侧边栏壁纸
博主头像
SRE实战博主等级

助力中小微企业运筹帷幄。

  • 累计撰写 21 篇文章
  • 累计创建 11 个标签
  • 累计收到 0 条评论

目 录CONTENT

文章目录

防火墙基础配置介绍

SRE实战
2022-07-07 / 0 评论 / 0 点赞 / 698 阅读 / 3,973 字 / 正在检测是否收录...
温馨提示:
本文最后更新于 2022-07-13,若内容或图片失效,请留言反馈。部分素材来自网络,若不小心影响到您的利益,请联系我们删除。

网络基础配置

我们以上海机房的网络布局为参考详细描述一下整个网络如何从外网进行到每个PC端连接,以下是拓扑图

注意事项:使用火狐浏览器打开https://192.168.0.1:8443,输入默认用户名admin密码Admin@123登录,登录之后,修改密码。

基本配置思路

1.配置FW各业务接口的IP地址。IP地址需要在配置前进行统一规划。

2.将各个业务接口加入安全区域。一般情况下,连接外网的接口加入安全级别低的安全区域(例如untrust区域,这里一般指的是我们配置外网IP的那个端口),连接内网的接口加入安全级别高的安全区域(例如trust区域),服务器可以加入DMZ区域。

3.策略any,华为防火墙内部有一条默认拒绝的安全策略,表示区域之间的互访被静止,防火墙上线以后,代表已经接入现有网络,所以需要调整下策略,改为permit,允许所有。(这时候不用考虑太多,初始这样配置必然没有问题,后期再进行优化)

操作步骤

1.第一步:浏览器登录 https://192.168.0.1:8443 默认的console和web界面登录的账号都一致。

2.配置内、外网IP接口

这里注意第三步的接口选择插上了外网线的那个接口,安全区域选择untrust,ip地址设定为运营商提供的静态IP,如果是拨号上网选择PPPoE输入账号密码。

这里配置内网的接口,此处我们的接口模式和类型设置为交换和trunk,原因在于面对一个局域网内需要多个vlan的情况,我们物理接口数量无法满足,需要使用核心交换机再多做一层交换,此接口我们连接核心交换机,而且使用trunk类型还能实现不通vlan互通。
如果我们现场环境只有一个或两个网段,我们不用核心交换的情况,只需要配置为路由和trust区域,例如以下

在使用核心交换机的情况下我们将划分多个vlan的工作交给核心交换机,具体情况后面介绍。此处在防火墙上还需为每个vlan配置一下vlanif(当作每个vlan端的网关)具体方式如下

3.配置AC控制器的wifi网段。由于AC控制器我们可以看成一个单独的路由所以我们不能直接使用交换机配置vlan的方法,我们先将连接ac控制器的网线两端的接口IP配置成同一个网段例如10.100.100.100
,AC控制器上设定外接IP10.100.100.101.由于是同一网段所以可以实现AC控制器下的设备访问防火墙并访问网络。而这时数据由于可以从wifi下的40段前往外网和服务端的60或者30段,但因为防火墙没有AC控制器的40网段所以数据无法找到wifi下的40段,所以我们使用静态路由实现数据互通。

4.DNS和DHCP配置,在防火墙上设定DNS和DHCP之后就不需要在内网配置DNS和DHCP服务器了。

5.配置VPN,有时候我们需要将本地的服务器或者某个网段实现与其他地区通讯,这时候可以使用ipsec
一般我们使用点到点的场景,如果是需要多端访问本地的话就使用点到多点,此处我们使用点到多点。
本段地址使用配置了外网的那个接口和相应的IP,可设置预密码,对端配置的时候设定同样的密码。若是域名就填写域名
注意本段和对端ID,根据具体情况进行修改。

其中拨号用户配置的意义在于设定一个ip地址池,使得通过vpn连入本地网络的机器分配一个特定网段的IP地址,用于区分。


加密数据流此处设定允许通过vpn与外界通讯的网段。

6.安全策略,只有配置了安全策略才能保证不同的安全区域内的网络能够互通,最基本的就是保证trust区域和untrust区域互访能够上外网。

7.NAT策略,我们在申请宽带的时候有时会申请获得多个固定的物理IP地址,而我们防火墙外网接口只用到了一个如果有效的利用多个IP缓解单个物理IP的负载压力,这是我们就需要使用源NAT策略,将不同的网段或者不同的区域划分不同的物理IP,即可保证缓解IP压力,又能便于不同区域的管理。
其中源地址可以选择一个或者多个地址池。转换后的地址就是我们设定的不同的外网物理IP地址。

举例:现在需要将武汉的10网段与上海的30网段互通,其中上海由于有多个公网IP,做了地址转换;武汉没有外网固定IP,只有动态域名kaifa.hc-yun.com;这时当你在ipsec中设定好发现网络还是不通或者从武汉不能ping通上海,但是上海能通武汉的时候。
需要注意两点,一是安全策略里要加一条源地址为30到武汉10的允许策略,二是源NAT中要加一条源30到武汉10的不转换策略;若还是不通,请注意源安全区域是否对应

7.2服务器映射,当我们需要将本地的一些服务端口映射到外网供其他人访问的时候,只需要在NAT策略下的服务器映射将内网的IP地址与端口设定到对应的外网IP与端口即可

8.带宽管理,当我们需要对不同的网络环境分配不同的网络带宽的时候在防火墙的带宽管理里可以设定。如果我们需要限制下载就在源地址设置为any,然后在目的地址设置我们选定的地址组或者某个IP和MAC地址。限定上传的话两个地址调换一下。下图是限定的下载速度

9.禁止远程
有些情况我们为了保证dmz区域的安全,服务器本身禁止了远程,但这时候还是能通过远程软件访问的,这时候我们需要在防火墙中限定dmz区域禁止这些软件访问。方法如下:

注意是从dmz到untrust。因为这种服务都是由两端发起,由软件的服务端中转。

10.禁止非法DHCP
内部人员有使用上网卡路由设备导致片区所有网段全部跳转至新网络设备上自动获取的DHCP网段情况
方法:使用dhcp snooping 作用是屏蔽接入网络中的非法的 DHCP 服务器
进入设置网关的设备,例如核心交换机,
system view
dhcp snooping enable
int g/0/0/4 该接口为防火墙与交换机的trunk接口
dhcp snooping trust

以上为防火墙的一些基本配置,还有一些例如新增管理和添加SNMP监控之类的在系统中可以简单设定此处不详述。下面介绍一些防火墙的双机热备和两条宽带的负载均衡

1.负载均衡

在一些比较复杂的网络环境中我们会遇到一条宽带不够用的情况,如果我们直接在带宽上提速往往费用比较高,而且单条网线会受到运营商线路调整等原因出现中断影响业务的情况。这时候选用两条不同的宽带接入同一个网络环境是一个比较安全且性价比高的方式。例如我们拉了一根100M的电信和50M的联通,我们需要做到让我们网络环境内的客户端数据分别走两个线路并且一条断了之后另一条能保证网络正常。

如图所示,企业分别从ISP1和ISP2租用了一条链路,ISP1链路的带宽为100M,ISP2链路的带宽为50M。

企业希望流量按照带宽比例分担到ISP1和ISP2链路上,保证带宽资源得到充分利用。

当其中一条ISP链路过载时,后续流量将通过另一条ISP链路传输,提高访问的可靠性。

配置思路

由于企业希望上网流量能够根据带宽比例进行分配,所以智能选路的方式设置为根据链路带宽负载分担。为了保证链路故障或过载时,FW可以使用其他链路转发流量,还需要配置健康检查功能和链路过载保护功能。

  1. 可选:配置健康检查功能,分别为ISP1和ISP2链路配置健康检查。

  2. 配置接口的IP地址、安全区域、网关地址、带宽和过载保护阈值,并在接口上应用健康检查。

  3. 配置全局选路策略。配置智能选路方式为根据链路带宽负载分担,并指定FW和ISP1、ISP2网络直连的出接口作为智能选路成员接口。

  4. 配置基本的安全策略,允许企业内网用户访问外网资源。

操作步骤

1.可选:开启健康检查功能,并为ISP1和ISP2链路分别新建一个健康检查。假设ISP1网络的目的地址网段为3.3.10.0/24,ISP2网络的目的地址网段为9.9.20.0/24(目的地址即宽带设备上运营商提供的公网网关IP)。
选择“对象 > 健康检查”,在“健康检查列表”区域单击“新建”,为ISP1链路新建一个健康检查。

单击“新建”,为ISP2链路新建一个健康检查。

2.配置GigabitEthernet 1/0/1和GigabitEthernet 1/0/7的IP地址和网关地址,加入Untrust安全区域,配置接口所在链路的带宽和过载保护阈值,并应用对应的健康检查。



3.配置接口GigabitEthernet 1/0/3的IP地址,并加入Trust安全区域
配置方式参考上一步。

4.配置全局选路策略,流量根据链路带宽负载分担。并将GigabitEthernet 1/0/1和GigabitEthernet 1/0/7加入出接口列表。
选择“网络 > 路由 > 智能选路 > 全局选路策略”,单击“配置”。

5.配置Trust到Untrust的安全策略允许内部网络访问外网,具体方式参考防火墙基本配置

2.双机热备

如图所示,1.1.1.10为网关IP。企业的两台FW的业务接口都工作在三层,上下行分别连接二层交换机。上行交换机连接运营商的接入点,运营商为企业分配的IP地址为1.1.1.1。**我们将该IP设置为虚拟IP。**现在希望两台FW以主备备份方式工作。正常情况下,流量通过FW_A转发。当FW_A出现故障时,流量通过FW_B转发,保证业务不中断。图中的两个二层交换机也可以看成核心交换和AC控制器,设置方式一致

操作步骤

1.配置接口,完成网络基本配置
几个注意点

  • GE1/0/1 加入untrust,GE1/0/3 加入trust,GE/1/0/7 加入DMZ。
  • 两组上行接口与下行接口相应的IP地址保证同一个网段
  • 此处配置方式与一般防火墙外网接口配置有点区别

    外接接口我们这里不直接配置公网IP而是配置一个内网IP段(保证可以直接从这个地址访问公网IP地址),后面用静态路由跳转。

2.配置缺省路由
其实就是配置静态路由,将GE1/0/1的出接口跳转至网关IP 1.1.1.10 , 两个设备都要设置

此处的公网IP为运营商网关的IP而不是提供给我们的公网固定IP##

3.配置双机热备功能

  • a.在FW_A上配置双机热备功能。
    选择“系统 > 高可靠性 > 双机热备”,单击“配置”。

    选中“启用”前的复选框后,按如下参数配置,单击“确定”。
    注意运行角色为主用,我们看到这里有个心跳接口,这个功能就是用来同步FWA的配置到FWB上去的

  • b.在FW_B上配置双机热备功能。
    选择“系统 > 高可靠性 > 双机热备”,单击“配置”。
    选中“启用”前的复选框后,按如下参数配置,单击“确定”。

注意几个点,两个防火墙的对端IP填对方这个端口的IP,两个防火墙虚拟地址A和B要分别保持一致,下行的虚拟IP要保证和两个防火墙的下行接口在同一个网段

4.配置安全策略

在FW_A上配置的安全策略会自动备份到FW_B上。

  • a.选择“策略 > 安全策略 > 安全策略”。
  • b.单击“新建安全策略”,按照如下参数配置安全策略,单击“确定”。

5.配置NAT策略,使内网用户通过转换后的公网IP地址访问Internet。在FW_A上配置的NAT策略会自动备份到FW_B上。

  • a.选择“策略 > NAT策略 > NAT策略”。
  • b.选择“源转换地址池”页签,单击“新建”,按照如下参数配置NAT地址池,单击“确定”。

  • c.选择“NAT策略”页签,单击“新建”,按照如下参数配置NAT策略,单击“确定”。

6.配置Switch和内网PC。

  • a.分别将两台Switch的三个接口加入同一个VLAN,具体配置命令请参考交换机的相关文档。
  • b.将内网PC的默认网关设置为VRRP备份组2的虚拟IP地址,具体步骤略。

7.配置Router。
在Router上配置到FW的等价路由,路由下一跳指向VRRP备份组1的虚拟IP地址。

0

评论区