Netscreen防火墻保護(hù)內(nèi)網(wǎng)安全的一個(gè)解決方案_第1頁(yè)
Netscreen防火墻保護(hù)內(nèi)網(wǎng)安全的一個(gè)解決方案_第2頁(yè)
Netscreen防火墻保護(hù)內(nèi)網(wǎng)安全的一個(gè)解決方案_第3頁(yè)
Netscreen防火墻保護(hù)內(nèi)網(wǎng)安全的一個(gè)解決方案_第4頁(yè)
Netscreen防火墻保護(hù)內(nèi)網(wǎng)安全的一個(gè)解決方案_第5頁(yè)
已閱讀5頁(yè),還剩1頁(yè)未讀, 繼續(xù)免費(fèi)閱讀

下載本文檔

版權(quán)說(shuō)明:本文檔由用戶提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請(qǐng)進(jìn)行舉報(bào)或認(rèn)領(lǐng)

文檔簡(jiǎn)介

1、部署Netscreen防火墻保護(hù)內(nèi)網(wǎng)安全目前有很多用戶存在內(nèi)網(wǎng)訪問控制的需求,希望能夠充分利用防火墻的訪問控制能力進(jìn)一步細(xì)分內(nèi)網(wǎng)的安全子域,由于辦公用戶和內(nèi)部應(yīng)用主機(jī)通常接在交換機(jī)上,要想在交換機(jī)上實(shí)現(xiàn)不同VLAN間訪問控制和隔離,對(duì)交換機(jī)處理要求比較高,實(shí)施起來(lái)比較復(fù)雜而且維護(hù)不方便。經(jīng)測(cè)試驗(yàn)證:交換機(jī)和Netscreen防火墻結(jié)合起來(lái)可以很好地解決內(nèi)網(wǎng)訪問控制問題,通過(guò)Trunkaggregate接口并結(jié)合防火墻的zone和Policy能夠提供更細(xì)粒度的內(nèi)網(wǎng)訪問控制。下面結(jié)合一個(gè)客戶案例做一個(gè)扼要介紹??蛻粜枨螅?、需要對(duì)內(nèi)網(wǎng)所有VLAN間的流量實(shí)施統(tǒng)一的安全管理策略,容許VLAN間流量的

2、單向、雙向訪問或拒絕訪問。2、保持現(xiàn)有網(wǎng)絡(luò)架構(gòu)不變,防火墻里面接三層交換機(jī),交換機(jī)直連服務(wù)器和用戶,充分利用現(xiàn)有Netscreen防火墻安全處理能力,無(wú)需額外采購(gòu)防火墻放置在交換機(jī)和服務(wù)器之間。3、對(duì)于需要加強(qiáng)訪問控制的流量由防火墻處理,而部分無(wú)需實(shí)行訪問控制的流量則直接由交換機(jī)進(jìn)行轉(zhuǎn)發(fā)。解決方案:根據(jù)客戶的具體需求,Netscreen防火墻在交換機(jī)協(xié)助下通過(guò)Trunk進(jìn)行連接,并將不同的VLAN子接口放在不同的zone中,通過(guò)Policy來(lái)控制VLAN間流量訪問。為了提高流量的吞吐量,可以在交換機(jī)和防火墻間通過(guò)千兆以太網(wǎng)捆綁通道相連,提高了網(wǎng)絡(luò)的帶寬和可靠性。測(cè)試環(huán)境:其中vlan2和vla

3、n3網(wǎng)關(guān)終結(jié)在防火墻上,并位于不同的zone,vlan4和vlan5網(wǎng)關(guān)終結(jié)在cisco交換機(jī)上,vlan4和vlan5間流量直接通過(guò)交換機(jī)轉(zhuǎn)發(fā)。同時(shí)在防火墻和交換機(jī)trunk中繼上配置單獨(dú)子網(wǎng),用于解決vlan2/3和vlan4/5的互訪。測(cè)試目標(biāo):1、 VLAN2可以訪問VLAN4服務(wù)器的WEB應(yīng)用,而VLAN3可以訪問VLAN4服務(wù)器的mail應(yīng)用2、 VLAN2可以訪問VLAN3整個(gè)網(wǎng)段,而VLAN3僅可以訪問VLAN2的FTP應(yīng)用。3、 VLAN4和VLAN5間流量直接由交換機(jī)轉(zhuǎn)發(fā)處理,流量無(wú)需經(jīng)過(guò)防火墻。4、 除此以外,所有訪問都不容許訪問。測(cè)試結(jié)果:1、通過(guò)配置聚合端口使防火墻和

4、交換機(jī)的轉(zhuǎn)發(fā)能力得到大副提高,同時(shí)增強(qiáng)了鏈路的冗余性。2、通過(guò)Trunk中繼技術(shù),使防火墻能夠正確地識(shí)別交換機(jī)配置的不同VLAN ID,并通過(guò)Policy提供單向的嚴(yán)格訪問控制。3、對(duì)于一些vlan間無(wú)需訪問控制的流量,可在交換機(jī)上直接終結(jié)這些VLAN,使這些VLAN間的流量轉(zhuǎn)發(fā)不經(jīng)過(guò)防火墻,由交換機(jī)直接進(jìn)行交換處理。配置信息:一、 NS5200set zone Trust vrouter trust-vrset zone Untrust vrouter trust-vrset zone DMZ vrouter trust-vrset group service MAIL1 comment S

5、MTP+POP3set group service MAIL1 add POP3set group service MAIL1 add SMTPset interface id 109 aggregate1 zone Untrustset interface ethernet2/7 aggregate aggregate1set interface ethernet2/8 aggregate aggregate1set interface aggregate1.2 tag 2 zone Trustset interface aggregate1.3 tag 3 zone Untrustset

6、interface aggregate1.10 tag 10 zone DMZset interface aggregate1.2 ip /24set interface aggregate1.2 routeset interface aggregate1.3 ip /24set interface aggregate1.3 routeset interface aggregate1.10 ip /24 /*與防火墻互連網(wǎng)段,用于轉(zhuǎn)發(fā)VLAN4/5與Vlan2/3中間的流量*/set interface aggregate1.10 r

7、outeset policy id 1 from TrusttoDMZ Any /24 HTTP permitset policy id 2 from UntrusttoDMZ Any /24 MAIL1 permitset policy id 3 from Untrust to trust Any Any FTP permitset policy id 4 from Trust to Untrust Any Any ANY permitset route /24 interface aggregate1.10 gateway

8、set route /24 interface aggregate1.10 gateway /*轉(zhuǎn)發(fā)VLAN4/5與Vlan2/3間流量的路由*/二、 Cisco 3550(EMI Version)interface Port-channel1 switchport mode dynamic desirable!interface FastEthernet0/2 switchport access vlan 2 switchport mode access!interface FastEthernet0/3 switchport acces

9、s vlan 3 switchport mode access!interface FastEthernet0/4 switchport access vlan 4 switchport mode access!interface FastEthernet0/5 switchport access vlan 5 switchport mode access!interface FastEthernet0/10 switchport access vlan 10 switchport mode access!interface GigabitEthernet0/1 /*port-channel+

10、Trunk*/ switchport trunk encapsulation dot1q switchport mode trunk channel-group 1 mode desirable!interface GigabitEthernet0/2 /*port-channel+Trunk*/ switchport trunk encapsulation dot1q switchport mode trunk channel-group 1 mode desirable!interface Vlan4 /*在交換機(jī)上終結(jié)Vlan4的流量*/ ip address 2

11、!interface Vlan5 /*在交換機(jī)上終結(jié)Vlan5的流量*/ ip address !interface Vlan10 /*與防火墻互連網(wǎng)段,用于轉(zhuǎn)發(fā)VLAN4/5與Vlan2/3中間的流量*/ ip address !ip classlessip route 備注:1、 聚合端口需要NS5200/5400或ISG1000/2000的8G2模塊支持。2、 在測(cè)試過(guò)程中,拔調(diào)聚合端口中的一個(gè)網(wǎng)線不會(huì)出現(xiàn)ping丟包現(xiàn)象,

12、但是如果恢復(fù)拔掉的網(wǎng)線,防火墻需要將該端口加入到聚合端口中并進(jìn)行流量再分配,會(huì)出現(xiàn)下面的丟包現(xiàn)象(共丟6個(gè)ping包,流量中斷30秒),聚合端口完成流量重新分配后,網(wǎng)絡(luò)恢復(fù)正常,不再出現(xiàn)ping丟包。C: ping Pinging with 32 bytes of data:Reply from : bytes=32 time=1ms TTL=64Reply from : bytes=32 time=1ms TTL=64Request timed out.Reply from : bytes=32 time=1ms TTL=64Reply from : bytes=32 time=1ms TTL=64Request timed out.Request timed out.Request timed out.Request timed out.Request timed out.Reply from : bytes=32 time=1ms TTL=64Reply from : bytes=32 time=1ms TTL=64Reply from 192.168.

溫馨提示

  • 1. 本站所有資源如無(wú)特殊說(shuō)明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請(qǐng)下載最新的WinRAR軟件解壓。
  • 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請(qǐng)聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶所有。
  • 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁(yè)內(nèi)容里面會(huì)有圖紙預(yù)覽,若沒有圖紙預(yù)覽就沒有圖紙。
  • 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
  • 5. 人人文庫(kù)網(wǎng)僅提供信息存儲(chǔ)空間,僅對(duì)用戶上傳內(nèi)容的表現(xiàn)方式做保護(hù)處理,對(duì)用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對(duì)任何下載內(nèi)容負(fù)責(zé)。
  • 6. 下載文件中如有侵權(quán)或不適當(dāng)內(nèi)容,請(qǐng)與我們聯(lián)系,我們立即糾正。
  • 7. 本站不保證下載資源的準(zhǔn)確性、安全性和完整性, 同時(shí)也不承擔(dān)用戶因使用這些下載資源對(duì)自己和他人造成任何形式的傷害或損失。

最新文檔

評(píng)論

0/150

提交評(píng)論