园区出口配置举例(防火墙旁路)

合集下载

h3c防火墙web配备实例教程

h3c防火墙web配备实例教程h3c防火墙web配备实例教程H3C的防火墙有必要把接口加到域里边去#配备接口Ethernet0/0/0参与防火墙Trust域。

[H3C]firewallzonetrust[H3C-zone-trust]addinterfaceEthernet0/0/0H3C防火墙的域（zone）区域（zone）是防火墙商品所引进的一个安全概念，是防火墙商品差异于路由器的首要特征。

一个安全区域包含一个或多个接口的组合，具有一个安全等级。

在设备内部，安全等级经过0～十0的数字来标明，数字越大标明安全等级越高。

V3路径：安全域不存在两个具有相同安全等级的区域。

中低端防火墙缺省有Trust、Untrust、DMZ、local4个安全域，一同还能够自界说12个区域。

V5路径：安全域能够容许两个相同安全等级的区域，缺省有Trust、Untrust、DMZ、local和Management5个安全域，一同能够自界说256个区域，而且只能在Web页面进行配备。

通常来讲，安全区域与各网络的有关遵从下面的准则：内部网络应安排在安全等级较高的区域、外部网络应安排在安全等级最低的区域。

详细来说，Trust所属接口用于联接用户要维护的网络；Untrust所属接口联接外部网络；DMZ区所属接口联接用户向外部供应效能的有些网络；从防火墙设备本身主张的联接便是从Local区域主张的联接。

相应的悉数对防火墙设备本身的拜访都归于向Local区域主张拜访联接。

防火墙作通常坐被捕络的间隔，其首要责任，是维护客户网络的机密性，确保客户网络的可用性。

一同，作为网络处理员，在确保了网络的安全和可用之余，还需求思考维护的便当性。

在往常网络运维中，网络处理员对防火墙操作最多的，莫过于安全战略，分外是运营商的网络。

防火墙后边触及的网络路径类型很多、战略杂乱，一同，跟着每个类型的效能路径的不断晋级及事务拓宽，需求一再的批改安全战略，这就对网络处理员提出了难题。

防火墙gre隧道配置实例

防火墙gre隧道配置实例
防火墙GRE隧道的配置实例如下：
1. 拓扑图：北京总公司与上海分公司通过广域网连接，使用一个三层交换机模拟广域网，并使用两个H3C的防火墙进行GRE接入。

2. 配置广域网通信：首先，在交换机上创建两个VLAN，分别是VLAN 10和VLAN 20，并将相应的端口加入到相应的VLAN中。

然后，在VLAN 10上配置IP地址。

3. 配置防火墙：在两个防火墙（FW1和FW2）上配置GRE隧道，使它们能够通过Internet相互通信。

4. 测试：测试北京总公司与上海分公司之间的内网通信是否正常。

请注意，上述配置是一个简化的示例，实际配置可能因网络环境、设备型号和需求而有所不同。

在进行实际配置之前，建议仔细阅读设备文档并咨询专业人士。

简述防火墙端口区域及控制策略。

防火墙端口区域是指在防火墙上设置的不同端口范围，用于控制网络流量的进出。

通常，防火墙将端口区域分为三个主要部分：开放区域、关闭区域和过渡区域。

1. 开放区域：也称为信任区域或内部区域，这是内部网络的一部分，允许信任的流量进出。

常见的开放端口包括HTTP（端口80）、HTTPS（端口443）等用于Web浏览器的端口，以及SMTP（端口25）等用于发送电子邮件的端口。

2. 关闭区域：也称为非信任区域或外部区域，这是外部网络（如互联网）的一部分，防火墙会阻止大多数流量进入或离开该区域。

关闭区域通常包括未知来源的流量或已知的恶意流量，例如某些恶意软件可能会使用的端口。

3. 过渡区域：也称为半信任区域，位于开放区域和关闭区域之间。

过渡区域可以根据需要进行自定义配置，以允许或限制特定端口的流量进出。

这通常用于实现一些特定的安全策略，例如限制对特定服务器或应用程序的访问。

控制策略是指在防火墙上设置的规则和策略，用于控制网络流量的进出。

这些策略可以基于源IP地址、目的IP地址、端口号、协议类型等多种因素来确定是否允许或禁止特定流量。

常见的控制策略包括：1. 入站规则：用于控制进入网络的流量。

例如，可以设置规则只允许特定IP地址或特定端口的流量进入网络。

2. 出站规则：用于控制离开网络的流量。

例如，可以设置规则只允许特定IP地址或特定端口的流量离开网络。

3. NAT（网络地址转换）：用于将私有IP地址转换为公共IP地址，以便在公共网络上进行通信。

4. VPN（虚拟私有网络）：用于建立安全的远程连接，使外部用户可以安全地访问内部网络资源。

5. 阻止策略：用于阻止恶意流量或不受信任的流量进入网络。

例如，可以设置规则阻止特定IP地址或特定端口的流量。

防火墙的端口区域和控制策略是为了确保网络的安全性和可靠性，通过限制和监控网络流量来保护网络免受攻击和未经授权的访问。

防火墙旁路模式下园区网核心交换网络架构的研究与实践

网络层互联互通和信息层互联互通，为全域访问控制均可以对来访用户进行身份和权程全网的安全开展为服务目标，因而也必须面
跨部门（跨安全域）业务互联互通奠定了基础。限的鉴别，确保共享型业务面向全网服务的安向全网安全保密。全网网络信任体系的实现为
业务系统密级被划分为ＶＬＡＮ１００（涉密）和ＶＬＡＮ２００（非密）两个不同的ＶＬＡＮ。
考虑到数据链路及设备的高可用，ＥＯＲ
解决方案，利用交换机的虚拟路由转发（ＶＲＦ，交换机与核心交换机，核心交换机与接入层交
１引言
ＶｉｒｔｕａｌＲｏｕｔｉｎｇＦｏｒｗａｒｄｉｎｇ）技术，通过建立换机均采用双链路方式连接，实现冗余。
ｎｆｏｒｍａｔｉｏｎＳｅｃｕｒｉｔｙ· 信息安全
防火墙旁路模式下园区网核心交换网络架构的研究与实践
文／王振华曹丹
时，也对其安全性起着至关重要的作用。根据
如图１所示，数据中心机房部署两台核
防火墙作为隔离内部网和外部网、专用网与公共网之间的有效屏障，已成为众多企事业单位搭建核心交换网络架构时不可缺少的重要组成部分。本文着重介绍了防火墙在三层转发环境下的旁路部署，论述了核心交换机上同时部署用户网关与服务器网关时，内网用户访问服务器时业务流量不经防火墙的解决方案。
国家保密标准有关要求，需要将同部门不同密心交换机，两台核心交换机之间通过虚拟化技级或不同部门同密级的人员以及不同密级业务术进行堆叠，对外在逻辑上呈现为一台交换系统的服务器进行隔离，以降低失泄密的可能机。两台防火墙（双机热备）通过旁路模式与性。然而，在实际生产环境中，我们是需要不核心交换机相连。园区网用户通过楼层设备间同ＶＬＡＮ间进行相互通信的，实现ＶＬＡＮ间的接入层交换机上行至核心层交换机，服务器相互通信的两种方式主要为单臂路由和三层则通过经堆叠的两台ＥＯＲ（ＥｎｄｏｆＲｏｗ）服务交换转发［１】。在图１所示的二层园区网络结器接入交换机上行至核心层交换机。园区网用构（接入层．核心层）中，防火墙以旁路模式户按人员涉密程度不同被划分为多个ＶＬＡＮ，

华为交换机综合配置案例

2综合配置案例关于本章2.1 中小型园区/分支出口综合配置举例2.2 大型园区出口配置示例（防火墙直连部署）2.3 大型园区出口配置示例（防火墙旁路部署）2.4 校园敏捷网络配置示例2.5 轨道交通承载网快速自愈保护技术配置举例2.6 配置交换机上同时部署ACU2和NGFW的示例2.1 中小型园区/分支出口综合配置举例园区网出口简介园区网出口一般位于企业网内部网络与外部网络的连接处，是内部网络与外部网络之间数据流的唯一出入口。

对于中小型企业来说，考虑到企业网络建设的初期投资与长期运维成本，一般希望将多种业务部署在同一设备上。

企业网络用户一般同时需要访问Internet和私网VPN，而对于中小型企业来说考虑到建设及维护成本问题，一般租用运营商Internet网络组建私网VPN。

对于部分可靠性要求较高的园区网络，一般考虑部署两台出口路由器做冗余备份实现设备级可靠性，同时应用链路聚合、VRRP、主备路由等技术保证园区出口的可靠性。

华为AR系列路由器配合华为S系列交换机是中小型园区网出口设备的理想解决方案。

l园区出口设备需要具备NAT Outbound及NAT Server的功能，实现私网地址和公网地址之间的转换，以满足用户访问Internet或者Internet用户访问内网服务器的需求。

l园区出口设备需要具备通过Internet构建私网VPN的功能，以满足企业用户各个机构之间私网VPN互通的需求。

l园区出口设备需要具备数据加密传输的功能，以保证数据的完整性和机密性，保障用户业务传输的安全。

l中小型园区出口需要具备可靠性、安全性、低成本、易维护等特点。

配置注意事项l本配置案例适用于中小型企业园区/分支出口解决方案。

l本配置案例仅涉及企业网络出口相关配置，涉及企业内网的相关配置请参见华为S 系列园区交换机快速配置中的“中小园区组网场景”。

组网需求某企业总部和分支分别位于不同的城市，地域跨度较远，总部存在A、B两个不同的部门，分支只有一个部门。

H3C Firewall 配置实例

防火墙作为出口网关，联通光纤、电信光纤、电信ADSL出口，防火墙接H3C二层交换机，H3C二层交换机接内网服务器和下面的二层交换机（内网用户都接这里）。

由于客户是静态设置地址，所以这里是没有DHCP配置的。

一、上网设置：#域配置zone name Management id 0priority 100zone name Local id 1priority 100zone name Trust id 2priority 85zone name DMZ id 3priority 50zone name Untrust id 4priority 5import interface Dialer1#内网网关ip address 192.168.100.254 255.255.0.0port link-mode routenat outbound 3090#电信出口port link-mode routeip address 219.137.182.2xx 255.255.255.248nat outbound 2000 address-group 1#联通出口port link-mode routeip address 218.107.10.xx 255.255.255.248nat outbound 2000 address-group 2#PPPOE电信ADSLport link-mode routepppoe-client dial-bundle-number 1#设定拨号访问组的拨号控制列表dialer-rule 1 ip permit#PPPOE配置interface Dialer1nat outbound 2000link-protocol pppppp chap userppp chap password cipher$c$3$cft8cT2sYcO4XYUDKRgfw0R0HOSTSDh69HbN KCf9IdG。

交换机路由防火墙配置实例

在网络中，防火墙、交换机和路由器通常是网络安全的重要组成部分。

以下是一个简单的示例，演示如何配置一个具有防火墙功能的路由器和交换机。

请注意，实际配置可能会根据您的网络架构和设备型号而有所不同。

设备列表：路由器：使用Cisco设备作为示例，实际上可以是其他厂商的路由器。

路由器IP地址：192.168.1.1交换机：同样，使用Cisco设备作为示例。

交换机IP地址：192.168.1.2防火墙规则：允许内部网络向外部网络发出的通信。

阻止外部网络对内部网络的未经请求的通信。

配置示例：1. 配置路由器：Router(config)# interface GigabitEthernet0/0Router(config-if)# ip address 192.168.1.1 255.255.255.0Router(config-if)# no shutdownRouter(config)# interface GigabitEthernet0/1Router(config-if)# ip address [外部IP地址] [外部子网掩码]Router(config-if)# no shutdownRouter(config)# ip route 0.0.0.0 0.0.0.0 [外部网关]2. 配置防火墙规则：Router(config)# access-list 101 permit ip 192.168.1.0 0.0.0.255 anyRouter(config)# access-list 101 deny ip any 192.168.1.0 0.0.0.255Router(config)# access-list 101 permit ip any anyRouter(config)# interface GigabitEthernet0/1Router(config-if)# ip access-group 101 in3. 配置交换机：Switch(config)# interface Vlan1Switch(config-if)# ip address 192.168.1.2 255.255.255.0Switch(config-if)# no shutdown配置说明：路由器通过两个接口连接内部网络（192.168.1.0/24）和外部网络。

hillstone防火墙配置实例介绍

目录一．基本情况介绍 (2)1.车管所机房情况： (2)2.通璟检测站： (2)3.风顺、安运检测站： (2)4.关于防火墙的配置方式： (3)5.关于配置文件： (3)6.关于授权证书： (4)二．车管所防火墙配置说明 (5)1.第12行： (5)2.第90行，地址薄的设置： (5)3.第316行，接口的设置： (7)4.第371行，虚拟路由的配置： (9)5.第381行，策略的配置： (11)三．通璟检测站防火墙的配置： (13)1.第83行，地址薄的设置： (13)2.第290行，接口的配置： (14)3.第312行，虚拟路由的设置： (15)4.第317行，策略的配置： (16)四．风顺检测站防火墙的配置： (17)1.第86行，地址薄的配置： (17)2.第305行，接口的配置： (18)3.第328行，虚拟路由的配置： (19)4.第335行，策略的设置： (21)五．总结 (22)一．基本情况介绍本文档适用于HillStone SG-6000 M2105(车管所)和HillStone SG-6000 NA V20（检测站），网络连接方式为车管所与检测站防火墙用网线直连、车管所与检测站防火墙在同一公安网IP段内两种。

具体配置如下：1．车管所机房情况：数据服务器、应用/通讯服务器、hillstone防火墙、审核电脑1/2的IP分别10.137.186.78/62/68/36/37，系统管理员给的IP地址格式为：；防火墙配置完毕后，车管所服务器设置的IP格式为：webserviceIP:10.136.46.23。

2.通璟检测站：局域网IP地址为192.168.11.*段，网关192.168.11.1。

因为距离短，有一条一百多米网线直接通到车管所机房。

站点服务器、签证申请岗、查验岗、无线路由、PDA、检测线主控、登录机等都接在交换机上，然后交换机接网线到hillstone防火墙的0/1口，到车管所机房的网线接防火墙0/0口。

1、下载文档前请自行甄别文档内容的完整性，平台不提供额外的编辑、内容补充、找答案等附加服务。
2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
3、如文档侵犯您的权益，请联系客服反馈,我们会尽快为您处理(人工客服工作时间：9:00-18:30)。

1 大型园区出口配置示例（防火墙旁路部署）1.1 配置注意事项●本举例中的交换机以华为公司的S系列框式交换机为例、防火墙以USG系列为例、路由器以NE系列为例。

●本配置案例仅涉及企业网络出口相关配置，涉及企业内网的相关配置请参见华为S系列园区交换机快速配置中的“大型园区组网场景”。

●本例仅涉及防火墙与交换机的对接配置以及防火墙的双机热备配置。

防火墙上的安全业务规划及园区安全策略、攻击防范、带宽管理、IPSec等功能的配置示例请参见《防火墙配置案例集》。

●本例仅涉及园区出口路由器与交换机的对接配置。

路由器在公网侧的配置示例请参见NE系列路由器《配置指南》。

1.2 组网需求在大型园区出口，核心交换机上行通过路由器访问外网。

防火墙旁挂于核心交换机，对业务流量提供安全过滤功能。

为了简化网络并提高可靠性，在核心层交换机通常部署集群。

在防火墙上部署双机热备（主备模式），当其中一台故障时，业务可以平滑切换到另一台。

核心交换机双归接入2台出口路由器，路由器之间部署VRRP确保可靠性。

为提高链路可靠性，在核心交换机与出口路由器之间，核心交换机与防火墙之间，2台防火墙之间均通过Eth-Trunk互连。

如下图所示。

图1-1园区出口组网图（防火墙旁挂，双机热备）在一般的三层转发环境下，园区内外部之间的流量将直接通过交换机转发，不会经过FW1或FW2。

当流量需要从交换机转发至FW，经FW检测后再转发回交换机，就需要在交换机上配置VRF功能，将交换机隔离成两个相互独立的虚拟交换机VRF-A和根交换机Public。

Public作为连接出口路由器的交换机。

对于下行流量，它将外网进来的流量转发给FW 进行检测；对于上行流量，它接收经FW检测后的流量，并转发到路由器。

VRF-A作为连接内网侧的交换机。

对于下行流量，它接收经FW检测后的流量，并转发到内网；对于上行流量，它将内网的流量转发到FW去检测。

根据上图中的流量转发路径可以将上图转换成如下所示的更容易理解的逻辑组网图。

图1-2交换机与路由器、防火墙之间物理接口连接示意图本例所示核心交换机工作在三层模式，上图所示的逻辑组网图可以理解为防火墙上下行连接三层交换机的双机热备组网。

这种组网的特点是需要在防火墙的上下行业务接口上部署VRRP备份组，如下所示。

图1-3交换机与路由器、防火墙之间三层口连接示意图如上图所示，内部用户访问外网的流量转发路径如下（上图中蓝色路径）：1.当内部用户访问外网的流量到达VRF-A时，流量根据VRF-A上的静态路由（下一跳设置为防火墙下行VRRP的虚拟IP地址）被转发到防火墙。

2.防火墙完成对流量的安全检测后，会根据静态路由（下一跳设置为CSS的VLANIF20）将流量转发到Public上。

3.最后，Public通过到路由器的静态路由（下一跳设置为路由器VRRP的虚拟IP地址）将流量转发到路由器。

外部用户访问内网的流量转发路径如下（上图中红色路径）：1.当外部用户访问内网的流量到路由器时，流量根据OSPF路由表被转发到Public上。

2.流量到达Public后，先根据Public上的静态路由（下一跳设置为防火墙上行VRRP的虚拟IP地址）被转发到防火墙。

3.防火墙完成对流量的安全检测后，会根据静态路由（下一跳设置为CSS的VLANIF30）将流量转发到VRF-A上。

4.VRF-A通过OSPF路由表将流量转发汇聚交换机，最后由汇聚交换机将流量转发到业务网络。

1.3 数据规划表1-1链路聚合接口规划1.4 配置思路采用如下思路配置园区出口举例：1.配置核心交换机集群CSS。

2.配置交换机与防火墙、路由器之间的接口及IP地址。

为提高链路可靠性，在交换机与防火墙、交换机与路由器之间配置跨框Eth-Trunk接口。

在防火墙的接口上配置安全区域。

3.在出口路由器上部署VRRP。

为了保证核心交换机与两个出口路由器之间的可靠性，在两个出口路由器之间部署VRRP，VRRP的心跳报文经过核心交换机进行交互。

Router1为Master设备，Router2为Backup设备。

4.部署路由。

交换机上配置VRF功能，将交换机隔离成两个相互独立的虚拟交换机VRF-A和根交换机Public，以隔离业务网段路由与公网路由。

为了引导各设备的上行流量，在核心交换机上配置一条缺省路由，下一跳指向出口路由器VRRP的虚地址。

为了引导园区两个出口路由器的回程流量，在两个出口路由器和核心交换机之间部署OSPF，核心交换机上将所有用户网段发布到OSPF里面，通告给两个出口路由器。

为了将业务网络的上行流量引导至防火墙，在交换机上配置一条缺省路由，下一跳指向防火墙VRRP VRID2的虚拟IP。

为了将到业务网络1的下行流量引导至防火墙，在交换机上配置一条缺省路由，下一跳指向防火墙VRRP VRID1的虚拟IP。

为了将到业务网络2的下行流量引导至防火墙，在交换机上配置一条缺省路由，下一跳指向防火墙VRRP VRID1的虚拟IP。

为了将业务网络的上行流量引导至交换机，在防火墙上配置一条缺省路由，下一跳指向交换机VLANIF20的IP地址。

为了将到业务网络1的下行流量引导至交换机，在防火墙上配置一条缺省路由，下一跳指向交换机VLANIF30的IP地址。

为了将到业务网络2的下行流量引导至交换机，在防火墙上配置一条缺省路由，下一跳指向交换机VLANIF30的IP地址。

5.配置防火墙双机热备。

1.5 操作步骤步骤 1交换机：配置交换机集群。

1.连接集群卡的线缆。

下图以S12700交换机的EH1D2VS08000集群卡连线为例。

本例连线示意图中，S12700主控板、交换网板和集群卡都是满配的情况。

实际使用时，S12700每框至少配置一块主控板和一块交换网板即可。

推荐每框配置两块交换网板并插上两块集群卡。

图1-4集群卡连线示意图●两框之间至少要连接一根集群线缆。

●一块集群卡只能与对框一块集群卡相连，不能连接到多块集群卡，且不能与本框集群卡相连。

●集群卡上组1的任意接口只能与对框集群卡上组1的任意接口相连，组2的要求同组1。

●每块集群卡上连接集群线缆的数量相同（如果不相同会影响总的集群带宽），且两端按照接口编号的顺序对接。

2.在Switch 1上配置集群。

# 集群连接方式为集群卡（缺省值，不需配置）。

集群ID采用缺省值1（不需配置）。

优先级为100。

<HUAWEI> system-view[HUAWEI] set css mode css-card //设备缺省值，不需再执行命令配置,此步骤仅用作示范命令。

[HUAWEI] set css id 1 //设备缺省值，不需再执行命令配置,此步骤仅用作示范命令。

[HUAWEI] set css priority 100 //集群优先级缺省为1，修改主交换机的优先级大于备交换机[HUAWEI] css enableWarning: The CSS configuration takes effect only after the system is rebooted.The next CSS mode is CSS-card. Reboot now? [Y/N]:y//重启交换机3.在Switch 2上配置集群。

集群连接方式为集群卡（缺省值，不需配置）。

集群ID为2。

优先级采用缺省值1（不需配置）。

<HUAWEI> system-view[HUAWEI] set css id 2 //集群ID缺省为1，修改备交换机的ID为2[HUAWEI] css enableWarning: The CSS configuration takes effect only after the system is rebooted.The next CSS mode is CSS-card. Reboot now? [Y/N]:y//重启交换机4.交换机完成重启后，查看集群状态。

−在集群系统的主交换机Switch 1上，主用主控板上的CSS MASTER灯绿色常亮。

（图1）−Switch 1的两块主控板上编号为1的CSS ID灯绿色常亮，Switch 2的两块主控板上编号为2的CSS ID灯绿色常亮。

（图1）−集群卡上有集群线缆连接的端口LINK/ALM灯绿色常亮。

（图2）−主框上所有集群卡的MASTER灯绿色常亮，备框上所有集群卡的MASTER 灯常灭。

（图2）图1-5CSS系统指示灯示意图●集群建立后，后续交换机的配置都在主交换机（Switch 1）上进行，数据会自动同步到备交换机（Switch 2）。

●在集群系统中，接口编号会变为4维，例如，10GE1/4/0/0。

其中左边第一位表示集群ID。

步骤 2配置CSS与FW、路由器之间的跨框Eth-Trunk口，CSS上的VLANIF口以及IP地址。

1.配置交换机与路由器之间的跨框Eth-Trunk，VLANIF以及IP地址。

# 在CSS上创建Eth-Trunk1，用于连接Router1，并加入Eth-Trunk成员接口。

<HUAWEI> system-view[HUAWEI] sysname CSS//给集群系统重新命名。

[CSS] interface Eth-Trunk 1[CSS-Eth-Trunk1] quit[CSS] interface XGigabitethernet 1/4/0/0//在Eth-Trunk1中加入主交换机上的成员接口[CSS-XGigabitEthernet1/4/0/0] Eth-Trunk 1[CSS-XGigabitEthernet1/4/0/0] quit[CSS] interface XGigabitethernet 2/4/0/0//在Eth-Trunk1中加入备交换机上的成员接口[CSS-XGigabitEthernet2/4/0/0] Eth-Trunk 1[CSS-XGigabitEthernet2/4/0/0] quit# 在CSS上创建Eth-Trunk2，用于连接Router2，并加入Eth-Trunk成员接口。

[CSS] interface Eth-Trunk 2[CSS-Eth-Trunk2] quit[CSS] interface XGigabitethernet 1/4/0/1//在Eth-Trunk2中加入主交换机上的成员接口[CSS-XGigabitEthernet1/4/0/1] Eth-Trunk 2[CSS-XGigabitEthernet1/4/0/1] quit[CSS] interface XGigabitethernet 2/4/0/1//在Eth-Trunk2中加入备交换机上的成员接口[CSS-XGigabitEthernet2/4/0/1] Eth-Trunk 2[CSS-XGigabitEthernet2/4/0/1] quit# 创建VLANIF，并配置IP地址。