防火墙在企业园区出口安全方案中的应用(ENSP实现)

拓扑图

在这里插入图片描述

需求:
1、企业出口网关设备必须具备较高的可靠性,为了避免单点故障,要求两台设备形成双机热备状态。当一台设备发生故障时,另一台设备会接替其工作,不会影响业务正常运行。
2、企业从两个ISP租用了两条链路,要求出口网关设备可以识别流量的应用类型,将不同应用类型的流量送往合适的链路,提高链路利用率,避免网络拥塞。
3、企业内部用户分为研发部员工、市场部员工、生产部员工以及管理者,根据企业内部各个部门的实际业务需求,在出口网关设备上基于用户/部门和应用来制定访问控制策略。
4、为了实现企业内网大量用户通过公网地址访问Internet的目的,要求出口网关设备能够将私网地址转换为公网地址。
5、在网关设备上存储用户和部门的信息,体现公司的组织结构,供策略引用。在服务器区部署AD服务器,为实现基于用户的网络行为控制和网络权限分配提供基础。
6、对公司外的用户提供Web服务器和FTP服务器的访问。
7、企业内部网络面临来自Internet的非法访问、以及各种攻击和入侵行为,要求出口网关设备可以防范各种病毒、蠕虫、木马和僵尸网络攻击,保护公司网络的安全。此外,对公司员工访问的网站进行过滤,禁止所有成人网站和非法网站的访问。
8、要求出口网关设备防范针对企业内部网络的SYN Flood、UDP Flood攻击和畸形报文攻击。
9、要求出口网关设备可以基于应用的流量控制,对大量占用网络带宽的流量(如P2P流量)进行限制,保证关键业务的正常运行。此外,还可以基于不同用户/部门实施差异化的带宽管理。
10、要求出差和家庭办公的研发员工能够安全地使用公司的ERP系统和邮件系统,高级管理者和市场员工能够像在公司内网一样正常办公。

业务规划

1 IP、VLAN

部门 / 设备 / 用户IP段网关Vlan
Market10.1.11.0/24~10.1.15.0/24网段内首个可用地址(VRRP)11~15
Procure10.1.21.0/24~10.1.25.0/24网段内首个可用地址(VRRP)21~25
Finance10.1.31.0/24~10.1.35.0/24网段内首个可用地址(VRRP)31~35
HR10.1.41.0/24~10.1.45.0/24网段内首个可用地址(VRRP)41~45
Wireless_Public10.1.51.0/24~10.1.55.0/24网段内首个可用地址(VRRP)51~55
Services10.1.60.0/24网段内首个可用地址(VRRP)60
Wireless_Guest10.1.101.0/24~10.1.105.0/24网段内首个可用地址(VRRP)101~105
AC10.1.203.0/24网段内首个可用地址(VRRP)203
AGG1_to_Core10.1.204.0/24网段内首个可用地址(VRRP)204
AGG2_to_Core10.1.205.0/24网段内首个可用地址(VRRP)205
L2tp over IPSec user1010.1.2~10.10.1.100/2410.10.1.1(FW_A&B_Virtual-Template 1)
Export1.1.1.0/24、2.2.2.0/24网段内首个可用地址(VRRP)
分支机构内网192.168.1.0/24192.168.1.254

2 VRRP

部门 / 用户MasterBackup
Market,Procure,Finance,HRAGG1AGG2
Wireless_Public,Wireless_Guest,AC,ServicesCore1Core2
ExportFW_AFW_B

3 DHCP

部门 / 用户网关设备
Market,Procure,Finance,HRAGG1、AGG2
Wireless_Public,Wireless_GuestCore1、Core2
L2tp over IPSec userFW_A&B

4 MSTP

VlanStp InstanceRoot Device
51 to 55,60,101 to 105,203 to 2051Core1
11 to 15,21 to 25,31 to 35,41 to 452AGG1

5 防火墙接口与安全区域规划

在这里插入图片描述

  • 连接ISP1链路的接口GE1/0/1加入区域ISP1。ISP1区域需要新建,优先级设定为15。
  • 连接ISP2链路的接口GE1/0/2加入ISP2区域。ISP2区域需要新建,优先级设定为20。
  • 用于防火墙双机热备的接口GE1/0/3加入Heart区域。Heart区域需要新建优先级设定为75。
  • 连接核心路由器的接口GE1/0/4加入Trust区域。Trust区域是防火墙缺省存在的安全区域,优先级为85。

6 访问限制

  • 总部web、FTP服务器为内部以及外部用户提供服务,外部用户需使用8080端口访问web服务器,FTP服务使用默认端口号。
  • Finance部门不能访问公司内部服务器,也不能访问Internet
  • 总部到分支机构192.168.1.0/24使用IPSec Tunnel访问,并且只允许Market、Procure、HR通过VPN访问分支机构。
  • 出差用户可使用L2TP Over IPSec Tunnel访问总部内部10.1.0.0/16。
  • 总部无线访客用户不允许访问公司内部服务器。
  • 除了Finance部门不能访问Internet外,其他用户都可以访问。

7 NAT规划

源地址地址池
总部、分部内网可访问Internet的网段1.1.1.6 ~ 1.1.1.10、2.2.2.6 ~ 2.2.2.10

8 NAT Server

Source-IPSource-PortGlobal-IPGlobal-Port
10.1.60.100801.1.1.4(FW_A)8080
10.1.60.101211.1.1.5(FW_A)21
10.1.60.100802.2.2.4(FW_B)8080
10.1.60.101212.2.2.5(FW_B)21

9 OSPF

本端设备对端设备进程号区域
FW_A、FW_BCore1、Core210
AGG1、AGG2Core1、Core211

配置结果验证

1 AP状态

在这里插入图片描述

2 VRRP状态

在这里插入图片描述
在这里插入图片描述
在这里插入图片描述

3 VPN 协商

在这里插入图片描述
在这里插入图片描述
在这里插入图片描述
在这里插入图片描述

4 双击热备状态

在这里插入图片描述

5 用户IP地址获取

  • 无线用户
    在这里插入图片描述
    在这里插入图片描述
  • 有线用户
    在这里插入图片描述
  • 出差用户
    在这里插入图片描述

6 防火墙策略

策略部署相对简单,根据部署情况放行相应流量即可,下图为FW_A的策略条目,部署双机热备后会在FW_B上同步,另外还需要配置NAT策略以及NAT服务器地址映射,这里不再赘述。
在这里插入图片描述

访问验证

1 To_Internet

1.1 Wireless_User

在这里插入图片描述

1.2 Wire_User

在这里插入图片描述

1.3分支机构

在这里插入图片描述

2 To_Services

2.1 Wireless_User

在这里插入图片描述

2.2 Wire_User

在这里插入图片描述

2.3 分支机构

在这里插入图片描述

2.4 出差员工

在这里插入图片描述

3 VPN访问

3.1 出差员工访问总部内部业务

在这里插入图片描述

3.2 总部通过IPSec隧道访问分支用户

在这里插入图片描述

总结

  • 该方案描述了防火墙在企业园区网络的Internet出口处的典型应用。如果您想在企业网络出口部署防火墙,完全可以借鉴此案例。
  • 该方案诠释了双机热备的经典组网:“防火墙上行连接交换机,下行连接三层设备”。我们可以借此理解双机热备的典型应用。
  • 该方案展现了防火墙作为网关的多出口选路能力,包括:全局智能选路和策略路由智能选路等功能。
  • 该方案还体现了防火墙的应用识别和控制能力。防火墙不仅能够识别端口信息,还能够识别各种应用,并且能够根据应用进行访问控制、策略路由和流量控制。
    此外,还可以用防火墙虚拟系统进行业务流量的隔离管控,如:可将本案例中Guest的流量单独隔离管理,以增加企业网络的安全可靠性。

转眼又是一个毕业季,不知道多少大学生正在扣头ing,如果有需要,记得Q我:1254628828

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:/a/348889.html

如若内容造成侵权/违法违规/事实不符,请联系我们进行投诉反馈qq邮箱809451989@qq.com,一经查实,立即删除!

相关文章

【QT】二进制文件读写

目录 1 实例功能概述 2 Qt预定义编石马文件的读写 2.1 保存为文件 2.2 stm文件格式 2.3 读取stm文件 3 标准编码文件的读写 3.1 保存为dat文件 3.2 dat文件格式 3.3 读取dat文件 文件的读写是很多应用程序具有的功能,甚至某些应用程序就是围绕着某一种格式文件的处 …

[docker] Docker的数据卷、数据卷容器,容器互联

一、数据卷(容器与宿主机之间数据共享) 数据卷是一个供容器使用的特殊目录,位于容器中。可将宿主机的目录挂载到数据卷上,对数据卷的修改操作立刻可见,并且更新数据不会影响镜像,从而实现数据在宿主机与容…

开发知识点-Flutter移动应用开发

支持 安卓 IOS Android 鸿蒙 第一章dart基础章节介绍 移动电商——Flutter-广告Banner组件制作 移动电商——Flutter实战课程介绍 Flutter实例——路由跳转的动画效果

禅道(HIS医疗系统)项目管理

文章目录 前言禅道的基本使用指南本次讲解举例参与人员:一、admin管理组织结构1.1批量新增用户 二、产品经理使用禅道2.1以陈雪燕账号去创建产品2.2添加产品模块2.3添加产品计划2.4添加产品需求2.5创建项目4.6设置团队 三、项目经理使用禅道3.1关联需求3.2分解任务 …

【寒假每日一题·2024】AcWing 4965. 三国游戏(补)

文章目录 一、题目1、原题链接2、题目描述 二、解题报告1、思路分析2、时间复杂度3、代码详解 一、题目 1、原题链接 4965. 三国游戏 2、题目描述 二、解题报告 1、思路分析 思路参考y总:y总讲解视频 (1)题目中的获胜情况分为三种&#xff…

【Servlet】如何编写第一个Servlet程序

个人主页:兜里有颗棉花糖 欢迎 点赞👍 收藏✨ 留言✉ 加关注💓本文由 兜里有颗棉花糖 原创 收录于专栏【Servlet】 本专栏旨在分享学习Servlet的一点学习心得,欢迎大家在评论区交流讨论💌 Servlet是Java编写的服务器端…

《WebKit 技术内幕》学习之十三(1):移动WebKit

1 触控和手势事件 1.1 HTML5规范 随着电容屏幕的流行,触控操作变得前所未有的流行起来。时至今日,带有多点触控功能已经成为了移动设备的标准配置,基于触控的手势识别技术也获得巨大的发展,如使用两个手指来缩放应用的大小等。…

深度学习(6)---Transformer

文章目录 一、介绍二、架构2.1 Multi-head Attention2.2 Encoder(编码器)2.3 Decoder(解码器) 三、Encoder和Decoder之间的传递四、Training五、其他介绍5.1 Copy Mechanism5.2 Beam Search 一、介绍 1. Transformer是一个Seq2Seq(Sequence-to-Sequence)…

Christmas Log Village Pack (Interior / Exterior) - VR/Mobile

这个圣诞主题的包包含了建造一个美丽的雪村所需的一切! 现在已更新为Unity 2019.3(与Unity 4以来的所有Unity版本兼容) 该包针对移动设备进行了优化,每个道具仅有两个纹理图集(外部和内部),2个雪地纹理,2个房屋地面纹理。该包包含大约150个预制件,还包括演示场景。 每…

【计算机网络】协议,电路交换,分组交换

定义了在两个或多个通信实体之间交换的报文格式和次序,以及报文发送和/或接收一个报文或其他事件所采取的动作.网络边缘: 端系统 (因为处在因特网的边缘) 主机 端系统 客户 client服务器 server今天大部分服务器都属于大型数据中心(data center)接入网(access network) 指将端…

项目解决方案:非执法视频监控系统项目设计方案

目 录 一、概述 (一)前言 (二)设计思路 (三)设计原则 1、实用性 2、可靠性 3、安全性 4、先进性 5、开放性 6、易管理、易维护 (四)设计依据 二、方案总…

【QT+QGIS跨平台编译】之十:【libbz2+Qt跨平台编译】(一套代码、一套框架,跨平台编译)

文章目录 一、libbz2介绍二、文件下载三、文件分析四、pro文件五、编译实践一、libbz2介绍 bzip2是一个基于Burrows-Wheeler 变换的无损压缩软件,压缩效果比传统的LZ77/LZ78压缩算法来得好。它是一款免费软件。可以自由分发免费使用。 bzip2能够进行高质量的数据压缩。它利用…

Spring Boot如何统计一个Bean中方法的调用次数

目录 实现思路 前置条件 实现步骤 首先我们先自定义一个注解 接下来定义一个切面 需要统计方法上使用该注解 测试 实现思路 通过AOP即可实现,通过AOP对Bean进行代理,在每次执行方法前或者后进行几次计数统计。这个主要就是考虑好如何避免并发情况…

Gradle学习笔记:Gradle的使用方法

文章目录 1.初始化项目2.构建脚本语言选择3.项目命名4.项目构建过程 1.初始化项目 创建一个test空文件夹,在该文件夹下打开终端,并执行命令:gradle init. 会有一个选项让你选择项目的类型。下面是每个选项的含义和用途: basic&am…

腾讯LLaMA Pro大模型:突破大模型微调的知识遗忘难题

引言:大模型微调中的挑战 在人工智能的发展过程中,大型语言模型(LLM)的微调(fine-tuning)始终是提升模型在特定任务上性能的关键。然而,微调过程中常面临一个主要挑战:知识遗忘。这…

【TCP】传输控制协议

前言 TCP(Transmission Control Protocol)即传输控制协议,是一种面向连接的、可靠的、基于字节流的传输层通信协议。它由IETF的RFC 793定义,为互联网中的数据通信提供了稳定的传输机制。TCP在不可靠的IP层之上实现了数据传输的可…

HCIE之BGP正则表达式(四)

BGP 一、AS-Path正则表达式数字| 等同于或的关系[]和.$ 一个字符串的结束_代表任意^一个字符串的开始()括号包围的是一个组合\ 转义字符* 零个或多个?零个或一个一个或多个 二、BGP对等体组 一、AS-Path正则表达式 正则表达式是按照一定模版匹配字符串的公式 AR3上…

数字孪生系统的难点

数字孪生系统的开发和实施涉及一些技术难点,这些难点需要综合应用多个领域的知识和技术来克服。以下是一些数字孪生系统开发中的技术难点,希望对大家有所帮助。北京木奇移动技术有限公司,专业的软件外包开发公司,欢迎交流合作。 1…

React进阶 - 14(说一说”虚拟DOM“中的”Diff算法“)

本章内容 目录 一、了解 Diff 算法二、key 值的重要性三、为什么不建议使用 index 做 key 值 上一节我们初步了解了 React中的”虚拟 DOM“ ,本节我们来说一说”虚拟DOM“中的”Diff算法“ 一、了解 Diff 算法 在上一篇中,我们有讲到:当 st…

CentOS 6/7/8系统加固方案

密码失效时间 设置密码失效时间,强制定期修改密码,减少密码被泄漏和猜测风险,若使用非密码登陆方式(如密钥对)请忽略此项。 在 /etc/login.defs 中将 PASS_MAX_DAYS 参数设置为 60-180之间,如: PASS_MAX_DAYS 180 需同时执行命令设置root密码失效时间: chage --maxdays…