华为防火墙在广电出口安全方案中的应用(方案设计、配置、总结)
华为防火墙在广电出口安全方案中的应用(方案设计、配置、总结)
来源:网络技术联盟站 链接:https://www.wljslmz.cn/19276.html
一、方案简介
广电行业除了提供家庭广播电视业务,还向ISP租用链路开展宽带用户上网、服务器托管等网络接入服务。此时网络出口处通常部署防火墙作为出口网关提供Internet接入及安全保障功能。
防火墙在广电网络出口的应用
如图所示,防火墙部署在网络出口主要提供如下功能:
- NAT:提供源NAT功能将宽带用户私网IP转换为公网IP,提供NAT Server功能将托管服务器的私网IP转换为公网IP供外网用户访问。
- 多出口智能选路:提供基于目的IP、应用等多种选路措施,合理利用多条ISP链路保证上网质量。
- 安全管理:通过安全区域及安全策略进行区域隔离,提供入侵防御、DDoS攻击防范等安全功能进行安全防护。
- 用户溯源和审计:记录用户NAT前后IP地址、端口等日志发往日志服务器,满足相关部门的审计和溯源需求。
二、方案设计
2.1 典型组网
如图所示,广电向两个ISP各租用了两条链路,为城域网的广电用户提供宽带上网服务。广电还在服务器区部署了服务器,为内外网用户提供服务器托管业务。
广电的Internet出口处部署了两台防火墙双机热备组网(主备方式)。两台防火墙的上行接口通过出口汇聚交换机与两个ISP相连,下行接口通过核心路由器与城域网相连,通过服务器区的交换机与服务器相连。
防火墙在广电网络出口的典型组网
广电网络对Internet出口防火墙的具体需求如下:
- 两台防火墙能够组成主备备份组网,提升网络可靠性。
- 通过防火墙的源NAT功能保证城域网的海量用户能够同时访问Internet。
- 为了提升内网用户的宽带上网体验,广电的出口选路需求如下:
- 能够根据目的地址所属的ISP进行选路。例如,访问ISP1的服务器的流量能够通过ISP1链路转发,访问ISP2的服务器的流量能够通过ISP2链路转发。
- 属于同一个ISP的流量在两条链路间按权重负载分担。
- 引导P2P流量由资费较低、带宽较大的ISP2链路转发。
- 托管的服务器能够供外网用户访问,对服务器进行管理。
- 广电网络内还部署了DNS服务器为以上服务器提供域名解析。广电希望各ISP的外网用户能够解析到自己ISP为服务器分配的地址,从而提高访问服务器的速度。
- 防火墙能够保护内部网络,防止各种DDoS攻击,并对僵尸、木马、蠕虫等网络入侵行为进行告警。
- 为了应对有关部门的审查,防火墙能够提供内网用户访问Internet的溯源功能,包括NAT转换前后的IP地址、端口等。
2.2 业务规划
2.2.1 设备规划
广电网络出口可能用到的设备如表所示:
广电网络出口设备规划
2.2.2 双机热备规划
由于一个ISP接入点无法与两台防火墙直接相连,因此需要在防火墙与ISP之间部署出口汇聚交换机。出口汇聚交换机可以将ISP的一条链路变为两条链路,然后分别将两条链路与两台防火墙的上行接口相连。而防火墙与下行路由器之间运行OSPF,所以这就组成了“两台防火墙上行连接交换机,下行连接路由器”的典型双机热备组网。该种组网方式防火墙上行配置VRRP备份组,下行配置VGMP组监控业务口。
双机热备组网可以转换为图1,将与同一个ISP接入点连接的主备防火墙接口加入同一个VRRP备份组。
双机热备组网
2.2.3 多出口选路规划
广电向不同运营商租用链路,多出口选路功能尤为重要,防火墙提供丰富的多出口功能满足需求:
- 通过DNS透明代理分担内网用户上网的DNS请求,从而达到在多个ISP间分担流量的目的。
- 内网用户上网的第一步是用户访问某个域名,DNS服务器将域名解析为IP地址。这一步存在一个问题,内网PC往往都配置了同一个ISP的DNS服务器,这样将导致用户只能解析到一个ISP的地址,后续的ISP选路也就无从谈起了。防火墙提供DNS透明代理功能解决这一问题,防火墙通过一定的规则将内网用户的DNS请求分担至不同ISP的DNS服务器,从而解析到不同ISP的地址。本例采取指定链路权重的方式分担DNS请求。
- 通过基于多出口的策略路由实现ISP选路。
防火墙的策略路由可以同时指定多个出接口,并配置多个出接口的流量分担方式。例如指定目的地址为ISP1地址的流量从ISP1的两个出接口发送,同时指定两个出接口间按权重进行负载分担。
- 通过基于应用的策略路由将P2P流量引导至ISP2链路。
- 通过健康检查探测链路的可达性。
防火墙探测某个出接口到指定目的地址的链路健康状态,保证流量不会被转发到故障链路上。
2.2.4 源NAT规划
在FW配置源NAT使内网用户可以通过有限的公网IP地址访问Internet。
地址池
根据向ISP申请的公网IP地址,配置两个对应不同ISP的地址池,注意地址池中排除VRRP备份组的公网IP、服务器对外发布的公网IP。
NAPT
Network Address and Port Translation
NAPT同时对IP地址和端口进行转换,内网用户访问Internet的报文到达防火墙后,报文的源地址会被NAT转换成公网地址,源端口会被NAT转换成随机的非知名端口。这样一个公网地址就可以同时被多个内网用户使用,实现了公网地址的复用,解决了海量用户同时访问Internet的问题。
NAT ALG
当防火墙既开启NAT功能,又需要转发多通道协议报文(例如FTP等)时,必须开启相应的NAT ALG功能。例如FTP、SIP、H323、RTSP和QQ等多通道协议。
2.2.5 NAT Server规划
广电的托管服务器业务主要开通网站托管业务,如某个学校的网站托管,同时还有公司内部的办公网,公司门户网站等。由于托管服务器部署在内网的DMZ区域,所以需要在防火墙上部署NAT server功能,将服务器的私网地址转换成公网地址,而且需要为不同的ISP用户提供不同的公网地址。
如果DNS服务器在内网,则需要配置智能DNS使外网用户可以获取最适合的服务器解析地址,即与用户属于同一ISP网络地址避免跨网络访问。
2.2.6 安全功能规划
缺省情况下FW拒绝所有流量通过,需要配置安全策略允许正常的业务访问。具体规划见下文的数据规划。
出口网关作为广电网络与外界通信的关口,需要配置入侵防御(IPS)、攻击防范等安全功能。
本案例使用缺省的IPS配置文件default,对检测到的入侵行为进行阻断;还可以选择配置文件ids先记录攻击日志不阻断,然后根据日志再配置具体的IPS配置文件。
获取更多网络干货,欢迎关注公众号【网络技术联盟站】,点击下方名片即可关注:
2.2.7 用户溯源规划
通过与日志服务器配合完成用户溯源:
- FW配置向日志服务器发送会话日志功能,会话日志中详细记录了会话的原始(即NAT转换前)源IP地址/端口、目的IP地址/端口,以及会话经过NAT转换后的源IP地址/端口和目的IP地址/端口等信息。
- 如果某个用户在外网发布了非法言论,管理员在日志服务器中根据该用户的公网IP地址追踪到其私网IP地址。
- 管理员根据企业内部的认证系统等追踪到具体用户账号。
2.2.8 数据规划
根据上述业务规划进行数据规划。
接口和安全区域
FW_A
GE1/0/1
- IP地址:1.1.1.2/29
- 安全区域:isp1_1
- 网关:1.1.1.6/29
- VRRP备份组1:1.1.1.1/29
- VGMP管理组:Active
GE1/0/2
- IP地址:2.2.2.2/29
- 安全区域:isp2_1
- 网关:2.2.2.6/29
- VRRP备份组2:2.2.2.1/29
- VGMP管理组:Active
GE1/0/6
- IP地址:1.1.2.2/29
- 安全区域:isp1_2
- 网关:1.1.2.6/29
- VRRP备份组3:1.1.2.1/29
- VGMP管理组:Active
GE1/0/7
- IP地址:2.2.3.2/29
- 安全区域:isp2_2
- 网关:2.2.3.6/29
- VRRP备份组2:2.2.3.1/29
- VGMP管理组:Active
GE1/0/5
- IP地址:10.0.7.1/24
- 安全区域:hrp
GE1/0/3
- IP地址:10.0.3.1/24
- 安全区域:Trust
GE1/0/4
- IP地址:10.0.5.1/24
- 安全区域:DMZ
FW_B
GE1/0/1
- IP地址:1.1.1.3/29
- 安全区域:isp1_1
- 网关:1.1.1.6/29
- VRRP备份组1:1.1.1.1/29
- VGMP管理组:Standby
GE1/0/2
- IP地址:2.2.2.3/29
- 安全区域:isp2_1
- 网关:2.2.2.6/29
- VRRP备份组2:2.2.2.1/29
- VGMP管理组:Standby
GE1/0/6
- IP地址:1.1.2.3/29
- 安全区域:isp1_2
- 网关:1.1.2.6/29
- VRRP备份组3:1.1.2.1/29
- VGMP管理组:Active
GE1/0/4
- IP地址:2.2.3.3/29
- 安全区域:isp2_2
- 网关:2.2.3.6/29
- VRRP备份组2:2.2.3.1/29
- VGMP管理组:Active
GE1/0/5
- IP地址:10.0.7.2/24
- 安全区域:hrp
GE1/0/3
- IP地址:10.0.4.1/24
- 安全区域:Trust
GE1/0/4
- IP地址:10.0.6.1/24
- 安全区域:DMZ
安全策略
trust_to_isp1
- 源安全区域:Trust
- 目的安全区域:isp1_1、isp1_2
- 动作:permit
- IPS配置文件:default
允许内网用户访问ISP1。
trust_to_isp2
- 源安全区域:Trust
- 目的安全区域:isp2_1、isp2_2
- 动作:permit
- IPS配置文件:default
允许内网用户访问ISP2。
isp1_to_http、isp2_to_http
- 源安全区域:isp1_1、isp1_2、isp2_1、isp2_2
- 目的安全区域:DMZ
- 目的地址:10.0.10.10/24
- 服务:HTTP
- 动作:permit
- IPS配置文件:default
允许ISP访问内网Web服务器。
isp1_to_ftp、isp2_to_ftp
- 源安全区域:isp1_1、isp1_2、isp2_1、isp2_2
- 目的安全区域:DMZ
- 目的地址:10.0.10.11/24
- 服务:FTP
- 动作:permit
- IPS配置文件:default
允许ISP访问内网FTP服务器。
isp1_to_dns、isp2_to_dns
- 源安全区域:isp1_1、isp1_2、isp2_1、isp2_2
- 目的安全区域:DMZ
- 目的地址:10.0.10.20/24
- 服务:FTP
- 动作:permit
- IPS配置文件:default
允许ISP访问内网DNS服务器。
local_to_logcenter
- 源安全区域:local
- 目的安全区域:DMZ
- 目的地址:10.0.10.30/24
- 动作:permit
允许防火墙访问内网日志服务器。
local_to_trust
- 源安全区域:local、Trust
- 目的安全区域:local、Trust
- 服务:OSPF
- 动作:permit
允许防火墙与下游路由器交互OSPF报文。
local_to_isp
- 源安全区域:local
- 目的安全区域:isp1_1、isp1_2、isp2_1、isp2_2
- 动作:permit
允许防火墙访问外网,进行特征库升级服务、发送健康检查报文。
源NAT
- ISP1_1地址池:
1.1.1.10~1.1.1.12 - ISP1_2地址池:
1.1.2.10~1.1.2.12 - ISP2_1地址池:
2.2.2.10~2.2.2.12 - ISP2_2地址池:
2.2.3.10~2.2.3.12 - 模式:NAPT
NAT Server
Web服务器
- 私网IP地址:10.0.10.10
- ISP1_1公网IP地址:1.1.1.15
- ISP1_2公网IP地址:1.1.2.15
- ISP2_1公网IP地址:2.2.2.15
- ISP2_2公网IP地址:2.2.3.15
FTP服务器
- 私网IP地址:10.0.10.11
- ISP1_1公网IP地址:1.1.1.16
- ISP1_2公网IP地址:1.1.2.16
- ISP2_1公网IP地址:2.2.2.16
- ISP2_2公网IP地址:2.2.3.16
DNS服务器
- 私网IP地址:10.0.10.20
- ISP1_1公网IP地址:1.1.1.17
- ISP1_2公网IP地址:1.1.2.17
- ISP2_1公网IP地址:2.2.2.17
- ISP2_2公网IP地址:2.2.3.17
ISP1
- 地址文件名称:isp1.csv
- 运营商名称:isp1
- 主用DNS服务器:1.1.1.222
- 备用DNS服务器:1.1.1.223
ISP2
- 地址文件名称:isp2.csv
- 运营商名称:isp2
- 主用DNS服务器:2.2.2.222
- 备用DNS服务器:2.2.2.223
2.3 注意事项
2.3.1 License
IPS功能和智能DNS功能需要License支持,另外智能DNS功能需要加载内容安全组件包才能使用。
2.3.2 硬件要求
对于USG9500,IPS、基于应用的策略路由、智能DNS需要应用安全业务处理子卡(SPC-APPSEC-FW)在位,否则功能不可用。
2.3.3 组网部署
当双机热备与智能选路结合使用时,如果上行部署交换机运行VRRP,防火墙的上行物理接口必须配置与ISP路由器同一网段的公网IP地址,否则无法指定接口的gateway。gateway命令是智能选路、链路健康探测的必选配置。
如果上行是路由器则无此限制。
2.3.4 智能选路
- 防火墙在接口下提供gateway命令生成等价缺省路由,协议类型为UNR,路由优先级为70,低于静态路由的优先级(60)。配置了此命令后不能再手动配置多出口的静态等价路由
- 策略路由智能选路不能和IP欺骗攻击防范功能或URPF(Unicast Reverse Path Forwarding,单播逆向路径转发)功能一起使用。如果开启IP欺骗攻击防范功能或URPF功能,可能导致防火墙丢弃报文。
2.3.5 黑洞路由
防火墙支持为NAT地址池中的地址生成UNR(User Network Route)路由,该UNR路由的作用与黑洞路由的作用相同,可以防止路由环路,同时也可以引入到OSPF等动态路由协议中发布出去。对于NAT Server来说,如果指定了协议和端口,则还需要手工配置目的地址为公网地址的黑洞路由,使外网访问公网地址但没有匹配到Server-Map的报文匹配到黑洞路由后直接被丢弃,防止路由环路。
三、配置脚本
整体配置分为:
- 配置接口和安全区域
- 配置智能选路及路由
- 配置双机热备
- 配置源NAT
- 配置NAT Server和智能DNS
- 配置安全策略及安全防护
- 配置用户溯源
配置脚本下载链接:
链接:https://pan.quark.cn/s/eba7fecc4329
提取码:mcvC3.1 结果验证
- 内网用户可以正常访问Internet。
- 外网用户可以通过公网IP访问内网服务器。
- eSight可以获取防火墙会话日志。
- 在主防火墙的接口GigabitEthernet 1/0/1上执行shutdown命令,模拟链路故障,发现主备正常倒换,业务不会中断。
四、方案总结与建议
4.1 方案总结
本案例介绍了防火墙部署在广电网络出口的组网规划及部署,实际可以根据需求选择配置的功能。该方案有如下几点总结:
- 网络部署上采取了双机热备部署方式,上行连接交换机部署VRRP,下行连接路由器运行OSPF。实际还可能上行也部署出口路由器运行OSPF。本案例中的部署方式尤其注意防火墙上行接口需规划公网地址,否则无法指定接口网关。
- 多出口智能选路是广电出口的重要需求,本例通过如下方式实现需求:
- 出站:本例通过多出口策略路由实现了两个需求,目的地址属于哪个ISP就从哪条链路转发、属于同一个ISP的流量在该ISP的多条链路间按权重负载分担。
- 入站:
配置NAT Server向不同ISP公布不同的服务器公网IP地址。同时如果为服务器提供域名解析的DNS服务器部署在内网,防火墙还提供了智能DNS功能使各ISP的外网用户能够解析到自己ISP为服务器分配的地址,从而提高访问服务器的速度。
4.2 其他配置建议
本例中使用了最常用的NAPT进行地址转换,如果网络中P2P流量较多可以选择配置三元组NAT节省二级运营商的运营资费。
文件共享、语音通信、视频等P2P应用的实现原理都是先从服务器获取对端的IP和端口,然后直接与对方建立连接。此时NAPT与P2P不能很好地共存。
例如:内网PC1首先和外网的P2P服务器进行交互(登录、认证等操作),防火墙会对PC1访问P2P服务器的报文进行NAPT方式的转换,P2P服务器记录PC1经过转换后的公网地址和端口。当PC2需要下载文件时,服务器会将PC1的地址和端口发给PC2,然后PC2从PC1上下载文件。但是因为PC2访问PC1无法匹配会话表而被防火墙拒绝访问,PC2就只能再向其他主机请求资源文件。
这样如果PC1和PC2都位于内网,PC2却只能向外网主机请求资源文件。这样当有大量的内网用户进行P2P下载时,这种业务就会占用很多运营商带宽,而且浪费了二级运营商的流量资费。同时,对于跨网络访问,用户的下载体验也不佳。
三元组NAT可以解决此问题,无论PC1是否访问过PC2,只要PC2获取到PC1经过NAT转换后的地址和端口,就可以主动向该地址和端口发起访问。防火墙上即使没有配置相应的安全策略,也允许此类访问报文通过。两台内网PC可以不通过外网直接进行P2P下载,节约了二级运营商的流量资费。
三元组NAT配置与NAPT配置差异不大,只是指定地址池类型为full-cone类型。
HRP_M[FW_A] nat address-group pool_isp1
HRP_M[FW_A-address-group-pool_isp1] mode full-cone global
HRP_M[FW_A-address-group-pool_isp1] section 1.1.1.10 1.1.1.12
HRP_M[FW_A-address-group-isp1] quit💡说明:
对于USG9500配置三元组NAT前,必须保证HASH选板模式为源地址HASH模式。具体的配置命令如下:
[FW] firewall hash-mode source-only配置完成后需要重新启动设备才能生效。