防火墙在企业园区出口安全方案中的应用(ENSP实现)

拓扑图


:
1、企业出口网关设备必须具备较高的可靠性,为了避免单点故障,要求两台设备形成双机热备状态。当一台设备发生故障时,另一台设备会接替其工作,不会影响业务正常运行。

2、企业从两个ISP租用了两条链路,要求出口网关设备可以识别流量的应用类型,将不同应用类型的流量送往合适的链路,提高链路利用率,避免网络拥塞。   

3、企业内部用户分为研发部员工、市场部员工、生产部员工以及管理者,根据企业内部各个部门的实际业务需求,在出口网关设备上基于用户/部门和应用来制定访问控制策略。   

4、为了实现企业内网大量用户通过公网地址访问Internet的目的,要求出口网关设备能够将私网地址转换为公网地址。   

5、在网关设备上存储用户和部门的信息,体现公司的组织结构,供策略引用。在服务器区部署AD服务器,为实现基于用户的网络行为控制和网络权限分配提供基础。   

6、对公司外的用户提供Web服务器和FTP服务器的访问。   

7、企业内部网络面临来自Internet的非法访问、以及各种攻击和入侵行为,要求出口网关设备可以防范各种病毒、蠕虫、木马和僵尸网络攻击,保护公司网络的安全。此外,对公司员工访问的网站进行过滤,禁止所有成人网站和非法网站的访问。   

8、要求出口网关设备防范针对企业内部网络的SYN Flood、UDP Flood攻击和畸形报文攻击。   

9、要求出口网关设备可以基于应用的流量控制,对大量占用网络带宽的流量(如P2P流量)进行限制,保证关键业务的正常运行。此外,还可以基于不同用户/部门实施差异化的带宽管理。   

10、要求出差和家庭办公的研发员工能够安全地使用公司的ERP系统和邮件系统,高级管理者和市场员工能够像在公司内网一样正常办公。

业务规划

1 IP、VLAN

部门 / 设备 / 用户 IP段 网关 Vlan
Market 10.1.11.0/24~10.1.15.0/24 网段内首个可用地址(VRRP) 11~15
Procure 10.1.21.0/24~10.1.25.0/24 网段内首个可用地址(VRRP) 21~25
Finance 10.1.31.0/24~10.1.35.0/24 网段内首个可用地址(VRRP) 31~35
HR 10.1.41.0/24~10.1.45.0/24 网段内首个可用地址(VRRP) 41~45
Wireless_Public 10.1.51.0/24~10.1.55.0/24 网段内首个可用地址(VRRP) 51~55
Services 10.1.60.0/24 网段内首个可用地址(VRRP) 60
Wireless_Guest 10.1.101.0/24~10.1.105.0/24 网段内首个可用地址(VRRP) 101~105
AC 10.1.203.0/24 网段内首个可用地址(VRRP) 203
AGG1_to_Core 10.1.204.0/24 网段内首个可用地址(VRRP) 204
AGG2_to_Core 10.1.205.0/24 网段内首个可用地址(VRRP) 205
L2tp over IPSec user 1010.1.2~10.10.1.100/24 10.10.1.1(FW_A&B_Virtual-Template 1) --
Export 1.1.1.0/24、2.2.2.0/24 网段内首个可用地址(VRRP) --
分支机构内网 192.168.1.0/24 192.168.1.254 --

2 VRRP

部门 / 用户 Master Backup
Market,Procure,Finance,HR AGG1 AGG2
Wireless_Public,Wireless_Guest,AC,Services Core1 Core2
Export FW_A FW_B

3 DHCP

部门 / 用户 网关设备
Market,Procure,Finance,HR AGG1、AGG2
Wireless_Public,Wireless_Guest Core1、Core2
L2tp over IPSec user FW_A&B

4 MSTP

Vlan Stp Instance Root Device
51 to 55,60,101 to 105,203 to 205 1 Core1
11 to 15,21 to 25,31 to 35,41 to 45 2 AGG1

5 防火墙接口与安全区域规划

  • 连接ISP1链路的接口GE1/0/1加入区域ISP1。ISP1区域需要新建,优先级设定为15。
  • 连接ISP2链路的接口GE1/0/2加入ISP2区域。ISP2区域需要新建,优先级设定为20。
  • 用于防火墙双机热备的接口GE1/0/3加入Heart区域。Heart区域需要新建优先级设定为75。
  • 连接核心路由器的接口GE1/0/4加入Trust区域。Trust区域是防火墙缺省存在的安全区域,优先级为85。

6 访问限制

  • 总部web、FTP服务器为内部以及外部用户提供服务,外部用户需使用8080端口访问web服务器,FTP服务使用默认端口号。
  • Finance部门不能访问公司内部服务器,也不能访问Internet
  • 总部到分支机构192.168.1.0/24使用IPSec Tunnel访问,并且只允许Market、Procure、HR通过VPN访问分支机构。
  • 出差用户可使用L2TP Over IPSec Tunnel访问总部内部10.1.0.0/16。
  • 总部无线访客用户不允许访问公司内部服务器。
  • 除了Finance部门不能访问Internet外,其他用户都可以访问。

7 NAT规划

源地址 地址池
总部、分部内网可访问Internet的网段 1.1.1.6 ~ 1.1.1.10、2.2.2.6 ~ 2.2.2.10

8 NAT Server

Source-IP Source-Port Global-IP Global-Port
10.1.60.100 80 1.1.1.4(FW_A) 8080
10.1.60.101 21 1.1.1.5(FW_A) 21
10.1.60.100 80 2.2.2.4(FW_B) 8080
10.1.60.101 21 2.2.2.5(FW_B) 21

9 OSPF

本端设备 对端设备 进程号 区域
FW_A、FW_B Core1、Core2 1 0
AGG1、AGG2 Core1、Core2 1 1

配置结果验证

1 AP状态

2 VRRP状态



3 VPN 协商




4 双击热备状态

5 用户IP地址获取

  • 无线用户

  • 有线用户
  • 出差用户

6 防火墙策略

策略部署相对简单,根据部署情况放行相应流量即可,下图为FW_A的策略条目,部署双机热备后会在FW_B上同步,另外还需要配置NAT策略以及NAT服务器地址映射,这里不再赘述。

访问验证

1 To_Internet

1.1 Wireless_User

1.2 Wire_User

1.3分支机构

2 To_Services

2.1 Wireless_User

2.2 Wire_User

2.3 分支机构

2.4 出差员工

3 VPN访问

3.1 出差员工访问总部内部业务

3.2 总部通过IPSec隧道访问分支用户

总结

  • 该方案描述了防火墙在企业园区网络的Internet出口处的典型应用。如果您想在企业网络出口部署防火墙,完全可以借鉴此案例。
  • 该方案诠释了双机热备的经典组网:"防火墙上行连接交换机,下行连接三层设备"。我们可以借此理解双机热备的典型应用。
  • 该方案展现了防火墙作为网关的多出口选路能力,包括:全局智能选路和策略路由智能选路等功能。
  • 该方案还体现了防火墙的应用识别和控制能力。防火墙不仅能够识别端口信息,还能够识别各种应用,并且能够根据应用进行访问控制、策略路由和流量控制。
    此外,还可以用防火墙虚拟系统进行业务流量的隔离管控,如:可将本案例中Guest的流量单独隔离管理,以增加企业网络的安全可靠性。

转眼又是一个毕业季,不知道多少大学生正在扣头ing,如果有需要,记得Q我:1254628828

相关推荐
weixin_482565538 分钟前
ID读卡器TCP协议QT小程序开发
网络·网络协议·tcp/ip
深圳启明云端科技10 分钟前
ESP-NETIF L2 TAP 接口-物联网嵌入式开发应用
网络·物联网
kiritio102451329 分钟前
kipotix4靶机实战
笔记·安全
看星猩的柴狗41 分钟前
密码学原理技术-第二章-Stream Ciphers
服务器·网络·密码学
lulinhao1 小时前
防火墙基础-工作原理
计算机网络·华为·防火墙
kirk_wang1 小时前
Flutter适配HarmonyOS实践
flutter·华为·harmonyos
anddddoooo2 小时前
Kerberoasting 离线爆破攻击
网络·数据库·安全·microsoft·网络安全
T.O.P112 小时前
TCP 传输可靠性保障
网络·tcp/ip·php
缘友一世2 小时前
java实现网络IO高并发编程java AIO
java·网络·python
卓大胖_2 小时前
Next.js 新手容易犯的错误 _ 性能优化与安全实践(6)
前端·javascript·安全