防火墙网络架构改造方案

防火墙网络架构改造方案二O二年十月二十九日目录一、概述 21. 背景 22. 建网状况说明 23. 老架构存在的问题 44. 升级改造网络要达到以下几点要求： 4二、网络设计 41. 网络拓扑设计 42. 设计策略 6三、网络安全设计 8四、配置举例 9五、总结 101安全性 102可靠性 113不足缺陷和改进方法 114升级后需要解决的问题 11附录： 12概述1. 背景健威家具企业建网时间较早，限于企业规模与当时的条件，组网方式为简单的工作 组网，网络结构为星型结构，厂区建筑物间采用光纤相连，室内采用超五类双绞线。做 到千兆为主干，百兆到桌面这样的网络架构。为满足业务人员的需要，采用电信光纤接 入互联网。配有域管理，防火墙，代理服务器等安全保障。2. 建网状况说明网络现状拓扑：拓扑图）设备ID设备名称用途说明R2Fortigate-400飞塔防火墙防火墙兼做路由功能S1Catalyst-2960G思科二层交换机普通二层交换机S2Srw-2024G思科二层交换机普通二层交换机ServlERP、OA、Mailserver重要服务系统对外服务服务器Serv2FAX、FTPserver员工服务应用服务器对内服务服务器代理服务器2003server代理上网服务器控制出口流量域服务器2003server域管理网关管理内网用户及DNS指向采用同一网段工作组，随着厂区人数增多，掩码更改为 255.255.252.0 ，工作网内可容纳1000个有效IP。出口控制和路由依靠防火墙实现。分厂区沙发厂有光纤专线连接到总厂区访问日常办公应用服务，有单独的互联网接入口。用户数据流向图：如上图看出，用户数据要访问内部服务应用、访问互联网等必须流经防火墙，随着 业务需求不断增多，用户数不断增多，防火墙常驻内存、 CPU 使用率均达 60%以上。 防火墙已服役6 年，病毒库过期未更新。3. 老架构存在的问题在当时，上述架构是中小型企业网络的主流架构，能够满足公司业务需要。但随着 厂区规模不断扩展，信息化不断提高，原来的网络架构已经尽显疲态，具体表现在下面 几个方面：1）采用工作组的组网方式，网络结构简单，为二层网络架构，且网络设备老化，功能 单一，无法实现高级管理功能。2）因建网初期客户端较少，因此采用单一网段，随着客户端数量的增加，以及业务需 要的不断提高，出于一些保密性和安全性需要，必须要划分vlan。尽管已开启域管 理和代理服务器保障局域网安全，但是由于功能性和网络性能问题，始终出现网络 病毒传播。4. 升级改造网络要达到以下几点要求：1）提升网络性能，并支持扩展升级，为日后企业扩展做好准备。2）加固网络安全，在不影响客户终端配置的情况下，对骨干网络进行整改，提高数据 安全性。3）控制成本，实用性要好，对现有网络架构能充分分配利用。二、网络设计1. 网络拓扑设计拓扑图设备命名规则设备名放置位置设备型号说明R1出口路由器（带DMZ功能Fortigate防火墙）外部防火墙R2内部转发路由器Fortigate-400内部防火墙S1办公楼汇聚层Catalyst-2960G二层管理交换机S2研发楼汇聚层Srw-2024G二层管理交换机ServlDMZ非军事区ERP、OA、Mailserver对外服务重要服务Serv2研发楼汇聚层FAX、FTPserver内部应用服务器域服务器R22003server控制出口流量代理服务器R22003server管理内网用户及DNS指向R1沙发厂R2SIfr nternet(VPN)Servl代理服务湍£域服务縉(vLin 2)Serv22. 设计策略划分vlan提高网络的管用性。现有设备分析：骨干网络上S1：思科catalyst 2960G、S2:思科srw 2024G都是带管理功能的2层交换机，带有vlan划分功能。出口控制防火墙：Fortint 400支持vlan路由转发。的瓶颈。（vlan 分析图）二层交换机划分不同VLAN 之间必须通过路由功能才能实 现通讯，如果VLAN的数量不断 增加，流经路由与交换机之间链 路的流量也变得非常大，此时, 这条链路也就成为了整个网络由于采用飞塔防火墙作路由功能，尽量只划分有必要的VLAN,即只对服务器和客 户端用户进行 VLAN 划分。解决办法是使用三层交换机代替飞塔放火墙，三层交换技术在第三层实现了数据包的高速转发，从而解决了传统路由低速、负荷不足所造成的网络瓶颈问题。但由于三层交换机设备昂贵，本次改造方案暂不予考虑。 划分 DMZ 保障关键服务系统的安全。使用防火墙为关键服务器提供隔离区，整 个网络区分为三个部分WAN、LAN、DMZ,并 确定其访问策略：1. 内网可以访问外网2. 内网可以访问DMZ3. 外网不能访问内网4. 外网可以访问DMZ5. DMZ不能访问内网6. DMZ不能访问外网（邮件服务器除外）在网络中，非军事区（DMZ）是指为不信任系统提供服务的孤立网段，其目的是把 敏感的内部网络和其他提供访问服务的网络分开，阻止内网和外网直接通信，以保证内 网安全。改造后用户数据流向图：Internet域控制验证找出）凹肪火墙血防火墙（揑制就彊】Serv 1总厂员工(vlanl)L （Servl服勞应用、互联M I服务应川）CDM2E：对外服务代理服务器. 丿d'Ph茁殴按人（盼擒毎过滋）互联网）外网客户、员丁角：联网按入】沙发厂员r改造后如上图：R2防火墙主要负责Serv2、域服务器、代理服务器的防护机制，通过防病毒过滤及 访问策略控制对内部关键应用服务器进行保护。划分vlan后，因vlan隔离广播，能有 效抑制网络病毒对应用服务器的感染。R1防火墙主要负责Servl、互联网出口、沙发厂员工vpn接入的防护机制。购置带 DMZ的Fortigate防火墙可提供最新的病毒库，能与R2病毒库兼容一并升级。改造后整个网络的安全体系升级，但网络性能瓶颈依然在R2防火墙上，解决办法 是使用三层交换机代替R2放火墙。 IP地址分配方案设备名IP接口接口说明R1F0/1VpnF0/2专线F0/3DMZF0/4TrunkR2F0/1TurnkF0/2代理、域服务器接口F0/3研发楼F0/4办公楼S1Vian 1 （交换机默认所有接口）各终端Trunk (F0/)连接R2接口S2Vian 1 （交换机默认所有接口）各终端Trunk (F0/)连接R2接口Vian 2(F0/)S2交换机下的内部服务器Serv2 路由规划设备名路由网关说明R1Vpn出口DMZTrunkR2Turnk代理、域服务器接口研发楼办公楼S1各终端连接R2接口S2各终端连接R2接口S2交换机下的内部服务器Serv2三、网络安全设计 出口控制规划表（防火墙）:序号源地址目的地址时间表服务保护内容表动作portl -> port2 （7）1IntallalwaysANYENCRYPT2MailserverKWRPSVR0608allalwaysANYACCEPT3四、配置举例 S2交换机配置：S2#vlan databaseS2<vlan>#vlan 2S2<vlan>#ip address <IP 地址< maskS2<vlan>#exitS2#config terminalS2<config>#int range fO/1 -5S2<config-if-range>#switchport mode accessS2<config-if-range>#switchport access vlan 2 S2<config-if-range>#endS2<config>#interface vlan 1S2<config-if>#ip address <IP 地址< mask>S2<config-if>#exitS2<config>#ip default-gateway <IP 地址S2<config>#int fO/24 （设置 turnk 口）S2<config-if>#switchport mode trunkS2<config-if>#switchport trunk allowed vlan 1,2S2<config-if>#switchport trunk encap dotlq（vlan 中继）S2<config-if>#exitS2<config>#enable secret xxx （设置特权加密口为 xxx）S2<config>#enable password xxx （设置特权非加密口为 xxx） S2<config-line>#line vty 0 4S2<config-line>#loginS2<config-line>#password xxS2<config-line>#exitS2<config>#exitS2#write 防火墙vlan配置:O.D.CI.O/O000all10.0Vtt® W序呈 T亍目曲1址YPliBlft VIES W保护內容喪VttfEVlan-7 接口T internal (內问拇口)VLAN相关路由，防火墙策略intflirnal( ARSED ) > vlan l ( 1)回？« All« AMintcrfiftKrtRlt口)-> MlanZU)always e ANYalways a ANYACCEPTACCEPTQ1-310.4-34 /255.255.255.0vlanlv1ari2niodeiihL92.J.6B5,1 f 255.255s255.0访I可翌制HTTPJHTTPSJPBNGJSi£HJTELN ET.SN MPwanl（外祠3B 口）HTTPS.PENG.SSH.SNMP PING ,0.0/0 .,!.192,166.U.S /2S5-2SS.255.0子咼路径抵厦amgjuui0-0 JO .o(d h:m:s0,0 JO .00.00.0irfanl ylanN wani192.1&0.4.IJ/2 斗192.16B.5.0/24192.160.11.0/24Wnaril internal wan?152,160 J l,?5r40.0 JO .0 R1 防火墙 DMZ 配置:进入防火墙-虚拟IP新建一个虚拟IP项目选择険用服畀器浪载均衡外部的IF ；严型 分配流量的方式 外部的IP端口外 2»3口沖辟帕«ribef»ul 7内部的服务器训 表111)21：!Q云口 SiZKii«9L. BB 逐五、总结1安全性通过以上网络改造后，网络架构从单一组网，转换成交换式网络。防火墙R2过滤 了过往Serv2文件传输所造成的病毒传播。创建VLAN后，隔离了不同VLAN间的逻辑 广播域，缩小了广播范围，能够阻止广播风暴的产生。整个网络的安全性能方面有了较 大的提高。2可靠性两台飞塔防火墙互为通用设备，任意一台发生故障时，另一台可以在极短时间内还原升级前配置，恢复以前的网络架构，为关键服务提高可靠的灾难应对方法。3不足缺陷和改进方法在汇聚层上，仅依靠R2做路由转发功能，导致办公楼与研发楼间的数据交互受R2 性能影响，传输速度有所影响。为了以后能更高效，更可靠的拓展公司业务，建议把老 旧的 R2 防火墙换成思科三层交换机，其高效的数据交换足以满足公司网络汇聚层以后 的发展要求。4升级后需要解决的问题由于划分 VLAN 后，限制了广播功能，部分需要广播的应用服务器应与客户端处于 同一 VLAN下，新部署的ip-guard服务需要通过广播功能搜索在线客户端，所以应把其 部署在 VLAN 1，否则无法使用其广播功能。附录：原出口控制表：序号源地址目的地址时间表服务保护内容表动作portl -> port2 (7)1IntallalwaysANYENCRYPT2MailserverKWRPSVR0608allalwaysANYACCEPT3