某公司组网如图1所示,销售部所有PC通过接入交换机连接到核心交换机上,然后通过1000M光纤专线连接到公司总部。两台核心交换机为双机热备组网,正常情况下由核心交换机1转发所有流量,当核心交换机1发生故障时,流量切换到核心交换机2。
为了保障内部网络安全,公司在总部部署了TSM终端安全管理系统,控制销售部PC接入公司总部网络,并使用NGFW实施接入控制。
说明:
- TSM终端安全管理系统能够为企业提供整套的内网安全解决方案,实现从终端到业务系统的控制和管理功能。系统由TSM管理器、TSM控制器、安全接入控制网关、TSM代理组成,具体请参考TSM产品文档。
- NGFW在TSM终端安全管理系统中承担安全接入控制网关的角色,通过与TSM控制器联动实现对网络访问权限的控制。
部署NGFW后的组网如图2所示,公司总部被划分为认证前域、隔离域和认证后域。认证前域是指终端主机在通过身份认证之前能够访问的区域,如DNS服务器、外部认证源、TSM控制器、TSM管理器等;隔离域是指在终端用户通过了身份认证但未通过安全认证时允许访问的区域,如补丁服务器、防病毒服务器等;认证后域是指终端用户通过了身份认证和安全认证后能够访问的区域,如ERP系统、财务系统、数据库系统等。
在核心交换机上配置策略路由或者重定向(本举例中以策略路由为例),将销售部PC访问公司总部的所有流量引流到NGFW,NGFW根据TSM控制器下发的策略来判断流量是否可以通过。允许通过的流量按照默认路由回送到核心交换机处理,不允许通过的流量直接丢弃。公司总部回来的流量直接由核心交换机转发。
该部署模式对原来组网方式的可靠性没有任何影响,分析如下:
说明:
由于部署NGFW后,只改变了上行流量的路径,所以只对上行流量做分析。
- 当NGFW_A或者NGFW_A与核心交换机1之间的链路发生故障时,上行数据流走向如图3所示。
图3 NGFW_A或者NGFW_A与核心交换机1之间的链路发生故障时上行数据流走向示意图
- 当核心交换机1发生故障时,上行数据流走向如图4所示。
图4 核心交换机1发生故障时上行数据流走向示意图
发表评论