所选语种没有对应资源,请选择:

本站点使用Cookies,继续浏览表示您同意我们使用Cookies。Cookies和隐私政策>

提示

尊敬的用户,您的IE浏览器版本过低,为获取更好的浏览体验,请升级您的IE浏览器。

升级

防火墙在企业园区出口安全方案中的应用

评分并提供意见反馈 :
华为采用机器翻译与人工审校相结合的方式将此文档翻译成不同语言,希望能帮助您更容易理解此文档的内容。 请注意:即使是最好的机器翻译,其准确度也不及专业翻译人员的水平。 华为对于翻译的准确性不承担任何责任,并建议您参考英文文档(已提供链接)。
防火墙在企业园区出口安全方案中的应用

防火墙在企业园区出口安全方案中的应用

简介

本案例介绍了如何将设备作为大中型企业的出口网关,来对企业的网络安全进行防护。案例描述了设备最常用的场景和特性,可以供管理员在规划和组建企业网络时参考。

基于USG6000&USG9500 V500R005C00版本写作,可供USG6000&USG9500 V500R005C00、USG6000E V600R006C00及后续版本参考。不同版本之间可能存在差异,请以实际版本为准。

方案简介

企业园区网简介

企业园区网是指企业或者机构的内部网络,路由结构完全由一个机构来管理,与广域互联、数据中心相关,合作伙伴或者出差员工、访客等通过VPN、WAN或者Internet访问企业内部。

企业园区网通常是一种用户高密度的非运营网络,在有限的空间内聚集了大量的终端和用户。同时对于企业园区网而言,注重的是网络的简单可靠、易部署、易维护。因此在企业园区网中,拓扑结构通常以星型结构为主,较少使用环网结构(环网结构较多的运用在运营商的城域网络和骨干网络中,可以节约光纤资源)。

企业网络架构如图1-1所示,数据从内网用户到达Internet,需要经过三层汇聚交换机、三层核心交换机以及网关设备接入Internet。

企业内部员工按照负责业务类型不同,被划分在多个不同部门。在保证企业内网用户能正常访问Internet并不被外网恶意流量攻击的基础上,还要对不同部门员工的上网权限和流量进行限制。同时,还要保证分支机构员工和出差员工能有正常访问总部网络以便业务交流和资源共享。

图1-1 企业网络组网图

  • 接入层

    负责将各种终端接入到园区网络,通常由以太网交换机组成。对于某些终端,可能还要增加特定的接入设备,例如无线接入的AP设备、POTS话机接入的IAD等。

  • 汇聚层

    汇聚层将众多的接入设备和大量用户经过一次汇聚后再接入到核心层,扩展核心层接入用户的数量。

  • 核心层

    核心层负责整个企业园区网的高速互联,一般不部署具体的业务。核心网络需要实现带宽的高利用率和故障的快速收敛。

  • 企业园区出口

    企业园区出口是企业园区网络到外部公网的边界,企业园区网的内部用户通过边缘网络接入到公网,外部用户(包括客户、合作伙伴、分支机构、远程用户等)也通过边缘网络接入到内部网络。

  • 数据中心

    部署服务器和应用系统的区域。为企业内部和外部用户提供数据和应用服务。

  • 网管中心

    对网络、服务器、应用系统进行管理的区域。包括故障管理,配置管理,性能管理,安全管理等。

FW在企业园区出口的应用

FW通常作为企业园区网出口的网关,常用特性如下:

  • 双机热备

    为提升网络可靠性,可在企业网络出口部署两台FW构成双机热备的组网。当一台FW所在链路出现问题,企业网络流量可被切换至备用FW,保证企业内外部的正常通信。

  • NAT

    由于IPv4公网地址资源有限,企业内网用户在企业内网分配的一般是私网地址,很少会直接分配公网地址,当企业内网用户访问Internet时需要进行地址转换。FW部署在企业内网的Internet出口可提供NAT功能。

  • 安全防护

    FW可提供攻击防范功能,保护企业网络免受外网恶意流量攻击。

  • 内容安全

    FW可提供入侵防御、反病毒以及URL过滤等安全功能,为企业网络内部提供绿色的网络环境。

  • 带宽管理

    FW可提供带宽管理功能,按照应用或用户等识别流量并针对不同流量进行控制。

方案设计

典型组网

接入Internet时,企业的网络环境在访问控制、安全防护、出口带宽管理等方面面临诸多问题。在企业的出口部署FW,可以帮助企业解决这些问题,保证业务正常运行。

图1-2所示,某企业分别向两个ISP租用了两条10G链路,为企业网用户提供宽带上网服务。该企业还在服务器区部署了服务器,为内外网用户提供访问。

企业网的Internet出口处部署了两台FW作为出口网关链接企业园区内外部网络并为保护企业内部网络的安全。两台防火墙的上行接口通过出口汇聚交换机与两个ISP相连,下行接口通过三层核心交换机与企业内网和服务器区的交换机相连。

图1-2 企业出口安全防护组网图

企业内部员工众多,业务复杂,流量构成多种多样,企业将内部网络接入Internet时需要实现的目标及面临的问题包括:

  1. 企业出口网关设备必须具备较高的可靠性,为了避免单点故障,要求两台设备形成双机热备状态。当一台设备发生故障时,另一台设备会接替其工作,不会影响业务正常运行。
  2. 企业从两个ISP租用了两条链路,要求出口网关设备可以识别流量的应用类型,将不同应用类型的流量送往合适的链路,提高链路利用率,避免网络拥塞。
  3. 企业内部用户分为研发部员工、市场部员工、生产部员工以及管理者,根据企业内部各个部门的实际业务需求,在出口网关设备上基于用户/部门和应用来制定访问控制策略。
  4. 为了实现企业内网大量用户通过公网地址访问Internet的目的,要求出口网关设备能够将私网地址转换为公网地址。
  5. 在网关设备上存储用户和部门的信息,体现公司的组织结构,供策略引用。在服务器区部署AD服务器,为实现基于用户的网络行为控制和网络权限分配提供基础。
  6. 对公司外的用户提供Web服务器和FTP服务器的访问。
  7. 企业内部网络面临来自Internet的非法访问、以及各种攻击和入侵行为,要求出口网关设备可以防范各种病毒、蠕虫、木马和僵尸网络攻击,保护公司网络的安全。此外,对公司员工访问的网站进行过滤,禁止所有成人网站和非法网站的访问。
  8. 要求出口网关设备防范针对企业内部网络的SYN Flood、UDP Flood攻击和畸形报文攻击。
  9. 要求出口网关设备可以基于应用的流量控制,对大量占用网络带宽的流量(如P2P流量)进行限制,保证关键业务的正常运行。此外,还可以基于不同用户/部门实施差异化的带宽管理。
  10. 要求出差和家庭办公的研发员工能够安全地使用公司的ERP系统和邮件系统,高级管理者和市场员工能够像在公司内网一样正常办公。

业务规划

接口与安全区域规划

如下图所示,每台防火墙有5个接口,由于每个接口连接不同的安全区域,需要将这5个接口加入到不同安全区域。

图1-3 FW各个接口所属安全区域
  • 连接ISP1链路的接口GE1/0/1加入区域ISP1。ISP1区域需要新建,优先级设定为15。
  • 连接ISP2链路的接口GE1/0/2加入ISP2区域。ISP2区域需要新建,优先级设定为20。
  • 连接核心路由器的接口GE1/0/3和GE2/0/1组成Eth-Trunk1,加入Heart区域。Heart区域需要新建优先级设定为75。
  • 连接服务器区的接口GE1/0/4加入Trust区域。Trust区域是防火墙缺省存在的安全区域,优先级为85。
  • GE1/0/5作为镜像接口(二层接口),作为接收镜像AD认证报文的接口。

双机热备规划

由于每个ISP只提供一条链路,而一条链路无法与两台防火墙直接相连,因此需要在防火墙与ISP之间部署出口汇聚交换机。出口汇聚交换机可以将ISP的一条链路变为两条链路,然后分别将两条链路与两台防火墙的上行接口相连。防火墙与下行核心交换机之间运行OSPF,并与两台核心交换机的上行接口相连。

为了节省公网IP,防火墙的上行接口可以使用私网IP,但VRRP备份组的地址则一定要使用ISP分配的公网地址,以便能够与ISP进行通信。

表1-1 数据规划

项目

数据

说明

FW_A

接口GE1/0/1

  • 安全区域:ISP1
  • IP地址:1.1.1.2/24

FW_A上行连接二层交换机的接口,与ISP1相连,加入到ISP1安全区域。

接口GE1/0/2

  • 安全区域:ISP2
  • IP地址:2.2.2.2/24

FW_A上行连接二层交换机的接口,与ISP2相连,加入到ISP2安全区域。

接口Eth-Trunk1

  • 安全区域:Heart
  • IP地址:10.10.0.1/24

与FW_B相连的心跳线接口,加入到Heart安全区域。

接口GE1/0/4

  • 安全区域:Trust
  • IP地址:10.1.1.1/16

FW_A下行连接三层交换机的接口,加入到Trust安全区域。

VRRP备份组1

  • 接口:GE1/0/1
  • ID:1
  • 虚拟IP:1.1.1.1
  • 状态:master

FW_A上的VRRP备份组1。

VRRP备份组2

  • 接口:GE1/0/2
  • ID:2
  • 虚拟IP:2.2.2.1
  • 状态:master

FW_A上的VRRP备份组2。

OSPF

  • 进程号:100
  • 网段:1.1.1.0 0.0.0.255
  • 网段:10.1.0.0 0.0.0.255

FW_A上的OSPF。

FW_B

接口GE1/0/1

  • 安全区域:ISP1
  • IP地址:1.1.1.3/24

FW_B上行连接二层交换机的接口,与ISP1相连,加入到ISP1安全区域。

接口GE1/0/2

  • 安全区域:ISP2
  • IP地址:2.2.2.3/24

FW_B上行连接二层交换机的接口,与ISP2相连,加入到ISP2安全区域。

接口Eth-Trunk1

  • 安全区域:Heart
  • IP地址:10.10.0.2/24

与FW_A相连的心跳线接口,加入到Heart安全区域。

接口GE1/0/4

  • 安全区域:Trust
  • IP地址:10.2.1.1/16

FW_B下行连接三层交换机的接口,加入到Trust安全区域。

VRRP备份组1

  • 接口:GE1/0/1
  • ID:1
  • 虚拟IP:1.1.1.1
  • 状态:slave

FW_B上的VRRP备份组1。

VRRP备份组2

  • 接口:GE1/0/2
  • ID:2
  • 虚拟IP:2.2.2.1
  • 状态:slave

FW_B上的VRRP备份组2。

OSPF

  • 进程号:100
  • 网段:2.2.2.0 0.0.0.255
  • 网段:10.2.0.0 0.0.0.255

FW_B上的OSPF。

多出口选路规划

当FW作为网络出口网关有多个出接口时,网络管理员必然面临的就是多出口选路的规划问题。多出口选路的匹配顺序从高到低依次是策略路由、明细路由和缺省路由。企业接入Internet的两条链路情况是,ISP1上网速度快、网络速度稳定但费用较高;ISP2上网费用低廉,但是网速相对慢一些。企业希望使不同应用的流量通过不同的链路转发,并使用传输质量最好的链路传输上网流量。因此,本举例选择的是基于应用的策略路由及链路质量负载均衡方式的全局选路策略,下面针对该举例进行多出口选路的规划:

  • 基于应用的策略路由

    P2P流量和Web视频流量会占据网络较大的带宽,因此需要将这两类流量引导到特定的链路转发,这是通过基于应用的策略路由来实现的。

    创建策略路由规则“pbr_1”和“pbr_2”,使内部网络与业务相关的流量都由接口GE1/0/1发出,通过ISP1到达Internet;内部网络与视频及语音通话等娱乐类相关的流量都由接口GE1/0/2发出,通过ISP2到达Internet。

  • 智能选路(链路质量负载均衡方式)

    由于企业希望使用传输质量最好的链路传输上网流量,所以智能选路的方式设置为根据链路质量负载分担,并指定FW和ISP1、ISP2网络直连的出接口作为智能选路成员接口。

用户认证规划

研发部员工和市场部员工使用域账号和密码登录AD域后,无需再进行认证就可以访问网络资源。新入职员工的用户信息可能已经在AD服务器上创建,但没有在FW上存储,要求通过认证后自动按照用户在AD服务器上的组织结构将用户导入FW。

  1. 在FW上配置AD服务器,保证FW与AD服务器之间正常通信。
  2. 在FW上配置认证域,认证域名称与AD服务器上的域名一致。
  3. 在FW上配置服务器导入策略,将AD服务器上的用户信息导入到FW。
  4. 配置认证域的新用户选项,当认证通过的用户在FW不存在时,作为临时用户上线。
  5. 在FW上配置单点登录参数,保证FW监控到AD服务器发给员工PC的认证结果报文。

    本例中认证报文未经过FW,因此需要将AD服务器发给员工PC的认证结果报文镜像过来。

  6. 为避免在工作时间段内(此处假定工作时间为8小时)因在线用户超时时间频繁到期而导致频繁重新登录域进行认证的现象,需要配置在线用户超时时间为480分钟。
  7. 在交换机上配置端口镜像功能,将认证报文镜像给FW。
表1-2 数据规划

项目

数据

说明

AD服务器

  • 名称:auth_server_ad
  • 认证主服务器IP:10.3.0.251
  • 端口:88
  • 认证主服务器机器名:ad.cce.com
  • Base DN/Port DN:dc=cce,dc=com
  • LDAP端口:389
  • 管理员DN:cn=administrator,cn=users
  • 管理员密码:Admin@123

在FW上配置AD服务器,即FW与AD服务器通信时使用的一系列参数。

此处设置的参数必须与AD服务器的参数保持一致。

服务器导入策略

  • 名称:policy_import
  • 服务器类型:AD
  • 服务器名称:auth_server_ad
  • 导入类型:导入用户和用户组到本地
  • 导入到用户组:/cce.com
  • 服务器自动同步:120分钟
  • 当前用户存在时,覆盖本地用户记录

将AD服务器上的用户信息导入到FW中。

AD单点登录

  • AD单点登录:启用
  • 工作模式:免插件
  • 接收镜像认证报文的接口:GigabitEthernet 1/0/4
  • 解析的流量:10.3.0.251:88(服务器IP地址:认证端口)

在FW上配置单点登录参数,接收AD服务器发送的用户登录信息。

安全策略规划

通过针对不同的用户组配置如下安全策略,可以实现对不同部门的员工访问Internet的权限进行控制:

  • 高层管理者可以自由访问Internet。
  • 市场部员工能够访问Internet,但不能在Internet上玩游戏(Game)和观看网络视频。
  • 研发部员工能够访问Internet,但不能通过Internet进行各种娱乐类型活动(Entertainment),包括:游戏、IM、网络视频、语音、访问社交网站等。

同时,可以在安全策略上引用反病毒、入侵防御以及URL过滤的配置文件,防范各种病毒、蠕虫、木马和僵尸网络攻击以及对访问的网站进行过滤。

一般情况下,使用缺省的反病毒和入侵防御配置文件default,即可满足防范各种病毒、蠕虫、木马和僵尸网络攻击的需求。新建“URL过滤级别”为“中”的URL过滤配置文件,可以限制所有成人网站和非法网站的访问。

表1-3 数据规划

项目

数据

说明

高层管理者的安全策略

  • 名称:policy_sec_management
  • 源安全区域:trust
  • 目的安全区域:ISP1、ISP2
  • 用户:management
  • 动作:允许
  • 反病毒:default
  • 入侵防御:default
  • URL过滤:profile_url

安全策略policy_sec_management的作用是允许高层管理者自由访问Internet。

市场部员工的安全策略1

  • 名称:policy_sec_marketing_1
  • 源安全区域:trust
  • 目的安全区域:ISP1、ISP2
  • 用户:marketing
  • 应用:Game,Media_Sharing
  • 动作:禁止

安全策略policy_sec_marketing_1的作用是禁止市场部员工通过Internet玩游戏。

Game代表游戏类应用。Media_Sharing代表媒体共享。

市场部员工的安全策略2

  • 名称:policy_sec_marketing_2
  • 源安全区域:trust
  • 目的安全区域:ISP1、ISP2
  • 用户:marketing
  • 动作:允许
  • 反病毒:default
  • 入侵防御:default
  • URL过滤:profile_url

安全策略policy_sec_marketing_2的作用是允许市场部员工访问Internet。

研发部员工的安全策略1

  • 名称:policy_sec_research_1
  • 源安全区域:trust
  • 目的安全区域:ISP1、ISP2
  • 用户:research
  • 应用:Entertainment
  • 动作:禁止

安全策略policy_sec_research_1的作用是禁止研发部员工通过Internet进行各种娱乐类型活动。

Entertainment代表娱乐类应用。

研发部员工的安全策略2

  • 名称:policy_sec_research_2
  • 源安全区域:trust
  • 目的安全区域:ISP1、ISP2
  • 用户:research
  • 动作:允许
  • 反病毒:default
  • 入侵防御:default
  • URL过滤:profile_url

安全策略policy_sec_research_2的作用是允许研发部员工访问Internet。

IPSec的安全策略1

  • 名称:policy_sec_ipsec_1
  • 源安全区域:local,ISP1,ISP2
  • 目的安全区域:local,ISP1,ISP2
  • 源地址/地区:1.1.1.2/32,3.3.3.1/32
  • 目的地址/地区:1.1.1.2/32,3.3.3.1/32
  • 动作:允许

安全策略policy_sec_ipsec_1的作用是允许总部与分支机构的NGFW之间建立IPSec隧道。

IPSec的安全策略2

  • 名称:policy_sec_ipsec_2
  • 源安全区域:trust
  • 目的安全区域:ISP1,ISP2
  • 源地址/地区:10.1.0.0/16
  • 目的地址/地区:192.168.1.0/24
  • 动作:允许
  • 反病毒:default
  • 入侵防御:default

安全策略policy_sec_ipsec_2的作用是允许总部的员工通过IPSec隧道访问分支机构的员工。

其中“源地址/地区”是总部员工所在网段,“目的地址/地区”是分支机构员工所在网段。

IPSec的安全策略3

  • 名称:policy_sec_ipsec_3
  • 源安全区域:ISP1,ISP2
  • 目的安全区域:trust
  • 源地址/地区:192.168.1.0/24
  • 动作:允许
  • 反病毒:default
  • 入侵防御:default

安全策略policy_sec_ipsec_3的作用是允许分支机构的员工通过IPSec隧道访问总部员工。

其中“源地址/地区”是分支机构员工所在网段。

L2TP over IPSec的安全策略1

  • 名称:policy_sec_l2tp_ipsec_1
  • 源安全区域:trust
  • 目的安全区域:ISP1,ISP2
  • 源地址/地区:10.1.1.1/16
  • 目的地址/地区:10.1.1.2~10.1.1.100
  • 动作:允许

安全策略policy_sec_l2tp_ipsec_1的作用是允许总部员工访问出差员工。

目的地址为成L2TP地址池的地址段。

L2TP over IPSec的安全策略2

  • 名称:policy_sec_l2tp_ipsec_2
  • 源安全区域:untrust
  • 目的安全区域:trust
  • 源地址/地区:10.1.1.2~10.1.1.100
  • 目的地址/地区:10.1.1.1/16
  • 动作:允许
  • 反病毒:default
  • 入侵防御:default

安全策略policy_sec_l2tp_ipsec_2的作用是允许出差员工接入公司内部网络。

外网用户访问服务器的安全策略

  • 名称:policy_sec_server
  • 源安全区域:ISP1,ISP2
  • 目的安全区域:trust
  • 目的地址/地区:10.2.0.10/32, 10.2.0.11/32
  • 动作:允许
  • 反病毒:default
  • 入侵防御:default

安全策略policy_sec_server的作用是允许外网用户访问公司的内网服务器。

其中“目的地址/地区”为服务器映射后的私网IP地址。

NAT规划

企业有500个员工,但公网IP地址数目有限,为了保证企业内网大量用户能共享有限的公网地址访问Internet,需要在FW上部署源NAT功能,将公司员工访问Internet的报文的源地址由私网地址转换为公网地址。

配置源NAT,将公司员工访问Internet的报文的源地址由私网地址转换为公网地址。

此外,公司需要为公司外的公网用户提供Web服务器和FTP服务器,由于服务器部署在公司内部,因此需要配置服务器映射功能,将服务器的私网IP地址映射为公网地址。

表1-4 数据规划

项目

数据

说明

去往分支机构的流量的NAT策略

  • 名称:policy_nat_ipsec_01
  • 源安全区域:trust
  • 目的安全区域:ISP1
  • 目的地址:192.168.1.0/24
  • 动作:不做NAT转换

去往分支机构(目的IP地址为192.168.1.0/24)的流量不做NAT转换,直接进入IPSec隧道。

  • 名称:policy_nat_ipsec_02
  • 源安全区域:trust
  • 目的安全区域:ISP2
  • 目的地址:192.168.1.0/24
  • 动作:不做NAT转换

去往Internet的流量的NAT策略

NAT策略

  • 名称:policy_nat_internet_01
  • 源安全区域:trust
  • 目的安全区域:ISP1
  • 源地址:地址池中的地址
  • 地址池:1

去往Internet的流量做NAT转换,源地址由私网IP地址转换为地址池中的公网IP地址。

选择1.1.1.1–1.1.1.4这四个从运营商申请的IP地址作为NAT地址池中的地址。

NAT策略

  • 名称:policy_nat_internet_02
  • 源安全区域:trust
  • 目的安全区域:ISP2
  • 源地址:地址池中的地址
  • 地址池:1

NAT地址池

  • 名称:nataddr
  • IP地址范围:1.1.1.1–1.1.1.4

Web服务器的映射

  • 名称:policy_nat_web_01
  • 安全域:ISP1
  • 公网地址:1.1.1.5
  • 私网地址:10.2.0.10
  • 公网端口:8080
  • 私网端口:80
  • 名称:policy_nat_web_02
  • 安全域:ISP2
  • 公网地址:2.2.2.5
  • 私网地址:10.2.0.10
  • 公网端口:8080
  • 私网端口:80

通过该映射,使用外网用户能够访问1.1.1.5和2.2.2.5,且端口号为8080的流量能够送给内网的Web服务器。

Web服务器的私网地址为10.2.0.10,私网端口号为80。

FTP服务器的映射

  • 名称:policy_nat_ftp_01
  • 安全域:ISP1
  • 公网地址:1.1.1.6
  • 私网地址:10.2.0.11
  • 公网端口:21
  • 私网端口:21
  • 名称:policy_nat_ftp_02
  • 安全域:ISP2
  • 公网地址:2.2.2.6
  • 私网地址:10.2.0.11
  • 公网端口:21
  • 私网端口:21

通过该映射,使用外网用户能够访问1.1.1.6和2.2.2.6,且端口号为21的流量能够送给内网的FTP服务器。

FTP服务器的私网地址为10.2.0.811,私网端口号为21。

带宽管理规划

公司网络的总带宽为20G,为了保证工作业务的带宽,需要配置限制P2P流量的带宽策略。此外,针对不同的企业内网用户,也需要制定不同的带宽通道和带宽策略。

  1. 限制企业内网用户与Internet之间的P2P类型的业务上行流量带宽最大不能超过2G,下行流量带宽最大不超过6G,避免占用大量带宽资源。
  2. 为了让Email、ERP等应用在正常工作时间内不受到影响,此类流量可获得的最小带宽不少于4G。
  3. 企业高级管理者访问Internet时,上下行流量带宽不低于200M,其中每IP用户的下行流量带宽不超过20M。
表1-5 数据规划

项目

数据

说明

限制P2P流量的带宽策略

带宽策略

  • 名称:policy_bandwidth_p2p
  • 源安全区域:trust
  • 目的安全区域:ISP1,ISP2
  • 应用:P2P网络视频,P2P文件共享
  • 动作:限流
  • 带宽通道:profile_p2p

“应用”选择“P2P网络视频”和“P2P文件共享”,分别代表P2P媒体和P2P下载。

带宽通道

  • 名称:profile_p2p
  • 限流方式:分别设置上下行带宽
  • 上行流量最大带宽:2000Mbps
  • 下行流量最大带宽:6000Mbps
  • 整体最大连接数:10000

保证主要业务流量的带宽策略

带宽策略

  • 名称:policy_bandwidth_email
  • 源安全区域:trust
  • 目的安全区域:ISP1,ISP2
  • 应用:Outlook Web Access, Lotus Notes
  • 时间段:work_time
  • 动作:限流
  • 带宽通道:profile_email

“应用”选择“Outlook Web Access”和“ Lotus Notes”,代表Email应用。

带宽通道

  • 名称:profile_email
  • 限流方式:分别设置上下行带宽
  • 上行流量保证带宽:4000Mbps
  • 下行流量保证带宽:4000Mbps

针对高级管理者进行带宽管理

带宽策略

  • 名称:policy_bandwidth_management
  • 源安全区域:ISP1,ISP2
  • 目的安全区域:trust
  • 用户:/management
  • 动作:限流
  • 带宽通道:profile_management

-

带宽通道

  • 名称:profile_management
  • 限流方式:分别设置上下行带宽
  • 上行流量保证带宽:200Mbps
  • 下行流量保证带宽:200Mbps
  • 每IP上行流量最大带宽:2Mbps
  • 每IP下行流量最大带宽:2Mbps

攻击防范

在FW上开启攻击防范功能进行安全防护。推荐配置如下:

firewall defend land enable
firewall defend smurf enable
firewall defend fraggle enable
firewall defend winnuke enable
firewall defend source-route enable
firewall defend route-record enable
firewall defend time-stamp enable
firewall defend ping-of-death enable

IPSec规划

为了保证分支机构员工能够安全地与总部员工通信,并且能够访问总部的服务器,需要配置IPSec VPN功能。如果分支机构不多,建议配置IKE方式的点到点的IPSec VPN。如果分支机构较多,可以配置点到多点的IPSec VPN。

表1-6 数据规划

项目

数据

说明

总部FW_A的IPSec策略

IPSec策略

  • 场景:点到点
  • 认证方式:预共享密钥
  • 预共享密钥:Admin@123
  • 本端ID:IP地址
  • 对端ID:IP地址
  • 总部与分支机构的“预共享密钥”需要保持一致。
  • “对端网关IP”为分支机构公网接口的IP地址。
  • “源地址”为总部内网的网段。
  • “目的地址”为分支机构内网的网段。
  • 数据规划中未规划的数据使用默认值即可。如果需要修改,请注意两端的数据要保持一致。

分支机构FW_C的IPSec策略

IPSec策略

  • 场景:点到点
  • 认证方式:预共享密钥
  • 预共享密钥:Admin@123
  • 本端ID:IP地址
  • 对端ID:IP地址
  • 总部与分支机构的“预共享密钥”需要保持一致。
  • “对端网关IP”为总部公网接口的IP地址。
  • “源地址”为分支机构内网的网段。
  • “目的地址”为总部内网的网段。
  • 数据规划中未规划的数据使用默认值即可。如果需要修改,请注意两端的数据要保持一致。

为了使出差和家庭办公员工能够接入公司内部网络,需要配置L2TP over IPSec功能。

表1-7 数据规划

项目

数据

FW_A(LNS)

接口号:GigabitEthernet 1/0/1

IP地址:1.1.1.2/24

安全区域:ISP1

接口号:GigabitEthernet 1/0/4

IP地址:10.1.1.1/16

安全区域:Trust

Virtual-Template接口

接口号:Virtual-Template 1

IP地址:10.11.1.1/24

L2TP配置

认证方式:CHAP、PAP

隧道验证:开启

隧道对端名称:client1

隧道本端名称:lns

隧道密码:Password@123

地址池和用户配置

IP pool 1

地址范围:10.1.1.2~10.1.1.100

用户认证名称:vpdnuser

用户认证密码:Hello123

IPSec配置

使用LNS服务器IP:启用

封装模式:隧道模式

安全协议:ESP

ESP协议验证算法:SHA–1

ESP协议加密算法:AES-128

NAT穿越:启用

LAC

L2TP配置

认证模式:CHAP

隧道名称:client1

用户配置

用户认证名称:vpdnuser

用户认证密码:Hello123

IPSec配置

预共享密钥:Test!1234

对端地址:1.1.1.2

注意事项

智能选路

对于V500R001C30SPC600之前的版本,全局选路策略和策略路由智能选路不能和IP欺骗攻击防范功能或URPF(Unicast Reverse Path Forwarding,单播逆向路径转发)功能一起使用。如果开启IP欺骗攻击防范功能或URPF功能,可能导致FW丢弃报文。

双机热备

  • 双机热备与IPSec结合使用时,主备设备的建立隧道的业务接口必须为三层接口。
  • 双机热备与IPSec结合使用时,双机热备和IPSec的配置与单独使用时没有区别。
  • 主用设备配置的IPSec策略会备份到备用设备上,但是由于接口上的配置不会备份到备用设备,因此需要在备用设备的出接口上应用备份过来的IPSec策略。
  • 如果设备作为IPSec隧道发起方,则必须要执行命令tunnel local ip-address,设置本端发起协商的地址为VRRP备份组的虚拟IP地址。

安全与应用

  • 无论设备是否拥有License,入侵防御功能均可用,此时入侵防御功能可以通过自定义签名进行检测。
  • License过期或者去激活后,用户可以继续使用设备已有的入侵防御特征库和自定义签名,但是不能对入侵防御特征库进行升级。
  • 入侵防御特征库升级需要License支持。License加载完成后,需要手动加载入侵防御特征库。
  • 入侵防御特征库升级之后,如果原有预定义签名在新的特征库中已经不存在,则该签名涉及的所有配置信息将不会生效。
  • 反病毒功能和特征库的升级需要License支持。License加载前,反病毒功能可配置,但不生效。License加载完成后,需要手动加载AV特征库,才能正常使用反病毒功能。License过期后,用户可以继续使用反病毒功能,但不能获取最新的反病毒特征库。为了保护网络安全,推荐继续购买License。
  • 反病毒特征库更新频繁,为保证反病毒功能的有效性,推荐定期升级反病毒特征库。
  • 在IPv6组网中,针对IMAP、SMTP和POP3协议的反病毒功能不可用。
  • 不支持针对断点续传文件的反病毒检测。
  • 在报文来回路径不一致的组网环境中,可能无法有效检测到网络入侵,且针对SMTP和POP3协议的反病毒功能不可用。
  • 预定义应用依赖于系统自带的应用识别特征库。由于新应用层出不穷,当系统自带的应用识别特征库无法识别新应用时,我们建议您去升级应用识别特征库。

用户与认证

用户组织结构是多个以“认证域”为顶级节点的树形组织结构,注意以下几点:

  • 执行引用非default认证域下的用户和安全组的命令行时,必须携带“@认证域名”,例如user1@test表示test认证域下的用户user1、secgroup1@test表示test认证域下的安全组secgroup1。
  • 用户的创建、移动、服务器导入都是基于某一个认证域的,不能跨域进行。

NAT策略

  • 配置NAT No-PAT、三元组NAT这两种源NAT时,请不要将设备接口的地址配置为NAT地址池的地址,以免影响对设备本身的访问。
  • 当NAT与VPN功能同时工作时,请精确定义NAT策略的匹配条件,确保NAT功能不会将原本是需要进行VPN封装的数据流做地址转换。

IPSec VPN

  • 配置IPSec安全提议时,IPSec隧道两端设备上配置的安全协议、认证算法、加密算法以及报文封装模式必须完全相同。
  • 应用IPSec安全策略组的接口的MTU最好不要小于256字节。因为经过IPSec处理后IP报文的长度会增加,且采用的封装模式、安全协议和验证加密算法等不同,增加的长度也不同(最多的情况下增加超过100字节)。如果MTU设置过小,遇到大的IP数据包就会被分成很多个分片,若分片过多时,对端设备接收到分片后进行处理时就会出现问题。
  • 同时设备上配置IPSec与NAT时,配置时需注意IPSec流量不能进行NAT转换,需要配置为no-NAT。

方案配置

配置步骤

操作步骤

  1. 配置各接口的IP地址。

    # 配置FW_A各接口的IP地址。

    <FW_A> system-view 
    [FW_A] interface GigabitEthernet 1/0/1 
    [FW_A-GigabitEthernet1/0/1] ip address 1.1.1.2 24 
    [FW_A-GigabitEthernet1/0/1] gateway 1.1.1.254 
    [FW_A-GigabitEthernet1/0/1] quit 
    [FW_A] interface GigabitEthernet 1/0/2 
    [FW_A-GigabitEthernet1/0/2] ip address 2.2.2.2 24 
    [FW_A-GigabitEthernet1/0/2] gateway 2.2.2.254 
    [FW_A-GigabitEthernet1/0/2] quit 
    [FW_A] interface eth-trunk 1
    [FW_A-Eth-Trunk1] ip address 10.10.0.1 24
    [FW_A-Eth-Trunk1] trunkport GigabitEthernet 1/0/3
    [FW_A-Eth-Trunk1] trunkport GigabitEthernet 2/0/1
    [FW_A-Eth-Trunk1] quit 
    [FW_A] interface GigabitEthernet 1/0/4 
    [FW_A-GigabitEthernet1/0/4] ip address 10.1.1.1 16 
    [FW_A-GigabitEthernet1/0/4] quit 
    [FW_A] interface GigabitEthernet 1/0/5 
    [FW_A-GigabitEthernet1/0/5] portswitch 
    [FW_A-GigabitEthernet1/0/5] quit

    # 参考上述步骤,配置FW_B各接口的IP地址。

  2. 将接口加入安全区域。

    # 在FW_A上创建安全区域ISP1、ISP2和Heart,安全级别分别为15、20和75。

    [FW_A] firewall zone name ISP1 
    [FW_A-zone-ISP1] set priority 15 
    [FW_A-zone-ISP1] quit 
    [FW_A] firewall zone name ISP2 
    [FW_A-zone-ISP2] set priority 20 
    [FW_A-zone-ISP2] quit 
    [FW_A] firewall zone name Heart 
    [FW_A-zone-Heart] set priority 75 
    [FW_A-zone-Heart] quit

    # 将FW_A的各接口加入安全区域。

    [FW_A] firewall zone ISP1 
    [FW_A-zone-ISP1] add interface GigabitEthernet 1/0/1 
    [FW_A-zone-ISP1] quit 
    [FW_A] firewall zone ISP2 
    [FW_A-zone-ISP2] add interface GigabitEthernet 1/0/2 
    [FW_A-zone-ISP2] quit 
    [FW_A] firewall zone Heart 
    [FW_A-zone-Heart] add interface Eth-Trunk 1 
    [FW_A-zone-Heart] quit 
    [FW_A] firewall zone trust 
    [FW_A-zone-trust] add interface GigabitEthernet 1/0/4 
    [FW_A-zone-trust] add interface GigabitEthernet 1/0/5
    [FW_A-zone-trust] quit

    # 参考上述步骤,在FW_B上将接口加入安全区域。

  3. 配置缺省路由。

    # 配置IP-Link,探测各ISP提供的链路状态是否正常。

    [FW_A] ip-link check enable 
    [FW_A] ip-link name ip_link_1 
    [FW_A-iplink-ip_link_1] destination 1.1.1.254 interface GigabitEthernet1/0/1 
    [FW_A-iplink-ip_link_1] quit 
    [FW_A] ip-link name ip_link_2 
    [FW_A-iplink-ip_link_2] destination 2.2.2.254 interface GigabitEthernet1/0/2 
    [FW_A-iplink-ip_link_2] quit

    # 在FW_A配置两条缺省路由,下一跳分别指向两个ISP的接入点。

    [FW_A] ip route-static 0.0.0.0 0.0.0.0 1.1.1.254 track ip-link ip_link_1 
    [FW_A] ip route-static 0.0.0.0 0.0.0.0 2.2.2.254 track ip-link ip_link_2

    # 参考上述步骤,在FW_B上配置IP-Link和缺省路由。

  4. 配置智能选路。

    # 配置全局选路策略,流量根据链路质量负载分担。

    [FW_A] multi-interface 
    [FW_A-multi-inter] mode priority-of-link-quality 
    [FW_A-multi-inter] add interface GigabitEthernet1/0/1 
    [FW_A-multi-inter] add interface GigabitEthernet1/0/2 
    [FW_A-multi-inter] priority-of-link-quality protocol tcp-simple 
    [FW_A-multi-inter] priority-of-link-quality parameter delay jitter loss 
    [FW_A-multi-inter] priority-of-link-quality interval 3 times 5 
    [FW_A-multi-inter] priority-of-link-quality table aging-time 60 
    [FW_A-multi-inter] quit

    # 参考上述步骤,在FW_B上配置智能选路。

  5. 配置策略路由。

    [FW_A] policy-based-route 
    [FW_A-policy-pbr] rule name pbr_1 
    [FW_A-policy-pbr-rule-pbr_1] description pbr_1 
    [FW_A-policy-pbr-rule-pbr_1] source-zone trust 
    [FW_A-policy-pbr-rule-pbr_1] application category Business_Systems 
    [FW_A-policy-pbr-rule-pbr_1] track ip-link ip_link_1 
    [FW_A-policy-pbr-rule-pbr_1] action pbr egress-interface GigabitEthernet 1/0/1 next-hop 1.1.1.254 
    [FW_A-policy-pbr-rule-pbr_1] quit 
    [FW_A-policy-pbr] rule name pbr_2 
    [FW_A-policy-pbr-rule-pbr_2] description pbr_2 
    [FW_A-policy-pbr-rule-pbr_2] source-zone trust 
    [FW_A-policy-pbr-rule-pbr_2] application category Entertainment sub-category VoIP 
    [FW_A-policy-pbr-rule-pbr_2] application category Entertainment sub-category PeerCasting 
    [FW_A-policy-pbr-rule-pbr_2] track ip-link ip_link_2 
    [FW_A-policy-pbr-rule-pbr_2] action pbr egress-interface GigabitEthernet 1/0/2 next-hop 2.2.2.254 
    [FW_A-policy-pbr-rule-pbr_2] quit

    # 参考上述步骤,在FW_B上配置策略路由。

  6. 配置OSPF。

    # 在FW_A上配置OSPF。

    [FW_A] router id 1.1.1.2 
    [FW_A] ospf 100 
    [FW_A-ospf-100] default-route-advertise 
    [FW_A-ospf-100] area 0 
    [FW_A-ospf-100-area-0.0.0.0] network 1.1.1.0 0.0.0.255 
    [FW_A-ospf-100-area-0.0.0.0] network 10.1.0.0 0.0.255.255 
    [FW_A-ospf-100-area-0.0.0.0] quit 
    [FW_A-ospf-100] quit

    # 在FW_B上配置OSPF。

    [FW_B] router id 2.2.2.3 
    [FW_B] ospf 100 
    [FW_B-ospf-100] default-route-advertise 
    [FW_B-ospf-100] area 0 
    [FW_B-ospf-100-area-0.0.0.0] network 2.2.2.0 0.0.0.255 
    [FW_B-ospf-100-area-0.0.0.0] network 10.2.0.0 0.0.255.255 
    [FW_B-ospf-100-area-0.0.0.0] quit 
    [FW_B-ospf-100] quit

  7. 配置双机热备。

    # 在FW_A上配置VRRP备份组,VRRP备份组状态设置为Active。

    [FW_A] interface GigabitEthernet 1/0/1 
    [FW_A-GigabitEthernet1/0/1] vrrp vrid 1 virtual-ip 1.1.1.1 24 active 
    [FW_A-GigabitEthernet1/0/1] quit 
    [FW_A] interface GigabitEthernet 1/0/2 
    [FW_A-GigabitEthernet1/0/2] vrrp vrid 2 virtual-ip 2.2.2.1 24 active 
    [FW_A-GigabitEthernet1/0/2] quit

    # 在FW_A上指定心跳接口,启用双机热备。

    [FW_A] hrp interface Eth-Trunk 1 remote 10.10.0.2 
    [FW_A] hrp enable

    # 在FW_B上配置VRRP备份组,并将VRRP备份组状态设置为Standby。

    [FW_B] interface GigabitEthernet 1/0/1 
    [FW_B-GigabitEthernet1/0/1] vrrp vrid 1 virtual-ip 1.1.1.1 24 standby 
    [FW_B-GigabitEthernet1/0/1] quit 
    [FW_B] interface GigabitEthernet 1/0/2 
    [FW_B-GigabitEthernet1/0/2] vrrp vrid 2 virtual-ip 2.2.2.1 24 standby 
    [FW_B-GigabitEthernet1/0/2] quit

    # 在FW_B上指定心跳接口,启用双机热备。

    [FW_B] hrp interface Eth-Trunk 1 remote 10.10.0.1 
    [FW_B] hrp enable

  8. 配置用户、用户组及其认证。

    # 创建管理者对应的组和用户。

    HRP_M[FW_A] user-manage group /default/management 
    HRP_M[FW_A-usergroup-/default/management] quit 
    HRP_M[FW_A] user-manage user user_0001 
    HRP_M[FW_A-localuser-user_0001] alias Tom 
    HRP_M[FW_A-localuser-user_0001] parent-group /default/management 
    HRP_M[FW_A-localuser-user_0001] password Admin@123 
    HRP_M[FW_A-localuser-user_0001] quit

    # 参考上述步骤新建组marketing、research以及onbusiness(出差员工),并按照公司的组织结构新建每个部门/组的所有用户。

    # 配置AD服务器。

    此处设置的参数必须与AD服务器上的参数保持一致。

    HRP_M[FW_A] ad-server template auth_server_ad 
    HRP_M[FW_A-ad-auth_server_ad] ad-server authentication 10.3.0.251 88 
    HRP_M[FW_A-ad-auth_server_ad] ad-server authentication base-dn dc=cce,dc=com 
    HRP_M[FW_A-ad-auth_server_ad] ad-server authentication manager cn=administrator,cn=users Admin@123 
    HRP_M[FW_A-ad-auth_server_ad] ad-server authentication host-name ad.cce.com 
    HRP_M[FW_A-ad-auth_server_ad] ad-server authentication ldap-port 389 
    HRP_M[FW_A-ad-auth_server_ad] ad-server user-filter sAMAccountName 
    HRP_M[FW_A-ad-auth_server_ad] ad-server group-filter ou 
    HRP_M[FW_A-ad-auth_server_ad] quit

    # 配置认证域。

    HRP_M[FW_A] aaa 
    HRP_M[FW_A-aaa] domain cce.com 
    HRP_M[FW_A-aaa-domain-cce.com] service-type internetaccess 
    HRP_M[FW_A-aaa-domain-cce.com] quit 
    HRP_M[FW_A] quit

    # 配置服务器导入策略并导入用户。

    HRP_M[FW] user-manage import-policy policy_import from ad 
    HRP_M[FW-import-policy_import] server template auth_server_ad 
    HRP_M[FW-import-policy_import] server basedn dc=cce,dc=com 
    HRP_M[FW-import-policy_import] destination-group /cce.com 
    HRP_M[FW-import-policy_import] user-attribute sAMAccountName 
    HRP_M[FW-import-policy_import] import-type user-group 
    HRP_M[FW-import-policy_import] import-override enable 
    HRP_M[FW-import-policy_import] quit 
    HRP_M[FW] execute user-manage import-policy policy_import

    # 配置认证域的新用户选项。

    HRP_M[FW] aaa 
    HRP_M[FW-aaa] domain cce.com 
    HRP_M[FW-aaa-domain-cce.com] new-user add-temporary group /cce.com auto-import policy_import 
    HRP_M[FW-aaa-domain-cce.com] quit 
    HRP_M[FW-aaa] quit

    # 配置AD单点登录参数。

    HRP_M[FW] user-manage single-sign-on ad 
    HRP_M[FW-sso-ad] mode no-plug-in 
    HRP_M[FW-sso-ad] no-plug-in traffic server-ip 10.3.0.251 port 88 
    HRP_M[FW-sso-ad] no-plug-in interface GigabitEthernet1/0/5 
    HRP_M[FW-sso-ad] enable 
    HRP_M[FW-sso-ad] quit

    # 配置在线用户超时时间为480分钟。

    HRP_M[FW] user-manage online-user aging-time 480

  9. 配置安全策略。双机热备状态成功建立后,FW_A的安全策略配置会自动备份到FW_B上。

    # 配置URL过滤的配置文件profile_url,设置URL过滤级别为中。

    HRP_M[FW_A] profile type url-filter name profile_url 
    HRP_M[FW_A-profile-url-filter-profile_url] category pre-defined control-level medium 
    HRP_M[FW_A-profile-url-filter-profile_url] category pre-defined action allow 
    HRP_M[FW_A-profile-url-filter-profile_url] quit

    # 配置针对高级管理者的安全策略。

    HRP_M<FW_A> system-view 
    HRP_M[FW_A] security-policy 
    HRP_M[FW_A-policy-security] rule name policy_sec_management 
    HRP_M[FW_A-policy-security-rule-policy_sec_management] source-zone trust 
    HRP_M[FW_A-policy-security-rule-policy_sec_management] destination-zone ISP1 
    HRP_M[FW_A-policy-security-rule-policy_sec_management] destination-zone ISP2 
    HRP_M[FW_A-policy-security-rule-policy_sec_management] profile av default 
    HRP_M[FW_A-policy-security-rule-policy_sec_management] profile ips default 
    HRP_M[FW_A-policy-security-rule-policy_sec_management] profile url-filter profile_url 
    HRP_M[FW_A-policy-security-rule-policy_sec_management] user user-group /default/management 
    HRP_M[FW_A-policy-security-rule-policy_sec_management] action permit 
    HRP_M[FW_A-policy-security-rule-policy_sec_management] quit 
    HRP_M[FW_A-policy-security] quit

    # 配置针对市场部员工的安全策略。

    HRP_M[FW_A-policy-security] rule name policy_sec_marketing_1 
    HRP_M[FW_A-policy-security-rule-policy_sec_marketing_1] source-zone trust 
    HRP_M[FW_A-policy-security-rule-policy_sec_marketing_1] destination-zone ISP1 
    HRP_M[FW_A-policy-security-rule-policy_sec_marketing_1] destination-zone ISP2 
    HRP_M[FW_A-policy-security-rule-policy_sec_marketing_1] application category Entertainment sub-category Media_Sharing 
    HRP_M[FW_A-policy-security-rule-policy_sec_marketing_1] application category Entertainment sub-category Game 
    HRP_M[FW_A-policy-security-rule-policy_sec_marketing_1] action deny 
    HRP_M[FW_A-policy-security-rule-policy_sec_marketing_1] quit 
    HRP_M[FW_A-policy-security] rule name policy_sec_marketing_2 
    HRP_M[FW_A-policy-security-rule-policy_sec_marketing_2] source-zone trust 
    HRP_M[FW_A-policy-security-rule-policy_sec_marketing_2] destination-zone ISP1 
    HRP_M[FW_A-policy-security-rule-policy_sec_marketing_2] destination-zone ISP2 
    HRP_M[FW_A-policy-security-rule-policy_sec_marketing_2] profile av default 
    HRP_M[FW_A-policy-security-rule-policy_sec_marketing_2] profile ips default 
    HRP_M[FW_A-policy-security-rule-policy_sec_marketing_2] profile url-filter profile_url 
    HRP_M[FW_A-policy-security-rule-policy_sec_marketing_2] user user-group /default/marketing 
    HRP_M[FW_A-policy-security-rule-policy_sec_marketing_2] action permit 
    HRP_M[FW_A-policy-security-rule-policy_sec_marketing_2] quit

    # 配置针对研发部员工的安全策略。

    HRP_M[FW_A-policy-security] rule name policy_sec_research_1 
    HRP_M[FW_A-policy-security-rule-policy_sec_research_1] source-zone trust 
    HRP_M[FW_A-policy-security-rule-policy_sec_research_1] destination-zone ISP1 
    HRP_M[FW_A-policy-security-rule-policy_sec_research_1] destination-zone ISP2 
    HRP_M[FW_A-policy-security-rule-policy_sec_research_1] user user-group /default/research 
    HRP_M[FW_A-policy-security-rule-policy_sec_research_1] application category Entertainment 
    HRP_M[FW_A-policy-security-rule-policy_sec_research_1] action deny 
    HRP_M[FW_A-policy-security-rule-policy_sec_research_1] quit 
    HRP_M[FW_A-policy-security] rule name policy_sec_research_2 
    HRP_M[FW_A-policy-security-rule-policy_sec_research_2] source-zone trust 
    HRP_M[FW_A-policy-security-rule-policy_sec_research_2] destination-zone ISP1 
    HRP_M[FW_A-policy-security-rule-policy_sec_research_2] destination-zone ISP2 
    HRP_M[FW_A-policy-security-rule-policy_sec_research_2] profile av default 
    HRP_M[FW_A-policy-security-rule-policy_sec_research_2] profile ips default 
    HRP_M[FW_A-policy-security-rule-policy_sec_research_2] profile url-filter profile_url 
    HRP_M[FW_A-policy-security-rule-policy_sec_research_2] user user-group /default/research 
    HRP_M[FW_A-policy-security-rule-policy_sec_research_2] action permit 
    HRP_M[FW_A-policy-security-rule-policy_sec_research_2] quit

    # 配置IPSec安全策略。

    HRP_M[FW_A-policy-security] rule name policy_sec_ipsec_1 
    HRP_M[FW_A-policy-security-rule-policy_sec_ipsec_1] source-zone local 
    HRP_M[FW_A-policy-security-rule-policy_sec_ipsec_1] source-zone ISP1 
    HRP_M[FW_A-policy-security-rule-policy_sec_ipsec_1] source-zone ISP2 
    HRP_M[FW_A-policy-security-rule-policy_sec_ipsec_1] destination-zone local 
    HRP_M[FW_A-policy-security-rule-policy_sec_ipsec_1] destination-zone ISP1 
    HRP_M[FW_A-policy-security-rule-policy_sec_ipsec_1] destination-zone ISP2 
    HRP_M[FW_A-policy-security-rule-policy_sec_ipsec_1] source-address 1.1.1.2 32 
    HRP_M[FW_A-policy-security-rule-policy_sec_ipsec_1] source-address 3.3.3.1 32 
    HRP_M[FW_A-policy-security-rule-policy_sec_ipsec_1] destination-address 1.1.1.2 32 
    HRP_M[FW_A-policy-security-rule-policy_sec_ipsec_1] destination-address 3.3.3.1 32 
    HRP_M[FW_A-policy-security-rule-policy_sec_ipsec_1] action permit 
    HRP_M[FW_A-policy-security-rule-policy_sec_ipsec_1] quit 
    HRP_M[FW_A-policy-security] rule name policy_sec_ipsec_2 
    HRP_M[FW_A-policy-security-rule-policy_sec_ipsec_2] source-zone trust 
    HRP_M[FW_A-policy-security-rule-policy_sec_ipsec_2] destination-zone ISP1 
    HRP_M[FW_A-policy-security-rule-policy_sec_ipsec_2] destination-zone ISP2 
    HRP_M[FW_A-policy-security-rule-policy_sec_ipsec_2] source-address 10.1.0.0 16 
    HRP_M[FW_A-policy-security-rule-policy_sec_ipsec_2] destination-address 192.168.1.0 24 
    HRP_M[FW_A-policy-security-rule-policy_sec_ipsec_2] profile av default 
    HRP_M[FW_A-policy-security-rule-policy_sec_ipsec_2] profile ips default 
    HRP_M[FW_A-policy-security-rule-policy_sec_ipsec_2] action permit 
    HRP_M[FW_A-policy-security-rule-policy_sec_ipsec_2] quit 
    HRP_M[FW_A-policy-security] rule name policy_sec_ipsec_3 
    HRP_M[FW_A-policy-security-rule-policy_sec_ipsec_3] source-zone ISP1 
    HRP_M[FW_A-policy-security-rule-policy_sec_ipsec_3] source-zone ISP2 
    HRP_M[FW_A-policy-security-rule-policy_sec_ipsec_3] destination-zone trust 
    HRP_M[FW_A-policy-security-rule-policy_sec_ipsec_3] source-address 192.168.1.0 24 
    HRP_M[FW_A-policy-security-rule-policy_sec_ipsec_3] profile av default 
    HRP_M[FW_A-policy-security-rule-policy_sec_ipsec_3] profile ips default 
    HRP_M[FW_A-policy-security-rule-policy_sec_ipsec_3] action permit 
    HRP_M[FW_A-policy-security-rule-policy_sec_ipsec_3] quit

    # 配置L2TP over IPSec的安全策略。

    HRP_M[FW-policy-security] rule name policy_sec_l2tp_ipsec_1 
    HRP_M[FW-policy-security-rule-policy_sec_l2tp_ipsec_1] source-zone trust 
    HRP_M[FW-policy-security-rule-policy_sec_l2tp_ipsec_1] destination-zone ISP1 
    HRP_M[FW-policy-security-rule-policy_sec_l2tp_ipsec_1] destination-zone ISP2 
    HRP_M[FW-policy-security-rule-policy_sec_l2tp_ipsec_1] source-address 10.1.1.1 16 
    HRP_M[FW-policy-security-rule-policy_sec_l2tp_ipsec_1] destination-address range 10.1.1.2 10.1.1.100 
    HRP_M[FW-policy-security-rule-policy_sec_l2tp_ipsec_1] action permit 
    HRP_M[FW-policy-security-rule-policy_sec_l2tp_ipsec_1] quit 
    HRP_M[FW-policy-security] rule name policy_sec_l2tp_ipsec_2 
    HRP_M[FW-policy-security-rule-policy_sec_l2tp_ipsec_2] source-zone untrust 
    HRP_M[FW-policy-security-rule-policy_sec_l2tp_ipsec_2] destination-zone trust 
    HRP_M[FW-policy-security-rule-policy_sec_l2tp_ipsec_2] source-address range 10.1.1.2 10.1.1.100 
    HRP_M[FW-policy-security-rule-policy_sec_l2tp_ipsec_2] destination-address 10.1.1.1 16 
    HRP_M[FW-policy-security-rule-policy_sec_l2tp_ipsec_2] action permit 
    HRP_M[FW-policy-security-rule-policy_sec_l2tp_ipsec_2] quit

    # 为AD服务器配置安全策略。

    HRP_M[FW_A-policy-security] rule name local_policy_ad_01 
    HRP_M[FW_A-policy-security-rule-local_policy_ad_01] source-zone local 
    HRP_M[FW_A-policy-security-rule-local_policy_ad_01] destination-zone trust 
    HRP_M[FW_A-policy-security-rule-local_policy_ad_01] destination-address 10.3.0.251 32 
    HRP_M[FW_A-policy-security-rule-local_policy_ad_01] action permit 
    HRP_M[FW_A-policy-security-rule-local_policy_ad_01] quit 
    HRP_M[FW_A-policy-security] rule name local_policy_ad_02 
    HRP_M[FW_A-policy-security-rule-local_policy_ad_02] source-zone trust 
    HRP_M[FW_A-policy-security-rule-local_policy_ad_02] destination-zone local 
    HRP_M[FW_A-policy-security-rule-local_policy_ad_02] source-address 10.3.0.251 32 
    HRP_M[FW_A-policy-security-rule-local_policy_ad_02] action permit 
    HRP_M[FW_A-policy-security-rule-local_policy_ad_02] quit

    # 配置允许外部网络用户访问内部服务器的安全策略。

    HRP_M[FW_A-policy-security] rule name policy_sec_server 
    HRP_M[FW_A-policy-security-rule-policy_sec_server] source-zone ISP1 
    HRP_M[FW_A-policy-security-rule-policy_sec_server] source-zone ISP2 
    HRP_M[FW_A-policy-security-rule-policy_sec_server] destination-zone trust 
    HRP_M[FW_A-policy-security-rule-policy_sec_server] destination-address 10.2.0.10 32 
    HRP_M[FW_A-policy-security-rule-policy_sec_server] destination-address 10.2.0.11 32 
    HRP_M[FW_A-policy-security-rule-policy_sec_server] action permit 
    HRP_M[FW_A-policy-security-rule-policy_sec_server] quit 
    HRP_M[FW_A-policy-security] quit

  10. 配置NAT。双机热备状态成功建立后,FW_A的NAT策略配置会自动备份到FW_B上。

    # 配置NAT地址池nataddr。

    HRP_M[FW_A] nat address-group nataddr 
    HRP_M[FW_A-nat-address-group-nataddr] mode pat 
    HRP_M[FW_A-nat-address-group-nataddr] section 0 1.1.1.1 1.1.1.4 
    HRP_M[FW_A-nat-address-group-nataddr] route enable 
    HRP_M[FW_A-nat-address-group-nataddr] quit

    # 配置去往Internet的流量的NAT策略policy_nat_internet_01和policy_nat_internet_02。

    HRP_M[FW_A] nat-policy 
    HRP_M[FW_A-policy-nat] rule name policy_nat_internet_01 
    HRP_M[FW_A-policy-nat-rule-policy_nat_internet_01] source-zone trust 
    HRP_M[FW_A-policy-nat-rule-policy_nat_internet_01] destination-zone ISP1 
    HRP_M[FW_A-policy-nat-rule-policy_nat_internet_01] action source-nat address-group nataddr 
    HRP_M[FW_A-policy-nat-rule-policy_nat_internet_01] quit 
    HRP_M[FW_A-policy-nat] rule name policy_nat_internet_02 
    HRP_M[FW_A-policy-nat-rule-policy_nat_internet_02] source-zone trust 
    HRP_M[FW_A-policy-nat-rule-policy_nat_internet_02] destination-zone ISP2 
    HRP_M[FW_A-policy-nat-rule-policy_nat_internet_02] action source-nat address-group nataddr 
    HRP_M[FW_A-policy-nat-rule-policy_nat_internet_02] quit

    # 配置去往分支机构的流量的NAT策略policy_nat_ipsec_01和policy_nat_ipsec_02。

    HRP_M[FW_A-policy-nat] rule name policy_nat_ipsec_01 
    HRP_M[FW_A-policy-nat-rule-policy_nat_ipsec_01] source-zone trust 
    HRP_M[FW_A-policy-nat-rule-policy_nat_ipsec_01] destination-zone ISP1 
    HRP_M[FW_A-policy-nat-rule-policy_nat_ipsec_01] destination-address 192.168.1.0 24 
    HRP_M[FW_A-policy-nat-rule-policy_nat_ipsec_01] action no-nat  
    HRP_M[FW_A-policy-nat-rule-policy_nat_ipsec_01] quit 
    HRP_M[FW_A-policy-nat] rule name policy_nat_ipsec_02 
    HRP_M[FW_A-policy-nat-rule-policy_nat_ipsec_02] source-zone trust 
    HRP_M[FW_A-policy-nat-rule-policy_nat_ipsec_02] destination-zone ISP2 
    HRP_M[FW_A-policy-nat-rule-policy_nat_ipsec_02] destination-address 192.168.1.0 24 
    HRP_M[FW_A-policy-nat-rule-policy_nat_ipsec_02] action no-nat  
    HRP_M[FW_A-policy-nat-rule-policy_nat_ipsec_02] quit 
    HRP_M[FW_A-policy-nat] quit

    # 配置NAT Server功能。

    HRP_M[FW_A] nat server for_web_01 zone ISP1 protocol tcp global 1.1.1.5 8080 inside 10.2.0.10 www 
    HRP_M[FW_A] nat server for_web_02 zone ISP2 protocol tcp global 2.2.2.5 8080 inside 10.2.0.10 www 
    HRP_M[FW_A] nat server for_ftp_01 zone ISP1 protocol tcp global 1.1.1.6 ftp inside 10.2.0.11 ftp 
    HRP_M[FW_A] nat server for_ftp_02 zone ISP2 protocol tcp global 2.2.2.6 ftp inside 10.2.0.11 ftp

    # 开启FTP协议的NAT ALG功能。

    HRP_M[FW_A] firewall interzone trust untrust 
    HRP_M[FW_A-interzone-trust-untrust] detect ftp 
    HRP_M[FW_A-interzone-trust-untrust] quit

  11. 配置攻击防范。双机热备状态成功建立后,FW_A的攻击防范配置会自动备份到FW_B上。

    HRP_M[FW_A] firewall defend land enable 
    HRP_M[FW_A] firewall defend smurf enable 
    HRP_M[FW_A] firewall defend fraggle enable 
    HRP_M[FW_A] firewall defend winnuke enable 
    HRP_M[FW_A] firewall defend source-route enable 
    HRP_M[FW_A] firewall defend route-record enable 
    HRP_M[FW_A] firewall defend time-stamp enable 
    HRP_M[FW_A] firewall defend ping-of-death enable

  12. 配置带宽策略。双机热备状态成功建立后,FW_A的带宽策略配置会自动备份到FW_B上。

    # 配置时间段。

    HRP_M[FW_A] time-range work_time 
    HRP_M[FW_A-time-range-work_time] period-range 09:00:00 to 18:00:00 working-day 
    HRP_M[FW_A-time-range-work_time] quit

    # 配置限制P2P流量的带宽通道profile_p2p。

    HRP_M[FW_A] traffic-policy 
    HRP_M[FW_A-policy-traffic] profile profile_p2p 
    HRP_M[FW_A-policy-traffic-profile-profile_p2p] bandwidth maximum-bandwidth whole upstream 2000000 
    HRP_M[FW_A-policy-traffic-profile-profile_p2p] bandwidth maximum-bandwidth whole downstream 6000000 
    HRP_M[FW_A-policy-traffic-profile-profile_p2p] bandwidth connection-limit whole both 10000 
    HRP_M[FW_A-policy-traffic-profile-profile_p2p] quit

    # 配置限制P2P流量的带宽策略policy_bandwidth_p2p。

    HRP_M[FW_A-policy-traffic] rule name policy_bandwidth_p2p 
    HRP_M[FW_A-policy-traffic-rule-policy_bandwidth_p2p] source-zone trust 
    HRP_M[FW_A-policy-traffic-rule-policy_bandwidth_p2p] destination-zone ISP1 
    HRP_M[FW_A-policy-traffic-rule-policy_bandwidth_p2p] destination-zone ISP2 
    HRP_M[FW_A-policy-traffic-rule-policy_bandwidth_p2p] application category Entertainment sub-category PeerCasting 
    HRP_M[FW_A-policy-traffic-rule-policy_bandwidth_p2p] application category General_Internet sub-category FileShare_P2P 
    HRP_M[FW_A-policy-traffic-rule-policy_bandwidth_p2p] action qos profile profile_p2p 
    HRP_M[FW_A-policy-traffic-rule-policy_bandwidth_p2p] quit

    # 配置保证Email、ERP应用流量的带宽通道。

    HRP_M[FW_A-policy-traffic] profile profile_email 
    HRP_M[FW_A-policy-traffic-profile-profile_email] bandwidth guaranteed-bandwidth whole upstream 4000000 
    HRP_M[FW_A-policy-traffic-profile-profile_email] bandwidth guaranteed-bandwidth whole downstream 4000000 
    HRP_M[FW_A-policy-traffic-profile-profile_email] quit

    # 配置保证Email、ERP应用流量的带宽策略。

    HRP_M[FW_A-policy-traffic] rule name policy_email 
    HRP_M[FW_A-policy-traffic-rule-policy_email] source-zone trust 
    HRP_M[FW_A-policy-traffic-rule-policy_email] destination-zone ISP1 
    HRP_M[FW_A-policy-traffic-rule-policy_email] destination-zone ISP2 
    HRP_M[FW_A-policy-traffic-rule-policy_email] application app LotusNotes OWA 
    HRP_M[FW_A-policy-traffic-rule-policy_email] time-range work_time 
    HRP_M[FW_A-policy-traffic-rule-policy_email] action qos profile profile_email 
    HRP_M[FW_A-policy-traffic-rule-policy_email] quit

    # 针对高级管理者配置带宽通道。

    [FW] traffic-policy 
    HRP_M[FW_A-policy-traffic] profile profile_management 
    HRP_M[FW_A-policy-traffic-profile-profile_management] bandwidth guaranteed-bandwidth whole upstream 200000 
    HRP_M[FW_A-policy-traffic-profile-profile_management] bandwidth guaranteed-bandwidth whole downstream 200000 
    HRP_M[FW_A-policy-traffic-profile-profile_management] bandwidth maximum-bandwidth per-ip upstream 20000 
    HRP_M[FW_A-policy-traffic-profile-profile_management] bandwidth maximum-bandwidth per-ip downstream 20000 
    HRP_M[FW_A-policy-traffic-profile-profile_management] quit

    # 针对高级管理者进行带宽管理。

    HRP_M[FW_A-policy-traffic] rule name policy_bandwidth_management 
    HRP_M[FW_A-policy-traffic-rule-policy_bandwidth_management] source-zone ISP1 
    HRP_M[FW_A-policy-traffic-rule-policy_bandwidth_management] source-zone ISP2 
    HRP_M[FW_A-policy-traffic-rule-policy_bandwidth_management] destination-zone trust 
    HRP_M[FW_A-policy-traffic-rule-policy_bandwidth_management] user user-group /default/management 
    HRP_M[FW_A-policy-traffic-rule-policy_bandwidth_management] action qos profile profile_management 
    HRP_M[FW_A-policy-traffic-rule-policy_bandwidth_management] quit

  13. 配置IPSec VPN。双机热备状态成功建立后,FW_A的IPSec VPN配置会自动备份到FW_B上。

    # 在总部的FW_A上配置IPSec。

    HRP_M[FW_A] acl 3000  
    HRP_M[FW_A-acl-adv-3000] rule permit ip source 10.1.0.0 0.0.255.255 destination 192.168.1.0 0.0.0.255 
    HRP_M[FW_A-acl-adv-3000] quit 
    HRP_M[FW_A] ipsec proposal tran1 
    HRP_M[FW_A-ipsec-proposal-tran1] esp authentication-algorithm sha1 
    HRP_M[FW_A-ipsec-proposal-tran1] esp encryption-algorithm aes-128 
    HRP_M[FW_A-ipsec-proposal-tran1] quit 
    HRP_M[FW_A] ike proposal 10 
    HRP_M[FW_A-ike-proposal-10] authentication-method pre-share 
    HRP_M[FW_A-ike-proposal-10] prf hmac-sha1 
    HRP_M[FW_A-ike-proposal-10] encryption-algorithm 3des 
    HRP_M[FW_A-ike-proposal-10] dh group5 
    HRP_M[FW_A-ike-proposal-10] integrity-algorithm hmac-sha2-256 
    HRP_M[FW_A-ike-proposal-10] quit 
    HRP_M[FW_A] ike peer headquarters 
    HRP_M[FW_A-ike-peer-headquarters] ike-proposal 10 
    HRP_M[FW_A-ike-peer-headquarters] pre-shared-key Admin@123 
    HRP_M[FW_A-ike-peer-headquarters] quit 
    HRP_M[FW_A] ipsec policy-template temp 1 
    HRP_M[FW_A-ipsec-policy-templet-temp-1] security acl 3000 
    HRP_M[FW_A-ipsec-policy-templet-temp-1] proposal tran1 
    HRP_M[FW_A-ipsec-policy-templet-temp-1] ike-peer headquarters 
    HRP_M[FW_A-ipsec-policy-templet-temp-1] quit 
    HRP_M[FW_A] ipsec policy policy1 1 isakmp template temp 
    HRP_M[FW_A] interface GigabitEthernet 1/0/1 
    HRP_M[FW_A-GigabitEthernet1/0/1] ipsec policy policy1 
    HRP_M[FW_A-GigabitEthernet1/0/1] quit

    # 在分支机构的FW_C上配置IPSec。

    [FW_C] acl 3000  
    [FW_C-acl-adv-3000] rule permit ip source 192.168.1.0 0.0.0.255 destination 10.1.0.0 0.0.255.255 
    [FW_C-acl-adv-3000] quit 
    [FW_C] ipsec proposal tran1 
    [FW_C-ipsec-proposal-tran1] esp authentication-algorithm sha1 
    [FW_C-ipsec-proposal-tran1] esp encryption-algorithm aes-128 
    [FW_C-ipsec-proposal-tran1] quit 
    [FW_C] ike proposal 10 
    [FW_C-ike-proposal-10] authentication-method pre-share 
    [FW_C-ike-proposal-10] prf hmac-sha1 
    [FW_C-ike-proposal-10] encryption-algorithm 3des 
    [FW_C-ike-proposal-10] dh group5 
    [FW_C-ike-proposal-10] integrity-algorithm hmac-sha2-256 
    [FW_C-ike-proposal-10] quit 
    [FW_C] ike peer branch 
    [FW_C-ike-peer-branch] ike-proposal 10 
    [FW_C-ike-peer-branch] pre-shared-key Admin@123 
    [FW_C-ike-peer-branch] remote-address 1.1.1.1 
    [FW_C-ike-peer-branch] quit 
    [FW_C] ipsec policy policy2 1 isakmp 
    [FW_C-ipsec-policy-isakmp-policy2-1] security acl 3000 
    [FW_C-ipsec-policy-isakmp-policy2-1] proposal tran1 
    [FW_C-ipsec-policy-isakmp-policy2-1] ike-peer branch 
    [FW_C-ipsec-policy-isakmp-policy2-1] quit 
    [FW_C] interface GigabitEthernet 1/0/1 
    [FW_C-GigabitEthernet1/0/1] ipsec policy policy2 
    [FW_C-GigabitEthernet1/0/1] quit

  14. 配置L2TP over IPSec功能。

    # 启用L2TP功能。

    HRP_M[FW_A] l2tp enable

    # 配置L2TP接入用户和认证策略。

    HRP_M[FW_A] ip pool pool1 
    HRP_M[FW_A-ip-pool-pool1] section 1 10.1.1.2 10.1.1.100 
    HRP_M[FW_A-ip-pool-pool1] quit 
    HRP_M[FW_A] user-manage user vpdnuser 
    HRP_M[FW_A-localuser-vpdnuser] password Hello123 
    HRP_M[FW_A-localuser-vpdnuser] quit 
    HRP_M[FW_A] aaa 
    HRP_M[FW_A_aaa] authentication-scheme default  
    HRP_M[FW_A_aaa-authen-default] authentication-mode local 
    HRP_M[FW_A_aaa-authen-default] quit 
    HRP_M[FW_A-aaa] service-scheme l2tp  
    HRP_M[FW_A-aaa-service-l2tp] ip-pool pool1 
    HRP_M[FW_A-aaa-service-l2tp] quit  
    HRP_M[FW_A-aaa] domain net1 
    HRP_M[FW_A-aaa-domain-net1] service-type internetaccess l2tp 
    HRP_M[FW_A-aaa-domain-net1] authentication-scheme default 
    HRP_M[FW_A-aaa-domain-net1] service-scheme l2tp

    # 配置虚拟接口模板,并将虚拟接口模板加入安全区域。

    HRP_M[FW_A] interface Virtual-Template 1 
    HRP_M[FW_A-Virtual-Template1] ppp authentication-mode chap pap 
    HRP_M[FW_A-Virtual-Template1] ip address 10.11.1.1 255.255.255.0 
    HRP_M[FW_A-Virtual-Template1] remote service-scheme l2tp 
    HRP_M[FW_A-Virtual-Template1] quit 
    HRP_M[FW_A] firewall zone untrust  
    HRP_M[FW_A-zone-untrust] add interface Virtual-Template 1 
    HRP_M[FW_A-zone-untrust] quit

    VT接口的IP地址不能和配置的地址池中的地址重叠,也不能与其他接口的IP地址重复。可配置除此之外的任意IP地址。

    指定为对端分配IP地址的业务方案必须与AAA域下配置的业务方案一致。否则LNS无法为客户端分配地址。

    # 创建一个L2TP组,绑定虚拟接口模板,并配置隧道验证功能。

    HRP_M[FW_A] l2tp-group 1 
    HRP_M[FW_A-l2tp1] allow l2tp virtual-template 1 remote client1 
    HRP_M[FW_A-l2tp1] tunnel name lns 
    HRP_M[FW_A-l2tp1] tunnel authentication 
    HRP_M[FW_A-l2tp1] tunnel password cipher Password@123 
    HRP_M[FW_A-l2tp1] quit

    # 参考上述步骤,在FW_B上配置L2TP over IPSec功能。

    # 配置出差员工客户端。

    出差员工侧主机上必须装有L2TP客户端软件,并通过拨号方式连接到Internet。以Secoway VPN Client软件为例。

    1. 打开Secoway VPN Client软件,选中已有连接,单击“属性”。

      此操作要在VPN Client断开拨号的情况下执行。

      如果没有连接存在,请单击“新建”,根据向导建立新的连接。

    2. 在“基本设置”页面设置基本信息,并启用IPSec安全协议。

      参数设置如图1-4所示。启用IPSec安全协议,并设置登录密码为Hello123,身份验证字为Test!1234。

      VPN Client上设置的IPSec身份验证字需要与LNS上设置的预共享密钥保持一致。

      图1-4 LAC客户端基本设置

    3. 如果用户需要访问Internet,请在“基本设置”页签中选中“连接成功后允许访问Internet(N)”,并在“路由设置”页签中配置相关路由。
      图1-5 选中“连接成功后允许访问Internet(N)”

      图1-6 添加路由

    4. 在“L2TP设置”页面设置L2TP属性。

      参数设置如图1-7所示。隧道名称为client1。认证模式为CHAP。启用隧道验证功能,并设置隧道验证密码为Password@123。

      图1-7 LAC客户端L2TP设置

    5. 在“IPSec设置”页面设置IPSec基本信息。参数设置如图1-8所示。

      当LNS侧采用L2TP over IPSec方式配置VPN隧道时,LNS将不对VPN Client做隧道验证,因此VPN Client上无需配置“L2TP设置”页签。

      图1-8 LAC客户端IPSec设置

    6. 在“IKE设置”页面设置IKE基本信息。参数设置如图1-9所示。
    图1-9 LAC客户端IKE设置

结果验证

操作步骤

  1. 在FW_A上执行display hrp state命令,检查当前HRP的状态,显示以下信息表示HRP建立成功。

    HRP_M[FW_A] display hrp state 
     Role: active, peer: standby 
     Running priority: 46002, peer: 46002 
     Backup channel usage: 7% 
     Stable time: 0 days, 0 hours, 12 minutes

  2. 企业内网的不同用户以及出差员工可按照各自规划方案访问Internet。
  3. 在FW_A的接口GigabitEthernet1/0/1上执行shutdown命令,模拟链路故障,发现主备正常倒换,业务不会中断。

配置脚本

FW_A

FW_B

#
sysname FW_A
#
l2tp enable
# 
acl number 3000 
 rule permit ip source 10.1.0.0 0.0.0.255 destination 192.168.1.0 0.0.0.255
# 
 hrp enable 
 hrp interface Eth-Trunk 1 remote 10.10.0.2 
 hrp track interface GigabitEthernet 1/0/1 
 hrp track interface GigabitEthernet 1/0/4 
# 
 time-range work_time
  period-range 09:00:00 to 18:00:00 working-day 
# 
firewall defend land enable
firewall defend smurf enable
firewall defend fraggle enable
firewall defend winnuke enable
firewall defend source-route enable
firewall defend route-record enable
firewall defend time-stamp enable
firewall defend ping-of-death enable
# 
ike proposal 10 
  encryption-algorithm 3des    
  dh group5   
  authentication-method pre-share 
  integrity-algorithm hmac-sha2-256   
  prf hmac-sha1 
# 
ike peer headquarters
  pre-shared-key %$%$c([VET@941t/q_4tS-f7,ri/%$%$ 
  ike-proposal 10 
# 
ipsec proposal tran1 
 esp authentication-algorithm sha1
 esp encryption-algorithm aes-128    
# 
ipsec policy-template temp 1
 security acl 3000 
 ike-peer headquarter 
 proposal tran1 
# 
ipsec policy map1 1 isakmp template temp  
#  
l2tp-group 1
    allow l2tp virtual-template 1 remote client1
    tunnel name lns
    tunnel authentication
    tunnel password cipher %$%$f#c=(BljBC!s=)Xc*3*%$%$
#
interface Virtual-Template1
   ppp authentication-mode chap pap
   remote service-scheme l2tp
   ip address 10.11.1.1 255.255.255.0
# 
interface GigabitEthernet1/0/1 
 undo shutdown 
 ip address 1.1.1.2 255.255.255.0
 gateway 1.1.1.254  
 vrrp vrid 1 virtual-ip 1.1.1.1 255.255.255.0 active   
 ipsec policy policy1
# 
interface GigabitEthernet1/0/2 
 undo shutdown 
 ip address 2.2.2.2 255.255.255.0 
 gateway 2.2.2.254 
 vrrp vrid 1 virtual-ip 2.2.2.1 255.255.255.0 active
# 
interface GigabitEthernet1/0/4 
 undo shutdown 
 ip address 10.1.1.1 255.255.0.0  
# 
interface GigabitEthernet1/0/5 
 portswitch 
# 
interface Eth-Trunk 1
 ip address 10.10.0.1 255.255.255.0
 trunkport GigabitEthernet 1/0/3
 trunkport GigabitEthernet 2/0/1
#
firewall zone trust 
 set priority 85 
 add interface GigabitEthernet1/0/4 
 add interface GigabitEthernet1/0/5 
#
firewall zone untrust 
 set priority 5 
 add interface Virtual-Template1
# 
firewall zone ISP1 
 set priority 15 
 add interface GigabitEthernet1/0/1 
# 
firewall zone ISP2 
 set priority 20 
 add interface GigabitEthernet1/0/2 
# 
firewall zone Heart 
 set priority 75 
 add interface Eth-Trunk1 
#
router id 1.1.1.2
#   
ospf 100 
 default-route-advertise 
 area 0 
  network 1.1.1.0 0.0.0.255 
  network 10.1.0.0 0.0.0.255 
# 
ip-link check enable 
ip-link name ip_link_1 
 destination 1.1.1.254 interface GigabitEthernet1/0/1
ip-link name ip_link_2 
 destination 2.2.2.254 interface GigabitEthernet1/0/2
# 
 ip route-static 0.0.0.0 0.0.0.0 1.1.1.254 track ip-link ip_link_1
 ip route-static 0.0.0.0 0.0.0.0 2.2.2.254 track ip-link ip_link_2
#  
 user-manage online-user aging-time 480 
 user-manage single-sign-on ad 
  mode no-plug-in 
  no-plug-in interface GigabitEthernet1/0/5 
  no-plug-in traffic server-ip 10.3.0.251 port 88 
  enable 
# 
user-manage user vpdnuser 
 password Hello123 
#             
ad-server template auth_server_ad 
 ad-server authentication 10.3.0.251 88 
 ad-server authentication base-dn dc=cce,dc=com 
 ad-server authentication manager cn=administrator,cn=users %$%$M#._~J4QrR[kJu7PUMtHUqh_%$%$ 
 ad-server authentication host-name ad.cce.com 
 ad-server authentication ldap-port 389 
 ad-server user-filter sAMAccountName 
 ad-server group-filter ou 
#             
 user-manage import-policy policy_import from ad 
 server template auth_server_ad   
 server basedn dc=cce,dc=com      
 destination-group /cce.com     
 user-attribute sAMAccountName    
 user-filter (&(|(objectclass=person)(objectclass=organizationalPerson))(cn=*)(!(objectclass=computer))) 
 group-filter (|(objectclass=organizationalUnit)(ou=*)) 
 import-type user-group      
 import-override enable     
# 
ip pool pool1
 section 1 10.1.1.2 10.1.1.100
# 
aaa 
 authorization-scheme default 
  authentication-mode local
 service-scheme l2tp
  ip-pool pool1
domain net1 
  service-type internetaccess l2tp
  authentication-scheme default
  service-scheme l2tp 
# 
profile type url-filter name profile_url 
 category pre-defined control-level medium
 category pre-defined action allow
#  
nat address-group nataddr
 mode pat 
 route enable 
 section 0 1.1.1.1 1.1.1.4 
# 
 multi-interface 
  mode priority-of-link-quality 
  priority-of-link-quality parameter delay jitter loss 
  priority-of-link-quality protocol tcp-simple 
  priority-of-link-quality interval 3 times 5 
  priority-of-link-quality table aging-time 60 
  add interface GigabitEthernet1/0/1 
  add interface GigabitEthernet1/0/2 
# 
policy-based-route 
 rule name pbr_1 
  description pbr_1 
  source-zone trust 
  application category Business_Systems 
  track ip-link ip_link_1
  action pbr egress-interface GigabitEthernet1/0/1 next-hop 1.1.1.254 
 rule name pbr_2 
  description pbr_2 
  source-zone trust 
  application category Entertainment sub-category VoIP 
  application category Entertainment sub-category PeerCasting 
  track ip-link ip_link_2
  action pbr egress-interface GigabitEthernet1/0/2 next-hop 2.2.2.254 
#   
security-policy    
  rule name policy_sec_management 
    source-zone trust  
    destination-zone ISP1 
    destination-zone ISP2 
    user user-group /default/management 
    profile av default 
    profile ips default 
    profile url-filter profile_url 
    action permit  
  rule name policy_sec_marketing_1 
    source-zone trust  
    destination-zone ISP1 
    destination-zone ISP2 
    user user-group /default/marketing 
    application category Entertainment sub-category Media_Sharing 
    application category Entertainment sub-category Game 
    action deny 
  rule name policy_sec_marketing_2 
    source-zone trust  
    destination-zone ISP1 
    destination-zone ISP2 
    user user-group /default/marketing 
    profile av default 
    profile ips default 
    profile url-filter profile_url 
    action permit  
  rule name policy_sec_research_1 
    source-zone trust  
    destination-zone ISP1 
    destination-zone ISP2 
    user user-group /default/research 
    application category Entertainment 
    action deny 
  rule name policy_sec_research_2 
    source-zone trust  
    destination-zone ISP1 
    destination-zone ISP2 
    user user-group /default/research 
    profile av default 
    profile ips default 
    profile url-filter profile_url 
    action permit  
  rule name policy_sec_manufacture 
    source-zone trust  
    destination-zone ISP1 
    destination-zone ISP2 
    user user-group /default/manufacture 
    action deny 
  rule name policy_sec_ipsec_1 
    source-zone local 
    source-zone ISP1 
    source-zone ISP2 
    destination-zone local 
    destination-zone ISP1 
    destination-zone ISP2 
    source-address 1.1.1.2 32 
    source-address 3.3.3.1 32 
    destination-address 1.1.1.2 32 
    destination-address 3.3.3.1 32 
    action permit 
  rule name policy_sec_ipsec_2 
    source-zone trust 
    destination-zone ISP1 
    destination-zone ISP2 
    source-address 10.1.0.0 16 
    destination-address 192.168.1.0 24 
    profile av default 
    profile ips default 
    action permit 
  rule name policy_sec_ipsec_3 
    source-zone ISP1 
    source-zone ISP2 
    destination-zone trust 
    source-address 192.168.1.0 24 
    profile av default 
    profile ips default 
    action permit 
 rule name policy_sec_l2tp_ipsec_1
    source-zone trust
    destination-zone ISP1 
    destination-zone ISP2 
    source-address 10.1.1.1 16 
    destination-address range 10.1.1.2 10.1.1.100    
    action permit 
 rule name policy_sec_l2tp_ipsec_2
    source-zone untrust
    destination-zone trust 
    source-address range 10.1.1.2 10.1.1.100
    destination-address 10.1.1.1 16    
    action permit
  rule name local_policy_ad_01 
    source-zone local 
    destination-zone trust 
    destination-address 10.3.0.251 32 
    action permit 
  rule name local_policy_ad_02 
    source-zone trust 
    destination-zone local 
    source-address 10.3.0.251 32 
    action permit 
  rule name policy_sec_server
    source-zone ISP1
    source-zone ISP2
    destination-zone trust 
    destination-address 10.2.0.10 32 
    destination-address 10.2.0.11 32 
    action permit 
#   
nat-policy   
  rule name policy_nat_internet_01 
    source-zone trust  
    destination-zone ISP1 
    action source-nat address-group nataddr
  rule name policy_nat_internet_02 
    source-zone trust  
    destination-zone ISP2 
    action source-nat address-group nataddr 
  rule name policy_nat_ipsec_01 
    source-zone trust  
    destination-zone ISP1 
    destination-address 192.168.1.0 24 
    action no-pat 
  rule name policy_nat_ipsec_02 
    source-zone trust  
    destination-zone ISP2 
    destination-address 192.168.1.0 24 
    action no-pat 
# 
traffic-policy       
 profile profile_p2p 
  bandwidth maximum-bandwidth whole upstream 2000000
  bandwidth connection-limit whole downstream 6000000
  bandwidth connection-limit whole both 10000
 profile profile_email 
  bandwidth guaranteed-bandwidth whole upstream 4000000
  bandwidth guaranteed-bandwidth whole downstream 4000000
 profile profile_management 
  bandwidth guaranteed-bandwidth whole upstream 200000
  bandwidth guaranteed-bandwidth whole downstream 200000
  bandwidth maximum-bandwidth per-ip upstream 20000
  bandwidth maximum-bandwidth per-ip downstream 20000
 rule name policy_bandwidth_p2p
  source-zone trust  
  destination-zone ISP1 
  destination-zone ISP2 
  application category Entertainment sub-category PeerCasting 
  application category General_Internet sub-category FileShare_P2P 
  action qos profile profile_p2p 
 rule name policy_email 
  source-zone trust 
  destination-zone ISP1 
  destination-zone ISP2 
  application app LotusNotes 
  application app OWA 
  time-range work_time 
  action qos profile profile_email 
 rule name policy_bandwidth_management
  source-zone ISP1 
  source-zone ISP2 
  destination-zone trust 
  user user-group /default/management 
  action qos profile profile_management  
# 以下创建用户/组的配置保存于数据库,不在配置文件体现 
user-manage group /default/management 
user-manage group /default/marketing 
user-manage group /default/research 
user-manage user user_0001 
 alias Tom 
 parent-group /default/management 
 password ********* 
 undo multi-ip online enable
#
sysname FW_B
#  
l2tp enable
# 
acl number 3000 
 rule permit ip source 10.1.0.0 0.0.0.255 destination 192.168.1.0 0.0.0.255 
# 
 hrp enable 
 hrp interface Eth-Trunk 1 remote 10.10.0.1 
 hrp track interface GigabitEthernet 1/0/1 
 hrp track interface GigabitEthernet 1/0/4 
# 
 time-range work_time
  period-range 09:00:00 to 18:00:00 working-day 
# 
firewall defend land enable
firewall defend smurf enable
firewall defend fraggle enable
firewall defend winnuke enable
firewall defend source-route enable
firewall defend route-record enable
firewall defend time-stamp enable
firewall defend ping-of-death enable
# 
ike proposal 10 
  encryption-algorithm 3des    
  dh group5   
  authentication-method pre-share 
  integrity-algorithm hmac-sha2-256   
  prf hmac-sha1 
# 
ike peer headquarters
  pre-shared-key %$%$c([VET@941t/q_4tS-f7,ri/%$%$ 
  ike-proposal 10 
# 
ipsec proposal tran1 
 esp authentication-algorithm sha1
 esp encryption-algorithm aes-128    
# 
ipsec policy-template temp 1
 security acl 3000 
 ike-peer headquarter 
 proposal tran1 
# 
ipsec policy map1 1 isakmp template temp 
#  
l2tp-group 1
    allow l2tp virtual-template 1 remote client1
    tunnel name lns
    tunnel authentication
    tunnel password cipher %$%$f#c=(BljBC!s=)Xc*3*%$%$
#
interface Virtual-Template1
   ppp authentication-mode chap pap
   remote service-scheme l2tp
   ip address 10.11.1.1 255.255.255.0
# 
interface GigabitEthernet1/0/1 
 undo shutdown 
 ip address 1.1.1.3 255.255.255.0 
 gateway 1.1.1.254 
 vrrp vrid 1 virtual-ip 1.1.1.1 255.255.255.0 standby 
 ipsec policy policy1
# 
interface GigabitEthernet1/0/2 
 undo shutdown 
 ip address 2.2.2.1 255.255.255.0  
 gateway 2.2.2.254
 vrrp vrid 1 virtual-ip 2.2.2.1 255.255.255.0 standby
# 
interface GigabitEthernet1/0/4 
 undo shutdown 
 ip address 10.2.1.1 255.255.0.0  
# 
interface GigabitEthernet1/0/5 
 portswitch 
# 
interface Eth-Trunk 1
 ip address 10.10.0.2 255.255.255.0
 trunkport GigabitEthernet 1/0/3
 trunkport GigabitEthernet 2/0/1
#
firewall zone trust 
 set priority 85 
 add interface GigabitEthernet1/0/4 
 add interface GigabitEthernet1/0/5 
#
firewall zone untrust 
 set priority 5 
 add interface Virtual-Template1
# 
firewall zone ISP1 
 set priority 15 
 add interface GigabitEthernet1/0/1 
# 
firewall zone ISP2 
 set priority 20 
 add interface GigabitEthernet1/0/2 
# 
firewall zone Heart 
 set priority 75 
 add interface Eth-Trunk1 
#
router id 2.2.2.3
#   
ospf 100 
 default-route-advertise 
 area 0 
  network 2.2.2.0 0.0.0.255 
  network 10.2.0.0 0.0.0.255 
# 
ip-link check enable 
ip-link name ip_link_1 
 destination 1.1.1.254 interface GigabitEthernet1/0/1
ip-link name ip_link_2 
 destination 2.2.2.254 interface GigabitEthernet1/0/2
# 
 ip route-static 0.0.0.0 0.0.0.0 1.1.1.254 track ip-link ip_link_1
 ip route-static 0.0.0.0 0.0.0.0 2.2.2.254 track ip-link ip_link_2
#  
 user-manage online-user aging-time 480 
 user-manage single-sign-on ad 
  mode no-plug-in 
  no-plug-in interface GigabitEthernet1/0/5 
  no-plug-in traffic server-ip 10.3.0.251 port 88 
  enable 
# 
user-manage user vpdnuser 
 password Hello123 
#             
ad-server template auth_server_ad 
 ad-server authentication 10.3.0.251 88 
 ad-server authentication base-dn dc=cce,dc=com 
 ad-server authentication manager cn=administrator,cn=users %$%$M#._~J4QrR[kJu7PUMtHUqh_%$%$ 
 ad-server authentication host-name ad.cce.com 
 ad-server authentication ldap-port 389 
 ad-server user-filter sAMAccountName 
 ad-server group-filter ou 
#             
 user-manage import-policy policy_import from ad 
 server template auth_server_ad   
 server basedn dc=cce,dc=com      
 destination-group /cce.com     
 user-attribute sAMAccountName    
 user-filter (&(|(objectclass=person)(objectclass=organizationalPerson))(cn=*)(!(objectclass=computer))) 
 group-filter (|(objectclass=organizationalUnit)(ou=*)) 
 import-type user-group      
 import-override enable     
# 
ip pool pool1
 section 1 10.1.1.2 10.1.1.100
# 
aaa 
 authorization-scheme default 
  authentication-mode local
 service-scheme l2tp
  ip-pool pool1
domain net1 
  service-type internetaccess l2tp
  authentication-scheme default
  service-scheme l2tp
# 
profile type url-filter name profile_url 
 category pre-defined control-level medium
 category pre-defined action allow
#  
nat address-group nataddr
 mode pat 
 route enable 
 section 0 1.1.1.1 1.1.1.4 
# 
 multi-interface 
  mode priority-of-link-quality 
  priority-of-link-quality parameter delay jitter loss 
  priority-of-link-quality protocol tcp-simple 
  priority-of-link-quality interval 3 times 5 
  priority-of-link-quality table aging-time 60 
  add interface GigabitEthernet1/0/1 
  add interface GigabitEthernet1/0/2 
# 
policy-based-route 
 rule name pbr_1 
  description pbr_1 
  source-zone trust 
  application category Business_Systems 
  track ip-link ip_link_1
  action pbr egress-interface GigabitEthernet1/0/1 next-hop 1.1.1.254 
 rule name pbr_2 
  description pbr_2 
  source-zone trust 
  application category Entertainment sub-category VoIP 
  application category Entertainment sub-category PeerCasting 
  track ip-link ip_link_2
  action pbr egress-interface GigabitEthernet1/0/2 next-hop 2.2.2.254 
#   
security-policy    
  rule name policy_sec_management 
    source-zone trust  
    destination-zone ISP1 
    destination-zone ISP2 
    user user-group /default/management 
    profile av default 
    profile ips default 
    profile url-filter profile_url 
    action permit  
  rule name policy_sec_marketing_1 
    source-zone trust  
    destination-zone ISP1 
    destination-zone ISP2 
    user user-group /default/marketing 
    application category Entertainment sub-category Media_Sharing 
    application category Entertainment sub-category Game 
    action deny 
  rule name policy_sec_marketing_2 
    source-zone trust  
    destination-zone ISP1 
    destination-zone ISP2 
    user user-group /default/marketing 
    profile av default 
    profile ips default 
    profile url-filter profile_url 
    action permit  
  rule name policy_sec_research_1 
    source-zone trust  
    destination-zone ISP1 
    destination-zone ISP2 
    user user-group /default/research 
    application category Entertainment 
    action deny 
  rule name policy_sec_research_2 
    source-zone trust  
    destination-zone ISP1 
    destination-zone ISP2 
    user user-group /default/research 
    profile av default 
    profile ips default 
    profile url-filter profile_url 
    action permit  
  rule name policy_sec_manufacture 
    source-zone trust  
    destination-zone ISP1 
    destination-zone ISP2 
    user user-group /default/manufacture 
    action deny 
  rule name policy_sec_ipsec_1 
    source-zone local 
    source-zone ISP1 
    source-zone ISP2 
    destination-zone local 
    destination-zone ISP1 
    destination-zone ISP2 
    source-address 1.1.1.2 32 
    source-address 3.3.3.1 32 
    destination-address 1.1.1.2 32 
    destination-address 3.3.3.1 32 
    action permit 
  rule name policy_sec_ipsec_2 
    source-zone trust 
    destination-zone ISP1 
    destination-zone ISP2 
    source-address 10.1.0.0 16 
    destination-address 192.168.1.0 24 
    profile av default 
    profile ips default 
    action permit 
  rule name policy_sec_ipsec_3 
    source-zone ISP1 
    source-zone ISP2 
    destination-zone trust 
    source-address 192.168.1.0 24 
    profile av default 
    profile ips default 
    action permit 
 rule name policy_sec_l2tp_ipsec_1
    source-zone trust
    destination-zone ISP1 
    destination-zone ISP2 
    source-address 10.1.1.1 16 
    destination-address range 10.1.1.2 10.1.1.100    
    action permit 
 rule name policy_sec_l2tp_ipsec_2
    source-zone untrust
    destination-zone trust 
    source-address range 10.1.1.2 10.1.1.100
    destination-address 10.1.1.1 16    
    action permit
  rule name local_policy_ad_01 
    source-zone local 
    destination-zone trust 
    destination-address 10.3.0.251 32 
    action permit 
  rule name local_policy_ad_02 
    source-zone trust 
    destination-zone local 
    source-address 10.3.0.251 32 
    action permit 
 rule name policy_sec_server
    source-zone ISP1
    source-zone ISP2
    destination-zone trust 
    destination-address 10.2.0.10 32 
    destination-address 10.2.0.11 32 
    action permit 
#   
nat-policy   
  rule name policy_nat_internet_01 
    source-zone trust  
    destination-zone ISP1 
    action source-nat address-group nataddr 
  rule name policy_nat_internet_02 
    source-zone trust  
    destination-zone ISP2 
    action source-nat address-group nataddr 
  rule name policy_nat_ipsec_01 
    source-zone trust  
    destination-zone ISP1 
    destination-address 192.168.1.0 24 
    action no-pat 
  rule name policy_nat_ipsec_02 
    source-zone trust  
    destination-zone ISP2 
    destination-address 192.168.1.0 24 
    action no-pat 
# 
traffic-policy       
 profile profile_p2p 
  bandwidth maximum-bandwidth whole upstream 2000000
  bandwidth connection-limit whole downstream 6000000
  bandwidth connection-limit whole both 10000
 profile profile_email 
  bandwidth guaranteed-bandwidth whole upstream 4000000
  bandwidth guaranteed-bandwidth whole downstream 4000000
 profile profile_management 
  bandwidth guaranteed-bandwidth whole upstream 200000
  bandwidth guaranteed-bandwidth whole downstream 200000
  bandwidth maximum-bandwidth per-ip upstream 20000
  bandwidth maximum-bandwidth per-ip downstream 20000
 rule name policy_bandwidth_p2p
  source-zone trust  
  destination-zone ISP1 
  destination-zone ISP2 
  application category Entertainment sub-category PeerCasting 
  application category General_Internet sub-category FileShare_P2P 
  action qos profile profile_p2p 
 rule name policy_email 
  source-zone trust 
  destination-zone ISP1 
  destination-zone ISP2 
  application app LotusNotes 
  application app OWA 
  time-range work_time 
  action qos profile profile_email 
 rule name policy_bandwidth_management
  source-zone ISP1 
  source-zone ISP2 
  destination-zone trust 
  user user-group /default/management 
  action qos profile profile_management 
# 以下创建用户/组的配置保存于数据库,不在配置文件体现 
user-manage group /default/management 
user-manage group /default/marketing 
user-manage group /default/research 
user-manage user user_0001 
 alias Tom 
 parent-group /default/management 
 password ********* 
 undo multi-ip online enable

FW_A的配置脚本

# 
acl number 3000 
 rule permit ip source 10.1.1.0 0.0.0.255 destination 10.1.2.0 0.0.0.255 
# 
 hrp enable 
 hrp interface Eth-Trunk 1 remote 10.10.0.2 
 hrp track interface GigabitEthernet 1/0/1 
 hrp track interface GigabitEthernet 1/0/4 
# 
 time-range work_time
  period-range 09:00:00 to 18:00:00 working-day 
# 
firewall defend land enable
firewall defend smurf enable
firewall defend fraggle enable
firewall defend winnuke enable
firewall defend source-route enable
firewall defend route-record enable
firewall defend time-stamp enable
firewall defend ping-of-death enable
# 
ike proposal 10 
  encryption-algorithm 3des    
  dh group5   
  authentication-method pre-share 
  integrity-algorithm hmac-sha2-256   
  prf hmac-sha1 
# 
ike peer b 
  pre-shared-key %$%$c([VET@941t/q_4tS-f7,ri/%$%$ 
  ike-proposal 10 
  remote-address 1.1.5.1 
# 
ike peer c 
  pre-shared-key %$%$d([VET@941t/q_56S-f7,ra/%$%$ 
  ike-proposal 10 
# 
ipsec proposal tran1 
 esp authentication-algorithm sha1
 esp encryption-algorithm aes-128    
# 
ipsec policy map1 10 isakmp 
 security acl 3000 
 ike-peer b 
 proposal tran1 
# 
ipsec policy-template map_temp 11 
 security acl 3000 
 ike-peer headquarter 
 proposal tran1 
# 
ipsec policy map1 20 isakmp template map_temp 
# 
interface GigabitEthernet1/0/1 
 undo shutdown 
 ip address 1.1.1.2 255.255.255.0  
 vrrp vrid 1 virtual-ip 1.1.1.1 255.255.255.0 active 
 anti-ddos syn-flood source-detect alert-rate 100000
 anti-ddos udp-flood relation-defend source-detect alert-speed 10000   
 ipsec policy map1 
# 
interface GigabitEthernet1/0/2 
 undo shutdown 
 ip address 2.2.2.2 255.255.255.0  
 vrrp vrid 1 virtual-ip 2.2.2.1 255.255.255.0 active 
 anti-ddos syn-flood source-detect alert-rate 100000
 anti-ddos udp-flood relation-defend source-detect alert-speed 10000
# 
interface GigabitEthernet1/0/3 
 undo shutdown 
# 
interface GigabitEthernet1/0/4 
 undo shutdown 
 ip address 10.1.1.1 255.255.0.0  
# 
interface GigabitEthernet1/0/5 
 portswitch 
# 
interface Eth-Trunk 1
 ip address 10.10.0.1 255.255.255.0
 trunkport GigabitEthernet 1/0/3
 trunkport GigabitEthernet 2/0/1
#
firewall zone trust 
 set priority 85 
 add interface GigabitEthernet1/0/4 
 add interface GigabitEthernet1/0/5 
# 
firewall zone ISP1 
 set priority 15 
 add interface GigabitEthernet1/0/1 
# 
firewall zone ISP2 
 set priority 20 
 add interface GigabitEthernet1/0/2 
# 
firewall zone Heart 
 set priority 75 
 add interface Eth-Trunk1 
#   
ospf 100 
 default-route-advertise 
 area 0 
  network 1.1.1.0 0.0.0.255 
  network 10.2.0.0 0.0.0.255 
# 
ip-link check enable 
ip-link name ip_link_1 
 destination 1.1.1.254 
ip-link name ip_link_2 
 destination 2.2.2.254 
# 
 ip route-static 0.0.0.0 0.0.0.0 1.1.1.254 track ip-link ip_link_1
 ip route-static 0.0.0.0 0.0.0.0 2.2.2.254 track ip-link ip_link_2
#  
 user-manage online-user aging-time 480 
 user-manage single-sign-on ad 
  mode no-plug-in 
  no-plug-in interface GigabitEthernet1/0/5 
  no-plug-in traffic server-ip 10.3.0.251 port 88 
  enable 
# 
user-manage user vpdnuser 
 password Hello123 
#             
ad-server template auth_server_ad 
 ad-server authentication 10.3.0.251 88 
 ad-server authentication base-dn dc=cce,dc=com 
 ad-server authentication manager cn=administrator,cn=users %$%$M#._~J4QrR[kJu7PUMtHUqh_%$%$ 
 ad-server authentication host-name ad.cce.com 
 ad-server authentication ldap-port 389 
 ad-server user-filter sAMAccountName 
 ad-server group-filter ou 
#             
 user-manage import-policy policy_import from ad 
 server template auth_server_ad   
 server basedn dc=cce,dc=com      
 destination-group /cce.com     
 user-attribute sAMAccountName    
 user-filter (&(|(objectclass=person)(objectclass=organizationalPerson))(cn=*)(!(objectclass=computer))) 
 group-filter (|(objectclass=organizationalUnit)(ou=*)) 
 import-type user-group      
 import-override enable     
# 
aaa 
 domain cce.com 
  service-type internetaccess 
  new-user add-temporary group /cce.com auto-import policy_import 
# 
url-filter category user-defined name abc 
# 
profile type url-filter name default 
profile type url-filter name profile_url_1987 
 category pre-defined control-level medium  
#  
nat address-group 1 
 mode pat 
 route enable 
 section 0 1.1.1.1 1.1.1.4 
# 
 multi-interface 
  mode priority-of-link-quality 
  priority-of-link-quality parameter delay jitter loss 
  priority-of-link-quality protocol tcp-simple 
  priority-of-link-quality interval 3 times 5 
  priority-of-link-quality table aging-time 60 
  add interface GigabitEthernet1/0/1 
  add interface GigabitEthernet1/0/2 
# 
policy-based-route 
 rule name pbr_1 
  description pbr_1 
  source-zone trust 
  application category Business_Systems 
  track ip-link pbr_1 
  action pbr egress-interface GigabitEthernet1/0/1 next-hop 1.1.1.254 
 rule name pbr_2 
  description pbr_2 
  source-zone trust 
  application category Entertainment sub-category VoIP 
  application category Entertainment sub-category PeerCasting 
  track ip-link pbr_2 
  action pbr egress-interface GigabitEthernet1/0/2 next-hop 2.2.2.254 
#   
security-policy    
  rule name policy_sec_management 
    source-zone trust  
    destination-zone ISP1 
    destination-zone ISP2 
    user user-group /default/management 
    profile av default 
    profile ips default 
    profile url-filter profile_url 
    action permit  
  rule name policy_sec_marketing_1 
    source-zone trust  
    destination-zone ISP1 
    destination-zone ISP2 
    user user-group /default/marketing 
    application category Entertainment sub-category Media_Sharing 
    application category Entertainment sub-category Game 
    action deny 
  rule name policy_sec_marketing_2 
    source-zone trust  
    destination-zone ISP1 
    destination-zone ISP2 
    user user-group /default/marketing 
    profile av default 
    profile ips default 
    profile url-filter profile_url 
    action permit  
  rule name policy_sec_research_1 
    source-zone trust  
    destination-zone ISP1 
    destination-zone ISP2 
    user user-group /default/research 
    application category Entertainment 
    action deny 
  rule name policy_sec_research_2 
    source-zone trust  
    destination-zone ISP1 
    destination-zone ISP2 
    user user-group /default/research 
    profile av default 
    profile ips default 
    profile url-filter profile_url 
    action permit  
  rule name policy_sec_manufacture 
    source-zone trust  
    destination-zone ISP1 
    destination-zone ISP2 
    user user-group /default/manufacture 
    action deny 
  rule name policy_sec_ipsec_1 
    source-zone local 
    source-zone ISP1 
    source-zone ISP2 
    destination-zone local 
    destination-zone ISP1 
    destination-zone ISP2 
    source-address 1.1.1.2 32 
    source-address 3.3.3.1 32 
    destination-address 1.1.1.2 32 
    destination-address 3.3.3.1 32 
    action permit 
  rule name policy_sec_ipsec_2 
    source-zone trust 
    destination-zone ISP1 
    destination-zone ISP2 
    source-address 10.1.0.0 16 
    destination-address 192.168.1.0 24 
    profile av default 
    profile ips default 
    action permit 
  rule name policy_sec_ipsec_3 
    source-zone ISP1 
    source-zone ISP2 
    destination-zone trust 
    source-address 192.168.1.0 24 
    profile av default 
    profile ips default 
    action permit 
  rule name local_policy_ad_01 
    source-zone local 
    destination-zone trust 
    destination-address 10.3.0.251 32 
    action permit 
  rule name local_policy_ad_02 
    source-zone trust 
    destination-zone local 
    source-address 10.3.0.251 32 
    action permit 
#   
nat-policy   
  rule name policy_nat_internet_01 
    source-zone trust  
    destination-zone ISP1 
    action source-nat address-group 1 
  rule name policy_nat_internet_02 
    source-zone trust  
     destination-zone ISP2 
    action source-nat address-group 1 
  rule name policy_nat_ipsec_01 
    source-zone trust  
    destination-zone ISP1 
      destination-address 192.168.1.0 24 
    action no-pat 
  rule name policy_nat_ipsec_02 
    source-zone trust  
    destination-zone ISP2 
    destination-address 192.168.1.0 24 
    action no-pat 
# 
traffic-policy       
 profile profile_p2p 
  bandwidth maximum-bandwidth whole both 30000
  bandwidth connection-limit whole both 10000
 profile profile_email 
  bandwidth guaranteed-bandwidth whole both 60000 
 profile profile_management 
  bandwidth maximum-bandwidth whole downstream 50000 
 profile profile_marketing 
  bandwidth maximum-bandwidth whole downstream 30000 
 profile profile_research 
  bandwidth maximum-bandwidth whole downstream 20000 
 rule name policy_p2p
  source-zone trust  
  destination-zone ISP1 
  destination-zone ISP2 
  application category Entertainment sub-category PeerCasting 
  application category General_Internet sub-category FileShare_P2P 
  action qos profile profile_p2p 
 rule name policy_email 
  source-zone trust 
  destination-zone ISP1 
  destination-zone ISP2 
  application app LotusNotes 
  application app OWA 
  time-range work_time 
  action qos profile profile_email 
 rule name policy_management 
  source-zone ISP1 
  source-zone ISP2 
  destination-zone trust 
  user user-group /default/management 
  action qos profile profile_management 
 rule name policy_marketing 
  source-zone ISP1 
  source-zone ISP2 
  destination-zone trust 
  user user-group /default/marketing 
  action qos profile profile_marketing 
 rule name policy_research 
  source-zone ISP1 
  source-zone ISP2 
  destination-zone trust 
  user user-group /default/research 
  action qos profile profile_research 
# 以下创建用户/组的配置保存于数据库,不在配置文件体现 
user-manage group /default/management 
user-manage group /default/marketing 
user-manage group /default/research 
user-manage user user_0001 
 alias Tom 
 parent-group /default/management 
 password ********* 
 undo multi-ip online enable

方案总结与建议

  1. 该方案描述了防火墙在企业园区网络的Internet出口处的典型应用。如果您想在企业网络出口部署防火墙,完全可以借鉴此案例。
  2. 该方案诠释了双机热备的经典组网:“防火墙上行连接交换机,下行连接路由器”。我们可以借此理解双机热备的典型应用。
  3. 该方案展现了防火墙作为网关的多出口选路能力,包括:全局智能选路和策略路由智能选路等功能。
  4. 该方案还体现了防火墙的应用识别和控制能力。防火墙不仅能够识别端口信息,还能够识别各种应用,并且能够根据应用进行访问控制、策略路由和流量控制。
翻译
下载文档
更新时间:2019-06-17

文档编号:EDOC1100087932

浏览量:1779

下载量:504

平均得分:
本文档适用于这些产品
相关版本
相关文档
Share
上一页 下一页