企业中深信服防火墙旁挂部署
一、方案背景
因为现在所在的企业中原网络架构中无防火墙,出于网络安全考虑。现增加一台深信服防火墙实现安全防护功能,最小改动现在网络情况下,于是采取防火墙旁挂方法,通过引流的方式把要防护的流量引流到防火墙,防火墙做路由部署模式,进出的流量在防火墙上过滤一遍之后再进入互联网或内网中。
此部署好处如下:
a)只引流需要防护的流量即可,如果是透明模式部署,可能所有经过的流量都需要防护
b)不用做网络改造,特别是对于直连核心的网络设备。
二、部署方案
1、业务流量从各业务服务器业务网段进入核心交换机上行端口
2、进入核心交换机内部的业务流量经策略路由引导从核心交换机的防火墙接入端口(LAN口)进入防火墙
2.1、如果防火墙无异常则业务流量正常进入防火墙
2.2、如果防火墙接入端口无法接通则业务流量经缺省路由直接导向核心交换机的流量出口
3、业务流量经接入端口进入防火墙后,由防火墙过滤异常流量
4、经防火墙过滤后的业务流量根据防火墙路由表由防火墙的接出端口(WAN口)到达核心交换机
5、经防火墙过滤后的业务流量进入核心交换机后,经过路由转发和数据交换机后到达各个接入交换机。
6、客户端访问业务的流量则反过来,先从防火墙WAN口进,然后从LAN口出去到核心交换机。
四、具体配置(策略路由配置)
1.核心交换机部分
核心CORE交换机接WAN口的接口
interface GigabitEthernet 0/0/1
ip address 10.1.1.1 255.255.255.0
核心CORE 交换机LAN口的接口
interface GigabitEthernet 0/0/2
ip address 10.1.2.1 255.255.255.0
b)流量重定向设置(配置流策略,服务器出去(用户访问服务器的回包流量)的流量重定向到防火墙):
#创建ACL
ACL number 3010
Rule 5 permit ip source 192.168.0.0 0.0.255.255
#配置流策略
traffic classifier G1 operator or precedence 10
if-match acl 3010
配置流行为,将流量重定向到防火墙LAN口。
traffic behavior tofire01
permit
Redirect ip-nexthop 10.1.1.2
配置流策略并应用到接口的入方向上。
Traffic policy F1 match-order config
classifier G1 behavior tofire01
interface Eth-Trunk1 (内网所在接口)
Port link-type trunk
Port trunk allow-pass vlan 2 to 4094
traffic-policy F1 inbound
c)流量重定向设置(配置流策略, 用户主动访问服务器的流量重定向到防火墙):
创建ACL。
acl number 3011
rule 5 permit ip destination 192.168.0.0 0.0.255.255
配置流分类。
Traffic classifier G2 operator or precedence 15
if-match acl 3011
配置流行为,将流量重定向到防火墙WAN口。
Traffic behavior tofire02
permit
redirect ip-nexthop 10.1.2.2
配置流策略并应用到接口的入方向上。
traffic policy F2 match-order config
Classifier G2 behavior tofire02
Interface vlan1000 (核心上联口)
ip address 192.168.200.1 255.255.255.0
traffic-policy F2 inbound
五、NQA配置
[CORE]nqa test-instance admin01 F1_icmp //创建一个nqa测试实例,测试管理账户名为admin01,测试实例名称为F1_icmp
[CORE-nqa-admin01-F1_icmp] test-type icmp //测试类型为icmp协议测试
[CORE-nqa-admin01-F1_icmp] frequency 10 //指定连续两次探测时间间隔为10s
[CORE-nqa-admin01-F1_icmp] probe-count 2 //指定一次探测进行的测试次数
[CORE-nqa-admin01-F1_icmp] Destination-address ipv4 10.1.1.2 //要测试的对端ip地址
[CORE-nqa-admin01-F1_icmp] start now //启动当前测试例
[CORE-nqa-admin01-F1_icmp] quit
在配置流行为设置下一跳,并配置NQA检测
traffic behavior tofire01
permit
Redirect ip-nexthop 10.1.1.2 track nqa admin01 F1_icmp
[CORE] ip route-static 0.0.0.0 0.0.0.0 192.168.200.2
配置除了策略路由未匹配的流量的路由;走默认路由
并当策略路由失效的时候,所有流量将通过默认路由走出去,起到冗余作用
企业中深信服防火墙旁挂部署相关推荐
- 两台深信服防火墙主备部署在出口,前置两台运营商线路接入交换机场景的配置方法
现有两台深信服防火墙,部署在公网出口,做HA,有电信.联通两条运营商线路,拓扑大概如下: 用户为了防止单台接入交换机故障,所以增加一台接入交换机,并且这两台接入交换机做堆叠. 交换机1的1口接电信线路 ...
- 企业网络中的防火墙旁挂实例
最近由于工作原因,按照客户的需求需要将防火墙旁挂,并将部门流量引流到防火墙上.本文章将讲述基本术语.原理.实验(可下载) 基础介绍: PE和CE BGP/MPLS IP VPN的基本模型由三部分组成: ...
- 深信服防火墙console波特率_深信服防火墙AF上arp表数量限制导致网络问题的处理说明...
现有一台深信服防火墙AF,内网口上启用多个vlan接口,每个vlan接口为该各自网段的网关,测试时总用户数大概在2000左右,正式上线后总用户数在7000左右. 测试时,使用一切正常,CPU利用率低于 ...
- 深信服虚拟服务器断断续续的,深信服防火墙AF做双机时虚拟MAC问题的处理办法...
现有四台深信服防火墙AF,名称分别为A.B.C.D,A和B做成HA,C和D做成HA,都是路由模式,网口1都是带外管理口,并且都加入到了监视网口,双机热备配置的虚拟ID组都是默认的100,A.B两台带外 ...
- 深信服防火墙AF配置
1深信服防火墙AF设备出厂manage口ip地址为10.251.251.251,首先给自己电脑配置同网段ip地址10.251.251.200,把AF设备manage口和笔记本用网线连起来,打开浏览器输 ...
- 深信服防火墙配置详细步骤(防火墙的基本配置方法)
转载至:深信服防火墙配置详细步骤(防火墙的基本配置方法) - 宝瑞资源网 1.防火墙的产品USG 5000 6000 9000 别离是低端.中端.高端产品. 2.四个区域:(local100.trus ...
- 乾颐盾之深信服防火墙 -----AD域集成
乾颐盾之深信服防火墙 -----AD域集成 在生活的环境中,或者是企业环境中,都会有一个微软的AD域的环境,那么我们深信服的下一代防火墙也有认证系统,要是为这个设备单独的做认证用户的话就比较的麻烦,对 ...
- 深信服防火墙AF8.0配置
深信服防火墙AF8.0配置 深信服下一代防火墙,设备上架配置,防护策略设置,流控配置 工具/原料: 1.笔记本 2.网线 3.型号:AF-1000-B400 1.连接登录: 深信服防火墙AF设备出厂m ...
- 深信服防火墙API对接
深信服防火墙千呼万唤的API终于在8.0.35版本实现了.具体的API文档可以登录防火墙的后台WEB界面上的右上角点开即可查看: 根本api文档,首先先新建一个api账号,"用户可以登录We ...
最新文章
- 链表问题2——在单链表中删除倒数第K个节点
- 计算机基础理论汇编,计算机基础知识:计算机中的汇编语言
- 网络推广外包专员浅析如何在网络推广外包中获得相关关键词?
- Docker启动失败 提示An error occurred和乱码
- RN通信机制和渲染流程
- hibernate的HQL查询部分属性
- 教你如何用R进行数据挖掘
- 开放有限元分析计算平台介绍
- 只需45秒,用Python给故宫画一组雪景手绘图
- 两台计算机怎么ping通,怎么ping网络(2个网段电脑怎么ping通)
- Java 8 时间日期库的20个使用示例
- 快商通对话式AI打造超级咨询师获中科院《互联网周刊》高度认可
- python apply函数的用法_python apply函数
- linux: 未知的名称或服务 Caused by: java.net.UnknownHostException: smn01: Name or service not known
- model.evaluate中的verbose的作用
- spring boot整合muybatis的错误
- 基于电商常识图谱的知识表示与应用
- 基于51单片机的万年历(带温湿度)带闹钟功能proteus仿真原理图PCB
- docker搭建redis集群
- webStrom 2018 激活破解(最新)
热门文章
- ORAN专题系列-13:微服务架构在5G O-RAN RIC中的应用
- python大数据之数据清洗
- SQLServer 服务启动失败
- 《Modern Python Cookbook》(Python经典实例)笔记 1.10 使用键盘上没有的Unicode字符
- 针对vscode编辑器的jsconfig.json文件
- 【MATLAB】Linux下的matlab的安装
- Redis 水滴石穿之(六)哨兵
- 解决spine升级3.8版本后与cocos不兼容。
- PHP 对接 STEAM 第三方登陆
- java clone 源码_Java Clone方法之懒人实现