网络安全-网络安全解决方案3

网络安全解决方案

防火墙策略路由

策略路由定义

策略路由定义和目的

• FW转发数据时，会查找路由表，并根据目的地址来进行转发
• 在这种机制下，只能根据报文的目的地址为用户提供转发服务，无法提供有差别的服务
• 策略路由是在路由表已经产生的情况下，不按照现有路由表进行转发，而是根据用户制定的策略进行路由选择的机制，从更多的维度 （入接口、源安全区域、源/目的IP地址用户、服务、应用）来决定报文如何转发，增加了在报文转发控制上的灵活度。策略路由并没有替代路由表机制，而是优先于路由表生效，为某些特殊业务指定转发方向

策略路由应用场景

策略路由应用于多出口组网中

• FW作为出口网关，存在两个网络出口
• 通过策略路由，可以根据需要进行选择网络出口

策略路由组成

策略路由组成：匹配条件、动作

匹配条件

• 入接口/源安全区域
• IP地址/MAC地址（源、目的）
• 用户、服务、应用、时间段
• DSCP优先级：进行流量类型识别

实施策略路由动作

• 转发：单出口（下一跳）、多出口(智能选路)
• 不做策略路由：按照现有路由表进行转发

策略路由匹配过程

FW会按照匹配顺序

• 首先寻找第一条规则，如果满足条件执行动作
• 如果不满足第一条规则的匹配条件
• 寻找下一条策略路由规则
• 如果所有策略的匹配条件都无法满足
• 则按照路由表进行转发

基于源地址的策略路由

企业需求

• 企业出口防火墙部署两条公网链路，ISP1-电信和ISP2-联通
• 企业要求:192.168.10.0网段的流量由g1/0/2发出，走ISP1-电信
• 企业要求:192.168.30.0网段的流量由g1/0/3发出，走ISP2-联通

配置步骤

• 第一步:配置接口地址，配置地址对象
• 第二步:配置安全策略
• 第三步:配置IP-link探测
• 第四步:配置策略路由
• 第五步:配置NAT策略
• 第六步:验证

第一步

配置”安全区域”和”IP地址”

为便于引用，配置地址对象”财务10网段”和”研发30网段”

第二步

配置安全策略，允许财务和研发访问外网

第三步

为使双出口冗余，配置链路状态探测

第四步

• 配置”财务”流量走”电信”网，”研发”流量走”联通”
• 配置监控链路”可靠性检测”，以实现”链路冗余”

第五步

便于”内网”私有地址访问”公网”

验证

• 验证1：双路出口正常，财务流量走电信，研发流量走联通
• 验证2：电信网络断开，财务和研发流量都走联通

防火墙部署双机热备

双机热备

华为防火墙的双机热备包含以下两种模式：

• 热备模式：同一时间只用一台防火墙转发数据包，其他防火墙不转发数据包，但是会同步会话表及Server-map表

• 负载均衡模式：同一时间，多台防火墙同时转发数据，但每个防火墙又作为其他防火墙的备用设备，即每个防火墙即是主用设备也是备用设备，防火墙之间同步会话表及Server-map表

要求如下：

• 两台防火墙用于心跳线的接口加入相同的安全区域
• 两台防火墙用于心跳线的接口的设备编号一致
• 建议用于双机热备的两台防火墙采用相同的型号、相同的VRP版本

企业需求

企业需求

• 公司出口有两台边界防火墙分别连接电信和联通
• 负载分担：财务部流量走电信，研发部流量走联通
• 相互几余：某一出口不通，流量能够自动切换，避免网络中断，实现网络的稳定性和可靠性.
• 方案：FW1和FW2部署双机热备

配置步骤

第一步：配置接口地址

第二步：配置安全策略

第三步：配置NAT策略

第四步：配置默认路由

第五步：配置IP-Link

第六步：配置双机热备

• 配置运行模式
• 心跳接口
• 接口监控
• 虚拟IP地址
• IP-Link监控

第一步

注意：配置G1/0/0为防火墙之间的心跳线，用于协商主备状态

第二步

配置安全策略，使内网可以访问外网

第三步

配置NAT策略，使内网私有地址访问外网

第四步

配置默认路由

第五步

为使双出口冗余，配置链路状态探测

第六步

配置双机热备

• 运行模式：负载分担
• 心跳接口：G1/0/0
• 主动抢占：启用
• 虚拟IP：
  • 主：192.168.10.253
  • 备：192.168.10.254
• IP-Link：探测电信

验证

• 验证1：不同部门电脑访问千度，财务走电信网，研发走联通网
• 验证2：断开电信链路，财务部电脑流量切换至联通网络