所选语种没有对应资源,请选择:

本站点使用Cookies,继续浏览表示您同意我们使用Cookies。Cookies和隐私政策>

提示

尊敬的用户,您的IE浏览器版本过低,为获取更好的浏览体验,请升级您的IE浏览器。

升级

防火墙在校园出口安全方案中的应用

评分并提供意见反馈 :
华为采用机器翻译与人工审校相结合的方式将此文档翻译成不同语言,希望能帮助您更容易理解此文档的内容。 请注意:即使是最好的机器翻译,其准确度也不及专业翻译人员的水平。 华为对于翻译的准确性不承担任何责任,并建议您参考英文文档(已提供链接)。
防火墙在校园出口安全方案中的应用

防火墙在校园出口安全方案中的应用

简介

本案例介绍了防火墙在校园出口安全方案中的应用。通过分析校园网安全面临的主要问题以及校方在网络访问管理中的常见需求,本案例给出了最典型的2个应用方案,可以解决大多数情况下的校园网安全方案部署。

基于USG6000&USG9500 V500R005C00版本写作,可供USG6000&USG9500 V500R005C00、USG6000E V600R006C00及后续版本参考。不同版本之间可能存在差异,请以实际版本为准。

方案简介

随着教育信息化的加速,高校网络建设日趋完善,在师生畅享丰富网络资源的同时,校园网络的安全问题也逐渐凸显,并直接影响学校的教学、管理、科研等活动。如何构建一个安全、高速的校园网络,已成为高校网络管理者需要迫切解决的问题。

校园网从网络层到应用层的各个层面都面临着不同的安全威胁:

  • 网络边界防护:校园网一般拥有多个出口,链路带宽高,网络结构复杂;病毒、蠕虫的传播成为最大安全隐患;越来越多的远程网络接入,对安全性构成极大挑战。
  • 内容安全防护:无法及时发现和阻断网络入侵行为;需要对用户访问的URL进行控制,允许或禁止访问某些网页资源,规范上网行为;需要防范不当的网络留言和内容发布,防止造成不良的社会影响。

FW作为高性能的下一代防火墙,可以部署在校园网出口,帮助高校降低安全威胁,实现有效的网络管理。FW不仅可以提供安全隔离和日常攻击防范,还具备多种高级应用安全能力,如攻击防范、IPS、防病毒、上网行为审计等,在实施边界防护的同时提供应用层防护。

图1-1所示,FW作为安全网关部署在校园网出口,提供内、外网互访的安全隔离和防护。FW不仅可以提供传统的基于IP地址的安全策略制定和网络访问控制,还可以提供基于用户的访问控制和行为溯源。这给予了网络管理者极大的灵活性,可以依据网络实际情况选择最高效的管控策略,并减少安全维护的工作量。

图1-1 FW在校园网中的应用

方案一:基于IP地址的策略控制

典型组网

图1-2所示,FW作为安全网关部署在校园网出口,为校内用户提供宽带服务,为校外用户提供服务器访问服务。由于校园网络是逐步、分期发展起来的,所以出口链路的带宽并不均衡,其中教育网的链路带宽为1G,ISP1的3条链路带宽分别为200M、1G和200M,ISP2的2条链路带宽均为1G。

图1-2 基于IP地址的策略控制组网图

由于学校网络的主要用途是学习和工作,所以在保证内网用户和服务器安全的同时,要合理分配带宽资源,并对网络流量进行负载分担,提升内外部用户的访问体验。校园网的主要需求如下:

  • 负载分担
    • 为了保证内网用户的上网体验,充分利用多条ISP链路,学校希望访问特定ISP网络的流量优先从该ISP对应的出接口转发出去,例如访问教育网的流量优先从GE1/0/1转发,访问ISP2的流量优先从GE1/0/5或GE1/0/6转发。同时,对属于同一ISP的多条链路,可以按照链路带宽或权重的比例进行流量负载分担。为提高转发的可靠性,防止单条链路流量过大导致丢包,各链路间还要实现链路备份。
    • 各ISP链路的传输质量实际上是不同的,其中教育网和ISP2的链路质量较高,可以用来转发对时延要求较高的业务流量(例如远程教学系统的流量),ISP1的链路质量较差,可以用来转发占用带宽大、业务价值小的业务流量(例如P2P流量)。考虑到费用因素,访问其他高校服务器的流量、图书馆内用户的上网流量、所有匹配缺省路由的流量需要从教育网链路转发出去。
    • 由于校内用户自动获得的是同一个DNS服务器地址,所以流量将从同一条ISP链路转发出去。学校希望充分利用其他链路资源,所以要分流部分DNS请求报文到其他ISP链路上。如果只是改变了报文的出接口,还是无法解决后续上网流量集中在一条链路上的问题。所以要将报文发送到不同ISP的DNS服务器上,这样解析后的地址就属于不同的ISP,达到了分流的目的。
    • 学校内部署了DNS服务器提供域名解析服务,不同ISP的用户访问学校网站时,可以解析到属于自己ISP的地址,不会解析到其他ISP的地址,提高访问质量。
    • 由于访问图书馆服务器的流量较大,所以需要部署2台服务器对流量进行负载分担。
  • 地址转换
    • 校内用户访问Internet时需要使用公网IP地址。
    • 校内服务器使用公网IP地址同时为内、外网用户提供服务,例如图书馆服务器、Portal服务器、DNS服务器等。
  • 安全防护
    • 按照网络设备所处的位置划分不同区域,并对各区域间的流量进行安全隔离,控制各区域间的互访权限。例如,允许校内用户访问外网资源,只允许外网用户访问校内服务器的指定端口。
    • 能够防御常见的DDoS攻击(例如SYN flood攻击)和单包攻击(例如Land攻击)。
    • 能够对网络入侵行为进行阻断或告警。
  • 带宽管控

    由于带宽资源有限,所以学校希望限制P2P流量占用的带宽比例,并限制每个用户的P2P流量带宽。常见的P2P流量主要来源于下载软件(如迅雷、电驴、BT、Ares、Vuze)、音乐软件(如酷我音乐盒、酷狗、SoulSeek)或视频网站或软件(如百度影音、爱奇艺、搜狐影音)。

  • 溯源审计
    • 为了防止个别校内用户的不当网络行为对学校声誉造成伤害,并做到事后能够回溯和还原事件,需要对校内用户的网络行为进行审计,供日后审查和分析。需要审计的行为主要包括URL访问记录、BBS和微博的发帖内容、HTTP上传和下载行为、FTP上传和下载行为。
    • 学校部署有日志服务器,需要在日志服务器上查看攻击防范和入侵检测的日志,并且能够查看NAT转换前后的IP地址。

业务规划

FW可以满足校园网的所有需求,下面给出具体功能的介绍并结合组网进行业务规划。

网络基础及访问控制配置

FW通过设置安全区域将校园网的各个区域安全隔离,并通过安全策略控制各个区域间的互访权限。

其中,校园网用户处于Trust区域,安全级别最高,可以主动访问所有安全区域;服务器也处于Trust区域,但是通过策略控制服务器仅可以访问外网区域,不可以访问Trust区域内的设备;分别为各ISP创建安全区域,这是为了方便单独控制某两个域间的策略,允许各ISP区域中的设备访问服务器区。同时,为了保证安全区域间多通道协议(例如FTP协议)的正常通信,还需要开启ASPF功能。

表1-1 网络基础配置规划

项目

数据

说明

GE1/0/1

  • IP地址:1.1.1.1/30
  • 安全区域:edu_zone(优先级为20)
  • 网关地址:1.1.1.2
  • 源进源出功能:开启
  • 带宽:1000M
  • 过载保护阈值:90%

FW连接教育网的接口,加入自定义安全区域edu_zone。自定义安全区域的优先级可以根据实际情况进行设置。

GE1/0/2

  • IP地址:2.2.2.1/30
  • 安全区域:isp1_zone1(优先级为30)
  • 网关地址:2.2.2.2
  • 源进源出功能:开启
  • 带宽:200M
  • 过载保护阈值:90%

FW连接ISP1的接口,加入自定义安全区域isp1_zone1。

GE1/0/3

  • IP地址:2.2.3.1/30
  • 安全区域:isp1_zone2(优先级为40)
  • 网关地址:2.2.3.2
  • 源进源出功能:开启
  • 带宽:1000M
  • 过载保护阈值:90%

FW连接ISP1的接口,加入自定义安全区域isp1_zone2。

GE1/0/4

  • IP地址:2.2.4.1/30
  • 安全区域:isp1_zone3(优先级为50)
  • 网关地址:2.2.4.2
  • 源进源出功能:开启
  • 带宽:200M
  • 过载保护阈值:90%

FW连接ISP1的接口,加入自定义安全区域isp1_zone3。

GE1/0/5

  • IP地址:3.3.3.1/30
  • 安全区域:isp2_zone1(优先级为60)
  • 网关地址:3.3.3.2
  • 源进源出功能:开启
  • 带宽:1000M
  • 过载保护阈值:90%

FW连接ISP2的接口,加入自定义安全区域isp2_zone1。

GE1/0/6

  • IP地址:3.3.4.1/30
  • 安全区域:isp2_zone2(优先级为70)
  • 网关地址:3.3.4.2
  • 源进源出功能:开启
  • 带宽:1000M
  • 过载保护阈值:90%

FW连接ISP2的接口,加入自定义安全区域isp2_zone2。

GE1/0/7

  • IP地址:10.2.0.1/24
  • 安全区域:Trust

FW连接校园内网的接口,加入Trust区域。校内用户和服务器均位于Trust区域。

表1-2 访问控制配置规划

项目

数据

说明

校内用户的安全策略

  • 安全策略名称:user_inside
  • 源安全区域:Trust
  • 动作:permit

校内用户可以访问任意安全区域内的设备。

缺省情况下,同一安全区域内的设备也不能互访,必须配置一条安全策略指定源安全区域或目的安全区域。例如,源安全区域指定为Trust,目的安全区域指定为Trust,表示Trust域内的设备即可互访;源安全区域指定为Trust,目的安全区域指定为any,表示Trust域内的设备可以访问任意安全域;源安全区域指定为any,目的安全区域指定为Trust,表示任意安全域内的设备可以访问Trust域。

外网用户的安全策略

  • 安全策略名称:user_outside
  • 源安全区域:edu_zone、isp1_zone1、isp1_zone2、isp1_zone3、isp2_zone1、isp2_zone2
  • 目的地址:10.1.10.0/24
  • 动作:permit

校外用户可以访问服务器区,不可以访问Trust域内的任意设备。

服务器的安全策略

  • 安全策略名称:local_to_any
  • 源安全区域:Local
  • 目的安全区域:Any
  • 动作:permit

允许FW和升级中心、日志服务器交互的流量通过。

入侵防御

为了防止僵尸、木马、蠕虫的入侵,需要在FW上部署入侵防御功能,对入侵行为进行告警或阻断。为了更好地识别入侵行为,FW还需要定期通过安全中心平台(sec.huawei.com)更新入侵防御特征库。

表1-3 入侵防御配置规划

项目

数据

说明

外网入侵防御

  • 安全策略:user_inside
  • 入侵防御配置文件:default

Trust域内设备访问外网设备时需要进行入侵防御,安全策略中引用缺省的入侵防御配置文件default

服务器区入侵防御

  • 安全策略:user_outside
  • 入侵防御配置文件:default

外网用户访问服务器区设备时需要进行入侵防御,安全策略中引用缺省的入侵防御配置文件default

入侵防御特征库的升级

  • 升级中心地址:sec.huawei.com
  • DNS服务器地址:10.1.10.30
  • 升级方式:定时升级
  • 升级频率:每天
  • 升级时间:02:30

入侵防御特征库需要经常更新,以此提高设备的安全防御能力。为了减轻管理员的工作量,可以令设备定时升级,并选择一个网络流量最小的时间段。

DNS透明代理

DNS透明代理功能可以修改DNS请求报文的目的地址,实现DNS服务器的重定向。本例中结合策略路由智能选路,可以使DNS请求报文按照链路带宽比例进行转发,由于解析后的服务器地址也属于不同的ISP,所以后续的访问流量也会分担到不同的ISP链路上。

表1-4 DNS透明代理配置规划

项目

数据

说明

接口绑定DNS服务器

  • GE1/0/1:
    • 首选DNS服务器:1.1.22.22
    • 备用DNS服务器:1.1.23.23
  • GE1/0/2:
    • 首选DNS服务器:2.2.22.22
    • 备用DNS服务器:2.2.23.23
  • GE1/0/3:
    • 首选DNS服务器:2.2.24.24
    • 备用DNS服务器:2.2.25.25
  • GE1/0/4:
    • 首选DNS服务器:2.2.26.26
    • 备用DNS服务器:2.2.27.27
  • GE1/0/5:
    • 首选DNS服务器:3.3.22.22
    • 备用DNS服务器:3.3.23.23
  • GE1/0/6:
    • 首选DNS服务器:3.3.24.24
    • 备用DNS服务器:3.3.25.25

FW优先使用首选DNS服务器地址替换DNS请求报文的目的地址,只有当首选DNS服务器的状态为DOWN时,才会使用备用DNS服务器地址替换DNS请求报文中的目的地址。

排除域名

  • 排除域名:www.example.com
  • DNS服务器:1.1.25.25

排除域名不做DNS透明代理,且管理员可以指定DNS服务器来解析排除域名。

DNS透明代理策略

dns_trans_rule:

  • 源IP地址:any
  • 目的IP地址:any
  • 动作:tpdns(表示做DNS透明代理)

DNS透明代理策略定义了哪些DNS请求报文需要做DNS透明代理。本例中,除了排除域名,所有DNS请求报文均需做DNS透明代理。

策略路由

pbr_dns_trans:

  • 源安全区域:Trust
  • 服务:dns,dns-tcp
  • 智能选路模式:根据链路带宽负载分担
  • 参与选路的出接口:
    • GE1/0/1
    • GE1/0/2
    • GE1/0/3
    • GE1/0/4
    • GE1/0/5
    • GE1/0/6

此条策略路由必须置于所有策略路由之前,通过服务类型(使用TCP协议或UDP协议的DNS)匹配到DNS请求报文,并根据链路带宽进行负载分担。当校内用户获得DNS解析地址后,后续的业务报文会匹配其他策略路由并进行选路。

智能选路

为了满足校园网出口的流量转发需求,可以在FW上部署策略路由智能选路功能,结合ISP地址集即可实现按照运营商转发流量。此外,对于某些特殊流量的转发需求,可以利用单出口策略路由指导流量从固定的出接口转发。最后,对于没有命中ISP地址集的流量,可以选择链路质量最好的链路转发出去。

表1-5 智能选路配置规划

项目

数据

说明

单出口策略路由

  • other_edu_server:
    • 源安全区域:Trust
    • 源地址:10.1.0.0/16
    • 目的地址:other_edu_server_address
    • 出接口:GE1/0/1
    • 下一跳:1.1.1.2
  • lib_internet:
    • 源安全区域:Trust
    • 源地址:10.1.50.0/22
    • 出接口:GE1/0/1
    • 下一跳:1.1.1.2

策略路由的匹配顺序优先于明细路由和缺省路由,所以对于特殊流量可以设置策略路由指导转发。

单出口策略路由和多出口策略路由的优先级相同,但是策略路由功能存在匹配顺序,即先配置的策略路由规则优先进行流量匹配,所以可根据业务需要和匹配条件的严格程度调整策略路由规则的位置。一般来说,匹配条件严格的策略路由位置靠前,匹配条件宽松的策略路由位置靠后;匹配特殊流量的策略路由位置靠前,匹配大多数流量的策略路由位置靠后。

ISP地址集

  • 教育网地址集:
    • ISP名称:edu_address
    • ISP地址文件名称:edu_address.csv
  • ISP1地址集:
    • ISP名称:isp1_address
    • ISP地址文件名称:isp1_address.csv
  • ISP2地址集:
    • ISP名称:isp2_address
    • ISP地址文件名称:isp2_address.csv
  • 其他高校服务器的地址集:
    • ISP名称:other_edu_server_address
    • ISP地址文件名称:other_edu_server_address.csv

配置ISP地址集前,管理员需要把每个ISP网络内的IP地址分别写入不同的ISP地址文件,然后将文件导入FW。后续如需修改ISP地址文件中的内容,可以导出对应的文件,修改后再导入FW。

ISP地址文件的填写说明及要求如下图所示。

多出口策略路由

  • pbr_edu:
    • 源安全区域:Trust
    • 源地址:10.1.0.0/16
    • 目的地址:edu_address
    • 智能选路模式:根据链路优先级主备备份
    • 参与选路的出接口及其选路优先级:
    • GE1/0/1,优先级为8
    • GE1/0/2,优先级为5
    • GE1/0/3,优先级为5
    • GE1/0/4,优先级为5
    • GE1/0/5,优先级为1
    • GE1/0/6,优先级为1
  • pbr_isp1:
    • 源安全区域:Trust
    • 源地址:10.1.0.0/16
    • 目的地址:isp1_address
    • 智能选路模式:根据链路优先级主备备份
    • 参与选路的出接口及其选路优先级:
    • GE1/0/1,优先级为5
    • GE1/0/2,优先级为8
    • GE1/0/3,优先级为8
    • GE1/0/4,优先级为8
    • GE1/0/5,优先级为1
    • GE1/0/6,优先级为1
  • pbr_isp2:
    • 源安全区域:Trust
    • 源地址:10.1.0.0/16
    • 目的地址:isp2_address
    • 智能选路模式:根据链路优先级主备备份
    • 参与选路的出接口及其选路优先级:
    • GE1/0/1,优先级为5
    • GE1/0/2,优先级为1
    • GE1/0/3,优先级为1
    • GE1/0/4,优先级为1
    • GE1/0/5,优先级为8
    • GE1/0/6,优先级为8
  • p2p_traffic:
    • 源安全区域:Trust
    • 应用:P2P网络视频、P2P文件共享
    • 智能选路模式:根据链路带宽负载分担
    • 参与选路的出接口:
    • GE1/0/2
    • GE1/0/3
    • GE1/0/4
  • dis_edu_sys:
    • 源安全区域:Trust
    • 应用:UD_dis_edu_sys_app
    • 智能选路模式:根据链路带宽负载分担
    • 参与选路的出接口:
    • GE1/0/1
    • GE1/0/5
    • GE1/0/6
  • pbr_rest:
    • 源安全区域:Trust
    • 智能选路模式:根据链路质量负载分担
    • 探测方式:简单TCP
    • 探测间隔:3秒
    • 探测次数:5
    • 质量探测参数:
    • 丢包率
    • 时延
    • 时延抖动
    • 参与选路的出接口:
    • GE1/0/1
    • GE1/0/2
    • GE1/0/3
    • GE1/0/4
    • GE1/0/5
    • GE1/0/6

策略路由的目的地址设置为ISP地址集,这样当流量匹配策略路由的所有条件后,FW将优先使用对应的ISP链路转发该流量。如果同一ISP拥有多条链路,FW将随机使用其中一条链路转发流量,当流量较大时,各链路转发流量的比例约等于链路带宽比,即实现了按照带宽负载分担。当高优先级的链路都过载后,再使用低优先级的其他ISP链路转发流量。

例如,当流量匹配策略路由pbr_isp1的所有条件时,表示流量的目的地址属于ISP1。由于连接ISP1的3个出接口GE1/0/2、GE1/0/3、GE1/0/4的优先级最高,所以FW将从这3个接口中随机选择一个转发该流量。当GE1/0/2、GE1/0/3、GE1/0/4都过载后,如果新的流量仍然匹配了策略路由pbr_isp1,那么已建立会话的流量仍从原接口转发,但是新流量不再通过这3个接口转发,而是通过优先级第二高的GE1/0/1转发。当GE1/0/1也过载后,再使用优先级第三高的GE1/0/5和GE1/0/6转发。如果所有链路都已过载,那么FW将按照各链路的带宽比例分配新建立会话的流量,不再根据链路优先级分配。

由于远程教学系统软件没有包含在FW的应用特征库中,所以管理员需要根据应用的特征手工创建自定义应用UD_dis_edu_sys_app,并将其设置为策略路由的匹配条件。

对于没有匹配到任何ISP地址集的流量,可以通过策略路由pbr_rest选择链路质量最好的链路,保证用户体验最佳。

服务器负载均衡

图书馆的2台服务器对外体现为一台高性能、高可靠性的虚拟服务器,对于用户来说访问的就是虚拟服务器,而并不知道实际处理业务的是其他服务器。为了提升用户访问体验,虚拟服务器向外发布多个ISP的公网IP地址。

表1-6 服务器负载均衡配置规划

项目

数据

说明

图书馆服务器

  • 负载均衡算法:简单轮询
  • 虚拟服务器vs1:
    • 对应教育网的vip:1.1.111.111
    • 对应ISP1的vip:2.2.112.112
    • 对应ISP2的vip:3.3.113.113
  • 实服务器组grp1:
    • rserver 1:10.1.10.10
    • rserver 2:10.1.10.11

虚拟服务器IP是公网IP,实服务器IP是私网IP。

配置服务器负载均衡功能后,FW会针对虚拟服务器的IP地址自动生成黑洞路由,防止产生路由环路。删除虚拟服务器的IP地址或者取消虚拟服务器和实服务器组的绑定关系后,黑洞路由自动删除。

智能DNS

智能DNS是指存在私网DNS服务器的情况下,FW对于来自不同ISP的DNS请求进行智能回复,使各ISP的用户能够获得最适合的解析地址,即与用户属于同一ISP网络的服务器地址。

例如,学校内网有一台DNS服务器,上面存放了Portal服务器的域名(www.example.com)和教育网分配的公网地址1.1.15.15,并在FW的GE1/0/2接口上启用智能DNS功能,映射后的地址为ISP1分配的公网地址2.2.15.15。

当教育网下的用户访问Portal服务器地址时,由于接口GE1/0/1没有配置智能DNS功能,因此最终用户得到的Portal服务器地址就是其原本教育网分配的公网地址1.1.15.15。当ISP1下的用户访问Portal服务器地址时,DNS服务器返回给ISP1用户的DNS响应消息到达FW的GE1/0/2接口时,FW会把响应消息中原始的教育网地址1.1.15.15替换成ISP1分配的公网地址2.2.15.15,ISP1下的用户收到DNS响应消息后,就会和2.2.15.15这个地址进行通信。当然,在FW上还需要配置一条NAT Server映射,将Portal服务器的私网地址10.1.10.20和2.2.15.15进行绑定,从而实现ISP1下的用户通过ISP1的地址2.2.15.15和Portal服务器进行通信。

表1-7 智能DNS配置规划

项目

数据

说明

Portal服务器

  • 原始服务器IP:1.1.15.15
  • 出接口及映射后IP:
    • GE1/0/2,2.2.15.15
    • GE1/0/3,2.2.16.16
    • GE1/0/4,2.2.17.17
    • GE1/0/5,3.3.15.15
    • GE1/0/6,3.3.16.16

由于原始服务器IP就是教育网公网IP,所以无需针对教育网出接口配置智能DNS映射,只要针对ISP1和ISP2的出接口配置即可。

图书馆服务器

  • 原始服务器IP:1.1.101.101
  • 出接口及映射后IP:
    • GE1/0/2,2.2.102.102
    • GE1/0/3,2.2.103.103
    • GE1/0/4,2.2.104.104
    • GE1/0/5,3.3.102.102
    • GE1/0/6,3.3.103.103

-

NAT

  • NAT Server

    为保证各个ISP的用户能够访问内网服务器,需要在FW上部署NAT Server功能,将服务器的私网地址转换成公网地址。

表1-8 NAT Server配置规划

项目

数据

说明

Portal服务器

  • 私网IP:10.1.10.20
  • 公网IP:
    • 对应教育网:1.1.15.15
    • 对应ISP1:2.2.15.15、2.2.16.16、2.2.17.17
    • 对应ISP2:3.3.15.15、3.3.16.16

NAT Server可以基于安全区域配置多个公网IP地址对应同一个私网IP地址。

DNS服务器

  • 私网IP:10.1.10.30
  • 公网IP:
    • 对应教育网:1.1.101.101
    • 对应ISP1:2.2.102.102、2.2.103.103、2.2.104.104
    • 对应ISP2:3.3.102.102、3.3.103.103

-

  • 源NAT

    为保证大量内网用户能够利用有限的公网IP地址访问外网,需要在FW上部署源NAT功能,将报文的私网IP地址转换成公网IP地址。

表1-9 源NAT配置规划

项目

数据

说明

教育网

edu_nat_policy:

  • 地址池:edu_nat_address_pool
    • 地址段:1.1.30.31~1.1.30.33
    • NAT模式:PAT
  • 源地址:10.1.0.0/16
  • 源安全区域:Trust
  • 目的安全区域:edu_zone

内网用户访问教育网时,报文的源IP地址转换为教育网的公网IP地址。

ISP1 NAT策略

isp1_nat_policy1:

  • 地址池:isp1_nat_address_pool1
    • 地址段:2.2.5.1~2.2.5.3
    • NAT模式:PAT
  • 源地址:10.1.0.0/16
  • 源安全区域:Trust
  • 目的安全区域:isp1_zone1

isp1_nat_policy2:

  • 地址池:isp1_nat_address_pool2
    • 地址段:2.2.6.1~2.2.6.3
    • NAT模式:PAT
    • 源地址:10.1.0.0/16
    • 源安全区域:Trust
    • 目的安全区域:isp1_zone2

isp1_nat_policy3:

  • 地址池:isp1_nat_address_pool3
    • 地址段:2.2.7.1~2.2.7.3
    • NAT模式:PAT
    • 源地址:10.1.0.0/16
    • 源安全区域:Trust
    • 目的安全区域:isp1_zone3

内网用户访问ISP1网络时,报文的源IP地址转换为ISP1的公网IP地址。

ISP2 NAT策略

isp2_nat_policy1:

  • 地址池:isp2_nat_address_pool1
    • 地址段:3.3.1.1~3.3.1.3
    • NAT模式:PAT
  • 源地址:10.1.0.0/16
  • 源安全区域:Trust
  • 目的安全区域:isp2_zone1

isp2_nat_policy2:

  • 地址池:isp2_nat_address_pool2
    • 地址段:3.3.2.1~3.3.2.3
    • NAT模式:PAT
  • 源地址:10.1.0.0/16
  • 源安全区域:Trust
  • 目的安全区域:isp2_zone2

内网用户访问ISP2网络时,报文的源IP地址转换为ISP2的公网IP地址。

同一安全区域内的源NAT

inner_nat_policy:

  • 地址池:edu_nat_address_pool
    • 地址段:1.1.30.31~1.1.30.33
    • NAT模式:PAT
  • 源地址:10.1.0.0/16
  • 源安全区域:Trust
  • 目的安全区域:Trust

内网用户(Trust区域)通过公网地址访问内网服务器(Trust区域)时,需要进行源地址转换。

  • NAT ALG

    FW配置NAT功能后,如果需要转发多通道协议报文(例如FTP协议),则必须开启该协议对应的NAT ALG功能,保证多通道协议报文可以顺利的进行地址转换。本案例中以FTP、QQ和RTSP协议为例,开启这些协议对应的NAT ALG功能。

攻击防范

攻击防范功能可以检测出多种类型的网络攻击,包括DDoS攻击和单包攻击,保护内部网络免受恶意攻击。

表1-10 攻击防范配置规划

项目

数据

说明

防御DDoS攻击

  • DDoS攻击类型:SYN Flood
  • 接口:GE1/0/2、GE1/0/3、GE1/0/4、GE1/0/5、GE1/0/6
  • 告警速率:24000

对于SYN Flood攻击防范,建议GE接口阈值取值16000pps。本案例的接口都是GE接口,最终接口阈值取值为24000pps,此为实际试验的结果。根据实际经验,可以先配置一个较大的阈值,然后一边观察一边调小阈值,直到调整到合适的范围(既很好的限制了攻击,又不影响正常业务)。

防御单包攻击

  • Land攻击防范
  • Smurf攻击防范
  • Fraggle攻击防范
  • WinNuke攻击防范
  • 带源路由选项的IP报文攻击防范
  • 带路由记录项的IP报文攻击防范
  • 带时间戳选项的IP报文攻击防范
  • Ping of Death攻击防范

一般情况下,如果对网络安全没有特殊要求,防御单包攻击时开启本案例中提供的功能即可。

审计策略

FW支持审计功能,通过审计策略定义需要审计的上网行为并进行记录,管理员后续可以对用户的上网行为进行审查和分析。

表1-11 审计策略配置规划

项目

数据

说明

审计策略

  • 源安全区域:Trust
  • 目的安全区域:edu_zone、isp1_zone1、isp1_zone2、isp1_zone3、isp2_zone1、isp2_zone2
  • 动作:审计
  • 审计配置文件:trust_to_internet_audit
    • HTTP行为审计:
    • URL访问:记录所有URL
    • Web BBS的发帖内容:记录
    • 微博的发帖内容:记录
    • HTTP上传文件:记录
    • HTTP下载文件:记录
    • FTP为审计:
    • FTP上传文件:记录
    • FTP下载文件:记录

学校可以记录校内用户访问外网时的HTTP行为和FTP行为,供日后审计。

带宽管理

由于P2P流量非常耗费带宽资源,所以学校希望限制ISP1各链路上的P2P流量带宽,并针对单个IP的P2P流量带宽进行限制。带宽管理功能可以针对特定类型的流量进行整体限流或者限制每IP/每用户的流量。

表1-12 带宽管理配置规划

项目

数据

说明

对GE1/0/2接口链路的P2P流量进行限流

带宽通道:isp1_p2p_profile_01

  • 限流方式:设置上下行总带宽
  • 整体限流最大总带宽:100M
  • 每IP最大总带宽:500K

带宽策略:isp1_p2p_01

  • 入接口:GE1/0/7
  • 出接口:GE1/0/2
  • 应用:P2P网络视频、P2P文件共享
  • 动作:限流
  • 带宽通道:isp1_p2p_profile_01

带宽通道定义了具体的带宽资源,带宽策略决定了对网络中哪些流量进行带宽管理。带宽策略中引用带宽通道后,所有匹配带宽策略的流量将只能使用带宽通道定义的带宽资源。

对GE1/0/3接口链路的P2P流量进行限流

带宽通道:isp1_p2p_profile_02

  • 限流方式:设置上下行总带宽
  • 整体限流最大总带宽:300M
  • 每IP最大总带宽:1M

带宽策略:isp1_p2p_02

  • 入接口:GE1/0/7
  • 出接口:GE1/0/3
  • 应用:P2P网络视频、P2P文件共享
  • 动作:限流
  • 带宽通道:isp1_p2p_profile_02

-

对GE1/0/4接口链路的P2P流量进行限流

带宽通道:isp1_p2p_profile_03

  • 限流方式:设置上下行总带宽
  • 整体限流最大总带宽:700M
  • 每IP最大总带宽:2M

带宽策略:isp1_p2p_03

  • 入接口:GE1/0/7
  • 出接口:GE1/0/4
  • 应用:P2P网络视频、P2P文件共享
  • 动作:限流
  • 带宽通道:isp1_p2p_profile_03

-

日志服务器设备

日志服务器可以进行日志的收集、查询和报表呈现。FW和日志服务器进行配套使用后,可以在日志服务器上查看FW输出的会话日志,其中也包含NAT转换前后的会话日志,通过这些日志即可查看到NAT转换的地址信息;也可以在日志服务器上查看FW输出的IPS日志和攻击防范日志,通过这些日志即可查询出网络中的攻击行为和入侵行为。

表1-13 对接网管设备配置规划

项目

数据

说明

日志服务器

  • IP地址:10.1.10.30
  • 系统日志类型:IPS日志、攻击防范日志

-

SNMP功能

  • SNMP协议版本:v3
  • SNMPv3用户组:
    • 名称:inside_snmp
    • 认证加密模式:privacy(既认证又加密)
  • Trap方式告警:
    • SNMPv3用户认证密码:Test@123
    • SNMPv3用户加密密码:Test@123

-

NAT溯源

开启以下安全策略的“记录日志会话功能”

  • user_inside
  • user_outside

NAT溯源功能即查看NAT转换前后的地址信息。开启安全策略下的会话日志记录功能后,FW将匹配安全策略规则的会话的日志输出到日志主机上,通过日志主机即可查看到这些日志信息,其中部分会话日志即包含了NAT转换前后的地址信息。

注意事项

注意事项

  • ISP地址集中的IP地址是否齐全直接影响智能选路、智能NDS功能的实施效果,请充分收集各ISP中的常用地址。
  • 多出口场景下,策略路由智能选路不能和IP欺骗攻击防范功能或URPF(Unicast Reverse Path Forwarding,单播逆向路径转发)功能一起使用。如果开启IP欺骗攻击防范功能或URPF功能,可能导致FW丢弃报文。
  • 智能DNS功能需要License授权,并通过动态加载功能加载相应组件包后方可使用。
  • 服务器负载均衡功能的虚拟服务器的IP地址不能和下列IP地址相同:
    • NAT Server的公网IP地址(global IP)
    • NAT地址池中的IP地址
    • 网关的IP地址
    • FW的接口IP地址
  • 服务器负载均衡功能的实服务器的IP地址不能和下列IP地址相同:
    • 虚拟服务器的IP地址
    • NAT Server的公网IP(global IP)
    • NAT Server的内网服务器IP地址(inside IP)
  • 配置服务器负载均衡功能后,在配置安全策略和路由功能时,需针对实服务器的IP地址进行配置,而不是虚拟服务器的IP地址。
  • 配置NAT地址池和NAT Server后,需要针对地址池中的地址和NAT Server的公网地址配置黑洞路由,防止产生路由环路。
  • 只有审计管理员才能配置审计功能和查看审计日志。
  • 只有支持安装硬盘且硬盘在位的设备才能在Web界面上查看和导出审计日志。
  • 在报文来回路径不一致的组网环境中,审计日志记录的内容可能不完整。

配置步骤

操作步骤

  1. 配置接口和安全区域,并为参与选路的出接口配置网关地址、带宽和过载保护阈值。

    <FW> system-view 
    [FW] interface GigabitEthernet 1/0/1 
    [FW-GigabitEthernet1/0/1] description connect_to_edu 
    [FW-GigabitEthernet1/0/1] ip address 1.1.1.1 255.255.255.252 
    [FW-GigabitEthernet1/0/1] redirect-reverse next-hop 1.1.1.2 
    [FW-GigabitEthernet1/0/1] bandwidth ingress 1000000 threshold 90 
    [FW-GigabitEthernet1/0/1] bandwidth egress 1000000 threshold 90 
    [FW-GigabitEthernet1/0/1] quit 
    [FW] interface GigabitEthernet 1/0/2 
    [FW-GigabitEthernet1/0/2] description connect_to_isp1 
    [FW-GigabitEthernet1/0/2] ip address 2.2.2.1 255.255.255.252 
    [FW-GigabitEthernet1/0/2] redirect-reverse next-hop 2.2.2.2 
    [FW-GigabitEthernet1/0/2] bandwidth ingress 200000 threshold 90 
    [FW-GigabitEthernet1/0/2] bandwidth egress 200000 threshold 90 
    [FW-GigabitEthernet1/0/2] quit 
    [FW] interface GigabitEthernet 1/0/3 
    [FW-GigabitEthernet1/0/3] description connect_to_isp1 
    [FW-GigabitEthernet1/0/3] ip address 2.2.3.1 255.255.255.252 
    [FW-GigabitEthernet1/0/3] redirect-reverse next-hop 2.2.3.2 
    [FW-GigabitEthernet1/0/3] bandwidth ingress 1000000 threshold 90 
    [FW-GigabitEthernet1/0/3] bandwidth egress 1000000 threshold 90 
    [FW-GigabitEthernet1/0/3] quit 
    [FW] interface GigabitEthernet 1/0/4 
    [FW-GigabitEthernet1/0/4] description connect_to_isp1 
    [FW-GigabitEthernet1/0/4] ip address 2.2.4.1 255.255.255.252 
    [FW-GigabitEthernet1/0/4] redirect-reverse next-hop 2.2.4.2 
    [FW-GigabitEthernet1/0/4] bandwidth ingress 200000 threshold 90 
    [FW-GigabitEthernet1/0/4] bandwidth egress 200000 threshold 90 
    [FW-GigabitEthernet1/0/4] quit 
    [FW] interface GigabitEthernet 1/0/5 
    [FW-GigabitEthernet1/0/5] description connect_to_isp2 
    [FW-GigabitEthernet1/0/5] ip address 3.3.3.1 255.255.255.252 
    [FW-GigabitEthernet1/0/5] redirect-reverse next-hop 3.3.3.2 
    [FW-GigabitEthernet1/0/5] bandwidth ingress 1000000 threshold 90 
    [FW-GigabitEthernet1/0/5] bandwidth egress 1000000 threshold 90 
    [FW-GigabitEthernet1/0/5] quit 
    [FW] interface GigabitEthernet 1/0/6 
    [FW-GigabitEthernet1/0/6] description connect_to_isp2 
    [FW-GigabitEthernet1/0/6] ip address 3.3.4.1 255.255.255.252 
    [FW-GigabitEthernet1/0/6] redirect-reverse next-hop 3.3.4.2 
    [FW-GigabitEthernet1/0/6] bandwidth ingress 1000000 threshold 90 
    [FW-GigabitEthernet1/0/6] bandwidth egress 1000000 threshold 90 
    [FW-GigabitEthernet1/0/6] quit 
    [FW] interface GigabitEthernet 1/0/7 
    [FW-GigabitEthernet1/0/7] description connect_to_campus 
    [FW-GigabitEthernet1/0/7] ip address 10.2.0.1 255.255.255.0 
    [FW-GigabitEthernet1/0/7] quit

  2. 配置安全策略。

    1. 分别为教育网、ISP1、ISP2创建安全区域,并将各接口加入安全区域。
      [FW] firewall zone name edu_zone 
      [FW-zone-edu_zone] set priority 20 
      [FW-zone-edu_zone] add interface GigabitEthernet 1/0/1 
      [FW-zone-edu_zone] quit 
      [FW] firewall zone name isp1_zone1 
      [FW-zone-isp1_zone1] set priority 30 
      [FW-zone-isp1_zone1] add interface GigabitEthernet 1/0/2 
      [FW-zone-isp1_zone1] quit 
      [FW] firewall zone name isp1_zone2 
      [FW-zone-isp1_zone2] set priority 40 
      [FW-zone-isp1_zone2] add interface GigabitEthernet 1/0/3 
      [FW-zone-isp1_zone2] quit 
      [FW] firewall zone name isp1_zone3 
      [FW-zone-isp1_zone3] set priority 50 
      [FW-zone-isp1_zone3] add interface GigabitEthernet 1/0/4 
      [FW-zone-isp1_zone3] quit 
      [FW] firewall zone name isp2_zone1 
      [FW-zone-isp2_zone1] set priority 60 
      [FW-zone-isp2_zone1] add interface GigabitEthernet 1/0/5 
      [FW-zone-isp2_zone1] quit 
      [FW] firewall zone name isp2_zone2 
      [FW-zone-isp2_zone2] set priority 70 
      [FW-zone-isp2_zone2] add interface GigabitEthernet 1/0/6 
      [FW-zone-isp2_zone2] quit 
      [FW] firewall zone trust 
      [FW-zone-trust] add interface GigabitEthernet 1/0/7 
      [FW-zone-trust] quit
    2. 为各域间配置安全策略,控制域间互访。在安全策略中引用缺省的入侵防御配置文件,配置入侵防御功能。
      [FW] security-policy 
      [FW-policy-security] rule name user_inside 
      [FW-policy-security-rule-user_inside] source-zone trust 
      [FW-policy-security-rule-user_inside] action permit 
      [FW-policy-security-rule-user_inside] profile ips default 
      [FW-policy-security-rule-user_inside] quit 
      [FW-policy-security] rule name user_outside 
      [FW-policy-security-rule-user_outside] source-zone edu_zone isp1_zone1 isp1_zone2 isp1_zone3 isp2_zone1 isp2_zone2 
      [FW-policy-security-rule-user_outside] destination-address 10.1.10.0 24 
      [FW-policy-security-rule-user_outside] action permit 
      [FW-policy-security-rule-user_outside] profile ips default 
      [FW-policy-security-rule-user_outside] quit 
      [FW-policy-security] rule name local_to_any 
      [FW-policy-security-rule-local_to_any] source-zone local 
      [FW-policy-security-rule-local_to_any] destination-zone any 
      [FW-policy-security-rule-local_to_any] action permit 
      [FW-policy-security-rule-local_to_any] quit 
      [FW-policy-security] quit
    3. 配置入侵防御特征库的定时升级功能。
    说明:

    请确认已购买支持特征库升级服务的License,并在设备上激活。

    1. 配置升级中心。
      [FW] update server domain sec.huawei.com
    2. 设备可访问升级服务器或可通过代理服务器访问升级服务器。本例中以可直接访问升级服务器为例。
      [FW] dns resolve 
      [FW] dns server 10.1.10.30
    3. 配置定时升级功能,设置定时升级时间。
      [FW] update schedule ips-sdb enable 
      [FW] update schedule sa-sdb enable 
      [FW] update schedule ips-sdb daily 02:30 
      [FW] update schedule sa-sdb daily 02:30

  3. 配置IP-Link功能,探测各ISP链路状态是否正常。

    说明:

    IP-Link的配置命令在USG6000和USG9500上略有差异,此处使用的是USG6000进行举例说明。

    [FW] ip-link check enable 
    [FW] ip-link name edu_ip_link 
    [FW-iplink-edu_ip_link] destination 1.1.1.2 interface GigabitEthernet 1/0/1 mode icmp 
    [FW-iplink-edu_ip_link] quit 
    [FW] ip-link name isp1_ip_link 
    [FW-iplink-isp1_ip_link] destination 2.2.2.2 interface GigabitEthernet 1/0/2 mode icmp 
    [FW-iplink-isp1_ip_link] destination 2.2.3.2 interface GigabitEthernet 1/0/3 mode icmp 
    [FW-iplink-isp1_ip_link] destination 2.2.4.2 interface GigabitEthernet 1/0/4 mode icmp 
    [FW-iplink-isp1_ip_link] quit 
    [FW] ip-link name isp2_ip_link 
    [FW-iplink-isp2_ip_link] destination 3.3.3.2 interface GigabitEthernet 1/0/5 mode icmp 
    [FW-iplink-isp2_ip_link] destination 3.3.4.2 interface GigabitEthernet 1/0/6 mode icmp 
    [FW-iplink-isp2_ip_link] quit

  4. 配置路由。

    除本例必需的路由信息外,其他路由配置请管理员根据实际组网需要进行配置,本例不给出详细指导。

    # 配置静态路由,目的地址为内网网段,下一跳为内网交换机的地址,保证外网的流量能够到达内网。

    [FW] ip route-static 10.1.0.0 255.255.0.0 10.2.0.2

  5. 配置DNS透明代理。

    # 配置各接口绑定DNS服务器的IP地址。

    [FW] dns-transparent-policy 
    [FW-policy-dns] dns transparent-proxy enable 
    [FW-policy-dns] dns server bind interface GigabitEthernet 1/0/1 preferred 1.1.22.22 alternate 1.1.23.23 
    [FW-policy-dns] dns server bind interface GigabitEthernet 1/0/2 preferred 2.2.22.22 alternate 2.2.23.23 
    [FW-policy-dns] dns server bind interface GigabitEthernet 1/0/3 preferred 2.2.24.24 alternate 2.2.25.25 
    [FW-policy-dns] dns server bind interface GigabitEthernet 1/0/4 preferred 2.2.26.26 alternate 2.2.27.27 
    [FW-policy-dns] dns server bind interface GigabitEthernet 1/0/5 preferred 3.3.22.22 alternate 3.3.23.23 
    [FW-policy-dns] dns server bind interface GigabitEthernet 1/0/6 preferred 3.3.24.24 alternate 3.3.25.25

    # 配置排除域名。

    [FW-policy-dns] dns transparent-proxy exclude domain www.example.com server preferred 1.1.25.25

    # 配置DNS透明代理策略。

    [FW-policy-dns] rule name dns_trans_rule 
    [FW-policy-dns-rule-dns_trans_rule] action tpdns 
    [FW-policy-dns-rule-dns_trans_rule] quit 
    [FW-policy-dns] quit

    # 为DNS请求报文配置策略路由智能选路,使报文能够负载分担到各链路上。

    [FW] policy-based-route 
    [FW-policy-pbr] rule name pbr_dns_trans 
    [FW-policy-pbr-rule-pbr_dns_trans] source-zone trust 
    [FW-policy-pbr-rule-pbr_dns_trans] service dns dns-tcp 
    [FW-policy-pbr-rule-pbr_dns_trans] action pbr egress-interface multi-interface 
    [FW-policy-pbr-rule-pbr_dns_trans-multi-inter] mode proportion-of-bandwidth 
    [FW-policy-pbr-rule-pbr_dns_trans-multi-inter] add interface GigabitEthernet 1/0/1 
    [FW-policy-pbr-rule-pbr_dns_trans-multi-inter] add interface GigabitEthernet 1/0/2 
    [FW-policy-pbr-rule-pbr_dns_trans-multi-inter] add interface GigabitEthernet 1/0/3 
    [FW-policy-pbr-rule-pbr_dns_trans-multi-inter] add interface GigabitEthernet 1/0/4 
    [FW-policy-pbr-rule-pbr_dns_trans-multi-inter] add interface GigabitEthernet 1/0/5 
    [FW-policy-pbr-rule-pbr_dns_trans-multi-inter] add interface GigabitEthernet 1/0/6 
    [FW-policy-pbr-rule-pbr_dns_trans-multi-inter] quit 
    [FW-policy-pbr-rule-pbr_dns_trans] quit 
    [FW-policy-pbr] quit

  6. 配置智能选路。

    # 配置ISP地址集。

    1. 上传ISP地址文件到FW,可以使用SFTP方式进行传输,具体步骤略。
    2. 为教育网、ISP1和ISP2分别创建运营商名称,并关联对应的ISP地址文件。
      [FW] isp name edu_address set filename edu_address.csv 
      [FW] isp name isp1_address set filename isp1_address.csv 
      [FW] isp name isp2_address set filename isp2_address.csv 
      [FW] isp name other_edu_server_address set filename other_edu_server_address.csv

    # 新建对应远程教学系统软件的应用,并在策略路由中引用,使远程教学系统软件的流量从教育网和ISP2链路转发。

    说明:

    请确保FW上存在相应的路由配置,使远程教学流量在没有策略路由时仍然可以正常传输。

    [FW] sa 
    [FW-sa] user-defined-application name UD_dis_edu_sys_app 
    [FW-sa-user-defined-app-UD_dis_edu_sys_app] category Business_Systems sub-category Enterprise_Application 
    [FW-sa-user-defined-app-UD_dis_edu_sys_app] data-model client-server 
    [FW-sa-user-defined-app-UD_dis_edu_sys_app] label Encrypted-Communications Business-Applications 
    [FW-sa-user-defined-app-UD_dis_edu_sys_app] rule name 1 
    [FW-sa-user-defined-app-UD_dis_edu_sys_app-rule-1] ip-address 2.2.50.50 32 
    [FW-sa-user-defined-app-UD_dis_edu_sys_app-rule-1] port 5000 
    [FW-sa-user-defined-app-UD_dis_edu_sys_app-rule-1] quit 
    [FW-sa-user-defined-app-UD_dis_edu_sys_app] quit 
    [FW-sa] quit 
    [FW] policy-based-route 
    [FW-policy-pbr] rule name dis_edu_sys 
    [FW-policy-pbr-rule-dis_edu_sys] source-zone trust 
    [FW-policy-pbr-rule-dis_edu_sys] application app UD_dis_edu_sys_app 
    [FW-policy-pbr-rule-dis_edu_sys] action pbr egress-interface multi-interface 
    [FW-policy-pbr-rule-dis_edu_sys-multi-inter] mode proportion-of-bandwidth 
    [FW-policy-pbr-rule-dis_edu_sys-multi-inter] add interface GigabitEthernet 1/0/1 
    [FW-policy-pbr-rule-dis_edu_sys-multi-inter] add interface GigabitEthernet 1/0/5 
    [FW-policy-pbr-rule-dis_edu_sys-multi-inter] add interface GigabitEthernet 1/0/6 
    [FW-policy-pbr-rule-dis_edu_sys-multi-inter] quit 
    [FW-policy-pbr-rule-dis_edu_sys] quit

    # 配置策略路由智能选路,使P2P流量从ISP1链路转发。

    说明:

    请确保FW上存在相应的路由配置,使P2P流量在没有策略路由时仍然可以正常传输。

    [FW-policy-pbr] rule name p2p_traffic 
    [FW-policy-pbr-rule-p2p_traffic] source-zone trust 
    [FW-policy-pbr-rule-p2p_traffic] application category Entertainment sub-category PeerCasting 
    [FW-policy-pbr-rule-p2p_traffic] application category General_Internet sub-category FileShare_P2P 
    [FW-policy-pbr-rule-p2p_traffic] action pbr egress-interface multi-interface 
    [FW-policy-pbr-rule-p2p_traffic-multi-inter] mode proportion-of-bandwidth 
    [FW-policy-pbr-rule-p2p_traffic-multi-inter] add interface GigabitEthernet 1/0/2 
    [FW-policy-pbr-rule-p2p_traffic-multi-inter] add interface GigabitEthernet 1/0/3 
    [FW-policy-pbr-rule-p2p_traffic-multi-inter] add interface GigabitEthernet 1/0/4 
    [FW-policy-pbr-rule-p2p_traffic-multi-inter] quit 
    [FW-policy-pbr-rule-p2p_traffic] quit

    # 配置单出口策略路由。

    1. 访问其他高校服务器的流量和图书馆内用户的上网流量从教育网链路转发。
      [FW-policy-pbr] rule name other_edu_server 
      [FW-policy-pbr-rule-other_edu_server] source-zone trust 
      [FW-policy-pbr-rule-other_edu_server] source-address 10.1.0.0 16 
      [FW-policy-pbr-rule-other_edu_server] destination-address isp other_edu_server_address 
      [FW-policy-pbr-rule-other_edu_server] action pbr egress-interface GigabitEthernet 1/0/1 next-hop 1.1.1.2 
      [FW-policy-pbr-rule-other_edu_server] quit 
      [FW-policy-pbr] rule name lib_internet 
      [FW-policy-pbr-rule-lib_internet] source-zone trust 
      [FW-policy-pbr-rule-lib_internet] source-address 10.1.50.0 22 
      [FW-policy-pbr-rule-lib_internet] action pbr egress-interface GigabitEthernet 1/0/1 next-hop 1.1.1.2 
      [FW-policy-pbr-rule-lib_internet] quit

    # 配置基于目的地址的策略路由智能选路。

    1. 流量的目的地址属于教育网地址集时,优先使用教育网链路转发。
      [FW-policy-pbr] rule name pbr_edu 
      [FW-policy-pbr-rule-pbr_edu] source-zone trust 
      [FW-policy-pbr-rule-pbr_edu] source-address 10.1.0.0 16 
      [FW-policy-pbr-rule-pbr_edu] destination-address isp edu_address 
      [FW-policy-pbr-rule-pbr_edu] action pbr egress-interface multi-interface 
      [FW-policy-pbr-rule-pbr_edu-multi-inter] mode priority-of-userdefine 
      [FW-policy-pbr-rule-pbr_edu-multi-inter] add interface GigabitEthernet 1/0/1 priority 8 
      [FW-policy-pbr-rule-pbr_edu-multi-inter] add interface GigabitEthernet 1/0/2 priority 5 
      [FW-policy-pbr-rule-pbr_edu-multi-inter] add interface GigabitEthernet 1/0/3 priority 5 
      [FW-policy-pbr-rule-pbr_edu-multi-inter] add interface GigabitEthernet 1/0/4 priority 5 
      [FW-policy-pbr-rule-pbr_edu-multi-inter] add interface GigabitEthernet 1/0/5 priority 1 
      [FW-policy-pbr-rule-pbr_edu-multi-inter] add interface GigabitEthernet 1/0/6 priority 1 
      [FW-policy-pbr-rule-pbr_edu-multi-inter] quit 
      [FW-policy-pbr-rule-pbr_edu] quit
    2. 流量的目的地址属于ISP1地址集时,优先使用ISP1链路转发。
      [FW-policy-pbr] rule name pbr_isp1 
      [FW-policy-pbr-rule-pbr_isp1] source-zone trust 
      [FW-policy-pbr-rule-pbr_isp1] source-address 10.1.0.0 16 
      [FW-policy-pbr-rule-pbr_isp1] destination-address isp isp1_address 
      [FW-policy-pbr-rule-pbr_isp1] action pbr egress-interface multi-interface 
      [FW-policy-pbr-rule-pbr_isp1-multi-inter] mode priority-of-userdefine 
      [FW-policy-pbr-rule-pbr_isp1-multi-inter] add interface GigabitEthernet 1/0/1 priority 5 
      [FW-policy-pbr-rule-pbr_isp1-multi-inter] add interface GigabitEthernet 1/0/2 priority 8 
      [FW-policy-pbr-rule-pbr_isp1-multi-inter] add interface GigabitEthernet 1/0/3 priority 8 
      [FW-policy-pbr-rule-pbr_isp1-multi-inter] add interface GigabitEthernet 1/0/4 priority 8 
      [FW-policy-pbr-rule-pbr_isp1-multi-inter] add interface GigabitEthernet 1/0/5 priority 1 
      [FW-policy-pbr-rule-pbr_isp1-multi-inter] add interface GigabitEthernet 1/0/6 priority 1 
      [FW-policy-pbr-rule-pbr_isp1-multi-inter] quit 
      [FW-policy-pbr-rule-pbr_isp1] quit
    3. 流量的目的地址属于ISP2地址集时,优先使用ISP2链路转发。
      [FW-policy-pbr] rule name pbr_isp2 
      [FW-policy-pbr-rule-pbr_isp2] source-zone trust 
      [FW-policy-pbr-rule-pbr_isp2] source-address 10.1.0.0 16 
      [FW-policy-pbr-rule-pbr_isp2] destination-address isp isp2_address 
      [FW-policy-pbr-rule-pbr_isp2] action pbr egress-interface multi-interface 
      [FW-policy-pbr-rule-pbr_isp2-multi-inter] mode priority-of-userdefine 
      [FW-policy-pbr-rule-pbr_isp2-multi-inter] add interface GigabitEthernet 1/0/1 priority 5 
      [FW-policy-pbr-rule-pbr_isp2-multi-inter] add interface GigabitEthernet 1/0/2 priority 1 
      [FW-policy-pbr-rule-pbr_isp2-multi-inter] add interface GigabitEthernet 1/0/3 priority 1 
      [FW-policy-pbr-rule-pbr_isp2-multi-inter] add interface GigabitEthernet 1/0/4 priority 1 
      [FW-policy-pbr-rule-pbr_isp2-multi-inter] add interface GigabitEthernet 1/0/5 priority 8 
      [FW-policy-pbr-rule-pbr_isp2-multi-inter] add interface GigabitEthernet 1/0/6 priority 8 
      [FW-policy-pbr-rule-pbr_isp2-multi-inter] quit 
      [FW-policy-pbr-rule-pbr_isp2] quit

    # 没有匹配到任何ISP地址集的流量,通过策略路由pbr_rest选择链路质量最好的链路来转发。

    [FW-policy-pbr] rule name pbr_rest 
    [FW-policy-pbr-rule-pbr_rest] source-zone trust 
    [FW-policy-pbr-rule-pbr_rest] source-address 10.1.0.0 16 
    [FW-policy-pbr-rule-pbr_rest] action pbr egress-interface multi-interface 
    [FW-policy-pbr-rule-pbr_rest-multi-inter] mode priority-of-link-quality 
    [FW-policy-pbr-rule-pbr_rest-multi-inter] add interface GigabitEthernet 1/0/1 
    [FW-policy-pbr-rule-pbr_rest-multi-inter] add interface GigabitEthernet 1/0/2 
    [FW-policy-pbr-rule-pbr_rest-multi-inter] add interface GigabitEthernet 1/0/3 
    [FW-policy-pbr-rule-pbr_rest-multi-inter] add interface GigabitEthernet 1/0/4 
    [FW-policy-pbr-rule-pbr_rest-multi-inter] add interface GigabitEthernet 1/0/5 
    [FW-policy-pbr-rule-pbr_rest-multi-inter] add interface GigabitEthernet 1/0/6 
    [FW-policy-pbr-rule-pbr_rest-multi-inter] priority-of-link-quality protocol tcp-simple 
    [FW-policy-pbr-rule-pbr_rest-multi-inter] priority-of-link-quality parameter delay jitter loss 
    [FW-policy-pbr-rule-pbr_rest-multi-inter] priority-of-link-quality interval 3 times 5 
    [FW-policy-pbr-rule-pbr_rest-multi-inter] quit 
    [FW-policy-pbr-rule-pbr_rest] quit 
    [FW-policy-pbr] quit

  7. 配置服务器负载均衡。

    # 开启服务器负载均衡功能。

    [FW] slb enable

    # 配置负载均衡算法。

    [FW] slb 
    [FW-slb] group 1 grp1 
    [FW-slb-group-1] metric roundrobin

    # 向实服务器组中添加实服务器。

    [FW-slb-group-1] rserver 1 rip 10.1.10.10 
    [FW-slb-group-1] rserver 2 rip 10.1.10.11 
    [FW-slb-group-1] quit

    # 配置虚拟服务器的IP地址。

    [FW-slb] vserver 1 vs1 
    [FW-slb-vserver-1] vip 1 1.1.111.111 
    [FW-slb-vserver-1] vip 2 2.2.112.112 
    [FW-slb-vserver-1] vip 3 3.3.113.113

    # 关联虚拟服务器和实服务器组。

    [FW-slb-vserver-1] group grp1 
    [FW-slb-vserver-1] quit 
    [FW-slb] quit

  8. 配置智能DNS。

    # 启用智能DNS功能。

    [FW] dns-smart enable

    # 创建智能DNS组,并在组中配置智能DNS映射。

    [FW] dns-smart group 1 type single 
    [FW-dns-smart-group-1] real-server-ip 1.1.15.15 
    [FW-dns-smart-group-1] out-interface GigabitEthernet 1/0/2 map 2.2.15.15 
    [FW-dns-smart-group-1] out-interface GigabitEthernet 1/0/3 map 2.2.16.16 
    [FW-dns-smart-group-1] out-interface GigabitEthernet 1/0/4 map 2.2.17.17 
    [FW-dns-smart-group-1] out-interface GigabitEthernet 1/0/5 map 3.3.15.15 
    [FW-dns-smart-group-1] out-interface GigabitEthernet 1/0/6 map 3.3.16.16 
    [FW-dns-smart-group-1] quit 
    [FW] dns-smart group 2 type single 
    [FW-dns-smart-group-2] real-server-ip 1.1.101.101 
    [FW-dns-smart-group-2] out-interface GigabitEthernet 1/0/2 map 2.2.102.102 
    [FW-dns-smart-group-2] out-interface GigabitEthernet 1/0/3 map 2.2.103.103 
    [FW-dns-smart-group-2] out-interface GigabitEthernet 1/0/4 map 2.2.104.104 
    [FW-dns-smart-group-2] out-interface GigabitEthernet 1/0/5 map 3.3.102.102 
    [FW-dns-smart-group-2] out-interface GigabitEthernet 1/0/6 map 3.3.103.103 
    [FW-dns-smart-group-2] quit

  9. 配置基于安全区域的NAT Server,使不同ISP的用户通过对应的公网IP访问内网服务器。

    # 为Portal服务器配置NAT Server。

    [FW] nat server portal_server01 zone edu_zone global 1.1.15.15 inside 10.1.10.20 
    [FW] nat server portal_server02 zone isp1_zone1 global 2.2.15.15 inside 10.1.10.20 no-reverse 
    [FW] nat server portal_server03 zone isp1_zone2 global 2.2.16.16 inside 10.1.10.20 no-reverse 
    [FW] nat server portal_server04 zone isp1_zone3 global 2.2.17.17 inside 10.1.10.20 no-reverse 
    [FW] nat server portal_server05 zone isp2_zone1 global 3.3.15.15 inside 10.1.10.20 no-reverse 
    [FW] nat server portal_server06 zone isp2_zone2 global 3.3.16.16 inside 10.1.10.20 no-reverse

    # 为DNS服务器配置NAT Server。

    [FW] nat server dns_server01 zone edu_zone global 1.1.101.101 inside 10.1.10.30 
    [FW] nat server dns_server02 zone isp1_zone1 global 2.2.102.102 inside 10.1.10.30 no-reverse 
    [FW] nat server dns_server03 zone isp1_zone2 global 2.2.103.103 inside 10.1.10.30 no-reverse 
    [FW] nat server dns_server04 zone isp1_zone3 global 2.2.104.104 inside 10.1.10.30 no-reverse 
    [FW] nat server dns_server05 zone isp2_zone1 global 3.3.102.102 inside 10.1.10.30 no-reverse 
    [FW] nat server dns_server06 zone isp2_zone2 global 3.3.103.103 inside 10.1.10.30 no-reverse

    # 为NAT Server的公网地址配置黑洞路由,防止产生路由环路。

    [FW] ip route-static 1.1.15.15 32 NULL 0 
    [FW] ip route-static 2.2.15.15 32 NULL 0 
    [FW] ip route-static 2.2.16.16 32 NULL 0 
    [FW] ip route-static 2.2.17.17 32 NULL 0 
    [FW] ip route-static 3.3.15.15 32 NULL 0 
    [FW] ip route-static 3.3.16.16 32 NULL 0 
    [FW] ip route-static 1.1.101.101 32 NULL 0 
    [FW] ip route-static 2.2.102.102 32 NULL 0 
    [FW] ip route-static 2.2.103.103 32 NULL 0 
    [FW] ip route-static 2.2.104.104 32 NULL 0 
    [FW] ip route-static 3.3.102.102 32 NULL 0 
    [FW] ip route-static 3.3.103.103 32 NULL 0

  10. 配置源NAT。

    # 为访问教育网的流量配置源NAT,地址池中为教育网的公网地址。

    [FW] nat address-group edu_nat_address_pool 
    [FW-address-group-edu_nat_address_pool] mode pat 
    [FW-address-group-edu_nat_address_pool] section 0 1.1.30.31 1.1.30.33 
    [FW-address-group-edu_nat_address_pool] quit 
    [FW] nat-policy 
    [FW-policy-nat] rule name edu_nat_policy 
    [FW-policy-nat-rule-edu_nat_policy] source-zone trust 
    [FW-policy-nat-rule-edu_nat_policy] destination-zone edu_zone 
    [FW-policy-nat-rule-edu_nat_policy] source-address 10.1.0.0 16 
    [FW-policy-nat-rule-edu_nat_policy] action source-nat address-group edu_nat_address_pool 
    [FW-policy-nat-rule-edu_nat_policy] quit 
    [FW-policy-nat] quit

    # 配置域内源NAT,使内网用户可以通过公网地址访问内网服务器。

    [FW] nat-policy 
    [FW-policy-nat] rule name inner_nat_policy 
    [FW-policy-nat-rule-inner_nat_policy] source-zone trust 
    [FW-policy-nat-rule-inner_nat_policy] destination-zone trust 
    [FW-policy-nat-rule-inner_nat_policy] source-address 10.1.0.0 16 
    [FW-policy-nat-rule-inner_nat_policy] action source-nat address-group edu_nat_address_pool 
    [FW-policy-nat-rule-inner_nat_policy] quit 
    [FW-policy-nat] quit

    # 为访问ISP1的流量配置源NAT,地址池中为ISP1的公网地址。

    [FW] nat address-group isp1_nat_address_pool1 
    [FW-address-group-isp1_nat_address_pool1] mode pat 
    [FW-address-group-isp1_nat_address_pool1] section 0 2.2.5.1 2.2.5.3 
    [FW-address-group-isp1_nat_address_pool1] quit 
    [FW] nat-policy 
    [FW-policy-nat] rule name isp1_nat_policy1 
    [FW-policy-nat-rule-isp1_nat_policy1] source-zone trust 
    [FW-policy-nat-rule-isp1_nat_policy1] destination-zone isp1_zone1 
    [FW-policy-nat-rule-isp1_nat_policy1] source-address 10.1.0.0 16 
    [FW-policy-nat-rule-isp1_nat_policy1] action source-nat address-group isp1_nat_address_pool1 
    [FW-policy-nat-rule-isp1_nat_policy1] quit 
    [FW-policy-nat] quit 
    [FW] nat address-group isp1_nat_address_pool2 
    [FW-address-group-isp1_nat_address_pool2] mode pat 
    [FW-address-group-isp1_nat_address_pool2] section 0 2.2.6.1 2.2.6.3 
    [FW-address-group-isp1_nat_address_pool2] quit 
    [FW] nat-policy 
    [FW-policy-nat] rule name isp1_nat_policy2 
    [FW-policy-nat-rule-isp1_nat_policy2] source-zone trust 
    [FW-policy-nat-rule-isp1_nat_policy2] destination-zone isp1_zone2 
    [FW-policy-nat-rule-isp1_nat_policy2] source-address 10.1.0.0 16 
    [FW-policy-nat-rule-isp1_nat_policy2] action source-nat address-group isp1_nat_address_pool2 
    [FW-policy-nat-rule-isp1_nat_policy2] quit 
    [FW-policy-nat] quit 
    [FW] nat address-group isp1_nat_address_pool3 
    [FW-address-group-isp1_nat_address_pool3] mode pat 
    [FW-address-group-isp1_nat_address_pool3] section 0 2.2.7.1 2.2.7.3 
    [FW-address-group-isp1_nat_address_pool3] quit 
    [FW] nat-policy 
    [FW-policy-nat] rule name isp1_nat_policy3 
    [FW-policy-nat-rule-isp1_nat_policy3] source-zone trust 
    [FW-policy-nat-rule-isp1_nat_policy3] destination-zone isp1_zone3 
    [FW-policy-nat-rule-isp1_nat_policy3] source-address 10.1.0.0 16 
    [FW-policy-nat-rule-isp1_nat_policy3] action source-nat address-group isp1_nat_address_pool3 
    [FW-policy-nat-rule-isp1_nat_policy3] quit 
    [FW-policy-nat] quit

    # 为访问ISP2的流量配置源NAT,地址池中为ISP2的公网地址。

    [FW] nat address-group isp2_nat_address_pool1 
    [FW-address-group-isp2_nat_address_pool1] mode pat 
    [FW-address-group-isp2_nat_address_pool1] section 0 3.3.1.1 3.3.1.3 
    [FW-address-group-isp2_nat_address_pool1] quit 
    [FW] nat-policy 
    [FW-policy-nat] rule name isp2_nat_policy1 
    [FW-policy-nat-rule-isp2_nat_policy1] source-zone trust 
    [FW-policy-nat-rule-isp2_nat_policy1] destination-zone isp2_zone1 
    [FW-policy-nat-rule-isp2_nat_policy1] source-address 10.1.0.0 16 
    [FW-policy-nat-rule-isp2_nat_policy1] action source-nat address-group isp2_nat_address_pool1 
    [FW-policy-nat-rule-isp2_nat_policy1] quit 
    [FW-policy-nat] quit 
    [FW] nat address-group isp2_nat_address_pool2 
    [FW-address-group-isp2_nat_address_pool2] mode pat 
    [FW-address-group-isp2_nat_address_pool2] section 0 3.3.2.1 3.3.2.3 
    [FW-address-group-isp2_nat_address_pool2] quit 
    [FW] nat-policy 
    [FW-policy-nat] rule name isp2_nat_policy2 
    [FW-policy-nat-rule-isp2_nat_policy2] source-zone trust 
    [FW-policy-nat-rule-isp2_nat_policy2] destination-zone isp2_zone2 
    [FW-policy-nat-rule-isp2_nat_policy2] source-address 10.1.0.0 16 
    [FW-policy-nat-rule-isp2_nat_policy2] action source-nat address-group isp2_nat_address_pool2 
    [FW-policy-nat-rule-isp2_nat_policy2] quit 
    [FW-policy-nat] quit

    # 为NAT地址池中的公网地址配置黑洞路由,防止产生路由环路。

    [FW] ip route-static 1.1.30.31 32 NULL 0 
    [FW] ip route-static 1.1.30.32 32 NULL 0 
    [FW] ip route-static 1.1.30.33 32 NULL 0 
    [FW] ip route-static 2.2.5.1 32 NULL 0 
    [FW] ip route-static 2.2.5.2 32 NULL 0 
    [FW] ip route-static 2.2.5.3 32 NULL 0 
    [FW] ip route-static 2.2.6.1 32 NULL 0 
    [FW] ip route-static 2.2.6.2 32 NULL 0 
    [FW] ip route-static 2.2.6.3 32 NULL 0 
    [FW] ip route-static 2.2.7.1 32 NULL 0 
    [FW] ip route-static 2.2.7.2 32 NULL 0 
    [FW] ip route-static 2.2.7.3 32 NULL 0 
    [FW] ip route-static 3.3.1.1 32 NULL 0 
    [FW] ip route-static 3.3.1.2 32 NULL 0 
    [FW] ip route-static 3.3.1.3 32 NULL 0 
    [FW] ip route-static 3.3.2.1 32 NULL 0 
    [FW] ip route-static 3.3.2.2 32 NULL 0 
    [FW] ip route-static 3.3.2.3 32 NULL 0

  11. 配置Trust和其他安全域间的NAT ALG功能,下面以FTP、QQ和RTSP协议为例。配置NAT ALG功能的同时,也开启了ASPF功能。

    [FW] firewall interzone trust edu_zone 
    [FW-interzone-trust-edu_zone] detect ftp 
    [FW-interzone-trust-edu_zone] detect qq 
    [FW-interzone-trust-edu_zone] detect rtsp 
    [FW-interzone-trust-edu_zone] quit 
    [FW] firewall interzone trust isp1_zone1 
    [FW-interzone-trust-isp1_zone1] detect ftp 
    [FW-interzone-trust-isp1_zone1] detect qq 
    [FW-interzone-trust-isp1_zone1] detect rtsp 
    [FW-interzone-trust-isp1_zone1] quit 
    [FW] firewall interzone trust isp1_zone2 
    [FW-interzone-trust-isp1_zone2] detect ftp 
    [FW-interzone-trust-isp1_zone2] detect qq 
    [FW-interzone-trust-isp1_zone2] detect rtsp 
    [FW-interzone-trust-isp1_zone2] quit 
    [FW] firewall interzone trust isp1_zone3 
    [FW-interzone-trust-isp1_zone3] detect ftp 
    [FW-interzone-trust-isp1_zone3] detect qq 
    [FW-interzone-trust-isp1_zone3] detect rtsp 
    [FW-interzone-trust-isp1_zone3] quit 
    [FW] firewall interzone trust isp2_zone1 
    [FW-interzone-trust-isp2_zone1] detect ftp 
    [FW-interzone-trust-isp2_zone1] detect qq 
    [FW-interzone-trust-isp2_zone1] detect rtsp 
    [FW-interzone-trust-isp2_zone1] quit 
    [FW] firewall interzone trust isp2_zone2 
    [FW-interzone-trust-isp2_zone2] detect ftp 
    [FW-interzone-trust-isp2_zone2] detect qq 
    [FW-interzone-trust-isp2_zone2] detect rtsp 
    [FW-interzone-trust-isp2_zone2] quit

  12. 配置攻击防范功能。

    [FW] firewall defend land enable 
    [FW] firewall defend smurf enable 
    [FW] firewall defend fraggle enable 
    [FW] firewall defend ip-fragment enable 
    [FW] firewall defend tcp-flag enable 
    [FW] firewall defend winnuke enable 
    [FW] firewall defend source-route enable 
    [FW] firewall defend teardrop enable 
    [FW] firewall defend route-record enable 
    [FW] firewall defend time-stamp enable 
    [FW] firewall defend ping-of-death enable

  13. 配置审计配置文件,并在审计策略中引用。

    [FW] profile type audit name trust_to_internet_audit 
    [FW-profile-audit-trust_to_internet_audit] http-audit url all 
    [FW-profile-audit-trust_to_internet_audit] http-audit bbs-content 
    [FW-profile-audit-trust_to_internet_audit] http-audit micro-blog 
    [FW-profile-audit-trust_to_internet_audit] http-audit file direction both 
    [FW-profile-audit-trust_to_internet_audit] ftp-audit file direction both 
    [FW-profile-audit-trust_to_internet_audit] quit 
    [FW] audit-policy 
    [FW-policy-audit] rule name trust_to_internet_audit_policy 
    [FW-policy-audit-rule-trust_to_internet_audit_policy] source-zone trust 
    [FW-policy-audit-rule-trust_to_internet_audit_policy] destination-zone edu_zone isp1_zone1 isp1_zone2 isp1_zone3 isp2_zone1 isp2_zone2 
    [FW-policy-audit-rule-trust_to_internet_audit_policy] action audit profile trust_to_internet_audit 
    [FW-policy-audit-rule-trust_to_internet_audit_policy] quit 
    [FW-policy-audit] quit

  14. 配置带宽管理。

    # 对GE1/0/2接口链路的P2P流量进行限流。

    [FW] traffic-policy 
    [FW-policy-traffic] profile isp1_p2p_profile_01 
    [FW-policy-traffic-profile-isp1_p2p_profile_01] bandwidth maximum-bandwidth whole both 100000 
    [FW-policy-traffic-profile-isp1_p2p_profile_01] bandwidth maximum-bandwidth per-ip both 500 
    [FW-policy-traffic-profile-isp1_p2p_profile_01] quit 
    [FW-policy-traffic] rule name isp1_p2p_01 
    [FW-policy-traffic-rule-isp1_p2p_01] ingress-interface GigabitEthernet 1/0/7 
    [FW-policy-traffic-rule-isp1_p2p_01] egress-interface GigabitEthernet 1/0/2 
    [FW-policy-traffic-rule-isp1_p2p_01] application category Entertainment sub-category PeerCasting 
    [FW-policy-traffic-rule-isp1_p2p_01] application category General_Internet sub-category FileShare_P2P 
    [FW-policy-traffic-rule-isp1_p2p_01] action qos profile isp1_p2p_profile_01 
    [FW-policy-traffic-rule-isp1_p2p_01] quit

    # 对GE1/0/3接口链路的P2P流量进行限流。

    [FW-policy-traffic] profile isp1_p2p_profile_02 
    [FW-policy-traffic-profile-isp1_p2p_profile_02] bandwidth maximum-bandwidth whole both 300000 
    [FW-policy-traffic-profile-isp1_p2p_profile_02] bandwidth maximum-bandwidth per-ip both 1000 
    [FW-policy-traffic-profile-isp1_p2p_profile_02] quit 
    [FW-policy-traffic] rule name isp1_p2p_02 
    [FW-policy-traffic-rule-isp1_p2p_02] ingress-interface GigabitEthernet 1/0/7 
    [FW-policy-traffic-rule-isp1_p2p_02] egress-interface GigabitEthernet 1/0/3 
    [FW-policy-traffic-rule-isp1_p2p_02] application category Entertainment sub-category PeerCasting 
    [FW-policy-traffic-rule-isp1_p2p_02] application category General_Internet sub-category FileShare_P2P 
    [FW-policy-traffic-rule-isp1_p2p_02] action qos profile isp1_p2p_profile_02 
    [FW-policy-traffic-rule-isp1_p2p_02] quit

    # 对GE1/0/4接口链路的P2P流量进行限流。

    [FW-policy-traffic] profile isp1_p2p_profile_03 
    [FW-policy-traffic-profile-isp1_p2p_profile_03] bandwidth maximum-bandwidth whole both 700000 
    [FW-policy-traffic-profile-isp1_p2p_profile_03] bandwidth maximum-bandwidth per-ip both 2000 
    [FW-policy-traffic-profile-isp1_p2p_profile_03] quit 
    [FW-policy-traffic] rule name isp1_p2p_03 
    [FW-policy-traffic-rule-isp1_p2p_03] ingress-interface GigabitEthernet 1/0/7 
    [FW-policy-traffic-rule-isp1_p2p_03] egress-interface GigabitEthernet 1/0/4 
    [FW-policy-traffic-rule-isp1_p2p_03] application category Entertainment sub-category PeerCasting 
    [FW-policy-traffic-rule-isp1_p2p_03] application category General_Internet sub-category FileShare_P2P 
    [FW-policy-traffic-rule-isp1_p2p_03] action qos profile isp1_p2p_profile_03 
    [FW-policy-traffic-rule-isp1_p2p_03] quit 
    [FW-policy-traffic] quit

  15. 配置系统日志和NAT溯源功能,在网管系统eSight上查看日志。

    # 配置向日志主机(10.1.10.30)发送系统日志(本案例发送IPS日志和攻击防范日志)。

    [FW] info-center enable 
    [FW] engine log ips enable 
    [FW] info-center source IPS channel loghost log level emergencies 
    [FW] info-center source ANTIATTACK channel loghost 
    [FW] info-center loghost 10.1.10.30

    # 配置会话日志功能。

    [FW] security-policy 
    [FW-policy-security] rule name trust_edu_zone 
    [FW-policy-security-rule-trust_edu_zone] source-zone trust 
    [FW-policy-security-rule-trust_edu_zone] destination-zone edu_zone 
    [FW-policy-security-rule-trust_edu_zone] action permit 
    [FW-policy-security-rule-trust_edu_zone] session logging 
    [FW-policy-security-rule-trust_edu_zone] quit 
    [FW-policy-security] rule name trust_isp1_zone 
    [FW-policy-security-rule-trust_isp1_zone] source-zone trust 
    [FW-policy-security-rule-trust_isp1_zone] destination-zone isp1_zone1 isp1_zone2 isp1_zone3 
    [FW-policy-security-rule-trust_isp1_zone] action permit 
    [FW-policy-security-rule-trust_isp1_zone] session logging 
    [FW-policy-security-rule-trust_isp1_zone] quit 
    [FW-policy-security] rule name trust_isp2_zone 
    [FW-policy-security-rule-trust_isp2_zone] source-zone trust 
    [FW-policy-security-rule-trust_isp2_zone] destination-zone isp2_zone1 isp2_zone2 
    [FW-policy-security-rule-trust_isp2_zone] action permit 
    [FW-policy-security-rule-trust_isp2_zone] session logging 
    [FW-policy-security-rule-trust_isp2_zone] quit 
    [FW-policy-security] quit

  16. 配置SNMP功能,日志服务器上的SNMP参数需要与FW上保持一致。

    [FW] snmp-agent sys-info version v3 
    [FW] snmp-agent group v3 inside_snmp privacy 
    [FW] snmp-agent usm-user v3 snmp_user group inside_snmp 
    [FW] snmp-agent usm-user v3 snmp_user authentication-mode sha cipher Test@123 
    [FW] snmp-agent usm-user v3 user-name privacy-mode aes256 cipher Test@123

    日志服务器配置完成后,在日志服务器上选择“ 日志分析 > 会话分析 > IPv4会话日志”,可以查看会话日志。

结果验证

  1. 校内用户访问外网时,目的地址属于教育网的流量从接口GE1/0/1转发,目的地址属于ISP1的流量从接口GE1/0/2转发,目的地址属于ISP2的流量从接口GE1/0/3转发。
  2. 访问其他高校服务器的流量和图书馆内用户的上网流量从GE1/0/1转发。
  3. 查看IPS特征库的配置信息和升级信息。

    # 使用display update configuration命令查看当前升级特征库的配置信息。

    [sysname] display update configuration 
    Update Configuration Information:
    ------------------------------------------------------------
      Update Server               : sec.huawei.com
      Update Port                 : 80
      Proxy State                 : disable
      Proxy Server                : - 
      Proxy Port                  : - 
      Proxy User                  : - 
      Proxy Password              : - 
      IPS-SDB:
        Application Confirmation  : Disable
        Schedule Update           : Enable
        Schedule Update Frequency : Daily    
        Schedule Update Time      : 02:30 
      AV-SDB:                 
        Application Confirmation  : Disable
        Schedule Update           : Enable
        Schedule Update Frequency : Daily    
        Schedule Update Time      : 02:30
      SA-SDB:                         
        Application Confirmation  : Disable
        Schedule Update           : Enable
        Schedule Update Frequency : Daily    
        Schedule Update Time      : 02:30  
      IP-REPUTATION:              
        Application Confirmation  : Disable
        Schedule Update           : Enable
        Schedule Update Frequency : Daily    
        Schedule Update Time      : 02:30  
      CNC:                            
        Application Confirmation  : Disable
        Schedule Update           : Enable
        Schedule Update Frequency : Daily    
        Schedule Update Time      : 02:30  
    ------------------------------------------------------------

    # 使用display version ips-sdb命令查看IPS特征库的信息。

    [sysname] display version ips-sdb 
    IPS SDB Update Information List:  
    ---------------------------------------------------------------- 
      Current Version:                
        Signature Database Version    : 2015041503
        Signature Database Size(byte) : 2659606
        Update Time                   : 12:02:10 2015/05/27 
        Issue Time of the Update File : 16:06:30 2015/04/15
    
      Backup Version:                
        Signature Database Version    :
        Signature Database Size(byte) : 0  
        Update Time                   : 00:00:00 0000/00/00
        Issue Time of the Update File : 00:00:00 0000/00/00 
    ----------------------------------------------------------------
    IPS Engine Information List:     
    ----------------------------------------------------------------
      Current Version: 
        IPS Engine Version            : V200R002C00SPC060 
        IPS Engine Size(byte)         : 3145728
        Update Time                   : 12:02:10 2015/05/27
        Issue Time of the Update File : 10:51:45 2015/05/20
    
      Backup Version:                
        IPS Engine Version            :
        IPS Engine Size(byte)         : 0  
        Update Time                   : 00:00:00 0000/00/00
        Issue Time of the Update File : 00:00:00 0000/00/00
    ----------------------------------------------------------------
  4. 使用display firewall server-map命令查看服务器负载均衡功能生成的Server-map表项信息。
    [sysname] display  firewall server-map slb 
     Current Total Server-map : 3    
     Type: SLB,  ANY -> 3.3.113.113[grp1/1],  Zone:---,  protocol:---
     Vpn: public -> public           
     Type: SLB,  ANY -> 2.2.112.112[grp1/1],  Zone:---,  protocol:---
     Vpn: public -> public           
     Type: SLB,  ANY -> 1.1.111.111[grp1/1],  Zone:---,  protocol:---
     Vpn: public -> public 
  5. 使用display firewall server-map命令查看NAT Server功能生成的Server-map表项信息。
    [sysname] display  firewall server-map nat-server 
     Current Total Server-map : 12   
     Type: Nat Server,  ANY -> 1.1.15.15[10.1.10.20],  Zone: edu_zone ,  protocol:---
     Vpn: public -> public
     Type: Nat Server,  ANY -> 2.2.15.15[10.1.10.20],  Zone: isp1_zone ,  protocol:---
     Vpn: public -> public
     Type: Nat Server,  ANY -> 2.2.16.16[10.1.10.20],  Zone: isp1_zone ,  protocol:---
     Vpn: public -> public
     Type: Nat Server,  ANY -> 2.2.17.17[10.1.10.20],  Zone: isp1_zone ,  protocol:---
     Vpn: public -> public
     Type: Nat Server,  ANY -> 3.3.15.15[10.1.10.20],  Zone: isp2_zone ,  protocol:---
     Vpn: public -> public
     Type: Nat Server,  ANY -> 3.3.16.16[10.1.10.20],  Zone: isp2_zone ,  protocol:---
     Vpn: public -> public
     Type: Nat Server,  ANY -> 1.1.101.101[10.1.10.30],  Zone: edu_zone ,  protocol:---
     Vpn: public -> public
     Type: Nat Server,  ANY -> 2.2.102.102[10.1.10.30],  Zone: isp1_zone ,  protocol:---
     Vpn: public -> public
     Type: Nat Server,  ANY -> 2.2.103.103[10.1.10.30],  Zone: isp1_zone ,  protocol:---
     Vpn: public -> public
     Type: Nat Server,  ANY -> 2.2.104.104[10.1.10.30],  Zone: isp1_zone ,  protocol:---
     Vpn: public -> public
     Type: Nat Server,  ANY -> 3.3.102.102[10.1.10.30],  Zone: isp2_zone ,  protocol:---
     Vpn: public -> public
     Type: Nat Server,  ANY -> 3.3.103.103[10.1.10.30],  Zone: isp2_zone ,  protocol:---
     Vpn: public -> public
     Type: Nat Server Reverse,  10.1.10.20[3.3.16.16] -> ANY,  Zone: isp2_zone ,  protocol:---
     Vpn: public -> public,  counter: 1
     Type: Nat Server Reverse,  10.1.10.20[3.3.15.15] -> ANY,  Zone: isp2_zone ,  protocol:---
     Vpn: public -> public,  counter: 1
     Type: Nat Server Reverse,  10.1.10.20[2.2.17.17] -> ANY,  Zone: isp1_zone ,  protocol:---
     Vpn: public -> public,  counter: 1
     Type: Nat Server Reverse,  10.1.10.20[2.2.16.16] -> ANY,  Zone: isp1_zone ,  protocol:---
     Vpn: public -> public,  counter: 1
     Type: Nat Server Reverse,  10.1.10.20[2.2.15.15] -> ANY,  Zone: isp1_zone ,  protocol:---
     Vpn: public -> public,  counter: 1
     Type: Nat Server Reverse,  10.1.10.20[1.1.15.15] -> ANY,  Zone: edu_zone ,  protocol:---
     Vpn: public -> public,  counter: 1
     Type: Nat Server Reverse,  10.1.10.30[3.3.103.103] -> ANY,  Zone: isp2_zone ,  protocol:--- Vpn: public -> public,  counter: 1
     Type: Nat Server Reverse,  10.1.10.30[3.3.102.102] -> ANY,  Zone: isp2_zone ,  protocol:---
     Vpn: public -> public,  counter: 1
     Type: Nat Server Reverse,  10.1.10.30[2.2.104.104] -> ANY,  Zone: isp1_zone ,  protocol:---
     Vpn: public -> public,  counter: 1
     Type: Nat Server Reverse,  10.1.10.30[2.2.103.103] -> ANY,  Zone: isp1_zone ,  protocol:---
     Vpn: public -> public,  counter: 1
     Type: Nat Server Reverse,  10.1.10.30[2.2.102.102] -> ANY,  Zone: isp1_zone ,  protocol:--- Vpn: public -> public,  counter: 1
     Type: Nat Server Reverse,  10.1.10.30[1.1.101.101] -> ANY,  Zone: edu_zone ,  protocol:---
     Vpn: public -> public,  counter: 1
  6. 在eSight上可以查看到会话日志。

配置脚本

# 
sysname FW 
# 
 info-center loghost 10.1.10.30 514 
# 
 nat server portal_server01 zone edu_zone global 1.1.15.15 inside 10.1.10.20
 nat server portal_server02 zone isp1_zone1 global 2.2.15.15 inside 10.1.10.20 no-reverse
 nat server portal_server03 zone isp1_zone2 global 2.2.16.16 inside 10.1.10.20 no-reverse
 nat server portal_server04 zone isp1_zone3 global 2.2.17.17 inside 10.1.10.20 no-reverse 
 nat server portal_server05 zone isp2_zone1 global 3.3.15.15 inside 10.1.10.20 no-reverse 
 nat server portal_server06 zone isp2_zone2 global 3.3.16.16 inside 10.1.10.20 no-reverse
 nat server dns_server01 zone edu_zone global 1.1.101.101 inside 10.1.10.30      
 nat server dns_server02 zone isp1_zone1 global 2.2.102.102 inside 10.1.10.30 no-reverse
 nat server dns_server03 zone isp1_zone2 global 2.2.103.103 inside 10.1.10.30 no-reverse 
 nat server dns_server04 zone isp1_zone3 global 2.2.104.104 inside 10.1.10.30 no-reverse
 nat server dns_server05 zone isp2_zone1 global 3.3.102.102 inside 10.1.10.30 no-reverse
 nat server dns_server06 zone isp2_zone2 global 3.3.103.103 inside 10.1.10.30 no-reverse 
#  
 dns resolve 
 dns server 10.1.10.30 
 dns transparent-proxy server 10.1.0.50 
#   
 dns-transparent-policy 
  dns transparent-proxy enable 
  dns server bind interface GigabitEthernet1/0/1 preferred 1.1.22.22 alternate 1.1.23.23 
  dns server bind interface GigabitEthernet1/0/2 preferred 2.2.22.22 alternate 2.2.23.23
  dns server bind interface GigabitEthernet1/0/3 preferred 2.2.24.24 alternate 2.2.25.25
  dns server bind interface GigabitEthernet1/0/4 preferred 2.2.26.26 alternate 2.2.27.27
  dns server bind interface GigabitEthernet1/0/5 preferred 3.3.22.22 alternate 3.3.23.23 
  dns server bind interface GigabitEthernet1/0/6 preferred 3.3.24.24 alternate 3.3.25.25 
  dns transparent-proxy exclude domain www.example.com server preferred 1.1.25.25 
#    
 firewall defend land enable 
 firewall defend smurf enable 
 firewall defend fraggle enable 
 firewall defend ip-fragment enable 
 firewall defend tcp-flag enable 
 firewall defend winnuke enable 
 firewall defend source-route enable 
 firewall defend teardrop enable 
 firewall defend route-record enable 
 firewall defend time-stamp enable 
 firewall defend ping-of-death enable 
#  
ip-link name edu_ip_link 
 destination 1.1.1.2 interface GigabitEthernet 1/0/1 mode icmp 
ip-link name isp1_ip_link 
 destination 2.2.2.2 interface GigabitEthernet 1/0/2 mode icmp 
 destination 2.2.3.2 interface GigabitEthernet 1/0/3 mode icmp 
 destination 2.2.4.2 interface GigabitEthernet 1/0/4 mode icmp 
ip-link name isp2_ip_link 
 destination 3.3.3.2 interface GigabitEthernet 1/0/5 mode icmp 
 destination 3.3.4.2 interface GigabitEthernet 1/0/6 mode icmp 
# 
 dns-smart enable 
#       
 update schedule ips-sdb daily 02:30 
 update schedule sa-sdb daily 02:30 
#   
interface GigabitEthernet1/0/1 
 description connect_to_edu    
 ip address 1.1.1.1 255.255.255.252     
 reverse-route nexthop 1.1.1.2
 bandwidth ingress 1000000 threshold 90  
 bandwidth egress 1000000 threshold 90 
#  
interface GigabitEthernet1/0/2 
 description connect_to_isp1 
 ip address 2.2.2.1 255.255.255.252 
 reverse-route nexthop 2.2.2.2   
 bandwidth ingress 200000 threshold 90  
 bandwidth egress 200000 threshold 90  
#  
interface GigabitEthernet1/0/3 
 description connect_to_isp1
 ip address 2.2.3.1 255.255.255.252 
 reverse-route nexthop 2.2.3.2       
 bandwidth ingress 1000000 threshold 90 
 bandwidth egress 1000000 threshold 90  
#  
interface GigabitEthernet1/0/4  
 description connect_to_isp1  
 ip address 2.2.4.1 255.255.255.252  
 reverse-route nexthop 2.2.4.2   
 bandwidth ingress 200000 threshold 90  
 bandwidth egress 200000 threshold 90  
#   
interface GigabitEthernet1/0/5   
 description connect_to_isp2  
 ip address 3.3.3.1 255.255.255.252    
 reverse-route nexthop 3.3.3.2  
 bandwidth ingress 1000000 threshold 90 
 bandwidth egress 1000000 threshold 90 
#  
interface GigabitEthernet1/0/6  
 description connect_to_isp2   
 ip address 3.3.4.1 255.255.255.252     
 reverse-route nexthop 3.3.4.2   
 bandwidth ingress 1000000 threshold 90 
 bandwidth egress 1000000 threshold 90 
#  
interface GigabitEthernet1/0/7
 description connect_to_campus   
 ip address 10.2.0.1 255.255.255.0 
#  
firewall zone trust 
 set priority 85  
 add interface GigabitEthernet1/0/7  
#  
firewall zone name edu_zone 
 set priority 20   
 add interface GigabitEthernet1/0/1    
#   
firewall zone name isp1_zone1 
 set priority 30  
 add interface GigabitEthernet1/0/2 
# 
firewall zone name isp1_zone2    
 set priority 40        
 add interface GigabitEthernet1/0/3
# 
firewall zone name isp1_zone3    
 set priority 50        
 add interface GigabitEthernet1/0/4 
# 
firewall zone name isp2_zone1   
 set priority 60        
 add interface GigabitEthernet1/0/5    
# 
firewall zone name isp2_zone2    
 set priority 70        
 add interface GigabitEthernet1/0/6   
# 
firewall interzone trust edu_zone 
 detect ftp
 detect rtsp   
 detect qq 
# 
firewall interzone trust isp1_zone1
 detect ftp
 detect rtsp   
 detect qq 
# 
firewall interzone trust isp1_zone2 
 detect ftp
 detect rtsp   
 detect qq 
# 
firewall interzone trust isp1_zone3 
 detect ftp     
 detect rtsp    
 detect qq 
# 
firewall interzone trust isp2_zone1  
 detect ftp
 detect rtsp   
 detect qq 
# 
firewall interzone trust isp2_zone2  
 detect ftp
 detect rtsp   
 detect qq 
#     
 ip route-static 1.1.15.15 255.255.255.255 NULL0 
 ip route-static 1.1.30.31 255.255.255.255 NULL0 
 ip route-static 1.1.30.32 255.255.255.255 NULL0 
 ip route-static 1.1.30.33 255.255.255.255 NULL0  
 ip route-static 1.1.101.101 255.255.255.255 NULL0  
 ip route-static 2.2.5.1 255.255.255.255 NULL0  
 ip route-static 2.2.5.2 255.255.255.255 NULL0  
 ip route-static 2.2.5.3 255.255.255.255 NULL0
 ip route-static 2.2.6.1 255.255.255.255 NULL0
 ip route-static 2.2.6.2 255.255.255.255 NULL0
 ip route-static 2.2.6.3 255.255.255.255 NULL0
 ip route-static 2.2.7.1 255.255.255.255 NULL0
 ip route-static 2.2.7.2 255.255.255.255 NULL0
 ip route-static 2.2.7.3 255.255.255.255 NULL0
 ip route-static 2.2.15.15 255.255.255.255 NULL0
 ip route-static 2.2.16.16 255.255.255.255 NULL0
 ip route-static 2.2.17.17 255.255.255.255 NULL0
 ip route-static 2.2.102.102 255.255.255.255 NULL0
 ip route-static 2.2.103.103 255.255.255.255 NULL0 
 ip route-static 2.2.104.104 255.255.255.255 NULL0
 ip route-static 3.3.1.1 255.255.255.255 NULL0
 ip route-static 3.3.1.2 255.255.255.255 NULL0
 ip route-static 3.3.1.3 255.255.255.255 NULL0
 ip route-static 3.3.2.1 255.255.255.255 NULL0
 ip route-static 3.3.2.2 255.255.255.255 NULL0
 ip route-static 3.3.2.3 255.255.255.255 NULL0
 ip route-static 3.3.15.15 255.255.255.255 NULL0
 ip route-static 3.3.16.16 255.255.255.255 NULL0
 ip route-static 3.3.102.102 255.255.255.255 NULL0
 ip route-static 3.3.103.103 255.255.255.255 NULL0
 ip route-static 10.1.0.0 255.255.0.0 10.2.0.2
# 
 snmp-agent sys-info version v3 
 snmp-agent group v3 inside_snmp privacy 
 snmp-agent usm-user v3 snmp_user group inside_snmp 
 snmp-agent usm-user v3 snmp_user authentication-mode sha cipher %$%$jQlL6J6-$X05<;Csj**]uVn>IEUb,9<3.%$%$ 
 snmp-agent usm-user v3 user-name privacy-mode aes256 cipher %$%$jQlL6J6-$X05<;Csj**]uVn>IEUb,9<3.%$%$ 
#
isp name edu_address   
 isp name edu_address set filename edu_address.csv 
 isp name isp1_address  
 isp name isp1_address set filename isp1_address.csv 
 isp name isp2_address  
 isp name isp2_address set filename isp2_address.csv 
 isp name other_edu_server_address   
 isp name other_edu_server_address set filename other_edu_server_address.csv
# 
 slb       
  rserver 1 rip 10.1.10.10 weight 32 healthchk
  rserver 2 rip 10.1.10.11 weight 32 healthchk
  group grp1   
  metric roundrobin        
  addrserver 1 
  addrserver 2 
 vserver vs1 vip 1.1.111.111 group grp1
# 
sa
# 
sa
 user-defined-application name UD_dis_edu_sys_app
  category Business_Systems sub-category Enterprise_Application 
  data-model client-server 
  rule name 1       
   ip-address 2.2.50.50 32  
   port 5000      
#
 nat address-group edu_nat_address_pool
 section 0 1.1.30.31 1.1.30.33     
 nat address-group isp1_nat_address_pool1 
 section 0 2.2.5.1 2.2.5.3 
 nat address-group isp1_nat_address_pool2   
 section 0 2.2.6.1 2.2.6.3 
 nat address-group isp1_nat_address_pool3 
 section 0 2.2.7.1 2.2.7.3 
 nat address-group isp2_nat_address_pool1  
 section 0 3.3.1.1 3.3.1.3  
 nat address-group isp2_nat_address_pool2  
 section 0 3.3.2.1 3.3.2.3   
#       
dns-smart group 1 type single    
 real-server-ip 1.1.15.15  
 out-interface GigabitEthernet1/0/2 map 2.2.15.15  
 out-interface GigabitEthernet1/0/3 map 2.2.16.16  
 out-interface GigabitEthernet1/0/4 map 2.2.17.17   
 out-interface GigabitEthernet1/0/5 map 3.3.15.15  
 out-interface GigabitEthernet1/0/6 map 3.3.16.16  
#     
dns-smart group 2 type single  
 real-server-ip 1.1.101.101  
 out-interface GigabitEthernet1/0/2 map 2.2.102.102
 out-interface GigabitEthernet1/0/3 map 2.2.103.103 
 out-interface GigabitEthernet1/0/4 map 2.2.104.104 
 out-interface GigabitEthernet1/0/5 map 3.3.102.102
 out-interface GigabitEthernet1/0/6 map 3.3.103.103
# 
security-policy 
 rule name user_inside  
  source-zone trust     
  profile ips default   
  action permit
 rule name user_outside 
  source-zone edu_zone  
  source-zone isp1_zone1
  source-zone isp1_zone2
  source-zone isp1_zone3
  source-zone isp2_zone1
  source-zone isp2_zone2
  destination-address 10.1.10.0 mask 255.255.255.0
  profile ips default   
  action permit
 rule name local_to_any    
  source-zone local     
  destination-zone any
  action permit
# 
traffic-policy 
 profile isp1_p2p_profile_01     
  bandwidth total maximum-bandwidth 100000    
  bandwidth ip-car total maximum-bandwidth per-ip 500
 profile isp1_p2p_profile_02     
  bandwidth total maximum-bandwidth 300000    
  bandwidth ip-car total maximum-bandwidth per-ip 1000
 profile isp1_p2p_profile_03     
  bandwidth total maximum-bandwidth 700000    
  bandwidth ip-car total maximum-bandwidth per-ip 2000
 rule name isp1_p2p_01  
  ingress-interface GigabitEthernet1/0/7 
  egress-interface GigabitEthernet1/0/2 
  application category Entertainment sub-category PeerCasting  
  application category General_Internet sub-category FileShare_P2P
  action qos profile isp1_p2p_profile_01      
 rule name isp1_p2p_02  
  ingress-interface GigabitEthernet1/0/7      
  egress-interface GigabitEthernet1/0/3       
  application category Entertainment sub-category PeerCasting  
  application category General_Internet sub-category FileShare_P2P
  action qos profile isp1_p2p_profile_02      
 rule name isp1_p2p_03  
  ingress-interface GigabitEthernet1/0/7      
  egress-interface GigabitEthernet1/0/4       
  application category Entertainment sub-category PeerCasting  
  application category General_Internet sub-category FileShare_P2P 
  action qos profile isp1_p2p_profile_03      
# 
policy-based-route      
 rule name pbr_dns_trans
  source-zone trust     
  service dns  
  service dns-tcp       
  action pbr egress-interface multi-interface 
   add interface GigabitEthernet1/0/1
   add interface GigabitEthernet1/0/2
   add interface GigabitEthernet1/0/3
   add interface GigabitEthernet1/0/4
   add interface GigabitEthernet1/0/5
   add interface GigabitEthernet1/0/6
   mode proportion-of-bandwidth  
 rule name dis_edu_sys  
  source-zone trust     
  application app UD_dis_edu_sys_app 
  action pbr egress-interface multi-interface 
   add interface GigabitEthernet1/0/1
   add interface GigabitEthernet1/0/5
   add interface GigabitEthernet1/0/6   
   mode proportion-of-bandwidth 
 rule name p2p_traffic  
  source-zone trust     
  application category Entertainment sub-category PeerCasting  
  application category General_Internet sub-category FileShare_P2P      
  action pbr egress-interface multi-interface 
   add interface GigabitEthernet1/0/2  
   add interface GigabitEthernet1/0/3
   add interface GigabitEthernet1/0/4
   mode proportion-of-bandwidth  
 rule name other_edu_server      
  source-zone trust     
  source-address 10.1.0.0 mask 255.255.0.0    
  destination-address isp other_edu_server_address
  action pbr egress-interface GigabitEthernet1/0/1 next-hop 1.1.1.2
 rule name lib_internet 
  source-zone trust     
  source-address 10.1.48.0 mask 255.255.252.0 
  action pbr egress-interface GigabitEthernet1/0/1 next-hop 1.1.1.2
 rule name pbr_edu      
  source-zone trust     
  source-address 10.1.0.0 mask 255.255.0.0    
  destination-address isp edu_address
  action pbr egress-interface multi-interface 
   add interface GigabitEthernet1/0/1 priority 8  
   add interface GigabitEthernet1/0/2 priority 5  
   add interface GigabitEthernet1/0/3 priority 5  
   add interface GigabitEthernet1/0/4 priority 5  
   add interface GigabitEthernet1/0/5
   add interface GigabitEthernet1/0/6
   mode priority-of-userdefine   
 rule name pbr_isp1     
  source-zone trust     
  source-address 10.1.0.0 mask 255.255.0.0    
  destination-address isp isp1_address        
  action pbr egress-interface multi-interface 
   add interface GigabitEthernet1/0/1 priority 5
   add interface GigabitEthernet1/0/2 priority 8
   add interface GigabitEthernet1/0/3 priority 8
   add interface GigabitEthernet1/0/4 priority 8
   add interface GigabitEthernet1/0/5
   add interface GigabitEthernet1/0/6
   mode priority-of-userdefine   
 rule name pbr_isp2     
  source-zone trust     
  source-address 10.1.0.0 mask 255.255.0.0    
  destination-address isp isp2_address        
  action pbr egress-interface multi-interface 
   add interface GigabitEthernet1/0/1 priority 5
   add interface GigabitEthernet1/0/2
   add interface GigabitEthernet1/0/3
   add interface GigabitEthernet1/0/4
   add interface GigabitEthernet1/0/5 priority 8
   add interface GigabitEthernet1/0/6 priority 8
   mode priority-of-userdefine   
 rule name pbr_rest     
  source-zone trust     
  source-address 10.1.0.0 mask 255.255.0.0    
  action pbr egress-interface multi-interface 
   add interface GigabitEthernet1/0/1
   add interface GigabitEthernet1/0/2
   add interface GigabitEthernet1/0/3
   add interface GigabitEthernet1/0/4
   add interface GigabitEthernet1/0/5
   add interface GigabitEthernet1/0/6
   mode priority-of-link-quality 
   priority-of-link-quality parameter delay jitter loss
# 
nat-policy 
 rule name inner_nat_policy        
  source-zone trust     
  destination-zone trust      
  source-address 10.1.0.0 mask 255.255.0.0    
  action source-nat address-group edu_nat_address_pool 
 rule name edu_nat_policy        
  source-zone trust     
  destination-zone edu_zone      
  source-address 10.1.0.0 mask 255.255.0.0    
  action source-nat address-group edu_nat_address_pool
 rule name isp1_nat_policy1      
  source-zone trust     
  destination-zone isp1_zone1    
  source-address 10.1.0.0 mask 255.255.0.0    
  action source-nat address-group isp1_nat_address_pool1
 rule name isp1_nat_policy2      
  source-zone trust     
  destination-zone isp1_zone2    
  source-address 10.1.0.0 mask 255.255.0.0    
  action source-nat address-group isp1_nat_address_pool2
 rule name isp1_nat_policy3      
  source-zone trust     
  destination-zone isp1_zone3  
  source-address 10.1.0.0 mask 255.255.0.0
  action source-nat address-group isp1_nat_address_pool3
 rule name isp2_nat_policy1
  source-zone trust
  destination-zone isp2_zone1 
  source-address 10.1.0.0 mask 255.255.0.0 
  action source-nat address-group isp2_nat_address_pool1
 rule name isp2_nat_policy2
  source-zone trust
  destination-zone isp2_zone2        
  source-address 10.1.0.0 mask 255.255.0.0 
  action source-nat address-group isp2_nat_address_pool2
#        
return 

方案二:基于用户的策略控制

典型组网

图1-3所示,FW作为安全网关部署在校园网出口,为校内用户提供宽带服务,为校外用户提供服务器访问服务。学校还部署了RADIUS服务器,并在服务器上存储了用户/组和密码等信息,上网用户通过BRAS设备访问网络资源前必须先通过RADIUS服务器的认证。管理员可以根据现有的组织结构,在FW上手动创建或者使用文件批量导入相应的用户/组,然后通过策略来控制不同用户/组对网络的访问行为。为了提高校园网出口的可靠性,学校从ISP1和ISP2分别租用了1G带宽的链路,从教育网申请了10G带宽的链路。

图1-3 基于用户的策略控制组网图

由于学校网络的主要用途是学习和工作,所以在保证内网用户和服务器安全的同时,要合理分配带宽资源,并对网络流量进行负载分担,提升内外部用户的访问体验。校园网的主要需求如下:

  • 用户与认证
    • 上网用户通过BRAS设备接入Internet,RADIUS服务器用于对员工进行认证。用户通过RADIUS认证后,无需在FW上再次认证。
    • 校内上网用户分为几类:包括教师、图书馆上网用户、公共区域上网用户、20元包月上网用户和50元包月上网用户。管理员希望基于用户来控制网络权限,需要FW上存储用户的信息,供策略引用。
    • 对于RADIUS服务器上的新增用户,即使FW上没有此用户的信息,也要允许其能够正常访问网络。
  • 负载分担
    • FW可以基于用户属性控制其上网权限,并根据用户属性的差异选择不同的ISP链路转发相应流量。例如,教师和50元包月用户的流量可以根据报文目的地址从多个ISP链路转发出去;20元包月用户和图书馆上网用户的流量只能从教育网转发;公共区域上网用户的流量优先从教育网转发,当教育网链路过载时,也可以从其他ISP链路转发。
    • 各ISP链路的传输质量实际上是不同的,其中教育网和ISP2的链路质量较高,可以用来转发对时延要求较高的业务流量(例如远程教学系统的流量),ISP1的链路质量较差,可以用来转发占用带宽大、业务价值小的业务流量(例如P2P流量)。考虑到费用因素,访问其他高校服务器的流量、图书馆内用户的上网流量、所有匹配缺省路由的流量需要从教育网链路转发出去。
    • 由于校内用户自动获得的是同一个DNS服务器地址,所以流量将从同一条ISP链路转发出去。学校希望充分利用其他链路资源,所以要分流部分DNS请求报文到其他ISP链路上。如果只是改变了报文的出接口,还是无法解决后续上网流量集中在一条链路上的问题。所以要将报文发送到不同ISP的DNS服务器上,这样解析后的地址就属于不同的ISP,达到了分流的目的。
    • 学校内部署了DNS服务器提供域名解析服务,不同ISP的用户访问学校网站时,可以解析到属于自己ISP的地址,不会解析到其他ISP的地址,提高访问质量。
    • 由于访问图书馆服务器的流量较大,所以需要部署2台服务器对流量进行负载分担。
  • 地址转换
    • 校内用户访问Internet时需要使用公网IP地址。
    • 校内服务器使用公网IP地址同时为内、外网用户提供服务,例如图书馆服务器、Portal服务器、DNS服务器等。
  • 安全防护
    • 按照网络设备所处的位置划分不同区域,并对各区域间的流量进行安全隔离,控制各区域间的互访权限。例如,允许校内用户访问外网资源,只允许外网用户访问校内服务器的指定端口。
    • 能够防御常见的DDoS攻击(例如SYN flood攻击)和单包攻击(例如Land攻击)。
    • 能够对网络入侵行为进行阻断或告警。
  • 带宽管控

    由于带宽资源有限,所以学校希望限制P2P流量占用的带宽比例,并根据用户属性限制每个用户的P2P流量。其中,教师和50元包月用户可以拥有2M的P2P流量带宽,其他用户可以拥有500K的P2P流量带宽。常见的P2P流量主要来源于下载软件(如迅雷、电驴、BT、Ares、Vuze)、音乐软件(如酷我音乐盒、酷狗、SoulSeek)或视频网站或软件(如百度影音、爱奇艺、搜狐影音)。

  • 溯源审计
    • 为了防止个别校内用户的不当网络行为对学校声誉造成伤害,并做到事后能够回溯和还原事件,需要对校内用户的网络行为进行审计,供日后审查和分析。需要审计的行为主要包括URL访问记录、BBS和微博的发帖内容、HTTP上传和下载行为、FTP上传和下载行为。
    • 学校部署有日志服务器,需要在日志服务上查看攻击防范和入侵检测的日志,并且能够查看NAT转换前后的IP地址。

业务规划

FW可以满足校园网的所有需求,下面给出具体功能的介绍并结合组网进行业务规划。

网络基础及访问控制配置

FW通过设置安全区域将校园网的各个区域安全隔离,并通过安全策略控制各个区域间的互访权限。

其中,校园网用户处于Trust区域,安全级别最高,可以主动访问所有安全区域;服务器也处于Trust区域,但是通过策略控制服务器仅可以访问外网区域,不可以访问Trust区域内的设备;分别为各ISP创建一个安全区域,这是为了方便单独控制某两个域间的策略,允许各ISP区域中的设备访问服务器区。同时,为了保证安全区域间多通道协议(例如FTP协议)的正常通信,还需要开启ASPF功能。

表1-14 网络基础配置规划

项目

数据

说明

GE1/0/1

  • IP地址:1.1.1.1/30
  • 安全区域:edu_zone(优先级为20)
  • 网关地址:1.1.1.2
  • 源进源出功能:开启
  • 带宽:1000M
  • 过载保护阈值:90%

FW连接教育网的接口,加入自定义安全区域edu_zone。自定义安全区域的优先级可以根据实际情况进行设置。

GE1/0/2

  • IP地址:2.2.2.1/30
  • 安全区域:isp1_zone1(优先级为30)
  • 网关地址:2.2.2.2
  • 源进源出功能:开启
  • 带宽:200M
  • 过载保护阈值:90%

FW连接ISP1的接口,加入自定义安全区域isp1_zone1。

GE1/0/3

  • IP地址:2.2.3.1/30
  • 安全区域:isp1_zone2(优先级为40)
  • 网关地址:2.2.3.2
  • 源进源出功能:开启
  • 带宽:1000M
  • 过载保护阈值:90%

FW连接ISP1的接口,加入自定义安全区域isp1_zone2。

GE1/0/4

  • IP地址:2.2.4.1/30
  • 安全区域:isp1_zone3(优先级为50)
  • 网关地址:2.2.4.2
  • 源进源出功能:开启
  • 带宽:200M
  • 过载保护阈值:90%

FW连接ISP1的接口,加入自定义安全区域isp1_zone3。

GE1/0/5

  • IP地址:3.3.3.1/30
  • 安全区域:isp2_zone1(优先级为60)
  • 网关地址:3.3.3.2
  • 源进源出功能:开启
  • 带宽:1000M
  • 过载保护阈值:90%

FW连接ISP2的接口,加入自定义安全区域isp2_zone1。

GE1/0/6

  • IP地址:3.3.4.1/30
  • 安全区域:isp2_zone2(优先级为70)
  • 网关地址:3.3.4.2
  • 源进源出功能:开启
  • 带宽:1000M
  • 过载保护阈值:90%

FW连接ISP2的接口,加入自定义安全区域isp2_zone2。

GE1/0/7

  • IP地址:10.2.0.1/24
  • 安全区域:Trust

FW连接校园内网的接口,加入Trust区域。校内用户和服务器均位于Trust区域。

GE1/0/8

  • IP地址:10.2.1.1/30
  • 安全区域:DMZ

FW连接RADIUS服务器的接口,加入DMZ区域。

表1-15 访问控制配置规划

项目

数据

说明

校内用户的安全策略

  • 安全策略名称:user_inside
  • 源安全区域:Trust
  • 动作:permit

校内用户可以访问任意安全区域内的设备。

缺省情况下,同一安全区域内的设备也不能互访,必须配置一条安全策略指定源安全区域或目的安全区域。例如,源安全区域指定为Trust,目的安全区域指定为Trust,表示Trust域内的设备即可互访;源安全区域指定为Trust,目的安全区域指定为any,表示Trust域内的设备可以访问任意安全域;源安全区域指定为any,目的安全区域指定为Trust,表示任意安全域内的设备可以访问Trust域。

外网用户的安全策略

  • 安全策略名称:user_outside
  • 源安全区域:edu_zone、isp1_zone1、isp1_zone2、isp1_zone3、isp2_zone1、isp2_zone2
  • 目的地址:10.1.10.0/24
  • 动作:permit

校外用户可以访问服务器区,不可以访问Trust域内的任意设备。

服务器的安全策略

  • 安全策略名称:local_to_any
  • 源安全区域:Local
  • 目的安全区域:Any
  • 动作:permit

允许FW和升级中心、日志服务器交互的流量通过。

入侵防御

为了防止僵尸、木马、蠕虫的入侵,需要在FW上部署入侵防御功能,对入侵行为进行告警或阻断。为了更好地识别入侵行为,FW还需要定期通过安全中心平台(sec.huawei.com)更新入侵防御特征库。

表1-16 入侵防御配置规划

项目

数据

说明

外网入侵防御

  • 安全策略:user_inside
  • 入侵防御配置文件:default

Trust域内设备访问外网设备时需要进行入侵防御,安全策略中引用缺省的入侵防御配置文件default

服务器区入侵防御

  • 安全策略:user_outside
  • 入侵防御配置文件:default

外网用户访问服务器区设备时需要进行入侵防御,安全策略中引用缺省的入侵防御配置文件default

入侵防御特征库的升级

  • 升级中心地址:sec.huawei.com
  • DNS服务器地址:10.1.10.30
  • 升级方式:定时升级
  • 升级频率:每天
  • 升级时间:02:30

入侵防御特征库需要经常更新,以此提高设备的安全防御能力。为了减轻管理员的工作量,可以令设备定时升级,并选择一个网络流量最小的时间段。

DNS透明代理

DNS透明代理功能可以修改DNS请求报文的目的地址,实现DNS服务器的重定向。本例中结合策略路由智能选路,可以使DNS请求报文按照链路带宽比例进行转发,由于解析后的服务器地址也属于不同的ISP,所以后续的访问流量也会分担到不同的ISP链路上。

表1-17 DNS透明代理配置规划

项目

数据

说明

接口绑定DNS服务器

  • GE1/0/1:
    • 首选DNS服务器:1.1.22.22
    • 备用DNS服务器:1.1.23.23
  • GE1/0/2:
    • 首选DNS服务器:2.2.22.22
    • 备用DNS服务器:2.2.23.23
  • GE1/0/3:
    • 首选DNS服务器:2.2.24.24
    • 备用DNS服务器:2.2.25.25
  • GE1/0/4:
    • 首选DNS服务器:2.2.26.26
    • 备用DNS服务器:2.2.27.27
  • GE1/0/5:
    • 首选DNS服务器:3.3.22.22
    • 备用DNS服务器:3.3.23.23
  • GE1/0/6:
    • 首选DNS服务器:3.3.24.24
    • 备用DNS服务器:3.3.25.25

FW优先使用首选DNS服务器地址替换DNS请求报文的目的地址,只有当首选DNS服务器的状态为DOWN时,才会使用备用DNS服务器地址替换DNS请求报文中的目的地址。

排除域名

  • 排除域名:www.example.com
  • DNS服务器:1.1.25.25

排除域名不做DNS透明代理,且管理员可以指定DNS服务器来解析排除域名。

DNS透明代理策略

dns_trans_rule:

  • 源IP地址:any
  • 目的IP地址:any
  • 动作:tpdns(表示做DNS透明代理)

DNS透明代理策略定义了哪些DNS请求报文需要做DNS透明代理。本例中,除了排除域名,所有DNS请求报文均需做DNS透明代理。

策略路由

pbr_dns_trans:

  • 源安全区域:Trust
  • 服务:dns,dns-tcp
  • 智能选路模式:根据链路带宽负载分担
  • 参与选路的出接口:
    • GE1/0/1
    • GE1/0/2
    • GE1/0/3
    • GE1/0/4
    • GE1/0/5
    • GE1/0/6

此条策略路由必须置于所有策略路由之前,通过服务类型(使用TCP协议或UDP协议的DNS)匹配到DNS请求报文,并根据链路带宽进行负载分担。当校内用户获得DNS解析地址后,后续的业务报文会匹配其他策略路由并进行选路。

用户与认证

管理员希望用户经过RADIUS服务器认证后,自动通过FW的认证,此种情况可以使用RADIUS单点登录的方式触发FW上的认证。

为了实现RADIUS单点登录,FW需要解析BRAS设备和RADIUS服务器之间的RADIUS计费报文,获取用户和IP地址的对应关系。本例中,BRAS设备与RADIUS服务器的交互报文直接经过FW,在FW上配置认证策略时不对这些报文进行认证,同时在安全策略中保证这类报文可以正常通过FW。

表1-18 用户与认证配置规划

项目

数据

说明

CSV文件

  • 用户组:
    • 教师所属用户组:/default/teacher
    • 50元包月上网用户所属用户组:/default/50user
    • 20元包月上网用户所属用户组:/default/20user
    • 图书馆上网用户所属用户组:/default/lib
    • 公共区域上网用户所属用户组:/default/public_user
    • 新增上网用户所属用户组:/default/newuser
  • 不允许多人同时使用同一账号上网

将RADIUS服务器上存储的用户信息按照指定的格式填写到CSV文件模板中,然后将CSV文件导入FW,批量创建用户/组。

新增上网用户的信息可能不会及时同步到FW上,所以要为这些用户创建一个临时组/default/newuser,保证其可以正常上网。

RADIUS单点登录

  • RADIUS单点登录:启用
  • 工作模式:直路
  • 接收计费报文的接口:GigabitEthernet 1/0/7
  • 解析的流量:10.2.1.2:1813(RADIUS服务器IP地址:计费端口)

在FW上配置单点登录参数,解析经过FW的RADIUS计费报文,从而获取用户和IP地址的对应关系。

安全策略

  • 安全策略名称:policy_sec_radius
  • 源安全区域:Trust
  • 目的安全区域:DMZ
  • 目的地址:10.2.1.0/24
  • 动作:permit

配置用户和BRAS设备所在安全区域Trust到RADIUS服务器所在安全区域DMZ的安全策略,用于用户到RADIUS服务器进行认证。

智能选路

由于FW部署在BRAS设备和RADIUS服务器之间,所以FW可对认证交互报文进行解析,并获取用户组/用户和IP地址的对应关系。

为了满足校园网出口的流量转发需求,可以结合获取到的用户/组信息,在FW上部署策略路由智能选路功能。此外,对于某些特殊流量的转发需求,可以利用单出口策略路由指导流量从固定的出接口转发。最后,对于没有命中ISP地址集的流量,可以选择链路质量最好的链路转发出去。

表1-19 智能选路配置规划

项目

数据

说明

单出口策略路由

  • p2p_traffic:
    • 源安全区域:Trust
    • 应用:P2P网络视频、P2P文件共享
    • 智能选路模式:根据链路带宽负载分担
    • 参与选路的出接口:
    • GE1/0/2
    • GE1/0/3
    • GE1/0/4
  • dis_edu_sys:
    • 源安全区域:Trust
    • 应用:UD_dis_edu_sys_app
    • 智能选路模式:根据链路带宽负载分担
    • 参与选路的出接口:
    • GE1/0/1
    • GE1/0/5
    • GE1/0/6
  • other_edu_server:
    • 源安全区域:Trust
    • 源地址:10.1.0.0/16
    • 目的地址:other_edu_server_address
    • 出接口:GE1/0/1
    • 下一跳:1.1.1.2
  • pbr_edu_lib_20user:
    • 源安全区域:Trust
    • 用户:/default/lib,/default/20user
    • 出接口:GE1/0/1
    • 下一跳:1.1.1.2

策略路由的匹配顺序优先于明细路由和缺省路由,所以对于特殊流量可以设置策略路由指导转发。

单出口策略路由和多出口策略路由的优先级相同,但是策略路由功能存在匹配顺序,即先配置的策略路由规则优先进行流量匹配,所以可根据业务需要和匹配条件的严格程度调整策略路由规则的位置。一般来说,匹配条件严格的策略路由位置靠前,匹配条件宽松的策略路由位置靠后;匹配特殊流量的策略路由位置靠前,匹配大多数流量的策略路由位置靠后。

由于远程教学系统软件没有包含在FW的应用特征库中,所以管理员需要根据应用的特征手工创建自定义应用UD_dis_edu_sys_app,并将其设置为策略路由的匹配条件。

ISP地址集

  • 教育网地址集:
    • ISP名称:edu_address
    • ISP地址文件名称:edu_address.csv
  • ISP1地址集:
    • ISP名称:isp1_address
    • ISP地址文件名称:isp1_address.csv
  • ISP2地址集:
    • ISP名称:isp2_address
    • ISP地址文件名称:isp2_address.csv
  • 其他高校服务器的地址集:
    • ISP名称:other_edu_server_address
    • ISP地址文件名称:other_edu_server_address.csv

配置ISP地址集前,管理员需要把每个ISP网络内的IP地址分别写入不同的ISP地址文件,然后将文件导入FW。后续如需修改ISP地址文件中的内容,可以导出对应的文件,修改后再导入FW。

ISP地址文件的填写说明及要求如下图所示。

多出口策略路由

  • pbr_edu_teacher_50user:
    • 源安全区域:Trust
    • 目的地址:edu_address
    • 用户:/default/teacher,/default/50user
    • 智能选路模式:根据链路优先级主备备份
    • 参与选路的出接口及其选路优先级:
    • GE1/0/1,优先级为8
    • GE1/0/2,优先级为5
    • GE1/0/3,优先级为5
    • GE1/0/4,优先级为5
    • GE1/0/5,优先级为1
    • GE1/0/6,优先级为1
  • pbr_isp1_teacher_50user:
    • 源安全区域:Trust
    • 目的地址:isp1_address
    • 用户:/default/teacher,/default/50user
    • 智能选路模式:根据链路优先级主备备份
    • 参与选路的出接口及其选路优先级:
    • GE1/0/1,优先级为5
    • GE1/0/2,优先级为8
    • GE1/0/3,优先级为8
    • GE1/0/4,优先级为8
    • GE1/0/5,优先级为1
    • GE1/0/6,优先级为1
  • pbr_isp2_teacher_50user:
    • 源安全区域:Trust
    • 目的地址:isp2_address
    • 用户:/default/teacher,/default/50user
    • 智能选路模式:根据链路优先级主备备份
    • 参与选路的出接口及其选路优先级:
    • GE1/0/1,优先级为5
    • GE1/0/2,优先级为1
    • GE1/0/3,优先级为1
    • GE1/0/4,优先级为1
    • GE1/0/5,优先级为8
    • GE1/0/6,优先级为8
  • pbr_public_user:
    • 源安全区域:Trust
    • 用户:/default/public_user
    • 智能选路模式:根据链路优先级主备备份
    • 参与选路的出接口及其选路优先级:
    • GE1/0/1,优先级为8
    • GE1/0/2,优先级为5
    • GE1/0/3,优先级为5
    • GE1/0/4,优先级为5
    • GE1/0/5,优先级为1
    • GE1/0/6,优先级为1
  • pbr_rest:
    • 源安全区域:Trust
    • 智能选路模式:根据链路质量负载分担
    • 探测方式:简单TCP
    • 探测间隔:3秒
    • 探测次数:5
    • 质量探测参数:
    • 丢包率
    • 时延
    • 时延抖动
    • 参与选路的出接口:
    • GE1/0/1
    • GE1/0/2
    • GE1/0/3
    • GE1/0/4
    • GE1/0/5
    • GE1/0/6

策略路由的目的地址设置为ISP地址集,这样当流量匹配策略路由的所有条件后,FW将优先使用对应的ISP链路转发该流量。如果同一ISP拥有多条链路,FW将随机使用其中一条链路转发流量,当流量较大时,各链路转发流量的比例约等于链路带宽比,即实现了按照带宽负载分担。当高优先级的链路都过载后,再使用低优先级的其他ISP链路转发流量。

以策略路由pbr_isp1_teacher_50user为例,对策略路由智能选路的实现进行说明:策略路由的目的地址设置为ISP1地址集,用户设置为教师和50元用户,当流量匹配策略路由的所有条件时,表示流量的目的地址属于ISP1。由于连接ISP1的3个出接口GE1/0/2、GE1/0/3、GE1/0/4的优先级最高,所以FW将从这3个接口中随机选择一个转发该流量。当GE1/0/2、GE1/0/3、GE1/0/4都过载后,如果新的流量仍然匹配了策略路由pbr_isp1_teacher_50user,那么已建立会话的流量仍从原接口转发,但是新流量不再通过这3个接口转发,而是通过优先级第二高的GE1/0/1转发。当GE1/0/1也过载后,再使用优先级第三高的GE1/0/5和GE1/0/6转发。如果所有链路都已过载,那么FW将按照各链路的带宽比例分配新建立会话的流量,不再根据链路优先级分配。

对于没有匹配到任何策略路由的流量,可以通过策略路由pbr_rest选择链路质量最好的链路转发,保证用户体验最佳。

服务器负载均衡

图书馆的2台服务器对外体现为一台高性能、高可靠性的虚拟服务器,对于用户来说访问的就是虚拟服务器,而并不知道实际处理业务的是其他服务器。为了提升用户访问体验,虚拟服务器向外发布多个ISP的公网IP地址。

表1-20 服务器负载均衡配置规划

项目

数据

说明

图书馆服务器

  • 负载均衡算法:简单轮询
  • 虚拟服务器vs1:
    • 对应教育网的vip:1.1.111.111
    • 对应ISP1的vip:2.2.112.112
    • 对应ISP2的vip:3.3.113.113
  • 实服务器组grp1:
    • rserver 1:10.1.10.10
    • rserver 2:10.1.10.11

虚拟服务器IP是公网IP,实服务器IP是私网IP。

配置服务器负载均衡功能后,FW会针对虚拟服务器的IP地址自动生成黑洞路由,防止产生路由环路。删除虚拟服务器的IP地址或者取消虚拟服务器和实服务器组的绑定关系后,黑洞路由自动删除。

智能DNS

智能DNS是指存在私网DNS服务器的情况下,FW对于来自不同ISP的DNS请求进行智能回复,使各ISP的用户能够获得最适合的解析地址,即与用户属于同一ISP网络的服务器地址。

例如,学校内网有一台DNS服务器,上面存放了Portal服务器的域名(www.example.com)和教育网分配的公网地址1.1.15.15,并在FW的GE1/0/2接口上启用智能DNS功能,映射后的地址为ISP1分配的公网地址2.2.15.15。

当教育网下的用户访问Portal服务器地址时,由于接口GE1/0/1没有配置智能DNS功能,因此最终用户得到的Portal服务器地址就是其原本教育网分配的公网地址1.1.15.15。当ISP1下的用户访问Portal服务器地址时,DNS服务器返回给ISP1用户的DNS响应消息到达FW的GE1/0/2接口时,FW会把响应消息中原始的教育网地址1.1.15.15替换成ISP1分配的公网地址2.2.15.15,ISP1下的用户收到DNS响应消息后,就会和2.2.15.15这个地址进行通信。当然,在FW上还需要配置一条NAT Server映射,将Portal服务器的私网地址10.1.10.20和2.2.15.15进行绑定,从而实现ISP1下的用户通过ISP1的地址2.2.15.15和Portal服务器进行通信。

表1-21 智能DNS配置规划

项目

数据

说明

Portal服务器

  • 原始服务器IP:1.1.15.15
  • 出接口及映射后IP:
    • GE1/0/2,2.2.15.15
    • GE1/0/3,2.2.16.16
    • GE1/0/4,2.2.17.17
    • GE1/0/5,3.3.15.15
    • GE1/0/6,3.3.16.16

由于原始服务器IP就是教育网公网IP,所以无需针对教育网出接口配置智能DNS映射,只要针对ISP1和ISP2的出接口配置即可。

图书馆服务器

  • 原始服务器IP:1.1.101.101
  • 出接口及映射后IP:
    • GE1/0/2,2.2.102.102
    • GE1/0/3,2.2.103.103
    • GE1/0/4,2.2.104.104
    • GE1/0/5,3.3.102.102
    • GE1/0/6,3.3.103.103

-

NAT

  • NAT Server

    为保证各个ISP的用户能够访问内网服务器,需要在FW上部署NAT Server功能,将服务器的私网地址转换成公网地址。

表1-22 NAT Server配置规划

项目

数据

说明

Portal服务器

  • 私网IP:10.1.10.20
  • 公网IP:
    • 对应教育网:1.1.15.15
    • 对应ISP1:2.2.15.15、2.2.16.16、2.2.17.17
    • 对应ISP2:3.3.15.15、3.3.16.16

NAT Server可以基于安全区域配置多个公网IP地址对应同一个私网IP地址。

DNS服务器

  • 私网IP:10.1.10.30
  • 公网IP:
    • 对应教育网:1.1.101.101
    • 对应ISP1:2.2.102.102、2.2.103.103、2.2.104.104
    • 对应ISP2:3.3.102.102、3.3.103.103

-

  • 源NAT

    为保证大量内网用户能够利用有限的公网IP地址访问外网,需要在FW上部署源NAT功能,将报文的私网IP地址转换成公网IP地址。

表1-23 源NAT配置规划

项目

数据

说明

教育网

edu_nat_policy:

  • 地址池:edu_nat_address_pool
    • 地址段:1.1.30.31~1.1.30.33
    • NAT模式:PAT
  • 源地址:10.1.0.0/16
  • 源安全区域:Trust

内网用户访问教育网时,报文的源IP地址转换为教育网的公网IP地址。

ISP1 NAT策略

isp1_nat_policy1:

  • 地址池:isp1_nat_address_pool1
    • 地址段:2.2.5.1~2.2.5.3
    • NAT模式:PAT
  • 源地址:10.1.0.0/16
  • 源安全区域:Trust
  • 目的安全区域:isp1_zone1

isp1_nat_policy2:

  • 地址池:isp1_nat_address_pool2
    • 地址段:2.2.6.1~2.2.6.3
    • NAT模式:PAT
    • 源地址:10.1.0.0/16
    • 源安全区域:Trust
    • 目的安全区域:isp1_zone2

isp1_nat_policy3:

  • 地址池:isp1_nat_address_pool3
    • 地址段:2.2.7.1~2.2.7.3
    • NAT模式:PAT
    • 源地址:10.1.0.0/16
    • 源安全区域:Trust
    • 目的安全区域:isp1_zone3

内网用户访问ISP1网络时,报文的源IP地址转换为ISP1的公网IP地址。

ISP2 NAT策略

isp2_nat_policy1:

  • 地址池:isp2_nat_address_pool1
    • 地址段:3.3.1.1~3.3.1.3
    • NAT模式:PAT
  • 源地址:10.1.0.0/16
  • 源安全区域:Trust
  • 目的安全区域:isp2_zone1

isp2_nat_policy2:

  • 地址池:isp2_nat_address_pool2
    • 地址段:3.3.2.1~3.3.2.3
    • NAT模式:PAT
  • 源地址:10.1.0.0/16
  • 源安全区域:Trust
  • 目的安全区域:isp2_zone2

内网用户访问ISP2网络时,报文的源IP地址转换为ISP2的公网IP地址。

同一安全区域内的源NAT

inner_nat_policy:

  • 地址池:edu_nat_address_pool
    • 地址段:1.1.30.31~1.1.30.33
    • NAT模式:PAT
  • 源地址:10.1.0.0/16
  • 源安全区域:Trust
  • 目的安全区域:Trust

内网用户(Trust区域)通过公网地址访问内网服务器(Trust区域)时,需要进行源地址转换。

  • NAT ALG

    FW配置NAT功能后,如果需要转发多通道协议报文(例如FTP协议),则必须开启该协议对应的NAT ALG功能,保证多通道协议报文可以顺利的进行地址转换。本案例中以FTP、QQ和RTSP协议为例,开启这些协议对应的NAT ALG功能。

攻击防范

攻击防范功能可以检测出多种类型的网络攻击,包括DDoS攻击和单包攻击,保护内部网络免受恶意攻击。

表1-24 攻击防范配置规划

项目

数据

说明

防御DDoS攻击

  • DDoS攻击类型:SYN Flood
  • 接口:GE1/0/2、GE1/0/3、GE1/0/4、GE1/0/5、GE1/0/6
  • 告警速率:24000

对于SYN Flood攻击防范,建议GE接口阈值取值16000pps。本案例的接口都是GE接口,最终接口阈值取值为24000pps,此为实际试验的结果。根据实际经验,可以先配置一个较大的阈值,然后一边观察一边调小阈值,直到调整到合适的范围(既很好的限制了攻击,又不影响正常业务)。

防御单包攻击

  • Land攻击防范
  • Smurf攻击防范
  • Fraggle攻击防范
  • WinNuke攻击防范
  • 带源路由选项的IP报文攻击防范
  • 带路由记录项的IP报文攻击防范
  • 带时间戳选项的IP报文攻击防范
  • Ping of Death攻击防范

一般情况下,如果对网络安全没有特殊要求,防御单包攻击时开启本案例中提供的功能即可。

审计策略

FW支持审计功能,通过审计策略定义需要审计的上网行为并进行记录,管理员后续可以对用户的上网行为进行审查和分析。

表1-25 审计策略配置规划

项目

数据

说明

审计策略

  • 源安全区域:Trust
  • 目的安全区域:edu_zone、isp1_zone1、isp1_zone2、isp1_zone3、isp2_zone1、isp2_zone2
  • 动作:审计
  • 审计配置文件:trust_to_internet_audit
    • HTTP行为审计:
    • URL访问:记录所有URL
    • Web BBS的发帖内容:记录
    • 微博的发帖内容:记录
    • HTTP上传文件:记录
    • HTTP下载文件:记录
    • FTP为审计:
    • FTP上传文件:记录
    • FTP下载文件:记录

学校可以记录校内用户访问外网时的HTTP行为和FTP行为,供日后审计。

带宽管理

由于P2P流量非常耗费带宽资源,所以学校希望限制ISP1各链路上的P2P流量带宽,并针对单个用户的P2P流量带宽进行限制。带宽管理功能可以针对特定类型的流量进行整体限流或者限制每IP/每用户的流量。

表1-26 带宽管理配置规划

项目

数据

说明

对GE1/0/2接口链路的P2P流量进行限流

带宽通道:isp1_p2p_profile_01

  • 限流方式:设置上下行总带宽
  • 整体限流最大总带宽:100M
  • 每用户最大总带宽:500K

带宽策略:isp1_p2p_01

  • 入接口:GE1/0/7
  • 出接口:GE1/0/2
  • 应用:P2P网络视频、P2P文件共享
  • 动作:限流
  • 带宽通道:isp1_p2p_profile_01

带宽通道定义了具体的带宽资源,带宽策略决定了对网络中哪些流量进行带宽管理。带宽策略中引用带宽通道后,所有匹配带宽策略的流量将只能使用带宽通道定义的带宽资源。

对GE1/0/3接口链路的P2P流量进行限流

带宽通道:isp1_p2p_profile_02

  • 限流方式:设置上下行总带宽
  • 整体限流最大总带宽:300M
  • 每用户最大总带宽:1M

带宽策略:isp1_p2p_02

  • 入接口:GE1/0/7
  • 出接口:GE1/0/3
  • 应用:P2P网络视频、P2P文件共享
  • 动作:限流
  • 带宽通道:isp1_p2p_profile_02

-

对GE1/0/4接口链路的P2P流量进行限流

带宽通道:isp1_p2p_profile_03

  • 限流方式:设置上下行总带宽
  • 整体限流最大总带宽:700M
  • 每用户最大总带宽:2M

带宽策略:isp1_p2p_03

  • 入接口:GE1/0/7
  • 出接口:GE1/0/4
  • 应用:P2P网络视频、P2P文件共享
  • 动作:限流
  • 带宽通道:isp1_p2p_profile_03

-

日志服务器设备

日志服务器可以进行日志的收集、查询和报表呈现。FW和日志服务器进行对接使用后,可以在日志服务器上查看FW输出的会话日志,其中也包含NAT转换前后的会话日志,通过这些日志即可查看到NAT转换的地址信息;也可以在日志服务器上查看FW输出的IPS日志和攻击防范日志,通过这些日志即可查询出网络中的攻击行为和入侵行为。

表1-27 对接网管设备配置规划

项目

数据

说明

日志服务器

  • IP地址:10.1.10.30
  • 系统日志类型:IPS日志、攻击防范日志

-

SNMP功能

  • SNMP协议版本:v3
  • SNMPv3用户组:
    • 名称:inside_snmp
    • 认证加密模式:privacy(既认证又加密)
  • Trap方式告警:
    • SNMPv3用户认证密码:Test@123
    • SNMPv3用户加密密码:Test@123
    • 目的主机:

-

NAT溯源

开启以下安全策略的“记录日志会话功能”

  • user_inside
  • user_outside

NAT溯源功能即查看NAT转换前后的地址信息。开启安全策略下的会话日志记录功能后,NGFW将匹配安全策略规则的会话的日志输出到日志主机上,通过日志主机即可查看到这些日志信息,其中部分会话日志即包含了NAT转换前后的地址信息。

注意事项

注意事项

  • ISP地址集中的IP地址是否齐全直接影响智能选路、智能NDS功能的实施效果,请充分收集各ISP中的常用地址。
  • 多出口场景下,策略路由智能选路不能和IP欺骗攻击防范功能或URPF(Unicast Reverse Path Forwarding,单播逆向路径转发)功能一起使用。如果开启IP欺骗攻击防范功能或URPF功能,可能导致FW丢弃报文。
  • 智能DNS功能需要License授权,并通过动态加载功能加载相应组件包后方可使用。
  • 服务器负载均衡功能的虚拟服务器的IP地址不能和下列IP地址相同:
    • NAT Server的公网IP地址(global IP)
    • NAT地址池中的IP地址
    • 网关的IP地址
    • FW的接口IP地址
  • 服务器负载均衡功能的实服务器的IP地址不能和下列IP地址相同:
    • 虚拟服务器的IP地址
    • NAT Server的公网IP(global IP)
    • NAT Server的内网服务器IP地址(inside IP)
  • 配置服务器负载均衡功能后,在配置安全策略和路由功能时,需针对实服务器的IP地址进行配置,而不是虚拟服务器的IP地址。
  • 配置NAT地址池和NAT Server后,需要针对地址池中的地址和NAT Server的公网地址配置黑洞路由,防止产生路由环路。
  • 只有审计管理员才能配置审计功能和查看审计日志。
  • 只有支持安装硬盘且硬盘在位的设备才能在Web界面上查看和导出审计日志。
  • 在报文来回路径不一致的组网环境中,审计日志记录的内容可能不完整。

配置步骤

操作步骤

  1. 配置接口和安全区域,并为参与选路的出接口配置网关地址、带宽和过载保护阈值。

    <FW> system-view 
    [FW] interface GigabitEthernet 1/0/1 
    [FW-GigabitEthernet1/0/1] description connect_to_edu 
    [FW-GigabitEthernet1/0/1] ip address 1.1.1.1 255.255.255.252 
    [FW-GigabitEthernet1/0/1] redirect-reverse next-hop 1.1.1.2 
    [FW-GigabitEthernet1/0/1] bandwidth ingress 1000000 threshold 90 
    [FW-GigabitEthernet1/0/1] bandwidth egress 1000000 threshold 90 
    [FW-GigabitEthernet1/0/1] quit 
    [FW] interface GigabitEthernet 1/0/2 
    [FW-GigabitEthernet1/0/2] description connect_to_isp1 
    [FW-GigabitEthernet1/0/2] ip address 2.2.2.1 255.255.255.252 
    [FW-GigabitEthernet1/0/2] redirect-reverse next-hop 2.2.2.2 
    [FW-GigabitEthernet1/0/2] bandwidth ingress 200000 threshold 90 
    [FW-GigabitEthernet1/0/2] bandwidth egress 200000 threshold 90 
    [FW-GigabitEthernet1/0/2] quit 
    [FW] interface GigabitEthernet 1/0/3 
    [FW-GigabitEthernet1/0/3] description connect_to_isp1 
    [FW-GigabitEthernet1/0/3] ip address 2.2.3.1 255.255.255.252 
    [FW-GigabitEthernet1/0/3] redirect-reverse next-hop 2.2.3.2 
    [FW-GigabitEthernet1/0/3] bandwidth ingress 1000000 threshold 90 
    [FW-GigabitEthernet1/0/3] bandwidth egress 1000000 threshold 90 
    [FW-GigabitEthernet1/0/3] quit 
    [FW] interface GigabitEthernet 1/0/4 
    [FW-GigabitEthernet1/0/4] description connect_to_isp1 
    [FW-GigabitEthernet1/0/4] ip address 2.2.4.1 255.255.255.252 
    [FW-GigabitEthernet1/0/4] redirect-reverse next-hop 2.2.4.2 
    [FW-GigabitEthernet1/0/4] bandwidth ingress 2000000 threshold 90 
    [FW-GigabitEthernet1/0/4] bandwidth egress 2000000 threshold 90 
    [FW-GigabitEthernet1/0/4] quit 
    [FW] interface GigabitEthernet 1/0/5 
    [FW-GigabitEthernet1/0/5] description connect_to_isp2 
    [FW-GigabitEthernet1/0/5] ip address 3.3.3.1 255.255.255.252 
    [FW-GigabitEthernet1/0/5] redirect-reverse next-hop 3.3.3.2 
    [FW-GigabitEthernet1/0/5] bandwidth ingress 1000000 threshold 90 
    [FW-GigabitEthernet1/0/5] bandwidth egress 1000000 threshold 90 
    [FW-GigabitEthernet1/0/5] quit 
    [FW] interface GigabitEthernet 1/0/6 
    [FW-GigabitEthernet1/0/6] description connect_to_isp2 
    [FW-GigabitEthernet1/0/6] ip address 3.3.4.1 255.255.255.252 
    [FW-GigabitEthernet1/0/6] redirect-reverse next-hop 3.3.4.2 
    [FW-GigabitEthernet1/0/6] bandwidth ingress 1000000 threshold 90 
    [FW-GigabitEthernet1/0/6] bandwidth egress 1000000 threshold 90 
    [FW-GigabitEthernet1/0/6] quit 
    [FW] interface GigabitEthernet 1/0/7 
    [FW-GigabitEthernet1/0/7] description connect_to_campus 
    [FW-GigabitEthernet1/0/7] ip address 10.2.0.1 255.255.255.0 
    [FW-GigabitEthernet1/0/7] quit 
    [FW] interface GigabitEthernet 1/0/8 
    [FW-GigabitEthernet1/0/8] description connect_to_radius 
    [FW-GigabitEthernet1/0/8] ip address 10.2.1.1 255.255.255.252 
    [FW-GigabitEthernet1/0/8] quit

  2. 配置安全策略。

    1. 分别为教育网、ISP1、ISP2创建一个安全区域,并将各接口加入安全区域。
      [FW] firewall zone name edu_zone 
      [FW-zone-edu_zone] set priority 20 
      [FW-zone-edu_zone] add interface GigabitEthernet 1/0/1 
      [FW-zone-edu_zone] quit 
      [FW] firewall zone name isp1_zone1 
      [FW-zone-isp1_zone1] set priority 30 
      [FW-zone-isp1_zone1] add interface GigabitEthernet 1/0/2 
      [FW-zone-isp1_zone1] quit 
      [FW] firewall zone name isp1_zone2 
      [FW-zone-isp1_zone2] set priority 40 
      [FW-zone-isp1_zone2] add interface GigabitEthernet 1/0/3 
      [FW-zone-isp1_zone2] quit 
      [FW] firewall zone name isp1_zone3 
      [FW-zone-isp1_zone3] set priority 50 
      [FW-zone-isp1_zone3] add interface GigabitEthernet 1/0/4 
      [FW-zone-isp1_zone3] quit 
      [FW] firewall zone name isp2_zone1 
      [FW-zone-isp2_zone1] set priority 60 
      [FW-zone-isp2_zone1] add interface GigabitEthernet 1/0/5 
      [FW-zone-isp2_zone1] quit 
      [FW] firewall zone name isp2_zone2 
      [FW-zone-isp2_zone2] set priority 70 
      [FW-zone-isp2_zone2] add interface GigabitEthernet 1/0/6 
      [FW-zone-isp2_zone2] quit 
      [FW] firewall zone trust 
      [FW-zone-trust] add interface GigabitEthernet 1/0/7 
      [FW-zone-trust] quit 
      [FW] firewall zone dmz 
      [FW-zone-dmz] add interface GigabitEthernet 1/0/8 
      [FW-zone-dmz] quit
    2. 为各域间配置安全策略,控制域间互访。在安全策略中引用缺省的入侵防御配置文件,配置入侵防御功能。
      [FW] security-policy 
      [FW-policy-security] rule name user_inside 
      [FW-policy-security-rule-user_inside] source-zone trust 
      [FW-policy-security-rule-user_inside] action permit 
      [FW-policy-security-rule-user_inside] profile ips default 
      [FW-policy-security-rule-user_inside] quit 
      [FW-policy-security] rule name user_outside 
      [FW-policy-security-rule-user_outside] source-zone edu_zone isp1_zone1 isp1_zone2 isp1_zone3 isp2_zone1 isp2_zone2 
      [FW-policy-security-rule-user_outside] destination-address 10.1.10.0 24 
      [FW-policy-security-rule-user_outside] action permit 
      [FW-policy-security-rule-user_outside] profile ips default 
      [FW-policy-security-rule-user_outside] quit 
      [FW-policy-security] rule name local_to_any 
      [FW-policy-security-rule-local_to_any] source-zone local 
      [FW-policy-security-rule-local_to_any] destination-zone any 
      [FW-policy-security-rule-local_to_any] action permit 
      [FW-policy-security-rule-local_to_any] quit 
      [FW-policy-security] quit
    3. 配置入侵防御特征库的定时升级功能。
    说明:

    请确认已购买支持特征库升级服务的License,并在设备上激活。

    1. 配置升级中心。
      [FW] update server domain sec.huawei.com
    2. 设备可访问升级服务器或可通过代理服务器访问升级服务器。本例中以可直接访问升级服务器为例。
      [FW] dns resolve 
      [FW] dns server 10.1.10.30
    3. 配置定时升级功能,设置定时升级时间。
      [FW] update schedule ips-sdb enable 
      [FW] update schedule sa-sdb enable 
      [FW] update schedule ips-sdb daily 02:30 
      [FW] update schedule sa-sdb daily 02:30

  3. 配置IP-Link功能,探测各ISP链路状态是否正常。

    说明:

    IP-Link的配置命令在USG6000和USG9500上略有差异,此处使用的是USG6000进行举例说明。

    [FW] ip-link check enable 
    [FW] ip-link name edu_ip_link 
    [FW-iplink-edu_ip_link] destination 1.1.1.2 interface GigabitEthernet 1/0/1 mode icmp 
    [FW-iplink-edu_ip_link] quit 
    [FW] ip-link name isp1_ip_link 
    [FW-iplink-isp1_ip_link] destination 2.2.2.2 interface GigabitEthernet 1/0/2 mode icmp 
    [FW-iplink-isp1_ip_link] destination 2.2.3.2 interface GigabitEthernet 1/0/3 mode icmp 
    [FW-iplink-isp1_ip_link] destination 2.2.4.2 interface GigabitEthernet 1/0/4 mode icmp 
    [FW-iplink-isp1_ip_link] quit 
    [FW] ip-link name isp2_ip_link 
    [FW-iplink-isp2_ip_link] destination 3.3.3.2 interface GigabitEthernet 1/0/5 mode icmp 
    [FW-iplink-isp2_ip_link] destination 3.3.4.2 interface GigabitEthernet 1/0/6 mode icmp 
    [FW-iplink-isp2_ip_link] quit

  4. 配置路由。

    除本例必需的路由信息外,其他路由配置请管理员根据实际组网需要进行配置,本例不给出详细指导。

    # 配置静态路由,目的地址为内网网段,下一跳为内网交换机的地址,保证外网的流量能够到达内网。

    [FW] ip route-static 10.1.0.0 255.255.0.0 10.2.0.2

  5. 配置用户与认证。

    # 使用CSV文件导入用户/组。

    1. 将RADIUS服务器上存储的用户信息按照指定格式填写到CSV文件模板中,完成CSV文件的编辑。

      填写CSV文件模板前,请仔细阅读模板中的填写说明。本例中的用户信息填写示例如下图所示。

    2. 上传CSV文件到FW,可以使用SFTP方式进行传输,具体步骤略。
    3. 导入CSV文件,文件名为demo.csv
      [FW] user-manage user-import demo.csv auto-create-group override

    # 创建新用户所属的组。

    [FW] user-manage group /default/newuser 
    [FW-usergroup-/default/newuser] quit

    # 配置RADIUS单点登录参数。

    [FW] user-manage single-sign-on radius 
    [FW-sso-radius] enable 
    [FW-sso-radius] mode in-path 
    [FW-sso-radius] interface GigabitEthernet 1/0/7 
    [FW-sso-radius] traffic server-ip 10.2.1.2 port 1813 
    [FW-sso-radius] quit

    # 配置default认证域中的新用户选项。

    [FW] aaa 
    [FW-aaa] domain default 
    [FW-aaa-domain-default] new-user add-temporary group /default/newuser 
    [FW-aaa-domain-default] quit 
    [FW-aaa] quit

    # 配置在线用户超时时间为480分钟。

    [FW] user-manage online-user aging-time 480

  6. 配置DNS透明代理。

    # 配置各接口绑定DNS服务器的IP地址。

    [FW] dns-transparent-policy 
    [FW-policy-dns] dns transparent-proxy enable 
    [FW-policy-dns] dns server bind interface GigabitEthernet 1/0/1 preferred 1.1.22.22 alternate 1.1.23.23 
    [FW-policy-dns] dns server bind interface GigabitEthernet 1/0/2 preferred 2.2.22.22 alternate 2.2.23.23 
    [FW-policy-dns] dns server bind interface GigabitEthernet 1/0/3 preferred 2.2.24.24 alternate 2.2.25.25 
    [FW-policy-dns] dns server bind interface GigabitEthernet 1/0/4 preferred 2.2.26.26 alternate 2.2.27.27 
    [FW-policy-dns] dns server bind interface GigabitEthernet 1/0/5 preferred 3.3.22.22 alternate 3.3.23.23 
    [FW-policy-dns] dns server bind interface GigabitEthernet 1/0/6 preferred 3.3.24.24 alternate 3.3.25.25

    # 配置排除域名。

    [FW-policy-dns] dns transparent-proxy exclude domain www.example.com server preferred 1.1.25.25

    # 配置DNS透明代理策略。

    [FW-policy-dns] rule name dns_trans_rule 
    [FW-policy-dns-rule-dns_trans_rule] action tpdns 
    [FW-policy-dns-rule-dns_trans_rule] quit 
    [FW-policy-dns] quit

    # 为DNS请求报文配置策略路由智能选路,使报文能够负载分担到各链路上。

    [FW] policy-based-route 
    [FW-policy-pbr] rule name pbr_dns_trans 
    [FW-policy-pbr-rule-pbr_dns_trans] source-zone trust 
    [FW-policy-pbr-rule-pbr_dns_trans] service dns dns-tcp 
    [FW-policy-pbr-rule-pbr_dns_trans] action pbr egress-interface multi-interface 
    [FW-policy-pbr-rule-pbr_dns_trans-multi-inter] mode proportion-of-bandwidth 
    [FW-policy-pbr-rule-pbr_dns_trans-multi-inter] add interface GigabitEthernet 1/0/1 
    [FW-policy-pbr-rule-pbr_dns_trans-multi-inter] add interface GigabitEthernet 1/0/2 
    [FW-policy-pbr-rule-pbr_dns_trans-multi-inter] add interface GigabitEthernet 1/0/3 
    [FW-policy-pbr-rule-pbr_dns_trans-multi-inter] add interface GigabitEthernet 1/0/4 
    [FW-policy-pbr-rule-pbr_dns_trans-multi-inter] add interface GigabitEthernet 1/0/5 
    [FW-policy-pbr-rule-pbr_dns_trans-multi-inter] add interface GigabitEthernet 1/0/6 
    [FW-policy-pbr-rule-pbr_dns_trans-multi-inter] quit 
    [FW-policy-pbr-rule-pbr_dns_trans] quit 
    [FW-policy-pbr] quit

  7. 配置智能选路。

    # 配置ISP地址集。

    1. 上传ISP地址文件到FW,可以使用SFTP方式进行传输,具体步骤略。
    2. 为教育网、ISP1和ISP2分别创建运营商名称,并关联对应的ISP地址文件。
      [FW] isp name edu_address 
      [FW] isp name edu_address set filename edu_address.csv 
      [FW] isp name isp1_address 
      [FW] isp name isp1_address set filename isp1_address.csv 
      [FW] isp name isp2_address 
      [FW] isp name isp2_address set filename isp2_address.csv 
      [FW] isp name other_edu_server_address 
      [FW] isp name other_edu_server_address set filename other_edu_server_address.csv

    # 新建对应远程教学系统软件的应用,并在策略路由中引用,使远程教学系统软件的流量从教育网和ISP2链路转发。

    说明:

    请确保FW上存在相应的路由配置,使远程教学流量在没有策略路由时仍然可以正常传输。

    [FW] sa 
    [FW-sa] user-defined-application name UD_dis_edu_sys_app 
    [FW-sa-user-defined-app-UD_dis_edu_sys_app] category Business_Systems 
    [FW-sa-user-defined-app-UD_dis_edu_sys_app] data-model client-server 
    [FW-sa-user-defined-app-UD_dis_edu_sys_app] label Encrypted-Communications Business-Applications 
    [FW-sa-user-defined-app-UD_dis_edu_sys_app] rule name 1 
    [FW-sa-user-defined-app-UD_dis_edu_sys_app-rule-1] ip-address 2.2.50.50 32 
    [FW-sa-user-defined-app-UD_dis_edu_sys_app-rule-1] port 5000 
    [FW-sa-user-defined-app-UD_dis_edu_sys_app-rule-1] quit 
    [FW-sa-user-defined-app-UD_dis_edu_sys_app] quit 
    [FW-sa] quit 
    [FW] policy-based-route 
    [FW-policy-pbr] rule name dis_edu_sys 
    [FW-policy-pbr-rule-dis_edu_sys] source-zone trust 
    [FW-policy-pbr-rule-dis_edu_sys] application app UD_dis_edu_sys_app 
    [FW-policy-pbr-rule-dis_edu_sys] action pbr egress-interface multi-interface 
    [FW-policy-pbr-rule-dis_edu_sys-multi-inter] mode proportion-of-bandwidth 
    [FW-policy-pbr-rule-dis_edu_sys-multi-inter] add interface GigabitEthernet 1/0/1 
    [FW-policy-pbr-rule-dis_edu_sys-multi-inter] add interface GigabitEthernet 1/0/5 
    [FW-policy-pbr-rule-dis_edu_sys-multi-inter] add interface GigabitEthernet 1/0/6 
    [FW-policy-pbr-rule-dis_edu_sys-multi-inter] quit 
    [FW-policy-pbr-rule-dis_edu_sys] quit

    # 配置策略路由智能选路,使P2P流量从ISP1链路转发。

    说明:

    请确保FW上存在相应的路由配置,使P2P流量在没有策略路由时仍然可以正常传输。

    [FW-policy-pbr] rule name p2p_traffic 
    [FW-policy-pbr-rule-p2p_traffic] source-zone trust 
    [FW-policy-pbr-rule-p2p_traffic] application category Entertainment sub-category PeerCasting 
    [FW-policy-pbr-rule-p2p_traffic] application category General_Internet sub-category FileShare_P2P 
    [FW-policy-pbr-rule-p2p_traffic] action pbr egress-interface multi-interface 
    [FW-policy-pbr-rule-p2p_traffic-multi-inter] mode proportion-of-bandwidth 
    [FW-policy-pbr-rule-p2p_traffic-multi-inter] add interface GigabitEthernet 1/0/2 
    [FW-policy-pbr-rule-p2p_traffic-multi-inter] add interface GigabitEthernet 1/0/3 
    [FW-policy-pbr-rule-p2p_traffic-multi-inter] add interface GigabitEthernet 1/0/4 
    [FW-policy-pbr-rule-p2p_traffic-multi-inter] quit 
    [FW-policy-pbr-rule-p2p_traffic] quit

    # 配置单出口策略路由。

    1. 访问其他高校服务器的流量从教育网链路转发。
      [FW-policy-pbr] rule name other_edu_server 
      [FW-policy-pbr-rule-other_edu_server] source-zone trust 
      [FW-policy-pbr-rule-other_edu_server] source-address 10.1.0.0 16 
      [FW-policy-pbr-rule-other_edu_server] destination-address isp other_edu_server_address 
      [FW-policy-pbr-rule-other_edu_server] action pbr egress-interface GigabitEthernet 1/0/1 next-hop 1.1.1.2 
      [FW-policy-pbr-rule-other_edu_server] quit
    2. 20元包月用户和图书馆上网用户的流量从教育网转发。
      [FW-policy-pbr] rule name other_edu_server 
      [FW-policy-pbr-rule-other_edu_server] source-zone trust 
      [FW-policy-pbr-rule-other_edu_server] user user-group /default/lib 
      [FW-policy-pbr-rule-other_edu_server] user user-group /default/20user 
      [FW-policy-pbr-rule-other_edu_server] action pbr egress-interface GigabitEthernet 1/0/1 next-hop 1.1.1.2 
      [FW-policy-pbr-rule-other_edu_server] quit

    # 为教师和50元包月用户配置基于目的地址的策略路由智能选路。

    1. 流量的目的地址属于教育网地址集时,优先使用教育网链路转发。
      [FW-policy-pbr] rule name pbr_edu_teacher_50user 
      [FW-policy-pbr-rule-pbr_edu_teacher_50user] source-zone trust 
      [FW-policy-pbr-rule-pbr_edu_teacher_50user] destination-address isp edu_address 
      [FW-policy-pbr-rule-pbr_edu_teacher_50user] user user-group /default/teacher 
      [FW-policy-pbr-rule-pbr_edu_teacher_50user] user user-group /default/50user 
      [FW-policy-pbr-rule-pbr_edu_teacher_50user] action pbr egress-interface multi-interface 
      [FW-policy-pbr-rule-pbr_edu_teacher_50user-multi-inter] mode priority-of-userdefine 
      [FW-policy-pbr-rule-pbr_edu_teacher_50user-multi-inter] add interface GigabitEthernet 1/0/1 priority 8 
      [FW-policy-pbr-rule-pbr_edu_teacher_50user-multi-inter] add interface GigabitEthernet 1/0/2 priority 5 
      [FW-policy-pbr-rule-pbr_edu_teacher_50user-multi-inter] add interface GigabitEthernet 1/0/3 priority 5 
      [FW-policy-pbr-rule-pbr_edu_teacher_50user-multi-inter] add interface GigabitEthernet 1/0/4 priority 5 
      [FW-policy-pbr-rule-pbr_edu_teacher_50user-multi-inter] add interface GigabitEthernet 1/0/5 priority 1 
      [FW-policy-pbr-rule-pbr_edu_teacher_50user-multi-inter] add interface GigabitEthernet 1/0/6 priority 1 
      [FW-policy-pbr-rule-pbr_edu_teacher_50user-multi-inter] quit 
      [FW-policy-pbr-rule-pbr_edu_teacher_50user] quit
    2. 流量的目的地址属于ISP1地址集时,优先使用ISP1链路转发。
      [FW-policy-pbr] rule name pbr_isp1_teacher_50user 
      [FW-policy-pbr-rule-pbr_isp1_teacher_50user] source-zone trust 
      [FW-policy-pbr-rule-pbr_isp1_teacher_50user] destination-address isp isp1_address 
      [FW-policy-pbr-rule-pbr_isp1_teacher_50user] user user-group /default/teacher 
      [FW-policy-pbr-rule-pbr_isp1_teacher_50user] user user-group /default/50user 
      [FW-policy-pbr-rule-pbr_isp1_teacher_50user] action pbr egress-interface multi-interface 
      [FW-policy-pbr-rule-pbr_isp1_teacher_50user-multi-inter] mode priority-of-userdefine 
      [FW-policy-pbr-rule-pbr_isp1_teacher_50user-multi-inter] add interface GigabitEthernet 1/0/1 priority 5 
      [FW-policy-pbr-rule-pbr_isp1_teacher_50user-multi-inter] add interface GigabitEthernet 1/0/2 priority 8 
      [FW-policy-pbr-rule-pbr_isp1_teacher_50user-multi-inter] add interface GigabitEthernet 1/0/3 priority 8 
      [FW-policy-pbr-rule-pbr_isp1_teacher_50user-multi-inter] add interface GigabitEthernet 1/0/4 priority 8 
      [FW-policy-pbr-rule-pbr_isp1_teacher_50user-multi-inter] add interface GigabitEthernet 1/0/5 priority 1 
      [FW-policy-pbr-rule-pbr_isp1_teacher_50user-multi-inter] add interface GigabitEthernet 1/0/6 priority 1 
      [FW-policy-pbr-rule-pbr_isp1_teacher_50user-multi-inter] quit 
      [FW-policy-pbr-rule-pbr_isp1_teacher_50user] quit
    3. 流量的目的地址属于ISP2地址集时,优先使用ISP2链路转发。
      [FW-policy-pbr] rule name pbr_isp2_teacher_50user 
      [FW-policy-pbr-rule-pbr_isp2_teacher_50user] source-zone trust 
      [FW-policy-pbr-rule-pbr_isp2_teacher_50user] destination-address isp isp2_address 
      [FW-policy-pbr-rule-pbr_isp2_teacher_50user] user user-group /default/teacher 
      [FW-policy-pbr-rule-pbr_isp2_teacher_50user] user user-group /default/50user 
      [FW-policy-pbr-rule-pbr_isp2_teacher_50user] action pbr egress-interface multi-interface 
      [FW-policy-pbr-rule-pbr_isp2_teacher_50user-multi-inter] mode priority-of-userdefine 
      [FW-policy-pbr-rule-pbr_isp2_teacher_50user-multi-inter] add interface GigabitEthernet 1/0/1 priority 5 
      [FW-policy-pbr-rule-pbr_isp2_teacher_50user-multi-inter] add interface GigabitEthernet 1/0/2 priority 1 
      [FW-policy-pbr-rule-pbr_isp2_teacher_50user-multi-inter] add interface GigabitEthernet 1/0/3 priority 1 
      [FW-policy-pbr-rule-pbr_isp2_teacher_50user-multi-inter] add interface GigabitEthernet 1/0/4 priority 1 
      [FW-policy-pbr-rule-pbr_isp2_teacher_50user-multi-inter] add interface GigabitEthernet 1/0/5 priority 8 
      [FW-policy-pbr-rule-pbr_isp2_teacher_50user-multi-inter] add interface GigabitEthernet 1/0/6 priority 8 
      [FW-policy-pbr-rule-pbr_isp2_teacher_50user-multi-inter] quit 
      [FW-policy-pbr-rule-pbr_isp2_teacher_50user] quit

    # 公共区域上网用户的流量优先从教育网转发。

    [FW-policy-pbr] rule name pbr_public_user 
    [FW-policy-pbr-rule-pbr_public_user] source-zone trust 
    [FW-policy-pbr-rule-pbr_public_user] user user-group /default/public_user 
    [FW-policy-pbr-rule-pbr_public_user] action pbr egress-interface multi-interface 
    [FW-policy-pbr-rule-pbr_public_user-multi-inter] mode priority-of-userdefine 
    [FW-policy-pbr-rule-pbr_public_user-multi-inter] add interface GigabitEthernet 1/0/1 priority 8 
    [FW-policy-pbr-rule-pbr_public_user-multi-inter] add interface GigabitEthernet 1/0/2 priority 5 
    [FW-policy-pbr-rule-pbr_public_user-multi-inter] add interface GigabitEthernet 1/0/3 priority 5 
    [FW-policy-pbr-rule-pbr_public_user-multi-inter] add interface GigabitEthernet 1/0/4 priority 5 
    [FW-policy-pbr-rule-pbr_public_user-multi-inter] add interface GigabitEthernet 1/0/5 priority 1 
    [FW-policy-pbr-rule-pbr_public_user-multi-inter] add interface GigabitEthernet 1/0/6 priority 1 
    [FW-policy-pbr-rule-pbr_public_user-multi-inter] quit 
    [FW-policy-pbr-rule-pbr_public_user] quit

    # 没有匹配到任何策略路由的流量,通过策略路由pbr_rest选择链路质量最好的链路来转发。

    [FW-policy-pbr] rule name pbr_rest 
    [FW-policy-pbr-rule-pbr_rest] source-zone trust 
    [FW-policy-pbr-rule-pbr_rest] source-address 10.1.0.0 16 
    [FW-policy-pbr-rule-pbr_rest] action pbr egress-interface multi-interface 
    [FW-policy-pbr-rule-pbr_rest-multi-inter] mode priority-of-link-quality 
    [FW-policy-pbr-rule-pbr_rest-multi-inter] add interface GigabitEthernet 1/0/1 
    [FW-policy-pbr-rule-pbr_rest-multi-inter] add interface GigabitEthernet 1/0/2 
    [FW-policy-pbr-rule-pbr_rest-multi-inter] add interface GigabitEthernet 1/0/3 
    [FW-policy-pbr-rule-pbr_rest-multi-inter] add interface GigabitEthernet 1/0/4 
    [FW-policy-pbr-rule-pbr_rest-multi-inter] add interface GigabitEthernet 1/0/5 
    [FW-policy-pbr-rule-pbr_rest-multi-inter] add interface GigabitEthernet 1/0/6 
    [FW-policy-pbr-rule-pbr_rest-multi-inter] priority-of-link-quality protocol tcp-simple 
    [FW-policy-pbr-rule-pbr_rest-multi-inter] priority-of-link-quality parameter delay jitter loss 
    [FW-policy-pbr-rule-pbr_rest-multi-inter] priority-of-link-quality interval 3 times 5 
    [FW-policy-pbr-rule-pbr_rest-multi-inter] quit 
    [FW-policy-pbr-rule-pbr_rest] quit 
    [FW-policy-pbr] quit

  8. 配置服务器负载均衡。

    # 开启服务器负载均衡功能。

    [FW] slb enable

    # 配置负载均衡算法。

    [FW] slb 
    [FW-slb] group 1 grp1 
    [FW-slb-group-1] metric roundrobin

    # 向实服务器组中添加实服务器。

    [FW-slb-group-1] rserver 1 rip 10.1.10.10 
    [FW-slb-group-1] rserver 2 rip 10.1.10.11 
    [FW-slb-group-1] quit

    # 配置虚拟服务器的IP地址。

    [FW] vserver 1 vs1 
    [FW-slb-vserver-1] vip 1 1.1.111.111 
    [FW-slb-vserver-1] vip 2 2.2.112.112 
    [FW-slb-vserver-1] vip 3 3.3.113.113

    # 关联虚拟服务器和实服务器组。

    [FW-slb-vserver-1] group grp1 
    [FW-slb-vserver-1] quit 
    [FW-slb] quit

  9. 配置智能DNS。

    # 启用智能DNS功能。

    [FW] dns-smart enable

    # 创建智能DNS组,并在组中配置智能DNS映射。

    [FW] dns-smart group 1 type single 
    [FW-dns-smart-group-1] real-server-ip 1.1.15.15 
    [FW-dns-smart-group-1] out-interface GigabitEthernet 1/0/2 map 2.2.15.15 
    [FW-dns-smart-group-1] out-interface GigabitEthernet 1/0/3 map 2.2.16.16 
    [FW-dns-smart-group-1] out-interface GigabitEthernet 1/0/4 map 2.2.17.17 
    [FW-dns-smart-group-1] out-interface GigabitEthernet 1/0/5 map 3.3.15.15 
    [FW-dns-smart-group-1] out-interface GigabitEthernet 1/0/6 map 3.3.16.16 
    [FW-dns-smart-group-1] quit 
    [FW] dns-smart group 2 type single 
    [FW-dns-smart-group-2] real-server-ip 1.1.101.101 
    [FW-dns-smart-group-2] out-interface GigabitEthernet 1/0/2 map 2.2.102.102 
    [FW-dns-smart-group-2] out-interface GigabitEthernet 1/0/3 map 2.2.103.103 
    [FW-dns-smart-group-2] out-interface GigabitEthernet 1/0/4 map 2.2.104.104 
    [FW-dns-smart-group-2] out-interface GigabitEthernet 1/0/5 map 3.3.102.102 
    [FW-dns-smart-group-2] out-interface GigabitEthernet 1/0/6 map 3.3.103.103 
    [FW-dns-smart-group-2] quit

  10. 配置基于安全区域的NAT Server,使不同ISP的用户通过对应的公网IP访问内网服务器。

    # 为Portal服务器配置NAT Server。

    [FW] nat server portal_server01 zone edu_zone global 1.1.15.15 inside 10.1.10.20 
    [FW] nat server portal_server02 zone isp1_zone1 global 2.2.15.15 inside 10.1.10.20 no-reverse 
    [FW] nat server portal_server03 zone isp1_zone2 global 2.2.16.16 inside 10.1.10.20 no-reverse 
    [FW] nat server portal_server04 zone isp1_zone3 global 2.2.17.17 inside 10.1.10.20 no-reverse 
    [FW] nat server portal_server05 zone isp2_zone1 global 3.3.15.15 inside 10.1.10.20 no-reverse 
    [FW] nat server portal_server06 zone isp2_zone2 global 3.3.16.16 inside 10.1.10.20 no-reverse

    # 为DNS服务器配置NAT Server。

    [FW] nat server portal_server01 zone edu_zone global 1.1.101.101 inside 10.1.10.30 
    [FW] nat server portal_server02 zone isp1_zone1 global 2.2.102.102 inside 10.1.10.30 no-reverse 
    [FW] nat server portal_server03 zone isp1_zone2 global 2.2.103.103 inside 10.1.10.30 no-reverse 
    [FW] nat server portal_server04 zone isp1_zone3 global 2.2.104.104 inside 10.1.10.30 no-reverse 
    [FW] nat server portal_server05 zone isp2_zone1 global 3.3.102.102 inside 10.1.10.30 no-reverse 
    [FW] nat server portal_server06 zone isp2_zone2 global 3.3.103.103 inside 10.1.10.30 no-reverse

    # 为NAT Server的公网地址配置黑洞路由,防止产生路由环路。

    [FW] ip route-static 1.1.15.15 32 NULL 0 
    [FW] ip route-static 2.2.15.15 32 NULL 0 
    [FW] ip route-static 2.2.16.16 32 NULL 0 
    [FW] ip route-static 2.2.17.17 32 NULL 0 
    [FW] ip route-static 3.3.15.15 32 NULL 0 
    [FW] ip route-static 3.3.16.16 32 NULL 0 
    [FW] ip route-static 1.1.101.101 32 NULL 0 
    [FW] ip route-static 2.2.102.102 32 NULL 0 
    [FW] ip route-static 2.2.103.103 32 NULL 0 
    [FW] ip route-static 2.2.104.104 32 NULL 0 
    [FW] ip route-static 3.3.102.102 32 NULL 0 
    [FW] ip route-static 3.3.103.103 32 NULL 0

  11. 配置源NAT。

    # 为访问教育网的流量配置源NAT,地址池中为教育网的公网地址。

    [FW] nat address-group edu_nat_address_pool 
    [FW-address-group-edu_nat_address_pool] mode pat 
    [FW-address-group-edu_nat_address_pool] section 0 1.1.30.31 1.1.30.33 
    [FW-address-group-edu_nat_address_pool] quit 
    [FW] nat-policy 
    [FW-policy-nat] rule name edu_nat_policy 
    [FW-policy-nat-rule-edu_nat_policy] source-zone trust 
    [FW-policy-nat-rule-edu_nat_policy] source-address 10.1.0.0 16 
    [FW-policy-nat-rule-edu_nat_policy] action source-nat address-group edu_nat_address_pool 
    [FW-policy-nat-rule-edu_nat_policy] quit 
    [FW-policy-nat] quit

    # 配置域内源NAT,使内网用户可以通过公网地址访问内网服务器。

    [FW] nat-policy 
    [FW-policy-nat] rule name inner_nat_policy 
    [FW-policy-nat-rule-inner_nat_policy] source-zone trust 
    [FW-policy-nat-rule-inner_nat_policy] destination-zone trust 
    [FW-policy-nat-rule-inner_nat_policy] source-address 10.1.0.0 16 
    [FW-policy-nat-rule-inner_nat_policy] action source-nat address-group edu_nat_address_pool 
    [FW-policy-nat-rule-inner_nat_policy] quit 
    [FW-policy-nat] quit

    # 为访问ISP1的流量配置源NAT,地址池中为ISP1的公网地址。

    [FW] nat address-group isp1_nat_address_pool1 
    [FW-address-group-isp1_nat_address_pool1] mode pat 
    [FW-address-group-isp1_nat_address_pool1] section 0 2.2.5.1 2.2.5.3 
    [FW-address-group-isp1_nat_address_pool1] quit 
    [FW] nat-policy 
    [FW-policy-nat] rule name isp1_nat_policy1 
    [FW-policy-nat-rule-isp1_nat_policy1] source-zone trust 
    [FW-policy-nat-rule-isp1_nat_policy1] destination-zone isp1_zone1 
    [FW-policy-nat-rule-isp1_nat_policy1] source-address 10.1.0.0 16 
    [FW-policy-nat-rule-isp1_nat_policy1] action source-nat address-group isp1_nat_address_pool1 
    [FW-policy-nat-rule-isp1_nat_policy1] quit 
    [FW-policy-nat] quit 
    [FW] nat address-group isp1_nat_address_pool2 
    [FW-address-group-isp1_nat_address_pool2] mode pat 
    [FW-address-group-isp1_nat_address_pool2] section 0 2.2.6.1 2.2.6.3 
    [FW-address-group-isp1_nat_address_pool2] quit 
    [FW] nat-policy 
    [FW-policy-nat] rule name isp1_nat_policy2 
    [FW-policy-nat-rule-isp1_nat_policy2] source-zone trust 
    [FW-policy-nat-rule-isp1_nat_policy2] destination-zone isp1_zone2 
    [FW-policy-nat-rule-isp1_nat_policy2] source-address 10.1.0.0 16 
    [FW-policy-nat-rule-isp1_nat_policy2] action source-nat address-group isp1_nat_address_pool2 
    [FW-policy-nat-rule-isp1_nat_policy2] quit 
    [FW-policy-nat] quit 
    [FW] nat address-group isp1_nat_address_pool3 
    [FW-address-group-isp1_nat_address_pool3] mode pat 
    [FW-address-group-isp1_nat_address_pool3] section 0 2.2.7.1 2.2.7.3 
    [FW-address-group-isp1_nat_address_pool3] quit 
    [FW] nat-policy 
    [FW-policy-nat] rule name isp1_nat_policy3 
    [FW-policy-nat-rule-isp1_nat_policy3] source-zone trust 
    [FW-policy-nat-rule-isp1_nat_policy3] destination-zone isp1_zone3 
    [FW-policy-nat-rule-isp1_nat_policy3] source-address 10.1.0.0 16 
    [FW-policy-nat-rule-isp1_nat_policy3] action source-nat address-group isp1_nat_address_pool3 
    [FW-policy-nat-rule-isp1_nat_policy3] quit 
    [FW-policy-nat] quit

    # 为访问ISP2的流量配置源NAT,地址池中为ISP2的公网地址。

    [FW] nat address-group isp2_nat_address_pool1 
    [FW-address-group-isp2_nat_address_pool1] mode pat 
    [FW-address-group-isp2_nat_address_pool1] section 0 3.3.1.1 3.3.1.3 
    [FW-address-group-isp2_nat_address_pool1] quit 
    [FW] nat-policy 
    [FW-policy-nat] rule name isp2_nat_policy1 
    [FW-policy-nat-rule-isp2_nat_policy1] source-zone trust 
    [FW-policy-nat-rule-isp2_nat_policy1] destination-zone isp2_zone1 
    [FW-policy-nat-rule-isp2_nat_policy1] source-address 10.1.0.0 16 
    [FW-policy-nat-rule-isp2_nat_policy1] action source-nat address-group isp2_nat_address_pool1 
    [FW-policy-nat-rule-isp2_nat_policy1] quit 
    [FW-policy-nat] quit 
    [FW] nat address-group isp2_nat_address_pool2 
    [FW-address-group-isp2_nat_address_pool2] mode pat 
    [FW-address-group-isp2_nat_address_pool2] section 0 3.3.2.1 3.3.2.3 
    [FW-address-group-isp2_nat_address_pool2] quit 
    [FW] nat-policy 
    [FW-policy-nat] rule name isp2_nat_policy2 
    [FW-policy-nat-rule-isp2_nat_policy2] source-zone trust 
    [FW-policy-nat-rule-isp2_nat_policy2] destination-zone isp2_zone2 
    [FW-policy-nat-rule-isp2_nat_policy2] source-address 10.1.0.0 16 
    [FW-policy-nat-rule-isp2_nat_policy2] action source-nat address-group isp2_nat_address_pool2 
    [FW-policy-nat-rule-isp2_nat_policy2] quit 
    [FW-policy-nat] quit

    # 为NAT地址池中的公网地址配置黑洞路由,防止产生路由环路。

    [FW] ip route-static 1.1.30.31 32 NULL 0 
    [FW] ip route-static 1.1.30.32 32 NULL 0 
    [FW] ip route-static 1.1.30.33 32 NULL 0 
    [FW] ip route-static 2.2.5.1 32 NULL 0 
    [FW] ip route-static 2.2.5.2 32 NULL 0 
    [FW] ip route-static 2.2.5.3 32 NULL 0 
    [FW] ip route-static 2.2.6.1 32 NULL 0 
    [FW] ip route-static 2.2.6.2 32 NULL 0 
    [FW] ip route-static 2.2.6.3 32 NULL 0 
    [FW] ip route-static 2.2.7.1 32 NULL 0 
    [FW] ip route-static 2.2.7.2 32 NULL 0 
    [FW] ip route-static 2.2.7.3 32 NULL 0 
    [FW] ip route-static 3.3.1.1 32 NULL 0 
    [FW] ip route-static 3.3.1.2 32 NULL 0 
    [FW] ip route-static 3.3.1.3 32 NULL 0 
    [FW] ip route-static 3.3.2.1 32 NULL 0 
    [FW] ip route-static 3.3.2.2 32 NULL 0 
    [FW] ip route-static 3.3.2.3 32 NULL 0

  12. 配置Trust和其他安全域间的NAT ALG功能,下面以FTP、QQ和RTSP协议为例。配置NAT ALG功能的同时,也开启了ASPF功能。

    [FW] firewall interzone trust edu_zone 
    [FW-interzone-trust-edu_zone] detect ftp 
    [FW-interzone-trust-edu_zone] detect qq 
    [FW-interzone-trust-edu_zone] detect rtsp 
    [FW-interzone-trust-edu_zone] quit 
    [FW] firewall interzone trust isp1_zone1 
    [FW-interzone-trust-isp1_zone1] detect ftp 
    [FW-interzone-trust-isp1_zone1] detect qq 
    [FW-interzone-trust-isp1_zone1] detect rtsp 
    [FW-interzone-trust-isp1_zone1] quit 
    [FW] firewall interzone trust isp1_zone2 
    [FW-interzone-trust-isp1_zone2] detect ftp 
    [FW-interzone-trust-isp1_zone2] detect qq 
    [FW-interzone-trust-isp1_zone2] detect rtsp 
    [FW-interzone-trust-isp1_zone2] quit 
    [FW] firewall interzone trust isp1_zone3 
    [FW-interzone-trust-isp1_zone3] detect ftp 
    [FW-interzone-trust-isp1_zone3] detect qq 
    [FW-interzone-trust-isp1_zone3] detect rtsp 
    [FW-interzone-trust-isp1_zone3] quit 
    [FW] firewall interzone trust isp2_zone1 
    [FW-interzone-trust-isp2_zone1] detect ftp 
    [FW-interzone-trust-isp2_zone1] detect qq 
    [FW-interzone-trust-isp2_zone1] detect rtsp 
    [FW-interzone-trust-isp2_zone1] quit 
    [FW] firewall interzone trust isp2_zone2 
    [FW-interzone-trust-isp2_zone2] detect ftp 
    [FW-interzone-trust-isp2_zone2] detect qq 
    [FW-interzone-trust-isp2_zone2] detect rtsp 
    [FW-interzone-trust-isp2_zone2] quit

  13. 配置攻击防范功能。

    [FW] firewall defend land enable 
    [FW] firewall defend smurf enable 
    [FW] firewall defend fraggle enable 
    [FW] firewall defend ip-fragment enable 
    [FW] firewall defend tcp-flag enable 
    [FW] firewall defend winnuke enable 
    [FW] firewall defend source-route enable 
    [FW] firewall defend teardrop enable 
    [FW] firewall defend route-record enable 
    [FW] firewall defend time-stamp enable 
    [FW] firewall defend ping-of-death enable

  14. 配置审计配置文件,并在审计策略中引用。

    [FW] profile type audit name trust_to_internet_audit 
    [FW-profile-audit-trust_to_internet_audit] http-audit url all 
    [FW-profile-audit-trust_to_internet_audit] http-audit bbs-content 
    [FW-profile-audit-trust_to_internet_audit] http-audit micro-blog 
    [FW-profile-audit-trust_to_internet_audit] http-audit file direction both 
    [FW-profile-audit-trust_to_internet_audit] ftp-audit file direction both 
    [FW-profile-audit-trust_to_internet_audit] quit 
    [FW] audit-policy 
    [FW-policy-audit] rule name trust_to_internet_audit_policy 
    [FW-policy-audit-rule-trust_to_internet_audit_policy] source-zone trust 
    [FW-policy-audit-rule-trust_to_internet_audit_policy] destination-zone edu_zone isp1_zone1 isp1_zone2 isp1_zone3 isp2_zone1 isp2_zone2 
    [FW-policy-audit-rule-trust_to_internet_audit_policy] action audit profile trust_to_internet_audit 
    [FW-policy-audit-rule-trust_to_internet_audit_policy] quit 
    [FW-policy-audit] quit

  15. 配置带宽管理。

    # 对GE1/0/2接口链路的P2P流量进行限流。

    [FW] traffic-policy 
    [FW-policy-traffic] profile isp1_p2p_profile_01 
    [FW-policy-traffic-profile-isp1_p2p_profile_01] bandwidth maximum-bandwidth whole both 100000 
    [FW-policy-traffic-profile-isp1_p2p_profile_01] bandwidth maximum-bandwidth per-user both 500 
    [FW-policy-traffic-profile-isp1_p2p_profile_01] quit 
    [FW-policy-traffic] rule name isp1_p2p_01 
    [FW-policy-traffic-rule-isp1_p2p_01] ingress-interface GigabitEthernet 1/0/7 
    [FW-policy-traffic-rule-isp1_p2p_01] egress-interface GigabitEthernet 1/0/2 
    [FW-policy-traffic-rule-isp1_p2p_01] application category Entertainment sub-category PeerCasting 
    [FW-policy-traffic-rule-isp1_p2p_01] application category General_Internet sub-category FileShare_P2P 
    [FW-policy-traffic-rule-isp1_p2p_01] action qos profile isp1_p2p_profile_01 
    [FW-policy-traffic-rule-isp1_p2p_01] quit

    # 对GE1/0/3接口链路的P2P流量进行限流。

    [FW-policy-traffic] profile isp1_p2p_profile_02 
    [FW-policy-traffic-profile-isp1_p2p_profile_02] bandwidth maximum-bandwidth whole both 300000 
    [FW-policy-traffic-profile-isp1_p2p_profile_02] bandwidth maximum-bandwidth per-user both 1000 
    [FW-policy-traffic-profile-isp1_p2p_profile_02] quit 
    [FW-policy-traffic] rule name isp1_p2p_02 
    [FW-policy-traffic-rule-isp1_p2p_02] ingress-interface GigabitEthernet 1/0/7 
    [FW-policy-traffic-rule-isp1_p2p_02] egress-interface GigabitEthernet 1/0/3 
    [FW-policy-traffic-rule-isp1_p2p_02] application category Entertainment sub-category PeerCasting 
    [FW-policy-traffic-rule-isp1_p2p_02] application category General_Internet sub-category FileShare_P2P 
    [FW-policy-traffic-rule-isp1_p2p_02] action qos profile isp1_p2p_profile_02 
    [FW-policy-traffic-rule-isp1_p2p_02] quit

    # 对GE1/0/4接口链路的P2P流量进行限流。

    [FW-policy-traffic] profile isp1_p2p_profile_03 
    [FW-policy-traffic-profile-isp1_p2p_profile_03] bandwidth maximum-bandwidth whole both 700000 
    [FW-policy-traffic-profile-isp1_p2p_profile_03] bandwidth maximum-bandwidth per-user both 2000 
    [FW-policy-traffic-profile-isp1_p2p_profile_03] quit 
    [FW-policy-traffic] rule name isp1_p2p_03 
    [FW-policy-traffic-rule-isp1_p2p_03] ingress-interface GigabitEthernet 1/0/7 
    [FW-policy-traffic-rule-isp1_p2p_03] egress-interface GigabitEthernet 1/0/4 
    [FW-policy-traffic-rule-isp1_p2p_03] application category Entertainment sub-category PeerCasting 
    [FW-policy-traffic-rule-isp1_p2p_03] application category General_Internet sub-category FileShare_P2P 
    [FW-policy-traffic-rule-isp1_p2p_03] action qos profile isp1_p2p_profile_03 
    [FW-policy-traffic-rule-isp1_p2p_03] quit 
    [FW-policy-traffic] quit

  16. 配置系统日志和NAT溯源功能,在网管系统eSight上查看日志。

    # 配置向日志主机(10.1.10.30)发送系统日志(本案例发送IPS日志和攻击防范日志)。

    [FW] info-center enable 
    [FW] engine log ips enable 
    [FW] info-center source IPS channel loghost log level emergencies 
    [FW] info-center source ANTIATTACK channel loghost 
    [FW] info-center loghost 10.1.10.30

    # 配置会话日志功能。

    [FW] security-policy 
    [FW-policy-security] rule name trust_edu_zone 
    [FW-policy-security-rule-trust_edu_zone] source-zone trust 
    [FW-policy-security-rule-trust_edu_zone] destination-zone edu_zone 
    [FW-policy-security-rule-trust_edu_zone] action permit 
    [FW-policy-security-rule-trust_edu_zone] session logging 
    [FW-policy-security-rule-trust_edu_zone] quit 
    [FW-policy-security] rule name trust_isp1_zone 
    [FW-policy-security-rule-trust_isp1_zone] source-zone trust 
    [FW-policy-security-rule-trust_isp1_zone] destination-zone isp1_zone1 isp1_zone2 isp1_zone3 
    [FW-policy-security-rule-trust_isp1_zone] action permit 
    [FW-policy-security-rule-trust_isp1_zone] session logging 
    [FW-policy-security-rule-trust_isp1_zone] quit 
    [FW-policy-security] rule name trust_isp2_zone 
    [FW-policy-security-rule-trust_isp2_zone] source-zone trust 
    [FW-policy-security-rule-trust_isp2_zone] destination-zone isp2_zone1 isp2_zone2 
    [FW-policy-security-rule-trust_isp2_zone] action permit 
    [FW-policy-security-rule-trust_isp2_zone] session logging 
    [FW-policy-security-rule-trust_isp2_zone] quit 
    [FW-policy-security] quit

  17. 配置SNMP功能,eSight上的SNMP参数需要与FW上保持一致。

    [FW] snmp-agent sys-info version v3 
    [FW] snmp-agent group v3 inside_snmp privacy 
    [FW] snmp-agent usm-user v3 snmp_user group inside_snmp 
    [FW] snmp-agent usm-user v3 snmp_user authentication-mode sha cipher Test@123 
    [FW] snmp-agent usm-user v3 user-name privacy-mode aes256 cipher Test@123

    eSight配置完成后,在eSight上选择“ 日志分析 > 会话分析 > IPv4会话日志”,可以查看会话日志。

结果验证

  1. 教师和50元包月用户访问外网时,目的地址属于教育网的流量从接口GE1/0/1转发,目的地址属于ISP1的流量从接口GE1/0/2、GE1/0/3或GE1/0/4转发,目的地址属于ISP2的流量从接口GE1/0/5或GE1/0/6转发。
  2. 远程教学系统的流量从教育网或ISP2链路转发,P2P流量从ISP1链路转发,20元包月用户和图书馆上网用户的流量从教育网链路转发。
  3. 查看IPS特征库的配置信息和升级信息。

    # 使用display update configuration命令查看当前升级特征库的配置信息。

    [sysname] display update configuration 
    Update Configuration Information: 
    ------------------------------------------------------------
      Update Server               : sec.huawei.com 
      Update Port                 : 80
      Proxy State                 : disable
      Proxy Server                : - 
      Proxy Port                  : - 
      Proxy User                  : - 
      Proxy Password              : - 
      IPS-SDB:                        
        Application Confirmation  : Disable
        Schedule Update           : Enable
        Schedule Update Frequency : Daily
        Schedule Update Time      : 02:30  
      AV-SDB:                 
        Application Confirmation  : Disable
        Schedule Update           : Enable
        Schedule Update Frequency : Daily
        Schedule Update Time      : 02:30  
      SA-SDB:                         
        Application Confirmation  : Disable
        Schedule Update           : Enable
        Schedule Update Frequency : Daily
        Schedule Update Time      : 02:30  
      IP-REPUTATION:              
        Application Confirmation  : Disable
        Schedule Update           : Enable
        Schedule Update Frequency : Daily
        Schedule Update Time      : 02:30  
      CNC:                            
        Application Confirmation  : Disable
        Schedule Update           : Enable
        Schedule Update Frequency : Daily
        Schedule Update Time      : 02:30  
    ------------------------------------------------------------

    # 使用display version ips-sdb命令查看IPS特征库的信息。

    [sysname] display version ips-sdb 
    IPS SDB Update Information List:  
    ----------------------------------------------------------------
      Current Version:                
        Signature Database Version    : 2015041503 
        Signature Database Size(byte) : 2659606
        Update Time                   : 12:02:10 2015/05/27
        Issue Time of the Update File : 16:06:30 2015/04/15
                 
      Backup Version:                 
        Signature Database Version    :
        Signature Database Size(byte) : 0
        Update Time                   : 00:00:00 0000/00/00
        Issue Time of the Update File : 00:00:00 0000/00/00
    ----------------------------------------------------------------
    IPS Engine Information List:      
    ----------------------------------------------------------------
      Current Version:                
        IPS Engine Version            : V200R002C00SPC060
        IPS Engine Size(byte)         : 3145728
        Update Time                   : 12:02:10 2015/05/27
        Issue Time of the Update File : 10:51:45 2015/05/20
                 
      Backup Version:                 
        IPS Engine Version            :
        IPS Engine Size(byte)         : 0
        Update Time                   : 00:00:00 0000/00/00
        Issue Time of the Update File : 00:00:00 0000/00/00
    ----------------------------------------------------------------
  4. 使用display firewall server-map命令查看服务器负载均衡功能生成的Server-map表项信息。
    [sysname] display  firewall server-map slb 
     Current Total Server-map : 3     
     Type: SLB,  ANY -> 3.3.113.113[grp1/1],  Zone:---,  protocol:---
     Vpn: public -> public            
     Type: SLB,  ANY -> 2.2.112.112[grp1/1],  Zone:---,  protocol:---
     Vpn: public -> public            
     Type: SLB,  ANY -> 1.1.111.111[grp1/1],  Zone:---,  protocol:---
     Vpn: public -> public                
  5. 使用display firewall server-map命令查看NAT Server功能生成的Server-map表项信息。
    [sysname] display  firewall server-map nat-server 
     Current Total Server-map : 12    
     Type: Nat Server,  ANY -> 1.1.15.15[10.1.10.20],  Zone: edu_zone ,  protocol:---
     Vpn: public -> public
     Type: Nat Server,  ANY -> 2.2.15.15[10.1.10.20],  Zone: isp1_zone ,  protocol:---
     Vpn: public -> public
     Type: Nat Server,  ANY -> 2.2.16.16[10.1.10.20],  Zone: isp1_zone ,  protocol:---
     Vpn: public -> public
     Type: Nat Server,  ANY -> 2.2.17.17[10.1.10.20],  Zone: isp1_zone ,  protocol:---
     Vpn: public -> public
     Type: Nat Server,  ANY -> 3.3.15.15[10.1.10.20],  Zone: isp2_zone ,  protocol:---
     Vpn: public -> public
     Type: Nat Server,  ANY -> 3.3.16.16[10.1.10.20],  Zone: isp2_zone ,  protocol:---
     Vpn: public -> public
     Type: Nat Server,  ANY -> 1.1.101.101[10.1.10.30],  Zone: edu_zone ,  protocol:---
     Vpn: public -> public
     Type: Nat Server,  ANY -> 2.2.102.102[10.1.10.30],  Zone: isp1_zone ,  protocol:---
     Vpn: public -> public
     Type: Nat Server,  ANY -> 2.2.103.103[10.1.10.30],  Zone: isp1_zone ,  protocol:---
     Vpn: public -> public
     Type: Nat Server,  ANY -> 2.2.104.104[10.1.10.30],  Zone: isp1_zone ,  protocol:---
     Vpn: public -> public
     Type: Nat Server,  ANY -> 3.3.102.102[10.1.10.30],  Zone: isp2_zone ,  protocol:---
     Vpn: public -> public
     Type: Nat Server,  ANY -> 3.3.103.103[10.1.10.30],  Zone: isp2_zone ,  protocol:---
     Vpn: public -> public
     Type: Nat Server Reverse,  10.1.10.20[3.3.16.16] -> ANY,  Zone: isp2_zone ,  protocol:---
     Vpn: public -> public,  counter: 1
     Type: Nat Server Reverse,  10.1.10.20[3.3.15.15] -> ANY,  Zone: isp2_zone ,  protocol:---
     Vpn: public -> public,  counter: 1
     Type: Nat Server Reverse,  10.1.10.20[2.2.17.17] -> ANY,  Zone: isp1_zone ,  protocol:---
     Vpn: public -> public,  counter: 1
     Type: Nat Server Reverse,  10.1.10.20[2.2.16.16] -> ANY,  Zone: isp1_zone ,  protocol:---
     Vpn: public -> public,  counter: 1
     Type: Nat Server Reverse,  10.1.10.20[2.2.15.15] -> ANY,  Zone: isp1_zone ,  protocol:---
     Vpn: public -> public,  counter: 1
     Type: Nat Server Reverse,  10.1.10.20[1.1.15.15] -> ANY,  Zone: edu_zone ,  protocol:---
     Vpn: public -> public,  counter: 1
     Type: Nat Server Reverse,  10.1.10.30[3.3.103.103] -> ANY,  Zone: isp2_zone ,  protocol:---
     Vpn: public -> public,  counter: 1
     Type: Nat Server Reverse,  10.1.10.30[3.3.102.102] -> ANY,  Zone: isp2_zone ,  protocol:---
     Vpn: public -> public,  counter: 1
     Type: Nat Server Reverse,  10.1.10.30[2.2.104.104] -> ANY,  Zone: isp1_zone ,  protocol:---
     Vpn: public -> public,  counter: 1
     Type: Nat Server Reverse,  10.1.10.30[2.2.103.103] -> ANY,  Zone: isp1_zone ,  protocol:---
     Vpn: public -> public,  counter: 1
     Type: Nat Server Reverse,  10.1.10.30[2.2.102.102] -> ANY,  Zone: isp1_zone ,  protocol:---
     Vpn: public -> public,  counter: 1
     Type: Nat Server Reverse,  10.1.10.30[1.1.101.101] -> ANY,  Zone: edu_zone ,  protocol:---
     Vpn: public -> public,  counter: 1
  6. 在eSight上可以查看到会话日志。

配置脚本

# 
sysname FW 
# 
info-center enable 
engine log ips enable 
info-center source IPS channel loghost log level emergencies 
info-center source ANTIATTACK channel loghost 
info-center loghost 10.1.10.30 
# 
 firewall defend land enable 
 firewall defend smurf enable 
 firewall defend fraggle enable 
 firewall defend ip-fragment enable 
 firewall defend tcp-flag enable 
 firewall defend winnuke enable 
 firewall defend source-route enable 
 firewall defend teardrop enable 
 firewall defend route-record enable 
 firewall defend time-stamp enable 
 firewall defend ping-of-death enable 
# 
 isp name edu_address set filename edu_address.csv 
 isp name isp1_address set filename isp1_address.csv 
 isp name isp2_address set filename isp2_address.csv 
 isp name other_edu_server_address set filename other_edu_server_address.csv 
# 
 slb enable 
# 
 user-manage online-user aging-time 480 
user-manage single-sign-on radius 
  enable 
  mode in-path 
  interface GigabitEthernet1/0/7 
  traffic server-ip 10.2.1.2 port 1813 
# 
 update schedule ips-sdb enable 
 update schedule ips-sdb daily 02:30 
 update server domain sec.huawei.com 
# 
 dns resolve 
 dns server 10.1.10.30 
# 
ip-link check enable 
ip-link name edu_ip_link 
 destination 1.1.1.2 interface GigabitEthernet 1/0/1 mode icmp 
ip-link name isp1_ip_link 
 destination 2.2.2.2 interface GigabitEthernet 1/0/2 mode icmp 
 destination 2.2.3.2 interface GigabitEthernet 1/0/3 mode icmp 
 destination 2.2.4.2 interface GigabitEthernet 1/0/4 mode icmp 
ip-link name isp2_ip_link 
 destination 3.3.3.2 interface GigabitEthernet 1/0/5 mode icmp 
 destination 3.3.4.2 interface GigabitEthernet 1/0/6 mode icmp 
# 
 dns-smart enable 
# 
aaa 
 domain default 
  new-user add-temporary group /default/newuser 
# 
interface GigabitEthernet1/0/1 
 description connect_to_edu 
 ip address 1.1.1.1 255.255.255.252 
 bandwidth ingress 1000000 threshold 90 
 bandwidth egress 1000000 threshold 90 
 redirect-reverse next-hop 1.1.1.2 
# 
interface GigabitEthernet1/0/2 
 description connect_to_isp1 
 ip address 2.2.2.1 255.255.255.252 
 bandwidth ingress 200000 threshold 90 
 bandwidth egress 200000 threshold 90 
 redirect-reverse next-hop 2.2.2.2 
# 
interface GigabitEthernet1/0/3 
 description connect_to_isp1 
 ip address 2.2.3.1 255.255.255.252 
 bandwidth ingress 1000000 threshold 90 
 bandwidth egress 1000000 threshold 90 
 redirect-reverse next-hop 2.2.3.2 
# 
interface GigabitEthernet1/0/4 
 description connect_to_isp1 
 ip address 2.2.4.1 255.255.255.252 
 bandwidth ingress 200000 threshold 90 
 bandwidth egress 200000 threshold 90 
 redirect-reverse next-hop 2.2.4.2 
# 
interface GigabitEthernet1/0/5 
 description connect_to_isp2 
 ip address 3.3.3.1 255.255.255.252 
 bandwidth ingress 1000000 threshold 90 
 bandwidth egress 1000000 threshold 90 
 redirect-reverse next-hop 3.3.3.2 
# 
interface GigabitEthernet1/0/6 
 description connect_to_isp2 
 ip address 3.3.4.1 255.255.255.252 
 bandwidth ingress 1000000 threshold 90 
 bandwidth egress 1000000 threshold 90 
 redirect-reverse next-hop 3.3.4.2 
# 
interface GigabitEthernet1/0/7 
 description connect_to_campus 
 ip address 10.2.0.1 255.255.255.0 
# 
interface GigabitEthernet1/0/8 
 description connect_to_radius 
 ip address 10.2.1.1 255.255.255.252 
# 
firewall zone name edu_zone 
 set priority 20 
 add interface GigabitEthernet1/0/1 
#   
firewall zone name isp1_zone1  
 set priority 30 
 add interface GigabitEthernet1/0/2 
# 
firewall zone name isp1_zone2 
 set priority 40 
  add interface GigabitEthernet1/0/3 
# 
firewall zone name isp1_zone3 
 set priority 50 
 add interface GigabitEthernet1/0/4 
# 
firewall zone name isp2_zone1 
 set priority 60  
 add interface GigabitEthernet1/0/5 
# 
firewall zone name isp2_zone2 
 set priority 70  
 add interface GigabitEthernet1/0/6 
#  
firewall zone trust  
 add interface GigabitEthernet1/0/7 
#  
firewall zone dmz  
 add interface GigabitEthernet1/0/8 
#  
firewall interzone trust edu_zone 
 detect ftp  
 detect qq 
 detect rtsp 
firewall interzone trust isp1_zone1 
 detect ftp  
 detect qq 
 detect rtsp 
firewall interzone trust isp1_zone2 
 detect ftp  
 detect qq 
 detect rtsp 
firewall interzone trust isp1_zone3 
 detect ftp  
 detect qq 
 detect rtsp 
firewall interzone trust isp2_zone1 
 detect ftp  
 detect qq 
 detect rtsp 
firewall interzone trust isp2_zone2 
 detect ftp  
 detect qq 
 detect rtsp 
# 
 dns-smart group 1 type single 
  real-server-ip 1.1.15.15 
  out-interface GigabitEthernet 1/0/2 map 2.2.15.15 
  out-interface GigabitEthernet 1/0/3 map 2.2.16.16 
  out-interface GigabitEthernet 1/0/4 map 2.2.17.17 
  out-interface GigabitEthernet 1/0/5 map 3.3.15.15 
  out-interface GigabitEthernet 1/0/6 map 3.3.16.16 
 dns-smart group 2 type single 
  real-server-ip 1.1.101.101 
  out-interface GigabitEthernet 1/0/2 map 2.2.102.102 
  out-interface GigabitEthernet 1/0/3 map 2.2.103.103 
  out-interface GigabitEthernet 1/0/4 map 2.2.104.104 
  out-interface GigabitEthernet 1/0/5 map 3.3.102.102 
  out-interface GigabitEthernet 1/0/6 map 3.3.103.103 
# 
ip route-static 1.1.15.15 32 NULL 0 
ip route-static 2.2.15.15 32 NULL 0 
ip route-static 2.2.16.16 32 NULL 0 
ip route-static 2.2.17.17 32 NULL 0 
ip route-static 3.3.15.15 32 NULL 0 
ip route-static 3.3.16.16 32 NULL 0 
ip route-static 1.1.101.101 32 NULL 0 
ip route-static 2.2.102.102 32 NULL 0 
ip route-static 2.2.103.103 32 NULL 0 
ip route-static 2.2.104.104 32 NULL 0 
ip route-static 3.3.102.102 32 NULL 0 
ip route-static 3.3.103.103 32 NULL 0 
ip route-static 1.1.30.31 32 NULL 0 
ip route-static 1.1.30.32 32 NULL 0 
ip route-static 1.1.30.33 32 NULL 0 
ip route-static 2.2.5.1 32 NULL 0 
ip route-static 2.2.5.2 32 NULL 0 
ip route-static 2.2.5.3 32 NULL 0 
ip route-static 2.2.6.1 32 NULL 0 
ip route-static 2.2.6.2 32 NULL 0 
ip route-static 2.2.6.3 32 NULL 0 
ip route-static 2.2.7.1 32 NULL 0 
ip route-static 2.2.7.2 32 NULL 0 
ip route-static 2.2.7.3 32 NULL 0 
ip route-static 3.3.1.1 32 NULL 0 
ip route-static 3.3.1.2 32 NULL 0 
ip route-static 3.3.1.3 32 NULL 0 
ip route-static 3.3.2.1 32 NULL 0 
ip route-static 3.3.2.2 32 NULL 0 
ip route-static 3.3.2.3 32 NULL 0 
ip route-static 10.1.0.0 255.255.0.0 10.2.0.2 
# 
snmp-agent sys-info version v3 
snmp-agent group v3 inside_snmp privacy 
snmp-agent usm-user v3 snmp_user group inside_snmp 
snmp-agent usm-user v3 snmp_user authentication-mode sha cipher %$%$k)>GV7woERAFb8XL]i9!F[RI\\D(-#s.c$S;ZC3[MPc"qaXS%$%$ 
snmp-agent usm-user v3 user-name privacy-mode aes256 cipher %$%$k)>GV7woERAFb8XL]i9!F[RI\\D(-#s.c$S;ZC3[MPc"qaXS%$%$ 
# 
profile type audit name trust_to_internet_audit 
 http-audit url all 
 http-audit bbs-content 
 http-audit micro-blog 
 http-audit file direction both 
 ftp-audit file direction both 
# 
 nat server portal_server01 zone edu_zone global 1.1.15.15 inside 10.1.10.20 
 nat server portal_server02 zone isp1_zone1 global 2.2.15.15 inside 10.1.10.20 no-reverse 
 nat server portal_server03 zone isp1_zone2 global 2.2.16.16 inside 10.1.10.20 no-reverse 
 nat server portal_server04 zone isp1_zone3 global 2.2.17.17 inside 10.1.10.20 no-reverse 
 nat server portal_server05 zone isp2_zone1 global 3.3.15.15 inside 10.1.10.20 no-reverse 
 nat server portal_server06 zone isp2_zone2 global 3.3.16.16 inside 10.1.10.20 no-reverse 
 nat server portal_server01 zone edu_zone global 1.1.101.101 inside 10.1.10.30 
 nat server portal_server02 zone isp1_zone1 global 2.2.102.102 inside 10.1.10.30 no-reverse 
 nat server portal_server03 zone isp1_zone2 global 2.2.103.103 inside 10.1.10.30 no-reverse 
 nat server portal_server04 zone isp1_zone3 global 2.2.104.104 inside 10.1.10.30 no-reverse 
 nat server portal_server05 zone isp2_zone1 global 3.3.102.102 inside 10.1.10.30 no-reverse 
 nat server portal_server06 zone isp2_zone2 global 3.3.103.103 inside 10.1.10.30 no-reverse 
# 
sa 
 user-defined-application name UD_dis_edu_sys_app 
  category Business_Systems 
  data-model client-server 
  label Encrypted-Communications Business-Applications 
  rule name 1 
   ip-address 2.2.50.50 32 
   port 5000 
# 
nat address-group edu_nat_address_pool 
 mode pat 
 section 0 1.1.30.31 1.1.30.33 
nat address-group isp1_nat_address_pool1 
 mode pat 
 section 0 2.2.5.1 2.2.5.3 
nat address-group isp1_nat_address_pool2 
 mode pat 
 section 0 2.2.6.1 2.2.6.3 
nat address-group isp1_nat_address_pool3 
 mode pat 
 section 0 2.2.7.1 2.2.7.3 
nat address-group isp2_nat_address_pool1 
 mode pat 
 section 0 3.3.1.1 3.3.1.3 
nat address-group isp2_nat_address_pool2 
 mode pat 
 section 0 3.3.2.1 3.3.2.3 
# 
 slb 
  group 1 grp1 
   metric roundrobin 
   rserver 1 rip 10.1.10.10 
   rserver 2 rip 10.1.10.11 
  vserver 1 vs1 
   vip 1 1.1.111.111 
   vip 2 2.2.112.112 
   vip 3 3.3.113.113 
   group grp1 
#        
security-policy 
 rule name user_inside
  source-zone trust         
  profile ips default       
  action permit             
 rule name user_outside     
  source-zone edu_zone      
  source-zone isp1_zone1    
  source-zone isp1_zone2    
  source-zone isp1_zone3    
  source-zone isp2_zone1    
  source-zone isp2_zone2    
  destination-address 10.1.10.0 mask 255.255.255.0
  profile ips default       
  action permit             
 rule name local_to_any
  source-zone local         
  destination-zone any    
  action permit          
# 
traffic-policy 
 profile isp1_p2p_profile_01 
  bandwidth maximum-bandwidth whole both 100000 
  bandwidth maximum-bandwidth per-ip both 500 
 profile isp1_p2p_profile_02 
  bandwidth maximum-bandwidth whole both 300000 
  bandwidth maximum-bandwidth per-ip both 1000 
 profile isp1_p2p_profile_03 
  bandwidth maximum-bandwidth whole both 700000 
  bandwidth maximum-bandwidth per-ip both 2000 
 rule name isp1_p2p_01 
  ingress-interface GigabitEthernet 1/0/7 
  egress-interface GigabitEthernet 1/0/2 
  application category Entertainment sub-category PeerCasting 
  application category General_Internet sub-category FileShare_P2P 
  action qos profile isp1_p2p_profile_01 
 rule name isp1_p2p_02 
  ingress-interface GigabitEthernet 1/0/7 
  egress-interface GigabitEthernet 1/0/3 
  application category Entertainment sub-category PeerCasting 
  application category General_Internet sub-category FileShare_P2P 
  action qos profile isp1_p2p_profile_02 
 rule name isp1_p2p_03 
  ingress-interface GigabitEthernet 1/0/7 
  egress-interface GigabitEthernet 1/0/4 
  application category Entertainment sub-category PeerCasting 
  application category General_Internet sub-category FileShare_P2P 
  action qos profile isp1_p2p_profile_03 
# 
policy-based-route 
 rule name pbr_dns_trans 
  source-zone trust 
  service dns 
  service dns-tcp 
  action pbr egress-interface multi-interface 
   mode proportion-of-bandwidth 
   add interface GigabitEthernet 1/0/1 
   add interface GigabitEthernet 1/0/2 
   add interface GigabitEthernet 1/0/3 
   add interface GigabitEthernet 1/0/4 
   add interface GigabitEthernet 1/0/5 
   add interface GigabitEthernet 1/0/6 
 rule name dis_edu_sys 
  source-zone trust 
  application app UD_dis_edu_sys_app 
  action pbr egress-interface multi-interface 
   mode proportion-of-bandwidth 
   add interface GigabitEthernet 1/0/1 
   add interface GigabitEthernet 1/0/5 
   add interface GigabitEthernet 1/0/6 
 rule name p2p_traffic 
  source-zone trust 
  application category Entertainment sub-category PeerCasting 
  application category General_Internet sub-category FileShare_P2P 
  action pbr egress-interface multi-interface 
   mode proportion-of-bandwidth 
   add interface GigabitEthernet 1/0/2 
   add interface GigabitEthernet 1/0/3 
   add interface GigabitEthernet 1/0/4 
 rule name pbr_edu 
  source-zone trust 
  source-address 10.1.0.0 16 
  destination-address isp edu_address 
  action pbr egress-interface multi-interface 
   mode priority-of-userdefine 
   add interface GigabitEthernet 1/0/1 priority 8 
   add interface GigabitEthernet 1/0/2 priority 5 
   add interface GigabitEthernet 1/0/3 priority 5 
   add interface GigabitEthernet 1/0/4 priority 5 
   add interface GigabitEthernet 1/0/5 priority 1 
   add interface GigabitEthernet 1/0/6 priority 1 
 rule name pbr_isp1 
  source-zone trust 
  source-address 10.1.0.0 16 
  destination-address isp isp1_address 
  action pbr egress-interface multi-interface 
   mode priority-of-userdefine 
   add interface GigabitEthernet 1/0/1 priority 5 
   add interface GigabitEthernet 1/0/2 priority 8 
   add interface GigabitEthernet 1/0/3 priority 8 
   add interface GigabitEthernet 1/0/4 priority 8 
   add interface GigabitEthernet 1/0/5 priority 1 
   add interface GigabitEthernet 1/0/6 priority 1 
 rule name pbr_isp2 
  source-zone trust 
  source-address 10.1.0.0 16 
  destination-address isp isp2_address 
  action pbr egress-interface multi-interface 
   mode priority-of-userdefine 
   add interface GigabitEthernet 1/0/1 priority 5 
   add interface GigabitEthernet 1/0/2 priority 1 
   add interface GigabitEthernet 1/0/3 priority 1 
   add interface GigabitEthernet 1/0/4 priority 1 
   add interface GigabitEthernet 1/0/5 priority 8 
   add interface GigabitEthernet 1/0/6 priority 8 
 rule name pbr_rest 
  source-zone trust 
  source-address 10.1.0.0 16 
  action pbr egress-interface multi-interface 
   mode priority-of-link-quality 
   priority-of-link-quality parameter delay jitter loss  
   priority-of-link-quality protocol tcp-simple  
   priority-of-link-quality interval 3 times 5  
   add interface GigabitEthernet 1/0/1 
   add interface GigabitEthernet 1/0/2 
   add interface GigabitEthernet 1/0/3 
   add interface GigabitEthernet 1/0/4 
   add interface GigabitEthernet 1/0/5 
   add interface GigabitEthernet 1/0/6 
 rule name other_edu_server 
  source-zone trust 
  source-address 10.1.0.0 16 
  destination-address isp other_edu_server_address 
  action pbr egress-interface GigabitEthernet 1/0/1 next-hop 1.1.1.2 
 rule name lib_internet 
  source-zone trust 
  source-address 10.1.50.0 22 
  action pbr egress-interface GigabitEthernet 1/0/1 next-hop 1.1.1.2 
# 
nat-policy 
 rule name inner_nat_policy   
  source-zone trust         
  destination-zone trust 
  source-address 10.1.0.0 mask 255.255.0.0                 
  action source-nat address-group edu_nat_address_pool 
 rule name edu_nat_policy 
  source-zone trust 
  source-address 10.1.0.0 16 
  source-address 10.50.1.0 24 
  action source-nat address-group edu_nat_address_pool 
 rule name isp1_nat_policy1 
  source-zone trust 
  destination-zone isp1_zone1 
  source-address 10.1.0.0 16 
  action source-nat address-group isp1_nat_address_pool1 
 rule name isp1_nat_policy2 
  source-zone trust 
  destination-zone isp1_zone2 
  source-address 10.1.0.0 16 
  action source-nat address-group isp1_nat_address_pool2 
 rule name isp1_nat_policy3 
  source-zone trust 
  destination-zone isp1_zone3 
  source-address 10.1.0.0 16 
  action source-nat address-group isp1_nat_address_pool3  
 rule name isp2_nat_policy1 
  source-zone trust 
  destination-zone isp2_zone1 
  source-address 10.1.0.0 16 
  action source-nat address-group isp2_nat_address_pool1 
 rule name isp2_nat_policy2 
  source-zone trust 
  destination-zone isp2_zone2 
  source-address 10.1.0.0 16 
# 
audit-policy 
 rule name trust_to_internet_audit_policy 
 source-zone trust 
 destination-zone edu_zone isp1_zone1 isp1_zone2 isp1_zone3 isp2_zone1 isp2_zone2 
 action audit profile trust_to_internet_audit 
# 
dns-transparent-policy 
 dns transparent-proxy enable 
 dns transparent-proxy exclude domain www.example.com server preferred 1.1.25.25 
 dns server bind interface GigabitEthernet 1/0/1 preferred 1.1.22.22 alternate 1.1.23.23 
 dns server bind interface GigabitEthernet 1/0/2 preferred 2.2.22.22 alternate 2.2.23.23 
 dns server bind interface GigabitEthernet 1/0/3 preferred 2.2.24.24 alternate 2.2.25.25 
 dns server bind interface GigabitEthernet 1/0/4 preferred 2.2.26.26 alternate 2.2.27.27 
 dns server bind interface GigabitEthernet 1/0/5 preferred 3.3.22.22 alternate 3.3.23.23 
 dns server bind interface GigabitEthernet 1/0/6 preferred 3.3.24.24 alternate 3.3.25.25 
# 
rule name dns_trans_rule 
  action tpdns 
# 
return 
# 以下配置为一次性操作,不保存在配置文件中 
 user-manage user-import demo.csv auto-create-group override 
 user-manage group /default/newuser

方案总结与建议

本案例具有非常高的借鉴价值,实际部署防火墙时可以根据需求选择配置其中的部分功能。下面对本案例进行总结:

  • 本案例充分展示了防火墙的多个经典特性,包括安全策略、NAT、ASPF、攻击防范、IPS、带宽管理(基于应用的带宽限制、基于每IP/用户的带宽限制)等。
  • 本案例展现了防火墙作为出口网关的能力,网关最重要的特性之一就是出口选路。本案例中应用的策略路由、智能选路、DNS透明代理、智能DNS、服务器负载均衡等特性可以满足日益复杂的选路需求,提高链路的带宽利用率,提升用户的上网体验。另外,与路由器作网关相比,防火墙作网关的优势在于其拥有更强大的NAT转换能力和安全防护能力。
  • 本案例展现了防火墙的NAT溯源功能:防火墙上配置审计策略后,将会话日志发送给网管系统,管理员在网管系统上可以查看到NAT转换前后的IP地址。NAT溯源功能很实用,便于上级和相关部门对用户的网络行为进行审查。
翻译
下载文档
更新时间:2019-06-17

文档编号:EDOC1100087933

浏览量:1322

下载量:364

平均得分:
本文档适用于这些产品
相关版本
相关文档
Share
上一页 下一页