本专栏持续更新,整一个专栏为一个大型复杂网络工程项目。阅读本文章之前务必先看《本专栏必读》。
全网拓扑图展示
一.局域网规划设计
1.子公司北京总部局域网安全加固、网络服务需求
- 子公司北京总部在与运营商边界需要部署一台防火墙,保护内网的安全。为了达到这个目的,北京总部的网络管理员建议根据防火墙3个接口所连接的网络环境进行合理的区域设置,以阻止非必要的通信。此外网络管理员要求可以随时随地使用SSH协议安全地管理防火墙BJ-USG(用户名与密码相同),并保护防火墙连接外网的接口无法被Ping测试。根据公司的需要,需要在USG上对流量进行管控,对应用行为进行管控。
- 防火墙仅允许内网访问外网流量,默认情况下外网不能主动访问内网资源。同时要对内网用户进行行为管控。
- 为了内网的接入安全,我司需要对员工接入进行认证。
- 接入层接入后也要保证每接口只有一个合法终端。
- 二层网络需要考虑DHCP的安全性,防止有意或无意的DHCP攻击。
- 二层STP,也要防止根桥能够稳定运行,防止有意无意的根桥恶意被变更等攻击。
- 客户内网需要为外网客户提供HTTP服务。
- 客户内网需要为出差员工提供FTP服务。
- 为了保障北京总部网络设备的安全,其网络管理员建议,应该在总部通往分支机构的路由器的外出接口的入方向,拒绝所有分支机构的设备远程管理总部的网络设备,而总部的路由器BJA3只允许Monitor设备使用Telnet的方式登录。
二.子公司北京总部局域网安全加固、网络服务解决方案
- 部署华为NGFW为内容提供安全服务。
- 在NGFW上划分DMZ区域,部署HTTPFTP AAA服务器。
- 在出口路由器上部署NAT server,实现外网对内网服务器的访问。具体地址见广域网设计。
- 接入层开启dot1x认证,并开启端口安全技术。
- 二层接入设备开启DHCP Snooping防止DHCP攻击。
- STP特定指定端口开启根保护保护现网规划根桥不被恶意抢占。
- 所有网络设备做远程访问限制
- USG允许来自公网的SSH连接
- 在BJG3的G2/0/0、G0/0/2、G1/0/0口配置ACL,拒绝所有分部的TELNET/SSH流量;
- 允许其它所有流量;
- 在BJA3的VTY接口下仅开启telnet;
- 只允许Monitor设备的telnet。