防火墙网络架构改造专项方案.doc

防火墙网络架构改造方案 二○一二年十月二十九日 目 录 一、概述 2 1. 背景 2 2. 建网状况说明 2 3. 老架构存在的问题 4 4. 升级改造网络要达到以下几点要求： 4 二、网络设计 4 1. 网络拓扑设计 4 2. 设计策略 6 三、网络安全设计 8 四、配置举例 9 五、总结 10 1．安全性 10 2．可靠性 11 3．不足缺陷和改进方法 11 4．升级后需要解决的问题 11 附录： 12 一、概述 1. 背景 健威家具公司建网时间较早，限于公司规模与当时条件，组网方式为简朴工作组网，网络构造为星型构造，厂区建筑物间采用光纤相连，室内采用超五类双绞线。做到千兆为主干，百兆到桌面这样网络架构。为满足业务人员需要，采用电信光纤接入互联网。配有域管理，防火墙，代理服务器等安全保障。 2. 建网状况阐明 n 网络现状拓扑： （拓扑图） 设备ID 设备名称 用途 阐明 R2 Fortigate-400 飞塔防火墙 防火墙兼做路由功能 S1 Catalyst-2960G 思科二层互换机 普通二层互换机 S2 Srw-2024G 思科二层互换机 普通二层互换机 Serv1 ERP、OA、Mailserver 重要服务系统 对外服务服务器 Serv2 FAX、FTPserver 员工服务应用服务器 对内服务服务器 代理服务器 server 代理上网服务器 控制出口流量 域服务器 server 域管理网关 管理内网顾客及DNS指向 采用同一网段工作组，随着厂区人数增多，掩码更改为255.255.252.0 ，工作网内可容纳1000个有效IP。出口控制和路由依托防火墙实现。分厂区沙发厂有光纤专线连接到总厂区访问寻常办公应用服务，有单独互联网接入口。 n 顾客数据流向图： （初流向图） 如上图看出，顾客数据要访问内部服务应用、访问互联网等必要流经防火墙，随着业务需求不断增多，顾客数不断增多，防火墙常驻内存、CPU使用率均达60%以上。防火墙已服役6年，病毒库过期未更新。 3. 老架构存在问题 在当时，上述架构是中小型公司网络主流架构，可以满足公司业务需要。但随着厂区规模不断扩展，信息化不断提高，本来网络架构已经尽显疲态，详细体当前下面几种方面： 1） 采用工作组组网方式，网络构造简朴，为二层网络架构，且网络设备老化，功能单一，无法实现高档管理功能。 2） 因建网初期客户端较少，因而采用单一网段，随着客户端数量增长，以及业务需要不断提高，出于某些保密性和安全性需要，必要要划分vlan。尽管已启动域管理和代理服务器保障局域网安全，但是由于功能性和网络性能问题，始终浮现网络病毒传播。 4. 升级改造网络要达到如下几点规定： 1） 提高网络性能，并支持扩展升级，为日后公司扩展做好准备。 2） 加固网络安全，在不影响客户终端配备状况下，对骨干网络进行整治，提高数据安全性。 3） 控制成本，实用性要好，对既有网络架构能充分分派运用。 二、网络设计 1. 网络拓扑设计 n 拓扑图 n 设备命名规则 设备名 放置位置 设备型号 阐明 R1 出口路由器 （带DMZ功能Fortigate防火墙） 外部防火墙 R2 内部转发路由器 Fortigate-400 内部防火墙 S1 办公楼汇聚层 Catalyst-2960G 二层管理互换机 S2 研发楼汇聚层 Srw-2024G 二层管理互换机 Serv1 DMZ非军事区 ERP、OA、Mailserver 对外服务重要服务 Serv2 研发楼汇聚层 FAX、FTPserver 内部应用服务器 域服务器 R2 server 控制出口流量 代理服务器 R2 server 管理内网顾客及DNS指向 2. 设计方略 n 划分vlan提高网络管用性。 既有设备分析： 骨干网络上S1：思科catalyst 2960G、S2:思科srw 2024G 都是带管理功能2层互换机，带有vlan划分功能。出口控制防火墙：Fortint 400 支持vlan路由转发。 (vlan分析图) 二层互换机划分不同VLAN之间必要通过路由功能才干实现通讯，如果VLAN数量不断增长，流经路由与互换机之间链路流量也变得非常大，此时，这条链路也就成为了整个网络瓶颈。 由于采用飞塔防火墙作路由功能，尽量只划分有必要VLAN，即只对服务器和客户端顾客进行VLAN划分。 解决办法是使用三层互换机代替飞塔放火墙，三层互换技术在第三层实现了数据包高速转发，从而解决了老式路由低速、负荷局限性所导致网络瓶颈问题。但由于三层互换机设备昂贵，本次改造方案暂不予考虑。 n 划分DMZ保障核心服务系统安全。 使用防火墙为核心服务器提供隔离区，整个网络区别为三个某些 WAN、LAN、DMZ，并拟定其访问方略： 1.内网可以访问外网 2.内网可以访问DMZ 3.外网不能访问内网 4.外网可以访问DMZ 5.DMZ不能访问内网 6.DMZ不能访问外网（邮件服务器除外） 　 在网络中，非军事区（DMZ）是指为不信任系统提供服务孤立网段，其目是把敏感内部网络和其她提供访问服务网络分开，制止内网和外网直接通信，以保证内网安全。 n 改造后顾客数据流向图： 改造后如上图： R2防火墙重要负责Serv2、域服务器、代理服务器防护机制，通过防病毒过滤及访问方略控制对内部核心应用服务器进行保护。划分vlan后，因vlan隔离广播，能有效抑制网络病毒相应用服务器感染。 R1防火墙重要负责Serv1、互联网出口、沙发厂员工vpn接入防护机制。购买带DMZFortigate防火墙可提供最新病毒库，能与R2病毒库兼容一并升级。 改造后整个网络安全体系升级，但网络性能瓶颈依然在R2防火墙上，解决办法是使用三层互换机代替R2放火墙。 n IP地址分派方案 设备名 IP 接口 接口阐明 R1 F0/1 Vpn F0/2 专线 F0/3 DMZ F0/4 Trunk R2 F0/1 Turnk F0/2 代理、域服务器接口 F0/3 研发楼 F0/4 办公楼 S1 Vlan 1（互换机默认所有接口） 各终端 Trunk (F0/) 连接R2接口 S2 Vlan 1（互换机默认所有接口） 各终端 Trunk (F0/) 连接R2接口 Vlan 2 (F0/) S2互换机下内部服务器Serv2 n 路由规划 设备名 路由 网关 阐明 R1 Vpn 出口 DMZ Trunk R2 Turnk 代理、域服务器接口 研发楼 办公楼 S1 各终端 连接R2接口 S2 各终端 连接R2接口 S2互换机下内部服务器Serv2 三、网络安全设计 n 出口控制规划表(防火墙)： 序号 源地址 目地址 时间表 服务 保护内容表 动作 port1 -> port2 (7) 1 Int all always ANY ENCRYPT 2 Mailserver KWRPSVR0608 all always ANY ACCEPT 3 四、配备举例 n S2互换机配备： S2#vlan database S2<vlan>#vlan 2 S2<vlan>#ip address <IP地址> < mask> S2<vlan>#exit S2#config terminal S2<config>#int range f0/1 -5 S2<config-if-range>#switchport mode access S2<config-if-range>#switchport access vlan 2 S2<config-if-range>#end S2<config>#interface vlan 1 S2<config-if>#ip address <IP地址> < mask> S2<config-if>#exit S2<config>#ip default-gateway <IP地址> S2<config>#int f0/24 (设立turnk口) S2<config-if>#switchport mode trunk S2<config-if>#switchport trunk allowed vlan 1,2 S2<config-if>#switchport trunk encap dot1q （vlan中继） S2<config-if>#exit S2<config>#enable secret xxx（设立特权加密口为xxx） S2<config>#enable password xxx （设立特权非加密口为xxx） S2<config-line>#line vty 0 4 S2<config-line>#login S2<config-line>#password xx S2<config-line>#exit S2<config>#exit S2#write n 防火墙vlan配备： n R1防火墙DMZ配备: 进入防火墙---->虚拟IP 新建一种虚拟IP项目 五、总结 1．安全性 通过以上网络改造后，网络架构从单一组网，转换成互换式网络。防火墙R2过滤了 过往Serv2文献传播所导致病毒传播。创立VLAN后，隔离了不同VLAN间逻辑广播域，缩小了广播范畴，可以制止广播风暴产生。整个网络安全性能方面有了较大提高。 2．可靠性 两台飞塔防火墙互为通用设备，任意一台发生故障时，另一台可以在极短时间内还原升级前配备，恢复此前网络架构，为核心服务提高可靠劫难应对办法。 3．局限性缺陷和改进办法 在汇聚层上，仅依托R2做路由转发功能，导致办公楼与研发楼间数据交互受R2性能影响，传播速度有所影响。为了后来能更高效，更可靠拓展公司业务，建议把老旧R2防火墙换成思科三层互换机，其高效数据互换足以满足公司网络汇聚层后来发展规定。 4．升级后需要解决问题 由于划分VLAN后，限制了广播功能，某些需要广播应用服务器应与客户端处在同一VLAN下，新布置ip-guard服务需要通过广播功能搜索在线客户端，因此应把其布置在VLAN 1，否则无法使用其广播功能。 附录： n 原出口控制表： 序号 源地址 目地址 时间表 服务 保护内容表 动作 port1 -> port2 (7) 1 Int all always ANY ENCRYPT 2 Mailserver KWRPSVR0608 all always ANY ACCEPT 3