查看: 9450|回复: 121

实战型防火墙技术期刊,强叔拍案惊奇,企业级防火墙技术案例!

  [复制链接]

41

主题

55

帖子

631

积分

论坛编辑部

Rank: 12Rank: 12Rank: 12

贡献
3
技术
28
活跃
81
在线时间
9 小时
发表于 2014-9-3 17:41:42 | 显示全部楼层 |阅读模式
下载地址在这里,详细介绍往下看!

游客,如果您要查看本帖隐藏内容请回复


好资源好资料,不论出处,有价值就行! 看看这目录的介绍内容就心动了吧!

依旧是整理好的索引目录,华为最近大热,论坛除了加速推广之外近期也会加大资料分享的力度

但是依旧会以广度、深度、精华度为原则,为大家打造更好的学习平台

【防火墙技术案例1】强叔拍案惊奇 双防火墙单Internet出口组网配置        1
【防火墙技术案例2】强叔拍案惊奇 企业出口BGP组网配置        19
【防火墙技术案例3】强叔拍案惊奇 校园网出口网关配置        27
【防火墙技术案例4】强叔拍案惊奇 智能选路功能配置        41
【防火墙技术案例5】强叔拍案惊奇 双机热备(负载分担)组网下的IPSec配置        49
【防火墙技术案例6】强叔拍案惊奇 智能DNS配置        63
【防火墙技术案例7】强叔拍案惊奇 出差员工使用手机通过L2TP over IPSec接入总部        68
【防火墙技术案例8】强叔拍案惊奇 服务器负载均衡配置        82
【防火墙技术案例9】强叔拍案惊奇 数据中心防火墙应用        94



来吧,我们以前来欣赏其中的一个实例吧!
【防火墙技术案例1】强叔拍案惊奇 双防火墙单Internet出口组网配置

引言
大家好,强叔又与大家见面了!最近一段时间,【防火墙技术连载贴】强叔侃墙系列正在火爆上映,引起了论坛小伙伴们的广泛热议。想必小伙伴们已经对防火墙有了一定的理解,而且已经迫不及待地开始实战配置防火墙了。
在实战过程中,小伙伴们也许会发现理论和现实还是有一定差距的,而且也应该在挫折和失败中逐渐体会到了网络的博大精深。
为了解决小伙伴们实战配置防火墙时遇到的各种问题和困惑,强叔诚意推出【防火墙技术案例】强叔拍案惊奇系列,专门为大家呈现防火墙实战案例和组网验证,为大家解决防火墙的实战问题。
目前强叔准备先在拍案惊奇系列开放以下模块:路由交换、双机热备、安全策略、NAT、攻击防范和VPN。 强叔会陆续丰富各个模块的内容,也欢迎论坛的各位朋友联系强叔提供经典实战案例。

————————————————————————华丽的分割线————————————————————————————————
下面强叔首先给大家带来一篇防火墙双机热备的技术案例。本案例来源于强叔的小伙伴在实验室中模拟客户的真实组网。

【组网需求】
客户购置了2台防火墙,但只租用了一条到ISP的链路。加入防火墙后,需要满足两个需求:
1、内网办公区用户能够使用公网地址访问Internet
2、内网有一个FTP Server需要对公网提供服务
另外,客户网络原本是通过一个三层交换机作为出口接入ISP,且不愿意在此处做出改变。我们按需求构建了一个拓扑示例,如下图所示(拓扑中的防火墙为USG5500 V300R001)。这个组网中,公网地址仍然在交换机上,防火墙对外网的接口上使用私网IP。
【防火墙技术案例】强叔拍案惊奇1635.png

【数据规划】
设备名称
接口
IP地址
VLAN ID
备注
LSW1
GE0/0/1
-
10
连接ISP
GE0/0/2
-
20
连接FW1
GE0/0/3
-
20
连接FW2
Vlanif10
202.2.2.103/24
-
-
Vlanif20
10.10.10.4/24
-
-
FW1
GE0/0/1
10.10.10.2/24
-
连接LSW1
GE0/0/2
172.16.100.2/24
-
连接LSW2
GE0/0/3
192.168.1.1/24
-
心跳口
GE0/0/4
172.16.99.2/24
-
连接LSW3
FW2
GE0/0/1
10.10.10.3/24
-
连接LSW1
GE0/0/2
172.16.100.3/24
-
连接LSW2
GE0/0/3
192.168.1.2/24
-
心跳口
GE0/0/4
172.16.99.3/24
-
连接LSW3
LSW2
GE0/0/2
-
10
连接办公区
GE0/0/3
-
20
连接FW1
GE0/0/4
-
20
连接FW2
Vlanif10
172.16.2.1/24
-
-
Vlanif20
172.16.100.4/24
-
-
LSW3
GE0/0/2
-
10
连接服务器区
GE0/0/3
-
20
连接FW1
GE0/0/4
-
20
连接FW2
Vlanif10
172.16.3.1/24
-
-
Vlanif20
172.16.99.4/24
-
-

【配置要点】
因为公网地址并不在防火墙上,所以本案例的难点在于作为出口网关的交换机上路由和Proxy ARP的配置。

【配置步骤】
1、配置交换机LSW1
# 创建VLAN 10和20
[LSW1]vlan batch 10 20
# 配置接口
[LSW1]interface GigabitEthernet 0/0/1
[LSW1-GigabitEthernet0/0/1]port link-type access
[LSW1-GigabitEthernet0/0/1]port default vlan 10
[LSW1-GigabitEthernet0/0/1]quit
[LSW1]interface GigabitEthernet 0/0/2
[LSW1-GigabitEthernet0/0/2]port link-type access
[LSW1-GigabitEthernet0/0/2]port default vlan 20
[LSW1-GigabitEthernet0/0/2]quit
[LSW1]interface GigabitEthernet 0/0/3
[LSW1-GigabitEthernet0/0/3]port link-type access
[LSW1-GigabitEthernet0/0/3]port default vlan 20
[LSW1-GigabitEthernet0/0/3]quit
[LSW1]interface Vlanif 10
[LSW1-Vlanif10]ip address 202.2.2.103 24
[LSW1-Vlanif20]quit
[LSW1]interface Vlanif 20
[LSW1-Vlanif20]ip address 10.10.10.4 24
#配置路由
[LSW1]ip route-static 202.2.2.104 255.255.255.255 10.10.10.1
//*到办公区的路由,注意目的IP地址应该配置为NAT地址池地址,而不是私网地址*//
[LSW1]ip route-static 202.2.2.105 255.255.255.255 10.10.10.1
//*到办公区的路由,注意目的IP地址应该配置为NAT地址池地址,而不是私网地址*//
[LSW1]ip route-static 202.2.2.106 255.255.255.255 10.10.10.1
//*到服务器区的路由,注意目的IP地址应该配置为服务器的公网地址,而不是私网地址*//
[LSW1]ip route-static 0.0.0.0 0.0.0.0 202.2.2.1
#配置Proxy ARP
[LSW1]interface vlanif 10
[LSW1-Vlanif10]arp-proxy enable
[LSW1-Vlanif10]quit
[LSW1]interface vlanif 20
[LSW1-Vlanif20]arp-proxy enable
2、配置防火墙
# 配置FW1接口IP地址及VRRP,加入安全区域
[FW1]interface GigabitEthernet 0/0/1
[FW1-GigabitEthernet0/0/1]ip address 10.10.10.2 24
[FW1-GigabitEthernet0/0/1]vrrp vrid 1 virtual-ip 10.10.10.1 24 master
[FW1-GigabitEthernet0/0/1]quit
[FW1]firewall zone untrust
[FW1-zone-untrust]add interface g 0/0/1
[FW1-zone-untrust]quit
[FW1]interface GigabitEthernet 0/0/2
[FW1-GigabitEthernet0/0/2]ip address 172.16.100.2 24
[FW1-GigabitEthernet0/0/2]vrrp vrid 2 virtual-ip 172.16.100.1 24 master
[FW1-GigabitEthernet0/0/2]quit
[FW1]firewall zone trust
[FW1-zone-trust]add interface GigabitEthernet 0/0/2
[FW1-zone-trust]quit
[FW1]interface GigabitEthernet 0/0/3
[FW1-GigabitEthernet0/0/3]ip address 192.168.1.1 24
[FW1-GigabitEthernet0/0/3]quit
[FW1]firewall zone name heartbeat  //*为心跳口新建一个安全区域*//
[FW1-zone-heartbeat]set priority 90
[FW1-zone-heartbeat]add interface GigabitEthernet 0/0/3
[FW1-zone-heartbeat]quit
[FW1]interface GigabitEthernet 0/0/4
[FW1-GigabitEthernet0/0/4]ip address 172.16.99.2 24
[FW1-GigabitEthernet0/0/4]vrrp vrid 4 virtual-ip 172.16.99.1 24 master
[FW1-GigabitEthernet0/0/4]quit
[FW1]firewall zone dmz
[FW1-zone-dmz]add interface GigabitEthernet 0/0/4
[FW1-zone-dmz]quit
#配置路由
[FW1]ip route-static 172.16.2.0 255.255.255.0 172.16.100.4
[FW1]ip route-static 172.16.3.0 255.255.255.0 172.16.99.4
[FW1]ip route-static 0.0.0.0 0.0.0.0 10.10.10.4
# 配置FW2接口IP地址及VRRP,加入安全区域
[FW2]interface GigabitEthernet 0/0/1
[FW2-GigabitEthernet0/0/1]ip address 10.10.10.3 24
[FW2-GigabitEthernet0/0/1]vrrp vrid 1 virtual-ip 10.10.10.1 24 slave
[FW2-GigabitEthernet0/0/1]quit
[FW2]firewall zone untrust
[FW2-zone-untrust]add interface GigabitEthernet 0/0/1
[FW2-zone-untrust]quit
[FW2]interface GigabitEthernet 0/0/2
[FW2-GigabitEthernet0/0/2]ip address 172.16.100.3 24
[FW2-GigabitEthernet0/0/2]vrrp vrid 2 virtual-ip 172.16.100.1 24 slave
[FW2-GigabitEthernet0/0/2]quit
[FW2]firewall zone trust
[FW2-zone-trust]add interface GigabitEthernet 0/0/2
[FW2-zone-trust]quit
[FW2]interface GigabitEthernet 0/0/3
[FW2-GigabitEthernet0/0/3]ip address 192.168.1.2 24
[FW2-GigabitEthernet0/0/3]quit
[FW2]firewall zone name heartbeat  //*为心跳口新建一个安全区域*//
[FW2-zone-heartbeat]set priority 90
[FW2-zone-heartbeat]add interface GigabitEthernet 0/0/3
[FW2-zone-heartbeat]quit
[FW2]interface GigabitEthernet 0/0/4
[FW2-GigabitEthernet0/0/4]ip address 172.16.99.3 24
[FW2-GigabitEthernet0/0/4]vrrp vrid 4 virtual-ip 172.16.99.1 24 slave
[FW2-GigabitEthernet0/0/4]quit
[FW2]firewall zone dmz
[FW2-zone-dmz]add interface GigabitEthernet 0/0/4
[FW2-zone-dmz]quit
#配置路由
[FW2]ip route-static 172.16.2.0 255.255.255.0 172.16.100.4
[FW2]ip route-static 172.16.3.0 255.255.255.0 172.16.99.4
[FW2]ip route-static 0.0.0.0 0.0.0.0 10.10.10.4
# FW1上启用双机热备
[FW1]hrp interface GigabitEthernet 0/0/3
[FW1]hrp enable
#FW2上启用双机热备
[FW2]hrp interface GigabitEthernet 0/0/3
[FW2]hrp enable
#FW1上配置源NAT策略,配置会自动同步到FW2上
HRP_M[FW1]nat address-group 1 202.2.2.104 202.2.2.105
HRP_M[FW1]nat-policy interzone trust untrust outbound
HRP_M[FW1-nat-policy-interzone-trust-untrust-outbound]policy 0
HRP_M[FW1-nat-policy-interzone-trust-untrust-outbound-0]action source-nat
HRP_M[FW1-nat-policy-interzone-trust-untrust-outbound-0]policy source 172.16.2.0 0.0.0.255
HRP_M[FW1-nat-policy-interzone-trust-untrust-outbound-0]address-group 1
#在FW1上配置NAT Server,配置会自动同步到FW2上
HRP_M[FW1]nat server 1 protocol tcp global 202.2.2.106 ftp inside 172.16.3.20 ftp
#在FW1上配置安全策略,配置会自动同步到FW2上
HRP_M[FW1]policy interzone trust untrust outbound
HRP_M[FW1-policy-interzone-trust-untrust-outbound]policy 0
HRP_M[FW1-policy-interzone-trust-untrust-outbound-0]policy source 172.16.2.0 0.0.0.255
HRP_M[FW1-policy-interzone-trust-untrust-outbound-0]action permit
HRP_M[FW1-policy-interzone-trust-untrust-outbound-0]quit
HRP_M[FW1-policy-interzone-trust-untrust-outbound] quit
HRP_M[FW1]policy interzone dmz untrust inbound
HRP_M[FW1-policy-interzone-dmz-untrust-inbound]policy 0
HRP_M[FW1-policy-interzone-dmz-untrust-inbound-0]policy destination 172.16.3.20 0
HRP_M[FW1-policy-interzone-dmz-untrust-inbound-0]policy service service-set ftp
HRP_M[FW1-policy-interzone-dmz-untrust-inbound-0]action permit
HRP_M[FW1-policy-interzone-dmz-untrust-inbound-0]quit
HRP_M[FW1-policy-interzone-dmz-untrust-inbound]quit
#在FW1上配置ASPF ,配置会自动同步到FW2上
HRP_M[FW1]firewall interzone dmz untrust
HRP_M[FW1-interzone-dmz-untrust]detect ftp
HRP_M[FW1-interzone-dmz-untrust]quit
3、配置LSW2
# 创建VLAN 10和20
[LSW2]vlan batch 10 20
# 配置接口
[LSW2]interface GigabitEthernet 0/0/2
[LSW3-GigabitEthernet0/0/2]port link-type access
[LSW2-GigabitEthernet0/0/2]port default vlan 10
[LSW2-GigabitEthernet0/0/2]quit
[LSW2]interface GigabitEthernet 0/0/3
[LSW2-GigabitEthernet0/0/3]port link-type access
[LSW2-GigabitEthernet0/0/3]port default vlan 20
[LSW2-GigabitEthernet0/0/3]quit
[LSW2]interface GigabitEthernet 0/0/4
[LSW2-GigabitEthernet0/0/4]port link-type access
[LSW2-GigabitEthernet0/0/4]port default vlan 20
[LSW2-GigabitEthernet0/0/4]quit
[LSW2]interface vlanif 10
[LSW2-Vlanif10]ip address 172.16.2.1 24
[LSW2-Vlanif10] quit
[LSW2]interface vlanif 20
[LSW2-Vlanif20]ip address 172.16.100.4 24
[LSW2-Vlanif20] quit
#配置缺省路由
[LSW2]ip route-static 0.0.0.0 0.0.0.0 172.16.100.1
4、配置LSW3
# 创建VLAN 10和20
[LSW3]vlan batch 10 20
# 配置接口
[LSW3]interface GigabitEthernet 0/0/2
[LSW3-GigabitEthernet0/0/2]port link-type access
[LSW3-GigabitEthernet0/0/2]port default vlan 10
[LSW3-GigabitEthernet0/0/2]quit
[LSW3]interface GigabitEthernet 0/0/3
[LSW3-GigabitEthernet0/0/3]port link-type access
[LSW3-GigabitEthernet0/0/3]port default vlan 20
[LSW3-GigabitEthernet0/0/3]quit
[LSW3]interface GigabitEthernet 0/0/4
[LSW3-GigabitEthernet0/0/4]port link-type access
[LSW3-GigabitEthernet0/0/4]port default vlan 20
[LSW3-GigabitEthernet0/0/4]quit
[LSW3]interface vlanif 10
[LSW3-Vlanif10]ip address 172.16.3.1 24
[LSW3-Vlanif10] quit
[LSW3]interface vlanif 20
[LSW3-Vlanif20]ip address 172.16.99.4 24
[LSW3-Vlanif20] quit
#配置缺省路由
[LSW3]ip route-static 0.0.0.0 0.0.0.0 172.16.99.1

【结果验证】
1、办公区client2能访问到公网的client6
防火墙上查看会话表,如下:
【防火墙技术案例】强叔拍案惊奇9767.png
2、公网client6能够通过202.2.2.106访问内网的FTP Server
防火墙上查看会话表
【防火墙技术案例】强叔拍案惊奇9965.png
3、双机热备验证
主设备上shutdown接口。
【防火墙技术案例】强叔拍案惊奇10136.png
主备切换,业务未中断
【防火墙技术案例】强叔拍案惊奇10293.png


【拍案惊奇】
1、 此案例的惊奇之处在于防火墙上下行连接的是三层交换机,而不是大家比较熟悉的上下行连接二层交换机(如下图,交换机三个二层接口加入同一VLAN,这个案例可以在各种产品资料中都能轻易找到)。更加惊奇的是两台防火墙与上下行三层设备之间不是运行OSPF(如果是运行OSPF,这个案例在各种产品资料中也能找到),而是运行静态路由。
    【防火墙技术案例】强叔拍案惊奇10616.png
    正是这两点惊奇之处,使得此案例与众不同。
    案例本天成,妙手偶得之。客户的不愿改变现有组网方式的要求,为小伙伴们提供了一个奇特的组网:防火墙上下行连接三层交换机,防火墙与上下行设备之间运行静态路由。
    这种组网最大的特点是交换机通过VLANIF接口IP与防火墙的VRRP备份组地址通信。(见下图)
    【防火墙技术案例】强叔拍案惊奇10925.png
2、 此案例的另一惊奇之处在于在LSW1上配置了代理ARP功能(见【配置步骤】 中的标红配置)。具体报文交互过程如下:
1)内网用户访问CLIENT6的报文的源IP会经过NAT转换,转换成NAT地址池的地址202.2.2.104/24。
2)经过一系列路由(防火墙的缺省路由下一跳为10.1.1.4,LSW1的缺省路由下一跳为202.2.2.1),报文被最终送到CLIENT6。
3)由于CLIENT6的接口IP(202.2.2.1/24)与回程报文的目的地址(202.2.2.104/14)在同一网段,因此CLIENT6不会查找路由表,而是广播发送ARP请求报文,请求目的地址的MAC地址。
4)由于交换机LSW1的上行接口和下行接口不在同一VLAN,因此CLIENT6的ARP请求报文只能在VLAN10内传输,不能通过VLAN20传输到防火墙。这样就会导致没有设备为CLIENT6回应MAC地址,CLIENT6就无法封装回程报文,只能丢弃此报文。
5)如果启用代理ARP功能后,则ARP请求报文能跨越VLAN传输到防火墙,防火墙就会回应此ARP请求报文。
【防火墙技术案例】强叔拍案惊奇11551.png
其实这点惊奇之处是实验室组网造成的。在真实环境中CLIENT6(真实中会是一台路由器)与VLANIF10的地址一般都是31位掩码。这样就会使NAT地址池中的地址(回程报文的目的地址)与CLIENT6的接口地址不在同一网段,这也就不会发送ARP请求,而是通过路由查找。
【防火墙技术案例】强叔拍案惊奇11831.png
【强叔问答】
看完此案例后,强叔再提个问题供各位小伙伴思考:
如果客户同意完全改造现有组网,那么我们该如何套用经典的双机热备组网改造此网络呢?


0

主题

927

帖子

5794

积分

Yib

Rank: 10Rank: 10Rank: 10

贡献
0
技术
0
活跃
849
在线时间
62 小时
擅长技术
思科华为
发表于 2014-9-7 11:21:16 | 显示全部楼层
谢谢                                             

0

主题

17

帖子

27

积分

Byte

Rank: 2

贡献
0
技术
0
活跃
18
在线时间
0 小时
发表于 2014-9-16 09:33:28 | 显示全部楼层
下载学习一下。

0

主题

146

帖子

835

积分

Kib

Rank: 3Rank: 3

贡献
0
技术
0
活跃
141
在线时间
15 小时
发表于 2014-9-16 20:29:14 | 显示全部楼层
非常好谢谢

5

主题

1507

帖子

1万

积分

论坛贵宾VIP-永久权限

Rank: 8Rank: 8

贡献
0
技术
0
活跃
1438
在线时间
262 小时
发表于 2014-9-20 02:44:45 | 显示全部楼层

思科认证、华为认证、H3C认证、Jnuiper认证、Redhat认证、OCP认证、虚拟化云计算视频课程,无时无刻不在完善!www.santongit.com

0

主题

12

帖子

31

积分

Byte

Rank: 2

贡献
0
技术
0
活跃
14
在线时间
1 小时
发表于 2014-9-24 10:32:01 | 显示全部楼层
必须下载 必须看看

0

主题

12

帖子

31

积分

Byte

Rank: 2

贡献
0
技术
0
活跃
14
在线时间
1 小时
发表于 2014-9-24 10:34:53 | 显示全部楼层
提取码呢 百度的

0

主题

335

帖子

2445

积分

论坛贵宾VIP-永久权限

Rank: 8Rank: 8

贡献
0
技术
0
活跃
510
在线时间
53 小时
发表于 2014-10-3 17:49:39 | 显示全部楼层
看看,好资料呀!!!

4

主题

1780

帖子

1万

积分

Nib

Rank: 11Rank: 11Rank: 11Rank: 11

贡献
4
技术
0
活跃
1809
在线时间
631 小时
发表于 2014-10-3 17:51:53 | 显示全部楼层
ganxiefenxiang
使用 高级模式(可批量传图、插入视频等)
您需要登录后才可以回帖 登录 | 立即注册

快速回复 返回顶部 返回列表