防火墻網(wǎng)絡(luò)架構(gòu)改造方案

防火墻網(wǎng)絡(luò)架構(gòu)改造方案防火墻網(wǎng)絡(luò)架構(gòu)改造方案防火墻網(wǎng)絡(luò)架構(gòu)改造方案資料僅供參考文件編號(hào)：2022年4月防火墻網(wǎng)絡(luò)架構(gòu)改造方案版本號(hào)：A修改號(hào)：1頁次：1.0審核：批準(zhǔn):發(fā)布日期：防火墻網(wǎng)絡(luò)架構(gòu)改造方案二○一二年十月二十九日

目錄一、概述 21.背景 22.建網(wǎng)狀況說明 23.老架構(gòu)存在的問題 44.升級(jí)改造網(wǎng)絡(luò)要達(dá)到以下幾點(diǎn)要求： 4二、網(wǎng)絡(luò)設(shè)計(jì) 41. 網(wǎng)絡(luò)拓?fù)湓O(shè)計(jì) 42. 設(shè)計(jì)策略 6三、網(wǎng)絡(luò)安全設(shè)計(jì) 8四、配置舉例 9五、總結(jié) 101．安全性 102．可靠性 113．不足缺陷和改進(jìn)方法 114．升級(jí)后需要解決的問題 11附錄： 12

一、概述1.背景健威家具企業(yè)建網(wǎng)時(shí)間較早，限于企業(yè)規(guī)模與當(dāng)時(shí)的條件，組網(wǎng)方式為簡單的工作組網(wǎng)，網(wǎng)絡(luò)結(jié)構(gòu)為星型結(jié)構(gòu)，廠區(qū)建筑物間采用光纖相連，室內(nèi)采用超五類雙絞線。做到千兆為主干，百兆到桌面這樣的網(wǎng)絡(luò)架構(gòu)。為滿足業(yè)務(wù)人員的需要，采用電信光纖接入互聯(lián)網(wǎng)。配有域管理，防火墻，代理服務(wù)器等安全保障。2.建網(wǎng)狀況說明網(wǎng)絡(luò)現(xiàn)狀拓?fù)洌海ㄍ負(fù)鋱D）設(shè)備ID設(shè)備名稱用途說明R2Fortigate-400飛塔防火墻防火墻兼做路由功能S1Catalyst-2960G思科二層交換機(jī)普通二層交換機(jī)S2Srw-2024G思科二層交換機(jī)普通二層交換機(jī)Serv1ERP、OA、Mailserver重要服務(wù)系統(tǒng)對(duì)外服務(wù)服務(wù)器Serv2FAX、FTPserver員工服務(wù)應(yīng)用服務(wù)器對(duì)內(nèi)服務(wù)服務(wù)器代理服務(wù)器2003server代理上網(wǎng)服務(wù)器控制出口流量域服務(wù)器2003server域管理網(wǎng)關(guān)管理內(nèi)網(wǎng)用戶及DNS指向采用同一網(wǎng)段工作組，隨著廠區(qū)人數(shù)增多，掩碼更改為，工作網(wǎng)內(nèi)可容納1000個(gè)有效IP。出口控制和路由依靠防火墻實(shí)現(xiàn)。分廠區(qū)沙發(fā)廠有光纖專線連接到總廠區(qū)訪問日常辦公應(yīng)用服務(wù)，有單獨(dú)的互聯(lián)網(wǎng)接入口。用戶數(shù)據(jù)流向圖：（初流向圖）如上圖看出，用戶數(shù)據(jù)要訪問內(nèi)部服務(wù)應(yīng)用、訪問互聯(lián)網(wǎng)等必須流經(jīng)防火墻，隨著業(yè)務(wù)需求不斷增多，用戶數(shù)不斷增多，防火墻常駐內(nèi)存、CPU使用率均達(dá)60%以上。防火墻已服役6年，病毒庫過期未更新。3.老架構(gòu)存在的問題在當(dāng)時(shí)，上述架構(gòu)是中小型企業(yè)網(wǎng)絡(luò)的主流架構(gòu)，能夠滿足公司業(yè)務(wù)需要。但隨著廠區(qū)規(guī)模不斷擴(kuò)展，信息化不斷提高，原來的網(wǎng)絡(luò)架構(gòu)已經(jīng)盡顯疲態(tài)，具體表現(xiàn)在下面幾個(gè)方面：采用工作組的組網(wǎng)方式，網(wǎng)絡(luò)結(jié)構(gòu)簡單，為二層網(wǎng)絡(luò)架構(gòu)，且網(wǎng)絡(luò)設(shè)備老化，功能單一，無法實(shí)現(xiàn)高級(jí)管理功能。因建網(wǎng)初期客戶端較少，因此采用單一網(wǎng)段，隨著客戶端數(shù)量的增加，以及業(yè)務(wù)需要的不斷提高，出于一些保密性和安全性需要，必須要?jiǎng)澐講lan。盡管已開啟域管理和代理服務(wù)器保障局域網(wǎng)安全，但是由于功能性和網(wǎng)絡(luò)性能問題，始終出現(xiàn)網(wǎng)絡(luò)病毒傳播。4.升級(jí)改造網(wǎng)絡(luò)要達(dá)到以下幾點(diǎn)要求：提升網(wǎng)絡(luò)性能，并支持?jǐn)U展升級(jí)，為日后企業(yè)擴(kuò)展做好準(zhǔn)備。加固網(wǎng)絡(luò)安全，在不影響客戶終端配置的情況下，對(duì)骨干網(wǎng)絡(luò)進(jìn)行整改，提高數(shù)據(jù)安全性?？刂瞥杀荆瑢?shí)用性要好，對(duì)現(xiàn)有網(wǎng)絡(luò)架構(gòu)能充分分配利用。二、網(wǎng)絡(luò)設(shè)計(jì)網(wǎng)絡(luò)拓?fù)湓O(shè)計(jì)拓?fù)鋱D設(shè)備命名規(guī)則設(shè)備名放置位置設(shè)備型號(hào)說明R1出口路由器（帶DMZ功能Fortigate防火墻）外部防火墻R2內(nèi)部轉(zhuǎn)發(fā)路由器Fortigate-400內(nèi)部防火墻S1辦公樓匯聚層Catalyst-2960G二層管理交換機(jī)S2研發(fā)樓匯聚層Srw-2024G二層管理交換機(jī)Serv1DMZ非軍事區(qū)ERP、OA、Mailserver對(duì)外服務(wù)重要服務(wù)Serv2研發(fā)樓匯聚層FAX、FTPserver內(nèi)部應(yīng)用服務(wù)器域服務(wù)器R22003server控制出口流量代理服務(wù)器R22003server管理內(nèi)網(wǎng)用戶及DNS指向設(shè)計(jì)策略劃分vlan提高網(wǎng)絡(luò)的管用性?，F(xiàn)有設(shè)備分析：骨干網(wǎng)絡(luò)上S1：思科catalyst2960G、S2:思科srw2024G都是帶管理功能的2層交換機(jī)，帶有vlan劃分功能。出口控制防火墻：Fortint400支持vlan路由轉(zhuǎn)發(fā)。(vlan分析圖)二層交換機(jī)劃分不同VLAN之間必須通過路由功能才能實(shí)現(xiàn)通訊，如果VLAN的數(shù)量不斷增加，流經(jīng)路由與交換機(jī)之間鏈路的流量也變得非常大，此時(shí)，這條鏈路也就成為了整個(gè)網(wǎng)絡(luò)的瓶頸。由于采用飛塔防火墻作路由功能，盡量只劃分有必要的VLAN，即只對(duì)服務(wù)器和客戶端用戶進(jìn)行VLAN劃分。解決辦法是使用三層交換機(jī)代替飛塔放火墻，三層交換技術(shù)在第三層實(shí)現(xiàn)了數(shù)據(jù)包的高速轉(zhuǎn)發(fā)，從而解決了傳統(tǒng)路由低速、負(fù)荷不足所造成的網(wǎng)絡(luò)瓶頸問題。但由于三層交換機(jī)設(shè)備昂貴，本次改造方案暫不予考慮。劃分DMZ保障關(guān)鍵服務(wù)系統(tǒng)的安全。使用防火墻為關(guān)鍵服務(wù)器提供隔離區(qū)，整個(gè)網(wǎng)絡(luò)區(qū)分為三個(gè)部分WAN、LAN、DMZ，并確定其訪問策略：1.內(nèi)網(wǎng)可以訪問外網(wǎng)2.內(nèi)網(wǎng)可以訪問DMZ3.外網(wǎng)不能訪問內(nèi)網(wǎng)4.外網(wǎng)可以訪問DMZ不能訪問內(nèi)網(wǎng)不能訪問外網(wǎng)（郵件服務(wù)器除外）在網(wǎng)絡(luò)中，非軍事區(qū)（DMZ）是指為不信任系統(tǒng)提供服務(wù)的孤立網(wǎng)段，其目的是把敏感的內(nèi)部網(wǎng)絡(luò)和其他提供訪問服務(wù)的網(wǎng)絡(luò)分開，阻止內(nèi)網(wǎng)和外網(wǎng)直接通信，以保證內(nèi)網(wǎng)安全。改造后用戶數(shù)據(jù)流向圖：改造后如上圖：R2防火墻主要負(fù)責(zé)Serv2、域服務(wù)器、代理服務(wù)器的防護(hù)機(jī)制，通過防病毒過濾及訪問策略控制對(duì)內(nèi)部關(guān)鍵應(yīng)用服務(wù)器進(jìn)行保護(hù)。劃分vlan后，因vlan隔離廣播，能有效抑制網(wǎng)絡(luò)病毒對(duì)應(yīng)用服務(wù)器的感染。R1防火墻主要負(fù)責(zé)Serv1、互聯(lián)網(wǎng)出口、沙發(fā)廠員工vpn接入的防護(hù)機(jī)制。購置帶DMZ的Fortigate防火墻可提供最新的病毒庫，能與R2病毒庫兼容一并升級(jí)。改造后整個(gè)網(wǎng)絡(luò)的安全體系升級(jí)，但網(wǎng)絡(luò)性能瓶頸依然在R2防火墻上，解決辦法是使用三層交換機(jī)代替R2放火墻。IP地址分配方案設(shè)備名IP接口接口說明R1F0/1VpnF0/2專線F0/3DMZF0/4TrunkR2F0/1TurnkF0/2代理、域服務(wù)器接口F0/3研發(fā)樓F0/4辦公樓S1Vlan1（交換機(jī)默認(rèn)所有接口）各終端Trunk(F0/)連接R2接口S2Vlan1（交換機(jī)默認(rèn)所有接口）各終端Trunk(F0/)連接R2接口Vlan2(F0/)S2交換機(jī)下的內(nèi)部服務(wù)器Serv2路由規(guī)劃設(shè)備名路由網(wǎng)關(guān)說明R1Vpn出口DMZTrunkR2Turnk代理、域服務(wù)器接口研發(fā)樓辦公樓S1各終端連接R2接口S2各終端連接R2接口S2交換機(jī)下的內(nèi)部服務(wù)器Serv2三、網(wǎng)絡(luò)安全設(shè)計(jì)出口控制規(guī)劃表(防火墻)：序號(hào)源地址目的地址時(shí)間表服務(wù)保護(hù)內(nèi)容表動(dòng)作port1->port2(7)1IntallalwaysANYENCRYPT2MailserverKWRPSVR0608allalwaysANYACCEPT3四、配置舉例S2交換機(jī)配置：S2#vlandatabaseS2<vlan>#vlan2S2<vlan>#ipaddress<IP地址><mask>S2<vlan>#exitS2#configterminalS2<config>#intrangef0/1-5S2<config-if-range>#switchportmodeaccessS2<config-if-range>#switchportaccessvlan2S2<config-if-range>#endS2<config>#interfacevlan1S2<config-if>#ipaddress<IP地址><mask>S2<config-if>#exitS2<config>#ipdefault-gateway<IP地址>S2<config>#intf0/24(設(shè)置turnk口)S2<config-if>#switchportmodetrunkS2<config-if>#switchporttrunkallowedvlan1,2S2<config-if>#switchporttrunkencapdot1q（vlan中繼）S2<config-if>#exitS2<config>#enablesecretxxx（設(shè)置特權(quán)加密口為xxx）S2<config>#enablepasswordxxx（設(shè)置特權(quán)非加密口為xxx）S2<config-line>#linevty04S2<config-line>#loginS2<config-line>#passwordxxS2<config-line>#exitS2<config>#exitS2#write防火墻vlan配置：R1防火墻DMZ配置:進(jìn)入防火墻>虛擬IP新建一個(gè)虛擬IP項(xiàng)目五、總結(jié)1．安全性通過以上網(wǎng)絡(luò)改造后，網(wǎng)絡(luò)架構(gòu)從單一組網(wǎng)，轉(zhuǎn)換成交換式網(wǎng)絡(luò)。防火墻R2過濾了過往Serv2文件傳輸所造成的病毒傳播。創(chuàng)建VLAN后，隔離了不同VLAN間的邏輯廣播域，縮小了廣播范圍，能夠阻止廣播風(fēng)暴的產(chǎn)生。整個(gè)網(wǎng)絡(luò)的安全性能方面有了較大的提高。2．可靠性兩臺(tái)飛塔防火墻互為通用設(shè)備，任意一臺(tái)發(fā)生故障時(shí)，另一臺(tái)可以在極短時(shí)間內(nèi)還原升級(jí)前配置，恢復(fù)以前的網(wǎng)絡(luò)架構(gòu)，為關(guān)鍵服務(wù)提高可靠的災(zāi)難應(yīng)對(duì)方法。3．不足缺陷和改進(jìn)方法在匯聚層上，僅依靠R2做路由轉(zhuǎn)發(fā)功能，導(dǎo)致辦公樓與研發(fā)樓間的數(shù)據(jù)交互受R2性能影響，傳輸速度有所影響。為了以后能更高效，更可靠的拓展公司業(yè)務(wù)，建議把老舊的R2防火墻換成思科三層交換機(jī)，其高效的數(shù)據(jù)交換足以滿足公司網(wǎng)絡(luò)匯聚層以后的發(fā)展要求。4．升