拓扑图
![在这里插入图片描述](https://img-
blog.csdnimg.cn/direct/56b7bad3a85e43b983bd0074c3b512bc.png#pic_center)
需求:
1、企业出口网关设备必须具备较高的可靠性,为了避免单点故障,要求两台设备形成双机热备状态。当一台设备发生故障时,另一台设备会接替其工作,不会影响业务正常运行。
2、企业从两个ISP租用了两条链路,要求出口网关设备可以识别流量的应用类型,将不同应用类型的流量送往合适的链路,提高链路利用率,避免网络拥塞。
3、企业内部用户分为研发部员工、市场部员工、生产部员工以及管理者,根据企业内部各个部门的实际业务需求,在出口网关设备上基于用户/部门和应用来制定访问控制策略。
4、为了实现企业内网大量用户通过公网地址访问Internet的目的,要求出口网关设备能够将私网地址转换为公网地址。
5、在网关设备上存储用户和部门的信息,体现公司的组织结构,供策略引用。在服务器区部署AD服务器,为实现基于用户的网络行为控制和网络权限分配提供基础。
6、对公司外的用户提供Web服务器和FTP服务器的访问。
7、企业内部网络面临来自Internet的非法访问、以及各种攻击和入侵行为,要求出口网关设备可以防范各种病毒、蠕虫、木马和僵尸网络攻击,保护公司网络的安全。此外,对公司员工访问的网站进行过滤,禁止所有成人网站和非法网站的访问。
8、要求出口网关设备防范针对企业内部网络的SYN Flood、UDP Flood攻击和畸形报文攻击。
9、要求出口网关设备可以基于应用的流量控制,对大量占用网络带宽的流量(如P2P流量)进行限制,保证关键业务的正常运行。此外,还可以基于不同用户/部门实施差异化的带宽管理。
10、要求出差和家庭办公的研发员工能够安全地使用公司的ERP系统和邮件系统,高级管理者和市场员工能够像在公司内网一样正常办公。
业务规划
1 IP、VLAN
部门 / 设备 / 用户 | IP段 | 网关 | Vlan |
---|---|---|---|
Market | 10.1.11.0/24~10.1.15.0/24 | 网段内首个可用地址(VRRP) | 11~15 |
Procure | 10.1.21.0/24~10.1.25.0/24 | 网段内首个可用地址(VRRP) | 21~25 |
Finance | 10.1.31.0/24~10.1.35.0/24 | 网段内首个可用地址(VRRP) | 31~35 |
HR | 10.1.41.0/24~10.1.45.0/24 | 网段内首个可用地址(VRRP) | 41~45 |
Wireless_Public | 10.1.51.0/24~10.1.55.0/24 | 网段内首个可用地址(VRRP) | 51~55 |
Services | 10.1.60.0/24 | 网段内首个可用地址(VRRP) | 60 |
Wireless_Guest | 10.1.101.0/24~10.1.105.0/24 | 网段内首个可用地址(VRRP) | 101~105 |
AC | 10.1.203.0/24 | 网段内首个可用地址(VRRP) | 203 |
AGG1_to_Core | 10.1.204.0/24 | 网段内首个可用地址(VRRP) | 204 |
AGG2_to_Core | 10.1.205.0/24 | 网段内首个可用地址(VRRP) | 205 |
L2tp over IPSec user | 1010.1.2~10.10.1.100/24 | 10.10.1.1(FW_A&B_Virtual- | |
Template 1) | – | ||
Export | 1.1.1.0/24、2.2.2.0/24 | 网段内首个可用地址(VRRP) | – |
分支机构内网 | 192.168.1.0/24 | 192.168.1.254 | – |
2 VRRP
部门 / 用户 | Master | Backup |
---|---|---|
Market,Procure,Finance,HR | AGG1 | AGG2 |
Wireless_Public,Wireless_Guest,AC,Services | Core1 | Core2 |
Export | FW_A | FW_B |
3 DHCP
部门 / 用户 | 网关设备 |
---|---|
Market,Procure,Finance,HR | AGG1、AGG2 |
Wireless_Public,Wireless_Guest | Core1、Core2 |
L2tp over IPSec user | FW_A&B |
4 MSTP
Vlan | Stp Instance | Root Device |
---|---|---|
51 to 55,60,101 to 105,203 to 205 | 1 | Core1 |
11 to 15,21 to 25,31 to 35,41 to 45 | 2 | AGG1 |
5 防火墙接口与安全区域规划
![在这里插入图片描述](https://img-
blog.csdnimg.cn/direct/58b09fc416c948b7b156d42e796aaf19.png#pic_center)
- 连接ISP1链路的接口GE1/0/1加入区域ISP1。ISP1区域需要新建,优先级设定为15。
- 连接ISP2链路的接口GE1/0/2加入ISP2区域。ISP2区域需要新建,优先级设定为20。
- 用于防火墙双机热备的接口GE1/0/3加入Heart区域。Heart区域需要新建优先级设定为75。
- 连接核心路由器的接口GE1/0/4加入Trust区域。Trust区域是防火墙缺省存在的安全区域,优先级为85。
6 访问限制
- 总部web、FTP服务器为内部以及外部用户提供服务,外部用户需使用8080端口访问web服务器,FTP服务使用默认端口号。
- Finance部门不能访问公司内部服务器,也不能访问Internet
- 总部到分支机构192.168.1.0/24使用IPSec Tunnel访问,并且只允许Market、Procure、HR通过VPN访问分支机构。
- 出差用户可使用L2TP Over IPSec Tunnel访问总部内部10.1.0.0/16。
- 总部无线访客用户不允许访问公司内部服务器。
- 除了Finance部门不能访问Internet外,其他用户都可以访问。
7 NAT规划
源地址 | 地址池 |
---|---|
总部、分部内网可访问Internet的网段 | 1.1.1.6 ~ 1.1.1.10、2.2.2.6 ~ 2.2.2.10 |
8 NAT Server
Source-IP | Source-Port | Global-IP | Global-Port |
---|---|---|---|
10.1.60.100 | 80 | 1.1.1.4(FW_A) | 8080 |
10.1.60.101 | 21 | 1.1.1.5(FW_A) | 21 |
10.1.60.100 | 80 | 2.2.2.4(FW_B) | 8080 |
10.1.60.101 | 21 | 2.2.2.5(FW_B) | 21 |
9 OSPF
本端设备 | 对端设备 | 进程号 | 区域 |
---|---|---|---|
FW_A、FW_B | Core1、Core2 | 1 | 0 |
AGG1、AGG2 | Core1、Core2 | 1 | 1 |
配置结果验证
1 AP状态
![在这里插入图片描述](https://img-
blog.csdnimg.cn/direct/0c4a88c6f6204db79f7742e47d523578.png#pic_center)
2 VRRP状态
![在这里插入图片描述](https://img-
blog.csdnimg.cn/direct/45eb245e2d304cf9a344f9e440e7e292.png#pic_center)
![在这里插入图片描述](https://img-
blog.csdnimg.cn/direct/1b8ad557024e45fabdf2cc6aa925a27b.png#pic_center)
![在这里插入图片描述](https://img-
blog.csdnimg.cn/direct/7c6616d34ebf4139b92f6082a424d992.png#pic_center)
3 VPN 协商
![在这里插入图片描述](https://img-
blog.csdnimg.cn/direct/e67dd43e49c247798b448ca42a4307de.png#pic_center)
![在这里插入图片描述](https://img-
blog.csdnimg.cn/direct/5ecbc84ee0af4869a4c2ae00b43040d2.png#pic_center)
![在这里插入图片描述](https://img-
blog.csdnimg.cn/direct/20db50bce0734b249c22265a4bd885ef.png#pic_center)
![在这里插入图片描述](https://img-
blog.csdnimg.cn/direct/7b5d1f3404584371be91bd0a9870804b.png#pic_center)
4 双击热备状态
![在这里插入图片描述](https://img-
blog.csdnimg.cn/direct/c89dc1ca677e4ee7879f4af547f3606b.png#pic_center)
5 用户IP地址获取
-
无线用户
![在这里插入图片描述](https://img-
blog.csdnimg.cn/direct/cea06247d60b46bca6bca3f694c116ef.png#pic_center)
![在这里插入图片描述](https://img-
blog.csdnimg.cn/direct/8e275ef651ec4eaeb28bc4ebffa30758.png#pic_center) -
有线用户
![在这里插入图片描述](https://img-
blog.csdnimg.cn/direct/fbc85719352b41c084a537636ffaea2a.png#pic_center) -
出差用户
![在这里插入图片描述](https://img-
blog.csdnimg.cn/direct/7b5d1f3404584371be91bd0a9870804b.png#pic_center)
6 防火墙策略
策略部署相对简单,根据部署情况放行相应流量即可,下图为FW_A的策略条目,部署双机热备后会在FW_B上同步,另外还需要配置NAT策略以及NAT服务器地址映射,这里不再赘述。
![在这里插入图片描述](https://img-
blog.csdnimg.cn/direct/c66022b3d58d40c9a831ba133ebc89c2.png#pic_center)
访问验证
1 To_Internet
1.1 Wireless_User
![在这里插入图片描述](https://img-
blog.csdnimg.cn/direct/35e13c47106a44788bfc6e4ae2fc09f2.png#pic_center)
1.2 Wire_User
![在这里插入图片描述](https://img-
blog.csdnimg.cn/direct/f5a0f130dd674b76aa51f3be4c16c551.png#pic_center)
1.3分支机构
![在这里插入图片描述](https://img-
blog.csdnimg.cn/direct/d190a3f0c42d4692a632e0dc218060ac.png#pic_center)
2 To_Services
2.1 Wireless_User
![在这里插入图片描述](https://img-
blog.csdnimg.cn/direct/1a4c9327a9e34ee18f102ce577d63ee8.png#pic_center)
2.2 Wire_User
![在这里插入图片描述](https://img-
blog.csdnimg.cn/direct/7aeea37d4284495585c1a92db04d4b05.png#pic_center)
2.3 分支机构
![在这里插入图片描述](https://img-
blog.csdnimg.cn/direct/f6d4854cb28a4ed4850699eaf7b63dec.png#pic_center)
2.4 出差员工
![在这里插入图片描述](https://img-
blog.csdnimg.cn/direct/4d478a19f0ed4e75aa1b04cadc1b869a.png#pic_center)
3 VPN访问
3.1 出差员工访问总部内部业务
![在这里插入图片描述](https://img-
blog.csdnimg.cn/direct/4a39b0d6b8b24fc1944cdc13c62f5acd.png#pic_center)
3.2 总部通过IPSec隧道访问分支用户
![在这里插入图片描述](https://img-
blog.csdnimg.cn/direct/eef20e559c2b4667b109710719276ad8.png#pic_center)
总结
- 该方案描述了防火墙在企业园区网络的Internet出口处的典型应用。如果您想在企业网络出口部署防火墙,完全可以借鉴此案例。
- 该方案诠释了双机热备的经典组网:“防火墙上行连接交换机,下行连接三层设备”。我们可以借此理解双机热备的典型应用。
- 该方案展现了防火墙作为网关的多出口选路能力,包括:全局智能选路和策略路由智能选路等功能。
- 该方案还体现了防火墙的应用识别和控制能力。防火墙不仅能够识别端口信息,还能够识别各种应用,并且能够根据应用进行访问控制、策略路由和流量控制。
此外,还可以用防火墙虚拟系统进行业务流量的隔离管控,如:可将本案例中Guest的流量单独隔离管理,以增加企业网络的安全可靠性。
转眼又是一个毕业季,不知道多少大学生正在扣头ing,如果有需要,记得Q我:1254628828
学习计划安排
我一共划分了六个阶段,但并不是说你得学完全部才能上手工作,对于一些初级岗位,学到第三四个阶段就足矣~
这里我整合并且整理成了一份【282G】的网络安全从零基础入门到进阶资料包,需要的小伙伴可以扫描下方CSDN官方合作二维码免费领取哦,无偿分享!!!
如果你对网络安全入门感兴趣,那么你需要的话可以
点击这里👉网络安全重磅福利:入门&进阶全套282G学习资源包免费分享!
①网络安全学习路线
②上百份渗透测试电子书
③安全攻防357页笔记
④50份安全攻防面试指南
⑤安全红队渗透工具包
⑥HW护网行动经验总结
⑦100个漏洞实战案例
⑧安全大厂内部视频资源
⑨历年CTF夺旗赛题解析