评分并提供意见反馈 :
华为采用机器翻译与人工审校相结合的方式将此文档翻译成不同语言,希望能帮助您更容易理解此文档的内容。 请注意:即使是最好的机器翻译,其准确度也不及专业翻译人员的水平。 华为对于翻译的准确性不承担任何责任,并建议您参考英文文档(已提供链接)。
防火墙在企业园区出口安全方案中的应用
简介
本案例介绍了如何将设备作为大中型企业的出口网关,来对企业的网络安全进行防护。案例描述了设备最常用的场景和特性,可以供管理员在规划和组建企业网络时参考。
基于USG6000&USG9500 V500R005C00版本写作,可供USG6000&USG9500 V500R005C00、USG6000E V600R006C00及后续版本参考。不同版本之间可能存在差异,请以实际版本为准。
方案简介
企业园区网简介
企业园区网是指企业或者机构的内部网络,路由结构完全由一个机构来管理,与广域互联、数据中心相关,合作伙伴或者出差员工、访客等通过VPN、WAN或者Internet访问企业内部。
企业园区网通常是一种用户高密度的非运营网络,在有限的空间内聚集了大量的终端和用户。同时对于企业园区网而言,注重的是网络的简单可靠、易部署、易维护。因此在企业园区网中,拓扑结构通常以星型结构为主,较少使用环网结构(环网结构较多的运用在运营商的城域网络和骨干网络中,可以节约光纤资源)。
企业网络架构如图1-1所示,数据从内网用户到达Internet,需要经过三层汇聚交换机、三层核心交换机以及网关设备接入Internet。
企业内部员工按照负责业务类型不同,被划分在多个不同部门。在保证企业内网用户能正常访问Internet并不被外网恶意流量攻击的基础上,还要对不同部门员工的上网权限和流量进行限制。同时,还要保证分支机构员工和出差员工能有正常访问总部网络以便业务交流和资源共享。
- 接入层
负责将各种终端接入到园区网络,通常由以太网交换机组成。对于某些终端,可能还要增加特定的接入设备,例如无线接入的AP设备、POTS话机接入的IAD等。
- 汇聚层
汇聚层将众多的接入设备和大量用户经过一次汇聚后再接入到核心层,扩展核心层接入用户的数量。
- 核心层
核心层负责整个企业园区网的高速互联,一般不部署具体的业务。核心网络需要实现带宽的高利用率和故障的快速收敛。
- 企业园区出口
企业园区出口是企业园区网络到外部公网的边界,企业园区网的内部用户通过边缘网络接入到公网,外部用户(包括客户、合作伙伴、分支机构、远程用户等)也通过边缘网络接入到内部网络。
- 数据中心
部署服务器和应用系统的区域。为企业内部和外部用户提供数据和应用服务。
- 网管中心
对网络、服务器、应用系统进行管理的区域。包括故障管理,配置管理,性能管理,安全管理等。
FW在企业园区出口的应用
FW通常作为企业园区网出口的网关,常用特性如下:
- 双机热备
为提升网络可靠性,可在企业网络出口部署两台FW构成双机热备的组网。当一台FW所在链路出现问题,企业网络流量可被切换至备用FW,保证企业内外部的正常通信。
- NAT
由于IPv4公网地址资源有限,企业内网用户在企业内网分配的一般是私网地址,很少会直接分配公网地址,当企业内网用户访问Internet时需要进行地址转换。FW部署在企业内网的Internet出口可提供NAT功能。
- 安全防护
FW可提供攻击防范功能,保护企业网络免受外网恶意流量攻击。
- 内容安全
FW可提供入侵防御、反病毒以及URL过滤等安全功能,为企业网络内部提供绿色的网络环境。
- 带宽管理
FW可提供带宽管理功能,按照应用或用户等识别流量并针对不同流量进行控制。
方案设计
典型组网
接入Internet时,企业的网络环境在访问控制、安全防护、出口带宽管理等方面面临诸多问题。在企业的出口部署FW,可以帮助企业解决这些问题,保证业务正常运行。
如图1-2所示,某企业分别向两个ISP租用了两条10G链路,为企业网用户提供宽带上网服务。该企业还在服务器区部署了服务器,为内外网用户提供访问。
企业网的Internet出口处部署了两台FW作为出口网关链接企业园区内外部网络并为保护企业内部网络的安全。两台防火墙的上行接口通过出口汇聚交换机与两个ISP相连,下行接口通过三层核心交换机与企业内网和服务器区的交换机相连。
企业内部员工众多,业务复杂,流量构成多种多样,企业将内部网络接入Internet时需要实现的目标及面临的问题包括:
- 企业出口网关设备必须具备较高的可靠性,为了避免单点故障,要求两台设备形成双机热备状态。当一台设备发生故障时,另一台设备会接替其工作,不会影响业务正常运行。
- 企业从两个ISP租用了两条链路,要求出口网关设备可以识别流量的应用类型,将不同应用类型的流量送往合适的链路,提高链路利用率,避免网络拥塞。
- 企业内部用户分为研发部员工、市场部员工、生产部员工以及管理者,根据企业内部各个部门的实际业务需求,在出口网关设备上基于用户/部门和应用来制定访问控制策略。
- 为了实现企业内网大量用户通过公网地址访问Internet的目的,要求出口网关设备能够将私网地址转换为公网地址。
- 在网关设备上存储用户和部门的信息,体现公司的组织结构,供策略引用。在服务器区部署AD服务器,为实现基于用户的网络行为控制和网络权限分配提供基础。
- 对公司外的用户提供Web服务器和FTP服务器的访问。
- 企业内部网络面临来自Internet的非法访问、以及各种攻击和入侵行为,要求出口网关设备可以防范各种病毒、蠕虫、木马和僵尸网络攻击,保护公司网络的安全。此外,对公司员工访问的网站进行过滤,禁止所有成人网站和非法网站的访问。
- 要求出口网关设备防范针对企业内部网络的SYN Flood、UDP Flood攻击和畸形报文攻击。
- 要求出口网关设备可以基于应用的流量控制,对大量占用网络带宽的流量(如P2P流量)进行限制,保证关键业务的正常运行。此外,还可以基于不同用户/部门实施差异化的带宽管理。
- 要求出差和家庭办公的研发员工能够安全地使用公司的ERP系统和邮件系统,高级管理者和市场员工能够像在公司内网一样正常办公。
业务规划
接口与安全区域规划
如下图所示,每台防火墙有5个接口,由于每个接口连接不同的安全区域,需要将这5个接口加入到不同安全区域。
图1-3 FW各个接口所属安全区域
![]()
- 连接ISP1链路的接口GE1/0/1加入区域ISP1。ISP1区域需要新建,优先级设定为15。
- 连接ISP2链路的接口GE1/0/2加入ISP2区域。ISP2区域需要新建,优先级设定为20。
- 连接核心路由器的接口GE1/0/3和GE2/0/1组成Eth-Trunk1,加入Heart区域。Heart区域需要新建优先级设定为75。
- 连接服务器区的接口GE1/0/4加入Trust区域。Trust区域是防火墙缺省存在的安全区域,优先级为85。
- GE1/0/5作为镜像接口(二层接口),作为接收镜像AD认证报文的接口。
双机热备规划
由于每个ISP只提供一条链路,而一条链路无法与两台防火墙直接相连,因此需要在防火墙与ISP之间部署出口汇聚交换机。出口汇聚交换机可以将ISP的一条链路变为两条链路,然后分别将两条链路与两台防火墙的上行接口相连。防火墙与下行核心交换机之间运行OSPF,并与两台核心交换机的上行接口相连。
为了节省公网IP,防火墙的上行接口可以使用私网IP,但VRRP备份组的地址则一定要使用ISP分配的公网地址,以便能够与ISP进行通信。
表1-1 数据规划
项目 |
数据 |
说明 |
|---|---|---|
FW_A |
接口GE1/0/1
|
FW_A上行连接二层交换机的接口,与ISP1相连,加入到ISP1安全区域。 |
接口GE1/0/2
|
FW_A上行连接二层交换机的接口,与ISP2相连,加入到ISP2安全区域。 |
|
接口Eth-Trunk1
|
与FW_B相连的心跳线接口,加入到Heart安全区域。 |
|
接口GE1/0/4
|
FW_A下行连接三层交换机的接口,加入到Trust安全区域。 |
|
VRRP备份组1
|
FW_A上的VRRP备份组1。 |
|
VRRP备份组2
|
FW_A上的VRRP备份组2。 |
|
OSPF
|
FW_A上的OSPF。 |
|
FW_B |
接口GE1/0/1
|
FW_B上行连接二层交换机的接口,与ISP1相连,加入到ISP1安全区域。 |
接口GE1/0/2
|
FW_B上行连接二层交换机的接口,与ISP2相连,加入到ISP2安全区域。 |
|
接口Eth-Trunk1
|
与FW_A相连的心跳线接口,加入到Heart安全区域。 |
|
接口GE1/0/4
|
FW_B下行连接三层交换机的接口,加入到Trust安全区域。 |
|
VRRP备份组1
|
FW_B上的VRRP备份组1。 |
|
VRRP备份组2
|
FW_B上的VRRP备份组2。 |
|
OSPF
|
FW_B上的OSPF。 |
多出口选路规划
当FW作为网络出口网关有多个出接口时,网络管理员必然面临的就是多出口选路的规划问题。多出口选路的匹配顺序从高到低依次是策略路由、明细路由和缺省路由。企业接入Internet的两条链路情况是,ISP1上网速度快、网络速度稳定但费用较高;ISP2上网费用低廉,但是网速相对慢一些。企业希望使不同应用的流量通过不同的链路转发,并使用传输质量最好的链路传输上网流量。因此,本举例选择的是基于应用的策略路由及链路质量负载均衡方式的全局选路策略,下面针对该举例进行多出口选路的规划:
- 基于应用的策略路由
P2P流量和Web视频流量会占据网络较大的带宽,因此需要将这两类流量引导到特定的链路转发,这是通过基于应用的策略路由来实现的。
创建策略路由规则“pbr_1”和“pbr_2”,使内部网络与业务相关的流量都由接口GE1/0/1发出,通过ISP1到达Internet;内部网络与视频及语音通话等娱乐类相关的流量都由接口GE1/0/2发出,通过ISP2到达Internet。
- 智能选路(链路质量负载均衡方式)
由于企业希望使用传输质量最好的链路传输上网流量,所以智能选路的方式设置为根据链路质量负载分担,并指定FW和ISP1、ISP2网络直连的出接口作为智能选路成员接口。
用户认证规划
研发部员工和市场部员工使用域账号和密码登录AD域后,无需再进行认证就可以访问网络资源。新入职员工的用户信息可能已经在AD服务器上创建,但没有在FW上存储,要求通过认证后自动按照用户在AD服务器上的组织结构将用户导入FW。
- 在FW上配置AD服务器,保证FW与AD服务器之间正常通信。
- 在FW上配置认证域,认证域名称与AD服务器上的域名一致。
- 在FW上配置服务器导入策略,将AD服务器上的用户信息导入到FW。
- 配置认证域的新用户选项,当认证通过的用户在FW不存在时,作为临时用户上线。
- 在FW上配置单点登录参数,保证FW监控到AD服务器发给员工PC的认证结果报文。
本例中认证报文未经过FW,因此需要将AD服务器发给员工PC的认证结果报文镜像过来。
- 为避免在工作时间段内(此处假定工作时间为8小时)因在线用户超时时间频繁到期而导致频繁重新登录域进行认证的现象,需要配置在线用户超时时间为480分钟。
- 在交换机上配置端口镜像功能,将认证报文镜像给FW。
表1-2 数据规划
项目 |
数据 |
说明 |
|---|---|---|
AD服务器 |
|
在FW上配置AD服务器,即FW与AD服务器通信时使用的一系列参数。 此处设置的参数必须与AD服务器的参数保持一致。 |
服务器导入策略 |
|
将AD服务器上的用户信息导入到FW中。 |
AD单点登录 |
|
在FW上配置单点登录参数,接收AD服务器发送的用户登录信息。 |
安全策略规划
通过针对不同的用户组配置如下安全策略,可以实现对不同部门的员工访问Internet的权限进行控制:
- 高层管理者可以自由访问Internet。
- 市场部员工能够访问Internet,但不能在Internet上玩游戏(Game)和观看网络视频。
- 研发部员工能够访问Internet,但不能通过Internet进行各种娱乐类型活动(Entertainment),包括:游戏、IM、网络视频、语音、访问社交网站等。
同时,可以在安全策略上引用反病毒、入侵防御以及URL过滤的配置文件,防范各种病毒、蠕虫、木马和僵尸网络攻击以及对访问的网站进行过滤。
一般情况下,使用缺省的反病毒和入侵防御配置文件default,即可满足防范各种病毒、蠕虫、木马和僵尸网络攻击的需求。新建“URL过滤级别”为“中”的URL过滤配置文件,可以限制所有成人网站和非法网站的访问。
表1-3 数据规划
项目 |
数据 |
说明 |
|---|---|---|
高层管理者的安全策略 |
|
安全策略policy_sec_management的作用是允许高层管理者自由访问Internet。 |
市场部员工的安全策略1 |
|
安全策略policy_sec_marketing_1的作用是禁止市场部员工通过Internet玩游戏。 Game代表游戏类应用。Media_Sharing代表媒体共享。 |
市场部员工的安全策略2 |
|
安全策略policy_sec_marketing_2的作用是允许市场部员工访问Internet。 |
研发部员工的安全策略1 |
|
安全策略policy_sec_research_1的作用是禁止研发部员工通过Internet进行各种娱乐类型活动。 Entertainment代表娱乐类应用。 |
研发部员工的安全策略2 |
|
安全策略policy_sec_research_2的作用是允许研发部员工访问Internet。 |
IPSec的安全策略1 |
|
安全策略policy_sec_ipsec_1的作用是允许总部与分支机构的NGFW之间建立IPSec隧道。 |
IPSec的安全策略2 |
|
安全策略policy_sec_ipsec_2的作用是允许总部的员工通过IPSec隧道访问分支机构的员工。 其中“源地址/地区”是总部员工所在网段,“目的地址/地区”是分支机构员工所在网段。 |
IPSec的安全策略3 |
|
安全策略policy_sec_ipsec_3的作用是允许分支机构的员工通过IPSec隧道访问总部员工。 其中“源地址/地区”是分支机构员工所在网段。 |
L2TP over IPSec的安全策略1 |
|
安全策略policy_sec_l2tp_ipsec_1的作用是允许总部员工访问出差员工。 目的地址为成L2TP地址池的地址段。 |
L2TP over IPSec的安全策略2 |
|
安全策略policy_sec_l2tp_ipsec_2的作用是允许出差员工接入公司内部网络。 |
外网用户访问服务器的安全策略 |
|
安全策略policy_sec_server的作用是允许外网用户访问公司的内网服务器。 其中“目的地址/地区”为服务器映射后的私网IP地址。 |
NAT规划
企业有500个员工,但公网IP地址数目有限,为了保证企业内网大量用户能共享有限的公网地址访问Internet,需要在FW上部署源NAT功能,将公司员工访问Internet的报文的源地址由私网地址转换为公网地址。
配置源NAT,将公司员工访问Internet的报文的源地址由私网地址转换为公网地址。
此外,公司需要为公司外的公网用户提供Web服务器和FTP服务器,由于服务器部署在公司内部,因此需要配置服务器映射功能,将服务器的私网IP地址映射为公网地址。
表1-4 数据规划
项目 |
数据 |
说明 |
|---|---|---|
去往分支机构的流量的NAT策略 |
|
去往分支机构(目的IP地址为192.168.1.0/24)的流量不做NAT转换,直接进入IPSec隧道。 |
|
||
去往Internet的流量的NAT策略 |
NAT策略
|
去往Internet的流量做NAT转换,源地址由私网IP地址转换为地址池中的公网IP地址。 选择1.1.1.1–1.1.1.4这四个从运营商申请的IP地址作为NAT地址池中的地址。 |
NAT策略
|
||
NAT地址池
|
||
Web服务器的映射 |
|
通过该映射,使用外网用户能够访问1.1.1.5和2.2.2.5,且端口号为8080的流量能够送给内网的Web服务器。 Web服务器的私网地址为10.2.0.10,私网端口号为80。 |
FTP服务器的映射 |
|
通过该映射,使用外网用户能够访问1.1.1.6和2.2.2.6,且端口号为21的流量能够送给内网的FTP服务器。 FTP服务器的私网地址为10.2.0.811,私网端口号为21。 |
带宽管理规划
公司网络的总带宽为20G,为了保证工作业务的带宽,需要配置限制P2P流量的带宽策略。此外,针对不同的企业内网用户,也需要制定不同的带宽通道和带宽策略。
- 限制企业内网用户与Internet之间的P2P类型的业务上行流量带宽最大不能超过2G,下行流量带宽最大不超过6G,避免占用大量带宽资源。
- 为了让Email、ERP等应用在正常工作时间内不受到影响,此类流量可获得的最小带宽不少于4G。
- 企业高级管理者访问Internet时,上下行流量带宽不低于200M,其中每IP用户的下行流量带宽不超过20M。
表1-5 数据规划
项目 |
数据 |
说明 |
|---|---|---|
限制P2P流量的带宽策略 |
带宽策略
|
“应用”选择“P2P网络视频”和“P2P文件共享”,分别代表P2P媒体和P2P下载。 |
带宽通道
|
||
保证主要业务流量的带宽策略 |
带宽策略
|
“应用”选择“Outlook Web Access”和“ Lotus Notes”,代表Email应用。 |
带宽通道
|
||
针对高级管理者进行带宽管理 |
带宽策略
|
- |
带宽通道
|
攻击防范
在FW上开启攻击防范功能进行安全防护。推荐配置如下:
firewall defend land enable firewall defend smurf enable firewall defend fraggle enable firewall defend winnuke enable firewall defend source-route enable firewall defend route-record enable firewall defend time-stamp enable firewall defend ping-of-death enable
IPSec规划
为了保证分支机构员工能够安全地与总部员工通信,并且能够访问总部的服务器,需要配置IPSec VPN功能。如果分支机构不多,建议配置IKE方式的点到点的IPSec VPN。如果分支机构较多,可以配置点到多点的IPSec VPN。
表1-6 数据规划
项目 |
数据 |
说明 |
|---|---|---|
总部FW_A的IPSec策略 |
IPSec策略
|
|
分支机构FW_C的IPSec策略 |
IPSec策略
|
|
为了使出差和家庭办公员工能够接入公司内部网络,需要配置L2TP over IPSec功能。
表1-7 数据规划
项目 |
数据 |
|---|---|
FW_A(LNS) |
接口号:GigabitEthernet 1/0/1 IP地址:1.1.1.2/24 安全区域:ISP1 |
接口号:GigabitEthernet 1/0/4 IP地址:10.1.1.1/16 安全区域:Trust |
|
Virtual-Template接口 接口号:Virtual-Template 1 IP地址:10.11.1.1/24 |
|
L2TP配置 认证方式:CHAP、PAP 隧道验证:开启 隧道对端名称:client1 隧道本端名称:lns 隧道密码:Password@123 |
|
地址池和用户配置 IP pool 1 地址范围:10.1.1.2~10.1.1.100 用户认证名称:vpdnuser 用户认证密码:Hello123 |
|
IPSec配置 使用LNS服务器IP:启用 封装模式:隧道模式 安全协议:ESP ESP协议验证算法:SHA–1 ESP协议加密算法:AES-128 NAT穿越:启用 |
|
LAC |
L2TP配置 认证模式:CHAP 隧道名称:client1 |
用户配置 用户认证名称:vpdnuser 用户认证密码:Hello123 |
|
IPSec配置 预共享密钥:Test!1234 对端地址:1.1.1.2 |
注意事项
智能选路
对于V500R001C30SPC600之前的版本,全局选路策略和策略路由智能选路不能和IP欺骗攻击防范功能或URPF(Unicast Reverse Path Forwarding,单播逆向路径转发)功能一起使用。如果开启IP欺骗攻击防范功能或URPF功能,可能导致FW丢弃报文。
双机热备
- 双机热备与IPSec结合使用时,主备设备的建立隧道的业务接口必须为三层接口。
- 双机热备与IPSec结合使用时,双机热备和IPSec的配置与单独使用时没有区别。
- 主用设备配置的IPSec策略会备份到备用设备上,但是由于接口上的配置不会备份到备用设备,因此需要在备用设备的出接口上应用备份过来的IPSec策略。
- 如果设备作为IPSec隧道发起方,则必须要执行命令tunnel local ip-address,设置本端发起协商的地址为VRRP备份组的虚拟IP地址。
安全与应用
- 无论设备是否拥有License,入侵防御功能均可用,此时入侵防御功能可以通过自定义签名进行检测。
- License过期或者去激活后,用户可以继续使用设备已有的入侵防御特征库和自定义签名,但是不能对入侵防御特征库进行升级。
- 入侵防御特征库升级需要License支持。License加载完成后,需要手动加载入侵防御特征库。
- 入侵防御特征库升级之后,如果原有预定义签名在新的特征库中已经不存在,则该签名涉及的所有配置信息将不会生效。
- 反病毒功能和特征库的升级需要License支持。License加载前,反病毒功能可配置,但不生效。License加载完成后,需要手动加载AV特征库,才能正常使用反病毒功能。License过期后,用户可以继续使用反病毒功能,但不能获取最新的反病毒特征库。为了保护网络安全,推荐继续购买License。
- 反病毒特征库更新频繁,为保证反病毒功能的有效性,推荐定期升级反病毒特征库。
- 在IPv6组网中,针对IMAP、SMTP和POP3协议的反病毒功能不可用。
- 不支持针对断点续传文件的反病毒检测。
- 在报文来回路径不一致的组网环境中,可能无法有效检测到网络入侵,且针对SMTP和POP3协议的反病毒功能不可用。
- 预定义应用依赖于系统自带的应用识别特征库。由于新应用层出不穷,当系统自带的应用识别特征库无法识别新应用时,我们建议您去升级应用识别特征库。
用户与认证
用户组织结构是多个以“认证域”为顶级节点的树形组织结构,注意以下几点:
- 执行引用非default认证域下的用户和安全组的命令行时,必须携带“@认证域名”,例如user1@test表示test认证域下的用户user1、secgroup1@test表示test认证域下的安全组secgroup1。
- 用户的创建、移动、服务器导入都是基于某一个认证域的,不能跨域进行。
NAT策略
- 配置NAT No-PAT、三元组NAT这两种源NAT时,请不要将设备接口的地址配置为NAT地址池的地址,以免影响对设备本身的访问。
- 当NAT与VPN功能同时工作时,请精确定义NAT策略的匹配条件,确保NAT功能不会将原本是需要进行VPN封装的数据流做地址转换。
IPSec VPN
- 配置IPSec安全提议时,IPSec隧道两端设备上配置的安全协议、认证算法、加密算法以及报文封装模式必须完全相同。
- 应用IPSec安全策略组的接口的MTU最好不要小于256字节。因为经过IPSec处理后IP报文的长度会增加,且采用的封装模式、安全协议和验证加密算法等不同,增加的长度也不同(最多的情况下增加超过100字节)。如果MTU设置过小,遇到大的IP数据包就会被分成很多个分片,若分片过多时,对端设备接收到分片后进行处理时就会出现问题。
- 同时设备上配置IPSec与NAT时,配置时需注意IPSec流量不能进行NAT转换,需要配置为no-NAT。
方案配置
配置步骤
操作步骤
- 配置各接口的IP地址。
# 配置FW_A各接口的IP地址。
<FW_A> system-view [FW_A] interface GigabitEthernet 1/0/1 [FW_A-GigabitEthernet1/0/1] ip address 1.1.1.2 24 [FW_A-GigabitEthernet1/0/1] gateway 1.1.1.254 [FW_A-GigabitEthernet1/0/1] quit [FW_A] interface GigabitEthernet 1/0/2 [FW_A-GigabitEthernet1/0/2] ip address 2.2.2.2 24 [FW_A-GigabitEthernet1/0/2] gateway 2.2.2.254 [FW_A-GigabitEthernet1/0/2] quit [FW_A] interface eth-trunk 1 [FW_A-Eth-Trunk1] ip address 10.10.0.1 24 [FW_A-Eth-Trunk1] trunkport GigabitEthernet 1/0/3 [FW_A-Eth-Trunk1] trunkport GigabitEthernet 2/0/1 [FW_A-Eth-Trunk1] quit [FW_A] interface GigabitEthernet 1/0/4 [FW_A-GigabitEthernet1/0/4] ip address 10.1.1.1 16 [FW_A-GigabitEthernet1/0/4] quit [FW_A] interface GigabitEthernet 1/0/5 [FW_A-GigabitEthernet1/0/5] portswitch [FW_A-GigabitEthernet1/0/5] quit
# 参考上述步骤,配置FW_B各接口的IP地址。
- 将接口加入安全区域。
# 在FW_A上创建安全区域ISP1、ISP2和Heart,安全级别分别为15、20和75。
[FW_A] firewall zone name ISP1 [FW_A-zone-ISP1] set priority 15 [FW_A-zone-ISP1] quit [FW_A] firewall zone name ISP2 [FW_A-zone-ISP2] set priority 20 [FW_A-zone-ISP2] quit [FW_A] firewall zone name Heart [FW_A-zone-Heart] set priority 75 [FW_A-zone-Heart] quit
# 将FW_A的各接口加入安全区域。
[FW_A] firewall zone ISP1 [FW_A-zone-ISP1] add interface GigabitEthernet 1/0/1 [FW_A-zone-ISP1] quit [FW_A] firewall zone ISP2 [FW_A-zone-ISP2] add interface GigabitEthernet 1/0/2 [FW_A-zone-ISP2] quit [FW_A] firewall zone Heart [FW_A-zone-Heart] add interface Eth-Trunk 1 [FW_A-zone-Heart] quit [FW_A] firewall zone trust [FW_A-zone-trust] add interface GigabitEthernet 1/0/4 [FW_A-zone-trust] add interface GigabitEthernet 1/0/5 [FW_A-zone-trust] quit
# 参考上述步骤,在FW_B上将接口加入安全区域。
- 配置缺省路由。
# 配置IP-Link,探测各ISP提供的链路状态是否正常。
[FW_A] ip-link check enable [FW_A] ip-link name ip_link_1 [FW_A-iplink-ip_link_1] destination 1.1.1.254 interface GigabitEthernet1/0/1 [FW_A-iplink-ip_link_1] quit [FW_A] ip-link name ip_link_2 [FW_A-iplink-ip_link_2] destination 2.2.2.254 interface GigabitEthernet1/0/2 [FW_A-iplink-ip_link_2] quit
# 在FW_A配置两条缺省路由,下一跳分别指向两个ISP的接入点。
[FW_A] ip route-static 0.0.0.0 0.0.0.0 1.1.1.254 track ip-link ip_link_1 [FW_A] ip route-static 0.0.0.0 0.0.0.0 2.2.2.254 track ip-link ip_link_2
# 参考上述步骤,在FW_B上配置IP-Link和缺省路由。
- 配置智能选路。
# 配置全局选路策略,流量根据链路质量负载分担。
[FW_A] multi-interface [FW_A-multi-inter] mode priority-of-link-quality [FW_A-multi-inter] add interface GigabitEthernet1/0/1 [FW_A-multi-inter] add interface GigabitEthernet1/0/2 [FW_A-multi-inter] priority-of-link-quality protocol tcp-simple [FW_A-multi-inter] priority-of-link-quality parameter delay jitter loss [FW_A-multi-inter] priority-of-link-quality interval 3 times 5 [FW_A-multi-inter] priority-of-link-quality table aging-time 60 [FW_A-multi-inter] quit
# 参考上述步骤,在FW_B上配置智能选路。
- 配置策略路由。
[FW_A] policy-based-route [FW_A-policy-pbr] rule name pbr_1 [FW_A-policy-pbr-rule-pbr_1] description pbr_1 [FW_A-policy-pbr-rule-pbr_1] source-zone trust [FW_A-policy-pbr-rule-pbr_1] application category Business_Systems [FW_A-policy-pbr-rule-pbr_1] track ip-link ip_link_1 [FW_A-policy-pbr-rule-pbr_1] action pbr egress-interface GigabitEthernet 1/0/1 next-hop 1.1.1.254 [FW_A-policy-pbr-rule-pbr_1] quit [FW_A-policy-pbr] rule name pbr_2 [FW_A-policy-pbr-rule-pbr_2] description pbr_2 [FW_A-policy-pbr-rule-pbr_2] source-zone trust [FW_A-policy-pbr-rule-pbr_2] application category Entertainment sub-category VoIP [FW_A-policy-pbr-rule-pbr_2] application category Entertainment sub-category PeerCasting [FW_A-policy-pbr-rule-pbr_2] track ip-link ip_link_2 [FW_A-policy-pbr-rule-pbr_2] action pbr egress-interface GigabitEthernet 1/0/2 next-hop 2.2.2.254 [FW_A-policy-pbr-rule-pbr_2] quit
# 参考上述步骤,在FW_B上配置策略路由。
- 配置OSPF。
# 在FW_A上配置OSPF。
[FW_A] router id 1.1.1.2 [FW_A] ospf 100 [FW_A-ospf-100] default-route-advertise [FW_A-ospf-100] area 0 [FW_A-ospf-100-area-0.0.0.0] network 1.1.1.0 0.0.0.255 [FW_A-ospf-100-area-0.0.0.0] network 10.1.0.0 0.0.255.255 [FW_A-ospf-100-area-0.0.0.0] quit [FW_A-ospf-100] quit
# 在FW_B上配置OSPF。
[FW_B] router id 2.2.2.3 [FW_B] ospf 100 [FW_B-ospf-100] default-route-advertise [FW_B-ospf-100] area 0 [FW_B-ospf-100-area-0.0.0.0] network 2.2.2.0 0.0.0.255 [FW_B-ospf-100-area-0.0.0.0] network 10.2.0.0 0.0.255.255 [FW_B-ospf-100-area-0.0.0.0] quit [FW_B-ospf-100] quit
- 配置双机热备。
# 在FW_A上配置VRRP备份组,VRRP备份组状态设置为Active。
[FW_A] interface GigabitEthernet 1/0/1 [FW_A-GigabitEthernet1/0/1] vrrp vrid 1 virtual-ip 1.1.1.1 24 active [FW_A-GigabitEthernet1/0/1] quit [FW_A] interface GigabitEthernet 1/0/2 [FW_A-GigabitEthernet1/0/2] vrrp vrid 2 virtual-ip 2.2.2.1 24 active [FW_A-GigabitEthernet1/0/2] quit
# 在FW_A上指定心跳接口,启用双机热备。
[FW_A] hrp interface Eth-Trunk 1 remote 10.10.0.2 [FW_A] hrp enable
# 在FW_B上配置VRRP备份组,并将VRRP备份组状态设置为Standby。
[FW_B] interface GigabitEthernet 1/0/1 [FW_B-GigabitEthernet1/0/1] vrrp vrid 1 virtual-ip 1.1.1.1 24 standby [FW_B-GigabitEthernet1/0/1] quit [FW_B] interface GigabitEthernet 1/0/2 [FW_B-GigabitEthernet1/0/2] vrrp vrid 2 virtual-ip 2.2.2.1 24 standby [FW_B-GigabitEthernet1/0/2] quit
# 在FW_B上指定心跳接口,启用双机热备。
[FW_B] hrp interface Eth-Trunk 1 remote 10.10.0.1 [FW_B] hrp enable
- 配置用户、用户组及其认证。
# 创建管理者对应的组和用户。
HRP_M[FW_A] user-manage group /default/management HRP_M[FW_A-usergroup-/default/management] quit HRP_M[FW_A] user-manage user user_0001 HRP_M[FW_A-localuser-user_0001] alias Tom HRP_M[FW_A-localuser-user_0001] parent-group /default/management HRP_M[FW_A-localuser-user_0001] password Admin@123 HRP_M[FW_A-localuser-user_0001] quit
# 参考上述步骤新建组marketing、research以及onbusiness(出差员工),并按照公司的组织结构新建每个部门/组的所有用户。
# 配置AD服务器。
此处设置的参数必须与AD服务器上的参数保持一致。
HRP_M[FW_A] ad-server template auth_server_ad HRP_M[FW_A-ad-auth_server_ad] ad-server authentication 10.3.0.251 88 HRP_M[FW_A-ad-auth_server_ad] ad-server authentication base-dn dc=cce,dc=com HRP_M[FW_A-ad-auth_server_ad] ad-server authentication manager cn=administrator,cn=users Admin@123 HRP_M[FW_A-ad-auth_server_ad] ad-server authentication host-name ad.cce.com HRP_M[FW_A-ad-auth_server_ad] ad-server authentication ldap-port 389 HRP_M[FW_A-ad-auth_server_ad] ad-server user-filter sAMAccountName HRP_M[FW_A-ad-auth_server_ad] ad-server group-filter ou HRP_M[FW_A-ad-auth_server_ad] quit
# 配置认证域。
HRP_M[FW_A] aaa HRP_M[FW_A-aaa] domain cce.com HRP_M[FW_A-aaa-domain-cce.com] service-type internetaccess HRP_M[FW_A-aaa-domain-cce.com] quit HRP_M[FW_A] quit
# 配置服务器导入策略并导入用户。
HRP_M[FW] user-manage import-policy policy_import from ad HRP_M[FW-import-policy_import] server template auth_server_ad HRP_M[FW-import-policy_import] server basedn dc=cce,dc=com HRP_M[FW-import-policy_import] destination-group /cce.com HRP_M[FW-import-policy_import] user-attribute sAMAccountName HRP_M[FW-import-policy_import] import-type user-group HRP_M[FW-import-policy_import] import-override enable HRP_M[FW-import-policy_import] quit HRP_M[FW] execute user-manage import-policy policy_import
# 配置认证域的新用户选项。
HRP_M[FW] aaa HRP_M[FW-aaa] domain cce.com HRP_M[FW-aaa-domain-cce.com] new-user add-temporary group /cce.com auto-import policy_import HRP_M[FW-aaa-domain-cce.com] quit HRP_M[FW-aaa] quit
# 配置AD单点登录参数。
HRP_M[FW] user-manage single-sign-on ad HRP_M[FW-sso-ad] mode no-plug-in HRP_M[FW-sso-ad] no-plug-in traffic server-ip 10.3.0.251 port 88 HRP_M[FW-sso-ad] no-plug-in interface GigabitEthernet1/0/5 HRP_M[FW-sso-ad] enable HRP_M[FW-sso-ad] quit
# 配置在线用户超时时间为480分钟。
HRP_M[FW] user-manage online-user aging-time 480
- 配置安全策略。双机热备状态成功建立后,FW_A的安全策略配置会自动备份到FW_B上。
# 配置URL过滤的配置文件profile_url,设置URL过滤级别为中。
HRP_M[FW_A] profile type url-filter name profile_url HRP_M[FW_A-profile-url-filter-profile_url] category pre-defined control-level medium HRP_M[FW_A-profile-url-filter-profile_url] category pre-defined action allow HRP_M[FW_A-profile-url-filter-profile_url] quit
# 配置针对高级管理者的安全策略。
HRP_M<FW_A> system-view HRP_M[FW_A] security-policy HRP_M[FW_A-policy-security] rule name policy_sec_management HRP_M[FW_A-policy-security-rule-policy_sec_management] source-zone trust HRP_M[FW_A-policy-security-rule-policy_sec_management] destination-zone ISP1 HRP_M[FW_A-policy-security-rule-policy_sec_management] destination-zone ISP2 HRP_M[FW_A-policy-security-rule-policy_sec_management] profile av default HRP_M[FW_A-policy-security-rule-policy_sec_management] profile ips default HRP_M[FW_A-policy-security-rule-policy_sec_management] profile url-filter profile_url HRP_M[FW_A-policy-security-rule-policy_sec_management] user user-group /default/management HRP_M[FW_A-policy-security-rule-policy_sec_management] action permit HRP_M[FW_A-policy-security-rule-policy_sec_management] quit HRP_M[FW_A-policy-security] quit
# 配置针对市场部员工的安全策略。
HRP_M[FW_A-policy-security] rule name policy_sec_marketing_1 HRP_M[FW_A-policy-security-rule-policy_sec_marketing_1] source-zone trust HRP_M[FW_A-policy-security-rule-policy_sec_marketing_1] destination-zone ISP1 HRP_M[FW_A-policy-security-rule-policy_sec_marketing_1] destination-zone ISP2 HRP_M[FW_A-policy-security-rule-policy_sec_marketing_1] application category Entertainment sub-category Media_Sharing HRP_M[FW_A-policy-security-rule-policy_sec_marketing_1] application category Entertainment sub-category Game HRP_M[FW_A-policy-security-rule-policy_sec_marketing_1] action deny HRP_M[FW_A-policy-security-rule-policy_sec_marketing_1] quit HRP_M[FW_A-policy-security] rule name policy_sec_marketing_2 HRP_M[FW_A-policy-security-rule-policy_sec_marketing_2] source-zone trust HRP_M[FW_A-policy-security-rule-policy_sec_marketing_2] destination-zone ISP1 HRP_M[FW_A-policy-security-rule-policy_sec_marketing_2] destination-zone ISP2 HRP_M[FW_A-policy-security-rule-policy_sec_marketing_2] profile av default HRP_M[FW_A-policy-security-rule-policy_sec_marketing_2] profile ips default HRP_M[FW_A-policy-security-rule-policy_sec_marketing_2] profile url-filter profile_url HRP_M[FW_A-policy-security-rule-policy_sec_marketing_2] user user-group /default/marketing HRP_M[FW_A-policy-security-rule-policy_sec_marketing_2] action permit HRP_M[FW_A-policy-security-rule-policy_sec_marketing_2] quit
# 配置针对研发部员工的安全策略。
HRP_M[FW_A-policy-security] rule name policy_sec_research_1 HRP_M[FW_A-policy-security-rule-policy_sec_research_1] source-zone trust HRP_M[FW_A-policy-security-rule-policy_sec_research_1] destination-zone ISP1 HRP_M[FW_A-policy-security-rule-policy_sec_research_1] destination-zone ISP2 HRP_M[FW_A-policy-security-rule-policy_sec_research_1] user user-group /default/research HRP_M[FW_A-policy-security-rule-policy_sec_research_1] application category Entertainment HRP_M[FW_A-policy-security-rule-policy_sec_research_1] action deny HRP_M[FW_A-policy-security-rule-policy_sec_research_1] quit HRP_M[FW_A-policy-security] rule name policy_sec_research_2 HRP_M[FW_A-policy-security-rule-policy_sec_research_2] source-zone trust HRP_M[FW_A-policy-security-rule-policy_sec_research_2] destination-zone ISP1 HRP_M[FW_A-policy-security-rule-policy_sec_research_2] destination-zone ISP2 HRP_M[FW_A-policy-security-rule-policy_sec_research_2] profile av default HRP_M[FW_A-policy-security-rule-policy_sec_research_2] profile ips default HRP_M[FW_A-policy-security-rule-policy_sec_research_2] profile url-filter profile_url HRP_M[FW_A-policy-security-rule-policy_sec_research_2] user user-group /default/research HRP_M[FW_A-policy-security-rule-policy_sec_research_2] action permit HRP_M[FW_A-policy-security-rule-policy_sec_research_2] quit
# 配置IPSec安全策略。
HRP_M[FW_A-policy-security] rule name policy_sec_ipsec_1 HRP_M[FW_A-policy-security-rule-policy_sec_ipsec_1] source-zone local HRP_M[FW_A-policy-security-rule-policy_sec_ipsec_1] source-zone ISP1 HRP_M[FW_A-policy-security-rule-policy_sec_ipsec_1] source-zone ISP2 HRP_M[FW_A-policy-security-rule-policy_sec_ipsec_1] destination-zone local HRP_M[FW_A-policy-security-rule-policy_sec_ipsec_1] destination-zone ISP1 HRP_M[FW_A-policy-security-rule-policy_sec_ipsec_1] destination-zone ISP2 HRP_M[FW_A-policy-security-rule-policy_sec_ipsec_1] source-address 1.1.1.2 32 HRP_M[FW_A-policy-security-rule-policy_sec_ipsec_1] source-address 3.3.3.1 32 HRP_M[FW_A-policy-security-rule-policy_sec_ipsec_1] destination-address 1.1.1.2 32 HRP_M[FW_A-policy-security-rule-policy_sec_ipsec_1] destination-address 3.3.3.1 32 HRP_M[FW_A-policy-security-rule-policy_sec_ipsec_1] action permit HRP_M[FW_A-policy-security-rule-policy_sec_ipsec_1] quit HRP_M[FW_A-policy-security] rule name policy_sec_ipsec_2 HRP_M[FW_A-policy-security-rule-policy_sec_ipsec_2] source-zone trust HRP_M[FW_A-policy-security-rule-policy_sec_ipsec_2] destination-zone ISP1 HRP_M[FW_A-policy-security-rule-policy_sec_ipsec_2] destination-zone ISP2 HRP_M[FW_A-policy-security-rule-policy_sec_ipsec_2] source-address 10.1.0.0 16 HRP_M[FW_A-policy-security-rule-policy_sec_ipsec_2] destination-address 192.168.1.0 24 HRP_M[FW_A-policy-security-rule-policy_sec_ipsec_2] profile av default HRP_M[FW_A-policy-security-rule-policy_sec_ipsec_2] profile ips default HRP_M[FW_A-policy-security-rule-policy_sec_ipsec_2] action permit HRP_M[FW_A-policy-security-rule-policy_sec_ipsec_2] quit HRP_M[FW_A-policy-security] rule name policy_sec_ipsec_3 HRP_M[FW_A-policy-security-rule-policy_sec_ipsec_3] source-zone ISP1 HRP_M[FW_A-policy-security-rule-policy_sec_ipsec_3] source-zone ISP2 HRP_M[FW_A-policy-security-rule-policy_sec_ipsec_3] destination-zone trust HRP_M[FW_A-policy-security-rule-policy_sec_ipsec_3] source-address 192.168.1.0 24 HRP_M[FW_A-policy-security-rule-policy_sec_ipsec_3] profile av default HRP_M[FW_A-policy-security-rule-policy_sec_ipsec_3] profile ips default HRP_M[FW_A-policy-security-rule-policy_sec_ipsec_3] action permit HRP_M[FW_A-policy-security-rule-policy_sec_ipsec_3] quit
# 配置L2TP over IPSec的安全策略。
HRP_M[FW-policy-security] rule name policy_sec_l2tp_ipsec_1 HRP_M[FW-policy-security-rule-policy_sec_l2tp_ipsec_1] source-zone trust HRP_M[FW-policy-security-rule-policy_sec_l2tp_ipsec_1] destination-zone ISP1 HRP_M[FW-policy-security-rule-policy_sec_l2tp_ipsec_1] destination-zone ISP2 HRP_M[FW-policy-security-rule-policy_sec_l2tp_ipsec_1] source-address 10.1.1.1 16 HRP_M[FW-policy-security-rule-policy_sec_l2tp_ipsec_1] destination-address range 10.1.1.2 10.1.1.100 HRP_M[FW-policy-security-rule-policy_sec_l2tp_ipsec_1] action permit HRP_M[FW-policy-security-rule-policy_sec_l2tp_ipsec_1] quit HRP_M[FW-policy-security] rule name policy_sec_l2tp_ipsec_2 HRP_M[FW-policy-security-rule-policy_sec_l2tp_ipsec_2] source-zone untrust HRP_M[FW-policy-security-rule-policy_sec_l2tp_ipsec_2] destination-zone trust HRP_M[FW-policy-security-rule-policy_sec_l2tp_ipsec_2] source-address range 10.1.1.2 10.1.1.100 HRP_M[FW-policy-security-rule-policy_sec_l2tp_ipsec_2] destination-address 10.1.1.1 16 HRP_M[FW-policy-security-rule-policy_sec_l2tp_ipsec_2] action permit HRP_M[FW-policy-security-rule-policy_sec_l2tp_ipsec_2] quit
# 为AD服务器配置安全策略。
HRP_M[FW_A-policy-security] rule name local_policy_ad_01 HRP_M[FW_A-policy-security-rule-local_policy_ad_01] source-zone local HRP_M[FW_A-policy-security-rule-local_policy_ad_01] destination-zone trust HRP_M[FW_A-policy-security-rule-local_policy_ad_01] destination-address 10.3.0.251 32 HRP_M[FW_A-policy-security-rule-local_policy_ad_01] action permit HRP_M[FW_A-policy-security-rule-local_policy_ad_01] quit HRP_M[FW_A-policy-security] rule name local_policy_ad_02 HRP_M[FW_A-policy-security-rule-local_policy_ad_02] source-zone trust HRP_M[FW_A-policy-security-rule-local_policy_ad_02] destination-zone local HRP_M[FW_A-policy-security-rule-local_policy_ad_02] source-address 10.3.0.251 32 HRP_M[FW_A-policy-security-rule-local_policy_ad_02] action permit HRP_M[FW_A-policy-security-rule-local_policy_ad_02] quit
# 配置允许外部网络用户访问内部服务器的安全策略。
HRP_M[FW_A-policy-security] rule name policy_sec_server HRP_M[FW_A-policy-security-rule-policy_sec_server] source-zone ISP1 HRP_M[FW_A-policy-security-rule-policy_sec_server] source-zone ISP2 HRP_M[FW_A-policy-security-rule-policy_sec_server] destination-zone trust HRP_M[FW_A-policy-security-rule-policy_sec_server] destination-address 10.2.0.10 32 HRP_M[FW_A-policy-security-rule-policy_sec_server] destination-address 10.2.0.11 32 HRP_M[FW_A-policy-security-rule-policy_sec_server] action permit HRP_M[FW_A-policy-security-rule-policy_sec_server] quit HRP_M[FW_A-policy-security] quit
- 配置NAT。双机热备状态成功建立后,FW_A的NAT策略配置会自动备份到FW_B上。
# 配置NAT地址池nataddr。
HRP_M[FW_A] nat address-group nataddr HRP_M[FW_A-nat-address-group-nataddr] mode pat HRP_M[FW_A-nat-address-group-nataddr] section 0 1.1.1.1 1.1.1.4 HRP_M[FW_A-nat-address-group-nataddr] route enable HRP_M[FW_A-nat-address-group-nataddr] quit
# 配置去往Internet的流量的NAT策略policy_nat_internet_01和policy_nat_internet_02。
HRP_M[FW_A] nat-policy HRP_M[FW_A-policy-nat] rule name policy_nat_internet_01 HRP_M[FW_A-policy-nat-rule-policy_nat_internet_01] source-zone trust HRP_M[FW_A-policy-nat-rule-policy_nat_internet_01] destination-zone ISP1 HRP_M[FW_A-policy-nat-rule-policy_nat_internet_01] action source-nat address-group nataddr HRP_M[FW_A-policy-nat-rule-policy_nat_internet_01] quit HRP_M[FW_A-policy-nat] rule name policy_nat_internet_02 HRP_M[FW_A-policy-nat-rule-policy_nat_internet_02] source-zone trust HRP_M[FW_A-policy-nat-rule-policy_nat_internet_02] destination-zone ISP2 HRP_M[FW_A-policy-nat-rule-policy_nat_internet_02] action source-nat address-group nataddr HRP_M[FW_A-policy-nat-rule-policy_nat_internet_02] quit
# 配置去往分支机构的流量的NAT策略policy_nat_ipsec_01和policy_nat_ipsec_02。
HRP_M[FW_A-policy-nat] rule name policy_nat_ipsec_01 HRP_M[FW_A-policy-nat-rule-policy_nat_ipsec_01] source-zone trust HRP_M[FW_A-policy-nat-rule-policy_nat_ipsec_01] destination-zone ISP1 HRP_M[FW_A-policy-nat-rule-policy_nat_ipsec_01] destination-address 192.168.1.0 24 HRP_M[FW_A-policy-nat-rule-policy_nat_ipsec_01] action no-nat HRP_M[FW_A-policy-nat-rule-policy_nat_ipsec_01] quit HRP_M[FW_A-policy-nat] rule name policy_nat_ipsec_02 HRP_M[FW_A-policy-nat-rule-policy_nat_ipsec_02] source-zone trust HRP_M[FW_A-policy-nat-rule-policy_nat_ipsec_02] destination-zone ISP2 HRP_M[FW_A-policy-nat-rule-policy_nat_ipsec_02] destination-address 192.168.1.0 24 HRP_M[FW_A-policy-nat-rule-policy_nat_ipsec_02] action no-nat HRP_M[FW_A-policy-nat-rule-policy_nat_ipsec_02] quit HRP_M[FW_A-policy-nat] quit
# 配置NAT Server功能。
HRP_M[FW_A] nat server for_web_01 zone ISP1 protocol tcp global 1.1.1.5 8080 inside 10.2.0.10 www HRP_M[FW_A] nat server for_web_02 zone ISP2 protocol tcp global 2.2.2.5 8080 inside 10.2.0.10 www HRP_M[FW_A] nat server for_ftp_01 zone ISP1 protocol tcp global 1.1.1.6 ftp inside 10.2.0.11 ftp HRP_M[FW_A] nat server for_ftp_02 zone ISP2 protocol tcp global 2.2.2.6 ftp inside 10.2.0.11 ftp
# 开启FTP协议的NAT ALG功能。
HRP_M[FW_A] firewall interzone trust untrust HRP_M[FW_A-interzone-trust-untrust] detect ftp HRP_M[FW_A-interzone-trust-untrust] quit
- 配置攻击防范。双机热备状态成功建立后,FW_A的攻击防范配置会自动备份到FW_B上。
HRP_M[FW_A] firewall defend land enable HRP_M[FW_A] firewall defend smurf enable HRP_M[FW_A] firewall defend fraggle enable HRP_M[FW_A] firewall defend winnuke enable HRP_M[FW_A] firewall defend source-route enable HRP_M[FW_A] firewall defend route-record enable HRP_M[FW_A] firewall defend time-stamp enable HRP_M[FW_A] firewall defend ping-of-death enable
- 配置带宽策略。双机热备状态成功建立后,FW_A的带宽策略配置会自动备份到FW_B上。
# 配置时间段。
HRP_M[FW_A] time-range work_time HRP_M[FW_A-time-range-work_time] period-range 09:00:00 to 18:00:00 working-day HRP_M[FW_A-time-range-work_time] quit
# 配置限制P2P流量的带宽通道profile_p2p。
HRP_M[FW_A] traffic-policy HRP_M[FW_A-policy-traffic] profile profile_p2p HRP_M[FW_A-policy-traffic-profile-profile_p2p] bandwidth maximum-bandwidth whole upstream 2000000 HRP_M[FW_A-policy-traffic-profile-profile_p2p] bandwidth maximum-bandwidth whole downstream 6000000 HRP_M[FW_A-policy-traffic-profile-profile_p2p] bandwidth connection-limit whole both 10000 HRP_M[FW_A-policy-traffic-profile-profile_p2p] quit
# 配置限制P2P流量的带宽策略policy_bandwidth_p2p。
HRP_M[FW_A-policy-traffic] rule name policy_bandwidth_p2p HRP_M[FW_A-policy-traffic-rule-policy_bandwidth_p2p] source-zone trust HRP_M[FW_A-policy-traffic-rule-policy_bandwidth_p2p] destination-zone ISP1 HRP_M[FW_A-policy-traffic-rule-policy_bandwidth_p2p] destination-zone ISP2 HRP_M[FW_A-policy-traffic-rule-policy_bandwidth_p2p] application category Entertainment sub-category PeerCasting HRP_M[FW_A-policy-traffic-rule-policy_bandwidth_p2p] application category General_Internet sub-category FileShare_P2P HRP_M[FW_A-policy-traffic-rule-policy_bandwidth_p2p] action qos profile profile_p2p HRP_M[FW_A-policy-traffic-rule-policy_bandwidth_p2p] quit
# 配置保证Email、ERP应用流量的带宽通道。
HRP_M[FW_A-policy-traffic] profile profile_email HRP_M[FW_A-policy-traffic-profile-profile_email] bandwidth guaranteed-bandwidth whole upstream 4000000 HRP_M[FW_A-policy-traffic-profile-profile_email] bandwidth guaranteed-bandwidth whole downstream 4000000 HRP_M[FW_A-policy-traffic-profile-profile_email] quit
# 配置保证Email、ERP应用流量的带宽策略。
HRP_M[FW_A-policy-traffic] rule name policy_email HRP_M[FW_A-policy-traffic-rule-policy_email] source-zone trust HRP_M[FW_A-policy-traffic-rule-policy_email] destination-zone ISP1 HRP_M[FW_A-policy-traffic-rule-policy_email] destination-zone ISP2 HRP_M[FW_A-policy-traffic-rule-policy_email] application app LotusNotes OWA HRP_M[FW_A-policy-traffic-rule-policy_email] time-range work_time HRP_M[FW_A-policy-traffic-rule-policy_email] action qos profile profile_email HRP_M[FW_A-policy-traffic-rule-policy_email] quit
# 针对高级管理者配置带宽通道。
[FW] traffic-policy HRP_M[FW_A-policy-traffic] profile profile_management HRP_M[FW_A-policy-traffic-profile-profile_management] bandwidth guaranteed-bandwidth whole upstream 200000 HRP_M[FW_A-policy-traffic-profile-profile_management] bandwidth guaranteed-bandwidth whole downstream 200000 HRP_M[FW_A-policy-traffic-profile-profile_management] bandwidth maximum-bandwidth per-ip upstream 20000 HRP_M[FW_A-policy-traffic-profile-profile_management] bandwidth maximum-bandwidth per-ip downstream 20000 HRP_M[FW_A-policy-traffic-profile-profile_management] quit
# 针对高级管理者进行带宽管理。
HRP_M[FW_A-policy-traffic] rule name policy_bandwidth_management HRP_M[FW_A-policy-traffic-rule-policy_bandwidth_management] source-zone ISP1 HRP_M[FW_A-policy-traffic-rule-policy_bandwidth_management] source-zone ISP2 HRP_M[FW_A-policy-traffic-rule-policy_bandwidth_management] destination-zone trust HRP_M[FW_A-policy-traffic-rule-policy_bandwidth_management] user user-group /default/management HRP_M[FW_A-policy-traffic-rule-policy_bandwidth_management] action qos profile profile_management HRP_M[FW_A-policy-traffic-rule-policy_bandwidth_management] quit
- 配置IPSec VPN。双机热备状态成功建立后,FW_A的IPSec VPN配置会自动备份到FW_B上。
# 在总部的FW_A上配置IPSec。
HRP_M[FW_A] acl 3000 HRP_M[FW_A-acl-adv-3000] rule permit ip source 10.1.0.0 0.0.255.255 destination 192.168.1.0 0.0.0.255 HRP_M[FW_A-acl-adv-3000] quit HRP_M[FW_A] ipsec proposal tran1 HRP_M[FW_A-ipsec-proposal-tran1] esp authentication-algorithm sha1 HRP_M[FW_A-ipsec-proposal-tran1] esp encryption-algorithm aes-128 HRP_M[FW_A-ipsec-proposal-tran1] quit HRP_M[FW_A] ike proposal 10 HRP_M[FW_A-ike-proposal-10] authentication-method pre-share HRP_M[FW_A-ike-proposal-10] prf hmac-sha1 HRP_M[FW_A-ike-proposal-10] encryption-algorithm 3des HRP_M[FW_A-ike-proposal-10] dh group5 HRP_M[FW_A-ike-proposal-10] integrity-algorithm hmac-sha2-256 HRP_M[FW_A-ike-proposal-10] quit HRP_M[FW_A] ike peer headquarters HRP_M[FW_A-ike-peer-headquarters] ike-proposal 10 HRP_M[FW_A-ike-peer-headquarters] pre-shared-key Admin@123 HRP_M[FW_A-ike-peer-headquarters] quit HRP_M[FW_A] ipsec policy-template temp 1 HRP_M[FW_A-ipsec-policy-templet-temp-1] security acl 3000 HRP_M[FW_A-ipsec-policy-templet-temp-1] proposal tran1 HRP_M[FW_A-ipsec-policy-templet-temp-1] ike-peer headquarters HRP_M[FW_A-ipsec-policy-templet-temp-1] quit HRP_M[FW_A] ipsec policy policy1 1 isakmp template temp HRP_M[FW_A] interface GigabitEthernet 1/0/1 HRP_M[FW_A-GigabitEthernet1/0/1] ipsec policy policy1 HRP_M[FW_A-GigabitEthernet1/0/1] quit
# 在分支机构的FW_C上配置IPSec。
[FW_C] acl 3000 [FW_C-acl-adv-3000] rule permit ip source 192.168.1.0 0.0.0.255 destination 10.1.0.0 0.0.255.255 [FW_C-acl-adv-3000] quit [FW_C] ipsec proposal tran1 [FW_C-ipsec-proposal-tran1] esp authentication-algorithm sha1 [FW_C-ipsec-proposal-tran1] esp encryption-algorithm aes-128 [FW_C-ipsec-proposal-tran1] quit [FW_C] ike proposal 10 [FW_C-ike-proposal-10] authentication-method pre-share [FW_C-ike-proposal-10] prf hmac-sha1 [FW_C-ike-proposal-10] encryption-algorithm 3des [FW_C-ike-proposal-10] dh group5 [FW_C-ike-proposal-10] integrity-algorithm hmac-sha2-256 [FW_C-ike-proposal-10] quit [FW_C] ike peer branch [FW_C-ike-peer-branch] ike-proposal 10 [FW_C-ike-peer-branch] pre-shared-key Admin@123 [FW_C-ike-peer-branch] remote-address 1.1.1.1 [FW_C-ike-peer-branch] quit [FW_C] ipsec policy policy2 1 isakmp [FW_C-ipsec-policy-isakmp-policy2-1] security acl 3000 [FW_C-ipsec-policy-isakmp-policy2-1] proposal tran1 [FW_C-ipsec-policy-isakmp-policy2-1] ike-peer branch [FW_C-ipsec-policy-isakmp-policy2-1] quit [FW_C] interface GigabitEthernet 1/0/1 [FW_C-GigabitEthernet1/0/1] ipsec policy policy2 [FW_C-GigabitEthernet1/0/1] quit
- 配置L2TP over IPSec功能。
# 启用L2TP功能。
HRP_M[FW_A] l2tp enable
# 配置L2TP接入用户和认证策略。
HRP_M[FW_A] ip pool pool1 HRP_M[FW_A-ip-pool-pool1] section 1 10.1.1.2 10.1.1.100 HRP_M[FW_A-ip-pool-pool1] quit HRP_M[FW_A] user-manage user vpdnuser HRP_M[FW_A-localuser-vpdnuser] password Hello123 HRP_M[FW_A-localuser-vpdnuser] quit HRP_M[FW_A] aaa HRP_M[FW_A_aaa] authentication-scheme default HRP_M[FW_A_aaa-authen-default] authentication-mode local HRP_M[FW_A_aaa-authen-default] quit HRP_M[FW_A-aaa] service-scheme l2tp HRP_M[FW_A-aaa-service-l2tp] ip-pool pool1 HRP_M[FW_A-aaa-service-l2tp] quit HRP_M[FW_A-aaa] domain net1 HRP_M[FW_A-aaa-domain-net1] service-type internetaccess l2tp HRP_M[FW_A-aaa-domain-net1] authentication-scheme default HRP_M[FW_A-aaa-domain-net1] service-scheme l2tp
# 配置虚拟接口模板,并将虚拟接口模板加入安全区域。
HRP_M[FW_A] interface Virtual-Template 1 HRP_M[FW_A-Virtual-Template1] ppp authentication-mode chap pap HRP_M[FW_A-Virtual-Template1] ip address 10.11.1.1 255.255.255.0 HRP_M[FW_A-Virtual-Template1] remote service-scheme l2tp HRP_M[FW_A-Virtual-Template1] quit HRP_M[FW_A] firewall zone untrust HRP_M[FW_A-zone-untrust] add interface Virtual-Template 1 HRP_M[FW_A-zone-untrust] quit
VT接口的IP地址不能和配置的地址池中的地址重叠,也不能与其他接口的IP地址重复。可配置除此之外的任意IP地址。
指定为对端分配IP地址的业务方案必须与AAA域下配置的业务方案一致。否则LNS无法为客户端分配地址。
# 创建一个L2TP组,绑定虚拟接口模板,并配置隧道验证功能。
HRP_M[FW_A] l2tp-group 1 HRP_M[FW_A-l2tp1] allow l2tp virtual-template 1 remote client1 HRP_M[FW_A-l2tp1] tunnel name lns HRP_M[FW_A-l2tp1] tunnel authentication HRP_M[FW_A-l2tp1] tunnel password cipher Password@123 HRP_M[FW_A-l2tp1] quit
# 参考上述步骤,在FW_B上配置L2TP over IPSec功能。
# 配置出差员工客户端。
出差员工侧主机上必须装有L2TP客户端软件,并通过拨号方式连接到Internet。以Secoway VPN Client软件为例。
- 打开Secoway VPN Client软件,选中已有连接,单击“属性”。
此操作要在VPN Client断开拨号的情况下执行。
如果没有连接存在,请单击“新建”,根据向导建立新的连接。
- 在“基本设置”页面设置基本信息,并启用IPSec安全协议。
参数设置如图1-4所示。启用IPSec安全协议,并设置登录密码为Hello123,身份验证字为Test!1234。
VPN Client上设置的IPSec身份验证字需要与LNS上设置的预共享密钥保持一致。
- 如果用户需要访问Internet,请在“基本设置”页签中选中“连接成功后允许访问Internet(N)”,并在“路由设置”页签中配置相关路由。图1-5 选中“连接成功后允许访问Internet(N)”图1-6 添加路由
- 在“L2TP设置”页面设置L2TP属性。
参数设置如图1-7所示。隧道名称为client1。认证模式为CHAP。启用隧道验证功能,并设置隧道验证密码为Password@123。
- 在“IPSec设置”页面设置IPSec基本信息。参数设置如图1-8所示。
当LNS侧采用L2TP over IPSec方式配置VPN隧道时,LNS将不对VPN Client做隧道验证,因此VPN Client上无需配置“L2TP设置”页签。
- 在“IKE设置”页面设置IKE基本信息。参数设置如图1-9所示。
- 打开Secoway VPN Client软件,选中已有连接,单击“属性”。
结果验证
操作步骤
- 在FW_A上执行display hrp state命令,检查当前HRP的状态,显示以下信息表示HRP建立成功。
HRP_M[FW_A] display hrp state Role: active, peer: standby Running priority: 46002, peer: 46002 Backup channel usage: 7% Stable time: 0 days, 0 hours, 12 minutes
- 企业内网的不同用户以及出差员工可按照各自规划方案访问Internet。
- 在FW_A的接口GigabitEthernet1/0/1上执行shutdown命令,模拟链路故障,发现主备正常倒换,业务不会中断。
配置脚本
FW_A |
FW_B |
|---|---|
# sysname FW_A # l2tp enable # acl number 3000 rule permit ip source 10.1.0.0 0.0.0.255 destination 192.168.1.0 0.0.0.255 # hrp enable hrp interface Eth-Trunk 1 remote 10.10.0.2 hrp track interface GigabitEthernet 1/0/1 hrp track interface GigabitEthernet 1/0/4 # time-range work_time period-range 09:00:00 to 18:00:00 working-day # firewall defend land enable firewall defend smurf enable firewall defend fraggle enable firewall defend winnuke enable firewall defend source-route enable firewall defend route-record enable firewall defend time-stamp enable firewall defend ping-of-death enable # ike proposal 10 encryption-algorithm 3des dh group5 authentication-method pre-share integrity-algorithm hmac-sha2-256 prf hmac-sha1 # ike peer headquarters pre-shared-key %$%$c([VET@941t/q_4tS-f7,ri/%$%$ ike-proposal 10 # ipsec proposal tran1 esp authentication-algorithm sha1 esp encryption-algorithm aes-128 # ipsec policy-template temp 1 security acl 3000 ike-peer headquarter proposal tran1 # ipsec policy map1 1 isakmp template temp # l2tp-group 1 allow l2tp virtual-template 1 remote client1 tunnel name lns tunnel authentication tunnel password cipher %$%$f#c=(BljBC!s=)Xc*3*%$%$ # interface Virtual-Template1 ppp authentication-mode chap pap remote service-scheme l2tp ip address 10.11.1.1 255.255.255.0 # interface GigabitEthernet1/0/1 undo shutdown ip address 1.1.1.2 255.255.255.0 gateway 1.1.1.254 vrrp vrid 1 virtual-ip 1.1.1.1 255.255.255.0 active ipsec policy policy1 # interface GigabitEthernet1/0/2 undo shutdown ip address 2.2.2.2 255.255.255.0 gateway 2.2.2.254 vrrp vrid 1 virtual-ip 2.2.2.1 255.255.255.0 active # interface GigabitEthernet1/0/4 undo shutdown ip address 10.1.1.1 255.255.0.0 # interface GigabitEthernet1/0/5 portswitch # interface Eth-Trunk 1 ip address 10.10.0.1 255.255.255.0 trunkport GigabitEthernet 1/0/3 trunkport GigabitEthernet 2/0/1 # firewall zone trust set priority 85 add interface GigabitEthernet1/0/4 add interface GigabitEthernet1/0/5 # firewall zone untrust set priority 5 add interface Virtual-Template1 # firewall zone ISP1 set priority 15 add interface GigabitEthernet1/0/1 # firewall zone ISP2 set priority 20 add interface GigabitEthernet1/0/2 # firewall zone Heart set priority 75 add interface Eth-Trunk1 # router id 1.1.1.2 # ospf 100 default-route-advertise area 0 network 1.1.1.0 0.0.0.255 network 10.1.0.0 0.0.0.255 # ip-link check enable ip-link name ip_link_1 destination 1.1.1.254 interface GigabitEthernet1/0/1 ip-link name ip_link_2 destination 2.2.2.254 interface GigabitEthernet1/0/2 # ip route-static 0.0.0.0 0.0.0.0 1.1.1.254 track ip-link ip_link_1 ip route-static 0.0.0.0 0.0.0.0 2.2.2.254 track ip-link ip_link_2 # user-manage online-user aging-time 480 user-manage single-sign-on ad mode no-plug-in no-plug-in interface GigabitEthernet1/0/5 no-plug-in traffic server-ip 10.3.0.251 port 88 enable # user-manage user vpdnuser password Hello123 # ad-server template auth_server_ad ad-server authentication 10.3.0.251 88 ad-server authentication base-dn dc=cce,dc=com ad-server authentication manager cn=administrator,cn=users %$%$M#._~J4QrR[kJu7PUMtHUqh_%$%$ ad-server authentication host-name ad.cce.com ad-server authentication ldap-port 389 ad-server user-filter sAMAccountName ad-server group-filter ou # user-manage import-policy policy_import from ad server template auth_server_ad server basedn dc=cce,dc=com destination-group /cce.com user-attribute sAMAccountName user-filter (&(|(objectclass=person)(objectclass=organizationalPerson))(cn=*)(!(objectclass=computer))) group-filter (|(objectclass=organizationalUnit)(ou=*)) import-type user-group import-override enable # ip pool pool1 section 1 10.1.1.2 10.1.1.100 # aaa authorization-scheme default authentication-mode local service-scheme l2tp ip-pool pool1 domain net1 service-type internetaccess l2tp authentication-scheme default service-scheme l2tp # profile type url-filter name profile_url category pre-defined control-level medium category pre-defined action allow # nat address-group nataddr mode pat route enable section 0 1.1.1.1 1.1.1.4 # multi-interface mode priority-of-link-quality priority-of-link-quality parameter delay jitter loss priority-of-link-quality protocol tcp-simple priority-of-link-quality interval 3 times 5 priority-of-link-quality table aging-time 60 add interface GigabitEthernet1/0/1 add interface GigabitEthernet1/0/2 # policy-based-route rule name pbr_1 description pbr_1 source-zone trust application category Business_Systems track ip-link ip_link_1 action pbr egress-interface GigabitEthernet1/0/1 next-hop 1.1.1.254 rule name pbr_2 description pbr_2 source-zone trust application category Entertainment sub-category VoIP application category Entertainment sub-category PeerCasting track ip-link ip_link_2 action pbr egress-interface GigabitEthernet1/0/2 next-hop 2.2.2.254 # security-policy rule name policy_sec_management source-zone trust destination-zone ISP1 destination-zone ISP2 user user-group /default/management profile av default profile ips default profile url-filter profile_url action permit rule name policy_sec_marketing_1 source-zone trust destination-zone ISP1 destination-zone ISP2 user user-group /default/marketing application category Entertainment sub-category Media_Sharing application category Entertainment sub-category Game action deny rule name policy_sec_marketing_2 source-zone trust destination-zone ISP1 destination-zone ISP2 user user-group /default/marketing profile av default profile ips default profile url-filter profile_url action permit rule name policy_sec_research_1 source-zone trust destination-zone ISP1 destination-zone ISP2 user user-group /default/research application category Entertainment action deny rule name policy_sec_research_2 source-zone trust destination-zone ISP1 destination-zone ISP2 user user-group /default/research profile av default profile ips default profile url-filter profile_url action permit rule name policy_sec_manufacture source-zone trust destination-zone ISP1 destination-zone ISP2 user user-group /default/manufacture action deny rule name policy_sec_ipsec_1 source-zone local source-zone ISP1 source-zone ISP2 destination-zone local destination-zone ISP1 destination-zone ISP2 source-address 1.1.1.2 32 source-address 3.3.3.1 32 destination-address 1.1.1.2 32 destination-address 3.3.3.1 32 action permit rule name policy_sec_ipsec_2 source-zone trust destination-zone ISP1 destination-zone ISP2 source-address 10.1.0.0 16 destination-address 192.168.1.0 24 profile av default profile ips default action permit rule name policy_sec_ipsec_3 source-zone ISP1 source-zone ISP2 destination-zone trust source-address 192.168.1.0 24 profile av default profile ips default action permit rule name policy_sec_l2tp_ipsec_1 source-zone trust destination-zone ISP1 destination-zone ISP2 source-address 10.1.1.1 16 destination-address range 10.1.1.2 10.1.1.100 action permit rule name policy_sec_l2tp_ipsec_2 source-zone untrust destination-zone trust source-address range 10.1.1.2 10.1.1.100 destination-address 10.1.1.1 16 action permit rule name local_policy_ad_01 source-zone local destination-zone trust destination-address 10.3.0.251 32 action permit rule name local_policy_ad_02 source-zone trust destination-zone local source-address 10.3.0.251 32 action permit rule name policy_sec_server source-zone ISP1 source-zone ISP2 destination-zone trust destination-address 10.2.0.10 32 destination-address 10.2.0.11 32 action permit # nat-policy rule name policy_nat_internet_01 source-zone trust destination-zone ISP1 action source-nat address-group nataddr rule name policy_nat_internet_02 source-zone trust destination-zone ISP2 action source-nat address-group nataddr rule name policy_nat_ipsec_01 source-zone trust destination-zone ISP1 destination-address 192.168.1.0 24 action no-pat rule name policy_nat_ipsec_02 source-zone trust destination-zone ISP2 destination-address 192.168.1.0 24 action no-pat # traffic-policy profile profile_p2p bandwidth maximum-bandwidth whole upstream 2000000 bandwidth connection-limit whole downstream 6000000 bandwidth connection-limit whole both 10000 profile profile_email bandwidth guaranteed-bandwidth whole upstream 4000000 bandwidth guaranteed-bandwidth whole downstream 4000000 profile profile_management bandwidth guaranteed-bandwidth whole upstream 200000 bandwidth guaranteed-bandwidth whole downstream 200000 bandwidth maximum-bandwidth per-ip upstream 20000 bandwidth maximum-bandwidth per-ip downstream 20000 rule name policy_bandwidth_p2p source-zone trust destination-zone ISP1 destination-zone ISP2 application category Entertainment sub-category PeerCasting application category General_Internet sub-category FileShare_P2P action qos profile profile_p2p rule name policy_email source-zone trust destination-zone ISP1 destination-zone ISP2 application app LotusNotes application app OWA time-range work_time action qos profile profile_email rule name policy_bandwidth_management source-zone ISP1 source-zone ISP2 destination-zone trust user user-group /default/management action qos profile profile_management # 以下创建用户/组的配置保存于数据库,不在配置文件体现 user-manage group /default/management user-manage group /default/marketing user-manage group /default/research user-manage user user_0001 alias Tom parent-group /default/management password ********* undo multi-ip online enable |
# sysname FW_B # l2tp enable # acl number 3000 rule permit ip source 10.1.0.0 0.0.0.255 destination 192.168.1.0 0.0.0.255 # hrp enable hrp interface Eth-Trunk 1 remote 10.10.0.1 hrp track interface GigabitEthernet 1/0/1 hrp track interface GigabitEthernet 1/0/4 # time-range work_time period-range 09:00:00 to 18:00:00 working-day # firewall defend land enable firewall defend smurf enable firewall defend fraggle enable firewall defend winnuke enable firewall defend source-route enable firewall defend route-record enable firewall defend time-stamp enable firewall defend ping-of-death enable # ike proposal 10 encryption-algorithm 3des dh group5 authentication-method pre-share integrity-algorithm hmac-sha2-256 prf hmac-sha1 # ike peer headquarters pre-shared-key %$%$c([VET@941t/q_4tS-f7,ri/%$%$ ike-proposal 10 # ipsec proposal tran1 esp authentication-algorithm sha1 esp encryption-algorithm aes-128 # ipsec policy-template temp 1 security acl 3000 ike-peer headquarter proposal tran1 # ipsec policy map1 1 isakmp template temp # l2tp-group 1 allow l2tp virtual-template 1 remote client1 tunnel name lns tunnel authentication tunnel password cipher %$%$f#c=(BljBC!s=)Xc*3*%$%$ # interface Virtual-Template1 ppp authentication-mode chap pap remote service-scheme l2tp ip address 10.11.1.1 255.255.255.0 # interface GigabitEthernet1/0/1 undo shutdown ip address 1.1.1.3 255.255.255.0 gateway 1.1.1.254 vrrp vrid 1 virtual-ip 1.1.1.1 255.255.255.0 standby ipsec policy policy1 # interface GigabitEthernet1/0/2 undo shutdown ip address 2.2.2.1 255.255.255.0 gateway 2.2.2.254 vrrp vrid 1 virtual-ip 2.2.2.1 255.255.255.0 standby # interface GigabitEthernet1/0/4 undo shutdown ip address 10.2.1.1 255.255.0.0 # interface GigabitEthernet1/0/5 portswitch # interface Eth-Trunk 1 ip address 10.10.0.2 255.255.255.0 trunkport GigabitEthernet 1/0/3 trunkport GigabitEthernet 2/0/1 # firewall zone trust set priority 85 add interface GigabitEthernet1/0/4 add interface GigabitEthernet1/0/5 # firewall zone untrust set priority 5 add interface Virtual-Template1 # firewall zone ISP1 set priority 15 add interface GigabitEthernet1/0/1 # firewall zone ISP2 set priority 20 add interface GigabitEthernet1/0/2 # firewall zone Heart set priority 75 add interface Eth-Trunk1 # router id 2.2.2.3 # ospf 100 default-route-advertise area 0 network 2.2.2.0 0.0.0.255 network 10.2.0.0 0.0.0.255 # ip-link check enable ip-link name ip_link_1 destination 1.1.1.254 interface GigabitEthernet1/0/1 ip-link name ip_link_2 destination 2.2.2.254 interface GigabitEthernet1/0/2 # ip route-static 0.0.0.0 0.0.0.0 1.1.1.254 track ip-link ip_link_1 ip route-static 0.0.0.0 0.0.0.0 2.2.2.254 track ip-link ip_link_2 # user-manage online-user aging-time 480 user-manage single-sign-on ad mode no-plug-in no-plug-in interface GigabitEthernet1/0/5 no-plug-in traffic server-ip 10.3.0.251 port 88 enable # user-manage user vpdnuser password Hello123 # ad-server template auth_server_ad ad-server authentication 10.3.0.251 88 ad-server authentication base-dn dc=cce,dc=com ad-server authentication manager cn=administrator,cn=users %$%$M#._~J4QrR[kJu7PUMtHUqh_%$%$ ad-server authentication host-name ad.cce.com ad-server authentication ldap-port 389 ad-server user-filter sAMAccountName ad-server group-filter ou # user-manage import-policy policy_import from ad server template auth_server_ad server basedn dc=cce,dc=com destination-group /cce.com user-attribute sAMAccountName user-filter (&(|(objectclass=person)(objectclass=organizationalPerson))(cn=*)(!(objectclass=computer))) group-filter (|(objectclass=organizationalUnit)(ou=*)) import-type user-group import-override enable # ip pool pool1 section 1 10.1.1.2 10.1.1.100 # aaa authorization-scheme default authentication-mode local service-scheme l2tp ip-pool pool1 domain net1 service-type internetaccess l2tp authentication-scheme default service-scheme l2tp # profile type url-filter name profile_url category pre-defined control-level medium category pre-defined action allow # nat address-group nataddr mode pat route enable section 0 1.1.1.1 1.1.1.4 # multi-interface mode priority-of-link-quality priority-of-link-quality parameter delay jitter loss priority-of-link-quality protocol tcp-simple priority-of-link-quality interval 3 times 5 priority-of-link-quality table aging-time 60 add interface GigabitEthernet1/0/1 add interface GigabitEthernet1/0/2 # policy-based-route rule name pbr_1 description pbr_1 source-zone trust application category Business_Systems track ip-link ip_link_1 action pbr egress-interface GigabitEthernet1/0/1 next-hop 1.1.1.254 rule name pbr_2 description pbr_2 source-zone trust application category Entertainment sub-category VoIP application category Entertainment sub-category PeerCasting track ip-link ip_link_2 action pbr egress-interface GigabitEthernet1/0/2 next-hop 2.2.2.254 # security-policy rule name policy_sec_management source-zone trust destination-zone ISP1 destination-zone ISP2 user user-group /default/management profile av default profile ips default profile url-filter profile_url action permit rule name policy_sec_marketing_1 source-zone trust destination-zone ISP1 destination-zone ISP2 user user-group /default/marketing application category Entertainment sub-category Media_Sharing application category Entertainment sub-category Game action deny rule name policy_sec_marketing_2 source-zone trust destination-zone ISP1 destination-zone ISP2 user user-group /default/marketing profile av default profile ips default profile url-filter profile_url action permit rule name policy_sec_research_1 source-zone trust destination-zone ISP1 destination-zone ISP2 user user-group /default/research application category Entertainment action deny rule name policy_sec_research_2 source-zone trust destination-zone ISP1 destination-zone ISP2 user user-group /default/research profile av default profile ips default profile url-filter profile_url action permit rule name policy_sec_manufacture source-zone trust destination-zone ISP1 destination-zone ISP2 user user-group /default/manufacture action deny rule name policy_sec_ipsec_1 source-zone local source-zone ISP1 source-zone ISP2 destination-zone local destination-zone ISP1 destination-zone ISP2 source-address 1.1.1.2 32 source-address 3.3.3.1 32 destination-address 1.1.1.2 32 destination-address 3.3.3.1 32 action permit rule name policy_sec_ipsec_2 source-zone trust destination-zone ISP1 destination-zone ISP2 source-address 10.1.0.0 16 destination-address 192.168.1.0 24 profile av default profile ips default action permit rule name policy_sec_ipsec_3 source-zone ISP1 source-zone ISP2 destination-zone trust source-address 192.168.1.0 24 profile av default profile ips default action permit rule name policy_sec_l2tp_ipsec_1 source-zone trust destination-zone ISP1 destination-zone ISP2 source-address 10.1.1.1 16 destination-address range 10.1.1.2 10.1.1.100 action permit rule name policy_sec_l2tp_ipsec_2 source-zone untrust destination-zone trust source-address range 10.1.1.2 10.1.1.100 destination-address 10.1.1.1 16 action permit rule name local_policy_ad_01 source-zone local destination-zone trust destination-address 10.3.0.251 32 action permit rule name local_policy_ad_02 source-zone trust destination-zone local source-address 10.3.0.251 32 action permit rule name policy_sec_server source-zone ISP1 source-zone ISP2 destination-zone trust destination-address 10.2.0.10 32 destination-address 10.2.0.11 32 action permit # nat-policy rule name policy_nat_internet_01 source-zone trust destination-zone ISP1 action source-nat address-group nataddr rule name policy_nat_internet_02 source-zone trust destination-zone ISP2 action source-nat address-group nataddr rule name policy_nat_ipsec_01 source-zone trust destination-zone ISP1 destination-address 192.168.1.0 24 action no-pat rule name policy_nat_ipsec_02 source-zone trust destination-zone ISP2 destination-address 192.168.1.0 24 action no-pat # traffic-policy profile profile_p2p bandwidth maximum-bandwidth whole upstream 2000000 bandwidth connection-limit whole downstream 6000000 bandwidth connection-limit whole both 10000 profile profile_email bandwidth guaranteed-bandwidth whole upstream 4000000 bandwidth guaranteed-bandwidth whole downstream 4000000 profile profile_management bandwidth guaranteed-bandwidth whole upstream 200000 bandwidth guaranteed-bandwidth whole downstream 200000 bandwidth maximum-bandwidth per-ip upstream 20000 bandwidth maximum-bandwidth per-ip downstream 20000 rule name policy_bandwidth_p2p source-zone trust destination-zone ISP1 destination-zone ISP2 application category Entertainment sub-category PeerCasting application category General_Internet sub-category FileShare_P2P action qos profile profile_p2p rule name policy_email source-zone trust destination-zone ISP1 destination-zone ISP2 application app LotusNotes application app OWA time-range work_time action qos profile profile_email rule name policy_bandwidth_management source-zone ISP1 source-zone ISP2 destination-zone trust user user-group /default/management action qos profile profile_management # 以下创建用户/组的配置保存于数据库,不在配置文件体现 user-manage group /default/management user-manage group /default/marketing user-manage group /default/research user-manage user user_0001 alias Tom parent-group /default/management password ********* undo multi-ip online enable |
FW_A的配置脚本
# acl number 3000 rule permit ip source 10.1.1.0 0.0.0.255 destination 10.1.2.0 0.0.0.255 # hrp enable hrp interface Eth-Trunk 1 remote 10.10.0.2 hrp track interface GigabitEthernet 1/0/1 hrp track interface GigabitEthernet 1/0/4 # time-range work_time period-range 09:00:00 to 18:00:00 working-day # firewall defend land enable firewall defend smurf enable firewall defend fraggle enable firewall defend winnuke enable firewall defend source-route enable firewall defend route-record enable firewall defend time-stamp enable firewall defend ping-of-death enable # ike proposal 10 encryption-algorithm 3des dh group5 authentication-method pre-share integrity-algorithm hmac-sha2-256 prf hmac-sha1 # ike peer b pre-shared-key %$%$c([VET@941t/q_4tS-f7,ri/%$%$ ike-proposal 10 remote-address 1.1.5.1 # ike peer c pre-shared-key %$%$d([VET@941t/q_56S-f7,ra/%$%$ ike-proposal 10 # ipsec proposal tran1 esp authentication-algorithm sha1 esp encryption-algorithm aes-128 # ipsec policy map1 10 isakmp security acl 3000 ike-peer b proposal tran1 # ipsec policy-template map_temp 11 security acl 3000 ike-peer headquarter proposal tran1 # ipsec policy map1 20 isakmp template map_temp # interface GigabitEthernet1/0/1 undo shutdown ip address 1.1.1.2 255.255.255.0 vrrp vrid 1 virtual-ip 1.1.1.1 255.255.255.0 active anti-ddos syn-flood source-detect alert-rate 100000 anti-ddos udp-flood relation-defend source-detect alert-speed 10000 ipsec policy map1 # interface GigabitEthernet1/0/2 undo shutdown ip address 2.2.2.2 255.255.255.0 vrrp vrid 1 virtual-ip 2.2.2.1 255.255.255.0 active anti-ddos syn-flood source-detect alert-rate 100000 anti-ddos udp-flood relation-defend source-detect alert-speed 10000 # interface GigabitEthernet1/0/3 undo shutdown # interface GigabitEthernet1/0/4 undo shutdown ip address 10.1.1.1 255.255.0.0 # interface GigabitEthernet1/0/5 portswitch # interface Eth-Trunk 1 ip address 10.10.0.1 255.255.255.0 trunkport GigabitEthernet 1/0/3 trunkport GigabitEthernet 2/0/1 # firewall zone trust set priority 85 add interface GigabitEthernet1/0/4 add interface GigabitEthernet1/0/5 # firewall zone ISP1 set priority 15 add interface GigabitEthernet1/0/1 # firewall zone ISP2 set priority 20 add interface GigabitEthernet1/0/2 # firewall zone Heart set priority 75 add interface Eth-Trunk1 # ospf 100 default-route-advertise area 0 network 1.1.1.0 0.0.0.255 network 10.2.0.0 0.0.0.255 # ip-link check enable ip-link name ip_link_1 destination 1.1.1.254 ip-link name ip_link_2 destination 2.2.2.254 # ip route-static 0.0.0.0 0.0.0.0 1.1.1.254 track ip-link ip_link_1 ip route-static 0.0.0.0 0.0.0.0 2.2.2.254 track ip-link ip_link_2 # user-manage online-user aging-time 480 user-manage single-sign-on ad mode no-plug-in no-plug-in interface GigabitEthernet1/0/5 no-plug-in traffic server-ip 10.3.0.251 port 88 enable # user-manage user vpdnuser password Hello123 # ad-server template auth_server_ad ad-server authentication 10.3.0.251 88 ad-server authentication base-dn dc=cce,dc=com ad-server authentication manager cn=administrator,cn=users %$%$M#._~J4QrR[kJu7PUMtHUqh_%$%$ ad-server authentication host-name ad.cce.com ad-server authentication ldap-port 389 ad-server user-filter sAMAccountName ad-server group-filter ou # user-manage import-policy policy_import from ad server template auth_server_ad server basedn dc=cce,dc=com destination-group /cce.com user-attribute sAMAccountName user-filter (&(|(objectclass=person)(objectclass=organizationalPerson))(cn=*)(!(objectclass=computer))) group-filter (|(objectclass=organizationalUnit)(ou=*)) import-type user-group import-override enable # aaa domain cce.com service-type internetaccess new-user add-temporary group /cce.com auto-import policy_import # url-filter category user-defined name abc # profile type url-filter name default profile type url-filter name profile_url_1987 category pre-defined control-level medium # nat address-group 1 mode pat route enable section 0 1.1.1.1 1.1.1.4 # multi-interface mode priority-of-link-quality priority-of-link-quality parameter delay jitter loss priority-of-link-quality protocol tcp-simple priority-of-link-quality interval 3 times 5 priority-of-link-quality table aging-time 60 add interface GigabitEthernet1/0/1 add interface GigabitEthernet1/0/2 # policy-based-route rule name pbr_1 description pbr_1 source-zone trust application category Business_Systems track ip-link pbr_1 action pbr egress-interface GigabitEthernet1/0/1 next-hop 1.1.1.254 rule name pbr_2 description pbr_2 source-zone trust application category Entertainment sub-category VoIP application category Entertainment sub-category PeerCasting track ip-link pbr_2 action pbr egress-interface GigabitEthernet1/0/2 next-hop 2.2.2.254 # security-policy rule name policy_sec_management source-zone trust destination-zone ISP1 destination-zone ISP2 user user-group /default/management profile av default profile ips default profile url-filter profile_url action permit rule name policy_sec_marketing_1 source-zone trust destination-zone ISP1 destination-zone ISP2 user user-group /default/marketing application category Entertainment sub-category Media_Sharing application category Entertainment sub-category Game action deny rule name policy_sec_marketing_2 source-zone trust destination-zone ISP1 destination-zone ISP2 user user-group /default/marketing profile av default profile ips default profile url-filter profile_url action permit rule name policy_sec_research_1 source-zone trust destination-zone ISP1 destination-zone ISP2 user user-group /default/research application category Entertainment action deny rule name policy_sec_research_2 source-zone trust destination-zone ISP1 destination-zone ISP2 user user-group /default/research profile av default profile ips default profile url-filter profile_url action permit rule name policy_sec_manufacture source-zone trust destination-zone ISP1 destination-zone ISP2 user user-group /default/manufacture action deny rule name policy_sec_ipsec_1 source-zone local source-zone ISP1 source-zone ISP2 destination-zone local destination-zone ISP1 destination-zone ISP2 source-address 1.1.1.2 32 source-address 3.3.3.1 32 destination-address 1.1.1.2 32 destination-address 3.3.3.1 32 action permit rule name policy_sec_ipsec_2 source-zone trust destination-zone ISP1 destination-zone ISP2 source-address 10.1.0.0 16 destination-address 192.168.1.0 24 profile av default profile ips default action permit rule name policy_sec_ipsec_3 source-zone ISP1 source-zone ISP2 destination-zone trust source-address 192.168.1.0 24 profile av default profile ips default action permit rule name local_policy_ad_01 source-zone local destination-zone trust destination-address 10.3.0.251 32 action permit rule name local_policy_ad_02 source-zone trust destination-zone local source-address 10.3.0.251 32 action permit # nat-policy rule name policy_nat_internet_01 source-zone trust destination-zone ISP1 action source-nat address-group 1 rule name policy_nat_internet_02 source-zone trust destination-zone ISP2 action source-nat address-group 1 rule name policy_nat_ipsec_01 source-zone trust destination-zone ISP1 destination-address 192.168.1.0 24 action no-pat rule name policy_nat_ipsec_02 source-zone trust destination-zone ISP2 destination-address 192.168.1.0 24 action no-pat # traffic-policy profile profile_p2p bandwidth maximum-bandwidth whole both 30000 bandwidth connection-limit whole both 10000 profile profile_email bandwidth guaranteed-bandwidth whole both 60000 profile profile_management bandwidth maximum-bandwidth whole downstream 50000 profile profile_marketing bandwidth maximum-bandwidth whole downstream 30000 profile profile_research bandwidth maximum-bandwidth whole downstream 20000 rule name policy_p2p source-zone trust destination-zone ISP1 destination-zone ISP2 application category Entertainment sub-category PeerCasting application category General_Internet sub-category FileShare_P2P action qos profile profile_p2p rule name policy_email source-zone trust destination-zone ISP1 destination-zone ISP2 application app LotusNotes application app OWA time-range work_time action qos profile profile_email rule name policy_management source-zone ISP1 source-zone ISP2 destination-zone trust user user-group /default/management action qos profile profile_management rule name policy_marketing source-zone ISP1 source-zone ISP2 destination-zone trust user user-group /default/marketing action qos profile profile_marketing rule name policy_research source-zone ISP1 source-zone ISP2 destination-zone trust user user-group /default/research action qos profile profile_research # 以下创建用户/组的配置保存于数据库,不在配置文件体现 user-manage group /default/management user-manage group /default/marketing user-manage group /default/research user-manage user user_0001 alias Tom parent-group /default/management password ********* undo multi-ip online enable
