论坛
潜水/灌水快乐,沉淀知识,认识更多同行。
ToB圈子
加入IT圈,遇到更多同好之人。
朋友圈
看朋友圈动态,了解ToB世界。
ToB门户
了解全球最新的ToB事件
博客
Blog
排行榜
Ranklist
文库
业界最专业的IT文库,上传资料也可以赚钱
下载
分享
Share
导读
Guide
相册
Album
记录
Doing
搜索
本版
文章
帖子
ToB圈子
用户
免费入驻
产品入驻
解决方案入驻
公司入驻
案例入驻
登录
·
注册
只需一步,快速开始
账号登录
立即注册
找回密码
用户名
Email
自动登录
找回密码
密码
登录
立即注册
首页
找靠谱产品
找解决方案
找靠谱公司
找案例
找对的人
专家智库
悬赏任务
圈子
SAAS
ToB企服应用市场:ToB评测及商务社交产业平台
»
论坛
›
软件与程序人生
›
DevOps与敏捷开发
›
HCIE-防火墙高级特性
HCIE-防火墙高级特性
张国伟
金牌会员
|
2024-6-10 19:50:38
|
显示全部楼层
|
阅读模式
楼主
主题
636
|
帖子
636
|
积分
1908
双机热备
简介
双机热备需要两台硬件和软件配置均相同的防火墙组成双机热备系统。防火墙之间通过独立的链路毗连(心跳线),通过心跳线相识对端的康健状况,向对端备份配置和表项(如会话表、IPsec SA等)。
当一台防火墙出现故障时,业务流量能平滑地切换到另一台设备上处置惩罚,使业务不绝止。
部署要求
目前只支持两台设备举行双机热备。
主备设备的产品型号和版本必须相同。
主备设备业务板和接口卡的位置、范例和数目都须相同,否则会出现主用设备备份过去的信息,与备用设备的物理配置无法兼容,导致主备切换后出现题目。
在网络中部署防火墙双机时面临的题目
防火墙是状态检测设备,它会对一条流量的首包举行完整的检测,并创建会话来记录报文的状态信息(包罗报文的源IP、源端口、目的IP、目的端口、协议等)。而这条流量的后续报文只有匹配会话才能够通过防火墙并且完成报文转发,如果后续报文不能匹配会话则会被防火墙丢弃。
如果在网络出口处部署两台独立的防火墙,则两台防火墙独立运行,需分别举行配置维护。此外,以在防火墙的上行、下行部署VRRP为例,由于这两组VRRP相互独立,因此轻易出现主备状态不划一的情况,此时内网访问外网的往返流量路径不划一,当回程流量抵达FW2时,由于FW2没有匹配的会话表项,因此这些流量将被丢弃。所以当防火墙双机部署时需要思量两台防火墙之间的会话等状态信息的备份。
防火墙双机热备关键组件
防火墙双机热备关键组件:VRRP与VGMP
防火墙双机热备关键组件:HRP及心跳线
为了实现主用设备出现故障时备用设备能平滑地接替工作,必须在主用和备用设备之间备份关键配置命令和状态信息。
防火墙能够备份的配置如下:
策略:安全策略、NAT策略(包罗NAT地点池)、NAT Server等。
对象:地点、地区、服务、应用、用户等。
网络:安全区域、DNS、IPsec、SSL VPN等。
系统:管理员、捏造系统、日记配置。
防火墙能够备份的状态信息如下
:
会话表、SeverMap表、黑名单/白名单、PAT方式端口映射表、NO-PAT方式地点映射表、二层转发表(静态MAC备份)、AAA用户表(缺省用户admin不备份)、在线用户监控表、PKI证书、IPsec备份等。
防火墙双机热备典范组网场景
实验
捏造系统
防火墙捏造系统的应用场景
防火墙捏造系统概述
捏造接口
捏造系统之间通过捏造接口实现互访。
捏造接口是创建捏造系统时设备自动为其创建的一个逻辑接口,作为捏造系统自身与其他捏造系统之间通讯的接口。
捏造接口必须配置IP地点,并加入安全区域才能正常工作。
捏造接口名的格式为“Virtual-if+接口号”,根系统的捏造接口名为Virtual-if0,其他捏造系统的Virtual-if接口号从1开始,根据系统中接口号占用情况自动分配。
捏造系统访问根系统
捏造系统与根系统互访有两种场景:捏造系统访问根系统、根系统访问捏造系统。这两种场景下,报文转发的流程略有不同。
本页以捏造系统访问根系统为例。因为捏造系统和根系统都需要按照防火墙转发流程对报文举行处置惩罚,所以捏造系统和根系统中要分别完成策略、路由等配置。
两个捏造系统之间直接互访
FW的捏造系统之间默认是互相隔离的,不同捏造系统下的主机不能通讯。如果两个捏造系统下主机有通讯的需求,就需要配置策略和路由,使不同捏造系统能够互访。该场景是捏造系统A向捏造系统B发起访问。报文先进入捏造系统A,捏造系统A按照防火墙转发流程对报文举行处置惩罚。然后报文进入捏造系统B,捏造系统B再次按照防火墙转发流程对报文举行处置惩罚。
因为两个捏造系统都需要按照防火墙转发流程对报文举行处置惩罚,所以两个捏造系统中要分别完成策略、路由等配置。
配置举例:捏造系统间互访
在根系统中配置vsysa和vsysb互访的路由。
<FW> system-view
[FW] ip route-static vpn-instance vsysa 10.3.1.0 24 vpn-instance vsysb
复制代码
为根系统的捏造接口Virtual-if0配置IP地点,并将加入Trust区域。Virtual-if0接口上的IP地点可设置为任意值,包管不与其他接口上的IP地点冲突即可。
[FW] interface Virtual-if 0
[FW-Virtual-if0] ip address 172.16.0.1 24
[FW-Virtual-if0] quit
[FW] firewall zone trust
[FW-zone-trust] add interface Virtual-if0
[FW-zone-trust] quit
复制代码
为vsysa
的捏造接口Virtual-if1配置IP地点,并将接口加入Untrust区域。Virtual-if1接口上的IP地点可设置为任意值,包管不与其他接口上的IP地点冲突即可。
[FW-vsysa] interface Virtual-if 1
[FW-vsysa-Virtual-if1] ip address 172.16.1.1 24
[FW-vsysa-Virtual-if1] quit
[FW-vsysa] firewall zone untrust
[FW-vsysa-zone-untrust] add interface Virtual-if1
[FW-vsysa-zone-untrust] quit
复制代码
配置允许vsysa内用户访问vsysb内服务器的策略。
[FW-vsysa] security-policy
[FW-vsysa-policy-security] rule name to_server
[FW-vsysa-policy-security-rule-to_internet] source-zone trust
[FW-vsysa-policy-security-rule-to_internet] destination-zone untrust
[FW-vsysa-policy-security-rule-to_internet] source-address 10.3.0.0 24
[FW-vsysa-policy-security-rule-to_internet] destination-address 10.3.1.3 32
[FW-vsysa-policy-security-rule-to_internet] action permit
[FW-vsysa-policy-security-rule-to_internet] quit
[FW-vsysa-policy-security] quit
复制代码
为vsysb
的捏造接口Virtual-if2配置IP地点,并将接口加入Untrust区域。Virtual-if2接口上的IP地点可设置为任意值,包管不与其他接口上的IP地点冲突即可。
[FW-vsysb] interface Virtual-if 2
[FW-vsysb-Virtual-if1] ip address 172.16.2.1 24
[FW-vsysb-Virtual-if1] quit
[FW-vsysb] firewall zone untrust
[FW-vsysb-zone-untrust] add interface Virtual-if2
[FW-vsysb-zone-untrust] quit
复制代码
配置允许vsysa内用户访问vsysb内服务器的策略。
[FW-vsysb] security-policy
[FW-vsysb-policy-security] rule name vsysa_to_server
[FW-vsysb-policy-security-rule-vsysa_to_vsysb] source-zone untrust
[FW-vsysb-policy-security-rule-vsysa_to_vsysb] destination-zone trust
[FW-vsysb-policy-security-rule-vsysa_to_vsysb] source-address 10.3.0.0 24
[FW-vsysb-policy-security-rule-vsysa_to_vsysb] destination-address 10.3.1.3 32
[FW-vsysb-policy-security-rule-vsysa_to_vsysb] action permit
[FW-vsysb-policy-security-rule-vsysa_to_vsysb] quit
[FW-vsysb-policy-security] quit
复制代码
配置验证。
PC>ping 10.3.1.3
Ping 10.3.1.3: 32 data bytes, Press Ctrl_C to break
From 10.3.1.3: bytes=32 seq=1 ttl=127 time=79 ms
复制代码
实验
免责声明:如果侵犯了您的权益,请联系站长,我们会及时删除侵权内容,谢谢合作!更多信息从访问主页:qidao123.com:ToB企服之家,中国第一个企服评测及商务社交产业平台。
本帖子中包含更多资源
您需要
登录
才可以下载或查看,没有账号?
立即注册
x
回复
使用道具
举报
0 个回复
倒序浏览
返回列表
快速回复
高级模式
B
Color
Image
Link
Quote
Code
Smilies
您需要登录后才可以回帖
登录
or
立即注册
本版积分规则
发表回复
回帖并转播
回帖后跳转到最后一页
发新帖
回复
张国伟
金牌会员
这个人很懒什么都没写!
楼主热帖
浅入浅出 1.7和1.8的 HashMap
Prometheus配置Basic Auth进行安全防护 ...
MyBatis 查询数据库
MySQL与Java常用数据类型的对应关系 ...
红日安全内网渗透靶场-VulnStack-1 ...
《Terraform 101 从入门到实践》 前言 ...
java生态下后端开发都有哪些技术栈? ...
ThinkPHP5 远程命令执行漏洞
JAVA 装箱拆箱--到底指什么呢? ...
翻译|K8s权限提升: 集群中过多权限引发 ...
标签云
挺好的
服务器
快速回复
返回顶部
返回列表