行业案例素材模板

内部公开1防火墙在校园网中的应用1.1组网需求写作要求：描述清楚用户对xx行业网络的需求是什么，以及设备组网情况。如图1-1所示，防火墙（USG9560V300R001C20版本）作为网关部署在学校网络出口，为校内用户提供宽带服务，为校外用户提供服务器访问服务。学校从ISP1和ISP2分别租用了1G带宽的链路，从教育网申请了10G带宽的链路。写作要求：画出组网图，表明有哪些设备，设备之间怎么连接。（可以用华为组网图标库）图1-1校园网络出口组网图教育网ISP1ISP2校园网10.1.0.0/16服务器区10.1.10.0/24GE1/0/1200.1.1.1/30GE1/0/2202.1.1.1/30GE2/0/0218.1.1.1/30218.1.1.2/30200.1.1.2/30202.1.1.2/30GE1/0/3172.16.1.1/30172.16.1.2/30图书馆服务器10.1.10.10DNS服务器10.1.10.20日志服务器10.1.10.30学校的具体需求如下：1.为了保证内网用户的上网体验，学校希望去往特定目的地址的流量能够通过特定的ISP链路转发。例如，去往ISP1的服务器的流量能够通过ISP1提供的链路转发，内部公开去往ISP2的服务器的流量能够通过ISP2提供的链路转发，去往教育网服务器的流量能够通过教育网链路转发。另外学校希望特殊内网用户的流量能够通过特定的ISP链路转发。例如图书馆用户的上网流量能够通过教育网链路转发。2.学校内部署了提供对外访问的服务器，供多个ISP的用户访问。例如学校网站主页、邮件、Portal等服务器。学校内还部署了DNS服务器为以上服务器提供域名解析。学校希望各ISP的外网用户通过域名访问服务器时，能够解析到自己ISP的地址，从而提高访问服务器的速度。3.学校希望防火墙能够保护内部网络，防止SYN-flood攻击，并对网络入侵行为进行告警。4.由于ISP1和IPS2链路带宽有限，所以学校希望限制ISP1和ISP2链路的P2P流量，包括每个用户的P2P流量，以及链路总体的P2P流量。5.学校希望能够在网管系统上查看攻击防范和入侵检测的日志，并且能够查看NAT转换前后的IP地址。1.2规划写作要求：1.根据组网图，说明图中的接口、VLAN、IP地址等数据规划。如果图形简单，并且所有数据都能在图上体现，可不写。2.写出行业相关的特殊规划。1.2.1多出口选路规划ISP选路为了实现去往特定目的地址的流量能够通过特定的ISP链路转发，我们需要在防火墙上部署ISP选路功能。防火墙内置主流ISP的地址文件，而且我们还可以根据需求手动创建和调整ISP地址文件。在配置ISP选路时还可以与IP-Link功能配合，以探测ISP链路是否能够正常工作。另外由于教育网链路带宽较大，我们可以将缺省路由的下一跳设置为教育网链路地址，保证未匹配其它路由的流量都能够通过教育网转发出去。策略路由为了实现特殊内网用户的流量能够通过特定的ISP链路转发，我们需要在防火墙上配置策略路由功能。本案例的防火墙通过流分类、流行为和流量策略来实现策略路由功能。这里仅以图书馆用户的上网流量能够通过教育网链路转发为例。我们需要在流分类中匹配图书馆上网用户的主机地址，在流行为中定义教育网链路为下一跳，最后在流量策略中将类信息和行为信息关联。1.2.2安全规划安全区域在本案例中防火墙上有4个接口，由于这4个接口连接不同的区域，因此我们需要将这4个接口加入不同的安全区域。内部公开−连接ISP1链路的接口GE1/0/1加入区域isp1。isp1区域需要新建，优先级设定为10。−连接ISP2链路的接口GE1/0/2加入isp2区域。isp2区域需要新建，优先级设定为15。−连接教育网链路的接口GE2/0/0加入cernet区域。cernet区域需要新建，优先级设定为25。−连接交换机的接口GE1/0/3加入trust区域。trust区域是防火墙缺省存在的安全区域，优先级为85。安全策略为了实现各个区域间的安全互通以及访问控制，我们需要部署以下安全策略：−允许trust区域的内网用户访问isp1、isp2和cernet区域。−允许cernet、isp1和isp2区域的外网用户访问trust区域的特定服务器的特定端口。这里仅以图书馆服务器（开放http和ftp服务）和DNS服务器为例。−允许防火墙（local区域）与trust区域的日志服务器对接。同时为了保证以上区域间多通道协议（例如FTP）的正常通信，我们还需要在以上各区域间配置ASPF功能。防火墙缺省安全策略的动作为禁止，所以未匹配上述安全策略的流量都将禁止在区域间通过。IPS为了防止僵尸木马蠕虫的入侵，需要在防火墙上部署IPS功能。防火墙IPS功能实现的方式是在配置安全策略时引用IPS配置文件。在本案例中，我们需要在上述配置的安全策略（local区域的除外）中都引用IPS配置文件，即对安全策略允许通过的流量都进行IPS检测。本案例使用缺省的IPS配置文件ids，即只对入侵报文产生告警，不阻断。如果对安全性要求不是很高，为了降低IPS误报的风险，建议选择ids配置文件。如果对安全性要求较高，建议选择缺省的IPS配置文件default，即会阻断入侵行为。攻击防范为了避免内网服务器和用户受到网络攻击，一般建议开启SynFlood攻击防范和一些单包攻击防范功能。1.2.3NAT规划源NAT为了保证内网大量用户能够通过有限的公网地址访问外网，需要在防火墙上部署源NAT功能。内网用户访问外网的报文到达防火墙后，报文的源地址会被NAT转换成公网地址，源端口会被NAT转换成随机的非知名端口。这样一个公网地址就可以同时被多个内网用户使用，实现了公网地址的复用，解决了大量用户同时访问外网的问题。NATServer为了将服务器提供给各个ISP的用户访问，我们需要在防火墙上部署NATserver功能，将服务器的私网地址转换成公网地址，而且需要为不同的ISP用户提供不同的公网地址。说明内部公开用户一般是通过域名来访问内网服务器的，服务器区域部署了DNS服务器为用户将域名解析成内网服务器的公网地址。通过在防火墙上部署智能DNS功能，可以实现ISP1的用户能够解析到ISP1的地址，ISP2的用户能够解析到ISP2的地址，教育网的用户能够解析到教育网的地址。这样各ISP的用户就能够通过自身的ISP网络访问学校的服务器，从而保证用户访问延迟最小，业务体验最优。NATALG当防火墙既开启NAT功能，又需要转发多通道协议报文（例如FTP等）时，必须开启相应的NATALG功能。本案例主要应用了FTP、SIP、H323、MGCP、RTSP和QQ等多通道协议，所以需要开启这几种协议的NATALG功能。NATALG与ASPF虽然实现原理和作用不同，但配置命令相同。1.2.4带宽管理规划为了限制ISP1和ISP2链路的P2P流量，我们需要通过部署带宽管理功能来实现基于应用的流量控制。本案例中的防火墙通过带宽通道、带宽策略来实现带宽管理功能。带宽通道定义了被管理的对象所能够使用的带宽资源，带宽通道被带宽策略引用。在本案例中带宽通道配置为限制总带宽不能超过300M，限制每个IP的带宽不超过1M。带宽策略定义了被管理的对象和动作，并引用带宽通道。在本案例中带宽策略定义的对象为P2P流量，动作为限流，并引用上面配置的带宽通道。这样带宽策略就能实现对P2P流量的限制。1.2.5网络管理规划防火墙配套eSight日志服务器可以进行日志的收集、查询、报表呈现。通过防火墙输出的会话日志可以查询到NAT转换前后的地址信息；通过防火墙输出的IPS日志和攻击防范系统日志可以查看网络中的攻击行为和入侵行为。1.3配置步骤写作要求按照正确的配置顺序，写出一步一步的配置步骤（格式不用太关注）。可适当增加点评。步骤1配置接口的IP地址，并将接口加入安全区域。#配置各接口的IP地址。【点评】一般ISP分配的IP地址都是30位掩码的。建议在接口上配置描述或别名，表示接口的情况。FWsystem-view[FW]interfaceGigabitEthernet2/0/0[FW-GigabitEthernet2/0/0]ipaddress218.1.1.1255.255.255.252[FW-GigabitEthernet2/0/0]descriptioncernet[FW-GigabitEthernet2/0/0]quit[FW]interfaceGigabitEthernet1/0/1[FW-GigabitEthernet1/0/1]ipaddress200.1.1.1255.255.255.252说明内部公开[FW-GigabitEthernet1/0/1]descriptionisp1[FW-GigabitEthernet1/0/1]quit[FW]interfaceGigabitEthernet1/0/2[FW-GigabitEthernet1/0/2]ipaddress202.1.1.1255.255.255.252[FW-GigabitEthernet1/0/2]descriptionisp2[FW-GigabitEthernet1/0/2]quit[FW]interfaceGigabitEthernet1/0/3[FW-GigabitEthernet1/0/3]ipaddress172.16.1.1255.255.255.252[FW-GigabitEthernet1/0/3]descriptioncampus[FW-GigabitEthernet1/0/3]quit#新建安全区域isp1、isp2和cernet（代表教育网），并将各接口加入对应的安全区域。【点评】当防火墙需要连接多个ISP时，一般需要为每个连接ISP的接口都创建一个新的安全区域，而且安全区域的名称最好能够代表此安全区域。[FW]firewallzonenameisp1[FW-zone-isp1]setpriority15[FW-zone-isp1]addinterfaceGigabitEthernet1/0/1[FW-zone-isp1]quit[FW]firewallzonenameisp2[FW-zone-isp2]setpriority20[FW-zone-isp2]addinterfaceGigabitEthernet1/0/2[FW-zone-isp2]quit[FW]firewallzonenamecernet[FW-zone-cernet]setpriority25[FW-zone-cernet]addinterfaceGigabitEthernet2/0/0[FW-zone-cernet]quit[FW]firewallzonetrust[FW-zone-trust]addinterfaceGigabitEthernet1/0/3[FW-zone-trust]quit步骤2配置IP-Link，探测各ISP提供的链路状态是否正常。[FW]ip-linkcheckenable[FW]ip-link1destination218.1.1.2interfaceGigabitEthernet2/0/0[FW]ip-link2destination200.1.1.2interfaceGigabitEthernet1/0/1[FW]ip-link3destination202.1.1.2interfaceGigabitEthernet1/0/2【点评】当IP-Link监控的链路故障时，与其绑定的静态路由或策略路由失效。步骤3配置静态路由，保证基础路由可达。#配置缺省路由，下一跳为教育网的地址，保证未匹配其它路由的流量都能够通过教育网转发出去。[FW]iproute-static0.0.0.00.0.0.0218.1.1.2#配置静态路由，目的地址为内网网段，下一跳为内网交换机的地址，保证外网的流量能够到达内网。[FW]iproute-