1 拓扑与说明
某公司的网络架构,这样的架构在目前的网络中是在常见的,假设您接收一个这样的网络,应该如何部署,该实战系列,就是一步一步讲解,如何规划、设计、部署这样一个环境,这里会针对不同的情况给出不同的讲解,比如拓扑中有2个ISP,假设客户需求是,想实现主备的效果,又或者是想负载分担。DHCP部署在防火墙上面或者是单独的服务器上面又该如何配置部署。
作者:网络之路一天 首发公众号:网络之路博客(ID:NetworkBlog)
2 防火墙篇之安全策略部署
分析防火墙需要部署哪些技术。一个防火墙的作用是能够保护内网安全,进行检测,怎么检测的呢,防火墙分区域的,当Trust区域(高级别)访问Untrust(低级别,也就是ISP网络)的时候,可以全部访问,而防火墙动态创建状态化信息,数据包从外边返回的时候,根据状态化信息来放行,而ISP的网络想主动访问内部则不行,因为低级别访问高级级别inbound的流量都是被拒绝的,除非做策略开放,所以我们第一个要做的就是策略。想要访问internt,而内网都是私网地址,需要访问ISP的话,则必须把私网地址访问成公网地址,所以必须部署NAT技术,另外有对外提供服务【比如WeB,fTP等】需要做NAT Server技术。在有多ISP的情况下,我们希望能够实现负载分担或者是备份功能,那么我们必须部署策略路由、静态路由、浮动路由、NQA或者IP-lInk技术,来动态的检测链路的状态,从而动态的切换。另外分部与出差的员工需要访问公司内网,所以还需要部署VPN技术。总结就是:1、部署Policy 2、部署Nat 3、部署双ISP出口路由与自动切换技术。4、部署VPN
3 Policy部署
说明:不同USG型号的防火墙策略默认出厂不太一样,比如用的USG 5500则默认需要配置策略放行,否则流量都不通过,只有Local到Trust一些流量默认是放行的,而USG 2200系列的话,就默认全是Permit的,不需要放行流量,如果不确定的话,可以通过命令 display firewall packet-filter default all 查看。
可以看到只有少数的是Permit的,其余默认都是deny的,在部署之前首先要明白方向性,只有明白了方向性的才好进行部署。
4 什么是inbound与Outbound流量。
首先要明白,inbound与Outbound是针对优先级来说的,从高优先级的Zone去往低优先级的Zone的流量为Outbound的流量,比如Trust到Untrust的流量,也就是内网访问外网的流量。而低级别到高级别的流量成为inbound,也就是Untrust的流量到Trust,外网主动访问内网的流量。
1、假设我们需要访问外网,而默认情况下Trust到ISP的Zone是deny的,那么我们需要放行Trust到ISP的Outbound的流量,这样就可以正常访问外网了(假设已经部署了Nat)
2、假设我们映射了一台WeB服务给外网访问,那么则是ISP的流量抵达Trust或者dMZ,这时候我们需要放行ISP到Trust的或者dMZ的inbound流量。
5 部署需要考虑到的因素
1、是否需要进行时间控制,比如只允许员工在规定的时间段内访问外网或者特定的资源
2、是否需要排除某些IP不能访问外网
3、是否需要日志记录或者流量统计等
6 具体实现配置【访问Internet的策略】
1、部署NTP
为什么需要Ntp呢,主要是因为要部署时间控制的话,则必须用到准确的时间,有时候设备的电池没电了的话,那么时间是不会保存的,那么会导致时间不正确,在不正确的情况下,基于时间的策略则变得毫无意义。
至于NTP服务器可以百度一下,国内有几个公用的服务器的,也可以内网假设一台服务器。
[USG-GW]ntp-service unicast-server 192.168.88.251在一定的时间内,USG会与时间服务器进行同步,当然如果有验证之类的 则还需要启用验证功能,一般公用的都没有认证。
2、定义时间策略
我们希望除了Boss以外的部门都是在下班时间可以访问公网,而Boss的话则没任何限制。【需求可以根据实际情况来决定。】
[USG-GW]time-range access-internet-control-1 12:00 to 13:30 working-day
[USG-GW]time-range access-internet-control-1 17:00 to 23:59 working-day
[USG-GW]time-range access-internet-control-1 00:00 to 8:50 working-day
[USG-GW]time-range access-internet-control-1 00:00 to 23:59 off-day说明:总共定义了4条,在工作日的时候,除了中午休息时间,与下班时间可以对于Internet的访问,而上班时间则不可以,但是在双休日的时候是全部开放的。这个可以根据自己需求来决定。
3、定制策略
说明:这次的部署中有2个ISP,而且之前是自定义的Zone,所以这里不在是Untrust了,而是ISP_dx ,ISP_lT
内网到电信ISP的策略
[USG-GW]policy interzone trust isp_dx outbound
[USG-GW-policy-interzone-trust-isp_dx-outbound]policy 1
[USG-GW-policy-interzone-trust-isp_dx-outbound-1]policy source 192.168.20.0 mask 24
[USG-GW-policy-interzone-trust-isp_dx-outbound-1]action permit
[USG-GW-policy-interzone-trust-isp_dx-outbound]policy 2
[USG-GW-policy-interzone-trust-isp_dx-outbound-2]policy source 192.168.0.0 mask 16
[USG-GW-policy-interzone-trust-isp_dx-outbound-2]policy time-range access-internet-control-1
[USG-GW-policy-interzone-trust-isp_dx-outbound-2]action permit说明:这里定义了一个Trust去往ISP-dx的Outbound的流量,也就是高优先级到低优先级的流量,定了2个Policy,一个是当匹配源为192.168.20.0的时候,直接放行【该网段为BOSS网段】,另外下面一个则是直接匹配了内网所有网段然后调用了时间策略,在放行,这样做的效果就是,BOSS的是永远不受时间限制的,因为策略是从上往下依次匹配,当匹配成功了一个后,则不继续往下匹配,所以这里BOSS的流量直接从POlicy 1出去了,而不会受到Policy 2的影响。
7 验证策略
说明:这里还没部署Nat,所以不能实际操作,但是可以通过查看来看策略是否生效
可以看到有2个策略,现在没任何匹配。
可以看到现在是inactive的,也就是不生效的。
因为现在是星期四的早上10点,不在策略的范围内。
8 内网到联通ISP的策略【这里只给出配置,跟上面一致】
9 NAT部署分析
分析:我们NAT需求有2个,一个是不过内网可以正常访问外网,另外一个则是对外提供WeB服务与fTP服务。其实这个都不是难点,当有时候,我们遇到一些需求,比如内网用户通过外网地址或者公网域名访问,内部的服务器,这一般在没有部署内部Dns服务器的时候才使用,如果内部有服务器了的话,就直接通过内部服务器进行解析了。
10 部署Source-NAT 【访问Internet】
由于有2个ISP,我们必须部署到不同ISP的NAT,这样都可以进行NAT访问。
到电信ISP的NAT策略
[USG-GW]nat-policy interzone trust isp_dx outbound
[USG-GW-nat-policy-interzone-trust-isp_dx-outbound]policy 1
[USG-GW-nat-policy-interzone-trust-isp_dx-outbound-1]policy source 192.168.0.0 mask 16
[USG-GW-nat-policy-interzone-trust-isp_dx-outbound-1]action source-nat
[USG-GW-nat-policy-interzone-trust-isp_dx-outbound-1]easy-ip g0/0/1说明:这里部署了电信的ISP NAT,匹配了192.168.0.0/16网段的执行Source-NAT,然后用出接口地址进行NAT转换,当然也可以调用地址池,但是一般情况下使用出接口进行转换足够了,其余的公网IP用于做地址映射。
到联通ISP的 NAT策略
[USG-GW]nat-policy interzone trust isp_lt outbound
[USG-GW-nat-policy-interzone-trust-isp_lt-outbound]policy 1
[USG-GW-nat-policy-interzone-trust-isp_lt-outbound-1]policy source 192.168.0.0 mask 16
[USG-GW-nat-policy-interzone-trust-isp_lt-outbound-1]action source-nat
[USG-GW-nat-policy-interzone-trust-isp_lt-outbound-1]easy-ip g0/0/2说明:这里部署了联通的ISP NAT,匹配了192.168.0.0/16网段的执行Source-NAT,然后用出接口地址进行NAT转换,当然也可以调用地址池,但是一般情况下使用出接口进行转换足够了,其余的公网IP用于做地址映射。
11 部署NAT Server【提供给外网访问】
说明:对于NAT Server实现其实非常好实现,当时需要注意一个地方,相同Zone的双出口与不同Zone的双出口配置不不太一样,这个在配置中会提到,另外这里还需要放行外网到内网的访问流量,也就是访问服务器的。
[USG-GW]nat server zone isp_dx protocol tcp global 202.100.1.3 www inside 192.168.88.251 www
[USG-GW]nat server zone isp_dx protocol tcp global 202.100.1.3 ftp inside 192.168.88.251 ftp说明:该NAT转换则是为从电信来的访问202.100.1.3的WWW或者fTP服务的时候直接映射到内网地址88.251的WWW与fTP服务。
[USG-GW]nat server zone isp_lt protocol tcp global 61.128.1.3 www inside 192.168.88.251 www
[USG-GW] nat server 3 zone isp_lt protocol tcp global 61.128.1.3 ftp inside 192.168.88.251 www说明:说明:该NAT转换则是为从联通来的访问61.128.1.3的WWW或者fTP服务的时候直接映射到内网地址88.251的WWW与fTP服务。
12 如果是相同Zone的配置,应该如何配置
对于相同Zone来说,它的区别与不同Zone非常小,除了Zone是同一个Zone外,另外就是在加一个参数为no-reverse,该意思的时候是,服务器不能主动访问外网,而是只能被动被接受访问,这是因为在相同Zone内,映射地址都是通过地址来区别的,一个内网地址不能同时通过2个IP地址转换出去,这样是实现不了的。所以只能被动接收访问,而不同Zone则不一样,它有Zone作为区分,所以可以识别到低是从哪个Zone转发。
[USG-GW]nat server zone isp_lt protocol tcp global 61.128.1.3 ftp inside 192.168.88.251 www no-reverse
可以看到已经有映射了。测试结果等部署了路由技术后一起测试。
13 流量该怎么放行
当部署了NAT Server后,还需要做的一件事就是,必须让外网的流量可以访问内网,必须允许,否则一样无法访问,我们这里需要允许的是两个ISP到Trust 192.168.88.251的fTP与WWW流量需要都放行了。
电信ISP到内网的流量放行
[USG-GW]policy interzone isp_dx trust inbound
[USG-GW-policy-interzone-trust-isp_dx-inbound]policy 1
[USG-GW-policy-interzone-trust-isp_dx-inbound-1]policy destination 192.168.88.251 0
[USG-GW-policy-interzone-trust-isp_dx-inbound-1]policy service service-set ftp http
[USG-GW-policy-interzone-trust-isp_dx-inbound-1]action permit
说明:这里允许了电信到Trust的inbound流量,注意的是这里从ISP到Trust,匹配的是目的地址,所以这里定义目的地址为192.168.88.251,服务为fTP与hTTP放行。
联通ISP到内网的流量
[USG-GW]policy interzone isp_lt trust inbound
[USG-GW-policy-interzone-trust-isp_lt-inbound]policy 1
[USG-GW-policy-interzone-trust-isp_lt-inbound-1]policy destination 192.168.88.251 0
[USG-GW-policy-interzone-trust-isp_lt-inbound-1]policy service service-set ftp http
[USG-GW-policy-interzone-trust-isp_lt-inbound-1]action permit说明:这里允许了联通到Trust的inbound流量,注意的是这里从ISP到Trust,匹配的是目的地址,所以这里定义目的地址为192.168.88.251,服务为fTP与hTTP放行。
14 测试结果
目前暂时无法测试,因为路由还没有部署。
作者:网络之路一天 首发公众号:网络之路博客(ID:NetworkBlog)
