防火墙网络架构改造专项方案.doc

1、防火墙网络架构改造方案二一二年十月二十九日目 录一、概述21. 背景22. 建网状况说明23. 老架构存在的问题44. 升级改造网络要达到以下几点要求：4二、网络设计41.网络拓扑设计42.设计策略6三、网络安全设计8四、配置举例9五、总结101安全性102可靠性113不足缺陷和改进方法114升级后需要解决的问题11附录：12一、概述1. 背景 健威家具公司建网时间较早，限于公司规模与当时条件，组网方式为简朴工作组网，网络构造为星型构造，厂区建筑物间采用光纤相连，室内采用超五类双绞线。做到千兆为主干，百兆到桌面这样网络架构。为满足业务人员需要，采用电信光纤接入互联网。配有域管理，防火墙，代理服

2、务器等安全保障。2. 建网状况阐明n 网络现状拓扑：（拓扑图）设备ID设备名称用途阐明R2Fortigate-400飞塔防火墙防火墙兼做路由功能S1Catalyst-2960G思科二层互换机普通二层互换机S2Srw-2024G思科二层互换机普通二层互换机Serv1ERP、OA、Mailserver重要服务系统对外服务服务器Serv2FAX、FTPserver员工服务应用服务器对内服务服务器代理服务器server代理上网服务器控制出口流量域服务器server域管理网关管理内网顾客及DNS指向采用同一网段工作组，随着厂区人数增多，掩码更改为255.255.252.0 ，工作网内可容纳1000个有效

3、IP。出口控制和路由依托防火墙实现。分厂区沙发厂有光纤专线连接到总厂区访问寻常办公应用服务，有单独互联网接入口。n 顾客数据流向图： （初流向图）如上图看出，顾客数据要访问内部服务应用、访问互联网等必要流经防火墙，随着业务需求不断增多，顾客数不断增多，防火墙常驻内存、CPU使用率均达60%以上。防火墙已服役6年，病毒库过期未更新。3. 老架构存在问题在当时，上述架构是中小型公司网络主流架构，可以满足公司业务需要。但随着厂区规模不断扩展，信息化不断提高，本来网络架构已经尽显疲态，详细体当前下面几种方面：1） 采用工作组组网方式，网络构造简朴，为二层网络架构，且网络设备老化，功能单一，无法实现高档

4、管理功能。2） 因建网初期客户端较少，因而采用单一网段，随着客户端数量增长，以及业务需要不断提高，出于某些保密性和安全性需要，必要要划分vlan。尽管已启动域管理和代理服务器保障局域网安全，但是由于功能性和网络性能问题，始终浮现网络病毒传播。4. 升级改造网络要达到如下几点规定：1） 提高网络性能，并支持扩展升级，为日后公司扩展做好准备。2） 加固网络安全，在不影响客户终端配备状况下，对骨干网络进行整治，提高数据安全性。3） 控制成本，实用性要好，对既有网络架构能充分分派运用。二、网络设计1. 网络拓扑设计n 拓扑图n 设备命名规则设备名放置位置设备型号阐明R1出口路由器（带DMZ功能Fort

5、igate防火墙）外部防火墙R2内部转发路由器Fortigate-400内部防火墙S1办公楼汇聚层Catalyst-2960G二层管理互换机S2研发楼汇聚层Srw-2024G二层管理互换机Serv1DMZ非军事区ERP、OA、Mailserver对外服务重要服务Serv2研发楼汇聚层FAX、FTPserver内部应用服务器域服务器R2server控制出口流量代理服务器R2server管理内网顾客及DNS指向2. 设计方略n 划分vlan提高网络管用性。既有设备分析： 骨干网络上S1：思科catalyst 2960G、S2:思科srw 2024G 都是带管理功能2层互换机，带有vlan划分功能。

6、出口控制防火墙：Fortint 400 支持vlan路由转发。 (vlan分析图)二层互换机划分不同VLAN之间必要通过路由功能才干实现通讯，如果VLAN数量不断增长，流经路由与互换机之间链路流量也变得非常大，此时，这条链路也就成为了整个网络瓶颈。由于采用飞塔防火墙作路由功能，尽量只划分有必要VLAN，即只对服务器和客户端顾客进行VLAN划分。解决办法是使用三层互换机代替飞塔放火墙，三层互换技术在第三层实现了数据包高速转发，从而解决了老式路由低速、负荷局限性所导致网络瓶颈问题。但由于三层互换机设备昂贵，本次改造方案暂不予考虑。n 划分DMZ保障核心服务系统安全。使用防火墙为核心服务器提供隔离区

7、，整个网络区别为三个某些 WAN、LAN、DMZ，并拟定其访问方略：1.内网可以访问外网2.内网可以访问DMZ3.外网不能访问内网4.外网可以访问DMZ5.DMZ不能访问内网6.DMZ不能访问外网（邮件服务器除外） 在网络中，非军事区（DMZ）是指为不信任系统提供服务孤立网段，其目是把敏感内部网络和其她提供访问服务网络分开，制止内网和外网直接通信，以保证内网安全。n 改造后顾客数据流向图：改造后如上图：R2防火墙重要负责Serv2、域服务器、代理服务器防护机制，通过防病毒过滤及访问方略控制对内部核心应用服务器进行保护。划分vlan后，因vlan隔离广播，能有效抑制网络病毒相应用服务器感染。R1

8、防火墙重要负责Serv1、互联网出口、沙发厂员工vpn接入防护机制。购买带DMZFortigate防火墙可提供最新病毒库，能与R2病毒库兼容一并升级。改造后整个网络安全体系升级，但网络性能瓶颈依然在R2防火墙上，解决办法是使用三层互换机代替R2放火墙。n IP地址分派方案设备名IP接口接口阐明R1F0/1VpnF0/2专线F0/3DMZF0/4TrunkR2F0/1TurnkF0/2代理、域服务器接口F0/3研发楼F0/4办公楼S1Vlan 1（互换机默认所有接口）各终端Trunk (F0/)连接R2接口S2Vlan 1（互换机默认所有接口）各终端Trunk (F0/)连接R2接口Vlan 2

9、 (F0/)S2互换机下内部服务器Serv2n 路由规划设备名路由网关阐明R1Vpn出口DMZTrunkR2Turnk代理、域服务器接口研发楼办公楼S1各终端连接R2接口S2各终端连接R2接口S2互换机下内部服务器Serv2三、网络安全设计n 出口控制规划表(防火墙)：序号源地址目地址时间表服务保护内容表动作port1 - port2 (7) 1IntallalwaysANYENCRYPT 2MailserverKWRPSVR0608allalwaysANYACCEPT 3四、配备举例n S2互换机配备：S2#vlan databaseS2#vlan 2S2#ip address S2#exi

10、tS2#config terminalS2#int range f0/1 -5S2#switchport mode accessS2#switchport access vlan 2S2#endS2#interface vlan 1S2#ip address S2#exitS2#ip default-gateway S2#int f0/24 (设立turnk口)S2#switchport mode trunkS2#switchport trunk allowed vlan 1,2S2#switchport trunk encap dot1q （vlan中继）S2#exitS2#enable s

11、ecret xxx（设立特权加密口为xxx）S2#enable password xxx （设立特权非加密口为xxx）S2#line vty 0 4S2#loginS2#password xxS2#exitS2#exitS2#writen 防火墙vlan配备：n R1防火墙DMZ配备:进入防火墙-虚拟IP 新建一种虚拟IP项目五、总结1安全性通过以上网络改造后，网络架构从单一组网，转换成互换式网络。防火墙R2过滤了 过往Serv2文献传播所导致病毒传播。创立VLAN后，隔离了不同VLAN间逻辑广播域，缩小了广播范畴，可以制止广播风暴产生。整个网络安全性能方面有了较大提高。2可靠性两台飞塔防火墙

12、互为通用设备，任意一台发生故障时，另一台可以在极短时间内还原升级前配备，恢复此前网络架构，为核心服务提高可靠劫难应对办法。3局限性缺陷和改进办法在汇聚层上，仅依托R2做路由转发功能，导致办公楼与研发楼间数据交互受R2性能影响，传播速度有所影响。为了后来能更高效，更可靠拓展公司业务，建议把老旧R2防火墙换成思科三层互换机，其高效数据互换足以满足公司网络汇聚层后来发展规定。4升级后需要解决问题 由于划分VLAN后，限制了广播功能，某些需要广播应用服务器应与客户端处在同一VLAN下，新布置ip-guard服务需要通过广播功能搜索在线客户端，因此应把其布置在VLAN 1，否则无法使用其广播功能。附录：n 原出口控制表：序号源地址目地址时间表服务保护内容表动作port1 - port2 (7) 1IntallalwaysANYENCRYPT 2MailserverKWRPSVR0608allalwaysANYACCEPT 3