雙防火墻下構(gòu)建專用商務(wù)網(wǎng)站
筆者所在公司網(wǎng)絡(luò)為自建局域網(wǎng),既承擔(dān)集團(tuán)公司生產(chǎn)、財(cái)務(wù)、物流等各業(yè)務(wù)系統(tǒng)的運(yùn)行,又提供辦公人員訪問(wèn)互聯(lián)網(wǎng)的業(yè)務(wù)。整個(gè)網(wǎng)絡(luò)主要由集團(tuán)公司總部網(wǎng)絡(luò)和分系統(tǒng)或區(qū)域的分支網(wǎng)絡(luò)組成。集團(tuán)公司總部網(wǎng)絡(luò)對(duì)內(nèi)為員工提供了一個(gè)企業(yè)內(nèi)部生產(chǎn)、辦公、交流的平臺(tái),對(duì)外為員工提供訪問(wèn)互聯(lián)網(wǎng)的業(yè)務(wù)。
集團(tuán)公司總部網(wǎng)絡(luò)的拓?fù)溥B接主要為ISP 服務(wù)商→防火墻→內(nèi)部網(wǎng)絡(luò)。其中,在防火墻的DMZ 區(qū)域放著公司的重要服務(wù)器,如集團(tuán)公司電子商務(wù)網(wǎng)站、電子郵局、人力資源外部網(wǎng)站等。
本文中涉及的物流網(wǎng)絡(luò)為分支網(wǎng)絡(luò),但為了保證其業(yè)務(wù)的安全性,該分支網(wǎng)絡(luò)要求規(guī)劃成為一個(gè)構(gòu)建在防火墻基礎(chǔ)上的專用網(wǎng)絡(luò)。物流系統(tǒng)數(shù)據(jù)庫(kù)服務(wù)器及數(shù)據(jù)庫(kù)備份服務(wù)器、應(yīng)用服務(wù)器及其商務(wù)網(wǎng)站等重要服務(wù)器,同樣被規(guī)劃在其防火墻的DMZ 區(qū)域。
本文將介紹雙防火墻下構(gòu)建專用商務(wù)網(wǎng)站的方法。
架設(shè)防火墻的目的
本案例中架設(shè)防火墻的目的有兩個(gè):
第一,防火墻允許網(wǎng)絡(luò)管理人員有中心、有重點(diǎn)地規(guī)劃網(wǎng)絡(luò),從而防止跨越權(quán)限的數(shù)據(jù)訪問(wèn)及非授權(quán)用戶進(jìn)入內(nèi)部網(wǎng)絡(luò)。通過(guò)借助防火墻的3 個(gè)安全區(qū)域,使用戶的網(wǎng)絡(luò)規(guī)劃清晰明了,使網(wǎng)管人員可以很方便地監(jiān)視網(wǎng)絡(luò)的安全情況,并按需要及時(shí)調(diào)整安全訪問(wèn)策略或規(guī)則。
第二,通過(guò)在防火墻上部署NAT(Network AddressTranslation,網(wǎng)絡(luò)地址變換),利用NAT 技術(shù)將有限的外部IP 地址靜態(tài)地址與內(nèi)部的IP 地址對(duì)應(yīng)起來(lái),一方面可以緩解集團(tuán)公司公網(wǎng)地址空間短缺的問(wèn)題,另一方面可以提高網(wǎng)絡(luò)中被保護(hù)資源的安全性。
總部網(wǎng)絡(luò)拓?fù)涓攀?/strong>
集團(tuán)公司內(nèi)部網(wǎng)絡(luò)被防火墻分隔為3 個(gè)不同安全級(jí)別的安全域,即inside、DMZ、outside 域。其中,inside內(nèi)網(wǎng)區(qū)域是大多數(shù)員工所在的集團(tuán)公司總部網(wǎng);DMZ 區(qū)域?qū)iT用于存放集團(tuán)公司涉外業(yè)務(wù),如商務(wù)、電子郵局、人力資源等;outside 外網(wǎng)區(qū)域,即互聯(lián)網(wǎng)區(qū)域。其安全等級(jí)從高到低依次為內(nèi)網(wǎng)區(qū)域100、DMZ 區(qū)域50、外網(wǎng)區(qū)域0。
規(guī)劃物流系統(tǒng)網(wǎng)絡(luò)并進(jìn)行拓?fù)溥B接
1. 規(guī)劃物流系統(tǒng)分支網(wǎng)絡(luò)。
在此需要明確的設(shè)計(jì)需求是:該分支網(wǎng)絡(luò)的中心或者重點(diǎn)是物流系統(tǒng)各服務(wù)器,如物流應(yīng)用系統(tǒng)、數(shù)據(jù)庫(kù)、數(shù)據(jù)備份服務(wù)器等。其使用人員為物資分公司的員工,物流商務(wù)網(wǎng)站服務(wù)器用于在互聯(lián)網(wǎng)上發(fā)布或收集相關(guān)信息。由此,圍繞防火墻設(shè)計(jì)其網(wǎng)絡(luò)連接:通過(guò)Cisco ASA 5550 防火墻的3 個(gè)不同端口,構(gòu)建3個(gè)不同安全級(jí)別的安全域(inside、DMZ、outside 域)。其安全等級(jí)從高到低依次為inside 域100、DMZ 域50、outside 域0。inside 內(nèi)網(wǎng)區(qū)域,用于連接數(shù)據(jù)庫(kù)、數(shù)據(jù)備份、物流應(yīng)用系統(tǒng)服務(wù)器等;DMZ 區(qū)域, 放置物流商務(wù)網(wǎng)站;outside 外網(wǎng)區(qū)域, 由物流系統(tǒng)用戶組成。
在這里,服務(wù)器的安全等級(jí)最高,其目的是保護(hù)物流系統(tǒng)核心資源必須是授權(quán)訪問(wèn),并減少來(lái)自外部的攻擊。如圖1 所示中的“物流分支網(wǎng)絡(luò)”部分。
2. 將物流虛擬網(wǎng)連入集團(tuán)公司網(wǎng)絡(luò),并使其能實(shí)現(xiàn)所需功能
物流虛擬網(wǎng)與集團(tuán)總部網(wǎng)絡(luò)的拓?fù)湟?guī)劃及連接如圖1所示。由圖可見,從集團(tuán)公司總部網(wǎng)絡(luò)的核心路由器分出兩路連接,一路用于物流系統(tǒng)用戶的接入,另一路用于連接物流系統(tǒng)防火墻。同時(shí), 為了實(shí)現(xiàn)物流商務(wù)網(wǎng)站內(nèi)外通的功能,還需要在物流商務(wù)網(wǎng)站服務(wù)器與集團(tuán)公司總部防火墻的DMZ 區(qū)之間再加一條連接,如圖1 中的粗虛線所示。
圖1 總部網(wǎng)絡(luò)拓?fù)鋱D
這樣,物流商務(wù)網(wǎng)站可以通過(guò)在集團(tuán)公司防火墻上做相應(yīng)地址轉(zhuǎn)換而實(shí)現(xiàn)內(nèi)外通功能。
配置物流系統(tǒng)防火墻
針對(duì)物流系統(tǒng)用戶及合作伙伴的流動(dòng)性及網(wǎng)絡(luò)擴(kuò)展性強(qiáng)的要求,物流系統(tǒng)防火墻選用了Cisco ASA 5550 自適應(yīng)安全設(shè)備,它能夠隨著企業(yè)網(wǎng)絡(luò)安全要求的增長(zhǎng)而不斷擴(kuò)展,具有更高的投資保護(hù)能力和更出色的服務(wù)可擴(kuò)展性。
企業(yè)可擴(kuò)展其SSL 和IPsec VPN 容量,以支持大量移動(dòng)員工、遠(yuǎn)程站點(diǎn)和業(yè)務(wù)合作伙伴。通過(guò)安裝SSL VPN 升級(jí)許可,可在每個(gè)Cisco ASA 5550 上擴(kuò)展支持多達(dá)5000個(gè)SSL VPN peer,基礎(chǔ)平臺(tái)最多可支持5000 個(gè)IPsec VPNpeer。通過(guò)使用Cisco ASA 5550 的集成VPN 集群和負(fù)載平衡能力,VPN 容量和永續(xù)性還可以進(jìn)一步提高。
下面簡(jiǎn)述在Cisco ASA 5550 防火墻上配置物流商務(wù)網(wǎng)站的步驟。
1. 配置防火墻
配置防火墻上相應(yīng)的inside、DMZ、outside 端口地址及其安全級(jí)別:建議把inside 和outside 端口放在不同槽板上,這種部署吞吐量大。
下面配置G0/0 口為防火墻的內(nèi)網(wǎng)口,IP 地址為10.20.100. 1/24,安全級(jí)別為100 :
interface GigabitEthernet 0/0
nameif inside
security-level 100
ip address 10.20.100.1 255.255.255.0
配置G0/3 口為防火墻的DMZ 口,IP 地址為10.20.40.1/24,安全級(jí)別為50 :
interface GigabitEthernet 0/3
nameif dmz
security-level 50
ip address 10.20.40.1 255.255.255.0
配置G1/0 口為防火墻的外網(wǎng)口,IP 地址為192.168.212.2/22,安全級(jí)別為0 :
interface GigabitEthernet 1/0
nameif outside
security-level 0
ip address 192.168.212.2 255.255.
255.0
2. 配置路由
在物流系統(tǒng)防火墻內(nèi)網(wǎng)口inside 下連的交換機(jī)中,還劃分了10.20.10.0/24 子網(wǎng),物流系統(tǒng)服務(wù)器的IP 地址被規(guī)劃在這個(gè)網(wǎng)段,因此要為這些網(wǎng)段添加通過(guò)內(nèi)網(wǎng)口訪問(wèn)的靜態(tài)路由,還需要添加通過(guò)防火墻外網(wǎng)口outside 訪問(wèn)的物流系統(tǒng)用戶所在的192.168.212.1/22 網(wǎng)段的路由。
在ASA 5550 防火墻上添加下面兩條靜態(tài)路由:
route inside 10.20.10.0 255.255.
255.0 10.20.100.1 1
route outside 0.0.0.0 0.0.0.0 192.
168.212.1 1
上面兩條路由,第一條用于訪問(wèn)防火墻內(nèi)部的服務(wù)器,第二條用于訪問(wèn)防火墻外部用戶。
3. 配置該服務(wù)器網(wǎng)卡
電子商務(wù)服務(wù)器被連接在了ASA 防火墻的DMZ 區(qū)域,網(wǎng)卡配置為10.100.40.2/24,另一塊網(wǎng)卡連接到互聯(lián)網(wǎng)出口防火墻的DMZ 區(qū)域,網(wǎng)卡配置為11.11.11.11/24,網(wǎng)關(guān)為11.11. 11.1,DNS 服務(wù)器IP 地址為202.99.160.68。
4. 做電子商務(wù)服務(wù)器NAT
做DMZ-outside 的靜態(tài)NAT :
static (dmz,outside) 192.168.212.20
10.20.40.2 netmask 255.255.255.255
做DMZ-inside 的靜態(tài)NAT :
static (dmz,inside) 10.20.100.100
10.20.40.2 netmask 255.255.255.255
上面這兩條靜態(tài)地址轉(zhuǎn)換的目的是讓防火墻外部用戶通過(guò)地址192.168.212.20 訪問(wèn),而防火墻內(nèi)部通過(guò)地址10.20.100.100 訪問(wèn)。
5. 配置security policy (ACL) 及訪問(wèn)規(guī)則
首先,創(chuàng)建電子商務(wù)所需的服務(wù),服務(wù)名稱為ebusiness:
object-group service ebusiness tcp
port-object range 2030 2030
port-object range 3389 3389
port-object eq https
port-object eq www
port-object range sqlnet sqlnet
其次,創(chuàng)建從外網(wǎng)訪問(wèn)它的規(guī)則:
a c c e s s - l i s t o u t s i d e _ a c c e s s _
in extended permit tcp any host
192.168.212.20 object-group ebusiness
為了測(cè)試方便,還加了一條訪問(wèn)規(guī)則,允許從外網(wǎng)對(duì)它進(jìn)行Ping :
a c c e s s - l i s t o u t s i d e _ a c c e s s _
in extended permit icmp any host
192.168.212.20
6. 配置出口防火墻
配置企業(yè)互聯(lián)網(wǎng)出口防火墻,建立該服務(wù)器在公網(wǎng)的映射,以便用戶的訪問(wèn)。
集團(tuán)公司出口防火墻選用了FortiGate-310B 設(shè)備。這款設(shè)備包括很高級(jí)別的端口密度,10 個(gè)千兆以太端口;雙WAN 鏈接,支持冗余的互聯(lián)網(wǎng)連接,集成了一個(gè)4 個(gè)端口的交換機(jī),無(wú)須使用外接的Hub 或交換機(jī),使得聯(lián)網(wǎng)的設(shè)備直接連接到防火墻上。FortiASIC 網(wǎng)絡(luò)處理器可實(shí)現(xiàn)最高8Gbps 和6Gbps 的FW/IPSec VPN 吞吐量。
edit "VI_229_1"
set extip 61.240.133.13
set extintf "port7"
set portforward enable
set mappedip 11.11.11.11
set extport 80
set mappedport 80
next
edit 14
set input-device "port8"
s e t s r c 1 1 . 1 1 . 1 1 . 1 1 2 5 5 .
255.255.255
set output-device "port7"
next
配置路由
在Windows 系統(tǒng)中,允許為一個(gè)機(jī)器配置兩塊網(wǎng)卡。雖然理論上可以給兩塊網(wǎng)卡都配置網(wǎng)關(guān),但會(huì)由此造成路由混亂。因而,對(duì)于有兩塊網(wǎng)卡的機(jī)器,對(duì)其網(wǎng)卡配置時(shí),一塊需要指定網(wǎng)關(guān),一塊則不需要指定網(wǎng)關(guān),而通過(guò)該網(wǎng)絡(luò)到達(dá)其他網(wǎng)段時(shí),一般需要配置靜態(tài)路由。
在這里,為了保證機(jī)器重啟后仍能正常運(yùn)行,采用給本機(jī)添加永久路由的方式。
在添加路由前需要對(duì)網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)有明確認(rèn)識(shí)。對(duì)于該服務(wù)器來(lái)說(shuō),訪問(wèn)集團(tuán)公司的辦公網(wǎng)絡(luò)172 和192 網(wǎng)段,是通過(guò)ASA 防火墻的DMZ 口轉(zhuǎn)換的,而訪問(wèn)物流系統(tǒng)ASA 防火墻內(nèi)部區(qū)域所連接的各數(shù)據(jù)庫(kù)服務(wù)器和備份服務(wù)器,也是通過(guò)DMZ 口轉(zhuǎn)發(fā)的,即訪問(wèn)這幾段網(wǎng)絡(luò)的下一跳網(wǎng)關(guān)都為10.20.40.1。因而需要設(shè)置以下幾條本地永久路由:
Route –p add 172.16.8.0 mask
255.255.252.0 10.20. 40.1(內(nèi)網(wǎng))
Route –p add 192.168. 0.0 mask
255.255.0.0 10.20. 40.1(內(nèi)網(wǎng))
Route –p add 10.20.10.0 mask
255.255.255.0 10.20. 40.1(DMZ區(qū))
本機(jī)路由表如圖2 所示。
圖2 本機(jī)路由表
至此,一個(gè)雙防火墻連接下的內(nèi)外通商務(wù)網(wǎng)站構(gòu)建成功。
核心關(guān)注:拓步ERP系統(tǒng)平臺(tái)是覆蓋了眾多的業(yè)務(wù)領(lǐng)域、行業(yè)應(yīng)用,蘊(yùn)涵了豐富的ERP管理思想,集成了ERP軟件業(yè)務(wù)管理理念,功能涉及供應(yīng)鏈、成本、制造、CRM、HR等眾多業(yè)務(wù)領(lǐng)域的管理,全面涵蓋了企業(yè)關(guān)注ERP管理系統(tǒng)的核心領(lǐng)域,是眾多中小企業(yè)信息化建設(shè)首選的ERP管理軟件信賴品牌。
轉(zhuǎn)載請(qǐng)注明出處:拓步ERP資訊網(wǎng)http://www.guhuozai8.cn/
本文標(biāo)題:雙防火墻下構(gòu)建專用商務(wù)網(wǎng)站
本文網(wǎng)址:http://www.guhuozai8.cn/html/consultation/1083946842.html
相關(guān)文章
