安全無(wú)小事!近段時(shí)間“密碼泄露”事件鬧得沸沸揚(yáng)揚(yáng),人心惶惶。先是CSDN用戶數(shù)據(jù)庫(kù)的泄露,這對(duì)從事計(jì)算機(jī)技術(shù)工作的人員來(lái)說(shuō)可謂是當(dāng)頭一棒。因?yàn)榻^大多數(shù)IT技術(shù)工作者都在CSDN注冊(cè)過(guò)賬號(hào),而且?guī)缀醵际鞘褂猛粋(gè)用戶名和密碼,注冊(cè)了其它類的技術(shù)網(wǎng)站。發(fā)生“CSDN用戶數(shù)據(jù)庫(kù)泄露”事件后,反正我是趕緊把自己在用的許多技術(shù)類網(wǎng)站的密碼都改了過(guò)來(lái)。但是剛改完沒多久,又出現(xiàn)了天涯、新浪微博等泄密事件。真是防不勝防!
難道互聯(lián)網(wǎng)上就沒有安全的地方了嗎?我認(rèn)為還是有的,要不然也沒有這么多人使用互聯(lián)網(wǎng)。只不過(guò)近段時(shí)間接二連三暴露的問(wèn)題太多了。不過(guò),有了問(wèn)題只要通過(guò)各種安全措施把它解決了,同樣可以提高互聯(lián)網(wǎng)的安全性。本文就涉及到企業(yè)網(wǎng)絡(luò)中防火墻設(shè)備部署、安裝和配置。雖然防火墻不能解決所有的安全問(wèn)題,但它在網(wǎng)絡(luò)中的部署也是絕對(duì)不能少的。
圖1 單位網(wǎng)絡(luò)架構(gòu)和防火墻部署圖示
一、網(wǎng)絡(luò)架構(gòu)和防火墻部署情況
單位網(wǎng)絡(luò)結(jié)構(gòu)圖如圖1所示。為了確保重要設(shè)備的穩(wěn)定性和冗余性,核心層交換機(jī)使用兩臺(tái)6509-E,通過(guò)Trunk線連接。在辦公區(qū)的接入層使用了多臺(tái)Cisco 2960交換機(jī),圖示為了簡(jiǎn)潔,只畫出了兩臺(tái)。在核心層交換機(jī)6509-E上,通過(guò)防火墻連接有單位重要的服務(wù)器,如FTP、E-MAIL服務(wù)器和數(shù)據(jù)庫(kù)等。單位IP地址的部署,使用的是C類私有192網(wǎng)段的地址。DHCP服務(wù)器的IP地址為192.168.10.1,F(xiàn)TP服務(wù)器的IP地址是192.168.5.2。Cisco 6509-E和Cisco 3750之間,以及Cisco 3750和Cisco 2960之間都是Trunk連接。
圖1中的橘黃色線表示的是用光纖連接,藍(lán)色線表示的是用雙絞線連接。而且從兩臺(tái)6509上分別延伸出來(lái)了的兩條黃色線,一條豎線和一條橫線,它們?cè)谕負(fù)鋱D中其實(shí)是對(duì)兩臺(tái)6509上端口的一種擴(kuò)展,并不是這兩條線只連接到6509上的一個(gè)端口,而是連接了多個(gè)端口。這種布局的拓?fù)鋱D,在結(jié)構(gòu)上就顯得更清晰明了。
單位根據(jù)部門性質(zhì)的不同,把各個(gè)部門的電腦劃入到不同的VLAN中。服務(wù)器都位于VLAN 2至VLAN 10中,對(duì)應(yīng)的網(wǎng)絡(luò)號(hào)是192.168.2.0~192.168.10.0,如DHCP服務(wù)器位于VLAN 10中,F(xiàn)TP服務(wù)器位于VLAN 5中。服務(wù)器的IP地址、默認(rèn)網(wǎng)關(guān)和DNS都是靜態(tài)配置的。VLAN 11至VLAN 150是屬于辦公部門使用的,對(duì)應(yīng)的網(wǎng)絡(luò)號(hào)是192.168.11.0~192.168.150.0。VLAN號(hào)和網(wǎng)絡(luò)號(hào)之間都是對(duì)應(yīng)的。VLAN中的PC都是通過(guò)Cisco 2960接入到網(wǎng)絡(luò)中,3750都是二層配置,三層的配置都在Cisco 6509上,也就是VLAN間的路由都是通過(guò)6509完成的。PC的IP地址、默認(rèn)網(wǎng)關(guān)和DNS都是自動(dòng)從DHCP服務(wù)器上獲得的,不用手工靜態(tài)配置。
如圖1所示,兩臺(tái)防火墻都是聯(lián)想Power V防火墻,它們運(yùn)行的模式都為透明模式,也就是以“橋”模式運(yùn)行的,本身只需要配置一個(gè)管理IP地址,不必占用任何其它的IP資源,也不需要改變用戶的拓?fù)洵h(huán)境,設(shè)備的運(yùn)行對(duì)用戶來(lái)說(shuō)是“透明”的,在網(wǎng)絡(luò)設(shè)備上進(jìn)行各種命令的配置時(shí),就當(dāng)不存在這兩個(gè)防火墻一樣,因?yàn)樗鼈兪峭该髂J。它們只?duì)線路上的數(shù)據(jù)包作安全檢查,和安全策略上的限制,本身不會(huì)影響網(wǎng)絡(luò)的整體架構(gòu)和配置。這種模式在安裝和維護(hù)防火墻時(shí),相對(duì)防火墻的另外一種運(yùn)行模式——路由模式,來(lái)說(shuō)要簡(jiǎn)單很多。
Cisco 6509-E和核心區(qū)Cisco 2960之間不是Trunk模式連接,而是使用接入模式連接的,也就是兩臺(tái)Cisco 6509-E的Gi3/2位于VLAN 5中,核心區(qū)兩臺(tái)Cisco 2960的Gi0/1也位于VLAN 5中。兩臺(tái)6509和兩臺(tái)3750之間,以及辦公區(qū)中網(wǎng)絡(luò)設(shè)備間的連接情況如下所示:
Cisco 6509-E1 GigabitEthernet 3/1 <----> Cisco3750A GigabitEthernet 1/0/25
Cisco 6509-E2 GigabitEthernet 3/1 <----> Cisco3750B GigabitEthernet 1/0/25
Cisco 3750A GigabitEthernet 1/0/1 <-----> Cisco 2960A GigabitEthernet 0/1
Cisco 3750B GigabitEthernet 1/0/1 <-----> Cisco 2960B GigabitEthernet 0/1
兩臺(tái)6509和兩臺(tái)防火墻之間的,以及核心區(qū)中網(wǎng)絡(luò)設(shè)備間的連接情況如下所示:
Cisco 6509-E1 GigabitEthernet 3/2 <-----> FW-A GigabitEthernet 1
Cisco 6509-E2 GigabitEthernet 3/2 <-----> FW-B GigabitEthernet 1
FW-A GigabitEthernet 2 <-----> Cisco 2960A GigabitEthernet 0/1
FW-B GigabitEthernet 2 <-----> Cisco 2960B GigabitEthernet 0/1
二、主要網(wǎng)絡(luò)設(shè)備上的配置情況
1、兩臺(tái)核心交換機(jī)上的配置情況。在Cisco 6509-E1上的主要配置如下所示:
hostname Cisco 6509-E1
!
interface GigabitEthernet3/1
description Link3750A_1/0/25
switchport trunk encapsulation dot1q
switchport trunk allowed vlan 5,115
switchport mode trunk
!
interface GigabitEthernet3/2
description Link_FW-A_Gi1
switchport access vlan 5
switchport mode access
!
interface Vlan5
ip address 192.168.5.252 255.255.255.0
standby 5 ip 192.168.5.254
standby 5 priority 120
standby 5 preempt
!
interface Vlan115
ip address 192.168.115.252 255.255.255.0
standby 115 ip 192.168.115.254
standby 115 priority 120
standby 115 preempt
其中命令“ip address 192.168.5.252 255.255.255.0”是給指定的VLAN配置IP地址。
命令“standby 5 priority 120”中的“priority”是配置HSRP的優(yōu)先級(jí),5為組序號(hào),它的取值范圍為0~255,120為優(yōu)先級(jí)的值,取值范圍為0~255,數(shù)值越大優(yōu)先級(jí)越高。
優(yōu)先級(jí)將決定一臺(tái)路由器在HSRP備份組中的狀態(tài),優(yōu)先級(jí)最高的路由器將成為活動(dòng)路由器,其它優(yōu)先級(jí)低的路由器將成為備用路由器。當(dāng)活動(dòng)路由器失效后,備用路由器將替代它成為活動(dòng)路由器。當(dāng)活動(dòng)和備用路由器都失效后,其它路由器將參與活動(dòng)和備用路由器的選舉工作。優(yōu)先級(jí)都相同時(shí),接口IP地址高的將成為活動(dòng)路由器。
“preempt”是配置HSRP為搶占模式。如果需要高優(yōu)先級(jí)的路由器能主動(dòng)搶占成為活動(dòng)路由器,則要配置此命令。配置preempt后,能夠保證優(yōu)先級(jí)高的路由器失效恢復(fù)后總能成為活動(dòng)路由器。活動(dòng)路由器失效后,優(yōu)先級(jí)最高的備用路由器將處于活動(dòng)狀態(tài),如果沒有使用preempt技術(shù),則當(dāng)活動(dòng)路由器恢復(fù)后,它只能處于備用狀態(tài),先前的備用路由器代替其角色處于活動(dòng)狀態(tài)。
命令“standby 5 ip 192.168.5.254”作用是啟動(dòng)HSRP,如果虛擬IP地址不指定,路由器就不會(huì)參與備份。虛擬IP應(yīng)該是接口所在的網(wǎng)段內(nèi)的地址,不能配置為接口上的IP地址。
在Cisco 6509-E2上的主要配置如下所示:
hostname Cisco 6509-E2
!
interface GigabitEthernet3/1
description Link3750B_1/0/25
switchport trunk encapsulation dot1q
switchport trunk allowed vlan 5,115
switchport mode trunk
!
interface GigabitEthernet3/2
description Link_FW-B_Gi1
switchport access vlan 5
switchport mode access
!
interface Vlan5
ip address 192.168.5.253 255.255.255.0
standby 5 ip 192.168.5.254
standby 5 priority 120
standby 5 preempt
!
interface Vlan115
ip address 192.168.115.253 255.255.255.0
standby 115 ip 192.168.115.254
standby 115 priority 120
standby 115 preempt
2、在辦公區(qū)兩臺(tái)Cisco 3750和兩臺(tái)Cisco 2960上的配置情況。在Cisco 3750A上的配置:
hostname Cisco3750A
!
interface GigabitEthernet1/0/25
description Link6509-E1 3/1
switchport trunk encapsulation dot1q
switchport trunk allowed vlan 5,115
switchport mode trunk
!
interface GigabitEthernet1/0/1
description Link2960A 0/1
switchport trunk encapsulation dot1q
switchport trunk allowed vlan 5,115
switchport mode trunk
在Cisco 3750B上的配置:
hostname Cisco3750B
!
interface GigabitEthernet1/0/25
description Link6509-E2 3/1
switchport trunk encapsulation dot1q
switchport trunk allowed vlan 5,115
switchport mode trunk
!
interface GigabitEthernet1/0/1
description Link2960B 0/1
switchport trunk encapsulation dot1q
switchport trunk allowed vlan 5,115
switchport mode trunk
在Cisco 2960A上的配置:
hostname Cisco2960A
!
interface GigabitEthernet0/1
description Link3750A 1/0/1
switchport trunk encapsulation dot1q
switchport trunk allowed vlan 5,115
switchport mode trunk
在Cisco 2960B上的配置:
hostname Cisco2960B
!
interface GigabitEthernet0/1
description Link3750B 1/0/1
switchport trunk encapsulation dot1q
switchport trunk allowed vlan 5,115
switchport mode trunk
3、在核心區(qū)兩臺(tái)Cisco 2960上的主要配置情況如下所示。在Cisco 2960A上的配置:
hostname Cisco2960A
!
interface GigabitEthernet0/1
description Link3750A 1/0/1
switchport access vlan 5
switchport mode access
在Cisco 2960B上的配置:
hostname Cisco2960B
!
interface GigabitEthernet0/1
description Link3750B 1/0/1
switchport access vlan 5
switchport mode access
注意,在辦公區(qū)和核心區(qū)中Cisco 2960交換機(jī)上的配置情況是不一樣的,前者交換機(jī)上的端口的配置為Trunk模式,而后者的端口模式為Access模式。
核心關(guān)注:拓步ERP系統(tǒng)平臺(tái)是覆蓋了眾多的業(yè)務(wù)領(lǐng)域、行業(yè)應(yīng)用,蘊(yùn)涵了豐富的ERP管理思想,集成了ERP軟件業(yè)務(wù)管理理念,功能涉及供應(yīng)鏈、成本、制造、CRM、HR等眾多業(yè)務(wù)領(lǐng)域的管理,全面涵蓋了企業(yè)關(guān)注ERP管理系統(tǒng)的核心領(lǐng)域,是眾多中小企業(yè)信息化建設(shè)首選的ERP管理軟件信賴品牌。
轉(zhuǎn)載請(qǐng)注明出處:拓步ERP資訊網(wǎng)http://www.ezxoed.cn/
本文標(biāo)題:實(shí)例解析防火墻部署搭建與故障排除
本文網(wǎng)址:http://www.ezxoed.cn/html/support/1112187575.html