邊界安全部署最佳實(shí)踐

日期：2007年7月13日

杭州華三通信技術(shù)有限公司邊界安全部署最佳實(shí)踐日期：2007年7月13日杭州華三網(wǎng)絡(luò)園區(qū)邊界定義邊界安全部署簡(jiǎn)介邊界安全部署典型應(yīng)用場(chǎng)景目錄網(wǎng)絡(luò)園區(qū)邊界定義目錄網(wǎng)絡(luò)園區(qū)邊界定義邊界網(wǎng)絡(luò)的定義是園區(qū)網(wǎng)連接到廣域網(wǎng)/Internet等外部網(wǎng)絡(luò)的邊緣區(qū)域；在園區(qū)網(wǎng)的設(shè)計(jì)中按照區(qū)域的劃分會(huì)產(chǎn)生多個(gè)邊界網(wǎng)絡(luò)；通常對(duì)于園區(qū)的邊界有以下幾種定義：廣域網(wǎng)出口公共服務(wù)器區(qū)域分支結(jié)構(gòu)VPN遠(yuǎn)程用戶VPNPSTN撥號(hào)用戶Internet出口網(wǎng)絡(luò)園區(qū)邊界定義邊界網(wǎng)絡(luò)的定義是園區(qū)網(wǎng)連接到廣域網(wǎng)/InteRemote

AcessBranchSiteRouterSwitchInternetServiceLocalNetworkExternalConnector邊緣本地外部網(wǎng)絡(luò)園區(qū)邊界定義－互聯(lián)網(wǎng)Remote

AcessBranchSiteRouterS網(wǎng)絡(luò)園區(qū)邊界定義邊界安全部署簡(jiǎn)介邊界安全部署典型應(yīng)用場(chǎng)景目錄網(wǎng)絡(luò)園區(qū)邊界定義目錄邊界安全部署簡(jiǎn)介為什么需要進(jìn)行邊界安全部署？因?yàn)楝F(xiàn)在的網(wǎng)絡(luò)非常脆弱，不安全。導(dǎo)致現(xiàn)在網(wǎng)絡(luò)脆弱的原因有很多種，三把雙刃劍：大量業(yè)務(wù)服務(wù)器長(zhǎng)時(shí)間暴露在公眾環(huán)境中，使黑客輕易就可以找到想攻擊的目標(biāo)；攻擊工具的高度發(fā)展，使攻擊難度急劇下降，只要稍懂一點(diǎn)計(jì)算機(jī)操作的人就可以成功發(fā)起一次攻擊；網(wǎng)絡(luò)病毒的泛濫，帶來(lái)的經(jīng)濟(jì)損失和應(yīng)用規(guī)模成正比；IPv4是簡(jiǎn)單開(kāi)放的，本身就沒(méi)有考慮安全因素。邊界安全部署簡(jiǎn)介為什么需要進(jìn)行邊界安全部署？因?yàn)楝F(xiàn)在的網(wǎng)絡(luò)非邊界安全部署簡(jiǎn)介如何對(duì)脆弱的網(wǎng)絡(luò)進(jìn)行彌補(bǔ)？根據(jù)網(wǎng)絡(luò)的病根對(duì)癥下藥：在園區(qū)邊界出口通過(guò)部署防火墻和IPS，將網(wǎng)絡(luò)攻擊與病毒入侵終結(jié)在園區(qū)邊界；VPN（VirtualPrivateNetwork：虛擬私有網(wǎng)）在實(shí)現(xiàn)公用網(wǎng)絡(luò)上構(gòu)建私人專用網(wǎng)絡(luò)的同時(shí)，IPSec隧道加密技術(shù)也彌補(bǔ)了IPv4的簡(jiǎn)單和開(kāi)放；通過(guò)對(duì)園區(qū)網(wǎng)進(jìn)出流量的分析和監(jiān)控，及時(shí)發(fā)現(xiàn)流量異常，來(lái)消除無(wú)法預(yù)知的不穩(wěn)定因素；邊界安全部署簡(jiǎn)介如何對(duì)脆弱的網(wǎng)絡(luò)進(jìn)行彌補(bǔ)？邊界安全部署簡(jiǎn)介—H3C解決方案H3C邊界安全部署最佳實(shí)踐解決方案通過(guò)在邊界入口處部署VPN網(wǎng)關(guān)、防火墻、IPS、NSM/NAM等設(shè)備，一方面阻止來(lái)自Internet對(duì)受保護(hù)網(wǎng)絡(luò)的未授權(quán)或未認(rèn)證的訪問(wèn)，另一方面允許內(nèi)部網(wǎng)絡(luò)的用戶安全的對(duì)Internet進(jìn)行Web訪問(wèn)或收發(fā)E-mail等。企業(yè)中心可以使用雙機(jī)熱備，這樣當(dāng)故障發(fā)生的時(shí)候，業(yè)務(wù)也能很快恢復(fù)，給用戶提供了十分可靠的運(yùn)行環(huán)境?？赏ㄟ^(guò)在園區(qū)邊界處部署雙VPN網(wǎng)關(guān)和防火墻，為用戶安全、可靠的使用網(wǎng)絡(luò)提供了很好的保障。NSM/NAM是網(wǎng)絡(luò)安全監(jiān)控的簡(jiǎn)稱，是H3C公司在防火墻和路由器上開(kāi)發(fā)的流量監(jiān)控軟硬件平臺(tái)。NSM/NAM單板，可以對(duì)流經(jīng)設(shè)備上的所有在線流量進(jìn)行統(tǒng)計(jì)和安全分析，對(duì)流量進(jìn)行采樣記錄并對(duì)歷史流量進(jìn)行安全分析，能對(duì)包括IP/none-IP的、2至7層的多種協(xié)議進(jìn)行分析，為網(wǎng)絡(luò)管理員提供網(wǎng)絡(luò)安全服務(wù)。NSM/NAM提供方便友好的用戶配置，支持圖形化的分析結(jié)果查詢，方便用戶使用。邊界安全部署簡(jiǎn)介—H3C解決方案H3C邊界安全邊界安全部署簡(jiǎn)介—H3C解決方案網(wǎng)管ServerLSWVPNserverVPNClientVPNClient分支節(jié)點(diǎn)2分支節(jié)點(diǎn)1防火墻/IPS：攻擊與病毒止步NSM/NAM：一切盡在掌握中IPSecVPN：加密報(bào)文讓黑客們一無(wú)所獲邊界安全部署簡(jiǎn)介—H3C解決方案網(wǎng)管ServerLSWVPN網(wǎng)絡(luò)園區(qū)邊界定義邊界安全部署簡(jiǎn)介邊界安全部署典型應(yīng)用場(chǎng)景目錄網(wǎng)絡(luò)園區(qū)邊界定義目錄邊界安全部署典型應(yīng)用場(chǎng)景H3C邊界安全部署最佳實(shí)踐解決方案針對(duì)不同用戶群的需求，分別設(shè)計(jì)了多套應(yīng)用組網(wǎng)。對(duì)于園區(qū)規(guī)模較小，性能、可靠性要求不高的用戶，我們推薦使用單設(shè)備園區(qū)出口邊界安全部署組網(wǎng)方式，本組網(wǎng)僅使用H3C的一臺(tái)MSR路由器或者SecPath安全產(chǎn)品，集成VPN網(wǎng)關(guān)、防火墻功能，并可以通過(guò)在該設(shè)備上配置NAM（MSR）或者NSM（SecPath）對(duì)園區(qū)進(jìn)出口流量進(jìn)行監(jiān)控；對(duì)于園區(qū)規(guī)模較大的用戶，我們推薦在本組網(wǎng)中加入專業(yè)的防火墻、IPS等設(shè)備增加邊界安全性；對(duì)邊界安全性能、可靠性要求都較高的用戶，我們推薦使用園區(qū)網(wǎng)絡(luò)多出口邊界安全部署組網(wǎng)方式，本組網(wǎng)在使用專業(yè)網(wǎng)關(guān)設(shè)備的同時(shí)，通過(guò)部署雙VPN網(wǎng)關(guān)實(shí)現(xiàn)負(fù)載均衡和備份，部署雙防火墻實(shí)現(xiàn)狀態(tài)熱備，提供園區(qū)出口的高可靠性；邊界安全部署典型應(yīng)用場(chǎng)景H3C邊界安全部署最單設(shè)備園區(qū)出口邊界安全部署組網(wǎng)園區(qū)網(wǎng)絡(luò)Internet公共服務(wù)器路由器/

安全網(wǎng)關(guān)/VPN網(wǎng)關(guān)ISP路由器園區(qū)邊界設(shè)備MSR50/30/20AR28/46SecPath系列分支機(jī)構(gòu)VPN網(wǎng)關(guān)移動(dòng)用戶211.2.10.1/24192.168.0.1/24192.168.1.1/24192.168.0.100/24211.4.1.2/24單設(shè)備園區(qū)出口邊界安全部署組網(wǎng)園區(qū)網(wǎng)絡(luò)Internet公共服單設(shè)備出口組網(wǎng)說(shuō)明本組網(wǎng)非常簡(jiǎn)單，僅一臺(tái)出口設(shè)備，易于管理；H3C公司的MSR/AR/SecPath系列產(chǎn)品可提供強(qiáng)大的VPN功能，遠(yuǎn)程分支、移動(dòng)用戶可以通過(guò)單IPSec、GREoverIPSec、L2TPoverIPSec等多種VPN方式接入園區(qū)總部；L2TP可以提供用戶認(rèn)證功能，GRE隧道可以讓企業(yè)分支與總部進(jìn)行私網(wǎng)路由的交互，IPSec加密功能可以確保通訊報(bào)文的保密性和可靠性；H3C公司的MSR/AR/SecPath系列產(chǎn)品同時(shí)也可以作為安全網(wǎng)關(guān)使用，支持NAT、ACL訪問(wèn)控制、ASPF、深度業(yè)務(wù)監(jiān)控等典型應(yīng)用；出口設(shè)備上配置的NAM/NSM板卡對(duì)進(jìn)出口流量進(jìn)行有效的分析和監(jiān)控；出口設(shè)備公網(wǎng)接口上配置NAT，讓內(nèi)部用戶可以訪問(wèn)internet；出口設(shè)備公網(wǎng)接口上配置NATserver，讓internet用戶可以訪問(wèn)公共服務(wù)器；單設(shè)備出口組網(wǎng)說(shuō)明本組網(wǎng)非常簡(jiǎn)單，僅一臺(tái)出口設(shè)備，易于管理；單設(shè)備出口組網(wǎng)配置說(shuō)明

——遠(yuǎn)程VPN接入分支機(jī)構(gòu)VPN接入，接入方式：?jiǎn)蜪PSec隧道方式IPSec的remote地址為園區(qū)出口VPN網(wǎng)關(guān)的公網(wǎng)地址；IPSec采用野蠻模式，支持NAT穿越功能；IPSec感興趣流為分支機(jī)構(gòu)私網(wǎng)網(wǎng)段地址到總部園區(qū)網(wǎng)網(wǎng)段地址；分支設(shè)備公網(wǎng)接口上啟用IPSec策略；遠(yuǎn)程移動(dòng)用戶使用iNodeVPN客戶端接入，接入方式：L2TPoverIPSec新建iNode連接，iNodeVPN啟用IPSec安全協(xié)議；L2TPLNS服務(wù)器地址、IPSec服務(wù)器地址都設(shè)置為園區(qū)出口VPN網(wǎng)關(guān)的公網(wǎng)地址；IPSec使用隧道方式，啟用NAT穿越功能；單設(shè)備出口組網(wǎng)配置說(shuō)明

單設(shè)備出口組網(wǎng)配置說(shuō)明

——總部VPN配置總部VPN網(wǎng)關(guān)配置作為L(zhǎng)2TPLNS端的基本配置，包括用戶名、地址池、虛接口、L2TP組相關(guān)配置；由于遠(yuǎn)程移動(dòng)接入用戶公網(wǎng)IP的不確定性，總部IPSec使用動(dòng)態(tài)模板方式，先建立IPSec動(dòng)態(tài)模板，然后用動(dòng)態(tài)模板建立IPSec策略；在VPN網(wǎng)關(guān)公網(wǎng)接口上啟用IPSec策略單設(shè)備出口組網(wǎng)配置說(shuō)明

單設(shè)備出口組網(wǎng)配置說(shuō)明

——防火墻配置總部防火墻網(wǎng)關(guān)：SecPath系列放火墻可支持ACL訪問(wèn)控制、ASPF（基于應(yīng)用層的報(bào)文過(guò)濾）、深度業(yè)務(wù)監(jiān)控等多種功能，下面僅以啟用ASPF功能為例：系統(tǒng)視圖下：#新建ASPF策略，添加需要檢測(cè)的應(yīng)用層協(xié)議tcp；aspf-policy1detecttcp＃在防火墻網(wǎng)關(guān)公網(wǎng)接口上啟用ASPF策略，本策略僅允許從園區(qū)網(wǎng)內(nèi)部主動(dòng)發(fā)起的TCP連接，即如果報(bào)文是內(nèi)部網(wǎng)絡(luò)用戶發(fā)起的TCP連接的返回報(bào)文，則允許其通過(guò)防火墻進(jìn)入內(nèi)部網(wǎng)絡(luò)，其他報(bào)文被禁止；interfaceGigabitEthernet0/0firewallaspf1outbound

單設(shè)備出口組網(wǎng)配置說(shuō)明

單設(shè)備出口組網(wǎng)配置說(shuō)明

——NAT配置園區(qū)內(nèi)部通過(guò)NAT訪問(wèn)internet

首先需要確認(rèn)訪問(wèn)internet的流量，然后對(duì)這些流量的地址進(jìn)行NAT轉(zhuǎn)換，其次要設(shè)置地址池，即申請(qǐng)到的公網(wǎng)地址。假設(shè)分支的IP地址都規(guī)劃在172.0.0.0/8網(wǎng)段，園區(qū)內(nèi)部IP地址規(guī)劃在192.168.0.0/16網(wǎng)段。＃私網(wǎng)訪問(wèn)公網(wǎng)的流量需要進(jìn)行NAT轉(zhuǎn)換 aclnumber3000 rule0permitipsource192.168.0.00.0.255.255 rule1denyipdestination172.0.0.00.0.0.255＃申請(qǐng)到的公網(wǎng)IP，與公網(wǎng)接口在同一個(gè)網(wǎng)段nataddress-group0211.2.10.1211.2.10.2＃公網(wǎng)接口上啟用nat interfaceGigabitEthernet0/1natoutbound3000address-group0單設(shè)備出口組網(wǎng)配置說(shuō)明

單設(shè)備出口組網(wǎng)配置說(shuō)明

——NATServer配置單設(shè)備出口組網(wǎng)配置說(shuō)明

單設(shè)備出口組網(wǎng)配置說(shuō)明

——NSM配置（1）設(shè)備側(cè)流量鏡像配置：NSM版卡插在SecPath防火墻上，需要在SecPath上將流量鏡像到NSM板卡內(nèi)部接口上，NSM對(duì)收到的報(bào)文進(jìn)行分析。SecPath上需要進(jìn)行的配置：#將網(wǎng)關(guān)內(nèi)網(wǎng)接口上的進(jìn)出流量都鏡像到NSM內(nèi)部端口上進(jìn)行統(tǒng)計(jì)，NSM插在三槽位；interfaceGigabitEthernet0/1mirrortoGigabitEthernet3/0bothNSM配置：/*管理口IP配置為192.0.0.1，默認(rèn)網(wǎng)關(guān)為192.0.0.10（管理口直連設(shè)備接口地址）*/單設(shè)備出口組網(wǎng)配置說(shuō)明

單設(shè)備出口組網(wǎng)配置說(shuō)明

——NSM配置（2）NSM配置（續(xù)）：如果用戶需要在遠(yuǎn)程監(jiān)控室中登陸NSM，觀察流量分析結(jié)果，需要將NSM的管理口eth1接入到園區(qū)網(wǎng)中，并將該路由發(fā)布出去，NSM管理口的默認(rèn)網(wǎng)關(guān)設(shè)置為其直連設(shè)備接口的IP地址；選擇eth0作為觀察接口，即可以觀察到SecPath上的流量情況。

單設(shè)備出口組網(wǎng)配置說(shuō)明

園區(qū)網(wǎng)Internet公共服務(wù)器防火墻/VPN/NATInternet

出口路由器專網(wǎng)WAN

出口路由器遠(yuǎn)程分支機(jī)構(gòu)IPSIPSInternet/WAN移動(dòng)用戶多出口網(wǎng)關(guān)集成邊界安全部署組網(wǎng)園區(qū)網(wǎng)Internet公共服務(wù)器防火墻/VPN/NATInt多出口網(wǎng)關(guān)集成出口組網(wǎng)說(shuō)明（1）本組網(wǎng)中VPN網(wǎng)關(guān)、防火墻功能都集成在H3C的SecPath產(chǎn)品上，提供遠(yuǎn)程VPN接入及攻擊防護(hù)功能；這里使用兩臺(tái)設(shè)備實(shí)現(xiàn)雙VPN網(wǎng)關(guān)及防火墻的備份；網(wǎng)關(guān)備份實(shí)現(xiàn)方式：VPN隧道使用GREoverIPSec方式，在GREtunnel口上啟用OSPF動(dòng)態(tài)路由，并通過(guò)配置路由cost值的不同達(dá)到備份的目的，正常情況下流量進(jìn)出走cost值小的隧道，當(dāng)該隧道中斷后，流量會(huì)自動(dòng)切換到cost值大的隧道上。網(wǎng)關(guān)負(fù)載分擔(dān)實(shí)現(xiàn)方式：不同的分支選擇不同的VPN網(wǎng)關(guān)作為主設(shè)備，這樣正常情況下，流量就會(huì)分布在兩臺(tái)設(shè)備上。在兩臺(tái)SecPath上都配置NSM板卡，NSM板工作在NSM＋nProbe方式下，該方式可以使兩塊NSM板卡的流量采集功能互為備份，后面對(duì)具體配置進(jìn)行說(shuō)明。多出口網(wǎng)關(guān)集成出口組網(wǎng)說(shuō)明（1）本組網(wǎng)中VPN網(wǎng)關(guān)、防火墻功多出口網(wǎng)關(guān)集成出口組網(wǎng)說(shuō)明（2）如果內(nèi)部用戶需要訪問(wèn)internet，可以在兩臺(tái)SecPath的公網(wǎng)接口上配置NAT；internet訪問(wèn)的備份實(shí)現(xiàn)方式：兩臺(tái)SecPath上的私網(wǎng)動(dòng)態(tài)路由中都引入訪問(wèn)internet的默認(rèn)路由，這樣園區(qū)內(nèi)部設(shè)備將有兩條訪問(wèn)internet的默認(rèn)路由，可以進(jìn)行負(fù)載分擔(dān)和冗余備份。如果園區(qū)內(nèi)部有公共服務(wù)器需要對(duì)internet用戶提供服務(wù)，則需要在兩臺(tái)SecPath的公網(wǎng)接口上配置NATserver。該服務(wù)的備份實(shí)現(xiàn)方式：NATserver的外網(wǎng)地址使用網(wǎng)關(guān)設(shè)備公網(wǎng)接口的VRRP虛地址，當(dāng)VRRP主設(shè)備故障后，VRRP組的從設(shè)備將變?yōu)橹髟O(shè)備，繼續(xù)執(zhí)行NATserver功能。多出口網(wǎng)關(guān)集成出口組網(wǎng)說(shuō)明（2）如果內(nèi)部用戶需要訪問(wèn)inte多出口網(wǎng)關(guān)集成組網(wǎng)配置說(shuō)明

——遠(yuǎn)程VPN接入分支機(jī)構(gòu)VPN接入，接入方式：GREoverIPSec隧道方式分支設(shè)備分別與總部（園區(qū)出口）的兩臺(tái)VPN網(wǎng)關(guān)建立GREoverIPSEC隧道：分支的GRE隧道的源/目的IP分別為分支/總部網(wǎng)關(guān)的Loopback口地址；并在tunnel口上啟用OSPF，與總部交互私網(wǎng)路由；分支IPSEC的感興趣流源/目的IP分別為分支/總部網(wǎng)關(guān)的Loopback口地址；分支啟用DPD功能，便于隧道的快速切換；分支設(shè)備公網(wǎng)接口上啟用IPSec策略；遠(yuǎn)程移動(dòng)用戶使用iNodeVPN客戶端接入，接入方式：L2TPoverIPSec新建連接，iNodeVPN啟用IPSec安全協(xié)議；L2TPLNS服務(wù)器地址、IPSec服務(wù)器地址都設(shè)置為園區(qū)出口VPN網(wǎng)關(guān)的公網(wǎng)地址；因?yàn)橛袃蓚€(gè)VPN網(wǎng)關(guān)，所以可以建立兩個(gè)新連接，一個(gè)作為備用；多出口網(wǎng)關(guān)集成組網(wǎng)配置說(shuō)明

多出口網(wǎng)關(guān)集成組網(wǎng)配置說(shuō)明

——總部VPN配置總部VPN網(wǎng)關(guān)配置作為L(zhǎng)2TPLNS端的基本配置，包括用戶名、地址池、虛接口、L2TP相關(guān)配置；總部的GRE隧道的源/目的IP分別為總部/分支的Loopback口地址；并在Tunnel口上啟用OSPF，與私網(wǎng)路由進(jìn)行交互；由于遠(yuǎn)程移動(dòng)接入用戶公網(wǎng)IP的不確定性，IPSec使用動(dòng)態(tài)模板方式，先建立IPSec動(dòng)態(tài)模板，然后用動(dòng)態(tài)模板建立IPSec策略；在VPN網(wǎng)關(guān)公網(wǎng)接口上啟用IPSec策略；多出口網(wǎng)關(guān)集成組網(wǎng)配置說(shuō)明

多出口網(wǎng)關(guān)集成組網(wǎng)配置說(shuō)明

——防火墻配置總部防火墻網(wǎng)關(guān)：SecPath系列放火墻可支持ACL訪問(wèn)控制、ASPF（基于應(yīng)用層的報(bào)文過(guò)濾）、深度業(yè)務(wù)監(jiān)控等多種功能，下面僅以啟用ASPF功能為例，兩臺(tái)防火墻上都進(jìn)行如下配置：系統(tǒng)視圖下：#新建ASPF策略，添加需要檢測(cè)的應(yīng)用層協(xié)議tcp；aspf-policy1detecttcp＃在防火墻網(wǎng)關(guān)公網(wǎng)接口上啟用ASPF策略，本策略僅允許從園區(qū)網(wǎng)內(nèi)部主動(dòng)發(fā)起的TCP連接，即如果報(bào)文是內(nèi)部網(wǎng)絡(luò)用戶發(fā)起的TCP連接的返回報(bào)文，則允許其通過(guò)防火墻進(jìn)入內(nèi)部網(wǎng)絡(luò)，其他報(bào)文被禁止；interfaceGigabitEthernet0/0firewallaspf1outbound

多出口網(wǎng)關(guān)集成組網(wǎng)配置說(shuō)明

多出口網(wǎng)關(guān)集成組網(wǎng)配置說(shuō)明

——NAT配置園區(qū)內(nèi)部通過(guò)NAT訪問(wèn)internet

首先需要確認(rèn)訪問(wèn)internet的流量，然后對(duì)這些流量的地址進(jìn)行NAT轉(zhuǎn)換，其次要設(shè)置地址池，即申請(qǐng)到的公網(wǎng)地址。假設(shè)分支的IP地址都規(guī)劃在172.0.0.0/8網(wǎng)段，園區(qū)內(nèi)部IP地址規(guī)劃在192.168.0.0/16網(wǎng)段。兩臺(tái)網(wǎng)關(guān)設(shè)備上都進(jìn)行如下配置后，將默認(rèn)路由引入到私網(wǎng)動(dòng)態(tài)路由中即可。＃私網(wǎng)訪問(wèn)公網(wǎng)的流量需要進(jìn)行NAT轉(zhuǎn)換 aclnumber3000 rule0permitipsource192.168.0.00.0.255.255 rule1denyipdestination172.0.0.00.0.0.255＃申請(qǐng)到的公網(wǎng)IP，與公網(wǎng)接口在同一個(gè)網(wǎng)段nataddress-group0211.2.10.1211.2.10.2＃公網(wǎng)接口上啟用nat interfaceGigabitEthernet0/1natoutbound3000address-group0多出口網(wǎng)關(guān)集成組網(wǎng)配置說(shuō)明

多出口網(wǎng)關(guān)集成組網(wǎng)配置說(shuō)明

——NATServer配置多出口網(wǎng)關(guān)集成組網(wǎng)配置說(shuō)明

多出口網(wǎng)關(guān)集成組網(wǎng)配置說(shuō)明

——NSM配置（1）在本組網(wǎng)中存在兩臺(tái)網(wǎng)關(guān)設(shè)備進(jìn)行負(fù)載分擔(dān)和冗余備份，為了實(shí)時(shí)、方便的采集園區(qū)網(wǎng)進(jìn)出口的所有流量，我們?cè)趦膳_(tái)網(wǎng)關(guān)設(shè)備上分別部署一塊NSM板卡，使用NSM＋nProbe方式對(duì)流量進(jìn)行采集。該方式是在設(shè)備將原始流量鏡像到NSM的內(nèi)部口eth0上后，nProbe首先對(duì)原始流量進(jìn)行處理，將其統(tǒng)計(jì)為netflow流，然后將netflow流發(fā)給兩塊NSM板卡的內(nèi)部管理口eth1，NSM上啟用netflow口接收并處理該netflow流，達(dá)到流量統(tǒng)計(jì)的目的；設(shè)備側(cè)流量鏡像配置：NSM板卡插在SecPath防火墻上，需要在SecPath上將流量鏡像到NSM板卡內(nèi)部接口上，NSM對(duì)收到的報(bào)文進(jìn)行分析。SecPath上需要進(jìn)行的配置：#將網(wǎng)關(guān)內(nèi)網(wǎng)接口上的流量都鏡像到NSM內(nèi)部端口上進(jìn)行統(tǒng)計(jì)，NSM插在三槽位；interfaceGigabitEthernet0/1mirrortoGigabitEthernet3/0both多出口網(wǎng)關(guān)集成組網(wǎng)配置說(shuō)明

多出口網(wǎng)關(guān)集成組網(wǎng)配置說(shuō)明

——NSM配置（2）防火墻網(wǎng)關(guān)a：NSM板卡配置/*管理口IP配置為192.0.0.1默認(rèn)網(wǎng)關(guān)為192.0.0.10（管理口直連設(shè)備接口地址）*//*nProbe產(chǎn)生的netflow發(fā)送地址，為主備網(wǎng)關(guān)的管理口IP地址*/多出口網(wǎng)關(guān)集成組網(wǎng)配置說(shuō)明

多出口網(wǎng)關(guān)集成組網(wǎng)配置說(shuō)明

——NSM配置（3）防火墻網(wǎng)關(guān)a：NSM板卡配置（續(xù)）/*netflow接口，端口號(hào)為65535，與nProbe上的配置相對(duì)應(yīng)*//*選擇該netflow接口作為顯示接口即可*/防火墻網(wǎng)關(guān)b：NSM板卡配置與防火墻網(wǎng)關(guān)a上NSM的配置基本相同，除了管理口IP設(shè)置為192.0.0.2。兩臺(tái)防火墻的NSM管理口需要連著同一個(gè)交換機(jī)上，并接入到園區(qū)網(wǎng)設(shè)備，設(shè)備將該路由在園區(qū)網(wǎng)中發(fā)布出去，這樣客戶就可以遠(yuǎn)程登陸NSM觀察流量統(tǒng)計(jì)情況。多出口網(wǎng)關(guān)集成組網(wǎng)配置說(shuō)明

多出口網(wǎng)關(guān)分離邊界安全組網(wǎng)Internet公共服務(wù)器防火墻園區(qū)邊界Internet

出口路由器專網(wǎng)WAN

出口路由器遠(yuǎn)程分支機(jī)構(gòu)VPN網(wǎng)關(guān)IPSIPSInternet/WAN移動(dòng)用戶園區(qū)網(wǎng)多出口網(wǎng)關(guān)分離邊界安全組網(wǎng)Internet公共服務(wù)器防火墻園多出口網(wǎng)關(guān)分離組網(wǎng)相對(duì)于多出口網(wǎng)關(guān)集成組網(wǎng)，其主要的差別首先在于VPN網(wǎng)關(guān)、防火墻網(wǎng)關(guān)功能由兩款專業(yè)的設(shè)備分別實(shí)現(xiàn)，提高了園區(qū)出口的性能。VPN網(wǎng)關(guān)、防火墻網(wǎng)關(guān)的配置與網(wǎng)關(guān)集成出口組網(wǎng)配置一樣，只是部署在不同的設(shè)備上。第二個(gè)差別是本組網(wǎng)中啟用了狀態(tài)熱備功能，該功能可以保障在主網(wǎng)關(guān)發(fā)生故障時(shí)，應(yīng)用連接不中斷的情況下進(jìn)行網(wǎng)關(guān)切換。下面描述一下?tīng)顟B(tài)熱備的相關(guān)配置。多出口網(wǎng)關(guān)分離邊界安全組網(wǎng)配置說(shuō)明多出口網(wǎng)關(guān)分離組網(wǎng)相對(duì)于多出口網(wǎng)關(guān)集成組網(wǎng)，其主要的差別首先多出口網(wǎng)關(guān)分離組網(wǎng)配置說(shuō)明

——防火墻配置（1）總部防火墻網(wǎng)關(guān)a：?jiǎn)⒂梅阑饓W(wǎng)橋模式下的狀態(tài)熱備；假設(shè)接口G0/0、G0/1為數(shù)據(jù)轉(zhuǎn)發(fā)接口。E1/1為HA接口，即用于傳輸雙機(jī)熱備的協(xié)商報(bào)文和業(yè)務(wù)同步數(shù)據(jù)，將兩臺(tái)防火墻設(shè)備的HA接口直連。這里的配置不涉及防火墻的具體防御功能。系統(tǒng)視圖下：#配置防火墻使能網(wǎng)橋功能，并使能橋組1

bridgeenablebridge1enable

#將接口加入到橋組

interfaceGigabitEthernet0/0bridge-set1interfaceGigabitEthernet0/1bridge-set1多出口網(wǎng)關(guān)分離組網(wǎng)配置說(shuō)明

多出口網(wǎng)關(guān)分離組網(wǎng)配置說(shuō)明

——防火墻配置（2）總部防火墻網(wǎng)關(guān)a：?jiǎn)⒂梅阑饓W(wǎng)橋模式下的狀態(tài)熱備（續(xù)）；#創(chuàng)建冗余設(shè)備對(duì)象RDO1rdo1ha-interfaceinterfaceEthernet1/1peer-macffff-ffff-ffffad-interval1vif1interfaceGigabitEthernet0/0vif2interfaceGigabitEthernet0/1總部防火墻網(wǎng)關(guān)b：?jiǎn)⒂梅阑饓W(wǎng)橋模式下的狀態(tài)熱備；防火墻b上的配置與a上一致；多出口網(wǎng)關(guān)分離組網(wǎng)配置說(shuō)明

邊界安全部署最佳實(shí)踐x課件1、Geniusonlymeanshard-workingallone'slife.(Mendeleyer,RussianChemist)

天才只意味著終身不懈的努力。20.8.58.5.202011:0311:03:10Aug-2011:032、Ourdestinyoffersnotonlythecupofdespair,butthechaliceofopportunity.(RichardNixon,AmericanPresident)命運(yùn)給予我們的不是失望之酒，而是機(jī)會(huì)之杯。二〇二〇年八月五日2020年8月5日星期三3、Patienceisbitter,butitsfruitissweet.(JeanJacquesRousseau,Frenchthinker)忍耐是痛苦的，但它的果實(shí)是甜蜜的。11:038.5.202011:038.5.202011:0311:03:108.5.202011:038.5.20204、Allthatyoudo,dowithyourmight;thingsdonebyhalvesareneverdoneright.----R.H.Stoddard,Americanpoet做一切事都應(yīng)盡力而為，半途而廢永遠(yuǎn)不行8.5.20208.5.202011:0311:0311:03:1011:03:105、Youhavetobelieveinyourself.That'sthesecretofsuccess.----CharlesChaplin人必須相信自己，這是成功的秘訣。-Wednesday,August5,2020August20Wednesday,August5,20208/5/20206、Almostanysituation---goodorbad---isaffectedbytheattitudewebringto.----LuciusAnnausSeneca差不多任何一種處境---無(wú)論是好是壞---都受到我們對(duì)待處境態(tài)度的影響。11時(shí)3分11時(shí)3分5-Aug-208.5.20207、Althoughtheworldisfullofsuffering,itisfullalsooftheovercomingofit.----HellenKeller,Americanwriter雖然世界多苦難，但是苦難總是能戰(zhàn)勝的。20.8.520.8.520.8.5。2020年8月5日星期三二〇二〇年八月五日8、Formanismanandmasterofhisfate.----Tennyson人就是人，是自己命運(yùn)的主人11:0311:03:108.5.2020Wednesday,August5,20209、Whensuccesscomesinthedoor,itseems,loveoftengoesoutthewindow.-----JoyceBrothers成功來(lái)到門(mén)前時(shí)，愛(ài)情往往就走出了窗外。11:038.5.202011:038.5.202011:0311:03:108.5.202011:038.5.202010、Lifeismeasuredbythoughtandaction,notbytime.——Lubbock衡量生命的尺度是思想和行為，而不是時(shí)間。8.5.20208.5.202011:0311:0311:03:1011:03:1011、Tomakealastingmarriagewehavetoovercomeself-centeredness.要使婚姻長(zhǎng)久，就需克服自我中心意識(shí)。Wednesday,August5,2020August20Wednesday,August5,20208/5/202012、Treatotherpeopleasyouhopetheywilltreatyou.你希望別人如何對(duì)待你，你就如何對(duì)待別人。11時(shí)3分11時(shí)3分5-Aug-208.5.202013、Todowhateverneedstobedoneto

preservethislastandgreatestbastionof

freedom.(RonaldReagan,AmericanPresident)為了保住這最后的、最偉大的自由堡壘，我們必須盡我們所能。20.8.520.8.5Wednesday,August5,202014、Wherethereisawill,thereisaway.(ThomasEdison,Americaninventor)有志者，事竟成。11:01:1911:01:1911:018/5/202011:01:19AM15、

Everymanisthemasterofhisownfortune.----RichardSteele每個(gè)人都主宰自己的命運(yùn)。20.8.511:01:1911:01Aug-205-Aug-2016、Asselfishnessandcomplaintcloudthemind,solovewithitsjoyclearsandsharpensthevision.----HelenKeller自私和抱怨是心靈的陰暗，愉快的愛(ài)則使視野明朗開(kāi)闊。11:01:1911:01:1911:01Wednesday,August5,202017、Donot,foronerepulse,giveupthepurposethatyouresolvedtoeffect.----WillianShakespeare,Britishdramatist不要只因一次失敗，就放棄你原來(lái)決心想達(dá)到的目的。20.8.520.8.511:01:1911:01:19August5,202018、Thereisnoabsolutesuccessintheworld,onlyconstantprogress.世界上的事沒(méi)有絕對(duì)成功，只有不斷的進(jìn)步。2020年8月5日星期三上午11時(shí)1分19秒11:01:1920.8.519、Nothingismorefataltohappinessthantheremembranceofhappiness.

沒(méi)有什么比回憶幸福更令人痛苦的了。2020年8月上午11時(shí)1分20.8.511:01August5,202020、Nomanishappywhodoesnotthinkhimselfso.——PubliliusSyrus認(rèn)為自己不幸福的人就不會(huì)幸福。2020年8月5日星期三11時(shí)1分19秒11:01:195August202021、Theemperortreatstalentastools,usingtheirstrongpointtohisadvantage.

君子用人如器，各取所長(zhǎng)。上午11時(shí)1分19秒上午11時(shí)1分11:01:1920.8.5謝謝觀看THEEND1、Geniusonlymeanshard-worki36邊界安全部署最佳實(shí)踐

日期：2007年7月13日

杭州華三通信技術(shù)有限公司邊界安全部署最佳實(shí)踐日期：2007年7月13日杭州華三網(wǎng)絡(luò)園區(qū)邊界定義邊界安全部署簡(jiǎn)介邊界安全部署典型應(yīng)用場(chǎng)景目錄網(wǎng)絡(luò)園區(qū)邊界定義目錄網(wǎng)絡(luò)園區(qū)邊界定義邊界網(wǎng)絡(luò)的定義是園區(qū)網(wǎng)連接到廣域網(wǎng)/Internet等外部網(wǎng)絡(luò)的邊緣區(qū)域；在園區(qū)網(wǎng)的設(shè)計(jì)中按照區(qū)域的劃分會(huì)產(chǎn)生多個(gè)邊界網(wǎng)絡(luò)；通常對(duì)于園區(qū)的邊界有以下幾種定義：廣域網(wǎng)出口公共服務(wù)器區(qū)域分支結(jié)構(gòu)VPN遠(yuǎn)程用戶VPNPSTN撥號(hào)用戶Internet出口網(wǎng)絡(luò)園區(qū)邊界定義邊界網(wǎng)絡(luò)的定義是園區(qū)網(wǎng)連接到廣域網(wǎng)/InteRemote

AcessBranchSiteRouterSwitchInternetServiceLocalNetworkExternalConnector邊緣本地外部網(wǎng)絡(luò)園區(qū)邊界定義－互聯(lián)網(wǎng)Remote

AcessBranchSiteRouterS網(wǎng)絡(luò)園區(qū)邊界定義邊界安全部署簡(jiǎn)介邊界安全部署典型應(yīng)用場(chǎng)景目錄網(wǎng)絡(luò)園區(qū)邊界定義目錄邊界安全部署簡(jiǎn)介為什么需要進(jìn)行邊界安全部署？因?yàn)楝F(xiàn)在的網(wǎng)絡(luò)非常脆弱，不安全。導(dǎo)致現(xiàn)在網(wǎng)絡(luò)脆弱的原因有很多種，三把雙刃劍：大量業(yè)務(wù)服務(wù)器長(zhǎng)時(shí)間暴露在公眾環(huán)境中，使黑客輕易就可以找到想攻擊的目標(biāo)；攻擊工具的高度發(fā)展，使攻擊難度急劇下降，只要稍懂一點(diǎn)計(jì)算機(jī)操作的人就可以成功發(fā)起一次攻擊；網(wǎng)絡(luò)病毒的泛濫，帶來(lái)的經(jīng)濟(jì)損失和應(yīng)用規(guī)模成正比；IPv4是簡(jiǎn)單開(kāi)放的，本身就沒(méi)有考慮安全因素。邊界安全部署簡(jiǎn)介為什么需要進(jìn)行邊界安全部署？因?yàn)楝F(xiàn)在的網(wǎng)絡(luò)非邊界安全部署簡(jiǎn)介如何對(duì)脆弱的網(wǎng)絡(luò)進(jìn)行彌補(bǔ)？根據(jù)網(wǎng)絡(luò)的病根對(duì)癥下藥：在園區(qū)邊界出口通過(guò)部署防火墻和IPS，將網(wǎng)絡(luò)攻擊與病毒入侵終結(jié)在園區(qū)邊界；VPN（VirtualPrivateNetwork：虛擬私有網(wǎng)）在實(shí)現(xiàn)公用網(wǎng)絡(luò)上構(gòu)建私人專用網(wǎng)絡(luò)的同時(shí)，IPSec隧道加密技術(shù)也彌補(bǔ)了IPv4的簡(jiǎn)單和開(kāi)放；通過(guò)對(duì)園區(qū)網(wǎng)進(jìn)出流量的分析和監(jiān)控，及時(shí)發(fā)現(xiàn)流量異常，來(lái)消除無(wú)法預(yù)知的不穩(wěn)定因素；邊界安全部署簡(jiǎn)介如何對(duì)脆弱的網(wǎng)絡(luò)進(jìn)行彌補(bǔ)？邊界安全部署簡(jiǎn)介—H3C解決方案H3C邊界安全部署最佳實(shí)踐解決方案通過(guò)在邊界入口處部署VPN網(wǎng)關(guān)、防火墻、IPS、NSM/NAM等設(shè)備，一方面阻止來(lái)自Internet對(duì)受保護(hù)網(wǎng)絡(luò)的未授權(quán)或未認(rèn)證的訪問(wèn)，另一方面允許內(nèi)部網(wǎng)絡(luò)的用戶安全的對(duì)Internet進(jìn)行Web訪問(wèn)或收發(fā)E-mail等。企業(yè)中心可以使用雙機(jī)熱備，這樣當(dāng)故障發(fā)生的時(shí)候，業(yè)務(wù)也能很快恢復(fù)，給用戶提供了十分可靠的運(yùn)行環(huán)境。可通過(guò)在園區(qū)邊界處部署雙VPN網(wǎng)關(guān)和防火墻，為用戶安全、可靠的使用網(wǎng)絡(luò)提供了很好的保障。NSM/NAM是網(wǎng)絡(luò)安全監(jiān)控的簡(jiǎn)稱，是H3C公司在防火墻和路由器上開(kāi)發(fā)的流量監(jiān)控軟硬件平臺(tái)。NSM/NAM單板，可以對(duì)流經(jīng)設(shè)備上的所有在線流量進(jìn)行統(tǒng)計(jì)和安全分析，對(duì)流量進(jìn)行采樣記錄并對(duì)歷史流量進(jìn)行安全分析，能對(duì)包括IP/none-IP的、2至7層的多種協(xié)議進(jìn)行分析，為網(wǎng)絡(luò)管理員提供網(wǎng)絡(luò)安全服務(wù)。NSM/NAM提供方便友好的用戶配置，支持圖形化的分析結(jié)果查詢，方便用戶使用。邊界安全部署簡(jiǎn)介—H3C解決方案H3C邊界安全邊界安全部署簡(jiǎn)介—H3C解決方案網(wǎng)管ServerLSWVPNserverVPNClientVPNClient分支節(jié)點(diǎn)2分支節(jié)點(diǎn)1防火墻/IPS：攻擊與病毒止步NSM/NAM：一切盡在掌握中IPSecVPN：加密報(bào)文讓黑客們一無(wú)所獲邊界安全部署簡(jiǎn)介—H3C解決方案網(wǎng)管ServerLSWVPN網(wǎng)絡(luò)園區(qū)邊界定義邊界安全部署簡(jiǎn)介邊界安全部署典型應(yīng)用場(chǎng)景目錄網(wǎng)絡(luò)園區(qū)邊界定義目錄邊界安全部署典型應(yīng)用場(chǎng)景H3C邊界安全部署最佳實(shí)踐解決方案針對(duì)不同用戶群的需求，分別設(shè)計(jì)了多套應(yīng)用組網(wǎng)。對(duì)于園區(qū)規(guī)模較小，性能、可靠性要求不高的用戶，我們推薦使用單設(shè)備園區(qū)出口邊界安全部署組網(wǎng)方式，本組網(wǎng)僅使用H3C的一臺(tái)MSR路由器或者SecPath安全產(chǎn)品，集成VPN網(wǎng)關(guān)、防火墻功能，并可以通過(guò)在該設(shè)備上配置NAM（MSR）或者NSM（SecPath）對(duì)園區(qū)進(jìn)出口流量進(jìn)行監(jiān)控；對(duì)于園區(qū)規(guī)模較大的用戶，我們推薦在本組網(wǎng)中加入專業(yè)的防火墻、IPS等設(shè)備增加邊界安全性；對(duì)邊界安全性能、可靠性要求都較高的用戶，我們推薦使用園區(qū)網(wǎng)絡(luò)多出口邊界安全部署組網(wǎng)方式，本組網(wǎng)在使用專業(yè)網(wǎng)關(guān)設(shè)備的同時(shí)，通過(guò)部署雙VPN網(wǎng)關(guān)實(shí)現(xiàn)負(fù)載均衡和備份，部署雙防火墻實(shí)現(xiàn)狀態(tài)熱備，提供園區(qū)出口的高可靠性；邊界安全部署典型應(yīng)用場(chǎng)景H3C邊界安全部署最單設(shè)備園區(qū)出口邊界安全部署組網(wǎng)園區(qū)網(wǎng)絡(luò)Internet公共服務(wù)器路由器/

安全網(wǎng)關(guān)/VPN網(wǎng)關(guān)ISP路由器園區(qū)邊界設(shè)備MSR50/30/20AR28/46SecPath系列分支機(jī)構(gòu)VPN網(wǎng)關(guān)移動(dòng)用戶211.2.10.1/24192.168.0.1/24192.168.1.1/24192.168.0.100/24211.4.1.2/24單設(shè)備園區(qū)出口邊界安全部署組網(wǎng)園區(qū)網(wǎng)絡(luò)Internet公共服單設(shè)備出口組網(wǎng)說(shuō)明本組網(wǎng)非常簡(jiǎn)單，僅一臺(tái)出口設(shè)備，易于管理；H3C公司的MSR/AR/SecPath系列產(chǎn)品可提供強(qiáng)大的VPN功能，遠(yuǎn)程分支、移動(dòng)用戶可以通過(guò)單IPSec、GREoverIPSec、L2TPoverIPSec等多種VPN方式接入園區(qū)總部；L2TP可以提供用戶認(rèn)證功能，GRE隧道可以讓企業(yè)分支與總部進(jìn)行私網(wǎng)路由的交互，IPSec加密功能可以確保通訊報(bào)文的保密性和可靠性；H3C公司的MSR/AR/SecPath系列產(chǎn)品同時(shí)也可以作為安全網(wǎng)關(guān)使用，支持NAT、ACL訪問(wèn)控制、ASPF、深度業(yè)務(wù)監(jiān)控等典型應(yīng)用；出口設(shè)備上配置的NAM/NSM板卡對(duì)進(jìn)出口流量進(jìn)行有效的分析和監(jiān)控；出口設(shè)備公網(wǎng)接口上配置NAT，讓內(nèi)部用戶可以訪問(wèn)internet；出口設(shè)備公網(wǎng)接口上配置NATserver，讓internet用戶可以訪問(wèn)公共服務(wù)器；單設(shè)備出口組網(wǎng)說(shuō)明本組網(wǎng)非常簡(jiǎn)單，僅一臺(tái)出口設(shè)備，易于管理；單設(shè)備出口組網(wǎng)配置說(shuō)明

——遠(yuǎn)程VPN接入分支機(jī)構(gòu)VPN接入，接入方式：?jiǎn)蜪PSec隧道方式IPSec的remote地址為園區(qū)出口VPN網(wǎng)關(guān)的公網(wǎng)地址；IPSec采用野蠻模式，支持NAT穿越功能；IPSec感興趣流為分支機(jī)構(gòu)私網(wǎng)網(wǎng)段地址到總部園區(qū)網(wǎng)網(wǎng)段地址；分支設(shè)備公網(wǎng)接口上啟用IPSec策略；遠(yuǎn)程移動(dòng)用戶使用iNodeVPN客戶端接入，接入方式：L2TPoverIPSec新建iNode連接，iNodeVPN啟用IPSec安全協(xié)議；L2TPLNS服務(wù)器地址、IPSec服務(wù)器地址都設(shè)置為園區(qū)出口VPN網(wǎng)關(guān)的公網(wǎng)地址；IPSec使用隧道方式，啟用NAT穿越功能；單設(shè)備出口組網(wǎng)配置說(shuō)明

單設(shè)備出口組網(wǎng)配置說(shuō)明

——總部VPN配置總部VPN網(wǎng)關(guān)配置作為L(zhǎng)2TPLNS端的基本配置，包括用戶名、地址池、虛接口、L2TP組相關(guān)配置；由于遠(yuǎn)程移動(dòng)接入用戶公網(wǎng)IP的不確定性，總部IPSec使用動(dòng)態(tài)模板方式，先建立IPSec動(dòng)態(tài)模板，然后用動(dòng)態(tài)模板建立IPSec策略；在VPN網(wǎng)關(guān)公網(wǎng)接口上啟用IPSec策略單設(shè)備出口組網(wǎng)配置說(shuō)明

單設(shè)備出口組網(wǎng)配置說(shuō)明

——防火墻配置總部防火墻網(wǎng)關(guān)：SecPath系列放火墻可支持ACL訪問(wèn)控制、ASPF（基于應(yīng)用層的報(bào)文過(guò)濾）、深度業(yè)務(wù)監(jiān)控等多種功能，下面僅以啟用ASPF功能為例：系統(tǒng)視圖下：#新建ASPF策略，添加需要檢測(cè)的應(yīng)用層協(xié)議tcp；aspf-policy1detecttcp＃在防火墻網(wǎng)關(guān)公網(wǎng)接口上啟用ASPF策略，本策略僅允許從園區(qū)網(wǎng)內(nèi)部主動(dòng)發(fā)起的TCP連接，即如果報(bào)文是內(nèi)部網(wǎng)絡(luò)用戶發(fā)起的TCP連接的返回報(bào)文，則允許其通過(guò)防火墻進(jìn)入內(nèi)部網(wǎng)絡(luò)，其他報(bào)文被禁止；interfaceGigabitEthernet0/0firewallaspf1outbound

單設(shè)備出口組網(wǎng)配置說(shuō)明

單設(shè)備出口組網(wǎng)配置說(shuō)明

——NAT配置園區(qū)內(nèi)部通過(guò)NAT訪問(wèn)internet

首先需要確認(rèn)訪問(wèn)internet的流量，然后對(duì)這些流量的地址進(jìn)行NAT轉(zhuǎn)換，其次要設(shè)置地址池，即申請(qǐng)到的公網(wǎng)地址。假設(shè)分支的IP地址都規(guī)劃在172.0.0.0/8網(wǎng)段，園區(qū)內(nèi)部IP地址規(guī)劃在192.168.0.0/16網(wǎng)段。＃私網(wǎng)訪問(wèn)公網(wǎng)的流量需要進(jìn)行NAT轉(zhuǎn)換 aclnumber3000 rule0permitipsource192.168.0.00.0.255.255 rule1denyipdestination172.0.0.00.0.0.255＃申請(qǐng)到的公網(wǎng)IP，與公網(wǎng)接口在同一個(gè)網(wǎng)段nataddress-group0211.2.10.1211.2.10.2＃公網(wǎng)接口上啟用nat interfaceGigabitEthernet0/1natoutbound3000address-group0單設(shè)備出口組網(wǎng)配置說(shuō)明

單設(shè)備出口組網(wǎng)配置說(shuō)明

——NATServer配置單設(shè)備出口組網(wǎng)配置說(shuō)明

單設(shè)備出口組網(wǎng)配置說(shuō)明

——NSM配置（1）設(shè)備側(cè)流量鏡像配置：NSM版卡插在SecPath防火墻上，需要在SecPath上將流量鏡像到NSM板卡內(nèi)部接口上，NSM對(duì)收到的報(bào)文進(jìn)行分析。SecPath上需要進(jìn)行的配置：#將網(wǎng)關(guān)內(nèi)網(wǎng)接口上的進(jìn)出流量都鏡像到NSM內(nèi)部端口上進(jìn)行統(tǒng)計(jì)，NSM插在三槽位；interfaceGigabitEthernet0/1mirrortoGigabitEthernet3/0bothNSM配置：/*管理口IP配置為192.0.0.1，默認(rèn)網(wǎng)關(guān)為192.0.0.10（管理口直連設(shè)備接口地址）*/單設(shè)備出口組網(wǎng)配置說(shuō)明

單設(shè)備出口組網(wǎng)配置說(shuō)明

——NSM配置（2）NSM配置（續(xù)）：如果用戶需要在遠(yuǎn)程監(jiān)控室中登陸NSM，觀察流量分析結(jié)果，需要將NSM的管理口eth1接入到園區(qū)網(wǎng)中，并將該路由發(fā)布出去，NSM管理口的默認(rèn)網(wǎng)關(guān)設(shè)置為其直連設(shè)備接口的IP地址；選擇eth0作為觀察接口，即可以觀察到SecPath上的流量情況。

單設(shè)備出口組網(wǎng)配置說(shuō)明

園區(qū)網(wǎng)Internet公共服務(wù)器防火墻/VPN/NATInternet

出口路由器專網(wǎng)WAN

出口路由器遠(yuǎn)程分支機(jī)構(gòu)IPSIPSInternet/WAN移動(dòng)用戶多出口網(wǎng)關(guān)集成邊界安全部署組網(wǎng)園區(qū)網(wǎng)Internet公共服務(wù)器防火墻/VPN/NATInt多出口網(wǎng)關(guān)集成出口組網(wǎng)說(shuō)明（1）本組網(wǎng)中VPN網(wǎng)關(guān)、防火墻功能都集成在H3C的SecPath產(chǎn)品上，提供遠(yuǎn)程VPN接入及攻擊防護(hù)功能；這里使用兩臺(tái)設(shè)備實(shí)現(xiàn)雙VPN網(wǎng)關(guān)及防火墻的備份；網(wǎng)關(guān)備份實(shí)現(xiàn)方式：VPN隧道使用GREoverIPSec方式，在GREtunnel口上啟用OSPF動(dòng)態(tài)路由，并通過(guò)配置路由cost值的不同達(dá)到備份的目的，正常情況下流量進(jìn)出走cost值小的隧道，當(dāng)該隧道中斷后，流量會(huì)自動(dòng)切換到cost值大的隧道上。網(wǎng)關(guān)負(fù)載分擔(dān)實(shí)現(xiàn)方式：不同的分支選擇不同的VPN網(wǎng)關(guān)作為主設(shè)備，這樣正常情況下，流量就會(huì)分布在兩臺(tái)設(shè)備上。在兩臺(tái)SecPath上都配置NSM板卡，NSM板工作在NSM＋nProbe方式下，該方式可以使兩塊NSM板卡的流量采集功能互為備份，后面對(duì)具體配置進(jìn)行說(shuō)明。多出口網(wǎng)關(guān)集成出口組網(wǎng)說(shuō)明（1）本組網(wǎng)中VPN網(wǎng)關(guān)、防火墻功多出口網(wǎng)關(guān)集成出口組網(wǎng)說(shuō)明（2）如果內(nèi)部用戶需要訪問(wèn)internet，可以在兩臺(tái)SecPath的公網(wǎng)接口上配置NAT；internet訪問(wèn)的備份實(shí)現(xiàn)方式：兩臺(tái)SecPath上的私網(wǎng)動(dòng)態(tài)路由中都引入訪問(wèn)internet的默認(rèn)路由，這樣園區(qū)內(nèi)部設(shè)備將有兩條訪問(wèn)internet的默認(rèn)路由，可以進(jìn)行負(fù)載分擔(dān)和冗余備份。如果園區(qū)內(nèi)部有公共服務(wù)器需要對(duì)internet用戶提供服務(wù)，則需要在兩臺(tái)SecPath的公網(wǎng)接口上配置NATserver。該服務(wù)的備份實(shí)現(xiàn)方式：NATserver的外網(wǎng)地址使用網(wǎng)關(guān)設(shè)備公網(wǎng)接口的VRRP虛地址，當(dāng)VRRP主設(shè)備故障后，VRRP組的從設(shè)備將變?yōu)橹髟O(shè)備，繼續(xù)執(zhí)行NATserver功能。多出口網(wǎng)關(guān)集成出口組網(wǎng)說(shuō)明（2）如果內(nèi)部用戶需要訪問(wèn)inte多出口網(wǎng)關(guān)集成組網(wǎng)配置說(shuō)明

——遠(yuǎn)程VPN接入分支機(jī)構(gòu)VPN接入，接入方式：GREoverIPSec隧道方式分支設(shè)備分別與總部（園區(qū)出口）的兩臺(tái)VPN網(wǎng)關(guān)建立GREoverIPSEC隧道：分支的GRE隧道的源/目的IP分別為分支/總部網(wǎng)關(guān)的Loopback口地址；并在tunnel口上啟用OSPF，與總部交互私網(wǎng)路由；分支IPSEC的感興趣流源/目的IP分別為分支/總部網(wǎng)關(guān)的Loopback口地址；分支啟用DPD功能，便于隧道的快速切換；分支設(shè)備公網(wǎng)接口上啟用IPSec策略；遠(yuǎn)程移動(dòng)用戶使用iNodeVPN客戶端接入，接入方式：L2TPoverIPSec新建連接，iNodeVPN啟用IPSec安全協(xié)議；L2TPLNS服務(wù)器地址、IPSec服務(wù)器地址都設(shè)置為園區(qū)出口VPN網(wǎng)關(guān)的公網(wǎng)地址；因?yàn)橛袃蓚€(gè)VPN網(wǎng)關(guān)，所以可以建立兩個(gè)新連接，一個(gè)作為備用；多出口網(wǎng)關(guān)集成組網(wǎng)配置說(shuō)明

多出口網(wǎng)關(guān)集成組網(wǎng)配置說(shuō)明

——總部VPN配置總部VPN網(wǎng)關(guān)配置作為L(zhǎng)2TPLNS端的基本配置，包括用戶名、地址池、虛接口、L2TP相關(guān)配置；總部的GRE隧道的源/目的IP分別為總部/分支的Loopback口地址；并在Tunnel口上啟用OSPF，與私網(wǎng)路由進(jìn)行交互；由于遠(yuǎn)程移動(dòng)接入用戶公網(wǎng)IP的不確定性，IPSec使用動(dòng)態(tài)模板方式，先建立IPSec動(dòng)態(tài)模板，然后用動(dòng)態(tài)模板建立IPSec策略；在VPN網(wǎng)關(guān)公網(wǎng)接口上啟用IPSec策略；多出口網(wǎng)關(guān)集成組網(wǎng)配置說(shuō)明

多出口網(wǎng)關(guān)集成組網(wǎng)配置說(shuō)明

——防火墻配置總部防火墻網(wǎng)關(guān)：SecPath系列放火墻可支持ACL訪問(wèn)控制、ASPF（基于應(yīng)用層的報(bào)文過(guò)濾）、深度業(yè)務(wù)監(jiān)控等多種功能，下面僅以啟用ASPF功能為例，兩臺(tái)防火墻上都進(jìn)行如下配置：系統(tǒng)視圖下：#新建ASPF策略，添加需要檢測(cè)的應(yīng)用層協(xié)議tcp；aspf-policy1detecttcp＃在防火墻網(wǎng)關(guān)公網(wǎng)接口上啟用ASPF策略，本策略僅允許從園區(qū)網(wǎng)內(nèi)部主動(dòng)發(fā)起的TCP連接，即如果報(bào)文是內(nèi)部網(wǎng)絡(luò)用戶發(fā)起的TCP連接的返回報(bào)文，則允許其通過(guò)防火墻進(jìn)入內(nèi)部網(wǎng)絡(luò)，其他報(bào)文被禁止；interfaceGigabitEthernet0/0firewallaspf1outbound

多出口網(wǎng)關(guān)集成組網(wǎng)配置說(shuō)明

多出口網(wǎng)關(guān)集成組網(wǎng)配置說(shuō)明

——NAT配置園區(qū)內(nèi)部通過(guò)NAT訪問(wèn)internet

首先需要確認(rèn)訪問(wèn)internet的流量，然后對(duì)這些流量的地址進(jìn)行NAT轉(zhuǎn)換，其次要設(shè)置地址池，即申請(qǐng)到的公網(wǎng)地址。假設(shè)分支的IP地址都規(guī)劃在172.0.0.0/8網(wǎng)段，園區(qū)內(nèi)部IP地址規(guī)劃在192.168.0.0/16網(wǎng)段。兩臺(tái)網(wǎng)關(guān)設(shè)備上都進(jìn)行如下配置后，將默認(rèn)路由引入到私網(wǎng)動(dòng)態(tài)路由中即可。＃私網(wǎng)訪問(wèn)公網(wǎng)的流量需要進(jìn)行NAT轉(zhuǎn)換 aclnumber3000 rule0permitipsource192.168.0.00.0.255.255 rule1denyipdestination172.0.0.00.0.0.255＃申請(qǐng)到的公網(wǎng)IP，與公網(wǎng)接口在同一個(gè)網(wǎng)段nataddress-group0211.2.10.1211.2.10.2＃公網(wǎng)接口上啟用nat interfaceGigabitEthernet0/1natoutbound3000address-group0多出口網(wǎng)關(guān)集成組網(wǎng)配置說(shuō)明

多出口網(wǎng)關(guān)集成組網(wǎng)配置說(shuō)明

——NATServer配置多出口網(wǎng)關(guān)集成組網(wǎng)配置說(shuō)明

多出口網(wǎng)關(guān)集成組網(wǎng)配置說(shuō)明

——NSM配置（1）在本組網(wǎng)中存在兩臺(tái)網(wǎng)關(guān)設(shè)備進(jìn)行負(fù)載分擔(dān)和冗余備份，為了實(shí)時(shí)、方便的采集園區(qū)網(wǎng)進(jìn)出口的所有流量，我們?cè)趦膳_(tái)網(wǎng)關(guān)設(shè)備上分別部署一塊NSM板卡，使用NSM＋nProbe方式對(duì)流量進(jìn)行采集。該方式是在設(shè)備將原始流量鏡像到NSM的內(nèi)部口eth0上后，nProbe首先對(duì)原始流量進(jìn)行處理，將其統(tǒng)計(jì)為netflow流，然后將netflow流發(fā)給兩塊NSM板卡的內(nèi)部管理口eth1，NSM上啟用netflow口接收并處理該netflow流，達(dá)到流量統(tǒng)計(jì)的目的；設(shè)備側(cè)流量鏡像配置：NSM板卡插在SecPath防火墻上，需要在SecPath上將流量鏡像到NSM板卡內(nèi)部接口上，NSM對(duì)收到的報(bào)文進(jìn)行分析。SecPath上需要進(jìn)行的配置：#將網(wǎng)關(guān)內(nèi)網(wǎng)接口上的流量都鏡像到NSM內(nèi)部端口上進(jìn)行統(tǒng)計(jì)，NSM插在三槽位；interfaceGigabitEthernet0/1mirrortoGigabitEthernet3/0both多出口網(wǎng)關(guān)集成組網(wǎng)配置說(shuō)明

多出口網(wǎng)關(guān)集成組網(wǎng)配置說(shuō)明

——NSM配置（2）防火墻網(wǎng)關(guān)a：NSM板卡配置/*管理口IP配置為192.0.0.1默認(rèn)網(wǎng)關(guān)為192.0.0.10（管理口直連設(shè)備接口地址）*//*nProbe產(chǎn)生的netflow發(fā)送地址，為主備網(wǎng)關(guān)的管理口IP地址*/多出口網(wǎng)關(guān)集成組網(wǎng)配置說(shuō)明

多出口網(wǎng)關(guān)集成組網(wǎng)配置說(shuō)明

——NSM配置（3）防火墻網(wǎng)關(guān)a：NSM板卡配置（續(xù)）/*netflow接口，端口號(hào)為65535，與nProbe上的配置相對(duì)應(yīng)*//*選擇該netflow接口作為顯示接口即可*/防火墻網(wǎng)關(guān)b：NSM板卡配置與防火墻網(wǎng)關(guān)a上NSM的配置基本相同，除了管理口IP設(shè)置為192.0.0.2。兩臺(tái)防火墻的NSM管理口需要連著同一個(gè)交換機(jī)上，并接入到園區(qū)網(wǎng)設(shè)備，設(shè)備將該路由在園區(qū)網(wǎng)中發(fā)布出去，這樣客戶就可以遠(yuǎn)程登陸NSM觀察流量統(tǒng)計(jì)情況。多出口網(wǎng)關(guān)集成組網(wǎng)配置說(shuō)明

多出口網(wǎng)關(guān)分離邊界安全組網(wǎng)Internet公共服務(wù)器防火墻園區(qū)邊界Internet

出口路由器專網(wǎng)WAN

出口路由器遠(yuǎn)程分支機(jī)構(gòu)VPN網(wǎng)關(guān)IPSIPSInternet/WAN移動(dòng)用戶園區(qū)網(wǎng)多出口網(wǎng)關(guān)分離邊界安全組網(wǎng)Internet公共服務(wù)器防火墻園多出口網(wǎng)關(guān)分離組網(wǎng)相對(duì)于多出口網(wǎng)關(guān)集成組網(wǎng)，其主要的差別首先在于VPN網(wǎng)關(guān)、防火墻網(wǎng)關(guān)功能由兩款專業(yè)的設(shè)備分別實(shí)現(xiàn)，提高了園區(qū)出口的性能。VPN網(wǎng)關(guān)、防火墻網(wǎng)關(guān)的配置與網(wǎng)關(guān)集成出口組網(wǎng)配置一樣，只是部署在不同的設(shè)備上。第二個(gè)差別是本組網(wǎng)中啟用了狀態(tài)熱備功能，該功能可以保障在主網(wǎng)關(guān)發(fā)生故障時(shí)，應(yīng)用連接不中斷的情況下進(jìn)行網(wǎng)關(guān)切換。下面描述一下?tīng)顟B(tài)熱備的相關(guān)配置。多出口網(wǎng)關(guān)分離邊界安全組網(wǎng)配置說(shuō)明多出口網(wǎng)關(guān)分離組網(wǎng)相對(duì)于多出口網(wǎng)關(guān)集成組網(wǎng)，其主要的差別首先多出口網(wǎng)關(guān)分離組網(wǎng)配置說(shuō)明

——防火墻配置（1）總部防火墻網(wǎng)關(guān)a：?jiǎn)⒂梅阑饓W(wǎng)橋模式下的狀態(tài)熱備；假設(shè)接口G0/0、G0/1為數(shù)據(jù)轉(zhuǎn)發(fā)接口。E1/1為HA接口，即用于傳輸雙機(jī)熱備的協(xié)商報(bào)文和業(yè)務(wù)同步數(shù)據(jù)，將兩臺(tái)防火墻設(shè)備的HA接口直連。這里的配置不涉及防火墻的具體防御功能。系統(tǒng)視圖下：#配置防火墻使能網(wǎng)橋功能，并使能橋組1

bridgeenablebridge1enable

#將接口加入到橋組

interfaceGigabitEthernet0/0bridge-set1interfaceGigabitEthernet0/1bridge-set1多出口網(wǎng)關(guān)分離組網(wǎng)配置說(shuō)明

多出口網(wǎng)關(guān)分離組網(wǎng)配置說(shuō)明

——防火墻配置（2）總部防火墻網(wǎng)關(guān)a：?jiǎn)⒂梅阑饓W(wǎng)橋模式下的狀態(tài)熱備（續(xù)）；#創(chuàng)建冗余設(shè)備對(duì)象RDO1rdo1ha-interfaceinterfaceEthernet1/1peer-macffff-ffff-ffffad-interval1vif1interfaceGigabitEthernet0/0vif2interfaceGigabitEthernet0/1總部防火墻網(wǎng)關(guān)b：?jiǎn)⒂梅阑饓W(wǎng)橋模式下的狀態(tài)熱備；防火墻b上的配置與a上一致；多出口網(wǎng)關(guān)分離組網(wǎng)配置說(shuō)明

邊界安全部署最佳實(shí)踐x課件1、Geniusonlymeanshard-workingallone'slife.(Mendeleyer,RussianChemist)

天才只意味著終身不懈的努力。20.8.58.5.202011:0311:03:10Aug-2011:032、Ourdestinyoffersnotonlythecupofdespair,butthechaliceofopportunity.(RichardNixon,AmericanPresident)命運(yùn)給予我們的不是失望之酒，而是機(jī)會(huì)之杯。二〇二〇年八月五日2020年8月5日星期三3、Patienceisbitter,butitsfruitissweet.(JeanJacquesRousseau,Frenchthinker)忍耐是痛苦的，但它的果實(shí)是甜蜜的。11:038.5.202011:038.5.202011:0311:03:108.5.202011:038.5.20204、Allthatyoudo,dowithyourmight;thingsdone