防火墙在企业园区出口安全方案中的应用(ENSP实现)

拓扑图

      需求：       1、企业出口网关设备必须具备较高的可靠性，为了避免单点故障，要求两台设备形成双机热备状态。当一台设备发生故障时，另一台设备会接替其工作，不会影响业务正常运行。   
2、企业从两个ISP租用了两条链路，要求出口网关设备可以辨认流量的应用范例，将不同应用范例的流量送往合适的链路，提高链路使用率，避免网络拥塞。   
3、企业内部用户分为研发部员工、市场部员工、生产部员工以及管理者，根据企业内部各个部门的现实业务需求，在出口网关设备上基于用户/部门和应用来制定访问控制计谋。   
4、为了实现企业内网大量用户通过公网所在访问Internet的目的，要求出口网关设备能够将私网所在转换为公网所在。   
5、在网关设备上存储用户和部门的信息，表现公司的组织结构，供计谋引用。在服务器区部署AD服务器，为实现基于用户的网络行为控制和网络权限分配提供基础。   
6、对公司外的用户提供Web服务器和FTP服务器的访问。   
7、企业内部网络面对来自Internet的非法访问、以及各种攻击和入侵行为，要求出口网关设备可以防范各种病毒、蠕虫、木马和僵尸网络攻击，保护公司网络的安全。此外，对公司员工访问的网站进行过滤，禁止全部成人网站和非法网站的访问。   
8、要求出口网关设备防范针对企业内部网络的SYN Flood、UDP Flood攻击和畸形报文攻击。   
9、要求出口网关设备可以基于应用的流量控制，对大量占用网络带宽的流量（如P2P流量）进行限定，包管关键业务的正常运行。此外，还可以基于不同用户/部门实施差别化的带宽管理。   
10、要求出差和家庭办公的研发员工能够安全地使用公司的ERP体系和邮件体系，高级管理者和市场员工能够像在公司内网一样正常办公。    业务规划

1 IP、VLAN

部门 / 设备 / 用户IP段网关VlanMarket10.1.11.0/24~10.1.15.0/24网段内首个可用所在（VRRP）11~15Procure10.1.21.0/24~10.1.25.0/24网段内首个可用所在（VRRP）21~25Finance10.1.31.0/24~10.1.35.0/24网段内首个可用所在（VRRP）31~35HR10.1.41.0/24~10.1.45.0/24网段内首个可用所在（VRRP）41~45Wireless_Public10.1.51.0/24~10.1.55.0/24网段内首个可用所在（VRRP）51~55Services10.1.60.0/24网段内首个可用所在（VRRP）60Wireless_Guest10.1.101.0/24~10.1.105.0/24网段内首个可用所在（VRRP）101~105AC10.1.203.0/24网段内首个可用所在（VRRP）203AGG1_to_Core10.1.204.0/24网段内首个可用所在（VRRP）204AGG2_to_Core10.1.205.0/24网段内首个可用所在（VRRP）205L2tp over IPSec user1010.1.2~10.10.1.100/2410.10.1.1（FW_A&B_Virtual-Template 1）–Export1.1.1.0/24、2.2.2.0/24网段内首个可用所在（VRRP）–分支机构内网192.168.1.0/24192.168.1.254– 2 VRRP

部门 / 用户MasterBackupMarket，Procure，Finance，HRAGG1AGG2Wireless_Public，Wireless_Guest，AC，ServicesCore1Core2ExportFW_AFW_B 3 DHCP

部门 / 用户网关设备Market，Procure，Finance，HRAGG1、AGG2Wireless_Public，Wireless_GuestCore1、Core2L2tp over IPSec userFW_A&B 4 MSTP

VlanStp InstanceRoot Device51 to 55，60，101 to 105，203 to 2051Core111 to 15，21 to 25，31 to 35，41 to 452AGG1 5 防火墙接口与安全地区规划

• 连接ISP1链路的接口GE1/0/1参加地区ISP1。ISP1地区需要新建，优先级设定为15。
  
• 连接ISP2链路的接口GE1/0/2参加ISP2地区。ISP2地区需要新建，优先级设定为20。
  
• 用于防火墙双机热备的接口GE1/0/3参加Heart地区。Heart地区需要新建优先级设定为75。
  
• 连接核心路由器的接口GE1/0/4参加Trust地区。Trust地区是防火墙缺省存在的安全地区，优先级为85。
  

6 访问限定

• 总部web、FTP服务器为内部以及外部用户提供服务，外部用户需使用8080端口访问web服务器，FTP服务使用默认端标语。
  
• Finance部门不能访问公司内部服务器，也不能访问Internet
  
• 总部到分支机构192.168.1.0/24使用IPSec Tunnel访问,并且只允许Market、Procure、HR通过VPN访问分支机构。
  
• 出差用户可使用L2TP Over IPSec Tunnel访问总部内部10.1.0.0/16。
  
• 总部无线访客用户不允许访问公司内部服务器。
  
• 除了Finance部门不能访问Internet外，其他用户都可以访问。
  

7 NAT规划

源所在所在池总部、分部内网可访问Internet的网段1.1.1.6 ~ 1.1.1.10、2.2.2.6 ~ 2.2.2.10 8 NAT Server

Source-IPSource-PortGlobal-IPGlobal-Port10.1.60.100801.1.1.4（FW_A）808010.1.60.101211.1.1.5（FW_A）2110.1.60.100802.2.2.4（FW_B）808010.1.60.101212.2.2.5（FW_B）21 9 OSPF

本端设备对端设备进程号地区FW_A、FW_BCore1、Core210AGG1、AGG2Core1、Core211 配置结果验证

1 AP状态

2 VRRP状态

3 VPN 协商

4 双击热备状态

5 用户IP所在获取

• 无线用户
  
  
  
  
  
  
  
• 有线用户
  
  
  
  
• 出差用户
  
  
  
  

6 防火墙计谋

计谋部署相对简单，根据部署情况放行相应流量即可，下图为FW_A的计谋条目，部署双机热备后会在FW_B上同步，另外还需要配置NAT计谋以及NAT服务器所在映射，这里不再赘述。

访问验证

1 To_Internet

1.1 Wireless_User

1.2 Wire_User

1.3分支机构

2 To_Services

2.1 Wireless_User

2.2 Wire_User

2.3 分支机构

2.4 出差员工

3 VPN访问

3.1 出差员工访问总部内部业务

3.2 总部通过IPSec隧道访问分支用户

总结

• 该方案形貌了防火墙在企业园区网络的Internet出口处的典范应用。如果您想在企业网络出口部署防火墙，完全可以鉴戒此案例。
  
• 该方案诠释了双机热备的经典组网：“防火墙上行连接交换机，下行连接三层设备”。我们可以借此明确双机热备的典范应用。
  
• 该方案展现了防火墙作为网关的多出口选路本领，包括：全局智能选路和计谋路由智能选路等功能。
  
• 该方案还表现了防火墙的应用辨认和控制本领。防火墙不仅能够辨认端口信息，还能够辨认各种应用，并且能够根据应用进行访问控制、计谋路由和流量控制。
  此外，还可以用防火墙虚拟体系进行业务流量的隔离管控，如：可将本案例中Guest的流量单独隔离管理，以增长企业网络的安全可靠性。
  

转眼又是一个毕业季，不知道多少大学生正在扣头ing，如果有需要，记得Q我：1254628828

免责声明：如果侵犯了您的权益，请联系站长，我们会及时删除侵权内容，谢谢合作！更多信息从访问主页：qidao123.com:ToB企服之家，中国第一个企服评测及商务社交产业平台。