论坛徽章:: 0

电梯直达

1楼 [收藏(0)] [报告]

发表于 2008-02-29 22:25 |只看该作者 |倒序浏览

部署Netscreen防火墙保护内网安全

目前有很多用户存在内网访问控制的需求，希望能够充分利用防火墙的访问控制能力进一步细分内网的安全子域，由于办公用户和内部应用主机通常接在交换机上，要想在交换机上实现不同VLAN间访问控制和隔离，对交换机处理要求比较高，实施起来比较复杂而且维护不方便。经测试验证：交换机和Netscreen防火墙结合起来可以很好地解决内网访问控制问题，通过Trunk＋aggregate接口并结合防火墙的zone和Policy能够提供更细粒度的内网访问控制。下面结合一个客户案例做一个扼要介绍。
客户需求：
1、需要对内网所有VLAN间的流量实施统一的安全管理策略，容许VLAN间流量的单向、双向访问或拒绝访问。
2、保持现有网络架构不变，防火墙里面接三层交换机，交换机直连服务器和用户，充分利用现有Netscreen防火墙安全处理能力，无需额外采购防火墙放置在交换机和服务器之间。
3、对于需要加强访问控制的流量由防火墙处理，而部分无需实行访问控制的流量则直接由交换机进行转发。
解决方案：
根据客户的具体需求，Netscreen防火墙在交换机协助下通过Trunk进行连接，并将不同的VLAN子接口放在不同的zone中，通过Policy来控制VLAN间流量访问。为了提高流量的吞吐量，可以在交换机和防火墙间通过千兆以太网捆绑通道相连，提高了网络的带宽和可靠性。
测试环境：

其中vlan2和vlan3网关终结在防火墙上，并位于不同的zone，vlan4和vlan5网关终结在cisco交换机上，vlan4和vlan5间流量直接通过交换机转发。同时在防火墙和交换机trunk中继上配置单独子网，用于解决vlan2/3和vlan4/5的互访。
测试目标：
1、
VLAN2可以访问VLAN4服务器的WEB应用，而VLAN3可以访问VLAN4服务器的mail应用
2、
VLAN2可以访问VLAN3整个网段，而VLAN3仅可以访问VLAN2的FTP应用。
3、
VLAN4和VLAN5间流量直接由交换机转发处理，流量无需经过防火墙。
4、
除此以外，所有访问都不容许访问。
测试结果：
1、通过配置聚合端口使防火墙和交换机的转发能力得到大副提高，同时增强了链路的冗余性。
2、通过Trunk中继技术，使防火墙能够正确地识别交换机配置的不同VLAN ID，并通过Policy提供单向的严格访问控制。
3、对于一些vlan间无需访问控制的流量，可在交换机上直接终结这些VLAN，使这些VLAN间的流量转发不经过防火墙，由交换机直接进行交换处理。
配置信息：
一、
NS5200
set zone \"Trust\" vrouter \"trust-vr\"
set zone \"Untrust\" vrouter \"trust-vr\"
set zone \"DMZ\" vrouter \"trust-vr\"

set group service \"MAIL1\" comment \"SMTP+POP3\"
set group service \"MAIL1\" add \"POP3\"
set group service \"MAIL1\" add \"SMTP\"

set interface id 109 \"aggregate1\" zone \"Untrust\"
set interface ethernet2/7 aggregate aggregate1
set interface ethernet2/8 aggregate aggregate1

set interface \"aggregate1.2\" tag 2 zone \"Trust\"
set interface \"aggregate1.3\" tag 3 zone \"Untrust\"
set interface \"aggregate1.10\" tag 10 zone \"DMZ\"

set interface aggregate1.2 ip 192.168.2.1/24
set interface aggregate1.2 route
set interface aggregate1.3 ip 192.168.3.1/24
set interface aggregate1.3 route
set interface aggregate1.10 ip 10.0.0.2/24
/***与防火墙互连网段，用于转发VLAN4/5与Vlan2/3中间的流量***/
set interface aggregate1.10 route

set policy id 1 from \"Trust\"to\"DMZ\" \"Any\" \"192.168.4.0/24\" \"HTTP\" permit
set policy id 2 from \"Untrust\"to\"DMZ\" \"\"Any \"192.168.4.0/24\" \"MAIL1\" permit
set policy id 3 from \"Untrust\" to \"trust\"
\"Any\" \"Any\" \"FTP\" permit
set policy id 4 from \"Trust\" to \"Untrust\"
\"Any\" \"Any\" \"ANY\" permit

set route
192.168.4.0/24 interface aggregate1.10 gateway 10.0.0.1
set route
192.168.5.0/24 interface aggregate1.10 gateway 10.0.0.1
/***转发VLAN4/5与Vlan2/3间流量的路由***/

二、 Cisco 3550（EMI Version）
interface Port-channel1

switchport mode dynamic desirable
!
interface FastEthernet0/2

switchport access vlan 2

switchport mode access
!
interface FastEthernet0/3

switchport access vlan 3

switchport mode access
!
interface FastEthernet0/4

switchport access vlan 4

switchport mode access
!
interface FastEthernet0/5

switchport access vlan 5

switchport mode access
!
interface FastEthernet0/10

switchport access vlan 10

switchport mode access
!
interface GigabitEthernet0/1
/***port-channel+Trunk***/

switchport trunk encapsulation dot1q

switchport mode trunk

channel-group 1 mode desirable
!
interface GigabitEthernet0/2
/***port-channel+Trunk***/

switchport trunk encapsulation dot1q

switchport mode trunk

channel-group 1 mode desirable
!
interface Vlan4 /***在交换机上终结Vlan4的流量***/

ip address 192.168.4.1 255.255.255.0
!
interface Vlan5 /***在交换机上终结Vlan5的流量***/

ip address 192.168.5.1 255.255.255.0
!
interface Vlan10 /***与防火墙互连网段，用于转发VLAN4/5与Vlan2/3中间的流量***/

ip address 10.0.0.1 255.255.255.0
!
ip classless
ip route 0.0.0.0 0.0.0.0 10.0.0.2

备注：
1、
聚合端口需要NS5200/5400或ISG1000/2000的8G2模块支持。
2、
在测试过程中，拔调聚合端口中的一个网线不会出现ping丢包现象，但是如果恢复拔掉的网线，防火墙需要将该端口加入到聚合端口中并进行流量再分配，会出现下面的丢包现象（共丢6个ping包，流量中断30秒），聚合端口完成流量重新分配后，网络恢复正常，不再出现ping丢包。
C:\\ >ping 192.168.4.2
Pinging 192.168.4.2 with 32 bytes of data:
Reply from 192.168.4.2: bytes=32 time=1ms TTL=64
Reply from 192.168.4.2: bytes=32 time=1ms TTL=64
Request timed out.
Reply from 192.168.4.2: bytes=32 time=1ms TTL=64
Reply from 192.168.4.2: bytes=32 time=1ms TTL=64
Request timed out.
Request timed out.
Request timed out.
Request timed out.
Request timed out.
Reply from 192.168.4.2: bytes=32 time=1ms TTL=64
Reply from 192.168.4.2: bytes=32 time=1ms TTL=64
Reply from 192.168.4.2: bytes=32 time=1ms TTL=64
Reply from 192.168.4.2: bytes=32 time=1ms TTL=64
3、
聚合端口采用per packet方式进行流量的负载分担，检查方法可以通过get counter statistics interface g2/7 和get counter statistics interface g2/8 命令检查流量分担情况。

herohjf

白手起家

论坛徽章:: 0

2楼 [报告]

发表于 2008-03-03 10:54 |只看该作者

学习了，兄弟能加我MSN吗：huang__jian@hotmail.com

实战分享：从技术角度谈机器学习入门| 【大话IT】RadonDB低门槛向MySQL集群下战书 | ChinaUnix打赏功能已上线！ | 新一代分布式关系型数据库RadonDB知多少？

返回列表

Chinaunix › 论坛 › 备份版区 › HP-UX › 部署Netscreen实现内网安全（基于VLAN的访问控制）

部署Netscreen实现内网安全（基于VLAN的访问控制） [复制链接]