雙防火墻下構(gòu)建專用商務(wù)網(wǎng)站
筆者所在公司網(wǎng)絡(luò)為自建局域網(wǎng),既承擔(dān)集團(tuán)公司生產(chǎn)、財務(wù)、物流等各業(yè)務(wù)系統(tǒng)的運行,又提供辦公人員訪問互聯(lián)網(wǎng)的業(yè)務(wù)。整個網(wǎng)絡(luò)主要由集團(tuán)公司總部網(wǎng)絡(luò)和分系統(tǒng)或區(qū)域的分支網(wǎng)絡(luò)組成。集團(tuán)公司總部網(wǎng)絡(luò)對內(nèi)為員工提供了一個企業(yè)內(nèi)部生產(chǎn)、辦公、交流的平臺,對外為員工提供訪問互聯(lián)網(wǎng)的業(yè)務(wù)。
集團(tuán)公司總部網(wǎng)絡(luò)的拓?fù)溥B接主要為ISP 服務(wù)商→防火墻→內(nèi)部網(wǎng)絡(luò)。其中,在防火墻的DMZ 區(qū)域放著公司的重要服務(wù)器,如集團(tuán)公司電子商務(wù)網(wǎng)站、電子郵局、人力資源外部網(wǎng)站等。
本文中涉及的物流網(wǎng)絡(luò)為分支網(wǎng)絡(luò),但為了保證其業(yè)務(wù)的安全性,該分支網(wǎng)絡(luò)要求規(guī)劃成為一個構(gòu)建在防火墻基礎(chǔ)上的專用網(wǎng)絡(luò)。物流系統(tǒng)數(shù)據(jù)庫服務(wù)器及數(shù)據(jù)庫備份服務(wù)器、應(yīng)用服務(wù)器及其商務(wù)網(wǎng)站等重要服務(wù)器,同樣被規(guī)劃在其防火墻的DMZ 區(qū)域。
本文將介紹雙防火墻下構(gòu)建專用商務(wù)網(wǎng)站的方法。
架設(shè)防火墻的目的
本案例中架設(shè)防火墻的目的有兩個:
第一,防火墻允許網(wǎng)絡(luò)管理人員有中心、有重點地規(guī)劃網(wǎng)絡(luò),從而防止跨越權(quán)限的數(shù)據(jù)訪問及非授權(quán)用戶進(jìn)入內(nèi)部網(wǎng)絡(luò)。通過借助防火墻的3 個安全區(qū)域,使用戶的網(wǎng)絡(luò)規(guī)劃清晰明了,使網(wǎng)管人員可以很方便地監(jiān)視網(wǎng)絡(luò)的安全情況,并按需要及時調(diào)整安全訪問策略或規(guī)則。
第二,通過在防火墻上部署NAT(Network AddressTranslation,網(wǎng)絡(luò)地址變換),利用NAT 技術(shù)將有限的外部IP 地址靜態(tài)地址與內(nèi)部的IP 地址對應(yīng)起來,一方面可以緩解集團(tuán)公司公網(wǎng)地址空間短缺的問題,另一方面可以提高網(wǎng)絡(luò)中被保護(hù)資源的安全性。
總部網(wǎng)絡(luò)拓?fù)涓攀?/strong>
集團(tuán)公司內(nèi)部網(wǎng)絡(luò)被防火墻分隔為3 個不同安全級別的安全域,即inside、DMZ、outside 域。其中,inside內(nèi)網(wǎng)區(qū)域是大多數(shù)員工所在的集團(tuán)公司總部網(wǎng);DMZ 區(qū)域?qū)iT用于存放集團(tuán)公司涉外業(yè)務(wù),如商務(wù)、電子郵局、人力資源等;outside 外網(wǎng)區(qū)域,即互聯(lián)網(wǎng)區(qū)域。其安全等級從高到低依次為內(nèi)網(wǎng)區(qū)域100、DMZ 區(qū)域50、外網(wǎng)區(qū)域0。
規(guī)劃物流系統(tǒng)網(wǎng)絡(luò)并進(jìn)行拓?fù)溥B接
1. 規(guī)劃物流系統(tǒng)分支網(wǎng)絡(luò)。
在此需要明確的設(shè)計需求是:該分支網(wǎng)絡(luò)的中心或者重點是物流系統(tǒng)各服務(wù)器,如物流應(yīng)用系統(tǒng)、數(shù)據(jù)庫、數(shù)據(jù)備份服務(wù)器等。其使用人員為物資分公司的員工,物流商務(wù)網(wǎng)站服務(wù)器用于在互聯(lián)網(wǎng)上發(fā)布或收集相關(guān)信息。由此,圍繞防火墻設(shè)計其網(wǎng)絡(luò)連接:通過Cisco ASA 5550 防火墻的3 個不同端口,構(gòu)建3個不同安全級別的安全域(inside、DMZ、outside 域)。其安全等級從高到低依次為inside 域100、DMZ 域50、outside 域0。inside 內(nèi)網(wǎng)區(qū)域,用于連接數(shù)據(jù)庫、數(shù)據(jù)備份、物流應(yīng)用系統(tǒng)服務(wù)器等;DMZ 區(qū)域, 放置物流商務(wù)網(wǎng)站;outside 外網(wǎng)區(qū)域, 由物流系統(tǒng)用戶組成。
在這里,服務(wù)器的安全等級最高,其目的是保護(hù)物流系統(tǒng)核心資源必須是授權(quán)訪問,并減少來自外部的攻擊。如圖1 所示中的“物流分支網(wǎng)絡(luò)”部分。
2. 將物流虛擬網(wǎng)連入集團(tuán)公司網(wǎng)絡(luò),并使其能實現(xiàn)所需功能
物流虛擬網(wǎng)與集團(tuán)總部網(wǎng)絡(luò)的拓?fù)湟?guī)劃及連接如圖1所示。由圖可見,從集團(tuán)公司總部網(wǎng)絡(luò)的核心路由器分出兩路連接,一路用于物流系統(tǒng)用戶的接入,另一路用于連接物流系統(tǒng)防火墻。同時, 為了實現(xiàn)物流商務(wù)網(wǎng)站內(nèi)外通的功能,還需要在物流商務(wù)網(wǎng)站服務(wù)器與集團(tuán)公司總部防火墻的DMZ 區(qū)之間再加一條連接,如圖1 中的粗虛線所示。
圖1 總部網(wǎng)絡(luò)拓?fù)鋱D
這樣,物流商務(wù)網(wǎng)站可以通過在集團(tuán)公司防火墻上做相應(yīng)地址轉(zhuǎn)換而實現(xiàn)內(nèi)外通功能。
配置物流系統(tǒng)防火墻
針對物流系統(tǒng)用戶及合作伙伴的流動性及網(wǎng)絡(luò)擴展性強的要求,物流系統(tǒng)防火墻選用了Cisco ASA 5550 自適應(yīng)安全設(shè)備,它能夠隨著企業(yè)網(wǎng)絡(luò)安全要求的增長而不斷擴展,具有更高的投資保護(hù)能力和更出色的服務(wù)可擴展性。
企業(yè)可擴展其SSL 和IPsec VPN 容量,以支持大量移動員工、遠(yuǎn)程站點和業(yè)務(wù)合作伙伴。通過安裝SSL VPN 升級許可,可在每個Cisco ASA 5550 上擴展支持多達(dá)5000個SSL VPN peer,基礎(chǔ)平臺最多可支持5000 個IPsec VPNpeer。通過使用Cisco ASA 5550 的集成VPN 集群和負(fù)載平衡能力,VPN 容量和永續(xù)性還可以進(jìn)一步提高。
下面簡述在Cisco ASA 5550 防火墻上配置物流商務(wù)網(wǎng)站的步驟。
1. 配置防火墻
配置防火墻上相應(yīng)的inside、DMZ、outside 端口地址及其安全級別:建議把inside 和outside 端口放在不同槽板上,這種部署吞吐量大。
下面配置G0/0 口為防火墻的內(nèi)網(wǎng)口,IP 地址為10.20.100. 1/24,安全級別為100 :
interface GigabitEthernet 0/0
nameif inside
security-level 100
ip address 10.20.100.1 255.255.255.0
配置G0/3 口為防火墻的DMZ 口,IP 地址為10.20.40.1/24,安全級別為50 :
interface GigabitEthernet 0/3
nameif dmz
security-level 50
ip address 10.20.40.1 255.255.255.0
配置G1/0 口為防火墻的外網(wǎng)口,IP 地址為192.168.212.2/22,安全級別為0 :
interface GigabitEthernet 1/0
nameif outside
security-level 0
ip address 192.168.212.2 255.255.
255.0
2. 配置路由
在物流系統(tǒng)防火墻內(nèi)網(wǎng)口inside 下連的交換機中,還劃分了10.20.10.0/24 子網(wǎng),物流系統(tǒng)服務(wù)器的IP 地址被規(guī)劃在這個網(wǎng)段,因此要為這些網(wǎng)段添加通過內(nèi)網(wǎng)口訪問的靜態(tài)路由,還需要添加通過防火墻外網(wǎng)口outside 訪問的物流系統(tǒng)用戶所在的192.168.212.1/22 網(wǎng)段的路由。
在ASA 5550 防火墻上添加下面兩條靜態(tài)路由:
route inside 10.20.10.0 255.255.
255.0 10.20.100.1 1
route outside 0.0.0.0 0.0.0.0 192.
168.212.1 1
上面兩條路由,第一條用于訪問防火墻內(nèi)部的服務(wù)器,第二條用于訪問防火墻外部用戶。
3. 配置該服務(wù)器網(wǎng)卡
電子商務(wù)服務(wù)器被連接在了ASA 防火墻的DMZ 區(qū)域,網(wǎng)卡配置為10.100.40.2/24,另一塊網(wǎng)卡連接到互聯(lián)網(wǎng)出口防火墻的DMZ 區(qū)域,網(wǎng)卡配置為11.11.11.11/24,網(wǎng)關(guān)為11.11. 11.1,DNS 服務(wù)器IP 地址為202.99.160.68。
4. 做電子商務(wù)服務(wù)器NAT
做DMZ-outside 的靜態(tài)NAT :
static (dmz,outside) 192.168.212.20
10.20.40.2 netmask 255.255.255.255
做DMZ-inside 的靜態(tài)NAT :
static (dmz,inside) 10.20.100.100
10.20.40.2 netmask 255.255.255.255
上面這兩條靜態(tài)地址轉(zhuǎn)換的目的是讓防火墻外部用戶通過地址192.168.212.20 訪問,而防火墻內(nèi)部通過地址10.20.100.100 訪問。
5. 配置security policy (ACL) 及訪問規(guī)則
首先,創(chuàng)建電子商務(wù)所需的服務(wù),服務(wù)名稱為ebusiness:
object-group service ebusiness tcp
port-object range 2030 2030
port-object range 3389 3389
port-object eq https
port-object eq www
port-object range sqlnet sqlnet
其次,創(chuàng)建從外網(wǎng)訪問它的規(guī)則:
a c c e s s - l i s t o u t s i d e _ a c c e s s _
in extended permit tcp any host
192.168.212.20 object-group ebusiness
為了測試方便,還加了一條訪問規(guī)則,允許從外網(wǎng)對它進(jìn)行Ping :
a c c e s s - l i s t o u t s i d e _ a c c e s s _
in extended permit icmp any host
192.168.212.20
6. 配置出口防火墻
配置企業(yè)互聯(lián)網(wǎng)出口防火墻,建立該服務(wù)器在公網(wǎng)的映射,以便用戶的訪問。
集團(tuán)公司出口防火墻選用了FortiGate-310B 設(shè)備。這款設(shè)備包括很高級別的端口密度,10 個千兆以太端口;雙WAN 鏈接,支持冗余的互聯(lián)網(wǎng)連接,集成了一個4 個端口的交換機,無須使用外接的Hub 或交換機,使得聯(lián)網(wǎng)的設(shè)備直接連接到防火墻上。FortiASIC 網(wǎng)絡(luò)處理器可實現(xiàn)最高8Gbps 和6Gbps 的FW/IPSec VPN 吞吐量。
edit "VI_229_1"
set extip 61.240.133.13
set extintf "port7"
set portforward enable
set mappedip 11.11.11.11
set extport 80
set mappedport 80
next
edit 14
set input-device "port8"
s e t s r c 1 1 . 1 1 . 1 1 . 1 1 2 5 5 .
255.255.255
set output-device "port7"
next
配置路由
在Windows 系統(tǒng)中,允許為一個機器配置兩塊網(wǎng)卡。雖然理論上可以給兩塊網(wǎng)卡都配置網(wǎng)關(guān),但會由此造成路由混亂。因而,對于有兩塊網(wǎng)卡的機器,對其網(wǎng)卡配置時,一塊需要指定網(wǎng)關(guān),一塊則不需要指定網(wǎng)關(guān),而通過該網(wǎng)絡(luò)到達(dá)其他網(wǎng)段時,一般需要配置靜態(tài)路由。
在這里,為了保證機器重啟后仍能正常運行,采用給本機添加永久路由的方式。
在添加路由前需要對網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)有明確認(rèn)識。對于該服務(wù)器來說,訪問集團(tuán)公司的辦公網(wǎng)絡(luò)172 和192 網(wǎng)段,是通過ASA 防火墻的DMZ 口轉(zhuǎn)換的,而訪問物流系統(tǒng)ASA 防火墻內(nèi)部區(qū)域所連接的各數(shù)據(jù)庫服務(wù)器和備份服務(wù)器,也是通過DMZ 口轉(zhuǎn)發(fā)的,即訪問這幾段網(wǎng)絡(luò)的下一跳網(wǎng)關(guān)都為10.20.40.1。因而需要設(shè)置以下幾條本地永久路由:
Route –p add 172.16.8.0 mask
255.255.252.0 10.20. 40.1(內(nèi)網(wǎng))
Route –p add 192.168. 0.0 mask
255.255.0.0 10.20. 40.1(內(nèi)網(wǎng))
Route –p add 10.20.10.0 mask
255.255.255.0 10.20. 40.1(DMZ區(qū))
本機路由表如圖2 所示。
圖2 本機路由表
至此,一個雙防火墻連接下的內(nèi)外通商務(wù)網(wǎng)站構(gòu)建成功。
核心關(guān)注:拓步ERP系統(tǒng)平臺是覆蓋了眾多的業(yè)務(wù)領(lǐng)域、行業(yè)應(yīng)用,蘊涵了豐富的ERP管理思想,集成了ERP軟件業(yè)務(wù)管理理念,功能涉及供應(yīng)鏈、成本、制造、CRM、HR等眾多業(yè)務(wù)領(lǐng)域的管理,全面涵蓋了企業(yè)關(guān)注ERP管理系統(tǒng)的核心領(lǐng)域,是眾多中小企業(yè)信息化建設(shè)首選的ERP管理軟件信賴品牌。
轉(zhuǎn)載請注明出處:拓步ERP資訊網(wǎng)http://www.ezxoed.cn/
本文標(biāo)題:雙防火墻下構(gòu)建專用商務(wù)網(wǎng)站
本文網(wǎng)址:http://www.ezxoed.cn/html/consultation/1083946842.html