1、1、 配置各接口的IP地址。接口的配置我想大家都会的,所以强叔这里只给出GE1/0/0的配置了。本举例中的接口都为10GE接口。【强叔点评】一般ISP分配给你的IP地址都是30位掩码的。建议在接口上配置描述或别名,表示接口的情况。 system-viewUSG interface GigabitEthernet 1/0/0USG -GigabitEthernet1/0/0 ip address 218.1.1.1 255.255.255.252USG -GigabitEthernet1/0/0 description tocernetUSG -GigabitEthernet1/0/0 quit
2、# hrp mirror session enable hrp enable hrp ospf-cost adjust-enable hrp loadbalance-device hrp interface GigabitEthernet 1/0/7interface GigabitEthernet 1/0/1 ip address 10.2.0.1 255.255.255.0 hrp track active hrp track standby interface GigabitEthernet 1/0/3 ip address 10.3.0.1 255.255.255.0 interfac
3、e GigabitEthernet 1/0/7 ip address 10.10.0.1 255.255.255.02、 创建安全区域,并将各接口加入安全区域。新建安全区域isp1、isp2和cernet(代表教育网),并将各接口加入对应的安全区域。【强叔点评】当防火墙需要连接多个ISP时,一般需要为每个连接ISP的接口都创建一个新的安全区域,而且安全区域的名称最好能够代表此安全区域。USG firewall zone name isp1USG-zone-isp1 set priority 15USG-zone-isp1 add interface GigabitEthernet 1/0/1U
4、SG-zone-isp1 quitUSG firewall zone name isp2USG-zone-isp2 set priority 20USG-zone-isp2 add interface GigabitEthernet 1/0/2USG-zone-isp2 quitUSG firewall zone name cernetUSG-zone-cernet set priority 25USG-zone-cernet add interface GigabitEthernet 1/0/0USG-zone-cernet quitUSG firewall zone trustUSG-zo
5、ne- trust add interface GigabitEthernet 1/0/3USG-zone- trust quit3、 配置IP-Link,探测各ISP提供的链路状态是否正常。USG ip-link check enableUSG ip-link 1 destination 218.1.1.2 interface GigabitEthernet1/0/0USG ip-link 2 destination 200.1.1.2 interface GigabitEthernet1/0/1USG ip-link 3 destination 202.1.1.2 interface Gi
6、gabitEthernet1/0/2【强叔点评】当IP-Link监控的链路故障时,与其绑定的静态路由或策略路由失效。4、 配置静态路由,保证基础路由可达。配置缺省路由,下一跳为教育网的地址,保证未匹配其他路由的流量都能够通过教育网转发出去。USG ip route-static 0.0.0.0 0.0.0.0 218.1.1.1配置静态路由,目的地址为内网网段,下一跳为内网交换机的地址,保证外网的流量能够到达内网。USG ip route-static 10.1.0.0 255.255.0.0 172.16.1.2【强叔点评】当在网关上配置静态路由时,既要有出方向的路由,也要有入方向的路由。一
7、般情况下,出方向都会至少配置一条缺省路由。5、 配置ISP选路,保证去往特定目的地址的流量能够通过特定链路(接口)转发。1) 从各ISP获取最新的目的地址明细。2) 按如下格式分别编辑各ISP的csv文件。3) 导入所有ISP的csv文件。4) 执行以下命令,分部加载各ISP的csv文件,并指定下一跳。USG isp set filename csnet.csv GigabitEthernet 1/0/0 next-hop 218.1.1.2 track ip-link 1USG isp set filename isp1.csv GigabitEthernet 1/0/1 next-hop
8、200.1.1.2 track ip-link 2USG isp set filename isp2.csv GigabitEthernet 1/0/2 next-hop 202.1.1.2 track ip-link 3【强叔点评】ISP选路功能其实就是批量下发明细路由,目的地址为ISP文件中的地址,下一跳为配置命令指定的地址。ISP选路能够实现去往特定ISP目的地址的流量都通过对应的ISP链路转发。各位小伙伴注意,ISP选路功能是USG9000系列V300R001C20版本的新功能噢。6、 配置策略路由,保证特定内网用户(IP)的流量能够通过特定链路(接口)转发。【强叔点评】策略路由的作用
9、是基于源IP地址的选路(当然通过高级ACL也能实现基于目的地址的选路)。例如图书管的上网用户(10.1.2.0/24网段)只能通过教育网访问Internet。策略路由的配置方式是华为经典的CB对(classifier和behavior配对)配置方式。USG acl number 2000USG-acl-basic-2000 rule permit source 10.1.2.0 0.0.0.255USG-acl-basic-2000 quitUSG traffic classifier classlbUSG-classifier-classlb if-match acl 2000USG-cla
10、ssifier-classlb quitUSG traffic behavior behaviorlbUSG-behavior-behaviorlb redirect ip-nexthop 218.1.1.2 interface GigabitEthernet 1/0/0 track ip-link 1USG-behavior-behaviorlb quitUSG traffic policy policylbUSG-trafficpolicy-policylb classifier classlb behavior behaviorlbUSG-trafficpolicy-policylb q
11、uitUSG interface GigabitEthernet 1/0/3USG-GigabitEthernet1/0/3 traffic-policy policylb inboundUSG-GigabitEthernet1/0/3 quit7、 配置安全策略和IPS,保证流量能够正常转发的同时,进行入侵行为检测。开启trust与isp1、isp2、csnet间的安全策略,并引用缺省的配置文件ids,进行入侵行为检测。下面仅以trust与isp1间的安全策略配置为例。USG policy interzone trust isp1 outboundUSG-policy-interzone-t
12、rust-isp1-outbound policy 0USG-policy-interzone-trust-isp1-outbound-0 action permitUSG-policy-interzone-trust-isp1-outbound-0 profile ips idsUSG-policy-interzone-trust-isp1-outbound-0 quitUSG policy interzone trust isp1 inboundUSG-policy-interzone-trust-isp1- inbound policy 0USG-policy-interzone-tru
13、st-isp1- inbound -0 action permitUSG-policy-interzone-trust-isp1- inbound -0 profile ips idsUSG-policy-interzone-trust-isp1- inbound -0 quit启用IPS功能,并配置特征库定时在线升级。USG ips enableUSG update schedule ips-sdb enableUSG update schedule weekly sun 02:00USG update schedule sa-sdb enableUSG update schedule we
14、ekly sun 03:USG undo update confirm ips-sdb enableUSG undo update confirm sa-sdb enable【强叔点评】当防火墙作网关且网络对安全性要求不高时,可以配置域间的安全策略动作为允许。通过在安全策略上引用入侵防御配置文件可以实现安全区域间流量的入侵防御。USG缺省存在配置文件default和ids。配置文件default用于入侵行为检测并阻断,配置文件ids用于入侵行为检测并告警(不阻断)。8、 配置源NAT,保证多个内网用户能够同时访问外网。需要分别在trust与isp1、isp2、csnet间配置源NAT,下面仅以
15、trust与isp1间的源NAT配置为例。NAT地址池中的地址是从ISP获取的。USG nat address-group isp1USG-address-group- isp1 mode patUSG-address-group- isp1 section 200.1.1.10 200.1.1.12USG-address-group- isp1 quitUSG nat-policy interzone trust isp1 outboundUSG-nat-policy-interzone-trust-isp1-outbound policy 0USG-nat-policy-interzone
16、-trust-isp1-outbound-0 action source-natUSG-nat-policy-interzone-trust-isp1-outbound-0 address-group isp1USG ip route-static 200.1.1.10 32 NULL 0USG ip route-static 200.1.1.11 32 NULL 0USG ip route-static 200.1.1.12 32 NULL 0【强叔点评】源NAT和NAT Server都必须配置黑洞路由。9、 配置基于zone的NAT Server,使外网用户能够访问内网服务器。一般情况下一
17、台服务器的私网IP会映射成多个ISP的公网地址,供各个ISP的用户访问。下面以其中一台图书馆服务器10.1.10.10为例配置基于zone的NAT Server。USG nat server 1 zone isp1 global 200.1.10.10 inside 10.1.10.10 description lb-isp1USG nat server 1 zone isp2 global 202.1.10.10 inside 10.1.10.10 description lb-isp2USG nat server 1 zone csnet global 218.1.10.10 inside
18、 10.1.10.10 description csnetUSG ip route-static 218.1.10.10 32 NULL 010、配置智能DNS,使各个ISP的外网用户都能够使用自己所在的ISP地址访问内网服务器。智能DNS的作用是确保各个ISP的用户访问学校的服务器时,都能够解析到自己ISP的地址,从而提高访问速度。例如ISP1的用户通过域名访问图书馆服务器10.1.10.10时,会解析到服务器的ISP1地址200.1.10.10。【强叔点评】使用智能DNS的前提是内网部署了DNS服务器(本案例仅以10.1.10.20为例)。智能DNS将分配给每个ISP的服务器地址与连接IS
19、P的出接口绑定。各位小伙伴注意,智能DNS功能是USG9000系列V300R001C20版本的新功能噢USG dns resolveUSG dns server 10.1.10.20USG dns-smart enableUSG dns-smart group 1 type singleUSG-dns-smart-group-1 description lbUSG-dns-smart-group-1 real-server-ip 10.1.10.10USG-dns-smart-group-1 out-interface GigabitEthernet 1/0/0 map 218.1.10.10
20、USG-dns-smart-group-1 out-interface GigabitEthernet 1/0/1 map 200.1.10.10USG-dns-smart-group-1 out-interface GigabitEthernet 1/0/2 map 202.1.10.1011、配置攻击防范,保护内部网络安全。 USG firewall defend land enableUSG firewall defend smurf enableUSG firewall defend fraggle enableUSG firewall defend winnuke enableUSG
21、 firewall defend source-route enableUSG firewall defend route-record enableUSG firewall defend time-stamp enableUSG firewall defend ping-of-death enableUSG firewall defend syn-flood enableUSG firewall defend syn-flood interface GigabitEthernet1/0/0 max-rate 24000 tcp-proxy autoUSG firewall defend sy
22、n-flood interface GigabitEthernet1/0/1 max-rate 24000 tcp-proxy autoUSG firewall defend syn-flood interface GigabitEthernet1/0/2 max-rate 24000 tcp-proxy auto【强叔点评】一般情况下,如果对网络安全没有特殊要求,开启以上攻击防范即可。对于syn flood攻击防范,建议10GE接口阈值取值16000pps。本案例的接口都是10GE接口,之所以取值为24000pps,也是实际试验的结果。因为实际经验往往是配置较大的阈值,然后一边观察一边调小阈
23、值,直到调整到合适的范围(既很好的限制了攻击,又不影响正常业务)。12、配置带宽管理,限制网络的P2P流量。【强叔点评】带宽管理的配置方法是先创建带宽通道(也就是指定各种限流动作),然后在带宽策略中引用带宽通道。需要特别注意的是上传、下载的方向与outbound、inbound的关系。另外一般情况下建议限制P2P流量到网络总流量的20%到30%。各位小伙伴注意,带宽管理功能是USG9000系列V300R001C20版本的新功能噢 USG car-class p2p_all_downloadUSG-car-class-p2p_all_download car-mode per-ipUSG-car
24、-class-p2p_all_download cir 100000USG-car-class-p2p_all_download cir 4000000 totalUSG-car-class-p2p_all_download quitUSG car-class p2p_all_uploadUSG-car-class-p2p_all_upload car-mode per-ipUSG-car-class-p2p_all_upload cir 100000USG-car-class-p2p_all_upload cir 4000000 totalUSG-car-class-p2p_all_uplo
25、ad quit USG car-policy zone trust inboundUSG-car-policy-zone-trust-inbound policy 0USG-car-policy-zone-trust-inbound-0 policy application category p2p USG-car-policy-zone-trust-inbound-0 action carUSG-car-policy-zone-trust-inbound-0 car-class p2p_all_downloadUSG-car-policy-zone-trust-inbound-0 descr
26、iption p2p_limit_downloadUSG-car-policy-zone-trust-inbound-0 quitUSG car-policy zone trust outboundUSG-car-policy-zone-trust-outbound policy 0USG-car-policy-zone-trust-outbound-0 policy application category p2p USG-car-policy-zone-trust-outbound-0 action carUSG-car-policy-zone-trust-outbound-0 car-c
27、lass p2p_all_uploadUSG-car-policy-zone-trust-outbound-0 description p2p_limit_uploadUSG-car-policy-zone-trust-outbound-0 quit13、配置日志和NAT溯源功能,在网管系统eSight上查看日志。 配置USG向日志主机(10.1.10.30)发送系统日志(本案例发送IPS日志和攻击防范日志)。 USG info-center enableUSG engine log ips enableUSG info-center source ips channel loghost lo
28、g level emergenciesUSG info-center source ANTIATTACK channel loghostUSG info-center loghost 10.1.10.30配置USG向日志主机(10.1.10.30)发送会话日志(端口9002)。这里需要在trust与isp、isp2、csnet间的双方向都配置审计策略。本案例仅以trust与isp1间的outbound方向的审计策略为例。USG firewall log source 172.16.1.1 9002USG firewall log host 2 10.1.10.30 9002USG audit-policy interzone trust isp1 outboundUSG- audit-policy -interzone-trust-isp1-outbound policy 0USG- audit-policy -interzone-trust-isp1-o
copyright@ 2008-2022 冰豆网网站版权所有
经营许可证编号:鄂ICP备2022015515号-1