设备型号:H3C SecPath F100-C-A5,软件版本:Version 7.1.064。
需求:网络分为办公,生产,访客三种,利用防火墙进行隔离,同时允许个别办公电脑访问生产网络里的地址。(老板的电脑可访问生产服务器)。
详细信息:
生产网段:
192.168.111.0,
192.168.112.0
192.168.113.0,
192.168.114.0。
网关地址均为.254
vlan111-vlan114。
办公网段:
10.11.1.0,
10.11.2.0,
10.11.3.0,
10.11.4.0,
10.11.5.0。
网关地址均为.254
vlan1101-vlan1105。
访客网段:
172.17.1.0,
172.17.2.0,
172.17.3.0,
172.17.4.0,
172.17.5.0。
网关地址均为.254
vlan701-vlan705。
生产网段不启用DHCP,办公网段和访客网段启用DHCP,DHCP功能在核心交换机上开启,DHCP服务地址均为.253。
由于各网段的网关地址均在防火墙上,所以防火墙与核心交换机通过trunk链路相连,允许vlan111-114,vlan1101-1105,vlan701-705通过。防火墙上对应端口设置为二层模式,trunk类型。(也可设置一个聚合端口,以增加带宽)
安全区域:
生产网段所在安全区域为His。
办公网段所在安全区域为BG。
访客网段所在安全区域为Guest。
地址对象:
在防火墙上设置IPv4地址对象组。每一个IP段设置为一个组,便于以后引用。如Vlan1101,10.11.1.1-10.11.1.253。
特定的办公电脑(可访问生产网段的),需要单独设置一个IPv4地址对像组,如Vlan1101_Boss,10.11.1.241-10.11.1.252。
此公司为医院,有医院专用的医保专线,部分收费工作站需要能上医保网络(需要NAT转换,类似于访问互联网)。另外办公和访客都需要访问互联网。
在网络-接口下,选择连接医保网的网口,和连接互联网的网口,分别指定IP地址,并把这两个网口都加入Untrust区域。
安全策略:
Guest to Guest;BG to BG;His to His这些都需要允许,这样可使各类网之间,自己能互通。
Guest no BG;Guest no His;BG no His。这些设置为拒绝,可阻断访客与生产,访客与办公,办公与生产的互通。(不设置这些策略,就不能互通,但有这些拒绝的策略,就可以统计)
BG_Boss to His。这条策略设置为允许,允许特定的办公网段地址访问生产网地址,方便领导管理。
Guest to Untrust,BG to Untrust,设置为允许,使访客网段和办公网段可以上网。
any no any,最后设置这一条,动作为拒绝,阻止所有未允许的访问。在安全策略有问题时,可以把这一条设置为允许,临时让有需要的人能连接,再逐步排查。
有时需要防火墙的网口通过DHCP获取IP地址,此时要建立一条安全策略:允许Local到Untrust,这样才可获取到地址,如果是静态地址,则不需要这条策略。没有这条策略,ping外线对端的地址是不通的,但不影响上网,如:
端口G1/0/7在Untrust域内,连接运营商专线。专线IP地址为:221.192.217.2,255.255.255.252,网关221.192.217.3。没有允许Local to Untrust策略,则ping 221.192.217.3不通,但不影响下面的PC上网。
NAT策略:
办公网段,访客网段,设置为EasyIP方式,出接口为互联网网口;收费处特定IP地址段,设置为EasyIP方式,出接口为医保专线网口。
由于所有网关地址都在防火墙上,因此不存在防火墙与核心交换机之间的路由问题,所以不必设置静态路由。以后有可能涉及到去核心交换机的路由问题,可以再进行设置。
