某公司组网如图1所示,销售部所有PC通过接入交换机连接到核心交换机上,然后通过1000M光纤专线连接到公司总部。两台核心交换机为双机热备组网,正常情况下由核心交换机1转发所有流量,当核心交换机1发生故障时,流量切换到核心交换机2。
图1 销售部直接访问公司总部组网图
为了保障内部网络安全,公司在总部部署了TSM终端安全管理系统,控制销售部PC接入公司总部网络,并使用NGFW实施接入控制。
说明:
· TSM终端安全管理系统能够为企业提供整套的内网安全解决方案,实现从终端到业务系统的控制和管理功能。系统由TSM管理器、TSM控制器、安全接入控制网关、TSM代理组成,具体请参考TSM产品文档。
· NGFW在TSM终端安全管理系统中承担安全接入控制网关的角色,通过与TSM控制器联动实现对网络访问权限的控制。
部署NGFW后的组网如图2所示,公司总部被划分为认证前域、隔离域和认证后域。认证前域是指终端主机在通过身份认证之前能够访问的区域,如DNS服务器、外部认证源、TSM控制器、TSM管理器等;隔离域是指在终端用户通过了身份认证但未通过安全认证时允许访问的区域,如补丁服务器、防病毒服务器等;认证后域是指终端用户通过了身份认证和安全认证后能够访问的区域,如ERP系统、财务系统、数据库系统等。
在核心交换机上配置策略路由或者重定向(本举例中以策略路由为例),将销售部PC访问公司总部的所有流量引流到NGFW,NGFW根据TSM控制器下发的策略来判断流量是否可以通过。允许通过的流量按照默认路由回送到核心交换机处理,不允许通过的流量直接丢弃。公司总部回来的流量直接由核心交换机转发。
图2 部署NGFW后的组网图
该部署模式对原来组网方式的可靠性没有任何影响,分析如下:
说明:
由于部署NGFW后,只改变了上行流量的路径,所以只对上行流量做分析。
· 当NGFW_A或者NGFW_A与核心交换机1之间的链路发生故障时,上行数据流走向如图3所示。
图3 NGFW_A或者NGFW_A与核心交换机1之间的链路发生故障时上行数据流走向示意图
· 当核心交换机1发生故障时,上行数据流走向如图4所示。
图4 核心交换机1发生故障时上行数据流走向示意图
在该应用场景中,相关的网络规划如图1所示。
图1 网络规划示意图
NGFW的数据规划如表1所示。
| 表1 NGFW的数据规划 | |||
|
项目 |
数据 |
备注 |
|
| NGFW_A | (1) | 接口号:GigabitEthernet 1/0/1
IP地址:10.1.1.2/24 安全区域:Trust VRID:1 虚IP地址:10.1.1.1/24 |
由于NGFW是双机热备组网,上行口出现故障时必需引起主备倒换,所以该接口需要运行VRRP,对上行提供虚IP地址。
在核心交换机1上配置策略路由,下一跳为该接口的虚IP地址,即将上行流量引流到NGFW,所以该接口称为上行口或者引流口。 |
| (2) | 接口号:GigabitEthernet 1/0/2
IP地址:10.2.2.1/24 安全区域:Untrust |
该接口为NGFW回注给核心交换机1的接口,所以称为下行口或者回注口。 | |
| (3) | 接口号:GigabitEthernet 1/0/3
IP地址:10.10.10.2/24 安全区域:DMZ |
心跳口 | |
| NGFW_B | (4) | 接口号:GigabitEthernet 1/0/1
IP地址:10.1.1.3/24 安全区域:Trust VRID:1 虚IP地址:10.1.1.1/24 |
上行口,同NGFW_A。 |
| (5) | 接口号:GigabitEthernet 1/0/2
IP地址:10.2.3.1/24 安全区域:Untrust |
下行口,同NGFW_A。 | |
| (6) | 接口号:GigabitEthernet 1/0/3
IP地址:10.10.10.3/29 安全区域:DMZ |
心跳口 | |
核心交换机上数据规划如表2所示。
| 表2 核心交换机数据规划 | |||
|
项目 |
数据 |
备注 |
|
| 核心交换机1 | (7) | 接口号:GigabitEthernet 1/0/1
VLAN:300 Vlanif 300的IP地址:10.1.1.4/24 |
与NGFW_A的上行口相连。 |
| (8) | 接口号:GigabitEthernet 1/0/2
VLAN:400 Vlanif 400的IP地址:10.2.2.2/24 |
与NGFW_A的下行口相连。 | |
| 核心交换机2 | (9) | 接口号:GigabitEthernet 1/0/1
VLAN:300 Vlanif 300的IP地址:10.1.1.5/24 |
与NGFW_B的上行口相连。 |
| (10) | 接口号:GigabitEthernet 1/0/2
VLAN:500 Vlanif 500的IP地址:10.2.3.2/24 |
与NGFW_B的下行口相连。 | |
TSM控制器的数据规划如表3所示。
| 表3 TSM控制器数据规划 | ||
|
项目 |
数据 |
备注 |
| TSM控制器1 | IP地址:192.168.1.2/24
端口:3288 共享密钥:TSM_Security |
NGFW上配置的端口与共享密钥需与TSM控制器上配置的相同。
当终端用户在未通过身份认证的情况下尝试访问认证后域中的Web服务器时,在NGFW上配置Web页面推送功能,NGFW将给终端用户推送Web认证页面,方便终端用户通过Web页面进行身份认证。 |
| TSM控制器2 | IP地址:192.168.1.3/24
端口:3288 共享密钥:TSM_Security |
同TSM控制器1。 |
| TSM管理器 | 登录地址:https://192.168.1.2:8443
用户名:admin 密码:Admin@123 |
与TSM控制器1安装在同一台服务器上,需登录TSM管理器对TSM部分进行配置。 |
| 终端用户所在网段 | 10.1.6.0/24 | 销售部的终端用户所在网段。 |
| 账号lee可访问的认证后域 | 业务系统:172.16.1.10/24 | 将“业务系统”加入认证后域,并应用于账号lee。 |
| 隔离域 | 补丁服务器:192.168.2.3/24
病毒库服务器:192.168.2.5/24 |
将补丁服务器地址和病毒库服务器地址加入隔离域,并应用于账号lee。 |
| 认证前域 | DNS服务器:192.168.3.3/24
TSM控制器1:192.168.1.2/24 TSM控制器2:192.168.1.3/24 |
认证前域包括DNS服务器和两台TSM控制器。 |
操作步骤
1. 配置接口基本数据。NGFW_B接口配置与NGFW_A操作相同,下面仅以NGFW_A为例说明。
a. 选择“网络 > 接口”。
b. 单击GigabitEthernet 1/0/1对应的。
GigabitEthernet 1/0/1的相关参数如下,其他参数使用默认值:
| 安全区域 | trust |
| 模式 | 路由 |
| IPv4 | |
| 连接类型 | 静态IP |
| IP地址 | 10.1.1.2/255.255.255.0 |
c. 单击“确定”。
d. 重复上述步骤,配置GigabitEthernet 1/0/2和GigabitEthernet 1/0/3。
GigabitEthernet 1/0/2的相关参数如下,其他参数使用默认值:
| 安全区域 | untrust |
| 模式 | 路由 |
| IPv4 | |
| 连接类型 | 静态IP |
| IP地址 | 10.2.2.1/255.255.255.0 |
GigabitEthernet 1/0/3的相关参数如下,其他参数使用默认值:
| 安全区域 | dmz |
| 模式 | 路由 |
| IPv4 | |
| 连接类型 | 静态IP |
| IP地址 | 10.10.10.2/255.255.255.0 |
2. 配置从NGFW到核心交换机的静态路由。NGFW_A和NGFW_B的路由配置步骤相同,下面仅以NGFW_A为例说明。
说明:
· 对于NGFW_A,该路由的下一跳是核心交换机1接口(8)的IP地址。
· 对于NGFW_B,该路由的下一跳是核心交换机2接口(10)的IP地址。
c. 选择“网络 > 路由 > 静态路由”。
d. 在“静态路由列表”中,单击,新建静态路由。配置参数如下:
| 目的地址/掩码 | 0.0.0.0/0.0.0.0 |
| 下一跳 | 10.2.2.2 |
| 接口 | GigabitEthernet 1/0/2 |
e. 单击“确定”。
3. 配置双机热备。配置双机热备后下面的配置均自动由主机备份到备机,配置双机热备后仅在NGFW_A配置即可。
. 在NGFW_A上配置双机热备。
i. 选择“系统 > 高可靠性 > 双机热备”。
ii. 单击“配置”。
iii. 选中“启用”前的复选框后,按如下参数配置。
iv. 单击“确定”。
a. 在NGFW_B上配置双机热备。
i. 选择“系统 > 高可靠性 > 双机热备”。
ii. 单击“配置”。
iii. 选中“启用”前的复选框后,按如下参数配置。
iv. 单击“确定”。
4. 配置安全策略,以保证网络基本通信正常。
说明:
· 配置Local区域与Trust区域之间的安全策略,使TSM控制器能够向NGFW下发规则。
· 配置Local区域与Untrust区域之间的安全策略,使NGFW能够推送用于认证的Web页面给用户。
b. 选择“策略 > 安全策略”。
c. 单击“新建”,按如下参数配置从Trust到Local的域间策略。
| 名称 | policy_tsm_to_firewall |
| 源安全区域 | trust |
| 目的安全区域 | local |
| 源地址/地区 | 192.168.1.0/24 |
| 动作 | 允许 |
d. 单击“确定”。
e. 重复上述操作配置从Local到Unrust的域间策略。
| 名称 | policy_firewall_to_user |
| 源安全区域 | local |
| 目的安全区域 | untrust |
| 动作 | 允许 |
5. 关闭会话状态检测功能。
选择“系统 > 配置 > 状态检测”,取消勾选“TCP状态检测”和“ICMP状态检测”对应的“启用”复选框,然后单击“应用”,关闭状态检测功能。
6. 在NGFW上完成TSM联动的配置。
. 新建TSM服务器。
i. 选择“网络 > TSM联动 > 基本配置”。
ii. 在“配置TSM基本参数”界面,选择“TSM服务器列表”页签。
iii. 单击,配置TSM服务器1各参数。
| 服务器IP | 192.168.1.2 |
| 服务器端口 | 3288 |
| 共享密钥 | TSM_Security |
iv. 说明:
v. 服务器端口和共享密钥,NGFW端应与TSM服务器端的配置保持一致。
vi. 单击“确定”。
vii. 重复上述步骤,新建TSM服务器2,IP地址为192.168.1.3,端口:3288,共享密钥:TSM_Security。
a. 配置认证URL。
i. 在“基本配置”界面,选择“认证URL列表”页签。
ii. 在文本框中输入推送Web页面中的URL地址“http://192.168.1.2:8080/webauth”。
iii. 单击“添加”,URL地址显示在列表中。
iv. 在文本框中输入推送Web页面中的URL地址“http://192.168.1.3:8080/webauth”。
v. 单击“添加”,URL地址显示在列表中。
b. 开启TSM联动,配置最小活跃服务器个数,开启服务器状态检测。
说明:
在开启TSM联动功能前,需要通过命令行删除原组号为3099~3999的ACL,否则无法成功开启TSM联动。
i. 在“配置TSM基本参数”界面,配置各参数。
| TSM联动 | 启用 |
| 服务器状态检测 | 启用 |
| 最小活跃服务器个数 | 1 |
ii. 单击“应用”。
c. 在域间应用TSM联动策略。
i. 选择“网络 > TSM联动 > 联动策略”。
ii. 在“域间应用联动策略列表”列表中,通过下拉框选择Untrust安全区域和Trust安全区域,单击,将联动策略应用到该域间入方向。
7. 配置TSM。
. 配置SACG和SC。
i. 在TSM管理器的导航栏单击“接入控制”。
ii. 在左侧菜单栏选择“接入控制配置 > 硬件SACG”。
iii. 选择“硬件SACG”页签。
iv. 单击“增加”。
v. 输入硬件安全接入控制网关的连接参数。
说明:
· 类型选择“防火墙”。
· 主用IP配置为NGFW_A的GigabitEthernet 1/0/2接口IP地址。
· 备用IP配置为NGFW_B的GigabitEthernet 1/0/2接口IP地址。
· Key配置与NGFW***享密钥的值一致(举例中为TSM_Security)。
· 将两台SC服务器地址加入列表,当列表中的SC服务器与SACG连接异常时,TSM管理器将会告警。
· 单击“添加”将终端主机的IP地址范围加入列表。
vi. 单击“确定”。
vii. 在TSM管理器的导航栏单击“系统配置”。
viii. 在左侧菜单栏选择“服务器配置 > SC配置”。
ix. 单击“增加”。
x. 输入TSM控制器的相关参数。
xi. 单击“确定”。
a. 配置认证前域。
i. 在TSM管理器的导航栏单击“接入控制”。
ii. 在左侧菜单栏选择“接入控制配置 > 硬件SACG”。
iii. 选择“前域”页签。
iv. 单击“增加”。
v. 输入认证前域的相关参数。
说明:
配置完TSM控制器之后TSM控制器默认已加入认证前域,无需在“前域”中再次配置。本举例中只需将DNS服务器加入前域即可。
vi. 单击“确定”。
b. 配置隔离域和认证后域。
说明:
配置隔离域和认证后域之前需要先配置受控域,隔离域和认证后域再从受控域中选择。
i. 在TSM管理器的导航栏单击“接入控制”。
ii. 在左侧菜单栏选择“接入控制配置 > 硬件SACG”。
iii. 选择“受控域”页签。
iv. 单击“增加”。
v. 输入受控域的相关参数。
vi. 单击“确定”。
vii. 选择“隔离域”页签。
viii. 单击“增加”。
ix. 单击“确定”。
x. 选择“后域”页签。
xi. 单击“增加”。
xii. 单击“确定”。
c. 应用隔离域和认证后域。
说明:
本举例中只以隔离域和认证后域应用于某个账号为例,应用于部门操作相同。
i. 在TSM管理器的导航栏单击“部门管理”。
ii. 在左侧菜单栏选择“部门用户 > 部门用户管理”。
iii. 选择“用户”页签。
iv. 单击“增加”。
v. 输入用户名,创建用户成功后单击该用户右侧的。
vi. 在弹出的“账号管理”页面中单击“增加”。
vii. 输入账号的相关信息。
viii. 单击“确定”。
ix. 在TSM管理器的导航栏单击“接入控制”。
x. 在左侧菜单栏选择“接入控制配置 > 模板”。
xi. 输入授权规则模板的名称,在“硬件SACG访问授权规则”区域框中设置隔离域和认证后域。
xii. 单击“确定”。
xiii. 单击新建的授权规则模板右侧的。
xiv. 选择“分配给账号”页签。
xv. 单击“选择账号”。
xvi. 将配置的授权规则模板应用在账号lee。
xvii. 单击“确定”。
d. 配置安全认证策略。
本举例配置的策略是补丁检查和防病毒软件策略。配置策略时必须选中“严重违规时禁止接入网络”,配置完成后,需要将该策略应用于终端用户才能生效。具体配置过程请参见《TSM管理器操作指南》。
8. 配置核心交换机1(仅给出配置思路,具体请参考实际组网使用的核心交换机产品文档)。
. 配置接口IP地址。
i. 配置Vlanif 300的接口IP地址为10.1.1.4/24。
ii. 将接口GigabitEthernet 1/0/1加入VLAN 300。
iii. 配置Vlanif 400的接口IP地址为10.2.2.2。
iv. 将接口GigabitEthernet 1/0/2加入VLAN 400。
a. 配置两台核心交换机互连的接口允许VLAN 300通过。
b. 配置OSPF路由,将与NGFW下行口相连的接口IP地址所在的网段发布出去,即10.2.2.0/24。
说明:
Vlanif 300的接口IP地址所在的网段不用发布出去。
c. 配置策略路由,将来自终端用户所在网段的流量引流到NGFW的上行口,注意使用上行口的虚IP地址,即10.1.1.1。
d. 配置VRRP。
9. 配置核心交换机2。
· 各接口IP地址。
· 发布的OSPF路由不同,核心交换机2发布的网段为10.2.3.0/24。
结果验证
1. 分别在NGFW_A和NGFW_B上选择“网络 > TSM联动 > 基本配置”。在“TSM服务器列表”中查看TSM服务器的连接状态。
2. 选择“网络 > TSM联动 > 在线用户”和“网络 > TSM联动 > 角色信息”,查看在线用户和用户对应的角色信息。
3. 将NGFW_A的GigabitEthernet 1/0/1接口禁用,终端用户可以正常认证,在NGFW_B上可以查看到该用户在线和对应的角色信息。
4. 终端主机检查存在严重违规的时候无法接入网络,提示需要修复,修复完成后可以成功接入网络。
发表评论