简介
本案例介绍了防火墙在广电网络出口的规划和部署,对其他二级运营商也有借鉴意义。
基于USG6000&USG9500 V500R005C00版本写作,可供USG6000&USG9500 V500R005C00、USG6000E V600R006C00及后续版本参考。不同版本之间可能存在差异,请以实际版本为准。
方案设计
典型组网
如图2-2所示,广电向两个ISP各租用了两条链路,为城域网的广电用户提供宽带上网服务。广电还在服务器区部署了服务器,为内外网用户提供服务器托管业务。
广电的Internet出口处部署了两台防火墙双机热备组网(主备方式)。两台防火墙的上行接口通过出口汇聚交换机与两个ISP相连,下行接口通过核心路由器与城域网相连,通过服务器区的交换机与服务器相连。
广电网络对Internet出口防火墙的具体需求如下:
业务规划
设备规划
广电网络出口可能用到的设备如表2-1所示,USG9500和USG6000如有差异将补充说明。
双机热备规划
由于一个ISP接入点无法与两台防火墙直接相连,因此需要在防火墙与ISP之间部署出口汇聚交换机。出口汇聚交换机可以将ISP的一条链路变为两条链路,然后分别将两条链路与两台防火墙的上行接口相连。而防火墙与下行路由器之间运行OSPF,所以这就组成了“两台防火墙上行连接交换机,下行连接路由器”的典型双机热备组网。该种组网方式防火墙上行配置VRRP备份组,下行配置VGMP组监控业务口。
双机热备组网可以转换为图2-3,将与同一个ISP接入点连接的主备防火墙接口加入同一个VRRP备份组。
多出口选路规划
广电向不同运营商租用链路,多出口选路功能尤为重要,防火墙提供丰富的多出口功能满足需求:
- 通过DNS透明代理分担内网用户上网的DNS请求,从而达到在多个ISP间分担流量的目的。
内网用户上网的第一步是用户访问某个域名,DNS服务器将域名解析为IP地址。这一步存在一个问题,内网PC往往都配置了同一个ISP的DNS服务器,这样将导致用户只能解析到一个ISP的地址,后续的ISP选路也就无从谈起了。防火墙提供DNS透明代理功能解决这一问题,防火墙通过一定的规则将内网用户的DNS请求分担至不同ISP的DNS服务器,从而解析到不同ISP的地址。本例采取指定链路权重的方式分担DNS请求。
- 通过基于多出口的策略路由实现ISP选路。
防火墙的策略路由可以同时指定多个出接口,并配置多个出接口的流量分担方式。例如指定目的地址为ISP1地址的流量从ISP1的两个出接口发送,同时指定两个出接口间按权重进行负载分担。
- 通过基于应用的策略路由将P2P流量引导至ISP2链路。
- 通过健康检查探测链路的可达性。
防火墙探测某个出接口到指定目的地址的链路健康状态,保证流量不会被转发到故障链路上。
源NAT规划
在FW配置源NAT使内网用户可以通过有限的公网IP地址访问Internet。
- 地址池
根据向ISP申请的公网IP地址,配置两个对应不同ISP的地址池,注意地址池中排除VRRP备份组的公网IP、服务器对外发布的公网IP。
- NAPT(Network Address and Port Translation)
NAPT同时对IP地址和端口进行转换,内网用户访问Internet的报文到达防火墙后,报文的源地址会被NAT转换成公网地址,源端口会被NAT转换成随机的非知名端口。这样一个公网地址就可以同时被多个内网用户使用,实现了公网地址的复用,解决了海量用户同时访问Internet的问题。
- NAT ALG:当防火墙既开启NAT功能,又需要转发多通道协议报文(例如FTP等)时,必须开启相应的NAT ALG功能。例如FTP、SIP、H323、RTSP和QQ等多通道协议。
NAT Server规划
广电的托管服务器业务主要开通网站托管业务,如某个学校的网站托管,同时还有公司内部的办公网,公司门户网站等。由于托管服务器部署在内网的DMZ区域,所以需要在防火墙上部署NAT server功能,将服务器的私网地址转换成公网地址,而且需要为不同的ISP用户提供不同的公网地址。
如果DNS服务器在内网,则需要配置智能DNS使外网用户可以获取最适合的服务器解析地址,即与用户属于同一ISP网络地址避免跨网络访问。
安全功能规划
缺省情况下FW拒绝所有流量通过,需要配置安全策略允许正常的业务访问。具体规划见下文的数据规划。
出口网关作为广电网络与外界通信的关口,需要配置入侵防御(IPS)、攻击防范等安全功能。
本案例使用缺省的IPS配置文件default,对检测到的入侵行为进行阻断;还可以选择配置文件ids先记录攻击日志不阻断,然后根据日志再配置具体的IPS配置文件。
用户溯源规划
通过与日志服务器配合完成用户溯源:
数据规划
根据上述业务规划进行数据规划。
|
项目 |
FW_A |
FW_B |
备注 |
|---|---|---|---|
|
接口和安全区域 |
Eth-Trunk1 成员接口:GE1/0/1、GE1/0/6 |
Eth-Trunk1 成员接口:GE1/0/1、GE1/0/6 |
与ISP连接的公网口接口和VRRP备份组均规划公网地址,否则无法指定gateway。 |
|
Eth-Trunk2 成员接口:GE1/0/2、GE1/0/7 |
Eth-Trunk2 成员接口:GE1/0/2、GE1/0/7 |
||
|
Eth-Trunk1.1 IP地址:1.1.1.2/29 安全区域:isp1_1 网关:1.1.1.6/29 VRRP备份组1:1.1.1.1/29 VGMP管理组:Active |
Eth-Trunk1.1 IP地址:1.1.1.3/29 安全区域:isp1_1 网关:1.1.1.6/29 VRRP备份组1:1.1.1.1/29 VGMP管理组:Standby |
||
|
Eth-Trunk2.1 IP地址:2.2.2.2/29 安全区域:isp2_1 网关:2.2.2.6/29 VRRP备份组2:2.2.2.1/29 VGMP管理组:Active |
Eth-Trunk2.1 IP地址:2.2.2.3/29 安全区域:isp2_1 网关:2.2.2.6/29 VRRP备份组2:2.2.2.1/29 VGMP管理组:Standby |
||
|
Eth-Trunk1.2 IP地址:1.1.2.2/29 安全区域:isp1_2 网关:1.1.2.6/29 VRRP备份组3:1.1.2.1/29 VGMP管理组:Active |
Eth-Trunk1.2 IP地址:1.1.2.3/29 安全区域:isp1_2 网关:1.1.2.6/29 VRRP备份组3:1.1.2.1/29 VGMP管理组:Standby |
||
|
Eth-Trunk2.2 IP地址:2.2.3.2/29 安全区域:isp2_2 网关:2.2.3.6/29 VRRP备份组2:2.2.3.1/29 VGMP管理组:Active |
Eth-Trunk2.2 IP地址:2.2.3.3/29 安全区域:isp2_2 网关:2.2.3.6/29 VRRP备份组2:2.2.3.1/29 VGMP管理组:Standby |
||
|
Eth-Trunk0 成员接口:GE2/0/0、GE1/0/5 IP地址:10.0.7.1/24 安全区域:hrp |
Eth-Trunk0 成员接口:GE2/0/0、GE1/0/5 IP地址:10.0.7.2/24 安全区域:hrp |
双机热备心跳口。 |
|
|
GE1/0/3 IP地址:10.0.3.1/24 安全区域:Trust |
GE1/0/3 IP地址:10.0.4.1/24 安全区域:Trust |
与城域网连接的接口。 |
|
|
GE1/0/4 IP地址:10.0.5.1/24 安全区域:DMZ |
GE1/0/4 IP地址:10.0.6.1/24 安全区域:DMZ |
与服务器区连接的接口。 |
|
|
安全策略 |
trust_to_isp1 源安全区域:Trust 目的安全区域:isp1_1、isp1_2 动作:permit IPS配置文件:default |
允许内网用户访问ISP1。 |
|
|
trust_to_isp2 源安全区域:Trust 目的安全区域:isp2_1、isp2_2 动作:permit IPS配置文件:default |
允许内网用户访问ISP2。 |
||
|
isp1_to_http、isp2_to_http 源安全区域:isp1_1、isp1_2、isp2_1、isp2_2 目的安全区域:DMZ 目的地址:10.0.10.10/24 服务:HTTP 动作:permit IPS配置文件:default |
允许ISP访问内网Web服务器。 |
||
|
isp1_to_ftp、isp2_to_ftp 源安全区域:isp1_1、isp1_2、isp2_1、isp2_2 目的安全区域:DMZ 目的地址:10.0.10.11/24 服务:FTP 动作:permit IPS配置文件:default |
允许ISP访问内网FTP服务器。 |
||
|
isp1_to_dns、isp2_to_dns 源安全区域:isp1_1、isp1_2、isp2_1、isp2_2 目的安全区域:DMZ 目的地址:10.0.10.20/24 服务:dns 动作:permit IPS配置文件:default |
允许ISP访问内网DNS服务器。 |
||
|
local_to_eLog 源安全区域:local 目的安全区域:DMZ 目的地址:10.0.10.30/24 动作:permit |
|||
|
local_to_trust 源安全区域:local、Trust 目的安全区域:local、Trust 服务:OSPF 动作:permit |
|||
|
local_to_isp 源安全区域:local 目的安全区域:isp1_1、isp1_2、isp2_1、isp2_2 动作:permit |
允许防火墙访问外网,进行特征库升级服务。 说明:
对于USG6000&USG9500 V500R001C80之前的版本,需要在FW上配置对应的安全策略,允许FW向目的设备发送健康检查探测报文。对于V500R001C80及之后的版本,健康检查的探测报文不受安全策略控制,默认放行,无需配置相应安全策略。 |
||
|
源NAT |
ISP1_1地址池:1.1.1.10~1.1.1.12 ISP1_2地址池:1.1.2.10~1.1.2.12 ISP2_1地址池:2.2.2.10~2.2.2.12 ISP2_2地址池:2.2.3.10~2.2.3.12 模式:NAPT |
– |
|
|
NAT Server |
Web服务器 私网IP地址:10.0.10.10 ISP1_1公网IP地址:1.1.1.15 ISP1_2公网IP地址:1.1.2.15 ISP2_1公网IP地址:2.2.2.15 ISP2_2公网IP地址:2.2.3.15 |
– |
|
|
FTP服务器 私网IP地址:10.0.10.11 ISP1_1公网IP地址:1.1.1.16 ISP1_2公网IP地址:1.1.2.16 ISP2_1公网IP地址:2.2.2.16 ISP2_2公网IP地址:2.2.3.16 |
|||
|
DNS服务器 私网IP地址:10.0.10.20 ISP1_1公网IP地址:1.1.1.17 ISP1_2公网IP地址:1.1.2.17 ISP2_1公网IP地址:2.2.2.17 ISP2_2公网IP地址:2.2.3.17 |
|||
|
ISP1 |
地址文件名称:isp1.csv 运营商名称:isp1 主用DNS服务器:1.1.1.222 备用DNS服务器:1.1.1.223 |
– |
|
|
ISP2 |
地址文件名称:isp2.csv 运营商名称:isp2 主用DNS服务器:2.2.2.222 备用DNS服务器:2.2.2.223 |
– |
|
注意事项
- License
IPS功能和智能DNS功能需要License支持,另外智能DNS功能需要加载内容安全组件包才能使用。
- 硬件要求
对于USG9500,IPS、基于应用的策略路由、智能DNS需要应用安全业务处理子卡(SPC-APPSEC-FW)在位,否则功能不可用。
- 使用IPS功能前,建议将IPS特征库升级到最新版本。
- 组网部署
- 为了避免心跳接口故障导致双机通信异常,心跳接口建议使用Eth-trunk接口。对于支持扩展多个接口卡的设备(具体支持情况,请查阅硬件指南),必须使用跨板Eth-Trunk接口,即一个Eth-Trunk的成员接口来自于不同的接口板,这样既提高了可靠性,又增加了备份通道的带宽。对于无接口扩展能力无法使用跨板Eth-Trunk的设备,可能存在一块接口卡故障导致所有HRP备份通道不可用、业务受损。
- 当双机热备与智能选路结合使用时,如果上行部署交换机运行VRRP,防火墙的上行物理接口必须配置与ISP路由器同一网段的公网IP地址,否则无法指定接口的gateway。gateway命令是智能选路、链路健康探测的必选配置。
如果上行是路由器则无此限制。
- 智能选路
- 黑洞路由
防火墙支持为NAT地址池中的地址生成UNR(User Network Route)路由,该UNR路由的作用与黑洞路由的作用相同,可以防止路由环路,同时也可以引入到OSPF等动态路由协议中发布出去。对于NAT Server来说,如果指定了协议和端口,则还需要手工配置目的地址为公网地址的黑洞路由,使外网访问公网地址但没有匹配到Server-Map的报文匹配到黑洞路由后直接被丢弃,防止路由环路。
方案配置
配置接口和安全区域
背景信息
按下图配置接口和安全区域。
配置双机热备
方案总结与建议
方案总结
本案例介绍了防火墙部署在广电网络出口的组网规划及部署,实际可以根据需求选择配置的功能。该方案有如下几点总结:
其他配置建议
本例中使用了最常用的NAPT进行地址转换,如果网络中P2P流量较多可以选择配置三元组NAT节省二级运营商的运营资费。
文件共享、语音通信、视频等P2P应用的实现原理都是先从服务器获取对端的IP和端口,然后直接与对方建立连接。此时NAPT与P2P不能很好地共存。
例如:内网PC1首先和外网的P2P服务器进行交互(登录、认证等操作),防火墙会对PC1访问P2P服务器的报文进行NAPT方式的转换,P2P服务器记录PC1经过转换后的公网地址和端口。当PC2需要下载文件时,服务器会将PC1的地址和端口发给PC2,然后PC2从PC1上下载文件。但是因为PC2访问PC1无法匹配会话表而被防火墙拒绝访问,PC2就只能再向其他主机请求资源文件。
这样如果PC1和PC2都位于内网,PC2却只能向外网主机请求资源文件。这样当有大量的内网用户进行P2P下载时,这种业务就会占用很多运营商带宽,而且浪费了二级运营商的流量资费。同时,对于跨网络访问,用户的下载体验也不佳。
三元组NAT可以解决此问题,无论PC1是否访问过PC2,只要PC2获取到PC1经过NAT转换后的地址和端口,就可以主动向该地址和端口发起访问。防火墙上即使没有配置相应的安全策略,也允许此类访问报文通过。两台内网PC可以不通过外网直接进行P2P下载,节约了二级运营商的流量资费。
发表评论