想TA了 2007-12-9 02:52
部署Netscreen实现内网安全(基于VLAN的访问控制)
[b][font=楷体_GB2312][size=18pt][color=#000000]部署Netscreen防火墙保护内网安全[/color][/size][/font][/b]
[b][font=楷体_GB2312][size=14pt][color=#000000] [/color][/size][/font][/b]
[font=楷体_GB2312][size=14pt][color=#000000]目前有很多用户存在内网访问控制的需求,希望能够充分利用防火墙的访问控制能力进一步细分内网的安全子域,由于办公用户和内部应用主机通常接在交换机上,要想在交换机上实现不同VLAN间访问控制和隔离,对交换机处理要求比较高,实施起来比较复杂而且维护不方便。经测试验证:交换机和Netscreen防火墙结合起来可以很好地解决内网访问控制问题,通过Trunk+aggregate接口并结合防火墙的zone和Policy能够提供更细粒度的内网访问控制。下面结合一个客户案例做一个扼要介绍。[/color][/size][/font]
[b][font=楷体_GB2312][size=14pt][color=#000000]客户需求:[/color][/size][/font][/b]
[color=#000000][font=楷体_GB2312][size=14pt]1[/size][/font][font=楷体_GB2312][size=14pt]、需要对内网所有VLAN间的流量实施统一的安全管理策略,容许VLAN间流量的单向、双向访问或拒绝访问。[/size][/font][/color]
[color=#000000][font=楷体_GB2312][size=14pt]2[/size][/font][font=楷体_GB2312][size=14pt]、保持现有网络架构不变,防火墙里面接三层交换机,交换机直连服务器和用户,充分利用现有Netscreen防火墙安全处理能力,无需额外采购防火墙放置在交换机和服务器之间。[/size][/font][/color]
[color=#000000][font=楷体_GB2312][size=14pt]3[/size][/font][font=楷体_GB2312][size=14pt]、对于需要加强访问控制的流量由防火墙处理,而部分无需实行访问控制的流量则直接由交换机进行转发。[/size][/font][/color]
[b][font=楷体_GB2312][size=14pt][color=#000000]解决方案:[/color][/size][/font][/b]
[font=楷体_GB2312][size=14pt][color=#000000]根据客户的具体需求,Netscreen防火墙在交换机协助下通过Trunk进行连接,并将不同的VLAN子接口放在不同的zone中,通过Policy来控制VLAN间流量访问。为了提高流量的吞吐量,可以在交换机和防火墙间通过千兆以太网捆绑通道相连,提高了网络的带宽和可靠性。[/color][/size][/font]
[b][font=楷体_GB2312][size=14pt][color=#000000]测试环境:[/color][/size][/font][/b]
[color=#000000][/color]
[color=#000000][font=楷体_GB2312][size=14pt]其中[/size][/font][font=楷体_GB2312][size=14pt][font=Times New Roman]vlan2[/font][/size][/font][font=楷体_GB2312][size=14pt]和[/size][/font][font=楷体_GB2312][size=14pt][font=Times New Roman]vlan3[/font][/size][/font][font=楷体_GB2312][size=14pt]网关终结在防火墙上,并位于不同的[/size][/font][font=楷体_GB2312][size=14pt][font=Times New Roman]zone[/font][/size][/font][font=楷体_GB2312][size=14pt],[/size][/font][font=楷体_GB2312][size=14pt][font=Times New Roman]vlan4[/font][/size][/font][font=楷体_GB2312][size=14pt]和[/size][/font][font=楷体_GB2312][size=14pt][font=Times New Roman]vlan5[/font][/size][/font][font=楷体_GB2312][size=14pt]网关终结在[/size][/font][font=楷体_GB2312][size=14pt][font=Times New Roman]cisco[/font][/size][/font][font=楷体_GB2312][size=14pt]交换机上,[/size][/font][font=楷体_GB2312][size=14pt][font=Times New Roman]vlan4[/font][/size][/font][font=楷体_GB2312][size=14pt]和[/size][/font][font=楷体_GB2312][size=14pt][font=Times New Roman]vlan5[/font][/size][/font][font=楷体_GB2312][size=14pt]间流量直接通过交换机转发。同时在防火墙和交换机[/size][/font][font=楷体_GB2312][size=14pt][font=Times New Roman]trunk[/font][/size][/font][font=楷体_GB2312][size=14pt]中继上配置单独子网,用于解决[/size][/font][font=楷体_GB2312][size=14pt][font=Times New Roman]vlan2/3[/font][/size][/font][font=楷体_GB2312][size=14pt]和[/size][/font][font=楷体_GB2312][size=14pt][font=Times New Roman]vlan4/5[/font][/size][/font][font=楷体_GB2312][size=14pt]的互访。[/size][/font][font=楷体_GB2312][size=14pt][/size][/font][/color]
[color=#000000][b][font=楷体_GB2312][size=14pt]测试目标:[/size][/font][/b][b][font=楷体_GB2312][size=14pt][/size][/font][/b][/color]
[color=#000000][font=楷体_GB2312][size=14pt]1、
[/size][/font][font=楷体_GB2312][size=14pt]VLAN2[/size][/font][font=楷体_GB2312][size=14pt]可以访问VLAN4服务器的WEB应用,而VLAN3可以访问VLAN4服务器的mail应用[/size][/font][/color]
[color=#000000][font=楷体_GB2312][size=14pt]2、
[/size][/font][font=楷体_GB2312][size=14pt]VLAN2[/size][/font][font=楷体_GB2312][size=14pt]可以访问VLAN3整个网段,而VLAN3仅可以访问VLAN2的FTP应用。[/size][/font][/color]
[color=#000000][font=楷体_GB2312][size=14pt]3、
[/size][/font][font=楷体_GB2312][size=14pt]VLAN4[/size][/font][font=楷体_GB2312][size=14pt]和VLAN5间流量直接由交换机转发处理,流量无需经过防火墙。[/size][/font][/color]
[color=#000000][font=楷体_GB2312][size=14pt]4、
[/size][/font][font=楷体_GB2312][size=14pt]除此以外,所有访问都不容许访问。[/size][/font][/color]
[b][font=楷体_GB2312][size=14pt][color=#000000]测试结果:[/color][/size][/font][/b]
[color=#000000][font=楷体_GB2312][size=14pt]1[/size][/font][font=楷体_GB2312][size=14pt]、通过配置聚合端口使防火墙和交换机的转发能力得到大副提高,同时增强了链路的冗余性。[/size][/font][/color]
[color=#000000][font=楷体_GB2312][size=14pt]2[/size][/font][font=楷体_GB2312][size=14pt]、通过Trunk中继技术,使防火墙能够正确地识别交换机配置的不同VLAN ID,并通过Policy提供单向的严格访问控制。[/size][/font][/color]
[color=#000000][font=楷体_GB2312][size=14pt]3[/size][/font][font=楷体_GB2312][size=14pt]、对于一些vlan间无需访问控制的流量,可在交换机上直接终结这些VLAN,使这些VLAN间的流量转发不经过防火墙,由交换机直接进行交换处理。[/size][/font][/color]
[b][font=楷体_GB2312][size=14pt][color=#000000]配置信息:[/color][/size][/font][/b]
[color=#000000][b][font=楷体_GB2312][size=14pt]一、
[/size][/font][/b][b][font=楷体_GB2312][size=14pt]NS5200[/size][/font][/b][/color]
[font=宋体][size=12pt][color=#000000]set zone "Trust" vrouter "trust-vr"[/color][/size][/font]
[font=宋体][size=12pt][color=#000000]set zone "Untrust" vrouter "trust-vr"[/color][/size][/font]
[font=宋体][size=12pt][color=#000000]set zone "DMZ" vrouter "trust-vr"[/color][/size][/font]
[font=宋体][size=12pt][color=#000000] [/color][/size][/font]
[font=宋体][size=12pt][color=#000000]set group service "MAIL1" comment "SMTP+POP3"[/color][/size][/font]
[font=宋体][size=12pt][color=#000000]set group service "MAIL1" add "POP3"[/color][/size][/font]
[font=宋体][size=12pt][color=#000000]set group service "MAIL1" add "SMTP"[/color][/size][/font]
[font=宋体][size=12pt][color=#000000] [/color][/size][/font]
[font=宋体][size=12pt][color=#000000]set interface id 109 "aggregate1" zone "Untrust"[/color][/size][/font]
[font=宋体][size=12pt][color=#000000]set interface ethernet2/7 aggregate aggregate1[/color][/size][/font]
[font=宋体][size=12pt][color=#000000]set interface ethernet2/8 aggregate aggregate1[/color][/size][/font]
[font=宋体][size=12pt][color=#000000] [/color][/size][/font]
[font=宋体][size=12pt][color=#000000]set interface "aggregate1.2" tag 2 zone "Trust"[/color][/size][/font]
[font=宋体][size=12pt][color=#000000]set interface "aggregate1.3" tag 3 zone "Untrust"[/color][/size][/font]
[font=宋体][size=12pt][color=#000000]set interface "aggregate1.10" tag 10 zone "DMZ"[/color][/size][/font]
[font=宋体][size=12pt][color=#000000] [/color][/size][/font]
[font=宋体][size=12pt][color=#000000]set interface aggregate1.2 ip 192.168.2.1/24[/color][/size][/font]
[font=宋体][size=12pt][color=#000000]set interface aggregate1.2 route[/color][/size][/font]
[font=宋体][size=12pt][color=#000000]set interface aggregate1.3 ip 192.168.3.1/24[/color][/size][/font]
[font=宋体][size=12pt][color=#000000]set interface aggregate1.3 route[/color][/size][/font]
[font=宋体][size=12pt][color=#000000]set interface aggregate1.10 ip 10.0.0.2/24 [/color][/size][/font]
[color=#000000][font=宋体][size=12pt]/***[/size][/font][font=宋体][size=12pt]与防火墙互连网段,用于转发VLAN4/5与Vlan2/3中间的流量***/[b][/b][/size][/font][/color]
[font=宋体][size=12pt][color=#000000]set interface aggregate1.10 route[/color][/size][/font]
[b][font=楷体_GB2312][size=14pt][color=#000000] [/color][/size][/font][/b]
[font=宋体][size=12pt][color=#000000]set policy id 1 from "Trust"to"DMZ" "Any" "192.168.4.0/24" "HTTP" permit[/color][/size][/font]
[font=宋体][size=12pt][color=#000000]set policy id 2 from "Untrust"to"DMZ" ""Any "192.168.4.0/24" "MAIL1" permit[/color][/size][/font]
[font=宋体][size=12pt][color=#000000]set policy id 3 from "Untrust" to "trust"
"Any" "Any" "FTP" permit[/color][/size][/font]
[font=宋体][size=12pt][color=#000000]set policy id 4 from "Trust" to "Untrust"
"Any" "Any" "ANY" permit[/color][/size][/font]
[font=宋体][size=12pt][color=#000000] [/color][/size][/font]
[font=宋体][size=12pt][color=#000000]set route
192.168.4.0/24 interface aggregate1.10 gateway 10.0.0.1[/color][/size][/font]
[color=#000000][font=宋体][size=12pt]set route
192.168.5.0/24 interface aggregate1.10 gateway 10.0.0.1[/size][/font][b][font=楷体_GB2312][size=14pt][/size][/font][/b][/color]
[color=#000000][font=宋体][size=12pt]/***[/size][/font][font=宋体][size=12pt]转发VLAN4/5与Vlan2/3间流量的路由***/[/size][/font][/color]
[b][font=楷体_GB2312][size=14pt][color=#000000] [/color][/size][/font][/b]
[b][font=楷体_GB2312][size=14pt][color=#000000]二、 Cisco 3550(EMI Version)[/color][/size][/font][/b]
[font=宋体][size=12pt][color=#000000]interface Port-channel1[/color][/size][/font]
[font=宋体][size=12pt][color=#000000]
switchport mode dynamic desirable[/color][/size][/font]
[font=宋体][size=12pt][color=#000000]![/color][/size][/font]
[font=宋体][size=12pt][color=#000000]interface FastEthernet0/2[/color][/size][/font]
[font=宋体][size=12pt][color=#000000]
switchport access vlan 2[/color][/size][/font]
[font=宋体][size=12pt][color=#000000]
switchport mode access[/color][/size][/font]
[font=宋体][size=12pt][color=#000000]![/color][/size][/font]
[font=宋体][size=12pt][color=#000000]interface FastEthernet0/3[/color][/size][/font]
[font=宋体][size=12pt][color=#000000]
switchport access vlan 3[/color][/size][/font]
[font=宋体][size=12pt][color=#000000]
switchport mode access[/color][/size][/font]
[font=宋体][size=12pt][color=#000000]![/color][/size][/font]
[font=宋体][size=12pt][color=#000000]interface FastEthernet0/4[/color][/size][/font]
[font=宋体][size=12pt][color=#000000]
switchport access vlan 4[/color][/size][/font]
[font=宋体][size=12pt][color=#000000]
switchport mode access[/color][/size][/font]
[font=宋体][size=12pt][color=#000000]![/color][/size][/font]
[font=宋体][size=12pt][color=#000000]interface FastEthernet0/5[/color][/size][/font]
[font=宋体][size=12pt][color=#000000]
switchport access vlan 5[/color][/size][/font]
[font=宋体][size=12pt][color=#000000]
switchport mode access[/color][/size][/font]
[font=宋体][size=12pt][color=#000000]![/color][/size][/font]
[font=宋体][size=12pt][color=#000000]interface FastEthernet0/10[/color][/size][/font]
[font=宋体][size=12pt][color=#000000]
switchport access vlan 10 [/color][/size][/font]
[font=宋体][size=12pt][color=#000000]
switchport mode access[/color][/size][/font]
[font=宋体][size=12pt][color=#000000]![/color][/size][/font]
[font=宋体][size=12pt][color=#000000]interface GigabitEthernet0/1
/***port-channel+Trunk***/[/color][/size][/font]
[font=宋体][size=12pt][color=#000000]
switchport trunk encapsulation dot1q[/color][/size][/font]
[font=宋体][size=12pt][color=#000000]
switchport mode trunk[/color][/size][/font]
[font=宋体][size=12pt][color=#000000]
channel-group 1 mode desirable[/color][/size][/font]
[font=宋体][size=12pt][color=#000000]![/color][/size][/font]
[font=宋体][size=12pt][color=#000000]interface GigabitEthernet0/2
/***port-channel+Trunk***/[/color][/size][/font]
[font=宋体][size=12pt][color=#000000]
switchport trunk encapsulation dot1q[/color][/size][/font]
[font=宋体][size=12pt][color=#000000]
switchport mode trunk[/color][/size][/font]
[font=宋体][size=12pt][color=#000000]
channel-group 1 mode desirable[/color][/size][/font]
[font=宋体][size=12pt][color=#000000]![/color][/size][/font]
[color=#000000][font=宋体][size=12pt]interface Vlan4 /***[/size][/font][font=宋体][size=12pt]在交换机上终结Vlan4的流量***/[/size][/font][/color]
[font=宋体][size=12pt][color=#000000]
ip address 192.168.4.1 255.255.255.0[/color][/size][/font]
[font=宋体][size=12pt][color=#000000]![/color][/size][/font]
[color=#000000][font=宋体][size=12pt]interface Vlan5 /***[/size][/font][font=宋体][size=12pt]在交换机上终结Vlan5的流量***/[/size][/font][/color]
[font=宋体][size=12pt][color=#000000]
ip address 192.168.5.1 255.255.255.0[/color][/size][/font]
[font=宋体][size=12pt][color=#000000]![/color][/size][/font]
[color=#000000][font=宋体][size=12pt]interface Vlan10 /***[/size][/font][font=宋体][size=12pt]与防火墙互连网段,用于转发VLAN4/5与Vlan2/3中间的流量***/[/size][/font][/color]
[font=宋体][size=12pt][color=#000000]
ip address 10.0.0.1 255.255.255.0[/color][/size][/font]
[font=宋体][size=12pt][color=#000000]![/color][/size][/font]
[font=宋体][size=12pt][color=#000000]ip classless[/color][/size][/font]
[color=#000000][font=宋体][size=12pt]ip route 0.0.0.0 0.0.0.0 10.0.0.2[/size][/font][b][font=楷体_GB2312][size=14pt][/size][/font][/b][/color]
[font=Times New Roman][color=#000000] [/color][/font]
[font=Times New Roman][color=#000000] [/color][/font]
[color=#000000][b][font=宋体][size=14pt]备注:[/size][/font][/b][b][size=14pt][/size][/b][/color]
[size=14pt][font=Times New Roman][color=#000000]1、
[/color][/font][/size][font=宋体][size=14pt][color=#000000]聚合端口需要NS5200/5400或ISG1000/2000的8G2模块支持。[/color][/size][/font]
[size=14pt][font=Times New Roman][color=#000000]2、
[/color][/font][/size][color=#000000][font=宋体][size=14pt]在测试过程中,拔调聚合端口中的一个网线不会出现ping丢包现象,但是如果恢复拔掉的网线,防火墙需要将该端口加入到聚合端口中并进行流量再分配,会出现下面的丢包现象(共丢6个ping包,流量中断30秒),聚合端口完成流量重新分配后,网络恢复正常,不再出现ping丢包。[/size][/font][size=14pt][/size][/color]
[font=宋体][color=#000000]C:\ >ping 192.168.4.2[/color][/font]
[font=宋体][color=#000000]Pinging 192.168.4.2 with 32 bytes of data:[/color][/font]
[font=宋体][color=#000000]Reply from 192.168.4.2: bytes=32 time=1ms TTL=64[/color][/font]
[font=宋体][color=#000000]Reply from 192.168.4.2: bytes=32 time=1ms TTL=64[/color][/font]
[font=宋体][color=#000000]Request timed out.[/color][/font]
[font=宋体][color=#000000]Reply from 192.168.4.2: bytes=32 time=1ms TTL=64[/color][/font]
[font=宋体][color=#000000]Reply from 192.168.4.2: bytes=32 time=1ms TTL=64[/color][/font]
[font=宋体][color=#000000]Request timed out.[/color][/font]
[font=宋体][color=#000000]Request timed out.[/color][/font]
[font=宋体][color=#000000]Request timed out.[/color][/font]
[font=宋体][color=#000000]Request timed out.[/color][/font]
[font=宋体][color=#000000]Request timed out.[/color][/font]
[font=宋体][color=#000000]Reply from 192.168.4.2: bytes=32 time=1ms TTL=64[/color][/font]
[font=宋体][color=#000000]Reply from 192.168.4.2: bytes=32 time=1ms TTL=64[/color][/font]
[font=宋体][color=#000000]Reply from 192.168.4.2: bytes=32 time=1ms TTL=64[/color][/font]
[color=#000000][font=宋体]Reply from 192.168.4.2: bytes=32 time=1ms TTL=64[/font][size=14pt][/size][/color]
[size=14pt][font=Times New Roman][color=#000000]3、
[/color][/font][/size][color=#000000][font=宋体][size=14pt]聚合端口采用[/size][/font][size=14pt][font=Times New Roman]per packet[/font][/size][font=宋体][size=14pt]方式进行流量的负载分担,检查方法可以通过[/size][/font][size=14pt][font=Times New Roman]get counter statistics interface g2/7 [/font][/size][font=宋体][size=14pt]和[/size][/font][size=14pt][font=Times New Roman]get counter statistics interface g2/8 [/font][/size][font=宋体][size=14pt]命令检查流量分担情况。[/size][/font][/color][size=14pt][/size]
飞行部落 2008-1-9 20:30
学习下!!!!!!!!!!!!!!!!!!!!!!
睿智777 2008-1-14 11:27
有了Netscreen防火墙的保护以后安全问题就可以放心多了.
toppy2931 2008-6-28 13:49
偶先收藏了,慢慢的來學習下,呵呵真不錯
