实施背景: 某医院进行网络升级改造,购入了两台NGAF进行安全防护;一台部署在出口,一台部署在服务器区域。客户有3个出口,分别为远程专线出口、VPN出口、外网出口。其中远程专线供医院远程会诊使用,vpn供外网加密接入,外网出口供无线AP上网。
实施拓扑及描述:
边界防火墙作为出口路由器部署。由于客户有3条出口,所以边界防火墙选择混合模式部署,而且要进行策略路由选路。其中外网出口之所以通过交换机接过来是因为客户有两个网络,内外网隔离的,外网是一个独立的网络,本次通过从外网搭一根线过来放权给内网无线AP上网,拓扑中外网结构未画出。数据中心防火墙放在服务器区域,选择透明模式部署。本文档只展示边界防火墙配置,数据中心防火墙比较简单不做展示。
实施步骤:
1.设备登陆
2.对象定义 2.1.预定义好内网网络对象,方便后面使用
3.网络配置
3.1由于边界防火墙对端核心交换机是trunk口,所以我们防火墙内网口也要对应trunk口。综合带宽冗余考虑,下连内网核心采用双链路透明trunk聚合接口,聚合口选择eth3、eth4,区域选择新增区域,命名为内网区域,允许所有vlan通过
3.2.配置一个vlan接口充当核心的网关,实现3层互通。勾上允许ping,方便网络排障。【备注:接口名称Veth.103中的103是vlan的意思,要注意和核心那边保持一致】
知识拓展:
这个vlan接口对于懂交换机的小伙伴来说无需多解释,但对于新加入社区不久网络基础不好的小伙伴来说可 能就不太能理解他的作用,这里我用一句通俗易懂的语言给大家解释一下:
你可以把这个vlan接口等价于是套在聚合接口上的路由口,内网流量通过聚合口上来之后交给这个vlan接口 进行路由转发。
3.3.配置eth5口为路由口上联远程专线,区域选择新增区域,命名为远程专线,勾上允许ping和WAN口。
3.4.配置eth1口为路由口上联ssl vpn,区域选择新增区域,命名为vpn区域,勾上允许ping和WAN口。
3.5.配置eth2为路由口上联外网核心交换机,区域选择新增区域,命名为外网区域,勾上允许ping和WAN口
4.路由配置 4.1.配置默认路由指向VPN
4.2.配置内网回包路由指向核心
4.3.配置访问远程医疗方向的路由,一条一条指出去,下一跳填写远程专线对应网关
4.4. 规划无线AP网络对象
4.5配置源地址策略路由指向外网核心,源地址选择无线AP网段,接口选择eth2
5.应用控制策略 5.1.内网到远程方向的由于无法理清客户使用的服务及端口情况,两边均有互访,为避免造成业务异常,应用控制策略选择双向放通所有
5.2.内网到VPN方向也无法梳理清楚涉及业务端口服务情况,依旧选择放通所有
5.3.VPN到内网方向客户有远程办公的需求,所以放通客户需要访问内网的网络对象
5.4.内网到外网方向,放通无线AP网段到外网方向去上网
5.5.对所有区域进行一个高危端口的封堵,注意放到所有策略前面,否则不生效,策略是从上到下匹配
6.安全策略配置 6.1. web策略模板开启http端口自动识别
6.2.配置用户防护策略,防护终端安全威胁。源区域选择内网区域的终端对象,目的区域所有外网区域
6.3.配置业务防护策略,防护服务器安全威胁,源区域选择所有外网区域,目的区域选择内网服务器网段
6.4.关闭所有外网区域管理此设备的权限
实施问题与总结:
本次部署过程说一帆风顺那是不可能的,这其中原因有自己的粗心、知识欠缺等。
我对遇到的问题做一个简单介绍,设备配置完之后发现2个问题:第一个问题是远程专线从内网访问不上去,只能到防火墙,排查原因是客户上层路由器回包路由没写好。第二个问题是无线ap上不了网,排查原因是自己粗心把交换机上回包路由掩码写错了。
楼主
QQ好友和群
QQ空间
腾讯微博
腾讯朋友
来自 # 
发表于 2020-5-29 22:00
发表于 2020-5-18 14:44
技术员2级 
