防火墙的ISP选路与DNS透明代理

已于 2022-11-28 09:20:31 修改
阅读量3k 收藏 20
点赞数 1
文章标签: 网络 服务器 运维
于 2022-11-18 19:30:00 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_32044265/article/details/127918549
版权

​ISP选路

ISP选路功能也称为运营商地址库选路功能,当FW作为出口网关设备连接多个ISP网络时,通过ISP选路功能可以使访问特定ISP网络的流量从相应出接口转发,保证流量转发使用最短路径,提高转发效率。

如下图所示,FW拥有两条属于不同ISP网络的出口链路。当内网用户访问ISP2中的Server2时,如果FW上存在等价路由,则FW可以通过路径1和路径2两条不同的路径到达Server2。其中,路径2显然不是最优路径,路径1才是用户所期望的路径。

配置ISP选路功能后,当内网用户访问Server1或Server2时,FW会根据目的地址所在ISP网络选择相应的出接口,从而使访问流量通过最短路径到达服务器。

ISP选路的原理

ISP选路是基于ISP路由的选路方式,通过批量生成到运营商网络的ISP路由实现访问特定ISP网络的报文都从相应的出接口转发。

ISP选路可以单独使用,也可以结合其他智能选路功能一起使用,具体的

使用场景分类如表1所示:

表1 ISP选路场景分类

分类

使用场景

ISP选路场景

如果用户希望访问特定ISP网络的流量从相应出接口转发,不会绕道其他ISP,可以配置ISP选路功能。

ISP选路+策略路由组合场景

如果用户希望根据报文目的地址所属ISP网络选择相应的出接口,并根据多出口策略路由进行智能的选路,实现链路资源的合理利用,可以使用该场景。

ISP选路+全局选路策略+DNS透明代理组合场景

当内网用户通过域名访问Web服务器时,可以使用该场景。通过配置DNS透明代理,可以使DNS请求报文根据选择的出接口,修改DNS请求报文的目的地址(DNS服务器地址)。通过配置ISP选路和全局选路策略,FW根据报文目的地址所属ISP网络选择相应的出接口,并根据全局选路策略,实现链路资源的合理利用。

ISP选路功能可以配合健康检查功能一起使用,保证流量不被转发到故障链路上。当健康检查的结果显示链路故障时,对应的ISP路由表项将被删除,所以流量不会命中该条路由,也就避免被转发到故障链路上。当链路状态恢复正常时,对应的ISP路由表项将重新生成,流量即可按此路由进行转发。

DNS透明代理

一般来讲,企业内网用户的客户端都会配置一个相同的DNS服务器地址,而DNS服务器通常会将域名解析成自己所在ISP内的Web服务器地址,这将导致内网用户的上网流量都集中在一个ISP的链路上转发,最终可能会造成链路拥塞,影响用户的上网体验。同时,由于其他ISP的链路资源没有被使用,也造成了资源的浪费。

为了解决上述问题,可以使用DNS透明代理功能。对于命中DNS透明代理策略的DNS请求报文,FW会根据DNS请求报文选择的出接口,修改请求报文的目的地址(DNS服务器地址),即将其修改为其他ISP内的DNS服务器地址,DNS请求被转发到不同的ISP,解析后的Web服务器地址也就属于不同的ISP,所以上网流量将通过不同的ISP链路转发,充分利用了所有链路资源。

DNS透明代理策略

管理员通过DNS透明代理策略来定义哪些DNS请求报文需要做DNS透明代理。DNS透明代理策略的具体规则如下:

  • 匹配条件只有DNS请求报文的源地址和目的地址,且均为可选,如果不选,默认为any,表示该DNS透明代理策略与任意DNS请求报文匹配,并执行配置的动作。

  • 各个匹配条件之间是“与”的关系,只有报文的属性与各个条件必须全部匹配,才认为该报文匹配这条规则。

  • 一个匹配条件中如果可以配置多个值,多个值之间是“或”的关系,报文的属性只要匹配任意一个值,就认为报文的属性匹配了这个条件。

  • FW存在多条DNS透明代理策略时,DNS请求报文将按照策略的配置顺序依次进行匹配。

  • 只要匹配到其中一条策略,就按照此策略的动作进行处理,不再继续匹配剩余的其他策略。

此外,系统默认存在一条缺省DNS透明代理策略default,default位于策略列表的最底部,优先级最低,所有匹配条件均为any,动作为不代理。如果所有配置的策略都未匹配,则将匹配缺省DNS透明代理策略。

DNS透明代理处理流程

当内网用户访问某个域名时,DNS透明代理功能处理报文的流程如下图所示。

处理流程的详细说明如下:

1.DNS请求报文命中DNS透明代理策略后,对于需要做DNS透明代理的报文,FW首先判断待解析的域名是否为排除域名。

  1. 如果是排除域名,FW就不会做DNS透明代理;

  2. 如果不是排除域名,FW会为报文做一个DNS透明代理标记,此标记用于后续流程的判断。

  3. 对于排除域名,如果需要更换DNS服务器来解析该域名,则FW会将DNS请求报文的目的地址修改为指定DNS服务器的地址。

2.DNS请求报文根据智能选路或者普通静态/动态路由选路选择出接口。

说明:

DNS请求报文使用以下几种方法进行选路:

  • DNS透明代理自身配置的智能选路方式

  • 策略路由智能选路或全局选路策略

  • 普通静态/动态路由选路

优先级关系为:DNS透明代理自身配置的智能选路方式> 策略路由智能选路 > 全局选路策略 > 普通静态/动态路由选路。

3.当出接口上绑定了DNS服务器,且报文有DNS透明代理标记时,FW才会做DNS透明代理。两个条件中有一个不满足时,FW都不会做DNS透明代理

说明:

FW在每个出接口上最多绑定2个DNS服务器,一个为首选DNS服务器,一个为备用DNS服务器,它们都属于该出接口直连的ISP网络。

当FW决定DNS请求报文的出接口后,DNS透明代理功能优先使用首选DNS服务器的地址替换DNS请求报文的目的地址,只有当首选DNS服务器的状态为DOWN时,才使用备用DNS服务器的地址进行替换。

通过在DNS透明代理中配置健康检查,可以判断出接口上绑定的DNS服务器是否可用,如果首选DNS服务器和备用DNS服务器都不可用,则DNS透明代理不生效。

下面以下图为例对DNS透明代理过程进行举例说明。

  1. 当DNS请求报文到达FW时,FW首先进行DNS透明代理策略的匹配。

  2. 报文命中DNS透明代理策略后,FW根据路由查询结果选择一个出接口。

  3. FW使用出接口上绑定的DNS服务器地址替换DNS请求报文的目的地址。

  4. DNS服务器将解析后的Web服务器地址返给用户,此Web服务器和DNS服务器属于同一个ISP网络。

  5. 用户根据返回的地址访问Web服务器。此时需要结合ISP选路(基于ISP路由的选路)功能,使用户能够通过Web服务器所属的ISP网络进行访问,防止发生跨ISP网络访问的情况。

配置举例

如下图所示,企业分别从ISP1和ISP2租用了一条链路,ISP1链路的带宽为100M,ISP2链路的带宽为50M。ISP1的DNS服务器地址为8.8.8.8和8.8.8.9,ISP2的DNS服务器地址为9.9.9.8和9.9.9.9。内网用户客户端的DNS服务器地址均设置为10.2.0.70。

  • 企业希望10.3.0.0/24网段内网用户的上网流量按照2:1的比例分配到ISP1和ISP2链路,保证各条链路得到充分利用且不会发生拥塞,提升内网用户的上网体验。

  • 内网用户访问域名www.example.com时,不做DNS透明代理,但是要在指定的DNS服务器(8.8.8.10)上解析该域名对应的Web服务器地址。

  • 当一条ISP链路过载(阈值为90%)时,可以使用另一条ISP链路进行流量转发。

配置思路

由于企业希望上网流量能够根据带宽比例(2:1)进行分配,所以智能选路的方式设置为根据链路带宽负载分担的全局选路策略。通过在FW上配置DNS透明代理功能,可以使内网用户的DNS请求报文按照2:1的比例分配到ISP1与ISP2的DNS服务器上。

为了保证上网流量不会绕道其他ISP,而是直接通过目的地址所在ISP网络到达Web服务器,需要配置ISP选路功能。

  1. 可选:配置健康检查功能,分别为ISP1和ISP2链路配置健康检查。

  2. 配置接口的IP地址、安全区域、网关地址、带宽和过载保护阈值,并在接口上应用健康检查。

  3. 配置ISP选路功能。制作isp1.csv和isp2.csv两个ISP地址文件,并上传到FW上。

  4. 配置DNS透明代理功能。在出接口上绑定DNS服务器地址,配置DNS透明代理策略来指定做DNS透明代理的流量,并配置要排除的域名。

  5. 配置全局选路策略。配置智能选路方式为根据链路带宽负载分担,并指定FW和ISP1、ISP2网络直连的出接口作为智能选路成员接口。

  6. 配置基本的安全策略,允许企业内网用户访问外网资源。

操作步骤

1.配置ISP1和ISP2链路的健康检查功能。

选择“对象> 健康检查”,在“健康检查列表”区域单击“新建”,完成下图配置。

说明:

DNS透明代理功能和智能选路一起配合使用且需要同时启用DNS透明代理的健康检查和智能选路接口下的健康检查时,智能选路接口下的健康检查探测目的地址需要配置为接口绑定的DNS服务器地址,探测协议配置为DNS,以确保两处健康检查结果一致,接口链路在正常状态下可以始终支持DNS代理,避免因为DNS请求失败导致业务访问失败。

2.配置接口的IP地址和网关地址,以及接口所在链路的带宽和过载保护阈值,并应用对应的健康检查。

选择“网络> 接口”,单击待配置的接口所在行的,并做如下配置。

3.配置DNS透明代理。

  1. 选择“网络 > DNS > DNS”,单击“DNS透明代理”页签,并做如下配置。


    接口绑定DNS服务器时,启用“健康检查”。
     

  2. 单击“应用”。

  3. 配置内网用户访问域名www.example.com时,不做DNS透明代理,但是要在指定的DNS服务器(8.8.8.10)上解析该域名对应的Web服务器地址。

  4. 配置DNS透明代理策略。

4.配置ISP选路。

  1. 选择“网络 > 路由 > 智能选路”,单击“运营商地址库”页签,上传ISP地址文件到FW。
     

  2. 选择“网络 > 路由 > ISP路由”,单击“新建”页签,配置ISP选路。
     

5.配置全局选路策略,流量根据链路带宽负载分担。并将GigabitEthernet 0/0/1和GigabitEthernet 0/0/5加入出接口列表。

选择“网络> 路由 > 智能选路”,在“全局选路策略列表”区域,单击“配置”。

6.配置安全策略。

  1. 选择“策略 > 安全策略 > 安全策略”。

  2. 单击“新建安全策略”,按如下参数配置从trust到untrust方向的安全策略,允许业务报文通过。配置完成后单击“确定”。

名称

service

源安全区域

trust

目的安全区域

untrust

源地址/地区

10.3.0.0/24

动作

允许

阿豪的笔记
关注
  • 1
    点赞
  • 20
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
华为HCIE-Security V1.5 培训视频教程【共23集】.rar
09-19
目录:网盘文件,永久链接 1、HCIE安全认证介绍和课程架构 2、HCIE安全认证考试设备介绍 3、HCIE安全认证路径 4、NGFW硬件介绍和配置向导 5、NGFW防火墙基础配置 6、防火墙二层互联接口介绍 7、防火墙二层互联之Eth-trunk手工负载分担 8、防火墙二层互联之Eth-trunk静态LACP模式 9、防火墙二层互联接口配置组网及排障 10、防火墙安全策略原理与配置 11、防火墙状态监测及会话表技术 12、防火墙状态监测机制配置实验 13、防火墙安全策略应用场景配置实验及故障排除 14、防火墙路由技术基本原理 15、防火墙路由协议配置完整实验及故障处理 16、防火墙出口选路概述及ISP选路原理和配置 17、防火墙策略路由选路及智能选路 18、防火墙DNS透明代理及配置实验 19、防火墙NAT技术及源NAT技术 20、防火墙NAT Server及目的NAT技术 21、防火墙NAT ALG技术 22、防火墙NAT应用场景及服务器负载均衡(SLB)实验配置 23、防火墙NAT故障排除
华三防火墙配置IPSec隧道
a2317077531的博客
06-30 8936
1.网络拓扑 2.配置思路 1.配置各接口IP地址,将接口加入对应区域 2.ISP运行ospf,引入直连路由 3.配置防火墙策略,及路由 4.配置IPSec VPN 5.验证VPN互通 1.FW1配置接口IP及加入到相关区域 interface GigabitEthernet1/0/20(wan-ip) ip address 192.168.13.1 255.255.255.0 interface LoopBack 0(测试内网IP) ip address 192.168.11.1 255.255.25
链路负载均衡之DNS透明代理
Mario_Ti的博客
03-04 1095
本文介绍链路负载均衡之DNS透明代理,首先介绍DNS透明代理概念、DNS透明代理策略,最后通过防火墙web界面以及对应指令配置。
防火墙——智能选路讲解(全局智能选路、策略路由智能选路ISP选路
m0_49864110的博客
06-06 3182
随着业务的不断发展,企业为例提高出口链路的带宽和可靠性,一般会在出口部署多条链路。智能选路技术可以根据链路带宽、权重、优先级或自动探测到目的地的链路质量,动态选择最优链路,提高了链路资源的利用率和用户体验。
BGP选路原则
热门推荐
刘一凡的博客
09-20 1万+
选路原则 选路的意义:只有最优路由才会被写入主路由表(配置了maximum-path时例外),只有最优路由才会通告给邻居。 准备工作1、忽略下一跳不可达的路由(包括没有路由和循环递归路由)。 只有默认路由匹配下一跳时也算下一跳可达。 默认情况下拒绝接收从EBGP邻居学习到的下一跳不可达的路由,但是不会拒绝从IBGP邻居学习到的下一跳不可达的路由,这是为什么呢?因为默认情况下,将路由通告给E...
防火墙透明模式和透明代理
10-19
透明代理透明模式都可以简化防火墙的设置,提高系统安全性。但两者之间也有本质的区别:工作于透明模式的防火墙使用了透明代理的技术,但透明代理并不是透明模式的全部,防火墙在非透明模式中也可以使用透明代理。值得注意的是,虽然国内市场上很多防火墙产品都可提供透明代理访问机制,但真正实现透明模式的却不多——有很多厂商都宣称自己的防火墙产品实现了透明模式,但在实际应用中,他们往往做不到这一点,而只是实现了透明代理
ISP选路
qq_27599713的博客
02-18 729
ISP选路功能也称为运营商地址库选路功能,当FW作为出口网关设备连接多个ISP网络时,通过ISP选路功能可以使访问特定ISP网络的流量从相应出接口转发出去,保证流量转发使用最短路径。
防火墙DNS域名解析启用DNS透明代理
qq_42181623的博客
05-01 3924
拓扑介绍 LSW2、LSW3为公司A / B 部门的接入交换机 LSW1为公司的核心设备,负责DHCP地址下放 FW1为公司出接口设备,负责对接telecom Unicom和给公司做域名解析 AR1、AR2模拟运营商的BASE设备 AR3模拟运营商的核心P设备 server1 、2 为telecom的服务器 server3 、4 为Unicom的服务器 配置思路 配置内网的连通性:接入设备vlan缺省(这里犯个懒当透明)、核心设备DHCP下放地址 出接口设备配置:新建区域、安全策...
防火墙ISP选路
zljszn的博客
10-21 1308
2. 防火墙区域的划分(防火墙的g1/0/2接口是属于ISP1接口,所以需要自己新建一个区域然后添加接口,配置优先级,g1/0/3是属于ISP2接口,所以也需要新建一个区域把接口给添加进去,然后再配置优先级)让R1走ISP1的路径访问192.168.1.1,R2走ISP2的路径访问172.16.1.1。8. 抓包查看,去往isp1和isp2的流量分别从防火墙的g1/0/2和1/0/3接口出去了。下载的模板如下图所示,只需要在目的IP地址范围写ISP的地址即可,然后再导入进来即可。1. IP地址的配置略。
安全HCIP之DNS透明代理
XiaoHG_CSDN的博客
10-07 944
DNS透明代理 待补充。。。
华为防火墙分流选路ensp实验
08-11
实验链接 https://blog.csdn.net/qq_30755261/article/details/126294507 华为防火墙分流实验,特定VLAN指定出接口 ensp项目包
防火墙智能选路.docx
07-18
防火墙智能选路.docx
华为USG9500高端防火墙智能选路和负载均衡技术白皮书.pdf
11-06
华为USG9500高端防火墙智能选路和负载均衡技术白皮书.pdf
HCSCP1103 防火墙智能选路 ISSUE 3.0.pptx
10-06
HCSCP1103 防火墙智能选路 ISSUE 3.0
USG9500系列下一代防火墙产品智能选路技术文档.pdf
04-04
USG9500系列下一代防火墙产品智能选路技术文档.pdf
SD-WAN怎样保障网络稳定
TIANGEKUAJING的博客
04-25 567
随着企业网络的日益复杂,如何确保线路的稳定性和高效性成为了网络管理的一大挑战。尤其是在线路出现故障、质量下降或拥塞时,如何快速响应并切换到最佳线路,就显得尤为重要。SD-WAN,作为一种新型的网络架构,为用户提供了灵活应对各种网络问题的能力。
FR-TSN4206获得“时间敏感网络产业链名录计划”测试认证证书,TSN交换机助力智能工业发展
最新发布
fiberroad的博客
04-30 227
TSN技术,即时间敏感网络技术,已成为智能工业、自动驾驶等领域的核心。它通过时钟同步、数据调度等功能,确保低延迟、高可靠性的数据传输。为推动TSN技术在我国的发展,工业互联网产业联盟联合多家单位启动了“时间敏感网络产业链名录计划”。光路科技的FR-TSN4206交换机成功通过该计划认证
java线上问题排查之磁盘和网络查看分析(二)
wayne_youlu的博客
04-30 179
overflowed 标识全连接队列溢出的次数,最前面是0,标识没有队列溢出的情况,网络环境正常。来查看网络是否连接。如果出现下图内容,则证明网络已经连接。
传统DSN和智能选路DNS对比
06-06
传统DNS和智能选路DNS的主要区别在于解析方式和解析结果。 1. 解析方式:传统DNS采用固定的解析方式,将请求转发到最近的DNS服务器,并依次向上递归查询最终结果。而智能选路DNS则采用智能路由方式,通过分析用户的网络环境和请求内容,选择最优的解析路径,从而提高解析速度和准确性。 2. 解析结果:传统DNS返回的是一个固定的IP地址,而智能选路DNS则可以根据用户的位置、网络环境、设备信息等因素,返回最适合用户的IP地址,从而提高用户的体验和访问速度。 3. 可靠性:智能选路DNS拥有更高的可靠性,因为它可以针对不同的网络情况选择最佳的解析路径,避免了单点故障和网络拥塞等问题。 4. 安全性:智能选路DNS拥有更高的安全性,因为它可以通过多种安全策略来保护用户的隐私和安全,如DNS防护、流量清洗、恶意域名识别等。 5. 扩展性:智能选路DNS拥有更好的扩展性,因为它可以根据用户的需求和网络规模进行灵活的扩展和升级,而传统DNS则难以满足大规模解析的需求。 总之,智能选路DNS相较于传统DNS具有更快的解析速度、更高的准确性、更强的可靠性和安全性、更好的扩展性等优点,已经成为未来DNS发展的趋势。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值