1、綠盟 NF典型部署手冊文檔版本： V5.6.8 (2013-11-25) 2021 綠盟科技本文中出現(xiàn)的任何文字敘述、文檔格式、插圖、方法、過程等內(nèi)容，除另有特別注明，均屬神州綠盟（簡稱綠盟科技）所有，受到有關(guān)產(chǎn)權(quán)及法保護。任何個人、機構(gòu)綠盟科技的，不得以任何方式或本文的任何片斷。目錄前言11透明部署4點到點虛擬線部署4多點二層接入部署8Trunk 穿越部署14路由部署18邊界網(wǎng)關(guān)18ISP 鏈路負載均衡28非對稱路由4123混合部署50HA 部署63虛擬線主備63路由主備70路由主主815部署98SSLSSLIPSec客戶端到網(wǎng)關(guān)98網(wǎng)關(guān)到網(wǎng)關(guān)105網(wǎng)關(guān)到網(wǎng)關(guān)1136 用戶 AD 域認證部署

2、122出廠參數(shù)134設(shè)備帶外管理口初始設(shè)置134引擎初始用戶134Web 操作員初始帳號134Web 審計員初始帳號134串口管理員初始帳號134綠盟安全中心管理員初始帳號134串口通信參數(shù)135CLI 管理員初始帳號135B 安全模板136B.1檢測模板136B.2 URL 過濾模板138B.3B.4B.5防模板141內(nèi)容過濾模板144模板組145插圖圖 1-1點到點虛擬線模式部署拓撲圖5圖 1-2點到點虛擬線 -編輯接口6圖 1-3點到點虛擬線 -新建虛擬線6圖 1-4點到點虛擬線 -新建 IP 池7圖 1-5點到點虛擬線 -新建安全策略8圖 1-6多點二層接入模式部署拓撲圖9圖 1-7多

3、點二層接入 - 編輯接口10圖 1-8多點二層接入 新建 IP 池10圖 1-9多點二層接入 - 內(nèi)網(wǎng)段 1內(nèi)網(wǎng)段 211圖 1-10 多點二層接入 - 內(nèi)網(wǎng)段 2內(nèi)網(wǎng)段 112圖 1-11 多點二層接入 - 內(nèi)網(wǎng)段 1 和內(nèi)網(wǎng)段 2 用戶. 13圖 1-12 配置完成的安全策略列表13圖 1-13 Trunk 穿越模式部署拓撲圖14圖 1-14 Trunk 穿越 編輯接口15圖 1-15 Trunk 穿越 新建 IP 池15圖 1-16 Trunk 穿越 新建節(jié)點16圖 1-17 Trunk 穿越 安全策略16圖 2-1路由部署_邊界網(wǎng)關(guān)19圖 2-2邊界網(wǎng)關(guān)-接口配置列表20圖 2-3邊界

4、網(wǎng)關(guān)-默認路由20圖 2-4邊界網(wǎng)關(guān)-網(wǎng)絡(luò)對象-子網(wǎng)21圖 2-5邊界網(wǎng)關(guān)-網(wǎng)絡(luò)對象-節(jié)點 121圖 2-6邊界網(wǎng)關(guān)-網(wǎng)絡(luò)對象-節(jié)點 222圖 2-7邊界網(wǎng)關(guān)-網(wǎng)絡(luò)對象-IP 池22圖 2-8邊界網(wǎng)關(guān)-SNAT23圖 2-9邊界網(wǎng)關(guān)-DNAT-DMZ. 23圖 2-10 邊界網(wǎng)關(guān)-DNAT-內(nèi)網(wǎng)用戶DMZ24圖 2-11 邊界網(wǎng)關(guān)-DNAT 列表24圖 2-12 邊界網(wǎng)關(guān)-安全策略-. 25圖 2-13 邊界網(wǎng)關(guān)-安全策略-DMZ 區(qū)26圖 2-14 邊界網(wǎng)關(guān)-安全策略列表26圖 2-15 邊界網(wǎng)關(guān)-用戶列表27圖 2-16 邊界網(wǎng)關(guān)-認證策略27圖 2-17 路由部署_ISP 鏈路負載均衡2

5、8圖 2-18 ISP 鏈路負載均衡-安全區(qū)列表29圖 2-19 ISP 鏈路負載均衡-接口配置列表30圖 2-20 ISP 鏈路負載均衡-ISP 路由-電信30圖 2-21 ISP 鏈路負載均衡-ISP 路由-. 31圖 2-22 ISP 鏈路負載均衡-ISP 路由列表31圖 2-23 ISP 鏈路負載均衡 默認路由（電信）31圖 2-24 ISP 鏈路負載均衡 默認路由（） . 32圖 2-25 ISP 鏈路負載均衡 默認路由列表32圖 2-26 ISP 鏈路負載均衡-反向路由32圖 2-27 ISP 鏈路負載均衡-網(wǎng)絡(luò)對象-子網(wǎng)33圖 2-28 ISP 鏈路負載均衡-網(wǎng)絡(luò)對象-節(jié)點列表3

6、3圖 2-29 ISP 鏈路負載均衡-SNAT-電信34圖 2-30 ISP 鏈路負載均衡-SNAT-. 34圖 2-31 ISP 鏈路負載均衡-SNAT 列表35圖 2-32 ISP 鏈路負載均衡-DNAT-DMZ-電信35圖 2-33 ISP 鏈路負載均衡-DNAT-DMZ-. 36圖 2-34 ISP 鏈路負載均衡-DNAT-DMZ 內(nèi)網(wǎng)圖 2-35 ISP 鏈路負載均衡-DNAT-DMZ 內(nèi)網(wǎng)-電信36-. 37圖 2-36 ISP 鏈路負載均衡-DNAT 列表37圖 2-37 ISP 鏈路負載均衡-安全策略-電信38圖 2-38 ISP 鏈路負載均衡-安全策略-. 39圖 2-39

7、ISP 鏈路負載均衡-安全策略-DMZ40圖 2-40 ISP 鏈路負載均衡-安全策略列表41圖 2-41 非對稱路由模式部署拓撲圖42圖 2-42 NF1 的非對稱路由 -編輯接口43圖 2-43 NF1 的非對稱路由 -新建虛擬線43圖 2-44 NF1 的非對稱路由 -新建 IP 池44圖 2-45 NF1 的非對稱路由 -新建安全策略45圖 2-46 NF1 的非對稱路由支持46圖 2-47 NF2 的非對稱路由 -編輯接口46圖 2-48 NF2 的非對稱路由 -新建虛擬線47圖 2-49 NF2 的非對稱路由 -新建 IP 池47圖 2-50 NF2 的非對稱路由 -新建安全策略4

8、8圖 2-51 NF2 的非對稱路由支持49圖 3-1混合（二/三層）部署51圖 3-2混合部署 安全區(qū)配置列表52圖 3-3混合部署 接口配置列表53圖 3-4混合部署 子網(wǎng)對象54圖 3-5混合部署 節(jié)點對象54圖 3-6混合部署 源NAT 策略54圖 3-7混合部署 目的NAT 策略55圖 3-8混合部署 安全策略（運維部）. 56圖 3-9混合部署 安全策略（員工 1 區(qū)員工 2 區(qū)）57圖 3-10 混合部署 安全策略（員工 2 區(qū)員工 1 區(qū)）58圖 3-11 混合部署 安全策略（員工區(qū)）. 59圖 3-12 混合部署 -安全策略列表60圖 3-13 混合部署 域?qū)ο?0圖 3-1

9、4 混合部署 用戶對象（運維 1）61圖 3-15 混合部署 圖 3-16 混合部署 圖 3-17 混合部署 圖 3-18 混合部署 -用戶對象（員工 1）61） . 61）. 62認證策略（員工安全區(qū)認證策略（運維部認證策略列表62圖 4-1 HA 虛擬線主備64圖 4-2圖 4-3圖 4-4虛擬線主備 虛擬線主備 虛擬線主備 主墻接口配置65主墻虛擬線配置65主墻高可用性基本參數(shù)66圖 4-5虛擬線主備 主墻高可用性虛擬線參數(shù)67圖 4-6虛擬線主備 主墻安全策略68圖 4-7虛擬線主備 備墻中三個接口69圖 4-8虛擬線主備 備墻虛擬線參數(shù)配置69圖 4-9虛擬線主備 備墻高可用性基本參

10、數(shù)69圖 4-10 虛擬線主備 備墻虛擬線參數(shù)配置70圖 4-11 HA 路由主備部署71圖 4-12路由主備 主墻接口72圖 4-13路由主備主墻默認路由參數(shù)配置73圖 4-14路由主備主墻高可用性基本參數(shù)74圖 4-15路由主備主墻線路參數(shù)配置75圖 4-16路由主備主墻線路接口 G1/175圖 4-17路由主備主墻線路接口 G1/276圖 4-18路由主備主墻高可用性 VRRP 參數(shù)76圖 4-19路由主備主墻節(jié)點對象參數(shù)配置77圖 4-20路由主備主墻源 NAT 策略參數(shù)配置77圖 4-21路由主備主墻安全策略78圖 4-22路由主備備墻中三個接口79圖 4-23路由主備備墻墻默認路由

11、參數(shù)配置79圖 4-24路由主備備墻高可用性基本參數(shù)80圖 4-25路由主備備墻線路參數(shù)配置80圖 4-26路由主備備墻高可用性 VRRP 參數(shù)81圖 4-27 HA 路由主主部署82圖 4-28 路由主主 A 墻安全區(qū)83圖 4-29 路由主主 A 墻接口84圖 4-30 路由主主 A 墻靜態(tài)路由84圖 4-31 路由主主 A 墻高可用性基本參數(shù)85圖 4-32 路由主主 A 墻主圖 4-33 路由主主 A 墻從圖 4-34 路由主主 A 墻主圖 4-35 路由主主 A 墻從線路參數(shù)配置86線路參數(shù)配置86線路接口87線路接口87圖 4-36 路由主主 A 墻高可用性 VRRP 參數(shù)88圖

12、4-37 A 墻高可用性 OSPF 區(qū)域88路由主主圖 4-38 A 墻高可用性 OSPF 重分發(fā)89路由主主圖 4-39路由主主 A 墻高可用性啟用 OSPF89圖 4-40路由主主 A 墻節(jié)點對象參數(shù)配置90圖 4-41路由主主 A 墻源 NAT 策略90圖 4-42路由主主 A 墻安全策略列表91圖 4-43路由主主 B 墻安全區(qū)91圖 4-44路由主主 B 墻接口92圖 4-45路由主主 B 墻路由92圖 4-46路由主主 B 墻高可用性基本參數(shù)92圖 4-47路由主主 B 墻主線路參數(shù)配置93圖 4-48路由主主 B 墻從線路參數(shù)配置93圖 4-49路由主主 B 墻主線路接口94圖

13、4-50路由主主 B 墻從線路接口94圖 4-51路由主主 B 墻高可用性 VRRP 參數(shù)95圖 4-52路由主主 B 墻高可用性 OSPF 區(qū)域95圖 4-53路由主主 B 墻高可用性 OSPF 重分發(fā)96圖 4-54路由主主 B 墻高可用性啟用 OSPF96圖 5-1部署_ SSL客戶端到網(wǎng)關(guān)98圖 5-2 SSL客戶端到網(wǎng)關(guān)-安全區(qū)列表99圖 5-3 SSL客戶端到網(wǎng)關(guān)-接口配置列表99圖 5-4 SSL客戶端到網(wǎng)關(guān)-默認路由100圖 5-5 SSL客戶端到網(wǎng)關(guān)-回指路由100圖 5-6 SSL客戶端到網(wǎng)關(guān)-路由列表100圖 5-7 SSL圖 5-8 SSL圖 5-9 SSL圖 5-10

14、 SSL圖 5-11 SSL圖 5-12 SSL圖 5-13 SSL圖 5-14 SSL客戶端到網(wǎng)關(guān)-網(wǎng)絡(luò)對象-節(jié)點101客戶端到網(wǎng)關(guān)-安全策略101客戶端到網(wǎng)關(guān)-安全策略列表102客戶端到網(wǎng)關(guān)-用戶對象102客戶端到網(wǎng)關(guān)-用戶對象列表102客戶端到網(wǎng)關(guān)-新建鏈路103客戶端到網(wǎng)關(guān)-鏈路列表103客戶端到網(wǎng)關(guān)-發(fā)布資源104圖 5-15 SSL客戶端到網(wǎng)關(guān)-資源列表104圖 5-16 SSL客戶端到網(wǎng)關(guān)-. 105圖 5-17 SSL客戶端到網(wǎng)關(guān)-列表105圖 5-18部署_ SSL網(wǎng)關(guān)到網(wǎng)關(guān)106圖 5-19 SSL網(wǎng)關(guān)到網(wǎng)關(guān)-服務(wù)器NF-新建服務(wù)器107圖 5-20 SSL網(wǎng)關(guān)到網(wǎng)關(guān)-服務(wù)

15、器NF-自添路由107圖 5-21 SSL網(wǎng)關(guān)到網(wǎng)關(guān)-服務(wù)器NF-更新后的靜態(tài)路由表108圖 5-22 SSL網(wǎng)關(guān)到網(wǎng)關(guān)-服務(wù)器NF-服務(wù)器列表108圖 5-23 SSL網(wǎng)關(guān)到網(wǎng)關(guān)-客戶端NF-安全區(qū)列表108圖 5-24 SSL網(wǎng)關(guān)到網(wǎng)關(guān)-客戶端NF-接口配置列表109圖 5-25 SSL網(wǎng)關(guān)到網(wǎng)關(guān)-客戶端NF-默認路由109圖 5-26 SSL網(wǎng)關(guān)到網(wǎng)關(guān)-客戶端NF-路由列表110圖 5-27 SSL網(wǎng)關(guān)到網(wǎng)關(guān)-客戶端NF-安全策略110圖 5-28 SSL網(wǎng)關(guān)到網(wǎng)關(guān)-客戶端NF-安全策略列表111圖 5-29 SSL網(wǎng)關(guān)到網(wǎng)關(guān)-客戶端NF-新建客戶端112圖 5-30 SSL網(wǎng)關(guān)到網(wǎng)關(guān)-

16、客戶端NF-自添路由112圖 5-31 SSL網(wǎng)關(guān)到網(wǎng)關(guān)-客戶端NF-更新后的靜態(tài)路由表113圖 5-32 SSL網(wǎng)關(guān)到網(wǎng)關(guān)-客戶端NF-客戶端列表113圖 5-33 IPSec網(wǎng)關(guān)到網(wǎng)關(guān)-服務(wù)器NF-安全區(qū)列表114圖 5-34 IPSec網(wǎng)關(guān)到網(wǎng)關(guān)-服務(wù)器NF-接口列表114圖 5-35 IPSec網(wǎng)關(guān)到網(wǎng)關(guān)-服務(wù)器NF-安全策略115圖 5-36 IPSec網(wǎng)關(guān)到網(wǎng)關(guān)-服務(wù)器NF-安全策略列表115圖 5-37 IPSec網(wǎng)關(guān)到網(wǎng)關(guān)-服務(wù)器 NF -新建服務(wù)器116圖 5-38 IPSec網(wǎng)關(guān)到網(wǎng)關(guān)-服務(wù)器 NF -服務(wù)器列表116圖 5-39 IPSec圖 5-40 IPSec圖 5-

17、41 IPSec圖 5-42 IPSec圖 5-43 IPSec圖 5-44 IPSec圖 5-45 IPSec圖 5-46 IPSec網(wǎng)關(guān)到網(wǎng)關(guān)-服務(wù)器 NF 新建客戶端117網(wǎng)關(guān)到網(wǎng)關(guān)-服務(wù)器 NF 客戶端列表117網(wǎng)關(guān)到網(wǎng)關(guān)-客戶端NF-安全區(qū)列表118網(wǎng)關(guān)到網(wǎng)關(guān)-客戶端NF-接口列表118網(wǎng)關(guān)到網(wǎng)關(guān)-客戶端NF-安全策略119網(wǎng)關(guān)到網(wǎng)關(guān)-客戶端NF-安全策略列表119網(wǎng)關(guān)到網(wǎng)關(guān)-客戶端NF-新建客戶端120網(wǎng)關(guān)到網(wǎng)關(guān)-客戶端NF-客戶端列表120圖 5-47 IPSec網(wǎng)關(guān)到網(wǎng)關(guān)-隧道建立成功121圖 6-1用戶 AD 域認證部署123圖 6-2安裝向?qū)?24圖 6-3配置NsDAMa

18、inSvr 帳號125圖 6-4 AD 域配置器126圖 6-5 AD 域認證部署 接口配置列表127圖 6-6域?qū)ο?27圖 6-7用戶組對象127圖 6-8節(jié)點對象128圖 6-9源NAT 策略128圖 6-10 外部 AD 域控服務(wù)器128圖 6-11 配置導(dǎo)入用戶的組對應(yīng)關(guān)系129圖 6-12 用戶導(dǎo)入結(jié)果130圖 6-13 配置認證重定向地址130圖 6-14 配置用戶認證策略131圖 6-15 安全策略131圖 6-16用戶狀態(tài)132圖 6-17 用戶流量分析結(jié)果132圖 6-18 安全日志中的認證用戶信息133前言概述典型部署手冊主要介紹綠盟科技下一代（NSFOCUS Next-

19、Generation Firewall，以下簡稱 NF）的各種典型部署方式以及部署的詳細步驟。通過閱讀本文檔，用戶可以了解 NF 在實際應(yīng)用環(huán)境中的部署方法。讀者對象本部署手冊適用于具有基本網(wǎng)絡(luò)知識、期望了解 NF 產(chǎn)品主要部署方式的 NF 操作員。通過閱讀本文檔，可以獨立完成以下工作：根據(jù)實際網(wǎng)絡(luò)環(huán)境合理部署 NF配置高可用性配置虛擬專網(wǎng)內(nèi)容簡介格式約定獲得幫助如需獲取相關(guān)資料，請綠盟科技：http。符號說明粗體字菜單、命令和關(guān)鍵字斜體字文檔名、變量對描述內(nèi)容的補充和信息使用設(shè)備時的技巧和建議需要特別注意的事項和重要信息有可能造成人身的警告信息【】按鈕名稱的表示方式A B菜單項選擇的表示方式

20、章節(jié)概述1 透明部署介紹NF 典型的透明部署方式。2 路由部署介紹NF 典型的路由部署方式。3 混合部署介紹NF 的混合部署方式。4 HA 部署介紹NF 典型的高可用性部署方式。5部署介紹NF 的典型部署方式。6 用戶 AD 域認證部署介紹NF 的用戶AD 域認證部署方式。A 出廠參數(shù)介紹NF 出廠默認參數(shù)配置。B 安全模板介紹NF 安全模板配置方法。如需獲取更詳盡的綠盟科技們聯(lián)系：專業(yè)服務(wù)信息、商務(wù)信息，您可通過如下方式與我客戶服務(wù)：（和固話均可撥打）非工作時間服務(wù)： HYPERLINK http:/s/ http:/s郵箱：s1透明部署NF 的透明部署方式包括點到點虛擬線部署方式、多點二層

21、接入部署方式、Trunk 穿越部署方式。1.1 點到點虛擬線部署虛擬線模式，即可以將 NF 看做一根網(wǎng)線使用。一條虛擬線包含 2 個工作接口（一組 IN、OUT 接口）。NF 以虛擬線模式接入鏈路，可以保護內(nèi)網(wǎng)用戶不受來自ernet 的。應(yīng)用場景如圖 1-1 所示，內(nèi)網(wǎng)用戶通過網(wǎng)關(guān)路由器過配置 NF，實現(xiàn)以下需求：，NF 以虛擬線模式接入鏈路?，F(xiàn)通1.2.的只允許 IP 范圍 /240/24 的內(nèi)網(wǎng)用戶的 WEB 應(yīng)用。開啟 URL 過濾，不允許內(nèi)網(wǎng)用戶。其中將分類為搜索引擎與門戶URL 分類為搜索引擎與門戶和社交網(wǎng)絡(luò)中的和人人設(shè)置為 URL 白，分類中的優(yōu)酷設(shè)置為。同時進行安全防護日志。圖1

22、-1 點到點虛擬線模式部署拓撲圖配置思路配置接口和虛擬線。配置網(wǎng)絡(luò)對象、安全模板和安全策略。1.2.，開啟 URL 過濾，同時進行安全防護日志允許內(nèi)網(wǎng)用戶3.應(yīng)用配置。配置步驟以操作員 weboper 登錄，進行如下配置：步驟 1 配置接口和虛擬線。a.選擇菜單 網(wǎng)絡(luò) 接口 接口，分別編輯接口 G1/1 和 G1/2，配置如圖 1-2 所示。圖1-2 點到點虛擬線 - 編輯接口b.選擇菜單 網(wǎng)絡(luò) 虛擬線 虛擬線，新建名稱為 direct 的虛擬線，配置如圖 1-3所示。接口鏈路狀態(tài)同步選擇是，則虛擬線中一個接口 down 時，另外一個接口也會 down。圖1-3 點到點虛擬線 - 新建虛擬線步

23、驟 2 配置網(wǎng)絡(luò)對象、安全模板和安全策略。a.選擇菜單 對象 網(wǎng)絡(luò) IP 池，新建名稱為內(nèi)網(wǎng)用戶的 IP 池，配置如圖 1-4 所示。圖1-4 點到點虛擬線 - 新建 IP 池b.選擇菜單 對象 安全模板，新建 URL 過濾安全模板，新建安全模板的詳細步驟請參見 B 安全模板。c.選擇菜單 策略 安全策略 安全策略，新建內(nèi)網(wǎng)用戶置如圖 1-5 所示。其中，應(yīng)用處勾選需要的 Web 應(yīng)用，服務(wù)處勾選 httpt、httpst、dnst和 dnsu。的安全策略，配圖1-5 點到點虛擬線 - 新建安全策略步驟 3 應(yīng)用配置。單擊頁面右上方的，使配置生效。選擇菜單 系統(tǒng) 系統(tǒng)控制 系統(tǒng)控制，單擊【應(yīng)用

24、配置】按鈕，使配置生效。-結(jié)束1.2 多點二層接入部署二層 Acs 模式，即將 NF 作為二層設(shè)備使用，基于目的 MAC 地址轉(zhuǎn)發(fā)以太網(wǎng)幀。NF以二層 Acs 模式接入鏈路，既不影響現(xiàn)有網(wǎng)絡(luò)環(huán)境，又可以保護內(nèi)網(wǎng)用戶不受來自ernet 的。應(yīng)用場景如圖 1-6 所示，內(nèi)網(wǎng)不同區(qū)域用戶屬于同一 VLAN，彼此間可以互通，且通過網(wǎng)關(guān)路由器，NF 以二層 Acs 模式接入鏈路。現(xiàn)通過配置 NF，實現(xiàn)以下需求：1.內(nèi)網(wǎng)段 1 用戶 /240/24 與內(nèi)網(wǎng)段 2 用戶 0可以互相。2.內(nèi)網(wǎng)段 1 和網(wǎng)段 2 用戶允許。3.開啟 URL 過濾，不允許內(nèi)網(wǎng)段 1 和網(wǎng)段 2 用戶URL 分類為搜索引擎與門戶網(wǎng)

25、站和社交網(wǎng)絡(luò)的。其中將分類為搜索引擎與門戶中的和人人設(shè)置為。URL 白，分類中的優(yōu)酷設(shè)置為，同時進行安全防護日志圖1-6 多點二層接入模式部署拓撲圖配置思路1.2.配置接口。配置網(wǎng)絡(luò)對象、安全模板及安全策略。 允許內(nèi)網(wǎng)段 1 和網(wǎng)段 2 用戶互訪，且都可以 開啟 URL 過濾，同時進行安全防護日志應(yīng)用配置。3.配置步驟以操作員 weboper 登錄，進行如下配置：配置接口。步驟 1選擇菜單 網(wǎng)絡(luò) 接口 接口，分別編輯接口 G1/1、G1/2 和 G1/3，模式為 ac圖 1-7 所示。s，如VLAN ID 的取值范圍是 14094，可任意配置，只要保證三個接口的 VLAN 值相同即可。圖1-7

26、 多點二層接入 - 編輯接口步驟 2配置網(wǎng)絡(luò)對象、安全模板及安全策略。a.選擇菜單 對象 網(wǎng)絡(luò) IP 池，分別新建名稱為內(nèi)網(wǎng)段 1 和內(nèi)網(wǎng)段 2 的 IP 池，配置如圖 1-8 所示。圖1-8 多點二層接入 新建 IP 池a.選擇菜單 對象 安全模板，新建 URL 過濾安全模板，新建安全模板的詳細步驟請參見 B 安全模板。配置安全策略。選擇菜單 策略 安全策略 安全策略，新建三條安全策略，分別滿足內(nèi)網(wǎng)段 1b.內(nèi)網(wǎng)段 2、內(nèi)網(wǎng)段 2內(nèi)網(wǎng)段 1、內(nèi)網(wǎng)段 1 和內(nèi)網(wǎng)段 2 用戶，配置分別如圖 1-9、圖 1-10 和圖 1-11 所示。其中，內(nèi)網(wǎng)段 1 和內(nèi)網(wǎng)段 2 用戶策略的應(yīng)用處勾選需要的 W

27、eb 應(yīng)用，服務(wù)處勾選 httpt、httpst、dnst和 dnsu。圖1-9 多點二層接入 - 內(nèi)網(wǎng)段 1內(nèi)網(wǎng)段 2圖1-10 多點二層接入 - 內(nèi)網(wǎng)段 2內(nèi)網(wǎng)段 1圖1-11 多點二層接入 - 內(nèi)網(wǎng)段 1 和內(nèi)網(wǎng)段 2 用戶配置完成的安全策略列表如圖 1-12 所示。圖1-12 配置完成的安全策略列表步驟 3 應(yīng)用配置。單擊頁面右上方的，使配置生效。選擇菜單 系統(tǒng) 系統(tǒng)控制 系統(tǒng)控制，單擊【應(yīng)用配置】按鈕，使配置生效。-結(jié)束1.3 Trunk 穿越部署NF 以二層 Trunk 模式接入交換機間，既不影響現(xiàn)有交換機間 Trunk 連接環(huán)境，也可以保護內(nèi)網(wǎng)的安全性。應(yīng)用場景如圖 1-13 所

28、示，不同 VLAN 通過交換機間 Trunk 連接，實現(xiàn)同一 VLAN 跨區(qū)域互訪，不同 VLAN 不能互相需求：，NF 以二層 Trunk 模式接入鏈路?，F(xiàn)通過配置 NF，實現(xiàn)以下1.VLAN2 的內(nèi)網(wǎng)段 1 用戶 /240/24 只允許通過 FTP 方式網(wǎng)服務(wù)器 1 54。其內(nèi)2.開啟檢測和防護，同時進行安全防護日志。圖1-13 Trunk 穿越模式部署拓撲圖配置思路1.2.配置接口。配置網(wǎng)絡(luò)對象、安全模板及安全策略。 允許內(nèi)網(wǎng)段 1 用戶通過 FTP 方式其內(nèi)網(wǎng)服務(wù)器 1。 開啟應(yīng)用配置。檢測和防護，同時進行安全防護日志。3.配置步驟以操作員 weboper 登錄，進行如下配置：配置接口

29、。步驟 1選擇菜單 網(wǎng)絡(luò) 接口 接口，分別編輯接口G1/1 和G1/2，模式為trunk，支持的VLAN為 2,3，如圖 1-14 所示。接口的默認 VLAN ID 必須與相連交換機 Trunk 口上配置的 native id 相同，否則可能會出現(xiàn)網(wǎng)絡(luò)不通的情況。圖1-14 Trunk 穿越 編輯接口步驟 2 配置網(wǎng)絡(luò)對象、安全模板及安全策略。a.選擇菜單 對象 網(wǎng)絡(luò) IP 池/節(jié)點，分別新建 IP 池和節(jié)點對象，配置如圖 1-15和圖 1-16 所示。 IP 池對象：內(nèi)網(wǎng)段 1 節(jié)點對象：內(nèi)網(wǎng)服務(wù)器 1圖1-15 Trunk 穿越 新建 IP 池圖1-16 Trunk 穿越 新建節(jié)點b.選擇

30、菜單 對象 安全模板，分別新建的詳細步驟請參見 B 安全模板。檢測和防安全模板，新建安全模板c.選擇菜單 策略 安全策略 安全策略，新建安全策略，配置如圖 1-17 所示。其中，應(yīng)用與服務(wù)處勾選 FTP 相關(guān)內(nèi)容。圖1-17 Trunk 穿越 安全策略步驟 3 應(yīng)用配置。單擊頁面右上方的，使配置生效。選擇菜單 系統(tǒng) 系統(tǒng)控制 系統(tǒng)控制，單擊【應(yīng)用配置】按鈕，使配置生效。-結(jié)束2路由部署NF 的路由部署方式包括邊界網(wǎng)關(guān)部署方式、IPS 鏈路負載均衡部署方式、非對稱部署方式。2.1 邊界網(wǎng)關(guān)應(yīng)用場景如圖 2-1 所示，NF 部署在網(wǎng)絡(luò)邊界，處于、內(nèi)網(wǎng)和 DMZ 區(qū)交界處，以三層路由模式接入網(wǎng)絡(luò)中。

31、現(xiàn)通過配置 NF，實現(xiàn)以下需求：1.允許通過用戶認證的內(nèi)網(wǎng)用戶 zhangsan 和zhangwu（用戶同用戶名）Web 應(yīng)用，所有內(nèi)網(wǎng)用戶都通過源 NAT 策略進行的 Web 應(yīng)用。2.DMZ 區(qū)的 53 和 54 對外提供 Web 服務(wù)，并進行服務(wù)器負載均衡（隨機）。內(nèi)網(wǎng)和對所有用戶均可通過公網(wǎng)地址DMZ 區(qū)的 Web 服務(wù)。進行安全防護和用戶日志。圖2-1 路由部署_邊界網(wǎng)關(guān)配置思路1.2.配置接口以及默認路由。配置網(wǎng)絡(luò)對象以及 NAT 策略。 配置源 NAT 策略，在內(nèi)網(wǎng)用戶口 G1/3 的 IP 地址。時，將子網(wǎng) /24 轉(zhuǎn)換為接 配置目的 NAT 策略，將 DMZ 區(qū) 53 和 5

32、4 的Web 服務(wù)做外網(wǎng)，并做服務(wù)器負載均衡（隨機），的公網(wǎng) IP 地址為 5。 配置目的 NAT 策略，允許內(nèi)網(wǎng)用戶通過公網(wǎng)地址配置安全模板以及安全策略。 配置安全策略，允許內(nèi)網(wǎng)用戶 zhangsan 和zhangwuDMZ 區(qū) Web 應(yīng)用。3.Web 應(yīng)用，會話開始和結(jié)束的日志。同時，開啟 IPS、URL 過濾、內(nèi)容過濾以及防護。 配置安全策略，允許內(nèi)網(wǎng)和的任意用戶DMZ 區(qū) Web 應(yīng)用，會話開始和結(jié)束的日志。同時，開啟 IPS、URL 過濾、內(nèi)容過濾以及防護。4.配置用戶對象以及用戶認證策略，對來自子網(wǎng) /24 的進行用戶身份認證。5.應(yīng)用配置，使配置生效。配置步驟以操作員 webo

33、per 登錄，進行如下配置：步驟 1配置接口以及默認路由。a.選擇菜單 網(wǎng)絡(luò) 接口 接口，分別配置接口 G1/1、G1/2 以及 G1/3。三個接口的類型均為三層， IP 地址依次 為 /24 、 /24 以及 /24，所屬安全區(qū)依次為ranet、DMZ 以及 Extranet。圖2-2 邊界網(wǎng)關(guān)-接口配置列表b.選擇菜單 網(wǎng)絡(luò) 路由 靜態(tài)路由，添加一條默認路由（假設(shè) G1/3 接口的下一跳為 00），如圖 2-3 所示。圖2-3 邊界網(wǎng)關(guān)-默認路由步驟 2配置網(wǎng)絡(luò)對象以及 NAT 策略。a.選擇菜單 對象 網(wǎng)絡(luò) 子網(wǎng)，新建名稱為“內(nèi)網(wǎng)”的子網(wǎng)對象，如圖 2-4 所示。由于靜態(tài)路由的缺省管理距

34、離為 1，為了保證其他靜態(tài)路由的優(yōu)先級，默認路由的管理距離建議設(shè)置為大于 1 的整數(shù)。圖2-4 邊界網(wǎng)關(guān)-網(wǎng)絡(luò)對象-子網(wǎng)b.參見步驟 a 分別創(chuàng)建“出口”、“DNAT”以及“253-254”對象。其中，“出口”、“DNAT”為節(jié)點類型，“253-254”為 IP 池類型。圖2-5 邊界網(wǎng)關(guān)-網(wǎng)絡(luò)對象-節(jié)點 1圖2-6 邊界網(wǎng)關(guān)-網(wǎng)絡(luò)對象-節(jié)點 2圖2-7 邊界網(wǎng)關(guān)-網(wǎng)絡(luò)對象-IP 池c.選擇菜單 策略 NAT 源 NAT，新建源 NAT 策略，如圖 2-8 所示。圖2-8 邊界網(wǎng)關(guān)-SNATd.選擇菜單 策略 NAT 目的 NAT，新建兩條目的 NAT 策略，分別實現(xiàn)用戶DMZ 區(qū)的 Web

35、服務(wù)和內(nèi)網(wǎng)用戶DMZ 區(qū)的 Web 服務(wù)。圖2-9 邊界網(wǎng)關(guān)-DNAT-DMZ圖2-10 邊界網(wǎng)關(guān)-DNAT-內(nèi)網(wǎng)用戶DMZ圖2-11 邊界網(wǎng)關(guān)-DNAT 列表步驟 3 配置安全模板以及安全策略。a.選擇菜單 對象 安全模板，分別新建策略。檢測、URL 過濾、防和內(nèi)容過濾新建安全模板的詳細步驟請參見 B 安全模板。選擇菜單 策略 安全策略 安全策略，新建兩條安全策略。b.圖2-12 邊界網(wǎng)關(guān)-安全策略-圖2-13 邊界網(wǎng)關(guān)-安全策略-DMZ 區(qū)圖2-14 邊界網(wǎng)關(guān)-安全策略列表步驟 4配置用戶對象以及用戶認證策略。a.選擇菜單 對象 用戶 用戶，新建用戶 zhangsan 和 zhangwu。

36、圖2-15 邊界網(wǎng)關(guān)-用戶列表b.選擇菜單 策略 用戶認證認證策略，新建用戶認證策略，如圖 2-16 所示。圖2-16 邊界網(wǎng)關(guān)-認證策略步驟 5應(yīng)用配置。單擊頁面右上方的選擇菜單 系統(tǒng) 系統(tǒng)控制，使配置生效。系統(tǒng)控制，單擊【應(yīng)用配置】按鈕，使配置生效。-結(jié)束兩條安全策略中所勾選的服務(wù)均為：dnst、dnsu、httpt以及httpst。2.2 ISP 鏈路負載均衡應(yīng)用場景如圖 2-17 所示，NF 部署在網(wǎng)絡(luò)邊界，處于、內(nèi)網(wǎng)和 DMZ 區(qū)交界處，以三層路由模式接入網(wǎng)絡(luò)中。其中連接和電信兩個 ISP 服務(wù)商，進行雙鏈路的負載均衡?，F(xiàn)通過配置 NF，實現(xiàn)以下需求：1.允許內(nèi)網(wǎng)用戶Web 應(yīng)用，所

37、有內(nèi)網(wǎng)用戶都通過源 NAT 策略進行的Web 應(yīng)用。2.在 NF 的兩個出口 G1/3 和 G1/4 進行和電信兩個 ISP 鏈路的負載均衡，當(dāng)或電信其中一條鏈路故障，其鏈路流量自動切換到另外一條鏈路。.DMZ 區(qū)的 54 對提供 Web 服務(wù)。用戶均可通過公網(wǎng)地址DMZ 區(qū)的 Web 服務(wù)。內(nèi)網(wǎng)和對所有進行安全防護和用戶日志。啟用反向路由，保證從電信發(fā)起的對 DMZ 區(qū)的包，應(yīng)答包依然從電接口出去?？诔鋈?；從發(fā)起的對 DMZ 區(qū)的包，應(yīng)答包依然從圖2-17 路由部署_ISP 鏈路負載均衡配置思路配置安全區(qū)、接口、ISP 路由及默認路由，并且開啟反向路由功能。配置網(wǎng)絡(luò)對象以及 NAT 策略。

38、配置源 NAT 策略，內(nèi)網(wǎng)用戶時，分別將子網(wǎng) /24 轉(zhuǎn)換為接口 G1/3（電信出口）和接口 G1/4（出口）的 IP 地址。 配置目的 NAT 策略，將 DMZ 區(qū) 10.10.10. 254 的 Web 服務(wù)做，的公網(wǎng) IP 地址分別為 5（）和 5（電信）。 配置目的 NAT 策略，允許內(nèi)網(wǎng)用戶通過兩個公網(wǎng)地址（區(qū) Web 應(yīng)用。3.配置安全模板以及安全策略。和電問 DMZ 配置安全策略，允許所有內(nèi)網(wǎng)用戶Web 應(yīng)用，會話開始和結(jié)束的日志。同時，開啟 IPS、URL 過濾、內(nèi)容過濾以及防護。 配置安全策略，允許內(nèi)網(wǎng)和的任意用戶DMZ 區(qū) Web 應(yīng)用，會話開始和結(jié)束的日志。同時，開啟 I

39、PS、URL 過濾、內(nèi)容過濾以及4.應(yīng)用配置。防護。配置步驟以操作員 weboper 登錄，進行如下配置：步驟 1配置安全區(qū)、接口、ISP 路由以及默認路由。a.選擇菜單 網(wǎng)絡(luò) 安全區(qū) 安全區(qū)，新建兩個 layer3 安全區(qū)“”和“”，如圖 2-18 所示。圖2-18 ISP 鏈路負載均衡-安全區(qū)列表b.選擇菜單 網(wǎng)絡(luò) 接口 接口，分別配置接口 G1/1、G1/2、G1/3 以及 G1/4。四個接口的類型均為三層， IP 地址依次為 /24 、/24 、/24 以及 /24 ， 所屬安全區(qū)依次為ranet 、DMZ 、以及。圖2-19 ISP 鏈路負載均衡-接口配置列表c.選擇菜單 網(wǎng)絡(luò) 路由

40、 ISP 路由，添加兩條 ISP 路由（假設(shè) G1/3 接口的下一跳為 00，G1/4 接口的下一跳為 00）。配置如下圖所示：圖2-20 ISP 鏈路負載均衡-ISP 路由-電信圖2-21 ISP 鏈路負載均衡-ISP 路由-圖2-22 ISP 鏈路負載均衡-ISP 路由列表d.選擇菜單 網(wǎng)絡(luò) 路由 靜態(tài)路由，配置兩條默認路由，當(dāng)鏈路故障，通過默認路由將其鏈路流量切換到另外一條鏈路?；螂娦牌渲幸粭l圖2-23 ISP 鏈路負載均衡 默認路由（電信）圖2-24 ISP 鏈路負載均衡 默認路由（）圖2-25 ISP 鏈路負載均衡 默認路由列表e.選擇菜單 網(wǎng)絡(luò) 路由 反向路由，開啟反向路由功能。圖

41、2-26 ISP 鏈路負載均衡-反向路由步驟 2 配置網(wǎng)絡(luò)對象以及 NAT 策略a.選擇菜單 對象 網(wǎng)絡(luò) 子網(wǎng)，新建名稱為“內(nèi)網(wǎng)”的網(wǎng)絡(luò)對象，如圖 2-27 所示。圖2-27 ISP 鏈路負載均衡-網(wǎng)絡(luò)對象-子網(wǎng)b.分別創(chuàng)建“DMZ-Web”、“DNAT”、“DNAT”、“外”五個節(jié)點類型的網(wǎng)絡(luò)對象，如圖 2-28網(wǎng)出口所示。”以及“出口圖2-28 ISP 鏈路負載均衡-網(wǎng)絡(luò)對象-節(jié)點列表c.選擇菜單 策略 NAT 源 NAT，新建兩條源 NAT 策略。圖2-29 ISP 鏈路負載均衡-SNAT-電信圖2-30 ISP 鏈路負載均衡-SNAT-圖2-31 ISP 鏈路負載均衡-SNAT 列表d

42、.選擇菜單 策略 NAT 目的 NAT，新建四條目的 NAT 策略。配置如下圖所示：圖2-32 ISP 鏈路負載均衡-DNAT-DMZ-電信圖 2-32 所示的目的 NAT 策略實現(xiàn)了用戶通過電信鏈路DMZ 區(qū)的 Web服務(wù)。圖2-33 ISP 鏈路負載均衡-DNAT-DMZ-圖2-34 ISP 鏈路負載均衡-DNAT-DMZ 內(nèi)網(wǎng)-電信圖 2-33 所示的目的 NAT 策略實現(xiàn)了用戶通過鏈路DMZ 區(qū)的 Web服務(wù)。圖2-35 ISP 鏈路負載均衡-DNAT-DMZ 內(nèi)網(wǎng)-圖2-36 ISP 鏈路負載均衡-DNAT 列表步驟 3 配置安全模板以及安全策略a.安全模板的配置請參見 B 安全模板

43、。圖 2-35 所示的目的 NAT 策略實現(xiàn)了內(nèi)網(wǎng)用戶通過鏈路DMZ 區(qū)的 Web服務(wù)。圖 2-34 所示的目的 NAT 策略實現(xiàn)了內(nèi)網(wǎng)用戶通過電信鏈路DMZ 區(qū)的 Web服務(wù)。b.選擇菜單 策略 安全策略 安全策略，新建三條安全策略。配置如下圖所示：圖2-37 ISP 鏈路負載均衡-安全策略-電信圖2-38 ISP 鏈路負載均衡-安全策略-圖2-39 ISP 鏈路負載均衡-安全策略-DMZ圖2-40 ISP 鏈路負載均衡-安全策略列表步驟 4 應(yīng)用配置。單擊頁面右上方的，使配置生效。選擇菜單 系統(tǒng) 系統(tǒng)控制 系統(tǒng)控制，單擊【應(yīng)用配置】按鈕，使配置生效。-結(jié)束2.3 非對稱路由在一般模式中，如

44、果連接請求始發(fā)于一臺設(shè)備，連接應(yīng)答卻通過另一臺設(shè)備返回，那么這個數(shù)據(jù)包就會被丟棄，也不能進行安全檢測。而非對稱路由支持功能可使數(shù)據(jù)包在這種情況下不會被丟棄，并且可以進行安全檢測。非對稱路由支持是指當(dāng)設(shè)備（啟動非對稱路由支持功能）收到一個數(shù)據(jù)包，卻沒有這個數(shù)據(jù)包的連接信息時，它會自動查找非對稱路由組中其他設(shè)備的連接信息，從而判斷是否為數(shù)據(jù)包提供轉(zhuǎn)發(fā)功能，并將數(shù)據(jù)包交給相關(guān)設(shè)備進行轉(zhuǎn)發(fā)。只有點到點虛擬線部署的兩臺 NF 才能配置非對稱路由支持功能。且在配置兩臺 NF 的虛擬線時，保證 NF 間相應(yīng)的 IN 口和 OUT 口的方向一致。應(yīng)用場景如圖 2-41 所示，內(nèi)網(wǎng)用戶 A/B 通過不同路由器電

45、信網(wǎng)絡(luò)或網(wǎng)絡(luò)，NF 以虛擬線模式接入鏈路，兩臺 NF 間連接流量數(shù)據(jù)線。現(xiàn)通過配置 NF，實現(xiàn)以下需求：上述安全策略中所勾選的服務(wù)均為：dnst、dnsu、httpt以及httpst。1.戶2.允許 IP 范圍 /240/24 及 /240/24 的內(nèi)網(wǎng)用Web 應(yīng)用。在不改變數(shù)據(jù)包原有的基礎(chǔ)上，對非對稱路由數(shù)據(jù)包進行轉(zhuǎn)發(fā)。圖2-41 非對稱路由模式部署拓撲圖配置思路NF1 配置1.2.配置 NF1 的接口與虛擬線。配置 NF1 的網(wǎng)絡(luò)對象和安全策略。允許內(nèi)網(wǎng)用戶 AWeb 應(yīng)用。3.配置 NF1 的非對稱路由支持。將 NF1 作為主機工作在主機處理模式下。應(yīng)用 NF1 配置。4.NF2 配置

46、配置 NF2 的接口與虛擬線。配置 NF2 的網(wǎng)絡(luò)對象和安全策略。允許內(nèi)網(wǎng)用戶 BWeb 應(yīng)用。配置 NF2 的非對稱路由支持。將 NF2 作為從機工作在主機處理模式下。應(yīng)用 NF2 配置。配置步驟以操作員 weboper 登錄，進行如下配置：NF1 配置步驟 1配置 NF1 接口與虛擬線。a.選擇菜單 網(wǎng)絡(luò) 接口 接口，分別編輯接口 G1/1、G1/2 和 G1/3，如圖 2-42 所示。圖2-42 NF1 的非對稱路由 - 編輯接口b.選擇菜單 網(wǎng)絡(luò) 虛擬線 虛擬線，新建名稱為 Vwire 的虛擬線，配置如圖 2-43所示。圖2-43 NF1 的非對稱路由 - 新建虛擬線步驟 2配置 NF

47、1 網(wǎng)絡(luò)對象和安全策略。a.選擇菜單 對象 網(wǎng)絡(luò) IP 池，新建名稱為內(nèi)網(wǎng)用戶 A 的 IP 池，配置如圖 2-44所示。圖2-44 NF1 的非對稱路由 - 新建 IP 池b.選擇菜單 策略 安全策略 安全策略，新建內(nèi)網(wǎng)用戶 A配置如圖 2-45 所示。其中，應(yīng)用處勾選需要的 Web 應(yīng)用，服務(wù)處勾選 httpt、httpst、dnst和 dnsu。的安全策略，圖2-45 NF1 的非對稱路由 - 新建安全策略步驟 3 配置 NF1 非對稱路由支持。選擇菜單 網(wǎng)絡(luò) 高可用性 非對稱路由支持，配置 NF1 的非對稱路由支持，配置如圖 2-46 所示。圖2-46 NF1 的非對稱路由支持步驟 4

48、應(yīng)用配置。單擊頁面右上方的選擇菜單 系統(tǒng) 系統(tǒng)控制，使配置生效。 系統(tǒng)控制，單擊【應(yīng)用配置】按鈕，使配置生效。NF2 配置步驟 1配置 NF2 接口與虛擬線。a.選擇菜單 網(wǎng)絡(luò) 接口 接口，分別編輯接口 G1/1、G1/2 和 G1/3，如圖 2-47 所示。圖2-47 NF2 的非對稱路由 - 編輯接口b.選擇菜單 網(wǎng)絡(luò) 虛擬線 虛擬線，新建名稱為 Vwire 的虛擬線，配置如圖 2-48所示。圖2-48 NF2 的非對稱路由 - 新建虛擬線步驟 2配置 NF2 網(wǎng)絡(luò)對象和安全策略。a.選擇菜單 對象 網(wǎng)絡(luò) IP 池，新建名稱為內(nèi)網(wǎng)用戶 B 的 IP 池，配置如圖 2-49所示。圖2-49

49、NF2 的非對稱路由 - 新建 IP 池b.選擇菜單 策略 安全策略 安全策略，新建內(nèi)網(wǎng)用戶 B配置如圖 2-50 所示。其中，應(yīng)用處勾選需要的 Web 應(yīng)用，服務(wù)處勾選 httpt、httpst、dnst和 dnsu。的安全策略，圖2-50 NF2 的非對稱路由 - 新建安全策略步驟 3 配置 NF2 非對稱路由支持。選擇菜單 網(wǎng)絡(luò) 高可用性 非對稱路由支持，配置 NF2 的非對稱路由支持，配置如圖 2-51 所示。圖2-51 NF2 的非對稱路由支持步驟 4 應(yīng)用配置。單擊頁面右上方的選擇菜單 系統(tǒng) 系統(tǒng)控制，使配置生效。 系統(tǒng)控制，單擊【應(yīng)用配置】按鈕，使配置生效。-結(jié)束3混合部署混合部

50、署是透明部署和路由部署兩種部署方式的混合。即 NF 設(shè)備的某些接口工作在二層，實現(xiàn)數(shù)據(jù)轉(zhuǎn)發(fā)功能；同時某些接口工作在三層，實現(xiàn)數(shù)據(jù)路由功能。應(yīng)用場景如圖 3-1 所示，NF 部署在網(wǎng)絡(luò)邊界，處于、內(nèi)網(wǎng)和 DMZ 區(qū)交界處。G1/1、G1/2和 G1/3 為三層接口，且 G1/1 下配置子接口形成內(nèi)網(wǎng)單臂路由區(qū)，實現(xiàn)內(nèi)網(wǎng)單臂路由區(qū)、區(qū)、DMZ 區(qū)的三層路由交換；G1/4 和 G2/1 為二層接口，但屬于同一 VLAN，實現(xiàn)員工 1 區(qū)和員工 2 區(qū)之間的以及 VLAN 與其他區(qū)域的數(shù)據(jù)路由。要求：1.運維部（VLAN 10，IP 范圍 /24）通過單臂路由服務(wù)器（VLAN20，IP 范圍 /24）

51、，但只允許net 應(yīng)用；并配置用戶認證策略，要求運維部對進行時需進行登陸認證。2.員工 1 區(qū)和員工 2 區(qū)通過 2 層接入，彼此間可以互相，并且可以對服務(wù)器進行應(yīng)用。3.4.5.員工 1 區(qū)和員工 2 區(qū)的用戶可以DMZ 區(qū)將 IP 地址 Web 應(yīng)用，但需要進行用戶認證。，對提供 Web 服務(wù)。于所有都必須進行一定程度的安全防護和用戶日志。圖3-1 混合（二/三層）部署配置思路1.2.配置安全區(qū)、接口。配置網(wǎng)絡(luò)對象及 NAT 策略。 配置源 NAT 策略，允許員工安全區(qū)。 配置目的 NAT 策略，將 DMZ 區(qū) IP 地址 配置安全模板及安全策略。到。3. 運維部對服務(wù)器的net 應(yīng)用，并

52、防護。日志。同時，開啟 IPS、URL 過濾、內(nèi)容過濾以及 員工 1 區(qū)和員工 2 區(qū)互相安全防護。，日志。同時，開啟內(nèi)容過濾和防日志。同時，開啟 IPS、URL 過濾、內(nèi) 員工區(qū)容過濾以及服務(wù)器區(qū)，并防護。4.配置用戶對象及認證策略。 運維部對 員工安全區(qū)應(yīng)用配置。進行時進行用戶認證。時進行用戶認證。5.配置步驟以操作員 weboper 登錄，進行如下配置：配置安全區(qū)和接口。步驟 1a.選擇菜單 網(wǎng)絡(luò) 安全區(qū)，分別配置二、三層混合部署需要用到的 layer2 和 layer3兩種類型的安全區(qū)。layer2 安全區(qū)：員工 1 區(qū)和員工 2 區(qū)layer3 安全區(qū)： 員工安全區(qū)（包括員工 1 區(qū)

53、和員工 2 區(qū)）管理安全區(qū)（包括運維部和服務(wù)區(qū)） DMZ 區(qū)（使用系統(tǒng) DMZ 區(qū)）區(qū)（使用系統(tǒng) Extranet 區(qū)）圖3-2 混合部署 安全區(qū)配置列表b.選擇菜單 網(wǎng)絡(luò) 接口 接口，分別配置二、三層混合部署需要用到 4 種類型接口。 三層接口：G1/1、G1/2、G1/3 三層子接口：運維部和服務(wù)區(qū)采用單臂路由模式與 NF 設(shè)備連接，故 G1/1下還需要配置兩個三層子接口 G1/1.10 和 G1/1.20DMZ 區(qū)和區(qū)分別使用系統(tǒng)預(yù)定義的安全區(qū) DMZ 和Extranet 即可。 二層接口：G1/4、G2/1 VLAN 接口：員工 1 區(qū)和員工 2 區(qū)通過該 VLAN 接口與路由、區(qū)進行

54、數(shù)據(jù)圖3-3 混合部署 接口配置列表步驟 2 配置網(wǎng)絡(luò)對象及 NAT 策略。a.選擇菜單 對象 網(wǎng)絡(luò) 子網(wǎng)/節(jié)點，分別配置二、三層混合部署需要用到的子網(wǎng)對象和節(jié)點對象。 子網(wǎng)對像：運維部和服務(wù)器 節(jié)點對象：SNAT、DMZ 服務(wù)器和 DMZ 服務(wù)器IP接口 G1/1 下將配置兩個三層子接口分別連接運維部和 服務(wù)區(qū)，進行數(shù)據(jù)路由時需要的是兩個三層子接口的 IP 地址，故 G1/1 的 IP 地址設(shè)置為 /0 即可。三層子接口名稱 名規(guī)則為“父接口.VLAN ID”。因為接口 G1/4 和 G2/1 將作為一個 VLAN 與 服務(wù)區(qū)、 區(qū)進行數(shù)據(jù)路由，故配置相同的 VLAN ID 號，使其屬于同一

55、個 VLAN。VLAN 接口名稱 名規(guī)則為“VLAN.VLAN ID”。圖3-4 混合部署 子網(wǎng)對象圖3-5 混合部署 節(jié)點對象b.選擇菜單 策略 NAT 。源 NAT，新建一條源 NAT 策略，使員工安全區(qū)能夠圖3-6 混合部署 源NAT 策略c.選擇菜單 策略 NAT 目的 NAT，新建一條目的 NAT 策略，將 DMZ 區(qū)。到圖3-7 混合部署 目的 NAT 策略步驟 3 配置安全模板及安全策略。a.選擇菜單 對象 安全模板，分別新建策略。檢測、URL 過濾、防和內(nèi)容過濾新建安全模板的詳細步驟請參見 B 安全模板。選擇菜單 策略 安全策略 安全策略，新建四條安全策略，分別滿足運維部訪b.

56、問服務(wù)器、員工 1 區(qū)服務(wù)器。員工 2 區(qū)、員工 2 區(qū)員工 1 區(qū)以及員工區(qū)圖3-8 混合部署 安全策略（運維部）圖3-9 混合部署 安全策略（員工 1 區(qū)員工 2 區(qū)）圖3-10 混合部署 安全策略（員工 2 區(qū)員工 1 區(qū)）圖3-11 混合部署 安全策略（員工區(qū)）安全策略部署完成后的策略列表如圖 3-12 所示。圖3-12 混合部署 - 安全策略列表步驟 4 配置用戶對象和認證策略。a.選擇菜單 對象 用戶 域/用戶，分別配置域?qū)ο蠛陀脩魧ο蟆?域?qū)ο螅哼\維和員工上網(wǎng) 用戶對象：運維 1 和員工 1圖3-13 混合部署 域?qū)ο髨D3-14 混合部署 用戶對象（運維 1）圖3-15 混合部署

57、 用戶對象（員工 1）b.選擇菜單 策略 員工區(qū) 運維部用戶認證 認證策略，分別新建兩條用戶認證策略。時進行用戶認證時進行用戶認證圖3-16 混合部署 認證策略（員工安全區(qū)）圖3-17 混合部署 認證策略（運維部）配置完成的用戶認證策略列表如圖 3-18 所示。圖3-18 混合部署 - 認證策略列表步驟 5 應(yīng)用配置。單擊頁面右上方的，使配置生效。選擇菜單 系統(tǒng) 系統(tǒng)控制 系統(tǒng)控制，單擊【應(yīng)用配置】按鈕，使配置生效。-結(jié)束4HA 部署NF 的高可用性的典型部署方式包括：虛擬線主備、路由主備和路由主主三種方式。4.1 虛擬線主備虛擬線主備是 NF 高可用性部署中的一種典型部署模式。主、備墻以虛擬

58、線模式接入網(wǎng)絡(luò)，實現(xiàn)主備冗余。應(yīng)用場景如圖 4-1 所示，主、備墻以虛擬線模式部署在網(wǎng)關(guān)路由器與下游交換機之間，彼此之間連接心跳線，路由器和交換機與主、備墻連接的接口屬于同一 VLAN。要求：1.2.3.兩臺 NF 設(shè)備實現(xiàn)虛擬線主備，同步配置策略和會話。內(nèi)網(wǎng)中的任何用戶均可。所有 Web 應(yīng)用，并對所有內(nèi)網(wǎng)以及對敏感關(guān)鍵字進行過濾）和日志內(nèi)網(wǎng)用戶時，允許進行安全防。護（檢測、URL 過濾、防圖4-1 HA 虛擬線主備配置思路1.2.3.配置主墻接口、虛擬線和對象。配置主墻高可用性。配置主墻安全模板和安全策略，允許所有的 Web 應(yīng)用，并實現(xiàn)對內(nèi)網(wǎng)的安全防護及日志。.應(yīng)用主墻配置。配置備墻接口

59、、虛擬線和對象。配置備墻高可用性。配置備墻安全模板和安全策略，允許所有的 Web 應(yīng)用，并實現(xiàn)對內(nèi)網(wǎng)的安全防護及日志。8.應(yīng)用備墻配置。配置步驟以操作員 weboper 登錄，進行如下配置：步驟 1配置主墻接口、虛擬線。a.選擇菜單 網(wǎng)絡(luò) 接口 接口，配置主墻中需要用到的接口：G1/1、G1/2 和 G1/3， G1/1 和 G1/2 為虛擬線接口，G1/3 為三層接口。圖4-2 虛擬線主備 主墻接口配置b.選擇菜單 網(wǎng)絡(luò) 虛擬線 虛擬線，配置主墻虛擬線。圖4-3 虛擬線主備 主墻虛擬線配置步驟 2 配置主墻高可用性。主墻與備墻要實現(xiàn)虛擬線主備的高可用性，需要完成以下兩個方面的配置?；九渲眠x

60、擇菜單 網(wǎng)絡(luò) 高可用性設(shè)置 基本配置，配置主墻高可用性的基本配置。圖4-4 虛擬線主備 主墻高可用性基本參數(shù)虛擬線配置選擇菜單 網(wǎng)絡(luò) 高可用性設(shè)置 虛擬線配置，配置主墻虛擬線參數(shù)。單擊【對端本地】按鈕，將對端配置策略同步到本地；單擊【本地對端】按鈕，將本地配置策略同步到對端。開啟“同步會話”，同步主墻、備墻會話。主墻 G1/3 接口為心跳口，G1/3 接口的IP 地址為 。對端 IP 地址：主墻和備墻的心跳口必須處于同一網(wǎng)段。備墻 G1/3 接口為心跳口，IP 地址為 00。圖4-5 虛擬線主備 主墻高可用性虛擬線參數(shù)步驟 3 配置主墻安全模板和安全策略。安全模板的詳細配置步驟請參見 B 安全