你们好,我的网工朋友。
不知道你有没有想过,我们每天看电视、上网追剧的广电网络,它的背后是如何确保安全稳定运行的?
广电行业除了提供家庭广播电视业务,还向ISP租用链路开展宽带用户上网、服务器托管等网络接入服务。
广电出口作为广电网络与互联网世界连接的关键节点,具有多重重要的作用和功能。不仅帮助广电网络连接到互联网的大门,也是所有广电用户访问互联网的必经之路。
这个出口的安全直接关系到广电用户的上网体验和信息安全。
而防火墙作为广电出口的第一道防线,它负责抵御外部攻击、管理网络流量、控制用户访问等,其作用自然不容小觑。
今天就来看看防火墙在广电网络出口中的规划和部署,相信能够对你有所帮助。
今日文章阅读福利:《华为防火墙配置指南 》
私信我,发送暗号“华为防火墙”,即可获取此份优质指南,提升你的技术水平。
如果想从0到1系统学习,也欢迎私信我,告知学习意向,我会为你推荐最适合你的方式。
01 方案简介
广电行业除了提供家庭广播电视业务,还向ISP租用链路开展宽带用户上网、服务器托管等网络接入服务。此时网络出口处通常部署防火墙作为出口网关提供接入及安全保障功能。
图1-1 防火墙在广电网络出口的应用
如图1-1所示,防火墙部署在网络出口主要提供如下功能:
02 典型组网
如图1-2所示,广电向两个ISP各租用了两条链路,为城域网的广电用户提供宽带上网服务。广电还在服务器区部署了服务器,为内外网用户提供服务器托管业务。
广电的出口处部署了两台防火墙双机热备组网(主备方式)。两台防火墙的上行接口通过出口汇聚交换机与两个ISP相连,下行接口通过核心路由器与城域网相连,通过服务器区的交换机与服务器相连。
图1-2 防火墙在广电网络出口的典型组网
广电网络对出口防火墙的具体需求如下:
03 业务规划
01 双机热备规划
由于一个ISP接入点无法与两台防火墙直接相连,因此需要在防火墙与ISP之间部署出口汇聚交换机。
出口汇聚交换机可以将ISP的一条链路变为两条链路,然后分别将两条链路与两台防火墙的上行接口相连。
而防火墙与下行路由器之间运行OSPF,所以这就组成了“两台防火墙上行连接交换机,下行连接路由器”的典型双机热备组网。该种组网方式防火墙上行配置VRRP备份组,下行配置VGMP组监控业务口。
双机热备组网可以转换为图1-3,将与同一个ISP接入点连接的主备防火墙接口加入同一个VRRP备份组。
图1-3 双机热备组网
02 多出口选路规划
广电向不同运营商租用链路,多出口选路功能尤为重要,防火墙提供丰富的多出口功能满足需求:
03 源NAT规划
在FW配置源NAT使内网用户可以通过有限的公网IP地址访问。
地址池
根据向ISP申请的公网IP地址,配置两个对应不同ISP的地址池,注意地址池中排除VRRP备份组的公网IP、服务器对外发布的公网IP。
NAPT( and Port )
NAPT同时对IP地址和端口进行转换,内网用户访问的报文到达防火墙后,报文的源地址会被NAT转换成公网地址,源端口会被NAT转换成随机的非知名端口。这样一个公网地址就可以同时被多个内网用户使用,实现了公网地址的复用,解决了海量用户同时访问的问题。
当防火墙既开启NAT功能,又需要转发多通道协议报文(例如FTP等)时,必须开启相应的NAT ALG功能。例如FTP、SIP、H323、RTSP和QQ等多通道协议。
04 NAT 规划
广电的托管服务器业务主要开通网站托管业务,如某个学校的网站托管,同时还有公司内部的办公网,公司门户网站等。
由于托管服务器部署在内网的DMZ区域,所以需要在防火墙上部署NAT 功能,将服务器的私网地址转换成公网地址,而且需要为不同的ISP用户提供不同的公网地址。
如果DNS服务器在内网,则需要配置智能DNS使外网用户可以获取最适合的服务器解析地址,即与用户属于同一ISP网络地址避免跨网络访问。
05 安全功能规划
缺省情况下FW拒绝所有流量通过,需要配置安全策略允许正常的业务访问。具体规划见下文的数据规划。
出口网关作为广电网络与外界通信的关口,需要配置入侵防御(IPS)、攻击防范等安全功能。
本案例使用缺省的IPS配置文件,对检测到的入侵行为进行阻断;还可以选择配置文件ids先记录攻击日志不阻断,然后根据日志再配置具体的IPS配置文件。
06 用户溯源规划
通过与日志服务器配合完成用户溯源:
07 数据规划
根据上述业务规划进行数据规划。
04 注意事项
01
IPS功能和智能DNS功能需要支持,另外智能DNS功能需要加载内容安全组件包才能使用。
02 硬件要求
对于,IPS、基于应用的策略路由、智能DNS需要应用安全业务处理子卡(SPC--FW)在位,否则功能不可用。
使用IPS功能前,建议将IPS特征库升级到最新版本。
03 组网部署
为了避免心跳接口故障导致双机通信异常,心跳接口建议使用Eth-trunk接口。对于支持扩展多个接口卡的设备(具体支持情况,请查阅硬件指南),必须使用跨板Eth-Trunk接口缺省路由,即一个Eth-Trunk的成员接口来自于不同的接口板,这样既提高了可靠性,又增加了备份通道的带宽。
对于无接口扩展能力无法使用跨板Eth-Trunk的设备,可能存在一块接口卡故障导致所有HRP备份通道不可用、业务受损。
当双机热备与智能选路结合使用时,如果上行部署交换机运行VRRP,防火墙的上行物理接口必须配置与ISP路由器同一网段的公网IP地址,否则无法指定接口的。
命令是智能选路、链路健康探测的必选配置。
如果上行是路由器则无此限制。
04 智能选路
防火墙在接口下提供命令生成等价缺省路由,协议类型为UNR,路由优先级为70,低于静态路由的优先级(60)。
配置了此命令后不能再手动配置多出口的静态等价路由
策略路由智能选路不能和IP欺骗攻击防范功能或URPF( Path ,单播逆向路径转发)功能一起使用。如果开启IP欺骗攻击防范功能或URPF功能,可能导致防火墙丢弃报文。
05 黑洞路由
防火墙支持为NAT地址池中的地址生成UNR(User Route)路由,该UNR路由的作用与黑洞路由的作用相同,可以防止路由环路,同时也可以引入到OSPF等动态路由协议中发布出去。
对于NAT 来说,如果指定了协议和端口,则还需要手工配置目的地址为公网地址的黑洞路由,使外网访问公网地址但没有匹配到-Map的报文匹配到黑洞路由后直接被丢弃缺省路由,防止路由环路。