防火墻實(shí)施方案

防火墻實(shí)施方案PICC防火墻實(shí)施步驟當(dāng)前PICC兩臺(tái)McAfee防火墻運(yùn)行在雙機(jī)模式下。目前的狀態(tài)如下：外網(wǎng)端口為em2,IP為10.3.3.81(aliasesIP為10.3.3.80)內(nèi)網(wǎng)端口為em1和em0.IP地址分別為:172.16.16.202(aliasesIP為172.16.16.201)和10.1.1.252(aliasesIP為10.1.1.254)心跳端口為em3，IP地址為192.168.100.1(aliasesIP為192.168.100.3)外網(wǎng)端口為em2,IP為10.3.3.82(aliasesIP為10.3.3.80)內(nèi)網(wǎng)端口為em1和em0.IP地址分別為:172.16.16.203(aliasesIP為172.16.16.201)和10.1.1.253(aliasesIP為10.1.1.254)心跳端口為em3，IP地址為192.168.100.2(aliasesIP為192.168.100.3)雙機(jī)虛地址為：心跳線由一根網(wǎng)線組成，虛IP分別為：外網(wǎng)：10.3.3.80內(nèi)網(wǎng)：10.1.1.254內(nèi)網(wǎng)：172.16.16.201心跳：192.168.100.3也就是表明，當(dāng)前兩臺(tái)防火墻共用一個(gè)外網(wǎng)地址10.3.3.80，兩個(gè)內(nèi)網(wǎng)地址10.1.1.254和172.16.16.201.為了完成對(duì)當(dāng)前設(shè)備的正常割接，我們需要對(duì)新設(shè)備進(jìn)行初始化設(shè)置和雙機(jī)安裝。首先進(jìn)行新設(shè)備SW1的配線下的配置：SW1的配置：開機(jī)畫面同意license許可，并輸入Y進(jìn)入下一步。按照以上截圖中相關(guān)信息進(jìn)行填寫，這里的信息可以非正式。此截圖配置此防火墻為標(biāo)準(zhǔn)模式(路由模式)，并允許基本的網(wǎng)絡(luò)訪問服務(wù)。以上截圖為配置的重點(diǎn)。需要注意，externallP即為外網(wǎng)IP(10.3.3.81),internallP即為內(nèi)網(wǎng)IP(172.16.16.202)。默認(rèn)只有內(nèi)網(wǎng)IP可以被訪問和登錄。依次輸入DNS(202.106.0.20)和默認(rèn)網(wǎng)關(guān)(10.3.3.3)。設(shè)置登錄防火墻的初始用戶名和密碼。這里設(shè)置的用戶名為swadmin密碼為admin123待完成密碼設(shè)置后，防火墻配置即告完成，輸入A表示同意以上配置并回車，系統(tǒng)會(huì)自動(dòng)進(jìn)行服務(wù)重啟，當(dāng)看到login登錄標(biāo)識(shí)即表示防火墻已經(jīng)初始化完成。在安裝了McAfeeAdminconsole的機(jī)器上打開此程序，并添加SX1的IP到程序中。即可登錄進(jìn)行管理。到此已經(jīng)可以正常使用防火墻了。接下來進(jìn)行l(wèi)icense激活和軟件更新。進(jìn)入maintenance選項(xiàng)，并找到license一項(xiàng)。點(diǎn)擊acitvatefirewall即可激活license。但需要注意，此時(shí)的firewall一定要能夠訪問外網(wǎng)。否則無法從McAfeelicense服務(wù)器中取到此設(shè)備的license。軟件更新然后到softwaremanagement中升級(jí)當(dāng)前防火墻到最新的軟件版本。接下來就是對(duì)時(shí)區(qū)的設(shè)置。更改時(shí)區(qū)：為了更加清晰的了解當(dāng)前防火墻的端口配置，可到Network選項(xiàng)下的interfaces里查看當(dāng)前已經(jīng)配置的端口及其對(duì)應(yīng)的IP地址。查看網(wǎng)絡(luò)端口：查看網(wǎng)絡(luò)區(qū)域：完成SW1的初始安裝，接下來進(jìn)行SW2的安裝，同樣首先開啟該設(shè)備。SW2的配置：同意license許可，并輸入Y進(jìn)入下一步。按照以上截圖中相關(guān)信息進(jìn)行填寫，這里的信息可以非正式。此截圖配置此防火墻為標(biāo)準(zhǔn)模式(路由模式)，并允許基本的網(wǎng)絡(luò)訪問服務(wù)。以上截圖為配置的重點(diǎn)。需要注意，externalIP即為外網(wǎng)IP(10.3.3.82)，internalIP即為內(nèi)網(wǎng)IP(172.16.16.203)。默認(rèn)只有內(nèi)網(wǎng)IP可以被訪問和登錄。依次輸入DNS(202.106.0.20)和默認(rèn)網(wǎng)關(guān)(10.3.3.3)。設(shè)置登錄防火墻的初始用戶名和密碼。同樣的，我們?cè)赟W2里也設(shè)置了同樣的用戶名和密碼。用戶名為swadmin密碼為admin123待完成密碼設(shè)置后，防火墻配置即告完成，輸入A表示同意以上配置并回車，系統(tǒng)會(huì)自動(dòng)進(jìn)行服務(wù)重啟，當(dāng)看到login登錄標(biāo)識(shí)即表示防火墻已經(jīng)初始化完成。在安裝了McAfeeAdminconsole的機(jī)器上打開此程序，并添加SX2的IP到程序中。即可登錄進(jìn)行管理。到此SW2已經(jīng)可以正常使用了。接下來進(jìn)行l(wèi)icense激活和軟件更新。進(jìn)入maintenance選項(xiàng)，并找到license一項(xiàng)。點(diǎn)擊acitvatefirewall即可激活license。同樣的，此時(shí)的firewall一定要能夠訪問外網(wǎng)。否則無法從McAfeelicense服務(wù)器中取到此設(shè)備的license。軟件更新SW2也需要把軟件更新到最新的版本，保證和SW1的軟件版本一致。更改時(shí)區(qū)：更改時(shí)區(qū)到中國(guó)北京查看網(wǎng)絡(luò)端口：為了更加清晰的了解當(dāng)前防火墻的端口配置，可到Network選項(xiàng)下的interfaces里查看當(dāng)前已經(jīng)配置的端口及其對(duì)應(yīng)的IP地址。查看網(wǎng)絡(luò)區(qū)域：到此SW2的基本配置已經(jīng)完成，防火墻已經(jīng)運(yùn)行正常，接下來需要進(jìn)行配置的備份。按照以下截圖，備份SW1,SW2的配置到本機(jī)和管理服務(wù)器。由于PICC采用雙機(jī)部署，所以，為了能夠完成正常的割接，我們需要把這兩臺(tái)新的設(shè)備配置為雙機(jī)，并保證所配置的IP地址和虛地址和當(dāng)前在線的舊防火墻一致。雙機(jī)配置：雙機(jī)配置需要建立一個(gè)心跳連接。如下圖所示我們需要先建立一個(gè)heartbeat區(qū)域。取名為heartbeat。Sw1設(shè)備上的配置:我已經(jīng)添加了一個(gè)Heartbeat區(qū)域，并綁定了網(wǎng)卡em2到該區(qū)域，設(shè)置了IP地址為192.168.0.200.Sw2設(shè)備上的配置:我們?cè)赟W2上也添加了一個(gè)Heartbeat區(qū)域，并綁定了網(wǎng)卡em2到該區(qū)域，設(shè)置了IP地址為192.168.0.1.HA集群配置過程：點(diǎn)擊maintenance里的clusterwizard。即可開啟一個(gè)集群配置的向?qū)?。我們采用?備雙機(jī)模式設(shè)定內(nèi)網(wǎng)口的虛IP地址為192.168.206.23，外網(wǎng)口的虛IP地址為10.3.3.30.心跳虛IP地址為192.168.0.99在SW1上的集群已經(jīng)建立完成，通過下圖可驗(yàn)證當(dāng)前SW1已經(jīng)出現(xiàn)了highavailability的組別。并且SW1已經(jīng)為pirmary角色。Sw1的狀態(tài)已經(jīng)變?yōu)榱巳缦聽顟B(tài)：添加完成后狀態(tài)如上圖。接下來需要把SW2加入到swl中：在SW2中點(diǎn)擊maintenance里的clusterwizard。即可開啟一個(gè)集群配置的向?qū)?。點(diǎn)擊加入存在的集群。并輸入密匙和對(duì)端心跳的地址192.168.0.200.如圖，集群成功建立。集群安裝完成：此圖顯示SW1為主設(shè)備，SW2為備用設(shè)備。其登錄地址已經(jīng)變?yōu)榱藄hareIP：到此，新設(shè)備的雙機(jī)已經(jīng)完成。完成了新設(shè)備的雙機(jī)安裝后，接著需要進(jìn)行如下部分的配置：配置相關(guān)靜態(tài)路由。配置DNS地址。(202.106.0.20)3.添加網(wǎng)絡(luò)服務(wù)。添加網(wǎng)絡(luò)對(duì)象。添加防火墻策略，并保證和舊的防火墻策略一致。完成以上配置，并保存一次配置，即可進(jìn)行正式的網(wǎng)絡(luò)割接工作。上線割接配置步驟：由于當(dāng)前機(jī)房電力供應(yīng)緊張，所以需要較為繁瑣的割接過程。我們需要分兩個(gè)部分來完成本次割接，首先是準(zhǔn)備階段。辦公室準(zhǔn)備部分：為了不對(duì)網(wǎng)絡(luò)造成影響，我們首先需要在辦公室把兩臺(tái)新設(shè)備升級(jí)到最新的軟件版本。機(jī)房割接部分：兩臺(tái)設(shè)備已經(jīng)按照舊有設(shè)備完全配置。我們采用如下步驟進(jìn)行割接。首先關(guān)閉舊有設(shè)備角色為Standby（備）的防火墻，此時(shí)不用拔掉網(wǎng)線。然后開啟新設(shè)備為primary（主）角色SW1防火墻，此時(shí)不用插上網(wǎng)線。用筆記本接入SW1的管理口，并測(cè)試可通過sharelP管理防火墻，并登錄進(jìn)入防火墻，確認(rèn)當(dāng)前防火墻的角色為primary角色。由于新設(shè)備已經(jīng)被配置為雙機(jī)模式，此時(shí)，即使備機(jī)SW2沒有在線，shareIP應(yīng)該也是可以工作的。該測(cè)試必須測(cè)試直到成功為止。然后進(jìn)入下一步。拔掉舊防火墻角色為primary（主）的設(shè)備的內(nèi)網(wǎng)和外網(wǎng)網(wǎng)線，然后插入到新的防火墻角色為primary（主）的內(nèi)網(wǎng)和外網(wǎng)接口中。測(cè)試：如果正常，關(guān)閉舊的primary（主）防火墻電源，并啟動(dòng)新的standby（備）防火墻電源。如果不正常（網(wǎng)絡(luò)不通，內(nèi)網(wǎng)無法訪問外網(wǎng)），把拔掉的網(wǎng)線再重新插入到舊的primary（主）防火墻上。（此部分很重要）拔下舊防火墻角色為standby（備）的設(shè)備內(nèi)網(wǎng)和外網(wǎng)網(wǎng)線，并插入到新的防火墻角色為standby（備）的內(nèi)網(wǎng)和外網(wǎng)接口中。查看雙機(jī)是否正確識(shí)別，確認(rèn)主墻和備墻狀態(tài)。測(cè)試網(wǎng)絡(luò)連通性。割接完成?；赝瞬襟E：把內(nèi)網(wǎng)和外網(wǎng)接口插回到舊防火墻上。請(qǐng)查看割接部分第3點(diǎn)。附：日常管理規(guī)范：為了保證最優(yōu)的防火墻利用率和管理便捷性，建議管理員按照如下規(guī)則進(jìn)行策略制定和日常管理：定期登錄防火墻，進(jìn)行配置備份。制定規(guī)范的命名規(guī)則。建議采用按服務(wù)對(duì)象分組命名。例如如下的NetScaller策略組.上圖能看到策略組為NetScaller,表示該組下的所有策略均與NetScaller有關(guān)。方便進(jìn)行管理和識(shí)別。禁止出現(xiàn)如下方式：該圖為未分組策略，無法清晰的識(shí)別對(duì)應(yīng)的服務(wù)和所屬的組別。添加