二、 网络拓扑
1、互联网出口区
使用两台深信服下一代防火墙主备模式部署,上联两条运营商专线分别接到分线交换机上,当出现单点故障时,防火墙设备自动切换,保障业务连续性。
防火墙配置策略路由保障两条运营商链路互为冗余以及负载均衡,保障带宽的利用率以及业务连续性。
防火墙配置应用控制策略,确保将业务流量放通
防洪墙配置安全防护策略,保障对网络层,应用层攻击进行拦截
2、核心交换区
采用两台7706并使用虚拟化技术,保障了单点故障后的业务连续性,核心交换机连接防火墙的网口配置access100
3、 服务器区 服务器区采用9台超融合一体机以及两台虚拟化的交换机来承载业务,其中:
管理网采用双网口绑定为平台见的配置同步,虚拟机热迁移等提供链路冗余以及负载均衡
业务网采用双网口绑定为平台内的虚拟机承载的业务提供链路冗余以及负载均衡
存储网采用双交换机链路聚合,组建分布式存储aSAN时使用独立的两台交换机作为存储交换机,同一台服务器的两个存储网口分别接入不同的交换机,两条链路间实现链路负载均衡。
超融合管理网络对端交换机网口配置为access200
超融合的业务网络与VXLAN网络复用两个聚合口,对端交换机网口配置trunk,放通成员vlan300,3000,其中vlan3000为vlan网络平面,vlan300为虚拟机业务地址网络平面,通过不同的vlan隔离。
超融合存储网络对端交换机网口配置为access4000
管理业务交换机连接的核心交换机网口配置为trunk,放通成员vlan200,300
三、设备现场交付1、防火墙
基础网络配置根据接口及地址规划,完成设备路由部署配置,同时划分接口所属的防护区域。建议此项目可以划分两个区域,外网区域和内网区域。后续的安全策略均会针对区域来完成
网络对象定义根据贵单位的网络情况,把终端和服务器的相关对象提前定义出来,以供后续的安全策略引用。建议对象定义可以遵循以下原则来进行:
l 服务器建议先定义整个服务器所在IP网段的对象,方便后续做整体的安全防护策略;
l 关键业务系统建议每个业务都定义一个对象,方便后续针对每个关键业务,制定定制化的安全防护策略;
应用控制策略配置防火墙默认情况下,对数据流的策略是全部拦截,所以上线前,需要先完成相应应用控制的放通,才能保证上线后,业务的正常使用。此功能会参考目前线上的传统防火墙来完成,但同时需要遵循以下原则:
l 针对终端上网的应用控制,从内网区域到外网区域的如无特殊情况,全放通;
l 针对服务器上网的应用控制,了解服务器主动上网需要访问的目标IP,从内网区域到外网区域有针对性的放通;
l 针对服务器对外发布的业务,根据前期确认的业务信息采集表,以最小放通原则,只放通从外网区域到内网区域明确发布的端口。
高可用配置根据接口和地址规划,完成两台深信服防火墙的双机冗余配置,配置步骤大致如下:
AF-1(默认主机)
l 完成心跳口及地址配置,2.2.2.1/24-ha;
l 完成双机部署配置,同时开启网口监视和vlan1的链路监视,vlan1同时监控上、下连设备的网络连通性;
l 完成配置同步配置,本项目只需要启动“会话表”和“配置同步”即可
l 完成配置后,配置同步角色设置为主控。
AF-2(默认备机)
l 完成心跳口及地址配置,2.2.2.2/24-ha;
l 完成双机部署配置,同时开启网口监视和vlan1的链路监视,vlan1同时监控上、下连设备的网络连通性;
l 完成配置同步配置,本项目只需要启动“会话表”和“配置同步”即可
l 完成配置后,配置同步角色设置为备控。
安全防护策略针对所有服务器,我司提出如下防火墙的安全策略,匹配贵单位的安全需求:
l 针对服务器网段,开启实时漏洞分析攻击。对内网服务器的漏洞、弱密码、黑链、webshell等风险进行实时监控;
l 针对服务器网段,开启ips的“保护服务器”和“暴力破解”。防止对外发布的服务有漏洞对外网利用,或者对外开放业务被暴力破解;
l 针对服务器网段,开启waf功能,端口识别启用“自动识别”。防止服务器对外发布的web网站被入侵;
l 针对所有服务器网段,开启web防扫描功能,防止被监管单位扫描并通报;
l 针对服务器网段,开启僵尸网络,防止服务器自身感染病毒后,被外部非法用户控制并利用;
l 针对有https加密的,提前开启解密功能。确保防火墙可以识别并防护该网站。
2、超融合
基础网络配置按接口及地址规划,完成设备管理口配置
创建超融合集群将9台服务器组建超融合集群。完成各个网络平面的IP地址配置
创建虚拟存储卷完成存储网络搭建以及asan创建
创建虚拟网络完成虚拟机业务网络的创建
附地址规划表:
安全设备
服务器
设备 | | | | | | |
| | | | | | |
| | | | | |
10.251.252.2-10.251.252.10 | | | |
| 10.251.251.2-10.251.251.10 | | | | |
交换机管理