414 HRP_M[FW-5-object-service-set-tcp_1414] quit
# 在FW-5上配置安全策略remote_users_to_server1,并引用IPS安全配置文件。
HRP_M[FW-5] security-policy HRP_M[FW-5-policy-security] rule name remote_users_to_server1 HRP_M[FW-5-policy-security-rule-remote_users_to_server1] source-zone zone1 HRP_M[FW-5-policy-security-rule-remote_users_to_server1] destination-zone trust HRP_M[FW-5-policy-security-rule-remote_users_to_server1] source-address address-set remote_users HRP_M[FW-5-policy-security-rule-remote_users_to_server1] destination-address address-set server1 HRP_M[FW-5-policy-security-rule-remote_users_to_server1] service ftp http HRP_M[FW-5-policy-security-rule-remote_users_to_server1] action permit HRP_M[FW-5-policy-security-rule-remote_users_to_server1] profile ips default HRP_M[FW-5-policy-security-rule-remote_users_to_server1] quit
# 在FW-5上配置安全策略partner_to_server2,并引用IPS安全配置文件。
HRP_M[FW-5-policy-security] rule name partner_to_server2 HRP_M[FW-5-policy-security-rule-partner_to_server2] source-zone zone4 HRP_M[FW-5-policy-security-rule-partner_to_server2] destination-zone trust HRP_M[FW-5-policy-security-rule-partner_to_server2] source-address address-set partner HRP_M[FW-5-policy-security-rule-partner_to_server2] destination-address address-set server2 HRP_M[FW-5-policy-security-rule-partner_to_server2] service tcp_1414 HRP_M[FW-5-policy-security-rule-partner_to_server2] action permit HRP_M[FW-5-policy-security-rule-partner_to_server2] profile ips default HRP_M[FW-5-policy-security-rule-partner_to_server2] quit
# 在FW-5上配置安全策略branch2_to_server4,并引用IPS安全配置文件。
HRP_M[FW-5-policy-security] rule name branch2_to_server4 HRP_M[FW-5-policy-security-rule-branch2_to_server4] source-zone zone2 HRP_M[FW-5-policy-security-rule-branch2_to_server4] destination-zone trust HRP_M[FW-5-policy-security-rule-branch2_to_server4] source-address address-set branch2 HRP_M[FW-5-policy-security-rule-branch2_to_server4] destination-address address-set server4 HRP_M[FW-5-policy-security-rule-branch2_to_server4] service ftp HRP_M[FW-5-policy-security-rule-branch2_to_server4] action permit HRP_M[FW-5-policy-security-rule-branch2_to_server4] profile ips default HRP_M[FW-5-policy-security-rule-branch2_to_server4] quit
# 在FW-5上配置安全策略internet_to_server5,并引用IPS安全配置文件。
HRP_M[FW-5-policy-security] rule name internet_to_server5 HRP_M[FW-5-policy-security-rule-internet_to_server5] source-zone zone3 HRP_M[FW-5-policy-security-rule-internet_to_server5] destination-zone dmz HRP_M[FW-5-policy-security-rule-internet_to_server5] destination-address address-set server5 HRP_M[FW-5-policy-security-rule-internet_to_server5] service https http HRP_M[FW-5-policy-security-rule-internet_to_server5] action permit HRP_M[FW-5-policy-security-rule-internet_to_server5] profile ips default HRP_M[FW-5-policy-security-rule-internet_to_server5] quit
# 在FW-5上配置安全策略ipsec。
HRP_M[FW-5-policy-security] rule name ipsec HRP_M[FW-5-policy-security-rule-ipsec] source-zone zone2 local HRP_M[FW-5-policy-security-rule-ipsec] destination-zone zone2 local HRP_M[FW-5-policy-security-rule-ipsec] source-address 1.1.2.1 32 HRP_M[FW-5-policy-security-rule-ipsec] source-address 2.2.2.2 32 HRP_M[FW-5-policy-security-rule-ipsec] destination-address 1.1.2.1 32 HRP_M[FW-5-policy-security-rule-ipsec] destination-address 2.2.2.2 32 HRP_M[FW-5-policy-security-rule-ipsec] action permit HRP_M[FW-5-policy-security-rule-ipsec] quit
# 在FW-5上配置安全策略ssl_vpn。
HRP_M[FW-5-policy-security] rule name ssl_vpn HRP_M[FW-5-policy-security-rule-ssl_vpn] source-zone zone1 zone4 HRP_M[FW-5-policy-security-rule-ssl_vpn] destination-zone local HRP_M[FW-5-policy-security-rule-ssl_vpn] destination-address 1.1.1.1 32 HRP_M[FW-5-policy-security-rule-ssl_vpn] destination-address 1.1.4.1 32 HRP_M[FW-5-policy-security-rule-ssl_vpn] action permit HRP_M[FW-5-policy-security-rule-ssl_vpn] quit
# 在FW-5上配置安全策略to_ad_server。
HRP_M[FW-5-policy-security] rule name to_ad_server HRP_M[FW-5-policy-security-rule-to_ad_server] source-zone local HRP_M[FW-5-policy-security-rule-to_ad_server] destination-zone dmz HRP_M[FW-5-policy-security-rule-to_ad_server] destination-address address-set ad_server HRP_M[FW-5-policy-security-rule-to_ad_server] action permit HRP_M[FW-5-policy-security-rule-to_ad_server] quit HRP_M[FW-5-policy-security] quit
- 配置长连接。
# 修改tcp_1414的会话老化时间为40000秒。
HRP_M[FW-5] firewall session aging-time service-set tcp_1414 40000
# 在安全策略branch2_to_server4中启用长连接功能,将命中该策略的连接的老化时间修改为480小时。
HRP_M[FW-5] security-policy HRP_M[FW-5-policy-security] rule name branch2_to_server4 HRP_M[FW-5-policy-security-rule-branch2_to_server4] long-link enable HRP_M[FW-5-policy-security-rule-branch2_to_server4] long-link aging-time 480 HRP_M[FW-5-policy-security-rule-branch2_to_server4] quit HRP_M[FW-5-policy-security] quit
- 配置攻击防范。
# 在FW-5上配置单包攻击防范功能。
HRP_M[FW-5] firewall defend land enable HRP_M[FW-5] firewall defend smurf enable HRP_M[FW-5] firewall defend fraggle enable HRP_M[FW-5] firewall defend ip-fragment enable HRP_M[FW-5] firewall defend tcp-flag enable HRP_M[FW-5] firewall defend winnuke enable HRP_M[FW-5] firewall defend source-route enable HRP_M[FW-5] firewall defend teardrop enable HRP_M[FW-5] firewall defend route-record enable HRP_M[FW-5] firewall defend time-stamp enable HRP_M[FW-5] firewall defend ping-of-death enable
- 配置策略备份加速。
当策略数量较多时(比如超过500条),为了提升策略加速期间的匹配效率,需要开启备份加速功能。但是开启该功能后,新配置的策略需要等待策略备份加速完成后才能生效。
HRP_M[FW-5] policy accelerate standby enable
配置IPSec VPN
操作步骤
- 在总部FW上配置IPSec策略,并在接口上应用此IPSec策略。
- 定义被保护的数据流。配置高级ACL 3000,允许10.1.1.0/24网段访问10.9.1.0/24网段。
HRP_M<FW-5> system-view HRP_M[FW-5] acl 3000 HRP_M[FW-5-acl-adv-3000] rule 5 permit ip source 10.1.1.0 0.0.0.255 destination 10.9.1.0 0.0.0.255 HRP_M[FW-5-acl-adv-3000] quit
- 配置IPSec安全提议。缺省参数可不配置。
HRP_M[FW-5] ipsec proposal tran1 HRP_M[FW-5-ipsec-proposal-tran1] esp authentication-algorithm sha2-256 HRP_M[FW-5-ipsec-proposal-tran1] esp encryption-algorithm aes-256 HRP_M[FW-5-ipsec-proposal-tran1] quit
- 配置IKE安全提议。缺省参数可不配置。
HRP_M[FW-5] ike proposal 10 HRP_M[FW-5-ike-proposal-10] authentication-method pre-share HRP_M[FW-5-ike-proposal-10] prf hmac-sha2-256 HRP_M[FW-5-ike-proposal-10] encryption-algorithm aes-256 HRP_M[FW-5-ike-proposal-10] dh group2 HRP_M[FW-5-ike-proposal-10] integrity-algorithm hmac-sha2-256 HRP_M[FW-5-ike-proposal-10] quit
- 配置IKE peer。
HRP_M[FW-5] ike peer b HRP_M[FW-5-ike-peer-b] ike-proposal 10 HRP_M[FW-5-ike-peer-b] pre-shared-key Test!1234 HRP_M[FW-5-ike-peer-b] quit
- 配置IPSec策略。
HRP_M[FW-5] ipsec policy-template policy1 1 HRP_M[FW-5-ipsec-policy-templet-policy1-1] security acl 3000 HRP_M[FW-5-ipsec-policy-templet-policy1-1] proposal tran1 HRP_M[FW-5-ipsec-policy-templet-policy1-1] ike-peer b HRP_M[FW-5-ipsec-policy-templet-policy1-1] quit HRP_M[FW-5] ipsec policy map1 10 isakmp template policy1
- 在接口上应用IPSec策略组map1。
HRP_M[FW-5] interface Eth-Trunk1.2 HRP_M[FW-5-Eth-Trunk1.2] ipsec policy map1 HRP_M[FW-5-Eth-Trunk1.2] quit
- 定义被保护的数据流。配置高级ACL 3000,允许10.1.1.0/24网段访问10.9.1.0/24网段。
- 在分支FW-branch上配置IPSec策略,并在接口上应用此IPSec策略。
- 配置高级ACL 3000,允许10.9.1.0/24网段访问10.1.1.0/24网段。
<FW-branch> system-view [FW-branch] acl 3000 [FW-branch-acl-adv-3000] rule 5 permit ip source 10.9.1.0 0.0.0.255 destination 10.1.1.0 0.0.0.255 [FW-branch-acl-adv-3000] quit
- 配置IPSec安全提议。
[FW-branch] ipsec proposal tran1 [FW-branch-ipsec-proposal-tran1] esp authentication-algorithm sha2-256 [FW-branch-ipsec-proposal-tran1] esp encryption-algorithm aes-256 [FW-branch-ipsec-proposal-tran1] quit
- 配置IKE安全提议。
[FW-branch] ike proposal 10 [FW-branch-ike-proposal-10] authentication-method pre-share [FW-branch-ike-proposal-10] prf hmac-sha2-256 [FW-branch-ike-proposal-10] encryption-algorithm aes-256 [FW-branch-ike-proposal-10] dh group2 [FW-branch-ike-proposal-10] integrity-algorithm hmac-sha2-256 [FW-branch-ike-proposal-10] quit
- 配置IKE peer。
[FW-branch] ike peer a [FW-branch-ike-peer-a] ike-proposal 10 [FW-branch-ike-peer-a] remote-address 1.1.2.1 [FW-branch-ike-peer-a] pre-shared-key Test!1234 [FW-branch-ike-peer-a] quit
- 配置IPSec策略。
[FW-branch] ipsec policy map1 10 isakmp [FW-branch-ipsec-policy-isakmp-map1-10] security acl 3000 [FW-branch-ipsec-policy-isakmp-map1-10] proposal tran1 [FW-branch-ipsec-policy-isakmp-map1-10] ike-peer a [FW-branch-ipsec-policy-isakmp-map1-10] quit
- 在接口上应用IPSec策略组map1。此处假设分支机构的公网接口为GE1/0/1
[FW-branch] interface GigabitEthernet 1/0/1 [FW-branch-GigabitEthernet1/0/1] ipsec policy map1 [FW-branch-GigabitEthernet1/0/1] quit
- 配置高级ACL 3000,允许10.9.1.0/24网段访问10.1.1.0/24网段。
配置SSL VPN
操作步骤
- 配置FW和AD服务器的对接参数。
此处设置的参数必须与AD服务器上的参数保持一致。
HRP_M[FW-5] ad-server template ad_server HRP_M[FW-5-ad-ad_server] ad-server authentication 192.168.5.4 88 HRP_M[FW-5-ad-ad_server] ad-server authentication 192.168.5.5 88 secondary HRP_M[FW-5-ad-ad_server] ad-server authentication base-dn dc=cce,dc=com HRP_M[FW-5-ad-ad_server] ad-server authentication manager cn=administrator,cn=users Admin@123 Admin@123 HRP_M[FW-5-ad-ad_server] ad-server authentication host-name info-server.cce.com HRP_M[FW-5-ad-ad_server] ad-server authentication host-name info-server2.cce.com secondary HRP_M[FW-5-ad-ad_server] ad-server authentication ldap-port 389 HRP_M[FW-5-ad-ad_server] ad-server user-filter sAMAccountName HRP_M[FW-5-ad-ad_server] ad-server group-filter ou
如果对AD服务器不熟悉,无法给出服务器机器名、Base DN、过滤字段等参数,可以通过AD Explorer或LDAP Browser等软件连接到AD服务器上查看具体的属性。以AD Explorer为例,查看到的AD服务器属性以及服务器属性和FW上参数对应关系如下。
# 测试FW与AD服务器的连通性。
HRP_M[FW-5-ad-ad_server] test-aaa user_0001 Admin@123 ad-template ad_server Info: Server detection succeeded. HRP_M[FW-5-ad-ad_server] quit
测试时使用的用户名和密码需要与AD服务器上已经存在的帐号的用户名和密码保持一致。
- 配置认证域。
FW使用AD/LDAP认证时,配置的认证域名称要和认证服务器上的域名保持一致。本示例中AD服务器上的域名是cce.com,FW上认证域名称也要配置成cce.com。
HRP_M[FW-5] aaa HRP_M[FW-5-aaa] authentication-scheme ad HRP_M[FW-5-aaa-authen-ad] authentication-mode ad HRP_M[FW-5-aaa-authen-ad] quit HRP_M[FW-5-aaa] domain cce.com HRP_M[FW-5-aaa-domain-cce.com] service-type ssl-vpn HRP_M[FW-5-aaa-domain-cce.com] authentication-scheme ad HRP_M[FW-5-aaa-domain-cce.com] ad-server ad_server HRP_M[FW-5-aaa-domain-cce.com] reference user current-domain HRP_M[FW-5-aaa-domain-cce.com] quit HRP_M[FW-5-aaa] quit
- 配置服务器导入策略。
HRP_M[FW-5] user-manage import-policy ad_server from ad HRP_M[FW-5-import-ad_server] server template ad_server HRP_M[FW-5-import-ad_server] server basedn dc=cce,dc=com HRP_M[FW-5-import-ad_server] server searchdn ou=remoteusers,dc=cce,dc=com HRP_M[FW-5-import-ad_server] destination-group /cce.com HRP_M[FW-5-import-ad_server] user-attribute sAMAccountName HRP_M[FW-5-import-ad_server] import-type all HRP_M[FW-5-import-ad_server] import-override enable HRP_M[FW-5-import-ad_server] sync-mode incremental schedule interval 120 HRP_M[FW-5-import-ad_server] sync-mode full schedule daily 01:00 HRP_M[FW-5-import-ad_server] quit
- 如果只导入用户组,import-type设置为group,步骤5中的新用户选项设置为new-user add-temporary group /cce.com auto-import ad_server。用户认证通过后使用用户所在组的权限。
- 本例中的用户过滤条件和用户组过滤条件使用缺省值“(&(|(objectclass=person)(objectclass=organizationalPerson))(cn=*)(!(objectclass=computer)))”和“(|(objectclass=organizationalUnit)(ou=*))”,一般使用缺省值即可。如果需要改变请执行user-filter和group-filter命令设置。
- 执行导入策略将用户导入FW。
HRP_M[FW-5] execute user-manage import-policy ad_server Now importing user, security group and user-group information from remote server...successfully.
导入成功后,可以执行display user-manage user verbose查看导入的用户。
- 在FW上配置认证域的新用户选项。
HRP_M[FW-5] aaa HRP_M[FW-5-aaa] domain cce.com HRP_M[FW-5-aaa-domain-cce.com] new-user add-temporary group /cce.com auto-import ad_server HRP_M[FW-5-aaa-domain-cce.com] quit HRP_M[FW-5-aaa] quit
- 配置SSL VPN虚拟网关。
# 创建SSL VPN虚拟网关。
HRP_M[FW-5] v-gateway example 1.1.1.1 private www.example.com HRP_M[FW-5-example] quit
# 配置SSL VPN虚拟网关允许接入的最大用户数和允许同时接入的最大用户数。
HRP_M[FW-5] v-gateway example max-user 150 HRP_M[FW-5] v-gateway example cur-max-user 100
# 配置虚拟网关和认证域绑定。
HRP_M[FW-5] v-gateway example authentication-domain cce.com
当虚拟网关绑定了认证域时,用户登录时输入的用户名中不能带认证域。如果用户名里带了认证域,网关会将“@”以及“@”后的字符串视为用户名的一部分,而不会将其视为认证域。例如,虚拟网关绑定了认证域“cce.com”,该认证域内的用户“user_0001”在登录时输入的用户名应该是“user_0001”,而不能是“user_0001@cce.com”。
- 配置Web代理功能。
# 启用Web代理功能。
HRP_M[FW-5] v-gateway example HRP_M[FW-5-example] service HRP_M[FW-5-example-service] web-proxy enable
# 添加Web代理资源Webmail和ERP。
HRP_M[FW-5-example-service] web-proxy proxy-resource resource1 http://10.1.1.10 show-link HRP_M[FW-5-example-service] web-proxy proxy-resource resource2 http://10.1.1.11 show-link
- 配置网络扩展功能。
# 启用网络扩展功能。
HRP_M[FW-5-example-service] network-extension enable
# 配置网络扩展地址池。
HRP_M[FW-5-example-service] network-extension netpool 172.168.3.2 172.168.3.254 255.255.255.0
# 配置网络扩展的路由模式为手动模式。
HRP_M[FW-5-example-service] network-extension mode manual
# 配置网络扩展用户可访问的内网网段。
HRP_M[FW-5-example-service] network-extension manual-route 10.1.1.0 255.255.255.0 HRP_M[FW-5-example-service] quit
- 配置SSL VPN的角色授权/用户。
# 将用户组remoteusers添加到虚拟网关。
HRP_M[FW-5-example] vpndb HRP_M[FW-5-example-vpndb] group /cce.com/remoteusers HRP_M[FW-5-example-vpndb] quit
# 创建角色remoteusers。
HRP_M[FW-5-example] role HRP_M[FW-5-example-role] role remoteusers
# 将角色与相应的用户组绑定。
HRP_M[FW-5-example-role] role remoteusers group /cce.com/remoteusers
# 配置角色的功能。角色remoteusers启用Web代理和网络扩展功能。
HRP_M[FW-5-example-role] role remoteusers web-proxy network-extension enable
# 配置角色与Web代理资源关联。
HRP_M[FW-5-example-role] role remoteusers web-proxy resource resource1 HRP_M[FW-5-example-role] role remoteusers web-proxy resource resource1 HRP_M[FW-5-example-role] quit HRP_M[FW-5-example] quit
结果验证
- 出差员工和合作伙伴能够和互联网出口防火墙建立SSL VPN隧道,并能访问数据中心的资源服务器。
- 分支机构出口防火墙和互联网出口防火墙之间能建立IPSec VPN隧道,分支机构能够通过IPSec VPN访问数据中心的资源服务器。
- Internet用户能够访问到DMZ区域的前置服务器。
- 在主防火墙的业务接口上执行shutdown命令,模拟链路故障,发现主备正常倒换,业务不会中断。
配置脚本
接口、路由、双机热备配置脚本
FW-5 |
FW-6 |
|---|---|
# hrp enable hrp interface Eth-Trunk0 remote 12.12.12.2 # nat server https_server1 protocol tcp global 1.1.3.2 4433 inside 192.168.4.2 443 nat server https_server2 protocol tcp global 1.1.3.3 4433 inside 192.168.4.3 443 nat server http_server1 protocol tcp global 1.1.3.4 8000 inside 192.168.4.4 80 nat server http_server2 protocol tcp global 1.1.3.5 8000 inside 192.168.4.5 80 # interface Eth-Trunk0 ip address 12.12.12.1 255.255.255.0 # interface Eth-Trunk1 description Link_To_SW5 # interface Eth-trunk 2 description Link_To_SW1 # interface Eth-Trunk1.1 vlan-type dot1q 10 ip address 172.6.1.2 255.255.255.248 vrrp vrid 1 virtual-ip 1.1.1.1 active # interface Eth-Trunk1.2 vlan-type dot1q 20 ip address 172.6.2.2 255.255.255.248 vrrp vrid 2 virtual-ip 1.1.2.1 active # interface Eth-Trunk1.3 vlan-type dot1q 30 ip address 172.6.3.2 255.255.255.248 vrrp vrid 3 virtual-ip 1.1.3.1 active # interface Eth-Trunk1.4 vlan-type dot1q 40 ip address 172.6.4.2 255.255.255.248 vrrp vrid 4 virtual-ip 1.1.4.1 active # interface Eth-Trunk2.1 vlan-type dot1q 103 ip address 172.7.1.2 255.255.255.248 vrrp vrid 5 virtual-ip 172.7.1.1 active # interface Eth-Trunk2.2 vlan-type dot1q 104 ip address 172.7.2.2 255.255.255.248 vrrp vrid 6 virtual-ip 172.7.2.1 active # interface GigabitEthernet 1/0/1 eth-trunk 1 # interface GigabitEthernet 1/0/2 eth-trunk 1 # interface GigabitEthernet 1/0/3 eth-trunk 2 # interface GigabitEthernet 1/0/4 eth-trunk 2 # interface GigabitEthernet 1/0/5 eth-trunk 0 # interface GigabitEthernet 1/0/5 eth-trunk 0 # firewall zone trust add interface Eth-Trunk2.1 # firewall zone dmz add interface Eth-Trunk2.2 # firewall zone hrp set priority 85 add interface Eth-Trunk0 # firewall zone name zone1 set priority 45 add interface Eth-Trunk1.1 # firewall zone name zone2 set priority 40 add interface Eth-Trunk1.2 # firewall zone name zone3 set priority 10 add interface Eth-Trunk1.3 # firewall zone name zone4 set priority 30 add interface Eth-Trunk1.4 # ip route-static 10.1.0.0 255.255.0.0 172.7.1.4 ip route-static 10.2.0.0 255.255.0.0 172.7.1.4 ip route-static 10.3.0.0 255.255.0.0 172.7.1.4 ip route-static 0.0.0.0 0.0.0.0 1.1.3.2 ip route-static 10.9.1.0 255.255.255.0 1.1.2.2 ip route-static 172.168.3.0 255.255.255.0 1.1.1.2 ip route-static 172.168.4.0 255.255.255.0 1.1.4.2 ip route-static 1.1.3.2 32 NULL 0 ip route-static 1.1.3.3 32 NULL 0 ip route-static 1.1.3.4 32 NULL 0 ip route-static 1.1.3.5 32 NULL 0 |
# hrp enable hrp interface Eth-Trunk0 remote 12.12.12.1 # nat server https_server1 protocol tcp global 1.1.3.2 4433 inside 192.168.4.2 443 nat server https_server2 protocol tcp global 1.1.3.3 4433 inside 192.168.4.3 443 nat server http_server1 protocol tcp global 1.1.3.4 8000 inside 192.168.4.4 80 nat server http_server2 protocol tcp global 1.1.3.5 8000 inside 192.168.4.5 80 # interface Eth-Trunk0 ip address 12.12.12.2 255.255.255.0 # interface Eth-Trunk1 description Link_To_SW6 # interface Eth-trunk 2 description Link_To_SW2 # interface Eth-Trunk1.1 vlan-type dot1q 10 ip address 172.6.1.3 255.255.255.248 vrrp vrid 1 virtual-ip 1.1.1.1 standby # interface Eth-Trunk1.2 vlan-type dot1q 20 ip address 172.6.2.3 255.255.255.248 vrrp vrid 2 virtual-ip 1.1.2.1 standby # interface Eth-Trunk1.3 vlan-type dot1q 30 ip address 172.6.3.3 255.255.255.248 vrrp vrid 3 virtual-ip 1.1.3.1 standby # interface Eth-Trunk1.4 vlan-type dot1q 40 ip address 172.6.4.3 255.255.255.248 vrrp vrid 4 virtual-ip 1.1.4.1 standby # interface Eth-Trunk2.1 vlan-type dot1q 103 ip address 172.7.1.3 255.255.255.248 vrrp vrid 5 virtual-ip 172.7.1.1 standby # interface Eth-Trunk2.2 vlan-type dot1q 104 ip address 172.7.2.3 255.255.255.248 vrrp vrid 6 virtual-ip 172.7.2.1 standby # interface GigabitEthernet 1/0/1 eth-trunk 1 # interface GigabitEthernet 1/0/2 eth-trunk 1 # interface GigabitEthernet 1/0/3 eth-trunk 2 # interface GigabitEthernet 1/0/4 eth-trunk 2 # interface GigabitEthernet 1/0/5 eth-trunk 0 # interface GigabitEthernet 1/0/5 eth-trunk 0 # firewall zone trust add interface Eth-Trunk2.1 # firewall zone dmz add interface Eth-Trunk2.2 # firewall zone hrp set priority 85 add interface Eth-Trunk0 # firewall zone name zone1 set priority 45 add interface Eth-Trunk1.1 # firewall zone name zone2 set priority 40 add interface Eth-Trunk1.2 # firewall zone name zone3 set priority 10 add interface Eth-Trunk1.3 # firewall zone name zone4 set priority 30 add interface Eth-Trunk1.4 # ip route-static 10.1.0.0 255.255.0.0 172.7.1.4 ip route-static 10.2.0.0 255.255.0.0 172.7.1.4 ip route-static 10.3.0.0 255.255.0.0 172.7.1.4 ip route-static 0.0.0.0 0.0.0.0 1.1.3.2 ip route-static 10.9.1.0 255.255.255.0 1.1.2.2 ip route-static 172.168.3.0 255.255.255.0 1.1.1.2 ip route-static 172.168.4.0 255.255.255.0 1.1.4.2 ip route-static 1.1.3.2 32 NULL 0 ip route-static 1.1.3.3 32 NULL 0 ip route-static 1.1.3.4 32 NULL 0 ip route-static 1.1.3.5 32 NULL 0 |
NAT Server配置脚本
FW-5 |
FW-6 |
|---|---|
# nat server https_server1 protocol tcp global 1.1.3.2 4433 inside 192.168.4.2 443 nat server https_server2 protocol tcp global 1.1.3.3 4433 inside 192.168.4.3 443 nat server http_server1 protocol tcp global 1.1.3.4 8000 inside 192.168.4.4 80 nat server http_server2 protocol tcp global 1.1.3.5 8000 inside 192.168.4.5 80 |
# nat server https_server1 protocol tcp global 1.1.3.2 4433 inside 192.168.4.2 443 nat server https_server2 protocol tcp global 1.1.3.3 4433 inside 192.168.4.3 443 nat server http_server1 protocol tcp global 1.1.3.4 8000 inside 192.168.4.4 80 nat server http_server2 protocol tcp global 1.1.3.5 8000 inside 192.168.4.5 80 |
安全策略和攻击防范配置脚本
FW-5 |
FW-6 |
|---|---|
# firewall defend land enable firewall defend smurf enable firewall defend fraggle enable firewall defend ip-fragment enable firewall defend tcp-flag enable firewall defend winnuke enable firewall defend source-route enable firewall defend teardrop enable firewall defend route-record enable firewall defend time-stamp enable firewall defend ping-of-death enable # ip address-set remote_users type object description "for remote users" address 0 172.168.3.0 mask 24 # ip address-set partner type object description "for partner" address 0 172.168.4.0 mask 24 # ip address-set branch2 type object description "for branch2" address 0 10.9.1.0 mask 24 # ip address-set server1 type object description "for server1" address 0 10.1.1.10 mask 32 address 1 10.1.1.11 mask 32 # ip address-set server2 type object description "for server2" address 0 10.2.1.4 mask 32 address 1 10.2.1.5 mask 32 # ip address-set server4 type object description "for server4" address 0 10.1.1.4 mask 32 address 1 10.1.1.5 mask 32 # ip address-set server5 type object description "for server5" address 0 192.168.4.2 mask 32 address 1 192.168.4.3 mask 32 address 2 192.168.4.4 mask 32 address 3 192.168.4.5 mask 32 # ip address-set ad_server type object description "for ad_server" address 0 192.168.5.4 mask 32 address 1 192.168.5.5 mask 32 # ip service-set tcp_1414 type object service 0 protocol tcp destination-port 1414 # firewall session aging-time service-set tcp_1414 40000 # security-policy rule name remote_users_to_server1 source-zone zone1 destination-zone trust source-address address-set remote_users destination-address address-set server1 service http service ftp profile ips default action permit rule name partner_to_server2 source-zone zone4 destination-zone trust source-address address-set partner destination-address address-set server2 service tcp_1414 profile ips default action permit rule name branch2_to_server4 source-zone zone2 destination-zone trust source-address address-set branch2 destination-address address-set server4 service ftp profile ips default long-link enable long-link aging-time 480 action permit rule name internet_to_server5 source-zone zone3 destination-zone dmz destination-address address-set server5 service http service https profile ips default action permit rule name ipsec source-zone zone2 source-zone local destination-zone zone2 destination-zone local source-address 1.1.2.1 32 source-address 2.2.2.2 32 destination-address 1.1.2.1 32 destination-address 2.2.2.2 32 action permit rule name ssl_vpn source-zone zone1 source-zone zone4 destination-zone local destination-address 1.1.1.1 32 destination-address 1.1.4.1 32 action permit rule name to_ad_server source-zone local destination-zone dmz destination-address address-set ad_server action permit |
# firewall defend land enable firewall defend smurf enable firewall defend fraggle enable firewall defend ip-fragment enable firewall defend tcp-flag enable firewall defend winnuke enable firewall defend source-route enable firewall defend teardrop enable firewall defend route-record enable firewall defend time-stamp enable firewall defend ping-of-death enable # ip address-set remote_users type object description "for remote users" address 0 172.168.3.0 mask 24 # ip address-set partner type object description "for partner" address 0 172.168.4.0 mask 24 # ip address-set branch2 type object description "for branch2" address 0 10.9.1.0 mask 24 # ip address-set server1 type object description "for server1" address 0 10.1.1.10 mask 32 address 1 10.1.1.11 mask 32 # ip address-set server2 type object description "for server2" address 0 10.2.1.4 mask 32 address 1 10.2.1.5 mask 32 # ip address-set server4 type object description "for server4" address 0 10.1.1.4 mask 32 address 1 10.1.1.5 mask 32 # ip address-set server5 type object description "for server5" address 0 192.168.4.2 mask 32 address 1 192.168.4.3 mask 32 address 2 192.168.4.4 mask 32 address 3 192.168.4.5 mask 32 # ip address-set ad_server type object description "for ad_server" address 0 192.168.5.4 mask 32 address 1 192.168.5.5 mask 32 # ip service-set tcp_1414 type object service 0 protocol tcp destination-port 1414 # firewall session aging-time service-set tcp_1414 40000 # security-policy rule name remote_users_to_server1 source-zone zone1 destination-zone trust source-address address-set remote_users destination-address address-set server1 service http service ftp profile ips default action permit rule name partner_to_server2 source-zone zone4 destination-zone trust source-address address-set partner destination-address address-set server2 service tcp_1414 profile ips default action permit rule name branch2_to_server4 source-zone zone2 destination-zone trust source-address address-set branch2 destination-address address-set server4 service ftp profile ips default long-link enable long-link aging-time 480 action permit rule name internet_to_server5 source-zone zone3 destination-zone dmz destination-address address-set server5 service http service https profile ips default action permit rule name ipsec source-zone zone2 source-zone local destination-zone zone2 destination-zone local source-address 1.1.2.1 32 source-address 2.2.2.2 32 destination-address 1.1.2.1 32 destination-address 2.2.2.2 32 action permit rule name ssl_vpn source-zone zone1 source-zone zone4 destination-zone local destination-address 1.1.1.1 32 destination-address 1.1.4.1 32 action permit rule name to_ad_server source-zone local destination-zone dmz destination-address address-set ad_server action permit |
IPSec VPN配置脚本
FW-5 |
FW-6 |
|---|---|
# acl number 3000 rule 5 permit ip source 10.1.1.0 0.0.0.255 destination 10.9.1.0 0.0.0.255 # ipsec proposal tran1 esp authentication-algorithm sha2-256 esp encryption-algorithm aes-256 # ike proposal 10 encryption-algorithm aes-256 dh group2 authentication-algorithm sha2-256 authentication-method pre-share integrity-algorithm hmac-sha2-256 prf hmac-sha2-256 # ike peer b pre-shared-key %@%@'OMi3SPl%@TJdx5uDE(44*I^%@%@ ike-proposal 10 remote-address 1.1.5.1 # ipsec policy-template policy1 1 security acl 3000 ike-peer b proposal tran1 # ipsec policy map1 10 isakmp template policy1 # interface Eth-Trunk1.2 ip address 1.1.3.1 255.255.255.0 ipsec policy map1 |
# acl number 3000 rule 5 permit ip source 10.1.1.0 0.0.0.255 destination 10.9.1.0 0.0.0.255 # ipsec proposal tran1 esp authentication-algorithm sha2-256 esp encryption-algorithm aes-256 # ike proposal 10 encryption-algorithm aes-256 dh group2 authentication-algorithm sha2-256 authentication-method pre-share integrity-algorithm hmac-sha2-256 prf hmac-sha2-256 # ike peer b pre-shared-key %@%@'OMi3SPl%@TJdx5uDE(44*I^%@%@ ike-proposal 10 remote-address 1.1.5.1 # ipsec policy-template policy1 1 security acl 3000 ike-peer b proposal tran1 # ipsec policy map1 10 isakmp template policy1 # interface Eth-Trunk1.2 ip address 1.1.3.1 255.255.255.0 ipsec policy map1 |
SSL VPN配置脚本
FW-5 |
FW-6 |
|---|---|
# ad-server template ad_server ad-server authentication 192.168.5.4 88 ad-server authentication 192.168.5.5 88 secondary ad-server authentication base-dn dc=cce,dc=com ad-server authentication manager cn=administrator,cn=users %$%$M#._~J4QrR[kJu7PUMtHUqh_%$%$ ad-server authentication host-name info-server2.cce.com secondary ad-server authentication host-name info-server.cce.com ad-server authentication ldap-port 389 ad-server user-filter sAMAccountName ad-server group-filter ou # user-manage import-policy ad_server from ad server template ad_server server basedn dc=cce,dc=com server searchdn ou=remoteusers,dc=cce,dc=com destination-group /cce.com user-attribute sAMAccountName user-filter (&(|(objectclass=person)(objectclass=organizationalPerson))(cn=*)(!(objectclass=computer))) group-filter (|(objectclass=organizationalUnit)(ou=*)) import-type all import-override enable sync-mode incremental schedule interval 120 sync-mode full schedule daily 01:00 # aaa authentication-scheme ad authentication-mode ad # domain cce.com authentication-scheme ad ad-server ad_server service-type ssl-vpn reference user current-domain new-user add-temporary group /cce.com auto-import ad_server # v-gateway example 1.1.1.1 private www.example.com v-gateway example authentication-domain cce.com v-gateway example max-user 150 v-gateway example cur-max-user 100 # v-gateway example service web-proxy enable web-proxy web-link enable web-proxy proxy-resource resource1 http://10.1.1.10 show-link web-proxy proxy-resource resource2 http://10.1.1.11 show-link network-extension enable network-extension keep-alive enable network-extension netpool 172.168.3.2 172.168.3.254 255.255.255.0 network-extension mode manual network-extension manual-route 10.1.1.0 255.255.255.0 role role remoteusers condition all role remoteusers network-extension enable role remoteusers web-proxy enable role remoteusers web-proxy resource resource1 role remoteusers web-proxy resource resource2 # 以下配置为一次性操作,不保存在配置文件中 execute user-manage import-policy ad_server # 以下配置保存于数据库,不在配置文件体现 v-gateway example vpndb group /cce.com/remoteusers role role director group /cce.com/remoteusers |
# ad-server template ad_server ad-server authentication 192.168.5.4 88 ad-server authentication 192.168.5.5 88 secondary ad-server authentication base-dn dc=cce,dc=com ad-server authentication manager cn=administrator,cn=users %$%$M#._~J4QrR[kJu7PUMtHUqh_%$%$ ad-server authentication host-name info-server2.cce.com secondary ad-server authentication host-name info-server.cce.com ad-server authentication ldap-port 389 ad-server user-filter sAMAccountName ad-server group-filter ou # user-manage import-policy ad_server from ad server template ad_server server basedn dc=cce,dc=com server searchdn ou=remoteusers,dc=cce,dc=com destination-group /cce.com user-attribute sAMAccountName user-filter (&(|(objectclass=person)(objectclass=organizationalPerson))(cn=*)(!(objectclass=computer))) group-filter (|(objectclass=organizationalUnit)(ou=*)) import-type all import-override enable sync-mode incremental schedule interval 120 sync-mode full schedule daily 01:00 # aaa authentication-scheme ad authentication-mode ad # domain cce.com authentication-scheme ad ad-server ad_server service-type ssl-vpn reference user current-domain new-user add-temporary group /cce.com auto-import ad_server # v-gateway example 1.1.1.1 private www.example.com v-gateway example authentication-domain cce.com v-gateway example max-user 150 v-gateway example cur-max-user 100 # v-gateway example service web-proxy enable web-proxy web-link enable web-proxy proxy-resource resource1 http://10.1.1.10 show-link web-proxy proxy-resource resource2 http://10.1.1.11 show-link network-extension enable network-extension keep-alive enable network-extension netpool 172.168.3.2 172.168.3.254 255.255.255.0 network-extension mode manual network-extension manual-route 10.1.1.0 255.255.255.0 role role remoteusers condition all role remoteusers network-extension enable role remoteusers web-proxy enable role remoteusers web-proxy resource resource1 role remoteusers web-proxy resource resource2 # 以下配置为一次性操作,不保存在配置文件中 execute user-manage import-policy ad_server # 以下配置保存于数据库,不在配置文件体现 v-gateway example vpndb group /cce.com/remoteusers role role director group /cce.com/remoteusers |
