邊界安全部署最佳實踐x課件

邊界安全部署最佳實踐

日期：2007年7月13日

杭州華三通信技術(shù)有限公司邊界安全部署最佳實踐日期：2007年7月13日杭州華三網(wǎng)絡(luò)園區(qū)邊界定義邊界安全部署簡介邊界安全部署典型應(yīng)用場景目錄網(wǎng)絡(luò)園區(qū)邊界定義目錄網(wǎng)絡(luò)園區(qū)邊界定義邊界網(wǎng)絡(luò)的定義是園區(qū)網(wǎng)連接到廣域網(wǎng)/Internet等外部網(wǎng)絡(luò)的邊緣區(qū)域；在園區(qū)網(wǎng)的設(shè)計中按照區(qū)域的劃分會產(chǎn)生多個邊界網(wǎng)絡(luò)；通常對于園區(qū)的邊界有以下幾種定義：廣域網(wǎng)出口公共服務(wù)器區(qū)域分支結(jié)構(gòu)VPN遠程用戶VPNPSTN撥號用戶Internet出口網(wǎng)絡(luò)園區(qū)邊界定義邊界網(wǎng)絡(luò)的定義是園區(qū)網(wǎng)連接到廣域網(wǎng)/InteRemote

AcessBranchSiteRouterSwitchInternetServiceLocalNetworkExternalConnector邊緣本地外部網(wǎng)絡(luò)園區(qū)邊界定義－互聯(lián)網(wǎng)Remote

AcessBranchSiteRouterS網(wǎng)絡(luò)園區(qū)邊界定義邊界安全部署簡介邊界安全部署典型應(yīng)用場景目錄網(wǎng)絡(luò)園區(qū)邊界定義目錄邊界安全部署簡介為什么需要進行邊界安全部署？因為現(xiàn)在的網(wǎng)絡(luò)非常脆弱，不安全。導(dǎo)致現(xiàn)在網(wǎng)絡(luò)脆弱的原因有很多種，三把雙刃劍：大量業(yè)務(wù)服務(wù)器長時間暴露在公眾環(huán)境中，使黑客輕易就可以找到想攻擊的目標(biāo)；攻擊工具的高度發(fā)展，使攻擊難度急劇下降，只要稍懂一點計算機操作的人就可以成功發(fā)起一次攻擊；網(wǎng)絡(luò)病毒的泛濫，帶來的經(jīng)濟損失和應(yīng)用規(guī)模成正比；IPv4是簡單開放的，本身就沒有考慮安全因素。邊界安全部署簡介為什么需要進行邊界安全部署？因為現(xiàn)在的網(wǎng)絡(luò)非邊界安全部署簡介如何對脆弱的網(wǎng)絡(luò)進行彌補？根據(jù)網(wǎng)絡(luò)的病根對癥下藥：在園區(qū)邊界出口通過部署防火墻和IPS，將網(wǎng)絡(luò)攻擊與病毒入侵終結(jié)在園區(qū)邊界；VPN（VirtualPrivateNetwork：虛擬私有網(wǎng)）在實現(xiàn)公用網(wǎng)絡(luò)上構(gòu)建私人專用網(wǎng)絡(luò)的同時，IPSec隧道加密技術(shù)也彌補了IPv4的簡單和開放；通過對園區(qū)網(wǎng)進出流量的分析和監(jiān)控，及時發(fā)現(xiàn)流量異常，來消除無法預(yù)知的不穩(wěn)定因素；邊界安全部署簡介如何對脆弱的網(wǎng)絡(luò)進行彌補？邊界安全部署簡介—H3C解決方案H3C邊界安全部署最佳實踐解決方案通過在邊界入口處部署VPN網(wǎng)關(guān)、防火墻、IPS、NSM/NAM等設(shè)備，一方面阻止來自Internet對受保護網(wǎng)絡(luò)的未授權(quán)或未認證的訪問，另一方面允許內(nèi)部網(wǎng)絡(luò)的用戶安全的對Internet進行Web訪問或收發(fā)E-mail等。企業(yè)中心可以使用雙機熱備，這樣當(dāng)故障發(fā)生的時候，業(yè)務(wù)也能很快恢復(fù)，給用戶提供了十分可靠的運行環(huán)境?？赏ㄟ^在園區(qū)邊界處部署雙VPN網(wǎng)關(guān)和防火墻，為用戶安全、可靠的使用網(wǎng)絡(luò)提供了很好的保障。NSM/NAM是網(wǎng)絡(luò)安全監(jiān)控的簡稱，是H3C公司在防火墻和路由器上開發(fā)的流量監(jiān)控軟硬件平臺。NSM/NAM單板，可以對流經(jīng)設(shè)備上的所有在線流量進行統(tǒng)計和安全分析，對流量進行采樣記錄并對歷史流量進行安全分析，能對包括IP/none-IP的、2至7層的多種協(xié)議進行分析，為網(wǎng)絡(luò)管理員提供網(wǎng)絡(luò)安全服務(wù)。NSM/NAM提供方便友好的用戶配置，支持圖形化的分析結(jié)果查詢，方便用戶使用。邊界安全部署簡介—H3C解決方案H3C邊界安全邊界安全部署簡介—H3C解決方案網(wǎng)管ServerLSWVPNserverVPNClientVPNClient分支節(jié)點2分支節(jié)點1防火墻/IPS：攻擊與病毒止步NSM/NAM：一切盡在掌握中IPSecVPN：加密報文讓黑客們一無所獲邊界安全部署簡介—H3C解決方案網(wǎng)管ServerLSWVPN網(wǎng)絡(luò)園區(qū)邊界定義邊界安全部署簡介邊界安全部署典型應(yīng)用場景目錄網(wǎng)絡(luò)園區(qū)邊界定義目錄邊界安全部署典型應(yīng)用場景H3C邊界安全部署最佳實踐解決方案針對不同用戶群的需求，分別設(shè)計了多套應(yīng)用組網(wǎng)。對于園區(qū)規(guī)模較小，性能、可靠性要求不高的用戶，我們推薦使用單設(shè)備園區(qū)出口邊界安全部署組網(wǎng)方式，本組網(wǎng)僅使用H3C的一臺MSR路由器或者SecPath安全產(chǎn)品，集成VPN網(wǎng)關(guān)、防火墻功能，并可以通過在該設(shè)備上配置NAM（MSR）或者NSM（SecPath）對園區(qū)進出口流量進行監(jiān)控；對于園區(qū)規(guī)模較大的用戶，我們推薦在本組網(wǎng)中加入專業(yè)的防火墻、IPS等設(shè)備增加邊界安全性；對邊界安全性能、可靠性要求都較高的用戶，我們推薦使用園區(qū)網(wǎng)絡(luò)多出口邊界安全部署組網(wǎng)方式，本組網(wǎng)在使用專業(yè)網(wǎng)關(guān)設(shè)備的同時，通過部署雙VPN網(wǎng)關(guān)實現(xiàn)負載均衡和備份，部署雙防火墻實現(xiàn)狀態(tài)熱備，提供園區(qū)出口的高可靠性；邊界安全部署典型應(yīng)用場景H3C邊界安全部署最單設(shè)備園區(qū)出口邊界安全部署組網(wǎng)園區(qū)網(wǎng)絡(luò)Internet公共服務(wù)器路由器/

安全網(wǎng)關(guān)/VPN網(wǎng)關(guān)ISP路由器園區(qū)邊界設(shè)備MSR50/30/20AR28/46SecPath系列分支機構(gòu)VPN網(wǎng)關(guān)移動用戶211.2.10.1/24192.168.0.1/24192.168.1.1/24192.168.0.100/24211.4.1.2/24單設(shè)備園區(qū)出口邊界安全部署組網(wǎng)園區(qū)網(wǎng)絡(luò)Internet公共服單設(shè)備出口組網(wǎng)說明本組網(wǎng)非常簡單，僅一臺出口設(shè)備，易于管理；H3C公司的MSR/AR/SecPath系列產(chǎn)品可提供強大的VPN功能，遠程分支、移動用戶可以通過單IPSec、GREoverIPSec、L2TPoverIPSec等多種VPN方式接入園區(qū)總部；L2TP可以提供用戶認證功能，GRE隧道可以讓企業(yè)分支與總部進行私網(wǎng)路由的交互，IPSec加密功能可以確保通訊報文的保密性和可靠性；H3C公司的MSR/AR/SecPath系列產(chǎn)品同時也可以作為安全網(wǎng)關(guān)使用，支持NAT、ACL訪問控制、ASPF、深度業(yè)務(wù)監(jiān)控等典型應(yīng)用；出口設(shè)備上配置的NAM/NSM板卡對進出口流量進行有效的分析和監(jiān)控；出口設(shè)備公網(wǎng)接口上配置NAT，讓內(nèi)部用戶可以訪問internet；出口設(shè)備公網(wǎng)接口上配置NATserver，讓internet用戶可以訪問公共服務(wù)器；單設(shè)備出口組網(wǎng)說明本組網(wǎng)非常簡單，僅一臺出口設(shè)備，易于管理；單設(shè)備出口組網(wǎng)配置說明

——遠程VPN接入分支機構(gòu)VPN接入，接入方式：單IPSec隧道方式IPSec的remote地址為園區(qū)出口VPN網(wǎng)關(guān)的公網(wǎng)地址；IPSec采用野蠻模式，支持NAT穿越功能；IPSec感興趣流為分支機構(gòu)私網(wǎng)網(wǎng)段地址到總部園區(qū)網(wǎng)網(wǎng)段地址；分支設(shè)備公網(wǎng)接口上啟用IPSec策略；遠程移動用戶使用iNodeVPN客戶端接入，接入方式：L2TPoverIPSec新建iNode連接，iNodeVPN啟用IPSec安全協(xié)議；L2TPLNS服務(wù)器地址、IPSec服務(wù)器地址都設(shè)置為園區(qū)出口VPN網(wǎng)關(guān)的公網(wǎng)地址；IPSec使用隧道方式，啟用NAT穿越功能；單設(shè)備出口組網(wǎng)配置說明

單設(shè)備出口組網(wǎng)配置說明

——總部VPN配置總部VPN網(wǎng)關(guān)配置作為L2TPLNS端的基本配置，包括用戶名、地址池、虛接口、L2TP組相關(guān)配置；由于遠程移動接入用戶公網(wǎng)IP的不確定性，總部IPSec使用動態(tài)模板方式，先建立IPSec動態(tài)模板，然后用動態(tài)模板建立IPSec策略；在VPN網(wǎng)關(guān)公網(wǎng)接口上啟用IPSec策略單設(shè)備出口組網(wǎng)配置說明

單設(shè)備出口組網(wǎng)配置說明

——防火墻配置總部防火墻網(wǎng)關(guān)：SecPath系列放火墻可支持ACL訪問控制、ASPF（基于應(yīng)用層的報文過濾）、深度業(yè)務(wù)監(jiān)控等多種功能，下面僅以啟用ASPF功能為例：系統(tǒng)視圖下：#新建ASPF策略，添加需要檢測的應(yīng)用層協(xié)議tcp；aspf-policy1detecttcp＃在防火墻網(wǎng)關(guān)公網(wǎng)接口上啟用ASPF策略，本策略僅允許從園區(qū)網(wǎng)內(nèi)部主動發(fā)起的TCP連接，即如果報文是內(nèi)部網(wǎng)絡(luò)用戶發(fā)起的TCP連接的返回報文，則允許其通過防火墻進入內(nèi)部網(wǎng)絡(luò)，其他報文被禁止；interfaceGigabitEthernet0/0firewallaspf1outbound

單設(shè)備出口組網(wǎng)配置說明

單設(shè)備出口組網(wǎng)配置說明

——NAT配置園區(qū)內(nèi)部通過NAT訪問internet

首先需要確認訪問internet的流量，然后對這些流量的地址進行NAT轉(zhuǎn)換，其次要設(shè)置地址池，即申請到的公網(wǎng)地址。假設(shè)分支的IP地址都規(guī)劃在172.0.0.0/8網(wǎng)段，園區(qū)內(nèi)部IP地址規(guī)劃在192.168.0.0/16網(wǎng)段。＃私網(wǎng)訪問公網(wǎng)的流量需要進行NAT轉(zhuǎn)換 aclnumber3000 rule0permitipsource192.168.0.00.0.255.255 rule1denyipdestination172.0.0.00.0.0.255＃申請到的公網(wǎng)IP，與公網(wǎng)接口在同一個網(wǎng)段nataddress-group0211.2.10.1211.2.10.2＃公網(wǎng)接口上啟用nat interfaceGigabitEthernet0/1natoutbound3000address-group0單設(shè)備出口組網(wǎng)配置說明

單設(shè)備出口組網(wǎng)配置說明

——NATServer配置單設(shè)備出口組網(wǎng)配置說明

單設(shè)備出口組網(wǎng)配置說明

——NSM配置（1）設(shè)備側(cè)流量鏡像配置：NSM版卡插在SecPath防火墻上，需要在SecPath上將流量鏡像到NSM板卡內(nèi)部接口上，NSM對收到的報文進行分析。SecPath上需要進行的配置：#將網(wǎng)關(guān)內(nèi)網(wǎng)接口上的進出流量都鏡像到NSM內(nèi)部端口上進行統(tǒng)計，NSM插在三槽位；interfaceGigabitEthernet0/1mirrortoGigabitEthernet3/0bothNSM配置：/*管理口IP配置為192.0.0.1，默認網(wǎng)關(guān)為192.0.0.10（管理口直連設(shè)備接口地址）*/單設(shè)備出口組網(wǎng)配置說明

單設(shè)備出口組網(wǎng)配置說明

——NSM配置（2）NSM配置（續(xù)）：如果用戶需要在遠程監(jiān)控室中登陸NSM，觀察流量分析結(jié)果，需要將NSM的管理口eth1接入到園區(qū)網(wǎng)中，并將該路由發(fā)布出去，NSM管理口的默認網(wǎng)關(guān)設(shè)置為其直連設(shè)備接口的IP地址；選擇eth0作為觀察接口，即可以觀察到SecPath上的流量情況。

單設(shè)備出口組網(wǎng)配置說明

園區(qū)網(wǎng)Internet公共服務(wù)器防火墻/VPN/NATInternet

出口路由器專網(wǎng)WAN

出口路由器遠程分支機構(gòu)IPSIPSInternet/WAN移動用戶多出口網(wǎng)關(guān)集成邊界安全部署組網(wǎng)園區(qū)網(wǎng)Internet公共服務(wù)器防火墻/VPN/NATInt多出口網(wǎng)關(guān)集成出口組網(wǎng)說明（1）本組網(wǎng)中VPN網(wǎng)關(guān)、防火墻功能都集成在H3C的SecPath產(chǎn)品上，提供遠程VPN接入及攻擊防護功能；這里使用兩臺設(shè)備實現(xiàn)雙VPN網(wǎng)關(guān)及防火墻的備份；網(wǎng)關(guān)備份實現(xiàn)方式：VPN隧道使用GREoverIPSec方式，在GREtunnel口上啟用OSPF動態(tài)路由，并通過配置路由cost值的不同達到備份的目的，正常情況下流量進出走cost值小的隧道，當(dāng)該隧道中斷后，流量會自動切換到cost值大的隧道上。網(wǎng)關(guān)負載分擔(dān)實現(xiàn)方式：不同的分支選擇不同的VPN網(wǎng)關(guān)作為主設(shè)備，這樣正常情況下，流量就會分布在兩臺設(shè)備上。在兩臺SecPath上都配置NSM板卡，NSM板工作在NSM＋nProbe方式下，該方式可以使兩塊NSM板卡的流量采集功能互為備份，后面對具體配置進行說明。多出口網(wǎng)關(guān)集成出口組網(wǎng)說明（1）本組網(wǎng)中VPN網(wǎng)關(guān)、防火墻功多出口網(wǎng)關(guān)集成出口組網(wǎng)說明（2）如果內(nèi)部用戶需要訪問internet，可以在兩臺SecPath的公網(wǎng)接口上配置NAT；internet訪問的備份實現(xiàn)方式：兩臺SecPath上的私網(wǎng)動態(tài)路由中都引入訪問internet的默認路由，這樣園區(qū)內(nèi)部設(shè)備將有兩條訪問internet的默認路由，可以進行負載分擔(dān)和冗余備份。如果園區(qū)內(nèi)部有公共服務(wù)器需要對internet用戶提供服務(wù)，則需要在兩臺SecPath的公網(wǎng)接口上配置NATserver。該服務(wù)的備份實現(xiàn)方式：NATserver的外網(wǎng)地址使用網(wǎng)關(guān)設(shè)備公網(wǎng)接口的VRRP虛地址，當(dāng)VRRP主設(shè)備故障后，VRRP組的從設(shè)備將變?yōu)橹髟O(shè)備，繼續(xù)執(zhí)行NATserver功能。多出口網(wǎng)關(guān)集成出口組網(wǎng)說明（2）如果內(nèi)部用戶需要訪問inte多出口網(wǎng)關(guān)集成組網(wǎng)配置說明

——遠程VPN接入分支機構(gòu)VPN接入，接入方式：GREoverIPSec隧道方式分支設(shè)備分別與總部（園區(qū)出口）的兩臺VPN網(wǎng)關(guān)建立GREoverIPSEC隧道：分支的GRE隧道的源/目的IP分別為分支/總部網(wǎng)關(guān)的Loopback口地址；并在tunnel口上啟用OSPF，與總部交互私網(wǎng)路由；分支IPSEC的感興趣流源/目的IP分別為分支/總部網(wǎng)關(guān)的Loopback口地址；分支啟用DPD功能，便于隧道的快速切換；分支設(shè)備公網(wǎng)接口上啟用IPSec策略；遠程移動用戶使用iNodeVPN客戶端接入，接入方式：L2TPoverIPSec新建連接，iNodeVPN啟用IPSec安全協(xié)議；L2TPLNS服務(wù)器地址、IPSec服務(wù)器地址都設(shè)置為園區(qū)出口VPN網(wǎng)關(guān)的公網(wǎng)地址；因為有兩個VPN網(wǎng)關(guān)，所以可以建立兩個新連接，一個作為備用；多出口網(wǎng)關(guān)集成組網(wǎng)配置說明

多出口網(wǎng)關(guān)集成組網(wǎng)配置說明

——總部VPN配置總部VPN網(wǎng)關(guān)配置作為L2TPLNS端的基本配置，包括用戶名、地址池、虛接口、L2TP相關(guān)配置；總部的GRE隧道的源/目的IP分別為總部/分支的Loopback口地址；并在Tunnel口上啟用OSPF，與私網(wǎng)路由進行交互；由于遠程移動接入用戶公網(wǎng)IP的不確定性，IPSec使用動態(tài)模板方式，先建立IPSec動態(tài)模板，然后用動態(tài)模板建立IPSec策略；在VPN網(wǎng)關(guān)公網(wǎng)接口上啟用IPSec策略；多出口網(wǎng)關(guān)集成組網(wǎng)配置說明

多出口網(wǎng)關(guān)集成組網(wǎng)配置說明

——防火墻配置總部防火墻網(wǎng)關(guān)：SecPath系列放火墻可支持ACL訪問控制、ASPF（基于應(yīng)用層的報文過濾）、深度業(yè)務(wù)監(jiān)控等多種功能，下面僅以啟用ASPF功能為例，兩臺防火墻上都進行如下配置：系統(tǒng)視圖下：#新建ASPF策略，添加需要檢測的應(yīng)用層協(xié)議tcp；aspf-policy1detecttcp＃在防火墻網(wǎng)關(guān)公網(wǎng)接口上啟用ASPF策略，本策略僅允許從園區(qū)網(wǎng)內(nèi)部主動發(fā)起的TCP連接，即如果報文是內(nèi)部網(wǎng)絡(luò)用戶發(fā)起的TCP連接的返回報文，則允許其通過防火墻進入內(nèi)部網(wǎng)絡(luò)，其他報文被禁止；interfaceGigabitEthernet0/0firewallaspf1outbound

多出口網(wǎng)關(guān)集成組網(wǎng)配置說明

多出口網(wǎng)關(guān)集成組網(wǎng)配置說明

——NAT配置園區(qū)內(nèi)部通過NAT訪問internet

首先需要確認訪問internet的流量，然后對這些流量的地址進行NAT轉(zhuǎn)換，其次要設(shè)置地址池，即申請到的公網(wǎng)地址。假設(shè)分支的IP地址都規(guī)劃在172.0.0.0/8網(wǎng)段，園區(qū)內(nèi)部IP地址規(guī)劃在192.168.0.0/16網(wǎng)段。兩臺網(wǎng)關(guān)設(shè)備上都進行如下配置后，將默認路由引入到私網(wǎng)動態(tài)路由中即可。＃私網(wǎng)訪問公網(wǎng)的流量需要進行NAT轉(zhuǎn)換 aclnumber3000 rule0permitipsource192.168.0.00.0.255.255 rule1denyipdestination172.0.0.00.0.0.255＃申請到的公網(wǎng)IP，與公網(wǎng)接口在同一個網(wǎng)段nataddress-group0211.2.10.1211.2.10.2＃公網(wǎng)接口上啟用nat interfaceGigabitEthernet0/1natoutbound3000address-group0多出口網(wǎng)關(guān)集成組網(wǎng)配置說明

多出口網(wǎng)關(guān)集成組網(wǎng)配置說明

——NATServer配置多出口網(wǎng)關(guān)集成組網(wǎng)配置說明

多出口網(wǎng)關(guān)集成組網(wǎng)配置說明

——NSM配置（1）在本組網(wǎng)中存在兩臺網(wǎng)關(guān)設(shè)備進行負載分擔(dān)和冗余備份，為了實時、方便的采集園區(qū)網(wǎng)進出口的所有流量，我們在兩臺網(wǎng)關(guān)設(shè)備上分別部署一塊NSM板卡，使用NSM＋nProbe方式對流量進行采集。該方式是在設(shè)備將原始流量鏡像到NSM的內(nèi)部口eth0上后，nProbe首先對原始流量進行處理，將其統(tǒng)計為netflow流，然后將netflow流發(fā)給兩塊NSM板卡的內(nèi)部管理口eth1，NSM上啟用netflow口接收并處理該netflow流，達到流量統(tǒng)計的目的；設(shè)備側(cè)流量鏡像配置：NSM板卡插在SecPath防火墻上，需要在SecPath上將流量鏡像到NSM板卡內(nèi)部接口上，NSM對收到的報文進行分析。SecPath上需要進行的配置：#將網(wǎng)關(guān)內(nèi)網(wǎng)接口上的流量都鏡像到NSM內(nèi)部端口上進行統(tǒng)計，NSM插在三槽位；interfaceGigabitEthernet0/1mirrortoGigabitEthernet3/0both多出口網(wǎng)關(guān)集成組網(wǎng)配置說明

多出口網(wǎng)關(guān)集成組網(wǎng)配置說明

——NSM配置（2）防火墻網(wǎng)關(guān)a：NSM板卡配置/*管理口IP配置為192.0.0.1默認網(wǎng)關(guān)為192.0.0.10（管理口直連設(shè)備接口地址）*//*nProbe產(chǎn)生的netflow發(fā)送地址，為主備網(wǎng)關(guān)的管理口IP地址*/多出口網(wǎng)關(guān)集成組網(wǎng)配置說明

多出口網(wǎng)關(guān)集成組網(wǎng)配置說明

——NSM配置（3）防火墻網(wǎng)關(guān)a：NSM板卡配置（續(xù)）/*netflow接口，端口號為65535，與nProbe上的配置相對應(yīng)*//*選擇該netflow接口作為顯示接口即可*/防火墻網(wǎng)關(guān)b：NSM板卡配置與防火墻網(wǎng)關(guān)a上NSM的配置基本相同，除了管理口IP設(shè)置為192.0.0.2。兩臺防火墻的NSM管理口需要連著同一個交換機上，并接入到園區(qū)網(wǎng)設(shè)備，設(shè)備將該路由在園區(qū)網(wǎng)中發(fā)布出去，這樣客戶就可以遠程登陸NSM觀察流量統(tǒng)計情況。多出口網(wǎng)關(guān)集成組網(wǎng)配置說明

多出口網(wǎng)關(guān)分離邊界安全組網(wǎng)Internet公共服務(wù)器防火墻園區(qū)邊界Internet

出口路由器專網(wǎng)WAN

出口路由器遠程分支機構(gòu)VPN網(wǎng)關(guān)IPSIPSInternet/WAN移動用戶園區(qū)網(wǎng)多出口網(wǎng)關(guān)分離邊界安全組網(wǎng)Internet公共服務(wù)器防火墻園多出口網(wǎng)關(guān)分離組網(wǎng)相對于多出口網(wǎng)關(guān)集成組網(wǎng)，其主要的差別首先在于VPN網(wǎng)關(guān)、防火墻網(wǎng)關(guān)功能由兩款專業(yè)的設(shè)備分別實現(xiàn)，提高了園區(qū)出口的性能。VPN網(wǎng)關(guān)、防火墻網(wǎng)關(guān)的配置與網(wǎng)關(guān)集成出口組網(wǎng)配置一樣，只是部署在不同的設(shè)備上。第二個差別是本組網(wǎng)中啟用了狀態(tài)熱備功能，該功能可以保障在主網(wǎng)關(guān)發(fā)生故障時，應(yīng)用連接不中斷的情況下進行網(wǎng)關(guān)切換。下面描述一下狀態(tài)熱備的相關(guān)配置。多出口網(wǎng)關(guān)分離邊界安全組網(wǎng)配置說明多出口網(wǎng)關(guān)分離組網(wǎng)相對于多出口網(wǎng)關(guān)集成組網(wǎng)，其主要的差別首先多出口網(wǎng)關(guān)分離組網(wǎng)配置說明

——防火墻配置（1）總部防火墻網(wǎng)關(guān)a：啟用防火墻網(wǎng)橋模式下的狀態(tài)熱備；假設(shè)接口G0/0、G0/1為數(shù)據(jù)轉(zhuǎn)發(fā)接口。E1/1為HA接口，即用于傳輸雙機熱備的協(xié)商報文和業(yè)務(wù)同步數(shù)據(jù)，將兩臺防火墻設(shè)備的HA接口直連。這里的配置不涉及防火墻的具體防御功能。系統(tǒng)視圖下：#配置防火墻使能網(wǎng)橋功能，并使能橋組1

bridgeenablebridge1enable

#將接口加入到橋組

interfaceGigabitEthernet0/0bridge-set1interfaceGigabitEthernet0/1bridge-set1多出口網(wǎng)關(guān)分離組網(wǎng)配置說明

多出口網(wǎng)關(guān)分離組網(wǎng)配置說明

——防火墻配置（2）總部防火墻網(wǎng)關(guān)a：啟用防火墻網(wǎng)橋模式下的狀態(tài)熱備（續(xù)）；#創(chuàng)建冗余設(shè)備對象RDO1rdo1ha-interfaceinterfaceEthernet1/1peer-macffff-ffff-ffffad-interval1vif1interfaceGigabitEthernet0/0vif2interfaceGigabitEthernet0/1總部防火墻網(wǎng)關(guān)b：啟用防火墻網(wǎng)橋模式下的狀態(tài)熱備；防火墻b上的配置與a上一致；多出口網(wǎng)關(guān)分離組網(wǎng)配置說明

邊界安全部署最佳實踐x課件1、Geniusonlymeanshard-workingallone'slife.(Mendeleyer,RussianChemist)

天才只意味著終身不懈的努力。20.8.58.5.202011:0311:03:10Aug-2011:032、Ourdestinyoffersnotonlythecupofdespair,butthechaliceofopportunity.(RichardNixon,AmericanPresident)命運給予我們的不是失望之酒，而是機會之杯。二〇二〇年八月五日2020年8月5日星期三3、Patienceisbitter,butitsfruitissweet.(JeanJacquesRousseau,Frenchthinker)忍耐是痛苦的，但它的果實是甜蜜的。11:038.5.202011:038.5.202011:0311:03:108.5.202011:038.5.20204、Allthatyoudo,dowithyourmight;thingsdonebyhalvesareneverdoneright.----R.H.Stoddard,Americanpoet做一切事都應(yīng)盡力而為，半途而廢永遠不行8.5.20208.5.202011:0311:0311:03:1011:03:105、Youhavetobelieveinyourself.That'sthesecretofsuccess.----CharlesChaplin人必須相信自己，這是成功的秘訣。-Wednesday,August5,2020August20Wednesday,August5,20208/5/20206、Almostanysituation---goodorbad---isaffectedbytheattitudewebringto.----LuciusAnnausSeneca差不多任何一種處境---無論是好是壞---都受到我們對待處境態(tài)度的影響。11時3分11時3分5-Aug-208.5.20207、Althoughtheworldisfullofsuffering,itisfullalsooftheovercomingofit.----HellenKeller,Americanwriter雖然世界多苦難，但是苦難總是能戰(zhàn)勝的。20.8.520.8.520.8.5。2020年8月5日星期三二〇二〇年八月五日8、Formanismanandmasterofhisfate.----Tennyson人就是人，是自己命運的主人11:0311:03:108.5.2020Wednesday,August5,20209、Whensuccesscomesinthedoor,itseems,loveoftengoesoutthewindow.-----JoyceBrothers成功來到門前時，愛情往往就走出了窗外。11:038.5.202011:038.5.202011:0311:03:108.5.202011:038.5.202010、Lifeismeasuredbythoughtandaction,notbytime.——Lubbock衡量生命的尺度是思想和行為，而不是時間。8.5.20208.5.202011:0311:0311:03:1011:03:1011、Tomakealastingmarriagewehavetoovercomeself-centeredness.要使婚姻長久，就需克服自我中心意識。Wednesday,August5,2020August20Wednesday,August5,20208/5/202012、Treatotherpeopleasyouhopetheywilltreatyou.你希望別人如何對待你，你就如何對待別人。11時3分11時3分5-Aug-208.5.202013、Todowhateverneedstobedoneto

preservethislastandgreatestbastionof

freedom.(RonaldReagan,AmericanPresident)為了保住這最后的、最偉大的自由堡壘，我們必須盡我們所能。20.8.520.8.5Wednesday,August5,202014、Wherethereisawill,thereisaway.(ThomasEdison,Americaninventor)有志者，事竟成。11:01:1911:01:1911:018/5/202011:01:19AM15、

Everymanisthemasterofhisownfortune.----RichardSteele每個人都主宰自己的命運。20.8.511:01:1911:01Aug-205-Aug-2016、Asselfishnessandcomplaintcloudthemind,solovewithitsjoyclearsandsharpensthevision.----HelenKeller自私和抱怨是心靈的陰暗，愉快的愛則使視野明朗開闊。11:01:1911:01:1911:01Wednesday,August5,202017、Donot,foronerepulse,giveupthepurposethatyouresolvedtoeffect.----WillianShakespeare,Britishdramatist不要只因一次失敗，就放棄你原來決心想達到的目的。20.8.520.8.511:01:1911:01:19August5,202018、Thereisnoabsolutesuccessintheworld,onlyconstantprogress.世界上的事沒有絕對成功，只有不斷的進步。2020年8月5日星期三上午11時1分19秒11:01:1920.8.519、Nothingismorefataltohappinessthantheremembranceofhappiness.

沒有什么比回憶幸福更令人痛苦的了。2020年8月上午11時1分20.8.511:01August5,202020、Nomanishappywhodoesnotthinkhimselfso.——PubliliusSyrus認為自己不幸福的人就不會幸福。2020年8月5日星期三11時1分19秒11:01:195August202021、Theemperortreatstalentastools,usingtheirstrongpointtohisadvantage.

君子用人如器，各取所長。上午11時1分19秒上午11時1分11:01:1920.8.5謝謝觀看THEEND1、Geniusonlymeanshard-worki36邊界安全部署最佳實踐

日期：2007年7月13日

杭州華三通信技術(shù)有限公司邊界安全部署最佳實踐日期：2007年7月13日杭州華三網(wǎng)絡(luò)園區(qū)邊界定義邊界安全部署簡介邊界安全部署典型應(yīng)用場景目錄網(wǎng)絡(luò)園區(qū)邊界定義目錄網(wǎng)絡(luò)園區(qū)邊界定義邊界網(wǎng)絡(luò)的定義是園區(qū)網(wǎng)連接到廣域網(wǎng)/Internet等外部網(wǎng)絡(luò)的邊緣區(qū)域；在園區(qū)網(wǎng)的設(shè)計中按照區(qū)域的劃分會產(chǎn)生多個邊界網(wǎng)絡(luò)；通常對于園區(qū)的邊界有以下幾種定義：廣域網(wǎng)出口公共服務(wù)器區(qū)域分支結(jié)構(gòu)VPN遠程用戶VPNPSTN撥號用戶Internet出口網(wǎng)絡(luò)園區(qū)邊界定義邊界網(wǎng)絡(luò)的定義是園區(qū)網(wǎng)連接到廣域網(wǎng)/InteRemote

AcessBranchSiteRouterSwitchInternetServiceLocalNetworkExternalConnector邊緣本地外部網(wǎng)絡(luò)園區(qū)邊界定義－互聯(lián)網(wǎng)Remote

AcessBranchSiteRouterS網(wǎng)絡(luò)園區(qū)邊界定義邊界安全部署簡介邊界安全部署典型應(yīng)用場景目錄網(wǎng)絡(luò)園區(qū)邊界定義目錄邊界安全部署簡介為什么需要進行邊界安全部署？因為現(xiàn)在的網(wǎng)絡(luò)非常脆弱，不安全。導(dǎo)致現(xiàn)在網(wǎng)絡(luò)脆弱的原因有很多種，三把雙刃劍：大量業(yè)務(wù)服務(wù)器長時間暴露在公眾環(huán)境中，使黑客輕易就可以找到想攻擊的目標(biāo)；攻擊工具的高度發(fā)展，使攻擊難度急劇下降，只要稍懂一點計算機操作的人就可以成功發(fā)起一次攻擊；網(wǎng)絡(luò)病毒的泛濫，帶來的經(jīng)濟損失和應(yīng)用規(guī)模成正比；IPv4是簡單開放的，本身就沒有考慮安全因素。邊界安全部署簡介為什么需要進行邊界安全部署？因為現(xiàn)在的網(wǎng)絡(luò)非邊界安全部署簡介如何對脆弱的網(wǎng)絡(luò)進行彌補？根據(jù)網(wǎng)絡(luò)的病根對癥下藥：在園區(qū)邊界出口通過部署防火墻和IPS，將網(wǎng)絡(luò)攻擊與病毒入侵終結(jié)在園區(qū)邊界；VPN（VirtualPrivateNetwork：虛擬私有網(wǎng)）在實現(xiàn)公用網(wǎng)絡(luò)上構(gòu)建私人專用網(wǎng)絡(luò)的同時，IPSec隧道加密技術(shù)也彌補了IPv4的簡單和開放；通過對園區(qū)網(wǎng)進出流量的分析和監(jiān)控，及時發(fā)現(xiàn)流量異常，來消除無法預(yù)知的不穩(wěn)定因素；邊界安全部署簡介如何對脆弱的網(wǎng)絡(luò)進行彌補？邊界安全部署簡介—H3C解決方案H3C邊界安全部署最佳實踐解決方案通過在邊界入口處部署VPN網(wǎng)關(guān)、防火墻、IPS、NSM/NAM等設(shè)備，一方面阻止來自Internet對受保護網(wǎng)絡(luò)的未授權(quán)或未認證的訪問，另一方面允許內(nèi)部網(wǎng)絡(luò)的用戶安全的對Internet進行Web訪問或收發(fā)E-mail等。企業(yè)中心可以使用雙機熱備，這樣當(dāng)故障發(fā)生的時候，業(yè)務(wù)也能很快恢復(fù)，給用戶提供了十分可靠的運行環(huán)境?？赏ㄟ^在園區(qū)邊界處部署雙VPN網(wǎng)關(guān)和防火墻，為用戶安全、可靠的使用網(wǎng)絡(luò)提供了很好的保障。NSM/NAM是網(wǎng)絡(luò)安全監(jiān)控的簡稱，是H3C公司在防火墻和路由器上開發(fā)的流量監(jiān)控軟硬件平臺。NSM/NAM單板，可以對流經(jīng)設(shè)備上的所有在線流量進行統(tǒng)計和安全分析，對流量進行采樣記錄并對歷史流量進行安全分析，能對包括IP/none-IP的、2至7層的多種協(xié)議進行分析，為網(wǎng)絡(luò)管理員提供網(wǎng)絡(luò)安全服務(wù)。NSM/NAM提供方便友好的用戶配置，支持圖形化的分析結(jié)果查詢，方便用戶使用。邊界安全部署簡介—H3C解決方案H3C邊界安全邊界安全部署簡介—H3C解決方案網(wǎng)管ServerLSWVPNserverVPNClientVPNClient分支節(jié)點2分支節(jié)點1防火墻/IPS：攻擊與病毒止步NSM/NAM：一切盡在掌握中IPSecVPN：加密報文讓黑客們一無所獲邊界安全部署簡介—H3C解決方案網(wǎng)管ServerLSWVPN網(wǎng)絡(luò)園區(qū)邊界定義邊界安全部署簡介邊界安全部署典型應(yīng)用場景目錄網(wǎng)絡(luò)園區(qū)邊界定義目錄邊界安全部署典型應(yīng)用場景H3C邊界安全部署最佳實踐解決方案針對不同用戶群的需求，分別設(shè)計了多套應(yīng)用組網(wǎng)。對于園區(qū)規(guī)模較小，性能、可靠性要求不高的用戶，我們推薦使用單設(shè)備園區(qū)出口邊界安全部署組網(wǎng)方式，本組網(wǎng)僅使用H3C的一臺MSR路由器或者SecPath安全產(chǎn)品，集成VPN網(wǎng)關(guān)、防火墻功能，并可以通過在該設(shè)備上配置NAM（MSR）或者NSM（SecPath）對園區(qū)進出口流量進行監(jiān)控；對于園區(qū)規(guī)模較大的用戶，我們推薦在本組網(wǎng)中加入專業(yè)的防火墻、IPS等設(shè)備增加邊界安全性；對邊界安全性能、可靠性要求都較高的用戶，我們推薦使用園區(qū)網(wǎng)絡(luò)多出口邊界安全部署組網(wǎng)方式，本組網(wǎng)在使用專業(yè)網(wǎng)關(guān)設(shè)備的同時，通過部署雙VPN網(wǎng)關(guān)實現(xiàn)負載均衡和備份，部署雙防火墻實現(xiàn)狀態(tài)熱備，提供園區(qū)出口的高可靠性；邊界安全部署典型應(yīng)用場景H3C邊界安全部署最單設(shè)備園區(qū)出口邊界安全部署組網(wǎng)園區(qū)網(wǎng)絡(luò)Internet公共服務(wù)器路由器/

安全網(wǎng)關(guān)/VPN網(wǎng)關(guān)ISP路由器園區(qū)邊界設(shè)備MSR50/30/20AR28/46SecPath系列分支機構(gòu)VPN網(wǎng)關(guān)移動用戶211.2.10.1/24192.168.0.1/24192.168.1.1/24192.168.0.100/24211.4.1.2/24單設(shè)備園區(qū)出口邊界安全部署組網(wǎng)園區(qū)網(wǎng)絡(luò)Internet公共服單設(shè)備出口組網(wǎng)說明本組網(wǎng)非常簡單，僅一臺出口設(shè)備，易于管理；H3C公司的MSR/AR/SecPath系列產(chǎn)品可提供強大的VPN功能，遠程分支、移動用戶可以通過單IPSec、GREoverIPSec、L2TPoverIPSec等多種VPN方式接入園區(qū)總部；L2TP可以提供用戶認證功能，GRE隧道可以讓企業(yè)分支與總部進行私網(wǎng)路由的交互，IPSec加密功能可以確保通訊報文的保密性和可靠性；H3C公司的MSR/AR/SecPath系列產(chǎn)品同時也可以作為安全網(wǎng)關(guān)使用，支持NAT、ACL訪問控制、ASPF、深度業(yè)務(wù)監(jiān)控等典型應(yīng)用；出口設(shè)備上配置的NAM/NSM板卡對進出口流量進行有效的分析和監(jiān)控；出口設(shè)備公網(wǎng)接口上配置NAT，讓內(nèi)部用戶可以訪問internet；出口設(shè)備公網(wǎng)接口上配置NATserver，讓internet用戶可以訪問公共服務(wù)器；單設(shè)備出口組網(wǎng)說明本組網(wǎng)非常簡單，僅一臺出口設(shè)備，易于管理；單設(shè)備出口組網(wǎng)配置說明

——遠程VPN接入分支機構(gòu)VPN接入，接入方式：單IPSec隧道方式IPSec的remote地址為園區(qū)出口VPN網(wǎng)關(guān)的公網(wǎng)地址；IPSec采用野蠻模式，支持NAT穿越功能；IPSec感興趣流為分支機構(gòu)私網(wǎng)網(wǎng)段地址到總部園區(qū)網(wǎng)網(wǎng)段地址；分支設(shè)備公網(wǎng)接口上啟用IPSec策略；遠程移動用戶使用iNodeVPN客戶端接入，接入方式：L2TPoverIPSec新建iNode連接，iNodeVPN啟用IPSec安全協(xié)議；L2TPLNS服務(wù)器地址、IPSec服務(wù)器地址都設(shè)置為園區(qū)出口VPN網(wǎng)關(guān)的公網(wǎng)地址；IPSec使用隧道方式，啟用NAT穿越功能；單設(shè)備出口組網(wǎng)配置說明

單設(shè)備出口組網(wǎng)配置說明

——總部VPN配置總部VPN網(wǎng)關(guān)配置作為L2TPLNS端的基本配置，包括用戶名、地址池、虛接口、L2TP組相關(guān)配置；由于遠程移動接入用戶公網(wǎng)IP的不確定性，總部IPSec使用動態(tài)模板方式，先建立IPSec動態(tài)模板，然后用動態(tài)模板建立IPSec策略；在VPN網(wǎng)關(guān)公網(wǎng)接口上啟用IPSec策略單設(shè)備出口組網(wǎng)配置說明

單設(shè)備出口組網(wǎng)配置說明

——防火墻配置總部防火墻網(wǎng)關(guān)：SecPath系列放火墻可支持ACL訪問控制、ASPF（基于應(yīng)用層的報文過濾）、深度業(yè)務(wù)監(jiān)控等多種功能，下面僅以啟用ASPF功能為例：系統(tǒng)視圖下：#新建ASPF策略，添加需要檢測的應(yīng)用層協(xié)議tcp；aspf-policy1detecttcp＃在防火墻網(wǎng)關(guān)公網(wǎng)接口上啟用ASPF策略，本策略僅允許從園區(qū)網(wǎng)內(nèi)部主動發(fā)起的TCP連接，即如果報文是內(nèi)部網(wǎng)絡(luò)用戶發(fā)起的TCP連接的返回報文，則允許其通過防火墻進入內(nèi)部網(wǎng)絡(luò)，其他報文被禁止；interfaceGigabitEthernet0/0firewallaspf1outbound

單設(shè)備出口組網(wǎng)配置說明

單設(shè)備出口組網(wǎng)配置說明

——NAT配置園區(qū)內(nèi)部通過NAT訪問internet

首先需要確認訪問internet的流量，然后對這些流量的地址進行NAT轉(zhuǎn)換，其次要設(shè)置地址池，即申請到的公網(wǎng)地址。假設(shè)分支的IP地址都規(guī)劃在172.0.0.0/8網(wǎng)段，園區(qū)內(nèi)部IP地址規(guī)劃在192.168.0.0/16網(wǎng)段。＃私網(wǎng)訪問公網(wǎng)的流量需要進行NAT轉(zhuǎn)換 aclnumber3000 rule0permitipsource192.168.0.00.0.255.255 rule1denyipdestination172.0.0.00.0.0.255＃申請到的公網(wǎng)IP，與公網(wǎng)接口在同一個網(wǎng)段nataddress-group0211.2.10.1211.2.10.2＃公網(wǎng)接口上啟用nat interfaceGigabitEthernet0/1natoutbound3000address-group0單設(shè)備出口組網(wǎng)配置說明

單設(shè)備出口組網(wǎng)配置說明

——NATServer配置單設(shè)備出口組網(wǎng)配置說明

單設(shè)備出口組網(wǎng)配置說明

——NSM配置（1）設(shè)備側(cè)流量鏡像配置：NSM版卡插在SecPath防火墻上，需要在SecPath上將流量鏡像到NSM板卡內(nèi)部接口上，NSM對收到的報文進行分析。SecPath上需要進行的配置：#將網(wǎng)關(guān)內(nèi)網(wǎng)接口上的進出流量都鏡像到NSM內(nèi)部端口上進行統(tǒng)計，NSM插在三槽位；interfaceGigabitEthernet0/1mirrortoGigabitEthernet3/0bothNSM配置：/*管理口IP配置為192.0.0.1，默認網(wǎng)關(guān)為192.0.0.10（管理口直連設(shè)備接口地址）*/單設(shè)備出口組網(wǎng)配置說明

單設(shè)備出口組網(wǎng)配置說明

——NSM配置（2）NSM配置（續(xù)）：如果用戶需要在遠程監(jiān)控室中登陸NSM，觀察流量分析結(jié)果，需要將NSM的管理口eth1接入到園區(qū)網(wǎng)中，并將該路由發(fā)布出去，NSM管理口的默認網(wǎng)關(guān)設(shè)置為其直連設(shè)備接口的IP地址；選擇eth0作為觀察接口，即可以觀察到SecPath上的流量情況。

單設(shè)備出口組網(wǎng)配置說明

園區(qū)網(wǎng)Internet公共服務(wù)器防火墻/VPN/NATInternet

出口路由器專網(wǎng)WAN

出口路由器遠程分支機構(gòu)IPSIPSInternet/WAN移動用戶多出口網(wǎng)關(guān)集成邊界安全部署組網(wǎng)園區(qū)網(wǎng)Internet公共服務(wù)器防火墻/VPN/NATInt多出口網(wǎng)關(guān)集成出口組網(wǎng)說明（1）本組網(wǎng)中VPN網(wǎng)關(guān)、防火墻功能都集成在H3C的SecPath產(chǎn)品上，提供遠程VPN接入及攻擊防護功能；這里使用兩臺設(shè)備實現(xiàn)雙VPN網(wǎng)關(guān)及防火墻的備份；網(wǎng)關(guān)備份實現(xiàn)方式：VPN隧道使用GREoverIPSec方式，在GREtunnel口上啟用OSPF動態(tài)路由，并通過配置路由cost值的不同達到備份的目的，正常情況下流量進出走cost值小的隧道，當(dāng)該隧道中斷后，流量會自動切換到cost值大的隧道上。網(wǎng)關(guān)負載分擔(dān)實現(xiàn)方式：不同的分支選擇不同的VPN網(wǎng)關(guān)作為主設(shè)備，這樣正常情況下，流量就會分布在兩臺設(shè)備上。在兩臺SecPath上都配置NSM板卡，NSM板工作在NSM＋nProbe方式下，該方式可以使兩塊NSM板卡的流量采集功能互為備份，后面對具體配置進行說明。多出口網(wǎng)關(guān)集成出口組網(wǎng)說明（1）本組網(wǎng)中VPN網(wǎng)關(guān)、防火墻功多出口網(wǎng)關(guān)集成出口組網(wǎng)說明（2）如果內(nèi)部用戶需要訪問internet，可以在兩臺SecPath的公網(wǎng)接口上配置NAT；internet訪問的備份實現(xiàn)方式：兩臺SecPath上的私網(wǎng)動態(tài)路由中都引入訪問internet的默認路由，這樣園區(qū)內(nèi)部設(shè)備將有兩條訪問internet的默認路由，可以進行負載分擔(dān)和冗余備份。如果園區(qū)內(nèi)部有公共服務(wù)器需要對internet用戶提供服務(wù)，則需要在兩臺SecPath的公網(wǎng)接口上配置NATserver。該服務(wù)的備份實現(xiàn)方式：NATserver的外網(wǎng)地址使用網(wǎng)關(guān)設(shè)備公網(wǎng)接口的VRRP虛地址，當(dāng)VRRP主設(shè)備故障后，VRRP組的從設(shè)備將變?yōu)橹髟O(shè)備，繼續(xù)執(zhí)行NATserver功能。多出口網(wǎng)關(guān)集成出口組網(wǎng)說明（2）如果內(nèi)部用戶需要訪問inte多出口網(wǎng)關(guān)集成組網(wǎng)配置說明

——遠程VPN接入分支機構(gòu)VPN接入，接入方式：GREoverIPSec隧道方式分支設(shè)備分別與總部（園區(qū)出口）的兩臺VPN網(wǎng)關(guān)建立GREoverIPSEC隧道：分支的GRE隧道的源/目的IP分別為分支/總部網(wǎng)關(guān)的Loopback口地址；并在tunnel口上啟用OSPF，與總部交互私網(wǎng)路由；分支IPSEC的感興趣流源/目的IP分別為分支/總部網(wǎng)關(guān)的Loopback口地址；分支啟用DPD功能，便于隧道的快速切換；分支設(shè)備公網(wǎng)接口上啟用IPSec策略；遠程移動用戶使用iNodeVPN客戶端接入，接入方式：L2TPoverIPSec新建連接，iNodeVPN啟用IPSec安全協(xié)議；L2TPLNS服務(wù)器地址、IPSec服務(wù)器地址都設(shè)置為園區(qū)出口VPN網(wǎng)關(guān)的公網(wǎng)地址；因為有兩個VPN網(wǎng)關(guān)，所以可以建立兩個新連接，一個作為備用；多出口網(wǎng)關(guān)集成組網(wǎng)配置說明

多出口網(wǎng)關(guān)集成組網(wǎng)配置說明

——總部VPN配置總部VPN網(wǎng)關(guān)配置作為L2TPLNS端的基本配置，包括用戶名、地址池、虛接口、L2TP相關(guān)配置；總部的GRE隧道的源/目的IP分別為總部/分支的Loopback口地址；并在Tunnel口上啟用OSPF，與私網(wǎng)路由進行交互；由于遠程移動接入用戶公網(wǎng)IP的不確定性，IPSec使用動態(tài)模板方式，先建立IPSec動態(tài)模板，然后用動態(tài)模板建立IPSec策略；在VPN網(wǎng)關(guān)公網(wǎng)接口上啟用IPSec策略；多出口網(wǎng)關(guān)集成組網(wǎng)配置說明

多出口網(wǎng)關(guān)集成組網(wǎng)配置說明

——防火墻配置總部防火墻網(wǎng)關(guān)：SecPath系列放火墻可支持ACL訪問控制、ASPF（基于應(yīng)用層的報文過濾）、深度業(yè)務(wù)監(jiān)控等多種功能，下面僅以啟用ASPF功能為例，兩臺防火墻上都進行如下配置：系統(tǒng)視圖下：#新建ASPF策略，添加需要檢測的應(yīng)用層協(xié)議tcp；aspf-policy1detecttcp＃在防火墻網(wǎng)關(guān)公網(wǎng)接口上啟用ASPF策略，本策略僅允許從園區(qū)網(wǎng)內(nèi)部主動發(fā)起的TCP連接，即如果報文是內(nèi)部網(wǎng)絡(luò)用戶發(fā)起的TCP連接的返回報文，則允許其通過防火墻進入內(nèi)部網(wǎng)絡(luò)，其他報文被禁止；interfaceGigabitEthernet0/0firewallaspf1outbound

多出口網(wǎng)關(guān)集成組網(wǎng)配置說明

多出口網(wǎng)關(guān)集成組網(wǎng)配置說明

——NAT配置園區(qū)內(nèi)部通過NAT訪問internet

首先需要確認訪問internet的流量，然后對這些流量的地址進行NAT轉(zhuǎn)換，其次要設(shè)置地址池，即申請到的公網(wǎng)地址。假設(shè)分支的IP地址都規(guī)劃在172.0.0.0/8網(wǎng)段，園區(qū)內(nèi)部IP地址規(guī)劃在192.168.0.0/16網(wǎng)段。兩臺網(wǎng)關(guān)設(shè)備上都進行如下配置后，將默認路由引入到私網(wǎng)動態(tài)路由中即可。＃私網(wǎng)訪問公網(wǎng)的流量需要進行NAT轉(zhuǎn)換 aclnumber3000 rule0permitipsource192.168.0.00.0.255.255 rule1denyipdestination172.0.0.00.0.0.255＃申請到的公網(wǎng)IP，與公網(wǎng)接口在同一個網(wǎng)段nataddress-group0211.2.10.1211.2.10.2＃公網(wǎng)接口上啟用nat interfaceGigabitEthernet0/1natoutbound3000address-group0多出口網(wǎng)關(guān)集成組網(wǎng)配置說明

多出口網(wǎng)關(guān)集成組網(wǎng)配置說明

——NATServer配置多出口網(wǎng)關(guān)集成組網(wǎng)配置說明

多出口網(wǎng)關(guān)集成組網(wǎng)配置說明

——NSM配置（1）在本組網(wǎng)中存在兩臺網(wǎng)關(guān)設(shè)備進行負載分擔(dān)和冗余備份，為了實時、方便的采集園區(qū)網(wǎng)進出口的所有流量，我們在兩臺網(wǎng)關(guān)設(shè)備上分別部署一塊NSM板卡，使用NSM＋nProbe方式對流量進行采集。該方式是在設(shè)備將原始流量鏡像到NSM的內(nèi)部口eth0上后，nProbe首先對原始流量進行處理，將其統(tǒng)計為netflow流，然后將netflow流發(fā)給兩塊NSM板卡的內(nèi)部管理口eth1，NSM上啟用netflow口接收并處理該netflow流，達到流量統(tǒng)計的目的；設(shè)備側(cè)流量鏡像配置：NSM板卡插在SecPath防火墻上，需要在SecPath上將流量鏡像到NSM板卡內(nèi)部接口上，NSM對收到的報文進行分析。SecPath上需要進行的配置：#將網(wǎng)關(guān)內(nèi)網(wǎng)接口上的流量都鏡像到NSM內(nèi)部端口上進行統(tǒng)計，NSM插在三槽位；interfaceGigabitEthernet0/1mirrortoGigabitEthernet3/0both多出口網(wǎng)關(guān)集成組網(wǎng)配置說明

多出口網(wǎng)關(guān)集成組網(wǎng)配置說明

——NSM配置（2）防火墻網(wǎng)關(guān)a：NSM板卡配置/*管理口IP配置為192.0.0.1默認網(wǎng)關(guān)為192.0.0.10（管理口直連設(shè)備接口地址）*//*nProbe產(chǎn)生的netflow發(fā)送地址，為主備網(wǎng)關(guān)的管理口IP地址*/多出口網(wǎng)關(guān)集成組網(wǎng)配置說明

多出口網(wǎng)關(guān)集成組網(wǎng)配置說明

——NSM配置（3）防火墻網(wǎng)關(guān)a：NSM板卡配置（續(xù)）/*netflow接口，端口號為65535，與nProbe上的配置相對應(yīng)*//*選擇該netflow接口作為顯示接口即可*/防火墻網(wǎng)關(guān)b：NSM板卡配置與防火墻網(wǎng)關(guān)a上NSM的配置基本相同，除了管理口IP設(shè)置為192.0.0.2。兩臺防火墻的NSM管理口需要連著同一個交換機上，并接入到園區(qū)網(wǎng)設(shè)備，設(shè)備將該路由在園區(qū)網(wǎng)中發(fā)布出去，這樣客戶就可以遠程登陸NSM觀察流量統(tǒng)計情況。多出口網(wǎng)關(guān)集成組網(wǎng)配置說明

多出口網(wǎng)關(guān)分離邊界安全組網(wǎng)Internet公共服務(wù)器防火墻園區(qū)邊界Internet

出口路由器專網(wǎng)WAN

出口路由器遠程分支機構(gòu)VPN網(wǎng)關(guān)IPSIPSInternet/WAN移動用戶園區(qū)網(wǎng)多出口網(wǎng)關(guān)分離邊界安全組網(wǎng)Internet公共服務(wù)器防火墻園多出口網(wǎng)關(guān)分離組網(wǎng)相對于多出口網(wǎng)關(guān)集成組網(wǎng)，其主要的差別首先在于VPN網(wǎng)關(guān)、防火墻網(wǎng)關(guān)功能由兩款專業(yè)的設(shè)備分別實現(xiàn)，提高了園區(qū)出口的性能。VPN網(wǎng)關(guān)、防火墻網(wǎng)關(guān)的配置與網(wǎng)關(guān)集成出口組網(wǎng)配置一樣，只是部署在不同的設(shè)備上。第二個差別是本組網(wǎng)中啟用了狀態(tài)熱備功能，該功能可以保障在主網(wǎng)關(guān)發(fā)生故障時，應(yīng)用連接不中斷的情況下進行網(wǎng)關(guān)切換。下面描述一下狀態(tài)熱備的相關(guān)配置。多出口網(wǎng)關(guān)分離邊界安全組網(wǎng)配置說明多出口網(wǎng)關(guān)分離組網(wǎng)相對于多出口網(wǎng)關(guān)集成組網(wǎng)，其主要的差別首先多出口網(wǎng)關(guān)分離組網(wǎng)配置說明

——防火墻配置（1）總部防火墻網(wǎng)關(guān)a：啟用防火墻網(wǎng)橋模式下的狀態(tài)熱備；假設(shè)接口G0/0、G0/1為數(shù)據(jù)轉(zhuǎn)發(fā)接口。E1/1為HA接口，即用于傳輸雙機熱備的協(xié)商報文和業(yè)務(wù)同步數(shù)據(jù)，將兩臺防火墻設(shè)備的HA接口直連。這里的配置不涉及防火墻的具體防御功能。系統(tǒng)視圖下：#配置防火墻使能網(wǎng)橋功能，并使能橋組1

bridgeenablebridge1enable

#將接口加入到橋組

interfaceGigabitEthernet0/0bridge-set1interfaceGigabitEthernet0/1bridge-set1多出口網(wǎng)關(guān)分離組網(wǎng)配置說明

多出口網(wǎng)關(guān)分離組網(wǎng)配置說明

——防火墻配置（2）總部防火墻網(wǎng)關(guān)a：啟用防火墻網(wǎng)橋模式下的狀態(tài)熱備（續(xù)）；#創(chuàng)建冗余設(shè)備對象RDO1rdo1ha-interfaceinterfaceEthernet1/1peer-macffff-ffff-ffffad-interval1vif1interfaceGigabitEthernet0/0vif2interfaceGigabitEthernet0/1總部防火墻網(wǎng)關(guān)b：啟用防火墻網(wǎng)橋模式下的狀態(tài)熱備；防火墻b上的配置與a上一致；多出口網(wǎng)關(guān)分離組網(wǎng)配置說明

邊界安全部署最佳實踐x課件1、Geniusonlymeanshard-workingallone'slife.(Mendeleyer,RussianChemist)

天才只意味著終身不懈的努力。20.8.58.5.202011:0311:03:10Aug-2011:032、Ourdestinyoffersnotonlythecupofdespair,butthechaliceofopportunity.(RichardNixon,AmericanPresident)命運給予我們的不是失望之酒，而是機會之杯。二〇二〇年八月五日2020年8月5日星期三3、Patienceisbitter,butitsfruitissweet.(JeanJacquesRousseau,Frenchthinker)忍耐是痛苦的，但它的果實是甜蜜的。11:038.5.202011:038.5.202011:0311:03:108.5.202011:038.5.20204、Allthatyoudo,dowithyourmight;thingsdone