本帖最后由 新手259646 于 2020-9-25 10:05 编辑
“当前已有100+用户参与分享,共计发放奖励60000+“
【项目背景】 客户业务系统需要过二级等保,边界有原有一台华三防火墙,连接DMZ域服务器、trust域宽带网络及外网链路和一个监控链路,由于原防火墙设备老旧并且为单机运行存在单点故障,所以使用两台AF替换该华三防火墙,下面介绍下替换方案、设备配置及替换后验证
【网络架构】 1、替换前拓扑
Trust域:上联两个交换机再向上为宽带网络,监控网络也属于该域 Utrust域:外网链路接入域 DMZ域:DMZ域下联的交换机有几十台应用服务器,通过NAT及端口映射对外提供服务
2、替换后拓扑
DMZ域和Trust域的每个交换机新增一个10GE接口,连接AF备机,原连接华三防火墙的接口接入AF主机; 外网链路和监控网络原来只有单条线路,现在增加两个交换机分别连接AF主机和备机,防止主备切换或者设备故障时链路无法自动切换导致业务故障
【设备配置】 将华三防火墙配置复制到EXCEL中,按照各个配置功能翻译成AF的配置,在按照配置文件配置AF即可(之前有调试华为防火墙的经验,所以能看懂华三防火墙配置,有些配置看不懂的地方配合华三防火墙图形化界面进行翻译),由于防火墙从单机变成了双机,所以交换机侧也需要增加端口做相应的配置
防火墙配置: 【安全域划分及接口配置】 各个接口配置为路由模式,各个接口区域以及各个接口IP如下
AF配置 1、创建链路聚合 2、创建相应的安全域并将接口接入相应区域,并配置IP地址,因为要组件双机热备,所以需要比原华三防火墙多增加一个心跳口,加入HA域
【静态路由】
静态路由AF里面配置可能会出错,可以整理好后批量导入AF,客户这里有两条路由目的地址和掩码一致在AF里无法添加所以配置一了下度量值
AF配置
【源NAT】
原华三防火墙配置NAT所以地址到公网,根据和客户沟通只有一个30网段的服务器需要上公网,其余服务器不需要上公网,所以AF做NAT配置时只做了30网段的配置。
AF配置 由于客户有三个公网IP,所以做一个NAT地址池,设置起始地址和结束地址
【端口映射】
这里客户映射了几个业务端口,可以直接添加即可。但是原配置还把SSH映射出去了,只允许其中几个公网IP登录,这个地方需要注意不能放行所有流量,必须关掉,另外创建一条安全策略,只允许其中几个公网IP访问。对于这类的安全隐患和客户沟通后将放行SSH的安全策略关闭,等远程的应用维护人员需要维护时再开启。
AF配置
【应用控制策略】
客户原配置没有多少安全策略,主要配置了Utrust/Trust到DMZ域的策略,DMZ到Trust/Utrust域的策略,local域为华三防火墙自带的区域,无需关注;安全策略没有进行详细的业务梳理,都是域之间的全放通策略,已经建议客户对相应的业务进行梳理,梳理完成细化控制策略
【IPS策略】
客户原防火墙配置了IPS策略,根据配置翻译配置相应的IPS策略即可,主要配置了DMZ到trust域的防护以及trust和Untrust到DMZ的IPS防护,开启高危联动封锁功能
设置防护的源和目的区域
开启高危联动封锁
IPS策略
【双机热备】
之前规划并配置了心跳口为ETH3,加入了HA域,配置的IP地址为10.0.0.1-HA(备机)和10.0.0.2-HA(备机),现在将双机热备配置完成后备机同步主机配置就可以完成两台防火墙的设备配置了 测试心跳口连通性
配置同步,分别登录主防火墙和被防火墙配置同步角色分别为主控和备控
配置双机热备,配置虚拟组、优先级、网口监视功能
交换机配置:DMZ/Trust交换机 DMZ域和Trust域分别有两个交换机,每个交换机都增加了一个10G接口,DMZ和Trust域的交换机将新增的两个10G接口做成一个Etrunk链路聚合组,划入Vlanif即可
宽带/监控交换机 宽带和监控网络的交换机只需要把两台防火墙和相应的外网接口加入一个VLAN即可
【割接验证】
将华三防火墙对接线拔下,插到主防火墙上,新增尾纤插到备防火墙墙上,验证业务是否正常,以及测试主备切换后业务是否正常。 | 
楼主
QQ好友和群
QQ空间
腾讯微博
腾讯朋友
来自 # 
发表于 2020-9-30 21:56
技术员1级 
