华为防火墙在企业园区出口安全方案中的应用
本案例介绍了如何将设备作为大中型企业的出口网关,来对企业的网络安全进行防护。案例描述了设备最常用的场景和特性,可以供管理员在规划和组建企业网络时参考。
基于USG6000&USG9500 V500R005C00版本写作,可供USG6000&USG9500 V500R005C00、USG6000E V600R006C00及后续版本参考。不同版本之间可能存在差异,请以实际版本为准。
方案简介
企业园区网简介
企业园区网是指企业或者机构的内部网络,路由结构完全由一个机构来管理,与广域互联、数据中心相关,合作伙伴或者出差员工、访客等通过VPN、WAN或者Internet访问企业内部。
企业园区网通常是一种用户高密度的非运营网络,在有限的空间内聚集了大量的终端和用户。同时对于企业园区网而言,注重的是网络的简单可靠、易部署、易维护。因此在企业园区网中,拓扑结构通常以星型结构为主,较少使用环网结构(环网结构较多的运用在运营商的城域网络和骨干网络中,可以节约光纤资源)。
企业网络架构如图5-1所示,数据从内网用户到达Internet,需要经过三层汇聚交换机、三层核心交换机以及网关设备接入Internet。
企业内部员工按照负责业务类型不同,被划分在多个不同部门。在保证企业内网用户能正常访问Internet并不被外网恶意流量攻击的基础上,还要对不同部门员工的上网权限和流量进行限制。同时,还要保证分支机构员工和出差员工能有正常访问总部网络以便业务交流和资源共享。
- 接入层
负责将各种终端接入到园区网络,通常由以太网交换机组成。对于某些终端,可能还要增加特定的接入设备,例如无线接入的AP设备、POTS话机接入的IAD等。
- 汇聚层
汇聚层将众多的接入设备和大量用户经过一次汇聚后再接入到核心层,扩展核心层接入用户的数量。
- 核心层
核心层负责整个企业园区网的高速互联,一般不部署具体的业务。核心网络需要实现带宽的高利用率和故障的快速收敛。
- 企业园区出口
企业园区出口是企业园区网络到外部公网的边界,企业园区网的内部用户通过边缘网络接入到公网,外部用户(包括客户、合作伙伴、分支机构、远程用户等)也通过边缘网络接入到内部网络。
- 数据中心
部署服务器和应用系统的区域。为企业内部和外部用户提供数据和应用服务。
- 网管中心
对网络、服务器、应用系统进行管理的区域。包括故障管理,配置管理,性能管理,安全管理等。
FW在企业园区出口的应用
FW通常作为企业园区网出口的网关,常用特性如下:
- 双机热备
为提升网络可靠性,可在企业网络出口部署两台FW构成双机热备的组网。当一台FW所在链路出现问题,企业网络流量可被切换至备用FW,保证企业内外部的正常通信。
- NAT
由于IPv4公网地址资源有限,企业内网用户在企业内网分配的一般是私网地址,很少会直接分配公网地址,当企业内网用户访问Internet时需要进行地址转换。FW部署在企业内网的Internet出口可提供NAT功能。
- 安全防护
FW可提供攻击防范功能,保护企业网络免受外网恶意流量攻击。
- 内容安全
FW可提供入侵防御、反病毒以及URL过滤等安全功能,为企业网络内部提供绿色的网络环境。
- 带宽管理
FW可提供带宽管理功能,按照应用或用户等识别流量并针对不同流量进行控制。
方案设计
典型组网
接入Internet时,企业的网络环境在访问控制、安全防护、出口带宽管理等方面面临诸多问题。在企业的出口部署FW,可以帮助企业解决这些问题,保证业务正常运行。
如图5-2所示,某企业分别向两个ISP租用了两条10G链路,为企业网用户提供宽带上网服务。该企业还在服务器区部署了服务器,为内外网用户提供访问。
企业网的Internet出口处部署了两台FW作为出口网关链接企业园区内外部网络并为保护企业内部网络的安全。两台防火墙的上行接口通过出口汇聚交换机与两个ISP相连,下行接口通过三层核心交换机与企业内网和服务器区的交换机相连。
企业内部员工众多,业务复杂,流量构成多种多样,企业将内部网络接入Internet时需要实现的目标及面临的问题包括:
- 企业出口网关设备必须具备较高的可靠性,为了避免单点故障,要求两台设备形成双机热备状态。当一台设备发生故障时,另一台设备会接替其工作,不会影响业务正常运行。
- 企业从两个ISP租用了两条链路,要求出口网关设备可以识别流量的应用类型,将不同应用类型的流量送往合适的链路,提高链路利用率,避免网络拥塞。
- 企业内部用户分为研发部员工、市场部员工、生产部员工以及管理者,根据企业内部各个部门的实际业务需求,在出口网关设备上基于用户/部门和应用来制定访问控制策略。
- 为了实现企业内网大量用户通过公网地址访问Internet的目的,要求出口网关设备能够将私网地址转换为公网地址。
- 在网关设备上存储用户和部门的信息,体现公司的组织结构,供策略引用。在服务器区部署AD服务器,为实现基于用户的网络行为控制和网络权限分配提供基础。
- 对公司外的用户提供Web服务器和FTP服务器的访问。
- 企业内部网络面临来自Internet的非法访问、以及各种攻击和入侵行为,要求出口网关设备可以防范各种病毒、蠕虫、木马和僵尸网络攻击,保护公司网络的安全。此外,对公司员工访问的网站进行过滤,禁止所有成人网站和非法网站的访问。
- 要求出口网关设备防范针对企业内部网络的SYN Flood、UDP Flood攻击和畸形报文攻击。
- 要求出口网关设备可以基于应用的流量控制,对大量占用网络带宽的流量(如P2P流量)进行限制,保证关键业务的正常运行。此外,还可以基于不同用户/部门实施差异化的带宽管理。
- 要求出差和家庭办公的研发员工能够安全地使用公司的ERP系统和邮件系统,高级管理者和市场员工能够像在公司内网一样正常办公。
业务规划
双机热备规划
由于每个ISP只提供一条链路,而一条链路无法与两台防火墙直接相连,因此需要在防火墙与ISP之间部署出口汇聚交换机。出口汇聚交换机可以将ISP的一条链路变为两条链路,然后分别将两条链路与两台防火墙的上行接口相连。防火墙与下行核心交换机之间运行OSPF,并与两台核心交换机的上行接口相连。
为了节省公网IP,防火墙的上行接口可以使用私网IP,但VRRP备份组的地址则一定要使用ISP分配的公网地址,以便能够与ISP进行通信。
表5-1 数据规划
|
项目 |
数据 |
说明 |
|---|---|---|
|
FW_A |
接口GE1/0/1
|
FW_A上行连接二层交换机的接口,与ISP1相连,加入到ISP1安全区域。 |
|
接口GE1/0/2
|
FW_A上行连接二层交换机的接口,与ISP2相连,加入到ISP2安全区域。 |
|
|
接口Eth-Trunk1
|
与FW_B相连的心跳线接口,加入到Heart安全区域。 |
|
|
接口GE1/0/4
|
FW_A下行连接三层交换机的接口,加入到Trust安全区域。 |
|
|
VRRP备份组1
|
FW_A上的VRRP备份组1。 |
|
|
VRRP备份组2
|
FW_A上的VRRP备份组2。 |
|
|
OSPF
|
FW_A上的OSPF。 |
|
|
FW_B |
接口GE1/0/1
|
FW_B上行连接二层交换机的接口,与ISP1相连,加入到ISP1安全区域。 |
|
接口GE1/0/2
|
FW_B上行连接二层交换机的接口,与ISP2相连,加入到ISP2安全区域。 |
|
|
接口Eth-Trunk1
|
与FW_A相连的心跳线接口,加入到Heart安全区域。 |
|
|
接口GE1/0/4
|
FW_B下行连接三层交换机的接口,加入到Trust安全区域。 |
|
|
VRRP备份组1
|
FW_B上的VRRP备份组1。 |
|
|
VRRP备份组2
|
FW_B上的VRRP备份组2。 |
|
|
OSPF
|
FW_B上的OSPF。 |
多出口选路规划
当FW作为网络出口网关有多个出接口时,网络管理员必然面临的就是多出口选路的规划问题。多出口选路的匹配顺序从高到低依次是策略路由、明细路由和缺省路由。企业接入Internet的两条链路情况是,ISP1上网速度快、网络速度稳定但费用较高;ISP2上网费用低廉,但是网速相对慢一些。企业希望使不同应用的流量通过不同的链路转发,并使用传输质量最好的链路传输上网流量。因此,本举例选择的是基于应用的策略路由及链路质量负载均衡方式的全局选路策略,下面针对该举例进行多出口选路的规划:
- 基于应用的策略路由
P2P流量和Web视频流量会占据网络较大的带宽,因此需要将这两类流量引导到特定的链路转发,这是通过基于应用的策略路由来实现的。
创建策略路由规则“pbr_1”和“pbr_2”,使内部网络与业务相关的流量都由接口GE1/0/1发出,通过ISP1到达Internet;内部网络与视频及语音通话等娱乐类相关的流量都由接口GE1/0/2发出,通过ISP2到达Internet。
- 智能选路(链路质量负载均衡方式)
由于企业希望使用传输质量最好的链路传输上网流量,所以智能选路的方式设置为根据链路质量负载分担,并指定FW和ISP1、ISP2网络直连的出接口作为智能选路成员接口。
用户认证规划
研发部员工和市场部员工使用域账号和密码登录AD域后,无需再进行认证就可以访问网络资源。新入职员工的用户信息可能已经在AD服务器上创建,但没有在FW上存储,要求通过认证后自动按照用户在AD服务器上的组织结构将用户导入FW。
- 在FW上配置AD服务器,保证FW与AD服务器之间正常通信。
- 在FW上配置认证域,认证域名称与AD服务器上的域名一致。
- 在FW上配置服务器导入策略,将AD服务器上的用户信息导入到FW。
- 配置认证域的新用户选项,当认证通过的用户在FW不存在时,作为临时用户上线。
- 在FW上配置单点登录参数,保证FW监控到AD服务器发给员工PC的认证结果报文。
本例中认证报文未经过FW,因此需要将AD服务器发给员工PC的认证结果报文镜像过来。
- 为避免在工作时间段内(此处假定工作时间为8小时)因在线用户超时时间频繁到期而导致频繁重新登录域进行认证的现象,需要配置在线用户超时时间为480分钟。
- 在交换机上配置端口镜像功能,将认证报文镜像给FW。
安全策略规划
通过针对不同的用户组配置如下安全策略,可以实现对不同部门的员工访问Internet的权限进行控制:
- 高层管理者可以自由访问Internet。
- 市场部员工能够访问Internet,但不能在Internet上玩游戏(Game)和观看网络视频。
- 研发部员工能够访问Internet,但不能通过Internet进行各种娱乐类型活动(Entertainment),包括:游戏、IM、网络视频、语音、访问社交网站等。
同时,可以在安全策略上引用反病毒、入侵防御以及URL过滤的配置文件,防范各种病毒、蠕虫、木马和僵尸网络攻击以及对访问的网站进行过滤。
一般情况下,使用缺省的反病毒和入侵防御配置文件default,即可满足防范各种病毒、蠕虫、木马和僵尸网络攻击的需求。新建“URL过滤级别”为“中”的URL过滤配置文件,可以限制所有成人网站和非法网站的访问。
表5-3 数据规划
|
项目 |
数据 |
说明 |
|---|---|---|
|
高层管理者的安全策略 |
|
安全策略policy_sec_management的作用是允许高层管理者自由访问Internet。 |
|
市场部员工的安全策略1 |
|
安全策略policy_sec_marketing_1的作用是禁止市场部员工通过Internet玩游戏。 Game代表游戏类应用。Media_Sharing代表媒体共享。 |
|
市场部员工的安全策略2 |
|
安全策略policy_sec_marketing_2的作用是允许市场部员工访问Internet。 |
|
研发部员工的安全策略1 |
|
安全策略policy_sec_research_1的作用是禁止研发部员工通过Internet进行各种娱乐类型活动。 Entertainment代表娱乐类应用。 |
|
研发部员工的安全策略2 |
|
安全策略policy_sec_research_2的作用是允许研发部员工访问Internet。 |
|
IPSec的安全策略1 |
|
安全策略policy_sec_ipsec_1的作用是允许总部与分支机构的NGFW之间建立IPSec隧道。 |
|
IPSec的安全策略2 |
|
安全策略policy_sec_ipsec_2的作用是允许总部的员工通过IPSec隧道访问分支机构的员工。 其中“源地址/地区”是总部员工所在网段,“目的地址/地区”是分支机构员工所在网段。 |
|
IPSec的安全策略3 |
|
安全策略policy_sec_ipsec_3的作用是允许分支机构的员工通过IPSec隧道访问总部员工。 其中“源地址/地区”是分支机构员工所在网段。 |
|
L2TP over IPSec的安全策略1 |
|
安全策略policy_sec_l2tp_ipsec_1的作用是允许总部员工访问出差员工。 目的地址为成L2TP地址池的地址段。 |
|
L2TP over IPSec的安全策略2 |
|
安全策略policy_sec_l2tp_ipsec_2的作用是允许出差员工接入公司内部网络。 |
|
外网用户访问服务器的安全策略 |
|
安全策略policy_sec_server的作用是允许外网用户访问公司的内网服务器。 其中“目的地址/地区”为服务器映射后的私网IP地址。 |
NAT规划
企业有500个员工,但公网IP地址数目有限,为了保证企业内网大量用户能共享有限的公网地址访问Internet,需要在FW上部署源NAT功能,将公司员工访问Internet的报文的源地址由私网地址转换为公网地址。
配置源NAT,将公司员工访问Internet的报文的源地址由私网地址转换为公网地址。
此外,公司需要为公司外的公网用户提供Web服务器和FTP服务器,由于服务器部署在公司内部,因此需要配置服务器映射功能,将服务器的私网IP地址映射为公网地址。
表5-4 数据规划
|
项目 |
数据 |
说明 |
|---|---|---|
|
去往分支机构的流量的NAT策略 |
|
去往分支机构(目的IP地址为192.168.1.0/24)的流量不做NAT转换,直接进入IPSec隧道。 |
|
||
|
去往Internet的流量的NAT策略 |
NAT策略
|
去往Internet的流量做NAT转换,源地址由私网IP地址转换为地址池中的公网IP地址。 选择1.1.1.1–1.1.1.4这四个从运营商申请的IP地址作为NAT地址池中的地址。 |
|
NAT策略
|
||
|
NAT地址池
|
||
|
Web服务器的映射 |
|
通过该映射,使用外网用户能够访问1.1.1.5和2.2.2.5,且端口号为8080的流量能够送给内网的Web服务器。 Web服务器的私网地址为10.2.0.10,私网端口号为80。 |
|
FTP服务器的映射 |
|
通过该映射,使用外网用户能够访问1.1.1.6和2.2.2.6,且端口号为21的流量能够送给内网的FTP服务器。 FTP服务器的私网地址为10.2.0.811,私网端口号为21。 |
带宽管理规划
公司网络的总带宽为20G,为了保证工作业务的带宽,需要配置限制P2P流量的带宽策略。此外,针对不同的企业内网用户,也需要制定不同的带宽通道和带宽策略。
- 限制企业内网用户与Internet之间的P2P类型的业务上行流量带宽最大不能超过2G,下行流量带宽最大不超过6G,避免占用大量带宽资源。
- 为了让Email、ERP等应用在正常工作时间内不受到影响,此类流量可获得的最小带宽不少于4G。
- 企业高级管理者访问Internet时,上下行流量带宽不低于200M,其中每IP用户的下行流量带宽不超过20M。
表5-5 数据规划
|
项目 |
数据 |
说明 |
|---|---|---|
|
限制P2P流量的带宽策略 |
带宽策略
|
“应用”选择“P2P网络视频”和“P2P文件共享”,分别代表P2P媒体和P2P下载。 |
|
带宽通道
|
||
|
保证主要业务流量的带宽策略 |
带宽策略
|
“应用”选择“Outlook Web Access”和“ Lotus Notes”,代表Email应用。 |
|
带宽通道
|
||
|
针对高级管理者进行带宽管理 |
带宽策略
|
- |
|
带宽通道
|
攻击防范
在FW上开启攻击防范功能进行安全防护。推荐配置如下:
firewall defend land enable firewall defend smurf enable firewall defend fraggle enable firewall defend winnuke enable firewall defend source-route enable firewall defend route-record enable firewall defend time-stamp enable firewall defend ping-of-death enable
IPSec规划
为了保证分支机构员工能够安全地与总部员工通信,并且能够访问总部的服务器,需要配置IPSec VPN功能。如果分支机构不多,建议配置IKE方式的点到点的IPSec VPN。如果分支机构较多,可以配置点到多点的IPSec VPN。
表5-6 数据规划
|
项目 |
数据 |
说明 |
|---|---|---|
|
总部FW_A的IPSec策略 |
IPSec策略
|
|
|
分支机构FW_C的IPSec策略 |
IPSec策略
|
|
为了使出差和家庭办公员工能够接入公司内部网络,需要配置L2TP over IPSec功能。
表5-7 数据规划
|
项目 |
数据 |
|---|---|
|
FW_A(LNS) |
接口号:GigabitEthernet 1/0/1 IP地址:1.1.1.2/24 安全区域:ISP1 |
|
接口号:GigabitEthernet 1/0/4 IP地址:10.1.1.1/16 安全区域:Trust |
|
|
Virtual-Template接口 接口号:Virtual-Template 1 IP地址:10.11.1.1/24 |
|
|
L2TP配置 认证方式:CHAP、PAP 隧道验证:开启 隧道对端名称:client1 隧道本端名称:lns 隧道密码:Password@123 |
|
|
地址池和用户配置 IP pool 1 地址范围:10.1.1.2~10.1.1.100 用户认证名称:vpdnuser 用户认证密码:Hello123 |
|
|
IPSec配置 使用LNS服务器IP:启用 封装模式:隧道模式 安全协议:ESP ESP协议验证算法:SHA–1 ESP协议加密算法:AES-128 NAT穿越:启用 |
|
|
LAC |
L2TP配置 认证模式:CHAP 隧道名称:client1 |
|
用户配置 用户认证名称:vpdnuser 用户认证密码:Hello123 |
|
|
IPSec配置 预共享密钥:Test!1234 对端地址:1.1.1.2 |
注意事项
智能选路
对于V500R001C30SPC600之前的版本,全局选路策略和策略路由智能选路不能和IP欺骗攻击防范功能或URPF(Unicast Reverse Path Forwarding,单播逆向路径转发)功能一起使用。如果开启IP欺骗攻击防范功能或URPF功能,可能导致FW丢弃报文。
双机热备
- 双机热备与IPSec结合使用时,主备设备的建立隧道的业务接口必须为三层接口。
- 双机热备与IPSec结合使用时,双机热备和IPSec的配置与单独使用时没有区别。
- 主用设备配置的IPSec策略会备份到备用设备上,但是由于接口上的配置不会备份到备用设备,因此需要在备用设备的出接口上应用备份过来的IPSec策略。
- 如果设备作为IPSec隧道发起方,则必须要执行命令tunnel local ip-address,设置本端发起协商的地址为VRRP备份组的虚拟IP地址。
安全与应用
- 无论设备是否拥有License,入侵防御功能均可用,此时入侵防御功能可以通过自定义签名进行检测。
- License过期或者去激活后,用户可以继续使用设备已有的入侵防御特征库和自定义签名,但是不能对入侵防御特征库进行升级。
- 入侵防御特征库升级需要License支持。License加载完成后,需要手动加载入侵防御特征库。
- 入侵防御特征库升级之后,如果原有预定义签名在新的特征库中已经不存在,则该签名涉及的所有配置信息将不会生效。
- 反病毒功能和特征库的升级需要License支持。License加载前,反病毒功能可配置,但不生效。License加载完成后,需要手动加载AV特征库,才能正常使用反病毒功能。License过期后,用户可以继续使用反病毒功能,但不能获取最新的反病毒特征库。为了保护网络安全,推荐继续购买License。
- 反病毒特征库更新频繁,为保证反病毒功能的有效性,推荐定期升级反病毒特征库。
- 在IPv6组网中,针对IMAP、SMTP和POP3协议的反病毒功能不可用。
- 不支持针对断点续传文件的反病毒检测。
- 在报文来回路径不一致的组网环境中,可能无法有效检测到网络入侵,且针对SMTP和POP3协议的反病毒功能不可用。
- 预定义应用依赖于系统自带的应用识别特征库。由于新应用层出不穷,当系统自带的应用识别特征库无法识别新应用时,我们建议您去升级应用识别特征库。
用户与认证
用户组织结构是多个以“认证域”为顶级节点的树形组织结构,注意以下几点:
- 执行引用非default认证域下的用户和安全组的命令行时,必须携带“@认证域名”,例如user1@test表示test认证域下的用户user1、secgroup1@test表示test认证域下的安全组secgroup1。
- 用户的创建、移动、服务器导入都是基于某一个认证域的,不能跨域进行。
NAT策略
- 配置NAT No-PAT、三元组NAT这两种源NAT时,请不要将设备接口的地址配置为NAT地址池的地址,以免影响对设备本身的访问。
- 当NAT与VPN功能同时工作时,请精确定义NAT策略的匹配条件,确保NAT功能不会将原本是需要进行VPN封装的数据流做地址转换。
IPSec VPN
- 配置IPSec安全提议时,IPSec隧道两端设备上配置的安全协议、认证算法、加密算法以及报文封装模式必须完全相同。
- 应用IPSec安全策略组的接口的MTU最好不要小于256字节。因为经过IPSec处理后IP报文的长度会增加,且采用的封装模式、安全协议和验证加密算法等不同,增加的长度也不同(最多的情况下增加超过100字节)。如果MTU设置过小,遇到大的IP数据包就会被分成很多个分片,若分片过多时,对端设备接收到分片后进行处理时就会出现问题。
- 同时设备上配置IPSec与NAT时,配置时需注意IPSec流量不能进行NAT转换,需要配置为no-NAT。
发表评论