客服网络防火墙部署应用方案V1[1]0

396773200
2 ℃
2019-10-15

整理文档很辛苦，赏杯茶钱您下走！

还剩 ... 页未读，继续阅读 >>

免费阅读已结束，点击下载阅读编辑剩下 ... 页

阅读已结束，您可以下载文档离线阅读编辑

资源描述

资料编码产品名称使用对象华为工程师产品版本编写部门资料版本V1.0客服网络防火墙部署应用方案拟制：闫海潮日期：2008-8-4审核：日期：审核：日期：批准：日期：华为技术有限公司版权所有侵权必究客服网络防火墙部署应用方案V1[1].0文档密级：内部公开华为机密，未经许可不得扩散修订记录日期修订版本描述作者2008-8-4初稿完成闫海潮客服网络防火墙部署应用方案V1[1].0文档密级：内部公开华为机密，未经许可不得扩散目录第1章方案背景........................................................................................................................1第2章组网规划........................................................................................................................22.1网络组网图............................................................................................................................22.2组网说明................................................................................................................................2第3章防火墙配置.....................................................................................................................33.1主备模式防火墙的配置说明...................................................................................................3客服网络防火墙部署应用方案V1[1].0文档密级：内部公开华为机密，未经许可不得扩散关键词：摘要：缩略语清单：参考资料清单：客服网络防火墙部署应用方案文档密级：内部公开2008-8-14华为机密，未经许可不得扩散第1页,共41页第1章方案背景H移动客服系统由南区客服中心、北区客服中心以及核心服务器三部分功能分区，原系统内部未部署防火墙，各网络单元可自由访问，存在一定的安全隐患。客服系统维护部门希望在系统内部部署防火墙，保护客服系统核心区域设备安全，并对南北区之间设置安全策略，以达到一定的考核管理目的。鉴于客户的网络安全需求，在新的扩容工程中对网络组网进行优化，在客服网络中成功部署了防火墙。客服网络防火墙部署应用方案文档密级：内部公开2008-8-14华为机密，未经许可不得扩散第2页,共41页第2章2.1组网规划网络组网图2.2组网说明因客服应用设备地位重要，对网络设备稳定要要求较高，对核心组网设备均使用了高端的路由设备，核心网络、南区网络、北区网络均使用路由器与防火墙对接，并分别布放在防火墙的三个安全区域中，使用域间安全策略实现业务层面的访问控制。在防火墙组网方式中，防火墙与路由器直接对接在业软产品的应用并不多见，传统组网方案是防火墙与交换机直接对接，防火墙与交换机均使客服网络防火墙部署应用方案文档密级：内部公开2008-8-14华为机密，未经许可不得扩散第3页,共41页第3章3.1用VRRP协议进行对接，网络故障切换延时小，对业务基本上没有影响。但在路由器与防火墙的组网方案就需要使用OSPF协议进行对接，且需要保证网络数据包都能从主防火墙经过，防止主备防火墙session数据不一致导致的问题。防火墙配置主备模式防火墙的配置说明下边以配置实例对主备模式防火墙配置进行说明：(1)主防火墙的配置HRP_MSJZ_E1000_Adiscu#ipaddress-setbqagentaddress010.126.248.00.0.0.255address110.126.249.00.0.0.255address210.126.250.00.0.0.255address310.126.251.00.0.0.255address410.126.252.00.0.0.255address510.126.253.00.0.0.255address610.126.254.00.0.0.255ipaddress-setzhongxinaddress010.120.32.400address1133.96.41.2150address2133.96.52.1000address1110.120.32.50address13133.96.100.880address1410.120.54.60address1510.120.32.800address1610.120.32.1040客服网络防火墙部署应用方案文档密级：内部公开2008-8-14华为机密，未经许可不得扩散第4页,共41页address1710.120.156.40address1810.120.32.600address1910.215.51.1990address2010.215.51.1980address2110.120.32.970address22133.96.46.510ipaddress-setbqserveraddress010.126.246.00.0.0.255address110.126.247.00.0.0.255ipaddress-setnqagentaddress010.120.33.00.0.0.255address110.120.34.00.0.0.255address210.120.35.00.0.0.255address310.120.36.00.0.0.255address410.120.37.00.0.0.255ipaddress-setspecialserveraddress110.120.32.1070address210.120.32.1080address6133.96.52.1210address8133.96.100.10address910.120.32.80address1010.120.32.90address1210.250.202.1440address1310.250.202.1460address1410.120.32.570address1510.120.32.580ipaddress-setftpserveraddress010.120.32.50#客服网络防火墙部署应用方案文档密级：内部公开2008-8-14华为机密，未经许可不得扩散第5页,共41页ipport-setagentprotocoltcpport0eq8088port1eq1494port5eq50086port6eq客服网络防火墙部署应用方案文档密级：内部公开2008-8-14华为机密，未经许可不得扩散第6页,共41页descriptionbq-to-trustrule0permitospfrule5permittcpsourceaddress-setbqagentdestinationaddress-setzhongxindestination-portport-setagentrule20permiticmprule45permittcpsourceaddress-setbqagentdestinationaddress-setspecialserverdestination-portgt24rule65permittcpsourceaddress-setbqagentdestination10.120.54.60rule85permitipsourceaddress-setbqserverdestination10.120.32.00.0.0.128rule90permitipsourceaddress-setbqagentdestination133.96.52.320rule95permitipsourceaddress-setbqserverdestination133.96.63.110aclnumber3007descriptionlocal-nq-and-bqrule0permitipsource10.126.255.00.0.0.255aclnumber3008descriptionnq-to-trustrule0permitospfrule5permittcpsourceaddress-setnqagentdestinationaddress-setzhongxindestination-portport-setagentrule10permiticmprule15permittcpsourceaddress-setnqagentdestinationaddress-setspecialserverdestination-portgt24rule20permittcpsourceaddress-setnqagentdestination10.120.54.60rule25permittcpsourceaddress-setnqagentdestination133.96.52.320rule30permittcpdestination10.120.58.00.0.0.255rule35permittcpdestination10.120.21.00.0.0.255客服网络防火墙部署应用方案文档密级：内部公开2008-8-14华为机密，未经许可不得扩散第7页,共41页rule40permittcpsourceaddress-setnqagentdestination10.120.32.50destination-porteq443#sysnameSJZ_E1000_A#superpasswordlevel3cipherN`C55QK`=/Q=^Q`MAF41!!#hrpenable//HRP使能命令，使能HRP之后防火墙将形成主备状态。hrpospf-costadjust-enable//这个命令是在防火墙和路由器组网的时候使用的，在防火墙上配置这个命令后，防火墙发布OSPF的路由的时候，会判断是主防火墙或者是备防火墙，如果是主防火墙，防火墙把学习到的路由直接发布出去，如果是备防火墙，防火墙把学习到的路由加上一个COST值再发布出去，这个COST值默认是65500，可以根据需要进行调整，这样和防火墙相连的路由器在计算路由的时候，路由就都能指到主防火墙上，路由器把报文转发到主防火墙上。hrpinterfaceEthernet2/0/0high-availability//配