网络安全--防火墙旁挂部署方式和高可靠性技术

已于 2023-09-25 14:06:51 修改
阅读量2k 收藏 24
点赞数 2
分类专栏: 网络安全 文章标签: web安全 网络 安全 运维
于 2023-09-25 14:03:36 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_65685029/article/details/133242880
版权

目录

一、防火墙

二、防火墙旁挂部署方式

使用策略路由实现

第一步、IP地址配置

第二步、配置路由

第三步、在防火墙上做策略

第四步、在R2上使用策略路由引流

三、防火墙高可靠性技术--HRP

拓扑图

第一步、配置SW1、SW2、FW1、FW2

第二步、进入防火墙Web页面进行配置接口

第三步、配置高可靠VRRP---双机备份

第四步、配置路由

第五步、配置安全策略

第六步、链路故障进行测试

一、防火墙

二、防火墙旁挂部署方式

使用策略路由实现

第一步、IP地址配置

R1

<Huawei>system-view 	
[Huawei]sysname R1
[R1]int g0/0/0
[R1-GigabitEthernet0/0/0]ip address 100.1.1.1 24
[R1-LoopBack0]ip address 1.1.1.1 32

R2

<Huawei>system-view 
[Huawei]sysname R2
[R2]int g0/0/1
[R2-GigabitEthernet0/0/1]ip address 100.1.1.2 24
[R2-GigabitEthernet0/0/1]int g0/0/2	
[R2-GigabitEthernet0/0/2]ip address 192.168.1.2 24
[R2-GigabitEthernet0/0/2]int g0/0/0.1	
[R2-GigabitEthernet0/0/0.1]ip address 192.168.3.2 24	
[R2-GigabitEthernet0/0/0.1]dot1q termination vid 2
[R2-GigabitEthernet0/0/0.1]arp broadcast enable 
[R2-GigabitEthernet0/0/0.1]int g0/0/0.2	
[R2-GigabitEthernet0/0/0.2]ip address 192.168.2.2 24	
[R2-GigabitEthernet0/0/0.2]dot1q termination vid 3
[R2-GigabitEthernet0/0/0.2]arp broadcast enable

R3

<Huawei>system-view 	
[Huawei]sysname R3
[R3]int g0/0/0	
[R3-GigabitEthernet0/0/0]ip address 192.168.1.3 24
[R3-GigabitEthernet0/0/0]int lo0
[R3-LoopBack0]ip address 3.3.3.3 32

FW1

<USG6000V1>system-view 	
[USG6000V1]sysname FW
[FW]int g0/0/0	
[FW-GigabitEthernet0/0/0]ip address 192.168.78.10 24	
[FW-GigabitEthernet0/0/0]service-manage all permit

 然后用这个IP地址进入Web页面,配置接口

第二步、配置路由

先把1.1.1.1到3.3.3.3之间的路由打通。

R1到R3的3.3.3.3/32环回

[R1]ip route-static 3.3.3.3 32 100.1.1.2

R2到R3的3.3.3.3/32和R1的1.1.1.1/32环回

[R2]ip route-static 1.1.1.1 32 100.1.1.1
[R2]ip route-static 3.3.3.3 24 192.168.1.3

R3到R1的1.1.1.1/32环回

[R3]ip route-static 1.1.1.1 32 192.168.1.2

 测试

在防火墙上配置路由

到1.1.1.1/32和3.3.3.3/32的路由

第三步、在防火墙上做策略

允许3.3.3.3与1.1.1.1之间互相访问

配置g1/0/0接口为串口 

 并且设置g1/0/0为信任区域

第四步、在R2上使用策略路由引流

将R1与R3之间的流量通过R2之后到防火墙,再到对方。

 在R2上写策略

#3.3.3.3到1.1.1.1
#使用ACL抓取流量
[R2]acl 3001
[R2-acl-adv-3001]rule 100 permit ip source 3.3.3.3 0 destination 1.1.1.1 0
[R2-acl-adv-3001]qu
#使用策略捕获流量
[R2]traffic classifier trust	
[R2-classifier-trust]if-match acl 3001
[R2-classifier-trust]qu
#对捕获的流量进行设置或者动作
[R2]traffic behavior trust
[R2-behavior-trust]redirect ip-nexthop 192.168.2.1
[R2-behavior-trust]qu
#匹配捕获流量和对应的动作
[R2]traffic policy trust	
[R2-trafficpolicy-trust]classifier trust behavior trust 
[R2-trafficpolicy-trust]qu
#在接口调用策略
[R2]int g0/0/2	
[R2-GigabitEthernet0/0/2]traffic-policy trust inbound 
[R2-GigabitEthernet0/0/2]qu

#1.1.1.1到3.3.3.3
[R2]acl 3002
[R2-acl-adv-3001]rule 100 permit ip source 1.1.1.1 0 destination 3.3.3.3 0
[R2-acl-adv-3001]qu
[R2]traffic classifier untrust	
[R2-classifier-trust]if-match acl 3002
[R2-classifier-trust]qu
[R2]traffic behavior untrust
[R2-behavior-trust]redirect ip-nexthop 192.168.3.1
[R2-behavior-trust]qu
[R2]traffic policy untrust	
[R2-trafficpolicy-trust]classifier trust behavior untrust 
[R2-trafficpolicy-trust]qu
[R2]int g0/0/1	
[R2-GigabitEthernet0/0/1]traffic-policy untrust inbound 
[R2-GigabitEthernet0/0/1]qu

 进行测试,发现是可以互相访问,并且追踪路由是经过防火墙设备。

当断开与防火墙的连接进行测试,依旧可以访问,所以也起到当防火墙故障的时候,依旧可以实现上网。

三、防火墙高可靠性技术--HRP

拓扑图

第一步、配置SW1、SW2、FW1、FW2

把SW1和SW2做三层交换机使用

SW1

<Huawei>system-view 	
[Huawei]sysname SW1
[SW1]vlan 2	
[SW1-vlan2]int vlanif 2
[SW1-Vlanif2]ip address 10.1.1.1 24
[SW1-Vlanif2]int lo0
[SW1-LoopBack0]ip address 1.1.1.1 32
[SW1-GigabitEthernet0/0/1]port link-type access 
[SW1-GigabitEthernet0/0/1]port default  vlan 2
[SW1-GigabitEthernet0/0/1]int g0/0/2
[SW1-GigabitEthernet0/0/2]port link-type access
[SW1-GigabitEthernet0/0/2] port default vlan 2
[SW1-GigabitEthernet0/0/2]qu

SW2

<Huawei>system-view 
[Huawei]sysname SW2
[SW2]vlan 3	
[SW2-vlan3]int vlanif 3
[SW2-Vlanif3]ip address 10.1.2.1 24
[SW2-Vlanif3]int lo0
[SW2-LoopBack0]ip address 2.2.2.2 32
[SW2-LoopBack0]int g0/0/1
[SW2-GigabitEthernet0/0/1]port link-type access 
[SW2-GigabitEthernet0/0/1]port default  vlan  3
[SW2-GigabitEthernet0/0/1]int g0/0/2
[SW2-GigabitEthernet0/0/2]port link-type access
[SW2-GigabitEthernet0/0/2] port default vlan 3
[SW2-GigabitEthernet0/0/2]qu

FW1

<USG6000V1>system-view 	
[USG6000V1]sysname FW1
[FW1]int g0/0/0	
[FW1-GigabitEthernet0/0/0]ip address 192.168.78.10 24	
[FW1-GigabitEthernet0/0/0]service-manage all permit

FW2

<USG6000V1>system-view 	
[USG6000V1]sysname FW2
[FW2]int g0/0/0	
[FW2-GigabitEthernet0/0/0]ip address 192.168.78.20 24	
[FW2-GigabitEthernet0/0/0]service-manage all permit

第二步、进入防火墙Web页面进行配置接口

FW1

g1/0/0

g1/0/1 

g1/0/2--心跳线

FW2

g1/0/0

g1/0/1

g1/0/2--心跳线

第三步、配置高可靠VRRP---双机备份

FW1--主

FW2--备份

配置完进行查看到FW1为主,FW2为备,说明配置成功

现在主备配置成功,只需要在主设备上进行配置,然后就会自动同步。

第四步、配置路由

在FW1上做

配置了去FW2上去看,也有这两条路由,自动同步过去了

SW1

[SW1]ip route-static 0.0.0.0 0 10.1.1.254

 SW2

[SW2]ip route-static 0.0.0.0 0 10.1.2.254

第五步、配置安全策略

在FW1上做2.2.2.2和1.1.1.1之间互通的安全策略

做安全策略前先进行测试,结果是无法访问

做安全策略

查看FW2上,策略同步更新

做完策略进行测试,2.2.2.2可以访问1.1.1.1。

第六步、链路故障进行测试

当断开FW1上行链路,掉了几个包,说明主备切换成功。

在FW2上面去看,FW2本来是备份,现在也切换到主状态,说明主故障,切换到备份成功 

当FW1上行链路恢复,掉了一个包,说明FW1恢复了主状态。

 在FW2上看,又恢复成备状态。

埋头苦干的小冯
关注
  • 2
    点赞
  • 24
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
HCIE-Security Day17:防火墙双机热备实验(五):防火墙旁挂交换机,交换机静态路由引流
小梁的博客
02-19 1万+
双机热备比较常见的是旁挂部署在数据中心核心交换机上,且两台防火墙之间形成双机热备。 目录 旁挂组网的优点 实验五:防火墙旁挂交换机,交换机静态路由引流 需求和拓扑 操作步骤 1、公网部分 2、防火墙部分 3、核心交换部分 4、汇聚交换部分 5、接入交换部分 验证和分析 旁挂组网的优点 1、可以在不改变现有网络物理拓扑的情况下,将防火墙部署网络中。 2、可以有选择低将通过核心交换机的流量引导到防火墙上,即对需要进行安全检测的流量引导到防火墙上进行处理,对不需要进行...
网络安全防护技术方案探讨.docx
06-08
网络安全防护技术方案探讨全文共5页,当前为第1页。对网络安全防护技术方案探讨全文共5页,当前为第1页。对网络安全防护技术方案探讨 对网络安全防护技术方案探讨全文共5页,当前为第1页。 对网络安全防护技术方案探讨全文共5页,当前为第1页。 摘要:随着网络应用在各个领域的深入发展,如何安全防护各种应用系统的数据、避免敏感数据的窃取与篡改问题,越来越引起人们的高度重视。本文就如何规划合适安全产品方案确保企业数据安全进行探索与研究。 关键词:关键词:防火墙;新一代;网络安全 0 序言 近年来,随着互联网在全球的迅速发展和各种互联网应用的快速普及,互联网已成为人们日常工作生活中不可或缺的信息承载工具。同样,随着企业信息化的迅速发展,基于网络的应用越来越广泛,特别是企业内部专网系统信息化的发展日新月异—如:网络规模在不断扩大、信息的内容和信息量在不断增长,网络应用和规模的快速发展同时带来了更大程度的安全问题,这些安全威胁以不同的技术形式同步地在迅速更新, 并且以简单的传播方式泛滥,使得网络维护者不得不对潜在的威胁进行防御及网络安全系统建设,多种威胁技术的变化发展及威胁对企业专网系统的IT安全建设提出了更高的要求。 1.安全风险背景 随着计算机技术、通信技术网络技术的发展,接入专网的应用系统越来越多。特别是随着信息化的普及需要和总部的数据交换也越来越多。对整个系统和专网的安全性、可靠性、实时性提出了新的严峻挑战。而另一方面,Internet技术已得到广泛使用,E-mail、Web2.0和对网络安全防护技术方案探讨全文共5页,当前为第2页。对网络安全防护技术方案探讨全文共5页,当前为第2页。终端PC的应用也日益普及,但同时病毒和黑客也日益猖獗, 系统和数据网络系统的安全性和可靠性已成为一个非常紧迫的问题。 2.网络安全方案 防火墙是最具策略性的网络安全基础结构组件,可以检测所有通信流。因此,防火墙是企业网络安全控制的中心,通过部署防火墙来强化 络的安全性,是实施安全策略的最有效位置。不过,传统的防火墙是依靠端口和通信协议来区分通信流内容,这样导致精心设计的应用程序和技术内行的用户可以轻松地绕过它们;例如,可以利用跳端口技术、使用 SSL、利用 80 端口秘密侵入或者使用非标准端口来绕过这些防火墙。 由此带来的可视化和控制丧失会使管理员处于不利地位,失去应用控制的结果会让企业暴露在商业风险之下,并使企业面临网络中断、违反规定、运营维护成本增加和可能丢失数据等风险。用于恢复可视化和控制的传统方法要求在防火墙的后面或通过采用插接件集成的组合方式,单独部署其他的"辅助防火墙"。上述两种方法由于存在通信流可视化受限、管理繁琐和多重延迟(将引发扫描进程)的不足,均无法解决可视化和控制问题。现在需要一种完全颠覆式的方法来恢复可视化和控制。而新一代防火墙也必须具备如下要素: (1)识别应用程序而非端口:准确识别应用程序身份,检测所有端口,而且不论应用程序使用何种协议、SSL、加密技术或规避策略。应用程序的身份构成所有安全策略的基础。(识别七层或七层以上应用) (2)识别用户,而不仅仅识别 IP 地址。利用企业目录中存储的信息对网络安全防护技术方案探讨全文共5页,当前为第3页。对网络安全防护技术方案探讨全文共5页,当前为第3页。来执行可视化、策略创建、报告和取证调查等操作。 (3)实时检查内容。帮助网络防御在应用程序通信流中嵌入的攻击行为和恶意软件,并且实现低延迟和高吞吐速度。 (4)简化策略管理。通过易用的图形化工具和策略编辑器(来恢复可视化和控制 (5)提供数千兆位或万兆位的数据吞吐量。在一个专门构建的平台上结合高性能硬件和软件来实现低延迟和数千兆位的数据吞吐量性能 2.1 产品与部署方式 本文就Palo Alto Networks 新一代安全防护网关部署方案进行探讨,该产品采用全新设计的软/硬件架构,可在不影响任何服务的前提下,以旁路模式、透明模式等接入现有网络架构中,协助网管人员进行环境状态分析,并将分析过程中各类信息进行整理后生成报表,从而进一步发现潜在安全风险,作为安全策略调整的判断依据。 2.2 解决方案功能 本方案产品突破了传统的防火墙和UTM的缺陷,从硬件设计和软件设计上进一步强化了网络及应用的安全性和可视性的同时保持应用层线速的特性。主要功能如下: (1)应用程序、用户和内容的可视化 管理员可使用一组功能强大的可视化工具来快速查看穿越网络的应用程序、这些应用程序的使用者以及可能造成的安全影响,从而使管理员能够制定更多与业务相关的安全策略。 (2)应用程序命令中心:这是一项无需执行任何配置工作的标准功能,对网络安全防护技术方案探讨全文共5页,当前为第4页。对网络安全防护技术方案探讨全文共5页,当前为第4页。以图形方式显示有关当前网络活动(
企业园区出口部署案例(防火墙旁挂方案).pdf
03-17
企业园区出口部署案例(防火墙旁挂方案).pdf
HUAWEI 防火墙 综合配置案例.chm
06-15
HUAWEI 防火墙 综合配置案例,常 见的防火墙配置案例,可以做参考
防火墙3层模式旁挂部署方法
最新发布
funnycoffee123的博客
03-18 454
简要描述
旁挂防火墙(USG6000V)实验
weixin_72910567的博客
06-09 2155
本实验通过配置旁挂防火墙,实现了内网用户访问外网的安全过滤功能。通过配置策略路由,将内网用户访问外网的流量(回包)重定向到防火墙上,使流量经过防火墙安全检测后再返回交换机。通过配置DHCP服务,为内网用户分配IP地址。通过配置安全策略,控制不同区域之间的流量访问权限。本实验加深了对旁挂防火墙的理解和应用,提高了网络安全性。
企业中深信服防火墙旁挂部署
qq_17202735的博客
07-22 3293
一、方案背景因为现在所在的企业中原网络架构中无防火墙,出于网络安全考虑。现增加一台深信服防火墙实现安全防护功能,最小改动现在网络情况下,于是采取防火墙旁挂方法,通过引流的方式把要防护的流量引流到防火墙防火墙做路由部署模式,进出的流量在防火墙上过滤一遍之后再进入互联网或内网中。二、部署方案1、业务流量从各业务服务器业务网段进入核心交换机上行端口2、进入核心交换机内部的业务流量经策略路由引导从核心交换机的防火墙接入端口(LAN口)进入防火墙2.1、如果防火墙无异常则业务流量正常进入防火墙。.........
防火墙旁挂(VRF&VFW)
weixin_43311721的博客
01-09 898
核心利用VRF方式将流量引流到FW进行检测,检测后FW回注到核心全局路由表;FW在此基础上还可以部署VFW,允许不同的VPN实例通信
H3C华三旁挂防火墙
weixin_45457085的博客
12-09 9037
适用场景: 旁挂防火墙部署 注意事项: 1.接入与汇聚都是二层部署,流量之间可以透传到防火墙 2.防火墙与汇聚交换机之间双线互联,一条做子接口起网关剥掉VLAN,一条做三层口用来路由,保证来回流量路径一致 3.汇聚与核心之间可以不通过OSPF,直接指静态路由,接入端VLAN比较多还是推荐动态协议比较方便。 配置思路: 1.首先配置接入与汇聚,打通二层。 2.配置防火墙与汇聚的互联与起网关 3.配通汇聚与接入OSPF 4.测试配置 配置开始 接入交换机上: vlan 2...
H3C防火墙单机旁路部署(网关在防火墙)
qq_23930765的博客
05-09 3252
此时流量从g1/0/3(trust)进入设备,从1/0/3(trust)出设备,所以策略的匹配条件是trust到trust,源地址为172.16.10.0/24,目的地址为172.16.20.0/24,不配置规则动作为action pass,默认就是拒绝。此时流量从g1/0/3(trust)进入设备,从g1/0/2(trust)出设备,所以需要放行trust到untrust源地址为172.16.10.0/24、172.16.20.0/24和172.16.30.0/24的流量。
华为策略路由引流旁挂防火墙
weixin_45457085的博客
11-08 9963
拓扑图解释:由于没有ENSP防火墙插件,故用AR2代替防火墙,PC1与PC2模拟内网trust区域设备,AR3模拟外网untrust区域 项目要求: 1.外网访问内网流量需要通过防火墙过滤再进入内网; 2.内网访问外网流量直接出站无需过滤。 配置思路: 1.首先配通底层,为了直观我这里采用手写静态路由,项目上为了方便可以直接跑内部动态路由协议; 2.在外网入站口AR1的G0/0/2上使用策略路由PBR进行流量重定向。 配置开始: 1.配通底层: SW1上: AR1上: ...
锐捷防火墙WEB)——旁路部署IPSec
君逍遥o
09-27 893
如图所示,通过VPN将2个局域网连接起来,实现192.1681.0/24与1.1.1.0/24两个网段的通信, NGFW2 ,采用单臂模式部署
企业网络安全架构设计之IPSec应用配置举例
06-19
背景: 现网中总部机构与分支机构都接入进了互联网中,但是分支机构与总部之间需要进行数据资源互访,但是数据访问通过公网进行得不到安全性保障;申请专线进行专网搭建耗费人力物力与财力。 技术设计: 为了更好地解决该场景下的用户痛点,采用安全的IPSec技术,可以在现有情况下构建虚拟专用网络用来实现安全的数据资源互访且不增加成本。 同时为更好的保证总部的接入的可靠性,出口采用双防火墙以双机热备形式部署在互联网出口处,更好的保证分支机构与总部之间的数据访问可靠性。 扩展: 本次资源实验中只有一个分支,现网场景中具有多个分支,总部配置量较大,可以使用user table 表来简化配置。
网络安全知识竞赛题库--非单选.docx
06-09
明示收集、使用信息的目的、方式和范围 网络安全知识竞赛题库--非单选全文共19页,当前为第2页。 网络安全知识竞赛题库--非单选全文共19页,当前为第2页。 C.经被收集者同意 D.经监督管理机构许可或备案 以下对电子...
H3C Comware V7 盒式防火墙产品介绍及基本配置与维护教程.rar
09-09
了解CMW7盒式防火墙新产品硬件特性 熟悉CMW7盒式防火墙新产品软件特性 了解CMW7盒式防火墙典型部署...掌握Comware7盒式防火墙高可靠性配置方法 了解Comware7盒式防火墙典型部署场景 了解Comware7盒式防火墙基本维护方法
网络安全技术复习题.doc
06-09
( ) 最小特权、纵深防御是网络安全的原则之一。 ( ) 密码保管不善属于操作失误的安全隐患. (×) 使用最新版本的网页浏览器软件可以防御黑客攻击。 (×) VPN的主要特点是通过加密使信息能安全的通过Internet...
网络技术防火墙配置单机旁挂模式
XMWS-IT
05-23 1463
用户在客户端输入账号密码发起身份认证请求,如果用户输入的账号密码是存储在Agile Controller中的,则直接在Agile Controller中完成认证;在Agile Controller上完成用户认证的场景,当业务控制器检测到Agile Controller存活数小于配置的最小值时,开启逃生通道。# 配置无代理Web认证。# 启用服务器组,使FW立即连接Agile Controller发送联动请求,连接成功后,设备可以接收到Agile Controller下发的角色和角色规则。
华为USG防火墙旁挂组网配置案例
07-20 1276
华为USG防火墙旁挂组网配置案例
3.防火墙旁路部署
土豆123的博客
03-01 2433
通过在交换机上配置静态路由,将流量指到防火墙上; 在防火墙上对于流量进行清洗; 在防火墙上将流量指到交换机的VRF2上。 由于虚拟的两个交换机完全隔离开来,所以就不会产生环路了。
防火墙旁路部署和直连部署的优缺点
07-28
回答: 防火墙的旁路部署和直连部署都有各自的优缺点。旁路部署的优点是可以在不影响网络流量的情况下对防火墙进行配置和管理,同时也可以提供更高的网络可靠性和冗余性。此外,旁路部署还可以提供更高的性能和吞吐量,因为网络流量不需要经过防火墙进行处理。然而,旁路部署的缺点是需要额外的硬件设备和配置,增加了部署和维护的复杂性。另外,旁路部署可能会导致一些安全风险,因为网络流量可以绕过防火墙的检查。 直连部署的优点是简单和直接,不需要额外的硬件设备和配置。此外,直连部署可以提供更低的延迟和更好的网络性能,因为网络流量不需要经过防火墙进行处理。然而,直连部署的缺点是无法对网络流量进行实时的检查和过滤,可能会增加网络安全风险。此外,直连部署也可能会导致单点故障,如果防火墙出现故障,整个网络可能会受到影响。 综上所述,旁路部署适用于对网络性能和可靠性要求较高的场景,而直连部署适用于对网络安全性要求较低的场景。具体选择哪种部署方式应根据实际需求和风险评估来决定。 #### 引用[.reference_title] - *1* *2* [安全L1-AD.2-应用交付安装部署](https://blog.csdn.net/qq_42248536/article/details/119797416)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v91^insert_down1,239^v3^insert_chatgpt"}} ] [.reference_item] [ .reference_list ]

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值