防火墙网络架构改造方案.docx
《防火墙网络架构改造方案.docx》由会员分享,可在线阅读,更多相关《防火墙网络架构改造方案.docx(13页珍藏版)》请在冰豆网上搜索。
防火墙网络架构改造方案
防火墙网络架构改造方案
防火墙网络架构改造
方案
二○一二年十月二十九日
一、概述2
1.背景2
2.建网状况说明2
3.老架构存在的问题4
4.升级改造网络要达到以下几点要求:
4
二、网络设计4
1.网络拓扑设计4
2.设计策略6
三、网络安全设计8
四、配置举例9
五、总结10
1.安全性10
2.可靠性11
3.不足缺陷和改进方法11
4.升级后需要解决的问题11
附录:
12
概述
1.背景
健威家具企业建网时间较早,限于企业规模与当时的条件,组网方式为简单的工作组网,网络结构为星型结构,厂区建筑物间采用光纤相连,室内采用超五类双绞线。
做到千兆为主干,百兆到桌面这样的网络架构。
为满足业务人员的需要,采用电信光纤接入互联网。
配有域管理,防火墙,代理服务器等安全保障。
2.建网状况说明
网络现状拓扑:
拓扑图)
设备ID
设备名称
用途
说明
R2
Fortigate-400
飞塔防火墙
防火墙兼做路由功能
S1
Catalyst-2960G
思科二层交换机
普通二层交换机
S2
Srw-2024G
思科二层交换机
普通二层交换机
Serv1
ERP、OA、Mailserver
重要服务系统
对外服务服务器
Serv2
FAX、FTPserver
员工服务应用服务器
对内服务服务器
代理服务器
2003server
代理上网服务器
控制出口流量
域服务器
2003server
域管理网关
管理内网用户及DNS指向
采用同一网段工作组,随着厂区人数增多,掩码更改为255.255.252.0,工作网内可容纳1000个有效IP。
出口控制和路由依靠防火墙实现。
分厂区沙发厂有光纤专线连接到总厂区访问日常办公应用服务,有单独的互联网接入口。
用户数据流向图:
初流向图)
如上图看出,用户数据要访问内部服务应用、访问互联网等必须流经防火墙,随着业务需求不断增多,用户数不断增多,防火墙常驻内存、CPU使用率均达60%以上。
防火墙已服役6年,病毒库过期未更新。
3.老架构存在的问题
在当时,上述架构是中小型企业网络的主流架构,能够满足公司业务需要。
但随着厂区规模不断扩展,信息化不断提高,原来的网络架构已经尽显疲态,具体表现在下面几个方面:
1)采用工作组的组网方式,网络结构简单,为二层网络架构,且网络设备老化,功能单一,无法实现高级管理功能。
2)因建网初期客户端较少,因此采用单一网段,随着客户端数量的增加,以及业务需要的不断提高,出于一些保密性和安全性需要,必须要划分vlan。
尽管已开启域管
理和代理服务器保障局域网安全,但是由于功能性和网络性能问题,始终出现网络病毒传播。
4.升级改造网络要达到以下几点要求:
1)提升网络性能,并支持扩展升级,为日后企业扩展做好准备。
2)加固网络安全,在不影响客户终端配置的情况下,对骨干网络进行整改,提高数据安全性。
3)控制成本,实用性要好,对现有网络架构能充分分配利用。
二、网络设计
1.网络拓扑设计
拓扑图
设备命名规则
设备名
放置位置
设备型号
说明
R1
出口路由器
(带DMZ功能Fortigate防火墙)
外部防火墙
R2
内部转发路由器
Fortigate-400
内部防火墙
S1
办公楼汇聚层
Catalyst-2960G
二层管理交换机
S2
研发楼汇聚层
Srw-2024G
二层管理交换机
Serv1
DMZ非军事区
ERP、OA、Mailserver
对外服务重要服务
Serv2
研发楼汇聚层
FAX、FTPserver
内部应用服务器
域服务器
R2
2003server
控制出口流量
代理服务器
R2
2003server
管理内网用户及DNS指向
2.设计策略
划分vlan提高网络的管用性。
现有设备分析:
骨干网络上S1:
思科catalyst2960G、S2:
思科srw2024G都是带管理功能的2层交换
(vlan分析图)
机,带有vlan划分功能。
出口控制防火墙:
Fortint400支持vlan路由转发。
二层交换机划分不同VLAN之间必须通过路由功能才能实现通讯,如果VLAN的数量不断增加,流经路由与交换机之间链路的流量也变得非常大,此时,这条链路也就成为了整个网络的瓶颈。
VLAN,即只对服务器和客
由于采用飞塔防火墙作路由功能,尽量只划分有必要的户端用户进行VLAN划分。
解决办法是使用三层交换机代替飞塔放火墙,三层交换技术在第三层实现了数据包的高速转发,从而解决了传统路由低速、负荷不足所造成的网络瓶颈问题。
但由于三层交换机设备昂贵,本次改造方案暂不予考虑。
划分DMZ保障关键服务系统的安全。
使用防火墙为关键服务器提供隔离区,整个网络区分为三个部分WAN、LAN、DMZ,并确定其访问策略:
1.内网可以访问外网
2.
内网可以访问DMZ
3.外网不能访问内网
4.外网可以访问DMZ
5.DMZ不能访问内网
6.DMZ不能访问外网(邮件服务器除外)
在网络中,非军事区(DMZ)是指为不信任系统提供服务的孤立网段,其目的是把
敏感的内部网络和其他提供访问服务的网络分开,阻止内网和外网直接通信,以保证内网安全。
改造后用户数据流向图:
改造后如上图:
R2防火墙主要负责Serv2、域服务器、代理服务器的防护机制,通过防病毒过滤及访问策略控制对内部关键应用服务器进行保护。
划分vlan后,因vlan隔离广播,能有效抑制网络病毒对应用服务器的感染。
R1防火墙主要负责Serv1、互联网出口、沙发厂员工vpn接入的防护机制。
购置带DMZ的Fortigate防火墙可提供最新的病毒库,能与R2病毒库兼容一并升级。
改造后整个网络的安全体系升级,但网络性能瓶颈依然在R2防火墙上,解决办法
是使用三层交换机代替R2放火墙。
IP地址分配方案
设备名
IP
接口
接口说明
R1
F0/1
Vpn
F0/2
专线
F0/3
DMZ
F0/4
Trunk
R2
F0/1
Turnk
F0/2
代理、域服务器接口
F0/3
研发楼
F0/4
办公楼
S1
Vlan1(交换机默认所有接口)
各终端
Trunk(F0/)
连接R2接口
S2
Vlan1(交换机默认所有接口)
各终端
Trunk(F0/)
连接R2接口
Vlan2(F0/)
S2交换机下的内部服务器Serv2
路由规划
设备名
路由
网关
说明
R1
Vpn
出口
DMZ
Trunk
R2
Turnk
代理、域服务器接口
研发楼
办公楼
S1
各终端
连接R2接口
S2
各终端
连接R2接口
S2交换机下的内部服务器Serv2
三、网络安全设计
出口控制规划表(防火墙):
序号
源地址
目的地址
时间表
服务
保护内容表
动作
port1->port2(7)
1
Int
all
always
ANY
ENCRYPT
2
Mailserver
KWRPSVR0608
all
always
ANY
ACCEPT
3
四、配置举例
S2交换机配置:
S2#vlandatabase
S2#vlan2
S2#ipaddress
S2#exit
S2#configterminal
S2#intrangef0/1-5S2#switchportmodeaccessS2#switchportaccessvlan2S2#end
S2#interfacevlan1
S2#ipaddressS2#exit
S2#ipdefault-gatewayS2#intf0/24(设置turnk口)S2#switchportmodetrunkS2#switchporttrunkallowedvlan1,2S2#switchporttrunkencapdot1q(vlan中继)S2#exit
S2#enablesecretxxx(设置特权加密口为xxx)S2#enablepasswordxxx(设置特权非加密口为xxx)S2#linevty04
S2#loginS2#passwordxx
S2#exitS2#exit
S2#write
防火墙vlan配置:
R1防火墙DMZ配置:
进入防火墙>虚拟IP新建一个虚拟IP项目
五、总结
1.安全性
通过以上网络改造后,网络架构从单一组网,转换成交换式网络。
防火墙R2过滤
了过往Serv2文件传输所造成的病毒传播。
创建VLAN后,隔离了不同VLAN间的逻辑广播域,缩小了广播范围,能够阻止广播风暴的产生。
整个网络的安全性能方面有了较大的提高。
2.可靠性
两台飞塔防火墙互为通用设备,任意一台发生故障时,另一台可以在极短时间内还
原升级前配置,恢复以前的网络架构,为关键服务提高可靠的灾难应对方法。
3.不足缺陷和改进方法
R2
在汇聚层上,仅依靠R2做路由转发功能,导致办公楼与研发楼间的数据交互受性能影响,传输速度有所影响。
为了以后能更高效,更可靠的拓展公司业务,建议把老旧的R2防火墙换成思科三层交换机,其高效的数据交换足以满足公司网络汇聚层以后的发展要求。
4.升级后需要解决的问题
由于划分VLAN后,限制了广播功能,部分需要广播的应用服务器应与客户端处于同一VLAN下,新部署的ip-guard服务需要通过广播功能搜索在线客户端,所以应把其部署在VLAN1,否则无法使用其广播功能。
附录:
原出口控制表:
序号
源地址
目的地址
时间表
服务
保护内容表
动作
port1->port2(7)
1
Int
all
always
ANY
ENCRYPT
2
Mailserver
KWRPSVR0608
all
always
ANY
ACCEPT
3
升级会员 