©2010-2025 宁波自信网络信息技术有限公司 版权所有
客服电话:0574-28810668 投诉电话:18658249818
浙ICP备2021020529号-1 | 浙B2-20240490
关注我们 :
1、 防火墙网络架构改造方案 二○一二年十月二十九日 目 录 一、概述 2 1. 背景 2 2. 建网状况说明 2 3. 老架构存在的问题 4 4. 升级改造网络要达到以下几点要求: 4 二、网络设计 4 1. 网络拓扑设计 4 2. 设计策略 6 三、网络安全设计 8 四、配置举例 9 五、总结 10 1.安全性 10 2.可靠性 11 3.不足缺陷和改进方法 11 4.升级后需要解决的问题 11 附录: 12 一、概述 1. 背景 健威家具公司建网时间较早,限于公司规模与当时条
2、件,组网方式为简朴工作组网,网络构造为星型构造,厂区建筑物间采用光纤相连,室内采用超五类双绞线。做到千兆为主干,百兆到桌面这样网络架构。为满足业务人员需要,采用电信光纤接入互联网。配有域管理,防火墙,代理服务器等安全保障。 2. 建网状况阐明 n 网络现状拓扑: (拓扑图) 设备ID 设备名称 用途 阐明 R2 Fortigate-400 飞塔防火墙 防火墙兼做路由功能 S1 Catalyst-2960G 思科二层互换机 普通二层互换机 S2 Srw-2024G 思科二层互换机 普通二层互换机 Serv1 ERP、OA、Mailserver
3、重要服务系统 对外服务服务器 Serv2 FAX、FTPserver 员工服务应用服务器 对内服务服务器 代理服务器 server 代理上网服务器 控制出口流量 域服务器 server 域管理网关 管理内网顾客及DNS指向 采用同一网段工作组,随着厂区人数增多,掩码更改为255.255.252.0 ,工作网内可容纳1000个有效IP。出口控制和路由依托防火墙实现。分厂区沙发厂有光纤专线连接到总厂区访问寻常办公应用服务,有单独互联网接入口。 n 顾客数据流向图: (初流向图) 如上图看出,顾客数据要访问内部服务应用、访问互联网等必要流经防火墙,
4、随着业务需求不断增多,顾客数不断增多,防火墙常驻内存、CPU使用率均达60%以上。防火墙已服役6年,病毒库过期未更新。 3. 老架构存在问题 在当时,上述架构是中小型公司网络主流架构,可以满足公司业务需要。但随着厂区规模不断扩展,信息化不断提高,本来网络架构已经尽显疲态,详细体当前下面几种方面: 1) 采用工作组组网方式,网络构造简朴,为二层网络架构,且网络设备老化,功能单一,无法实现高档管理功能。 2) 因建网初期客户端较少,因而采用单一网段,随着客户端数量增长,以及业务需要不断提高,出于某些保密性和安全性需要,必要要划分vlan。尽管已启动域管理和代理服务器保障局域网安全,
5、但是由于功能性和网络性能问题,始终浮现网络病毒传播。 4. 升级改造网络要达到如下几点规定: 1) 提高网络性能,并支持扩展升级,为日后公司扩展做好准备。 2) 加固网络安全,在不影响客户终端配备状况下,对骨干网络进行整治,提高数据安全性。 3) 控制成本,实用性要好,对既有网络架构能充分分派运用。 二、网络设计 1. 网络拓扑设计 n 拓扑图 n 设备命名规则 设备名 放置位置 设备型号 阐明 R1 出口路由器 (带DMZ功能Fortigate防火墙) 外部防火墙 R2 内部转发路由器 Fortigate-400 内
6、部防火墙 S1 办公楼汇聚层 Catalyst-2960G 二层管理互换机 S2 研发楼汇聚层 Srw-2024G 二层管理互换机 Serv1 DMZ非军事区 ERP、OA、Mailserver 对外服务重要服务 Serv2 研发楼汇聚层 FAX、FTPserver 内部应用服务器 域服务器 R2 server 控制出口流量 代理服务器 R2 server 管理内网顾客及DNS指向 2. 设计方略 n 划分vlan提高网络管用性。 既有设备分析: 骨干网络上S1:思科catalyst 2960G、S2:思科srw 2024G 都是
7、带管理功能2层互换机,带有vlan划分功能。出口控制防火墙:Fortint 400 支持vlan路由转发。 (vlan分析图) 二层互换机划分不同VLAN之间必要通过路由功能才干实现通讯,如果VLAN数量不断增长,流经路由与互换机之间链路流量也变得非常大,此时,这条链路也就成为了整个网络瓶颈。 由于采用飞塔防火墙作路由功能,尽量只划分有必要VLAN,即只对服务器和客户端顾客进行VLAN划分。 解决办法是使用三层互换机代替飞塔放火墙,三层互换技术在第三层实现了数据包高速转发,从而解决了老式路由低速、负荷局限性所导致网络瓶颈问题。但由于三层互换机设备昂贵,本次改造方案暂不予考虑。
8、 n 划分DMZ保障核心服务系统安全。 使用防火墙为核心服务器提供隔离区,整个网络区别为三个某些 WAN、LAN、DMZ,并拟定其访问方略: 1.内网可以访问外网 2.内网可以访问DMZ 3.外网不能访问内网 4.外网可以访问DMZ 5.DMZ不能访问内网 6.DMZ不能访问外网(邮件服务器除外) 在网络中,非军事区(DMZ)是指为不信任系统提供服务孤立网段,其目是把敏感内部网络和其她提供访问服务网络分开,制止内网和外网直接通信,以保证内网安全。 n 改造后顾客数据流向图: 改造后如上图: R2防火墙重要负责Serv2、域服务器、代理服务器防护机制
9、通过防病毒过滤及访问方略控制对内部核心应用服务器进行保护。划分vlan后,因vlan隔离广播,能有效抑制网络病毒相应用服务器感染。 R1防火墙重要负责Serv1、互联网出口、沙发厂员工vpn接入防护机制。购买带DMZFortigate防火墙可提供最新病毒库,能与R2病毒库兼容一并升级。 改造后整个网络安全体系升级,但网络性能瓶颈依然在R2防火墙上,解决办法是使用三层互换机代替R2放火墙。 n IP地址分派方案 设备名 IP 接口 接口阐明 R1 F0/1 Vpn F0/2 专线 F0/3 DMZ F0/4 Trunk R2
10、 F0/1 Turnk F0/2 代理、域服务器接口 F0/3 研发楼 F0/4 办公楼 S1 Vlan 1(互换机默认所有接口) 各终端 Trunk (F0/) 连接R2接口 S2 Vlan 1(互换机默认所有接口) 各终端 Trunk (F0/) 连接R2接口 Vlan 2 (F0/) S2互换机下内部服务器Serv2 n 路由规划 设备名 路由 网关 阐明 R1 Vpn 出口 DMZ Trunk R2
11、 Turnk 代理、域服务器接口 研发楼 办公楼 S1 各终端 连接R2接口 S2 各终端 连接R2接口 S2互换机下内部服务器Serv2 三、网络安全设计 n 出口控制规划表(防火墙): 序号 源地址 目地址 时间表 服务 保护内容表 动作 port1 -> port2 (7) 1 Int all always ANY ENCRYPT 2 Mailserver KWRPSVR0608 all
12、always
ANY
ACCEPT
3
四、配备举例
n S2互换机配备:
S2#vlan database
S2 13、if-range>#switchport access vlan 2
S2 14、an 1,2
S2 15、e
n 防火墙vlan配备:
n R1防火墙DMZ配备:
进入防火墙---->虚拟IP 新建一种虚拟IP项目
五、总结
1.安全性
通过以上网络改造后,网络架构从单一组网,转换成互换式网络。防火墙R2过滤了 过往Serv2文献传播所导致病毒传播。创立VLAN后,隔离了不同VLAN间逻辑广播域,缩小了广播范畴,可以制止广播风暴产生。整个网络安全性能方面有了较大提高。
2.可靠性
两台飞塔防火墙互为通用设备,任意一台发生故障时,另一台可以在极短时间内还原升级前配备,恢复此前网络架构,为核心服务提高可靠劫难应对办法。
3.局限性缺陷和 16、改进办法
在汇聚层上,仅依托R2做路由转发功能,导致办公楼与研发楼间数据交互受R2性能影响,传播速度有所影响。为了后来能更高效,更可靠拓展公司业务,建议把老旧R2防火墙换成思科三层互换机,其高效数据互换足以满足公司网络汇聚层后来发展规定。
4.升级后需要解决问题
由于划分VLAN后,限制了广播功能,某些需要广播应用服务器应与客户端处在同一VLAN下,新布置ip-guard服务需要通过广播功能搜索在线客户端,因此应把其布置在VLAN 1,否则无法使用其广播功能。
附录:
n 原出口控制表:
序号
源地址
目地址
时间表
服务
保护内容表
动作
port1 -> port2 (7)
1
Int
all
always
ANY
ENCRYPT
2
Mailserver
KWRPSVR0608
all
always
ANY
ACCEPT
3
©2010-2025 宁波自信网络信息技术有限公司 版权所有
客服电话:0574-28810668 投诉电话:18658249818
浙ICP备2021020529号-1 | 浙B2-20240490
关注我们 :
