安全無小事!近段時間“密碼泄露”事件鬧得沸沸揚揚,人心惶惶。先是CSDN用戶數據庫的泄露,這對從事計算機技術工作的人員來說可謂是當頭一棒。因為絕大多數IT技術工作者都在CSDN注冊過賬號,而且幾乎都是使用同一個用戶名和密碼,注冊了其它類的技術網站。發生“CSDN用戶數據庫泄露”事件后,反正我是趕緊把自己在用的許多技術類網站的密碼都改了過來。但是剛改完沒多久,又出現了天涯、新浪微博等泄密事件。真是防不勝防!
難道互聯網上就沒有安全的地方了嗎?我認為還是有的,要不然也沒有這么多人使用互聯網。只不過近段時間接二連三暴露的問題太多了。不過,有了問題只要通過各種安全措施把它解決了,同樣可以提高互聯網的安全性。本文就涉及到企業網絡中防火墻設備部署、安裝和配置。雖然防火墻不能解決所有的安全問題,但它在網絡中的部署也是絕對不能少的。
圖1 單位網絡架構和防火墻部署圖示
一、網絡架構和防火墻部署情況
單位網絡結構圖如圖1所示。為了確保重要設備的穩定性和冗余性,核心層交換機使用兩臺6509-E,通過Trunk線連接。在辦公區的接入層使用了多臺Cisco 2960交換機,圖示為了簡潔,只畫出了兩臺。在核心層交換機6509-E上,通過防火墻連接有單位重要的服務器,如FTP、E-MAIL服務器和數據庫等。單位IP地址的部署,使用的是C類私有192網段的地址。DHCP服務器的IP地址為192.168.10.1,FTP服務器的IP地址是192.168.5.2。Cisco 6509-E和Cisco 3750之間,以及Cisco 3750和Cisco 2960之間都是Trunk連接。
圖1中的橘黃色線表示的是用光纖連接,藍色線表示的是用雙絞線連接。而且從兩臺6509上分別延伸出來了的兩條黃色線,一條豎線和一條橫線,它們在拓撲圖中其實是對兩臺6509上端口的一種擴展,并不是這兩條線只連接到6509上的一個端口,而是連接了多個端口。這種布局的拓撲圖,在結構上就顯得更清晰明了。
單位根據部門性質的不同,把各個部門的電腦劃入到不同的VLAN中。服務器都位于VLAN 2至VLAN 10中,對應的網絡號是192.168.2.0~192.168.10.0,如DHCP服務器位于VLAN 10中,FTP服務器位于VLAN 5中。服務器的IP地址、默認網關和DNS都是靜態配置的。VLAN 11至VLAN 150是屬于辦公部門使用的,對應的網絡號是192.168.11.0~192.168.150.0。VLAN號和網絡號之間都是對應的。VLAN中的PC都是通過Cisco 2960接入到網絡中,3750都是二層配置,三層的配置都在Cisco 6509上,也就是VLAN間的路由都是通過6509完成的。PC的IP地址、默認網關和DNS都是自動從DHCP服務器上獲得的,不用手工靜態配置。
如圖1所示,兩臺防火墻都是聯想Power V防火墻,它們運行的模式都為透明模式,也就是以“橋”模式運行的,本身只需要配置一個管理IP地址,不必占用任何其它的IP資源,也不需要改變用戶的拓撲環境,設備的運行對用戶來說是“透明”的,在網絡設備上進行各種命令的配置時,就當不存在這兩個防火墻一樣,因為它們是透明模式。它們只對線路上的數據包作安全檢查,和安全策略上的限制,本身不會影響網絡的整體架構和配置。這種模式在安裝和維護防火墻時,相對防火墻的另外一種運行模式——路由模式,來說要簡單很多。
Cisco 6509-E和核心區Cisco 2960之間不是Trunk模式連接,而是使用接入模式連接的,也就是兩臺Cisco 6509-E的Gi3/2位于VLAN 5中,核心區兩臺Cisco 2960的Gi0/1也位于VLAN 5中。兩臺6509和兩臺3750之間,以及辦公區中網絡設備間的連接情況如下所示:
Cisco 6509-E1 GigabitEthernet 3/1 <----> Cisco3750A GigabitEthernet 1/0/25
Cisco 6509-E2 GigabitEthernet 3/1 <----> Cisco3750B GigabitEthernet 1/0/25
Cisco 3750A GigabitEthernet 1/0/1 <-----> Cisco 2960A GigabitEthernet 0/1
Cisco 3750B GigabitEthernet 1/0/1 <-----> Cisco 2960B GigabitEthernet 0/1
兩臺6509和兩臺防火墻之間的,以及核心區中網絡設備間的連接情況如下所示:
Cisco 6509-E1 GigabitEthernet 3/2 <-----> FW-A GigabitEthernet 1
Cisco 6509-E2 GigabitEthernet 3/2 <-----> FW-B GigabitEthernet 1
FW-A GigabitEthernet 2 <-----> Cisco 2960A GigabitEthernet 0/1
FW-B GigabitEthernet 2 <-----> Cisco 2960B GigabitEthernet 0/1
二、主要網絡設備上的配置情況
1、兩臺核心交換機上的配置情況。在Cisco 6509-E1上的主要配置如下所示:
hostname Cisco 6509-E1
!
interface GigabitEthernet3/1
description Link3750A_1/0/25
switchport trunk encapsulation dot1q
switchport trunk allowed vlan 5,115
switchport mode trunk
!
interface GigabitEthernet3/2
description Link_FW-A_Gi1
switchport access vlan 5
switchport mode access
!
interface Vlan5
ip address 192.168.5.252 255.255.255.0
standby 5 ip 192.168.5.254
standby 5 priority 120
standby 5 preempt
!
interface Vlan115
ip address 192.168.115.252 255.255.255.0
standby 115 ip 192.168.115.254
standby 115 priority 120
standby 115 preempt
其中命令“ip address 192.168.5.252 255.255.255.0”是給指定的VLAN配置IP地址。
命令“standby 5 priority 120”中的“priority”是配置HSRP的優先級,5為組序號,它的取值范圍為0~255,120為優先級的值,取值范圍為0~255,數值越大優先級越高。
優先級將決定一臺路由器在HSRP備份組中的狀態,優先級最高的路由器將成為活動路由器,其它優先級低的路由器將成為備用路由器。當活動路由器失效后,備用路由器將替代它成為活動路由器。當活動和備用路由器都失效后,其它路由器將參與活動和備用路由器的選舉工作。優先級都相同時,接口IP地址高的將成為活動路由器。
“preempt”是配置HSRP為搶占模式。如果需要高優先級的路由器能主動搶占成為活動路由器,則要配置此命令。配置preempt后,能夠保證優先級高的路由器失效恢復后總能成為活動路由器。活動路由器失效后,優先級最高的備用路由器將處于活動狀態,如果沒有使用preempt技術,則當活動路由器恢復后,它只能處于備用狀態,先前的備用路由器代替其角色處于活動狀態。
命令“standby 5 ip 192.168.5.254”作用是啟動HSRP,如果虛擬IP地址不指定,路由器就不會參與備份。虛擬IP應該是接口所在的網段內的地址,不能配置為接口上的IP地址。
在Cisco 6509-E2上的主要配置如下所示:
hostname Cisco 6509-E2
!
interface GigabitEthernet3/1
description Link3750B_1/0/25
switchport trunk encapsulation dot1q
switchport trunk allowed vlan 5,115
switchport mode trunk
!
interface GigabitEthernet3/2
description Link_FW-B_Gi1
switchport access vlan 5
switchport mode access
!
interface Vlan5
ip address 192.168.5.253 255.255.255.0
standby 5 ip 192.168.5.254
standby 5 priority 120
standby 5 preempt
!
interface Vlan115
ip address 192.168.115.253 255.255.255.0
standby 115 ip 192.168.115.254
standby 115 priority 120
standby 115 preempt
2、在辦公區兩臺Cisco 3750和兩臺Cisco 2960上的配置情況。在Cisco 3750A上的配置:
hostname Cisco3750A
!
interface GigabitEthernet1/0/25
description Link6509-E1 3/1
switchport trunk encapsulation dot1q
switchport trunk allowed vlan 5,115
switchport mode trunk
!
interface GigabitEthernet1/0/1
description Link2960A 0/1
switchport trunk encapsulation dot1q
switchport trunk allowed vlan 5,115
switchport mode trunk
在Cisco 3750B上的配置:
hostname Cisco3750B
!
interface GigabitEthernet1/0/25
description Link6509-E2 3/1
switchport trunk encapsulation dot1q
switchport trunk allowed vlan 5,115
switchport mode trunk
!
interface GigabitEthernet1/0/1
description Link2960B 0/1
switchport trunk encapsulation dot1q
switchport trunk allowed vlan 5,115
switchport mode trunk
在Cisco 2960A上的配置:
hostname Cisco2960A
!
interface GigabitEthernet0/1
description Link3750A 1/0/1
switchport trunk encapsulation dot1q
switchport trunk allowed vlan 5,115
switchport mode trunk
在Cisco 2960B上的配置:
hostname Cisco2960B
!
interface GigabitEthernet0/1
description Link3750B 1/0/1
switchport trunk encapsulation dot1q
switchport trunk allowed vlan 5,115
switchport mode trunk
3、在核心區兩臺Cisco 2960上的主要配置情況如下所示。在Cisco 2960A上的配置:
hostname Cisco2960A
!
interface GigabitEthernet0/1
description Link3750A 1/0/1
switchport access vlan 5
switchport mode access
在Cisco 2960B上的配置:
hostname Cisco2960B
!
interface GigabitEthernet0/1
description Link3750B 1/0/1
switchport access vlan 5
switchport mode access
注意,在辦公區和核心區中Cisco 2960交換機上的配置情況是不一樣的,前者交換機上的端口的配置為Trunk模式,而后者的端口模式為Access模式。
核心關注:拓步ERP系統平臺是覆蓋了眾多的業務領域、行業應用,蘊涵了豐富的ERP管理思想,集成了ERP軟件業務管理理念,功能涉及供應鏈、成本、制造、CRM、HR等眾多業務領域的管理,全面涵蓋了企業關注ERP管理系統的核心領域,是眾多中小企業信息化建設首選的ERP管理軟件信賴品牌。
轉載請注明出處:拓步ERP資訊網http://www.guhuozai8.cn/
本文標題:實例解析防火墻部署搭建與故障排除
相關文章
