一、方案簡(jiǎn)介

廣電行業(yè)除了提供家庭廣播電視業(yè)務(wù)，還向ISP租用鏈路開(kāi)展寬帶用戶上網(wǎng)、服務(wù)器托管等網(wǎng)絡(luò)接入服務(wù)。此時(shí)網(wǎng)絡(luò)出口處通常部署防火墻作為出口網(wǎng)關(guān)提供Internet接入及安全保障功能。

如圖1所示，防火墻部署在網(wǎng)絡(luò)出口主要提供如下功能：

• NAT：提供源NAT功能將寬帶用戶私網(wǎng)IP轉(zhuǎn)換為公網(wǎng)IP，提供NAT Server功能將托管服務(wù)器的私網(wǎng)IP轉(zhuǎn)換為公網(wǎng)IP供外網(wǎng)用戶訪問(wèn)。
• 多出口智能選路：提供基于目的IP、應(yīng)用等多種選路措施，合理利用多條ISP鏈路保證上網(wǎng)質(zhì)量。
• 安全管理：通過(guò)安全區(qū)域及安全策略進(jìn)行區(qū)域隔離，提供入侵防御、DDoS攻擊防范等安全功能進(jìn)行安全防護(hù)。
• 用戶溯源和審計(jì)：記錄用戶NAT前后IP地址、端口等日志發(fā)往日志服務(wù)器，滿足相關(guān)部門的審計(jì)和溯源需求。

二、方案設(shè)計(jì)

2.1 典型組網(wǎng)

如圖2所示，廣電向兩個(gè)ISP各租用了兩條鏈路，為城域網(wǎng)的廣電用戶提供寬帶上網(wǎng)服務(wù)。廣電還在服務(wù)器區(qū)部署了服務(wù)器，為內(nèi)外網(wǎng)用戶提供服務(wù)器托管業(yè)務(wù)。

廣電的Internet出口處部署了兩臺(tái)防火墻雙機(jī)熱備組網(wǎng)（主備方式）。兩臺(tái)防火墻的上行接口通過(guò)出口匯聚交換機(jī)與兩個(gè)ISP相連，下行接口通過(guò)核心路由器與城域網(wǎng)相連，通過(guò)服務(wù)器區(qū)的交換機(jī)與服務(wù)器相連。

廣電網(wǎng)絡(luò)對(duì)Internet出口防火墻的具體需求如下：

• 兩臺(tái)防火墻能夠組成主備備份組網(wǎng)，提升網(wǎng)絡(luò)可靠性。
• 通過(guò)防火墻的源NAT功能保證城域網(wǎng)的海量用戶能夠同時(shí)訪問(wèn)Internet。
• 為了提升內(nèi)網(wǎng)用戶的寬帶上網(wǎng)體驗(yàn)，廣電的出口選路需求如下：

  • 能夠根據(jù)目的地址所屬的ISP進(jìn)行選路。例如，訪問(wèn)ISP1的服務(wù)器的流量能夠通過(guò)ISP1鏈路轉(zhuǎn)發(fā)，訪問(wèn)ISP2的服務(wù)器的流量能夠通過(guò)ISP2鏈路轉(zhuǎn)發(fā)。
  • 屬于同一個(gè)ISP的流量在兩條鏈路間按權(quán)重負(fù)載分擔(dān)。
  • 引導(dǎo)P2P流量由資費(fèi)較低、帶寬較大的ISP2鏈路轉(zhuǎn)發(fā)。
• 托管的服務(wù)器能夠供外網(wǎng)用戶訪問(wèn)，對(duì)服務(wù)器進(jìn)行管理。
• 廣電網(wǎng)絡(luò)內(nèi)還部署了DNS服務(wù)器為以上服務(wù)器提供域名解析。廣電希望各ISP的外網(wǎng)用戶能夠解析到自己ISP為服務(wù)器分配的地址，從而提高訪問(wèn)服務(wù)器的速度。
• 防火墻能夠保護(hù)內(nèi)部網(wǎng)絡(luò)，防止各種DDoS攻擊，并對(duì)僵尸、木馬、蠕蟲(chóng)等網(wǎng)絡(luò)入侵行為進(jìn)行告警。
• 為了應(yīng)對(duì)有關(guān)部門的審查，防火墻能夠提供內(nèi)網(wǎng)用戶訪問(wèn)Internet的溯源功能，包括NAT轉(zhuǎn)換前后的IP地址、端口等。

2.2 業(yè)務(wù)規(guī)劃

2.2.1 設(shè)備規(guī)劃

廣電網(wǎng)絡(luò)出口可能用到的設(shè)備如表1所示，USG9500和USG6000如有差異將補(bǔ)充說(shuō)明。

2.2.2 雙機(jī)熱備規(guī)劃

由于一個(gè)ISP接入點(diǎn)無(wú)法與兩臺(tái)防火墻直接相連，因此需要在防火墻與ISP之間部署出口匯聚交換機(jī)。出口匯聚交換機(jī)可以將ISP的一條鏈路變?yōu)閮蓷l鏈路，然后分別將兩條鏈路與兩臺(tái)防火墻的上行接口相連。而防火墻與下行路由器之間運(yùn)行OSPF，所以這就組成了“兩臺(tái)防火墻上行連接交換機(jī)，下行連接路由器”的典型雙機(jī)熱備組網(wǎng)。該種組網(wǎng)方式防火墻上行配置VRRP備份組，下行配置VGMP組監(jiān)控業(yè)務(wù)口。

雙機(jī)熱備組網(wǎng)可以轉(zhuǎn)換為圖3，將與同一個(gè)ISP接入點(diǎn)連接的主備防火墻接口加入同一個(gè)VRRP備份組。

2.2.3 多出口選路規(guī)劃

廣電向不同運(yùn)營(yíng)商租用鏈路，多出口選路功能尤為重要，防火墻提供豐富的多出口功能滿足需求：

• 通過(guò)DNS透明代理分擔(dān)內(nèi)網(wǎng)用戶上網(wǎng)的DNS請(qǐng)求，從而達(dá)到在多個(gè)ISP間分擔(dān)流量的目的。

內(nèi)網(wǎng)用戶上網(wǎng)的第一步是用戶訪問(wèn)某個(gè)域名，DNS服務(wù)器將域名解析為IP地址。這一步存在一個(gè)問(wèn)題，內(nèi)網(wǎng)PC往往都配置了同一個(gè)ISP的DNS服務(wù)器，這樣將導(dǎo)致用戶只能解析到一個(gè)ISP的地址，后續(xù)的ISP選路也就無(wú)從談起了。防火墻提供DNS透明代理功能解決這一問(wèn)題，防火墻通過(guò)一定的規(guī)則將內(nèi)網(wǎng)用戶的DNS請(qǐng)求分擔(dān)至不同ISP的DNS服務(wù)器，從而解析到不同ISP的地址。本例采取指定鏈路權(quán)重的方式分擔(dān)DNS請(qǐng)求。

• 通過(guò)基于多出口的策略路由實(shí)現(xiàn)ISP選路。

防火墻的策略路由可以同時(shí)指定多個(gè)出接口，并配置多個(gè)出接口的流量分擔(dān)方式。例如指定目的地址為ISP1地址的流量從ISP1的兩個(gè)出接口發(fā)送，同時(shí)指定兩個(gè)出接口間按權(quán)重進(jìn)行負(fù)載分擔(dān)。

• 通過(guò)基于應(yīng)用的策略路由將P2P流量引導(dǎo)至ISP2鏈路。

• 通過(guò)健康檢查探測(cè)鏈路的可達(dá)性。

防火墻探測(cè)某個(gè)出接口到指定目的地址的鏈路健康狀態(tài)，保證流量不會(huì)被轉(zhuǎn)發(fā)到故障鏈路上。

2.2.4 源NAT規(guī)劃

在FW配置源NAT使內(nèi)網(wǎng)用戶可以通過(guò)有限的公網(wǎng)IP地址訪問(wèn)Internet。

• 地址池

根據(jù)向ISP申請(qǐng)的公網(wǎng)IP地址，配置兩個(gè)對(duì)應(yīng)不同ISP的地址池，注意地址池中排除VRRP備份組的公網(wǎng)IP、服務(wù)器對(duì)外發(fā)布的公網(wǎng)IP。

• NAPT（Network Address and Port Translation）

NAPT同時(shí)對(duì)IP地址和端口進(jìn)行轉(zhuǎn)換，內(nèi)網(wǎng)用戶訪問(wèn)Internet的報(bào)文到達(dá)防火墻后，報(bào)文的源地址會(huì)被NAT轉(zhuǎn)換成公網(wǎng)地址，源端口會(huì)被NAT轉(zhuǎn)換成隨機(jī)的非知名端口。這樣一個(gè)公網(wǎng)地址就可以同時(shí)被多個(gè)內(nèi)網(wǎng)用戶使用，實(shí)現(xiàn)了公網(wǎng)地址的復(fù)用，解決了海量用戶同時(shí)訪問(wèn)Internet的問(wèn)題。

• NAT ALG

當(dāng)防火墻既開(kāi)啟NAT功能，又需要轉(zhuǎn)發(fā)多通道協(xié)議報(bào)文（例如FTP等）時(shí)，必須開(kāi)啟相應(yīng)的NAT ALG功能。例如FTP、SIP、H323、RTSP和QQ等多通道協(xié)議。

2.2.5 NAT Server規(guī)劃

廣電的托管服務(wù)器業(yè)務(wù)主要開(kāi)通網(wǎng)站托管業(yè)務(wù)，如某個(gè)學(xué)校的網(wǎng)站托管，同時(shí)還有公司內(nèi)部的辦公網(wǎng)，公司門戶網(wǎng)站等。由于托管服務(wù)器部署在內(nèi)網(wǎng)的DMZ區(qū)域，所以需要在防火墻上部署NAT server功能，將服務(wù)器的私網(wǎng)地址轉(zhuǎn)換成公網(wǎng)地址，而且需要為不同的ISP用戶提供不同的公網(wǎng)地址。

如果DNS服務(wù)器在內(nèi)網(wǎng)，則需要配置智能DNS使外網(wǎng)用戶可以獲取最適合的服務(wù)器解析地址，即與用戶屬于同一ISP網(wǎng)絡(luò)地址避免跨網(wǎng)絡(luò)訪問(wèn)。

2.2.6 安全功能規(guī)劃

缺省情況下FW拒絕所有流量通過(guò)，需要配置安全策略允許正常的業(yè)務(wù)訪問(wèn)。具體規(guī)劃見(jiàn)下文的數(shù)據(jù)規(guī)劃。

出口網(wǎng)關(guān)作為廣電網(wǎng)絡(luò)與外界通信的關(guān)口，需要配置入侵防御（IPS）、攻擊防范等安全功能。

本案例使用缺省的IPS配置文件default，對(duì)檢測(cè)到的入侵行為進(jìn)行阻斷；還可以選擇配置文件ids先記錄攻擊日志不阻斷，然后根據(jù)日志再配置具體的IPS配置文件。

2.2.6 用戶溯源規(guī)劃

通過(guò)與日志服務(wù)器配合完成用戶溯源：

1. FW配置向日志服務(wù)器發(fā)送會(huì)話日志功能，會(huì)話日志中詳細(xì)記錄了會(huì)話的原始（即NAT轉(zhuǎn)換前）源IP地址/端口、目的IP地址/端口，以及會(huì)話經(jīng)過(guò)NAT轉(zhuǎn)換后的源IP地址/端口和目的IP地址/端口等信息。
2. 如果某個(gè)用戶在外網(wǎng)發(fā)布了非法言論，管理員在日志服務(wù)器中根據(jù)該用戶的公網(wǎng)IP地址追蹤到其私網(wǎng)IP地址。
3. 管理員根據(jù)企業(yè)內(nèi)部的認(rèn)證系統(tǒng)等追蹤到具體用戶賬號(hào)。

2.2.7 數(shù)據(jù)規(guī)劃

根據(jù)上述業(yè)務(wù)規(guī)劃進(jìn)行數(shù)據(jù)規(guī)劃。

三、注意事項(xiàng)

3.1 License

IPS功能和智能DNS功能需要License支持，另外智能DNS功能需要加載內(nèi)容安全組件包才能使用。

3.2 硬件要求

對(duì)于USG9500，IPS、基于應(yīng)用的策略路由、智能DNS需要應(yīng)用安全業(yè)務(wù)處理子卡（SPC-APPSEC-FW）在位，否則功能不可用。

使用IPS功能前，建議將IPS特征庫(kù)升級(jí)到最新版本。

3.3 組網(wǎng)部署

為了避免心跳接口故障導(dǎo)致雙機(jī)通信異常，心跳接口建議使用Eth-trunk接口。對(duì)于支持?jǐn)U展多個(gè)接口卡的設(shè)備（具體支持情況，請(qǐng)查閱硬件指南），必須使用跨板Eth-Trunk接口，即一個(gè)Eth-Trunk的成員接口來(lái)自于不同的接口板，這樣既提高了可靠性，又增加了備份通道的帶寬。對(duì)于無(wú)接口擴(kuò)展能力無(wú)法使用跨板Eth-Trunk的設(shè)備，可能存在一塊接口卡故障導(dǎo)致所有HRP備份通道不可用、業(yè)務(wù)受損。

當(dāng)雙機(jī)熱備與智能選路結(jié)合使用時(shí)，如果上行部署交換機(jī)運(yùn)行VRRP，防火墻的上行物理接口必須配置與ISP路由器同一網(wǎng)段的公網(wǎng)IP地址，否則無(wú)法指定接口的gateway。gateway命令是智能選路、鏈路健康探測(cè)的必選配置。

如果上行是路由器則無(wú)此限制。

3.4 智能選路

防火墻在接口下提供gateway命令生成等價(jià)缺省路由，協(xié)議類型為UNR，路由優(yōu)先級(jí)為70，低于靜態(tài)路由的優(yōu)先級(jí)（60）。配置了此命令后不能再手動(dòng)配置多出口的靜態(tài)等價(jià)路由

策略路由智能選路不能和IP欺騙攻擊防范功能或URPF（Unicast Reverse Path Forwarding，單播逆向路徑轉(zhuǎn)發(fā)）功能一起使用。如果開(kāi)啟IP欺騙攻擊防范功能或URPF功能，可能導(dǎo)致防火墻丟棄報(bào)文。

3.5 黑洞路由

防火墻支持為NAT地址池中的地址生成UNR（User Network Route）路由，該UNR路由的作用與黑洞路由的作用相同，可以防止路由環(huán)路，同時(shí)也可以引入到OSPF等動(dòng)態(tài)路由協(xié)議中發(fā)布出去。對(duì)于NAT Server來(lái)說(shuō)，如果指定了協(xié)議和端口，則還需要手工配置目的地址為公網(wǎng)地址的黑洞路由，使外網(wǎng)訪問(wèn)公網(wǎng)地址但沒(méi)有匹配到Server-Map的報(bào)文匹配到黑洞路由后直接被丟棄，防止路由環(huán)路。

四、方案配置

4.1 配置接口和安全區(qū)域

4.1.1 背景信息

按下圖配置接口和安全區(qū)域。

4.1.2 操作步驟

1.配置FW_A接口IP地址。

<FW_A>?system-view?
[FW_A]?interface?Eth-Trunk?1?
[FW_A-Eth-Trunk1]?undo?service-manage?enable
[FW_A-Eth-Trunk1]?description?To-isp1?
[FW_A-Eth-Trunk1]?trunkport?GigabitEthernet?1/0/1?
[FW_A-Eth-Trunk1]?trunkport?GigabitEthernet?1/0/6?
[FW_A-Eth-Trunk1]?quit?
[FW_A]?interface?Eth-Trunk?2?
[FW_A-Eth-Trunk2]?undo?service-manage?enable
[FW_A-Eth-Trunk2]?description?To-isp2?
[FW_A-Eth-Trunk2]?trunkport?GigabitEthernet?1/0/2?
[FW_A-Eth-Trunk2]?trunkport?GigabitEthernet?1/0/7?
[FW_A-Eth-Trunk2]?quit?
[FW_A]?interface?Eth-Trunk?1.1?
[FW_A-Eth-Trunk1.1]?description?To-isp1-1?
[FW_A-Eth-Trunk1.1]?vlan-type?dot1q?11?
[FW_A-Eth-Trunk1.1]?ip?address?1.1.1.2?29?
[FW_A-Eth-Trunk1.1]?quit?
[FW_A]?interface?Eth-Trunk?2.1?
[FW_A-Eth-Trunk2.1]?description?To-isp2-1?
[FW_A-Eth-Trunk2.1]?vlan-type?dot1q?21?
[FW_A-Eth-Trunk2.1]?ip?address?2.2.2.2?29?
[FW_A-Eth-Trunk2.1]?quit?
[FW_A]?interface?Eth-Trunk?1.2?
[FW_A-Eth-Trunk1.2]?description?To-isp1-2?
[FW_A-Eth-Trunk1.2]?vlan-type?dot1q?12?
[FW_A-Eth-Trunk1.2]?ip?address?1.1.2.2?29?
[FW_A-Eth-Trunk1.2]?quit?
[FW_A]?interface?Eth-Trunk?2.2?
[FW_A-Eth-Trunk2.2]?description?To-isp2-2?
[FW_A-Eth-Trunk2.2]?vlan-type?dot1q?22?
[FW_A-Eth-Trunk2.2]?ip?address?2.2.3.2?29?
[FW_A-Eth-Trunk2.2]?quit?
[FW_A]?interface?GigabitEthernet?1/0/3?
[FW_A-GigabitEthernet1/0/3]?undo?service-manage?enable
[FW_A-GigabitEthernet1/0/3]?description?To-router?
[FW_A-GigabitEthernet1/0/3]?ip?address?10.0.3.1?24?
[FW_A-GigabitEthernet1/0/3]?quit?
[FW_A]?interface?GigabitEthernet?1/0/4?
[FW_A-GigabitEthernet1/0/4]?undo?service-manage?enable
[FW_A-GigabitEthernet1/0/4]?description?To-server?
[FW_A-GigabitEthernet1/0/4]?ip?address?10.0.5.1?24?
[FW_A-GigabitEthernet1/0/4]?quit?
[FW_A]?interface?Eth-Trunk?0?
[FW_A-Eth-Trunk0]?undo?service-manage?enable
[FW_A-Eth-Trunk0]?description?Hrp-interface?
[FW_A-Eth-Trunk0]?ip?address?10.0.7.1?24?
[FW_A-Eth-Trunk0]?quit?
[FW_A]?interface?GigabitEthernet?2/0/0?
[FW_A-GigabitEthernet2/0/0]?undo?service-manage?enable
[FW_A-GigabitEthernet2/0/0]?eth-trunk?0?
[FW_A-GigabitEthernet2/0/0]?quit?
[FW_A]?interface?GigabitEthernet?1/0/5?
[FW_A-GigabitEthernet1/0/5]?undo?service-manage?enable
[FW_A-GigabitEthernet1/0/5]?eth-trunk?0?
[FW_A-GigabitEthernet1/0/5]?quit

2.將FW_A接口加入安全區(qū)域。

[FW_A]?firewall?zone?name?isp1_1?
[FW_A-zone-isp1_1]?set?priority?10?
[FW_A-zone-isp1_1]?add?interface?Eth-Trunk?1.1?
[FW_A-zone-isp1_1]?quit?
[FW_A]?firewall?zone?name?isp1_2?
[FW_A-zone-isp1_2]?set?priority?15?
[FW_A-zone-isp1_2]?add?interface?Eth-Trunk?1.2?
[FW_A-zone-isp1_2]?quit?
[FW_A]?firewall?zone?name?isp2_1?
[FW_A-zone-isp2_1]?set?priority?20?
[FW_A-zone-isp2_1]?add?interface?Eth-Trunk?2.1?
[FW_A-zone-isp2]?quit?
[FW_A]?firewall?zone?name?isp2_2?
[FW_A-zone-isp2_2]?set?priority?25?
[FW_A-zone-isp1_2]?add?interface?Eth-Trunk?2.2?
[FW_A-zone-isp2]?quit?
[FW_A]?firewall?zone?trust?
[FW_A-zone-trust]?add?interface?GigabitEthernet?1/0/3?
[FW_A-zone-trust]?quit?
[FW_A]?firewall?zone?dmz?
[FW_A-zone-dmz]?add?interface?GigabitEthernet?1/0/4?
[FW_A-zone-dmz]?quit?
[FW_A]?firewall?zone?name?hrp?
[FW_A-zone-hrp]?set?priority?75?
[FW_A-zone-hrp]?add?interface?Eth-Trunk?0?
[FW_A-zone-hrp]?quit

3.參考上述步驟配置FW_B的接口IP和安全區(qū)域，不同之處是接口IP不同。

4.2 配置智能選路及路由

4.2.1 操作步驟

1.配置FW_A的健康檢查功能，分別為ISP1和ISP2鏈路配置健康檢查。

其中目的地址是Internet真實(shí)存在的IP地址，本例以ISP網(wǎng)關(guān)地址、DNS地址為例。

[FW_A]?healthcheck?enable?
[FW_A]?healthcheck?name?isp1_health1?
[FW_A-healthcheck-isp1_health1]?destination?1.1.1.6?interface?Eth-Trunk1.1?protocol?icmp?
[FW_A-healthcheck-isp1_health1]?destination?1.1.1.222?interface?Eth-Trunk1.1?protocol?dns?
[FW_A-healthcheck-isp1_health1]?quit?
[FW_A]?healthcheck?name?isp1_health2?
[FW_A-healthcheck-isp1_health2]?destination?1.1.2.6?interface?Eth-Trunk1.2?protocol?icmp?
[FW_A-healthcheck-isp1_health2]?destination?1.1.1.222?interface?Eth-Trunk1.2?protocol?dns?
[FW_A-healthcheck-isp1_health2]?quit?
[FW_A]?healthcheck?name?isp2_health1?
[FW_A-healthcheck-isp2_health1]?destination?2.2.2.6?interface?Eth-Trunk2.1?protocol?icmp?
[FW_A-healthcheck-isp2_health1]?destination?2.2.2.222?interface?Eth-Trunk2.1?protocol?dns?
[FW_A-healthcheck-isp2_health1]?quit?
[FW_A]?healthcheck?name?isp2_health2?
[FW_A-healthcheck-isp2_health2]?destination?2.2.3.6?interface?Eth-Trunk2.2?protocol?icmp?
[FW_A-healthcheck-isp2_health2]?destination?2.2.2.222?interface?Eth-Trunk2.2?protocol?dns?
[FW_A-healthcheck-isp2_health2]?quit

FW_B與FW_A的配置相同，請(qǐng)自行配置。

2.配置接口的網(wǎng)關(guān)地址、接口帶寬并應(yīng)用對(duì)應(yīng)的健康檢查。

接口應(yīng)用健康檢查功能后，當(dāng)接口所在鏈路故障時(shí)，與其綁定的路由將失效。

[FW_A]?interface?Eth-Trunk?1.1?
[FW_A-Eth-Trunk1.1]?gateway?1.1.1.6?
[FW_A-Eth-Trunk1.1]?bandwidth?ingress?800000?
[FW_A-Eth-Trunk1.1]?bandwidth?egress?800000?
[FW_A-Eth-Trunk1.1]?healthcheck?isp1_health1?
[FW_A-Eth-Trunk1.1]?quit?
[FW_A]?interface?Eth-Trunk1.2?
[FW_A-Eth-Trunk1.2]?gateway?1.1.2.6?
[FW_A-Eth-Trunk1.2]?bandwidth?ingress?400000?
[FW_A-Eth-Trunk1.2]?bandwidth?egress?400000?
[FW_A-Eth-Trunk1.2]?healthcheck?isp1_health2?
[FW_A-Eth-Trunk1.2]?quit?
[FW_A]?interface?Eth-Trunk2.1?
[FW_A-Eth-Trunk2.1]?gateway?2.2.2.6?
[FW_A-Eth-Trunk2.1]?bandwidth?ingress?900000?
[FW_A-Eth-Trunk2.1]?bandwidth?egress?900000?
[FW_A-Eth-Trunk2.1]?healthcheck?isp2_health1?
[FW_A-Eth-Trunk2.1]?quit?
[FW_A]?interface?Eth-Trunk2.2?
[FW_A-Eth-Trunk2.2]?gateway?2.2.3.6?
[FW_A-Eth-Trunk2.2]?bandwidth?ingress?600000?
[FW_A-Eth-Trunk2.2]?bandwidth?egress?600000?
[FW_A-Eth-Trunk2.2]?healthcheck?isp2_health2?
[FW_A-Eth-Trunk2.2]?quit

FW_B與FW_A的配置相同，請(qǐng)自行配置。

3.配置DNS透明代理。

a.配置DNS透明代理參數(shù)。

[FW_A]?dns-transparent-policy?
[FW_A-policy-dns]?dns?transparent-proxy?enable?
[FW_A-policy-dns]?dns?server?bind?interface?Eth-Trunk1.1?preferred?1.1.1.222?alternate?1.1.1.223?
[FW_A-policy-dns]?dns?server?bind?interface?Eth-Trunk1.2?preferred?1.1.1.222?alternate?1.1.1.223?
[FW_A-policy-dns]?dns?server?bind?interface?Eth-Trunk2.1?preferred?2.2.2.222?alternate?2.2.2.223?
[FW_A-policy-dns]?dns?server?bind?interface?Eth-Trunk2.2?preferred?2.2.2.222?alternate?2.2.2.223?
[FW_A-policy-dns]?dns?transparent-proxy?exclude?domain?www.example.com?server?preferred?1.1.1.222?
[FW_A-policy-dns]?rule?name?dns_proxy?
[FW_A-policy-dns-rule-dns_proxy]?action?tpdns?
[FW_A-policy-dns-rule-dns_proxy]?source-address?10.3.0.0?24?
[FW_A-policy-dns-rule-dns_proxy]?quit?
[FW_A-policy-dns]?quit

FW_B與FW_A的配置相同，請(qǐng)自行配置。

dns transparent-proxy exclude domain命令用來(lái)配置不需要DNS透明代理的域名，這里假設(shè)www.example.com固定使用1.1.1.222這個(gè)DNS服務(wù)器進(jìn)行解析，不進(jìn)行DNS透明代理。

b.配置基于DNS服務(wù)的策略路由使DNS請(qǐng)求按鏈路權(quán)重進(jìn)行分擔(dān)。

[FW_A]?policy-based-route?
[FW_A-policy-pbr]?rule?name?dns_pbr?
[FW_A-policy-pbr-rule-dns_pbr]?ingress-interface?GigabitEthernet1/0/3?
[FW_A-policy-pbr-rule-dns_pbr]?service?dns?
[FW_A-policy-pbr-rule-dns_pbr]?action?pbr?egress-interface?multi-interface?
[FW_A-policy-pbr-rule-dns_pbr-multi-inter]?add?interface?Eth-Trunk1.1?weight?2?
[FW_A-policy-pbr-rule-dns_pbr-multi-inter]?add?interface?Eth-Trunk1.2?weight?1?
[FW_A-policy-pbr-rule-dns_pbr-multi-inter]?add?interface?Eth-Trunk2.1?weight?3?
[FW_A-policy-pbr-rule-dns_pbr-multi-inter]?add?interface?Eth-Trunk2.2?weight?2?
[FW_A-policy-pbr-rule-dns_pbr-multi-inter]?mode?proportion-of-weight?
[FW_A-policy-pbr-rule-dns_pbr-multi-inter]?quit?
[FW_A-policy-pbr-rule-dns_pbr]?quit

FW_B與FW_A的配置相同，請(qǐng)自行配置。

4.配置策略路由智能選路。

a.按如下格式準(zhǔn)備ISP1和ISP2的地址文件，isp1.csv和isp2.csv。

b.上傳ISP地址文件到FW_A。

c.為ISP1和ISP2分別創(chuàng)建運(yùn)營(yíng)商名稱isp1和isp2，并關(guān)聯(lián)對(duì)應(yīng)的ISP地址文件。

[FW_A]?isp?name?isp1?set?filename?isp1.csv?
[FW_A]?isp?name?isp2?set?filename?isp2.csv

完成此配置后，防火墻自動(dòng)生成以ISP名稱命名的地址集，地址集中包含對(duì)應(yīng)ISP的地址。該地址集中的內(nèi)容不能直接修改，只能通過(guò)重新導(dǎo)入ISP地址文件進(jìn)行間接修改。ISP地址集可以被策略路由引用，作為源地址或目的地址。

FW_B與FW_A的配置相同，請(qǐng)自行配置。

d.配置基于應(yīng)用的策略路由，引導(dǎo)P2P流量從ISP2轉(zhuǎn)發(fā)。

[FW_A]?policy-based-route?
[FW_A-policy-pbr]?rule?name?p2p_pbr?
[FW_A-policy-pbr-rule-p2p_pbr]?ingress-interface?GigabitEthernet1/0/3?
[FW_A-policy-pbr-rule-p2p_pbr]?application?app?BT?Thunder?eDonkey_eMule?
[FW_A-policy-pbr-rule-p2p_pbr]?action?pbr?egress-interface?multi-interface?
[FW_A-policy-pbr-rule-p2p_pbr-multi-inter]?add?interface?Eth-Trunk2.1?weight?3?
[FW_A-policy-pbr-rule-p2p_pbr-multi-inter]?add?interface?Eth-Trunk2.2?weight?2?
[FW_A-policy-pbr-rule-p2p_pbr-multi-inter]?mode?proportion-of-weight?
[FW_A-policy-pbr-rule-p2p_pbr-multi-inter]?quit?
[FW_A-policy-pbr-rule-p2p_pbr]?quit

多條策略路由規(guī)則的匹配順序是按配置順序匹配。本例配置了多條策略路由規(guī)則，注意先配置基于DNS服務(wù)和P2P應(yīng)用的策略路由，再配置基于目的地址的策略路由，否則將先匹配基于目的地址的策略路由，基于DNS服務(wù)和P2P應(yīng)用的策略路由就不生效了。

此處僅給出了BT、迅雷和電驢應(yīng)用作為例子，具體配置時(shí)請(qǐng)根據(jù)實(shí)際需求指定應(yīng)用。

FW_B與FW_A的配置相同，請(qǐng)自行配置。

e.配置基于ISP1地址為目的地址的策略路由，引導(dǎo)訪問(wèn)ISP1的流量從ISP1鏈路轉(zhuǎn)發(fā)。

[FW_A-policy-pbr]?rule?name?isp1_pbr?
[FW_A-policy-pbr-rule-isp1_pbr]?ingress-interface?GigabitEthernet1/0/3?
[FW_A-policy-pbr-rule-isp1_pbr]?destination-address?isp?isp1?
[FW_A-policy-pbr-rule-isp1_pbr]?action?pbr?egress-interface?multi-interface?
[FW_A-policy-pbr-rule-isp1_pbr-multi-inter]?add?interface?Eth-Trunk1.1?weight?2?
[FW_A-policy-pbr-rule-isp1_pbr-multi-inter]?add?interface?Eth-Trunk1.2?weight?1?
[FW_A-policy-pbr-rule-isp1_pbr-multi-inter]?mode?proportion-of-weight?
[FW_A-policy-pbr-rule-isp1_pbr-multi-inter]?quit?
[FW_A-policy-pbr-rule-isp1_pbr]?quit

FW_B與FW_A的配置相同，請(qǐng)自行配置。

f.配置基于ISP2地址為目的地址的策略路由，引導(dǎo)訪問(wèn)ISP2的流量從ISP1鏈路轉(zhuǎn)發(fā)。

[FW_A-policy-pbr]?rule?name?isp2_pbr?
[FW_A-policy-pbr-rule-isp2_pbr]?ingress-interface?GigabitEthernet1/0/3?
[FW_A-policy-pbr-rule-isp2_pbr]?destination-address?isp?isp2?
[FW_A-policy-pbr-rule-isp2_pbr]?action?pbr?egress-interface?multi-interface?
[FW_A-policy-pbr-rule-isp2_pbr-multi-inter]?add?interface?Eth-Trunk2.1?weight?3?
[FW_A-policy-pbr-rule-isp2_pbr-multi-inter]?add?interface?Eth-Trunk2.2?weight?2?
[FW_A-policy-pbr-rule-isp2_pbr-multi-inter]?mode?proportion-of-weight?
[FW_A-policy-pbr-rule-isp2_pbr-multi-inter]?quit?
[FW_A-policy-pbr-rule-isp2_pbr]?quit

FW_B與FW_A的配置相同，請(qǐng)自行配置。

5.配置OSPF。

a.在FW_A上配置OSPF，發(fā)布下行接口所在網(wǎng)段。

[FW_A]?ospf?1?
[FW_A-ospf-1]?area?0?
[FW_A-ospf-1-area-0.0.0.0]?network?10.0.3.0?0.0.0.255?
[FW_A-ospf-1-area-0.0.0.0]?network?10.0.5.0?0.0.0.255?
[FW_A-ospf-1-area-0.0.0.0]?quit?
[FW_A-ospf-1]?quit

b.在FW_B上配置OSPF，發(fā)布下行接口所在網(wǎng)段。

[FW_B]?ospf?1?
[FW_B-ospf-1]?area?0?
[FW_B-ospf-1-area-0.0.0.0]?network?10.0.4.0?0.0.0.255?
[FW_B-ospf-1-area-0.0.0.0]?network?10.0.6.0?0.0.0.255?
[FW_B-ospf-1-area-0.0.0.0]?quit?
[FW_B-ospf-1]?quit

4.3 配置雙機(jī)熱備

4.3.1 背景信息

按下圖配置雙機(jī)熱備。

4.3.2 操作步驟

1.在FW_A的上行接口上配置VRRP備份組，并將VRRP備份組狀態(tài)設(shè)置為Active。

<FW_A>?system-view?
[FW_A]?interface?Eth-Trunk?1.1?
[FW_A-Eth-Trunk1.1]?vrrp?vrid?1?virtual-ip?1.1.1.1?29?active?
[FW_A-Eth-Trunk1.1]?quit?
[FW_A]?interface?Eth-Trunk?2.1?
[FW_A-Eth-Trunk2.1]?vrrp?vrid?2?virtual-ip?2.2.2.1?29?active?
[FW_A-Eth-Trunk2.1]?quit?
[FW_A]?interface?Eth-Trunk?1.2?
[FW_A-Eth-Trunk1.2]?vrrp?vrid?3?virtual-ip?1.1.2.1?29?active?
[FW_A-Eth-Trunk1.2]?quit?
[FW_A]?interface?Eth-Trunk?2.2?
[FW_A-Eth-Trunk2.2]?vrrp?vrid?4?virtual-ip?2.2.3.1?29?active?
[FW_A-Eth-Trunk2.2]?quit

2.在FW_A上配置VGMP組監(jiān)控下行接口。

[FW_A]?hrp?track?interface?GigabitEthernet?1/0/3?
[FW_A]?hrp?track?interface?GigabitEthernet?1/0/4

3.在FW_A配置根據(jù)VGMP狀態(tài)調(diào)整OSPF Cost值功能。

[FW_A]?hrp?adjust?ospf-cost?enable

4.在FW_A上開(kāi)啟搶占功能，并配置搶占延遲時(shí)間為300s。

[FW_A]?hrp?preempt?delay?300

5.在FW_A上指定心跳口，并啟用雙機(jī)熱備。

[FW_A]?hrp?interface?Eth-Trunk0?remote?10.0.7.2?
[FW_A]?hrp?enable

6.參考上述步驟配置FW_B的雙機(jī)熱備功能，不同之處是VRRP備份組狀態(tài)設(shè)置為Standby、hrp interface的遠(yuǎn)端地址設(shè)置為10.0.7.1。

7.配置路由器和交換機(jī)。

a.在路由器上配置OSPF，發(fā)布相鄰網(wǎng)段，具體配置命令請(qǐng)參考路由器的相關(guān)文檔。

b.在交換機(jī)上將三個(gè)接口加入同一個(gè)VLAN，具體配置命令請(qǐng)參考交換機(jī)的相關(guān)文檔。

4.3.3 操作結(jié)果

至此，雙機(jī)熱備關(guān)系已經(jīng)建立，后續(xù)大部分配置都能夠備份。所以在下面的步驟中，我們只需在主用設(shè)備FW_A上配置即可（有特殊說(shuō)明的配置除外）。

4.4 配置源NAT

4.4.1 操作步驟

1.配置NAT地址池pool_isp1_1，并指定地址池類型為NAPT。

HRP_M[FW_A]?nat?address-group?pool_isp1_1?
HRP_M[FW_A-address-group-pool_isp1_1]?mode?pat?
HRP_M[FW_A-address-group-pool_isp1_1]?section?1.1.1.10?1.1.1.12?
HRP_M[FW_A-address-group-pool_isp1_1]?route?enable?
HRP_M[FW_A-address-group-pool_isp1_1]?quit

route enable命令將會(huì)為NAT地址池中的地址生成UNR（User Network Route）路由，該UNR路由的作用與黑洞路由的作用相同，可以防止路由環(huán)路，

2.配置Trust與isp1_1區(qū)域之間的NAT策略，將來(lái)自Trust區(qū)域用戶報(bào)文的源地址轉(zhuǎn)換成地址池pool_isp1_1中的地址。

HRP_M[FW_A]?nat-policy?
HRP_M[FW_A-policy-nat]?rule?name?policy_nat1?
HRP_M[FW_A-policy-nat-rule-policy_nat1]?source-zone?trust?
HRP_M[FW_A-policy-nat-rule-policy_nat1]?destination-zone?isp1_1?
HRP_M[FW_A-policy-nat-rule-policy_nat1]?action?source-nat?address-group?pool_isp1_1?
HRP_M[FW_A-policy-nat-rule-policy_nat1]?quit?
HRP_M[FW_A-policy-nat]?quit

3.配置NAT地址池pool_isp1_2，并指定地址池類型為NAPT。

HRP_M[FW_A]?nat?address-group?pool_isp1_2?
HRP_M[FW_A-address-group-pool_isp1_2]?mode?pat?
HRP_M[FW_A-address-group-pool_isp1_2]?section?1.1.2.10?1.1.2.12?
HRP_M[FW_A-address-group-pool_isp1_2]?route?enable?
HRP_M[FW_A-address-group-pool_isp1_2]?quit

4.配置Trust與isp1_2區(qū)域之間的NAT策略，將來(lái)自Trust區(qū)域用戶報(bào)文的源地址轉(zhuǎn)換成地址池pool_isp1_2中的地址。

HRP_M[FW_A]?nat-policy?
HRP_M[FW_A-policy-nat]?rule?name?policy_nat2?
HRP_M[FW_A-policy-nat-rule-policy_nat2]?source-zone?trust?
HRP_M[FW_A-policy-nat-rule-policy_nat2]?destination-zone?isp1_2?
HRP_M[FW_A-policy-nat-rule-policy_nat2]?action?source-nat?address-group?pool_isp1_2?
HRP_M[FW_A-policy-nat-rule-policy_nat2]?quit?
HRP_M[FW_A-policy-nat]?quit

5.配置NAT地址池pool_isp2_1，并指定地址池類型為NAPT。

HRP_M[FW_A]?nat?address-group?pool_isp2_1?
HRP_M[FW_A-address-group-pool_isp2_1]?mode?pat?
HRP_M[FW_A-address-group-pool_isp2_1]?section?2.2.2.10?2.2.2.12?
HRP_M[FW_A-address-group-pool_isp2_1]?route?enable?
HRP_M[FW_A-address-group-pool_isp2_1]?quit

6.配置Trust與isp2_1區(qū)域之間的NAT策略，將來(lái)自Trust區(qū)域用戶報(bào)文的源地址轉(zhuǎn)換成地址池pool_isp2_1中的地址。

HRP_M[FW_A]?nat-policy?
HRP_M[FW_A-policy-nat]?rule?name?policy_nat3?
HRP_M[FW_A-policy-nat-rule-policy_nat3]?source-zone?trust?
HRP_M[FW_A-policy-nat-rule-policy_nat3]?destination-zone?isp2_1?
HRP_M[FW_A-policy-nat-rule-policy_nat3]?action?source-nat?address-group?pool_isp2_1?
HRP_M[FW_A-policy-nat-rule-policy_nat3]?quit?
HRP_M[FW_A-policy-nat]?quit

7.配置NAT地址池pool_isp2_2，并指定地址池類型為NAPT。

HRP_M[FW_A]?nat?address-group?pool_isp2_2?
HRP_M[FW_A-address-group-pool_isp2_2]?mode?pat?
HRP_M[FW_A-address-group-pool_isp2_2]?section?2.2.3.10?2.2.3.12?
HRP_M[FW_A-address-group-pool_isp2_2]?route?enable?
HRP_M[FW_A-address-group-pool_isp2_2]?quit

8.配置Trust與isp2_2區(qū)域之間的NAT策略，將來(lái)自Trust區(qū)域用戶報(bào)文的源地址轉(zhuǎn)換成地址池pool_isp2_2中的地址。

HRP_M[FW_A]?nat-policy?
HRP_M[FW_A-policy-nat]?rule?name?policy_nat4?
HRP_M[FW_A-policy-nat-rule-policy_nat4]?source-zone?trust?
HRP_M[FW_A-policy-nat-rule-policy_nat4]?destination-zone?isp2_2?
HRP_M[FW_A-policy-nat-rule-policy_nat4]?action?source-nat?address-group?pool_isp2_2?
HRP_M[FW_A-policy-nat-rule-policy_nat4]?quit?
HRP_M[FW_A-policy-nat]?quit

9.配置NAT ALG功能。

HRP_M[FW_A]?detect?ftp

HRP_M[FW_A]?detect?sip

HRP_M[FW_A]?detect?h323

HRP_M[FW_A]?detect?rtsp

HRP_M[FW_A]?detect?qq

4.5 配置NAT Server和智能DNS

4.5.1 背景信息

智能DNS受內(nèi)容安全組合License控制，并且通過(guò)動(dòng)態(tài)加載功能加載相應(yīng)組件包后方可使用。

對(duì)于USG9500，智能DNS需要應(yīng)用安全業(yè)務(wù)處理子卡（SPC-APPSEC-FW）在位，否則功能不可用。

4.5.2 操作步驟

1.配置NAT Server。

a.配置NAT Server功能，將Web服務(wù)器的私網(wǎng)地址分別映射成供ISP1和ISP2用戶訪問(wèn)的公網(wǎng)地址。

HRP_M[FW_A]?nat?server?policy_web1?zone?isp1_1?protocol?tcp?global?1.1.1.15?8080?inside?10.0.10.10?www?
HRP_M[FW_A]?nat?server?policy_web2?zone?isp1_2?protocol?tcp?global?1.1.2.15?8080?inside?10.0.10.10?www?
HRP_M[FW_A]?nat?server?policy_web3?zone?isp2_1?protocol?tcp?global?2.2.2.15?8080?inside?10.0.10.10?www?
HRP_M[FW_A]?nat?server?policy_web4?zone?isp2_2?protocol?tcp?global?2.2.3.15?8080?inside?10.0.10.10?www

b.配置NAT Server功能，將FTP服務(wù)器的私網(wǎng)地址分別映射成供ISP1和ISP2用戶訪問(wèn)的公網(wǎng)地址。

HRP_M[FW_A]?nat?server?policy_ftp1?zone?isp1_1?protocol?tcp?global?1.1.1.16?ftp?inside?10.0.10.11?ftp?
HRP_M[FW_A]?nat?server?policy_ftp2?zone?isp1_2?protocol?tcp?global?1.1.2.16?ftp?inside?10.0.10.11?ftp?
HRP_M[FW_A]?nat?server?policy_ftp3?zone?isp2_1?protocol?tcp?global?2.2.2.16?ftp?inside?10.0.10.11?ftp?
HRP_M[FW_A]?nat?server?policy_ftp4?zone?isp2_2?protocol?tcp?global?2.2.3.16?ftp?inside?10.0.10.11?ftp

c.配置NAT Server功能，將DNS服務(wù)器的私網(wǎng)地址分別映射成供ISP1和ISP2用戶訪問(wèn)的公網(wǎng)地址。

HRP_M[FW_A]?nat?server?policy_dns1?zone?isp1_1?protocol?tcp?global?1.1.1.17?domain?inside?10.0.10.20?domain?
HRP_M[FW_A]?nat?server?policy_dns2?zone?isp1_2?protocol?tcp?global?1.1.2.17?domain?inside?10.0.10.20?domain?
HRP_M[FW_A]?nat?server?policy_dns3?zone?isp2_1?protocol?tcp?global?2.2.2.17?domain?inside?10.0.10.20?domain?
HRP_M[FW_A]?nat?server?policy_dns4?zone?isp2_2?protocol?tcp?global?2.2.3.17?domain?inside?10.0.10.20?domain

2.配置源進(jìn)源出功能。

在接口上配置IP地址和網(wǎng)關(guān)地址后，才能配置源進(jìn)源出功能。IP地址和網(wǎng)關(guān)地址已經(jīng)在配置接口和安全區(qū)域和配置智能選路及路由中配置完成。

接口下配置不支持備份，因此需要同時(shí)在FW_A和FW_B上配置源進(jìn)源出功能。

HRP_M[FW_A]?interface?Eth-Trunk?1.1?
HRP_M[FW_A-Eth-Trunk1.1]?redirect-reverse?next-hop?1.1.1.6?
HRP_M[FW_A-Eth-Trunk1.1]?quit?
HRP_M[FW_A]?interface?Eth-Trunk?2.1?
HRP_M[FW_A-Eth-Trunk2.1]?redirect-reverse?next-hop?2.2.2.6?
HRP_M[FW_A-Eth-Trunk2.1]?quit?
HRP_M[FW_A]?interface?Eth-Trunk?1.2?
HRP_M[FW_A-Eth-Trunk1.2]?redirect-reverse?next-hop?1.1.2.6?
HRP_M[FW_A-Eth-Trunk1.2]?quit?
HRP_M[FW_A]?interface?Eth-Trunk?2.2?
HRP_M[FW_A-Eth-Trunk2.2]?redirect-reverse?next-hop?2.2.3.6?
HRP_M[FW_A-Eth-Trunk2.2]?quit?
HRP_S[FW_B]?interface?Eth-Trunk?1.1?
HRP_S[FW_B-Eth-Trunk1.1]?redirect-reverse?next-hop?1.1.1.6?
HRP_S[FW_B-Eth-Trunk1.1]?quit?
HRP_S[FW_B]?interface?Eth-Trunk?2.1?
HRP_S[FW_B-Eth-Trunk2.1]?redirect-reverse?next-hop?2.2.2.6?
HRP_S[FW_B-Eth-Trunk2.1]?quit?
HRP_S[FW_B]?interface?Eth-Trunk?1.2?
HRP_S[FW_B-Eth-Trunk1.2]?redirect-reverse?next-hop?1.1.2.6?
HRP_S[FW_B-Eth-Trunk1.2]?quit?
HRP_S[FW_B]?interface?Eth-Trunk?2.2?
HRP_S[FW_B-Eth-Trunk2.2]?redirect-reverse?next-hop?2.2.3.6?
HRP_S[FW_B-Eth-Trunk2.2]?quit

3.配置智能DNS。

DNS服務(wù)器部署在內(nèi)網(wǎng)且記錄了Web和FTP服務(wù)器域名與公網(wǎng)IP地址的對(duì)應(yīng)關(guān)系，此時(shí)配置智能DNS功能，確保各個(gè)ISP的用戶訪問(wèn)內(nèi)網(wǎng)服務(wù)器時(shí)，都能夠解析到自己ISP為服務(wù)器分配的地址，從而提高訪問(wèn)速度。例如使ISP1的用戶訪問(wèn)內(nèi)網(wǎng)的Web服務(wù)器10.0.10.10時(shí)，能夠解析到服務(wù)器的ISP1地址1.1.1.15， ISP2的用戶訪問(wèn)內(nèi)網(wǎng)的Web服務(wù)器10.0.10.10時(shí)，能夠解析到服務(wù)器的ISP2地址2.2.2.15。

HRP_M[FW_A]?dns-smart?enable?
HRP_M[FW_A]?dns-smart?group?1?type?multi?
HRP_M[FW_A-dns-smart-group-1]?out-interface?Eth-Trunk?1.1?map?1.1.1.15?
HRP_M[FW_A-dns-smart-group-1]?out-interface?Eth-Trunk?2.1?map?2.2.2.15?
HRP_M[FW_A-dns-smart-group-1]?out-interface?Eth-Trunk?1.2?map?1.1.2.15?
HRP_M[FW_A-dns-smart-group-1]?out-interface?Eth-Trunk?2.2?map?2.2.3.15?
HRP_M[FW_A-dns-smart-group-1]?quit?
HRP_M[FW_A]?dns-smart?group?2?type?multi?
HRP_M[FW_A-dns-smart-group-2]?out-interface?Eth-Trunk?1.1?map?1.1.1.16?
HRP_M[FW_A-dns-smart-group-2]?out-interface?Eth-Trunk?2.1?map?2.2.2.16?
HRP_M[FW_A-dns-smart-group-2]?out-interface?Eth-Trunk?1.2?map?1.1.2.16?
HRP_M[FW_A-dns-smart-group-2]?out-interface?Eth-Trunk?2.2?map?2.2.3.16?
HRP_M[FW_A-dns-smart-group-2]?quit

4.配置NAT Server公網(wǎng)地址的黑洞路由，避免防火墻與ISP路由器之間產(chǎn)生路由環(huán)路。

路由配置不支持備份，因此需要同時(shí)在FW_A和FW_B上配置。

HRP_M[FW_A]?ip?route-static?1.1.1.15?32?NULL?0?
HRP_M[FW_A]?ip?route-static?1.1.1.16?32?NULL?0?
HRP_M[FW_A]?ip?route-static?1.1.1.17?32?NULL?0?
HRP_M[FW_A]?ip?route-static?2.2.2.15?32?NULL?0?
HRP_M[FW_A]?ip?route-static?2.2.2.16?32?NULL?0?
HRP_M[FW_A]?ip?route-static?2.2.2.17?32?NULL?0?
HRP_M[FW_A]?ip?route-static?1.1.2.15?32?NULL?0?
HRP_M[FW_A]?ip?route-static?1.1.2.16?32?NULL?0?
HRP_M[FW_A]?ip?route-static?1.1.2.17?32?NULL?0?
HRP_M[FW_A]?ip?route-static?2.2.3.15?32?NULL?0?
HRP_M[FW_A]?ip?route-static?2.2.3.16?32?NULL?0?
HRP_M[FW_A]?ip?route-static?2.2.3.17?32?NULL?0?
HRP_S[FW_B]?ip?route-static?1.1.1.15?32?NULL?0?
HRP_S[FW_B]?ip?route-static?1.1.1.16?32?NULL?0?
HRP_S[FW_B]?ip?route-static?1.1.1.17?32?NULL?0?
HRP_S[FW_B]?ip?route-static?2.2.2.15?32?NULL?0?
HRP_S[FW_B]?ip?route-static?2.2.2.16?32?NULL?0?
HRP_S[FW_B]?ip?route-static?2.2.2.17?32?NULL?0?
HRP_S[FW_B]?ip?route-static?1.1.2.15?32?NULL?0?
HRP_S[FW_B]?ip?route-static?1.1.2.16?32?NULL?0?
HRP_S[FW_B]?ip?route-static?1.1.2.17?32?NULL?0?
HRP_S[FW_B]?ip?route-static?2.2.3.15?32?NULL?0?
HRP_S[FW_B]?ip?route-static?2.2.3.16?32?NULL?0?
HRP_S[FW_B]?ip?route-static?2.2.3.17?32?NULL?0

4.6 配置安全策略及安全防護(hù)

4.6.1 操作步驟

1.配置Trust區(qū)域到isp1_1、isp1_2區(qū)域的安全策略，允許內(nèi)網(wǎng)用戶通過(guò)ISP1訪問(wèn)Internet，并進(jìn)行入侵防御檢測(cè)。

HRP_M[FW_A]?security-policy?
HRP_M[FW_A-policy-security]?rule?name?trust_to_isp1?
HRP_M[FW_A-policy-security-rule-trust_to_isp1]?source-zone?trust?
HRP_M[FW_A-policy-security-rule-trust_to_isp1]?destination-zone?isp1_1?isp1_2?
HRP_M[FW_A-policy-security-rule-trust_to_isp1]?profile?ips?default?
HRP_M[FW_A-policy-security-rule-trust_to_isp1]?action?permit?
HRP_M[FW_A-policy-security-rule-trust_to_isp1]?quit

2.配置Trust區(qū)域到isp2_1、isp2_2區(qū)域的安全策略，允許內(nèi)網(wǎng)用戶通過(guò)ISP2訪問(wèn)Internet，并進(jìn)行入侵防御檢測(cè)。

HRP_M[FW_A-policy-security]?rule?name?trust_to_isp2?
HRP_M[FW_A-policy-security-rule-trust_to_isp2]?source-zone?trust?
HRP_M[FW_A-policy-security-rule-trust_to_isp2]?destination-zone?isp2_1?isp2_2?
HRP_M[FW_A-policy-security-rule-trust_to_isp2]?profile?ips?default?
HRP_M[FW_A-policy-security-rule-trust_to_isp2]?action?permit?
HRP_M[FW_A-policy-security-rule-trust_to_isp2]?quit

3.配置isp1_1、isp1_2區(qū)域到DMZ區(qū)域的安全策略，允許外網(wǎng)用戶通過(guò)ISP1鏈路訪問(wèn)DMZ區(qū)域的Web服務(wù)器、FTP服務(wù)器和DNS服務(wù)器，并進(jìn)行入侵防御檢測(cè)。

HRP_M[FW_A-policy-security]?rule?name?isp1_to_http?
HRP_M[FW_A-policy-security-rule-isp1_to_http]?source-zone?isp1_1?isp1_2?
HRP_M[FW_A-policy-security-rule-isp1_to_http]?destination-zone?dmz?
HRP_M[FW_A-policy-security-rule-isp1_to_http]?destination-address?10.0.10.10?24?
HRP_M[FW_A-policy-security-rule-isp1_to_http]?service?http?
HRP_M[FW_A-policy-security-rule-isp1_to_http]?profile?ips?default?
HRP_M[FW_A-policy-security-rule-isp1_to_http]?action?permit?
HRP_M[FW_A-policy-security-rule-isp1_to_http]?quit?
HRP_M[FW_A-policy-security]?rule?name?isp1_to_ftp?
HRP_M[FW_A-policy-security-rule-isp1_to_ftp]?source-zone?isp1_1?isp1_2?
HRP_M[FW_A-policy-security-rule-isp1_to_ftp]?destination-zone?dmz?
HRP_M[FW_A-policy-security-rule-isp1_to_ftp]?destination-address?10.0.10.11?24?
HRP_M[FW_A-policy-security-rule-isp1_to_ftp]?service?ftp?
HRP_M[FW_A-policy-security-rule-isp1_to_ftp]?profile?ips?default?
HRP_M[FW_A-policy-security-rule-isp1_to_ftp]?action?permit?
HRP_M[FW_A-policy-security-rule-isp1_to_ftp]?quit?
HRP_M[FW_A-policy-security]?rule?name?isp1_to_dns?
HRP_M[FW_A-policy-security-rule-isp1_to_dns]?source-zone?isp1_1?isp1_2?
HRP_M[FW_A-policy-security-rule-isp1_to_dns]?destination-zone?dmz?
HRP_M[FW_A-policy-security-rule-isp1_to_dns]?destination-address?10.0.10.20?24?
HRP_M[FW_A-policy-security-rule-isp1_to_dns]?service?dns?
HRP_M[FW_A-policy-security-rule-isp1_to_dns]?profile?ips?default?
HRP_M[FW_A-policy-security-rule-isp1_to_dns]?action?permit?
HRP_M[FW_A-policy-security-rule-isp1_to_dns]?quit

4.配置isp2_1、isp2_2區(qū)域到DMZ區(qū)域的安全策略，允許外網(wǎng)用戶通過(guò)ISP2鏈路訪問(wèn)DMZ區(qū)域的Web服務(wù)器、FTP服務(wù)器和DNS服務(wù)器，并進(jìn)行入侵防御檢測(cè)。

HRP_M[FW_A-policy-security]?rule?name?isp2_to_http?
HRP_M[FW_A-policy-security-rule-isp2_to_http]?source-zone?isp2_1?isp2_2?
HRP_M[FW_A-policy-security-rule-isp2_to_http]?destination-zone?dmz?
HRP_M[FW_A-policy-security-rule-isp2_to_http]?destination-address?10.0.10.10?24?
HRP_M[FW_A-policy-security-rule-isp2_to_http]?service?http?
HRP_M[FW_A-policy-security-rule-isp2_to_http]?profile?ips?default?
HRP_M[FW_A-policy-security-rule-isp2_to_http]?action?permit?
HRP_M[FW_A-policy-security-rule-isp2_to_http]?quit?
HRP_M[FW_A-policy-security]?rule?name?isp2_to_ftp?
HRP_M[FW_A-policy-security-rule-isp2_to_ftp]?source-zone?isp2_1?isp2_2?
HRP_M[FW_A-policy-security-rule-isp2_to_ftp]?destination-zone?dmz?
HRP_M[FW_A-policy-security-rule-isp2_to_ftp]?destination-address?10.0.10.11?24?
HRP_M[FW_A-policy-security-rule-isp2_to_ftp]?service?ftp?
HRP_M[FW_A-policy-security-rule-isp2_to_ftp]?profile?ips?default?
HRP_M[FW_A-policy-security-rule-isp2_to_ftp]?action?permit?
HRP_M[FW_A-policy-security-rule-isp2_to_ftp]?quit?
HRP_M[FW_A-policy-security]?rule?name?isp1_to_dns?
HRP_M[FW_A-policy-security-rule-isp2_to_dns]?source-zone?isp2_1?isp2_2?
HRP_M[FW_A-policy-security-rule-isp2_to_dns]?destination-zone?dmz?
HRP_M[FW_A-policy-security-rule-isp2_to_dns]?destination-address?10.0.10.20?24?
HRP_M[FW_A-policy-security-rule-isp2_to_dns]?service?dns?
HRP_M[FW_A-policy-security-rule-isp2_to_dns]?profile?ips?default?
HRP_M[FW_A-policy-security-rule-isp2_to_dns]?action?permit?
HRP_M[FW_A-policy-security-rule-isp2_to_dns]?quit

5.配置Trust區(qū)域到DMZ區(qū)域的安全策略，允許內(nèi)網(wǎng)用戶訪問(wèn)DMZ區(qū)域的Web服務(wù)器、FTP服務(wù)器和DNS服務(wù)器，并進(jìn)行入侵防御檢測(cè)。

HRP_M[FW_A-policy-security]?rule?name?trust_to_http?
HRP_M[FW_A-policy-security-rule-trust_to_http]?source-zone?trust?
HRP_M[FW_A-policy-security-rule-trust_to_http]?destination-zone?dmz?
HRP_M[FW_A-policy-security-rule-trust_to_http]?destination-address?10.0.10.10?24?
HRP_M[FW_A-policy-security-rule-trust_to_http]?service?http?
HRP_M[FW_A-policy-security-rule-trust_to_http]?profile?ips?default?
HRP_M[FW_A-policy-security-rule-trust_to_http]?action?permit?
HRP_M[FW_A-policy-security-rule-trust_to_http]?quit?
HRP_M[FW_A-policy-security]?rule?name?trust_to_ftp?
HRP_M[FW_A-policy-security-rule-trust_to_ftp]?source-zone?trust?
HRP_M[FW_A-policy-security-rule-trust_to_ftp]?destination-zone?dmz?
HRP_M[FW_A-policy-security-rule-trust_to_ftp]?destination-address?10.0.10.11?24?
HRP_M[FW_A-policy-security-rule-trust_to_ftp]?service?ftp?
HRP_M[FW_A-policy-security-rule-trust_to_ftp]?profile?ips?default?
HRP_M[FW_A-policy-security-rule-trust_to_ftp]?action?permit?
HRP_M[FW_A-policy-security-rule-trust_to_ftp]?quit?
HRP_M[FW_A-policy-security]?rule?name?trust_to_dns?
HRP_M[FW_A-policy-security-rule-trust_to_dns]?source-zone?trust?
HRP_M[FW_A-policy-security-rule-trust_to_dns]?destination-zone?dmz?
HRP_M[FW_A-policy-security-rule-trust_to_dns]?destination-address?10.0.10.20?24?
HRP_M[FW_A-policy-security-rule-trust_to_dns]?service?dns?
HRP_M[FW_A-policy-security-rule-trust_to_dns]?profile?ips?default?
HRP_M[FW_A-policy-security-rule-trust_to_dns]?action?permit?
HRP_M[FW_A-policy-security-rule-trust_to_dns]?quit

6.配置Local到DMZ區(qū)域的安全策略，允許防火墻向與日志服務(wù)器發(fā)送日志。

HRP_M[FW_A-policy-security]?rule?name?local_to_logcenter?
HRP_M[FW_A-policy-security-rule-local_to_logcenter]?source-zone?local?
HRP_M[FW_A-policy-security-rule-local_to_logcenter]?destination-zone?dmz?
HRP_M[FW_A-policy-security-rule-local_to_logcenter]?destination-address?10.0.10.30?24?
HRP_M[FW_A-policy-security-rule-local_to_logcenter]?action?permit?
HRP_M[FW_A-policy-security-rule-local_to_logcenter]?quit

7.配置Local到isp1和isp2區(qū)域的安全策略，允許FW連接安全中心升級(jí)特征庫(kù)、發(fā)送健康檢查報(bào)文。

HRP_M[FW_A-policy-security]?rule?name?local_to_isp?
HRP_M[FW_A-policy-security-rule-local_to_isp]?source-zone?local?
HRP_M[FW_A-policy-security-rule-local_to_isp]?destination-zone?isp1_1?isp1_2?isp2_1?isp2_2?
HRP_M[FW_A-policy-security-rule-local_to_isp]?action?permit?
HRP_M[FW_A-policy-security-rule-local_to_isp]?quit?
HRP_M[FW_A-policy-security]?quit

對(duì)于USG6000&USG9500 V500R001C80之前的版本，需要在FW上配置對(duì)應(yīng)的安全策略，允許FW向目的設(shè)備發(fā)送健康檢查探測(cè)報(bào)文。對(duì)于V500R001C80及之后的版本，健康檢查的探測(cè)報(bào)文不受安全策略控制，默認(rèn)放行，無(wú)需配置相應(yīng)安全策略。

8.入侵防御特征庫(kù)和應(yīng)用識(shí)別特征庫(kù)自動(dòng)升級(jí)。

a.確保防火墻已經(jīng)激活支持入侵防御特征庫(kù)升級(jí)服務(wù)器的License。

HRP_M[FW_A]?display?license?
IPS????????:?Enabled;???service?expire?time:?2015/06/12??????????????????????????????

b.配置DNS服務(wù)器，使防火墻能通過(guò)域名訪問(wèn)安全中心。

HRP_M[FW_A]?dns?resolve?
HRP_M[FW_A]?dns?server?1.1.1.222

c.配置特征庫(kù)定時(shí)自動(dòng)升級(jí)。

HRP_M[FW_A]?update?schedule?ips-sdb?enable?
HRP_M[FW_A]?update?schedule?sa-sdb?enable?
HRP_M[FW_A]?update?schedule?ips-sdb?daily?03:00?
HRP_M[FW_A]?update?schedule?sa-sdb?weekly?Mon?03:00

9.配置攻擊防范。

HRP_M[FW_A]?firewall?defend?land?enable?
HRP_M[FW_A]?firewall?defend?smurf?enable?
HRP_M[FW_A]?firewall?defend?fraggle?enable?
HRP_M[FW_A]?firewall?defend?ip-fragment?enable?
HRP_M[FW_A]?firewall?defend?tcp-flag?enable?
HRP_M[FW_A]?firewall?defend?winnuke?enable?
HRP_M[FW_A]?firewall?defend?source-route?enable?
HRP_M[FW_A]?firewall?defend?teardrop?enable?
HRP_M[FW_A]?firewall?defend?route-record?enable?
HRP_M[FW_A]?firewall?defend?time-stamp?enable?
HRP_M[FW_A]?firewall?defend?ping-of-death?enable

4.7 配置用戶溯源

4.7.1 背景信息

防火墻向eLog發(fā)送二進(jìn)制會(huì)話日志、IM日志，eLog采集并存儲(chǔ)、分析日志。根據(jù)這些日志可以獲取用戶NAT前的原始IP、IM上下線記錄等滿足審需求。

4.7.2 操作步驟

1.在FW_A上配置日志主機(jī)。

HRP_M[FW_A]?firewall?log?host?1?10.0.10.30?9002?
HRP_M[FW_A]?firewall?log?source?10.0.5.1?6000

2.在FW_A的安全策略中開(kāi)啟會(huì)話日志功能記錄功能。

HRP_M[FW_A]?security-policy?
HRP_M[FW_A-policy-security]?rule?name?trust_to_isp1?
HRP_M[FW_A-policy-security-rule-trust_to_isp1]?session?logging?
HRP_M[FW_A-policy-security-rule-trust_to_isp1]?quit?
HRP_M[FW_A-policy-security]?rule?name?trust_to_isp2?
HRP_M[FW_A-policy-security-rule-trust_to_isp2]?session?logging?
HRP_M[FW_A-policy-security-rule-trust_to_isp2]?quit?
HRP_M[FW_A-policy-security]?quit

3.在FW_A上開(kāi)啟IM日志發(fā)送功能。

HRP_M[FW_A]?firewall?log?im?enable

4.在FW_B上配置向日志主機(jī)發(fā)送日志的源IP和端口，此配置不支持備份。

HRP_S[FW_B]?firewall?log?source?10.0.6.1?6000

5.在FW_A上配置SNMP V3。

HRP_M[FW_A]?snmp-agent?sys-info?version?v3?
HRP_M[FW_A]?snmp-agent?group?v3?NMS1?privacy?
HRP_M[FW_A]?snmp-agent?usm-user?v3?admin1?group?NMS1?
HRP_M[FW_A]?snmp-agent?usm-user?v3?admin1?authentication-mode?md5?cipher?Admin@123abcdefg1234567890abccba10?
HRP_M[FW_A]?snmp-agent?usm-user?v3?admin1?privacy-mode?aes256?cipher?Admin@123abcdefg1234567890abccba10

6.在FW_B上配置SNMP V3，此配置不支持備份。

HRP_S[FW_B]?snmp-agent?sys-info?version?v3?
HRP_S[FW_B]?snmp-agent?group?v3?NMS1?privacy?
HRP_S[FW_B]?snmp-agent?usm-user?v3?admin1?group?NMS1?
HRP_S[FW_B]?snmp-agent?usm-user?v3?admin1?authentication-mode?md5?cipher?Admin@123abcdefg1234567890abccba10?
HRP_S[FW_B]?snmp-agent?usm-user?v3?admin1?privacy-mode?aes256?cipher?Admin@123abcdefg1234567890abccba10

7.eLog配置完成后，在eLog上選擇“日志分析 > 會(huì)話分析 > IPv4會(huì)話日志”，可以查看會(huì)話日志。選擇“日志分析 > 網(wǎng)絡(luò)安全分析 > 即時(shí)通信”，可以查看IM日志。

4.8 查看流量統(tǒng)計(jì)

4.8.1 操作步驟

1.登錄Web配置界面。

2.在面板中查看接口或整機(jī)流量趨勢(shì)。

3.對(duì)于USG6000，如果安裝有硬盤(pán)還可以選擇“監(jiān)控 > 報(bào)表 > 流量報(bào)表”查看流量報(bào)表?？梢曰诘刂?、應(yīng)用等查詢流量趨勢(shì)。

4.9 結(jié)果驗(yàn)證

• 內(nèi)網(wǎng)用戶可以正常訪問(wèn)Internet。
• 外網(wǎng)用戶可以通過(guò)公網(wǎng)IP訪問(wèn)內(nèi)網(wǎng)服務(wù)器。
• eLog可以獲取防火墻會(huì)話日志。
• 在主防火墻的接口GigabitEthernet 1/0/1上執(zhí)行shutdown命令，模擬鏈路故障，發(fā)現(xiàn)主備正常倒換，業(yè)務(wù)不會(huì)中斷。

五、方案總結(jié)與建議

5.1 方案總結(jié)

本案例介紹了防火墻部署在廣電網(wǎng)絡(luò)出口的組網(wǎng)規(guī)劃及部署，實(shí)際可以根據(jù)需求選擇配置的功能。該方案有如下幾點(diǎn)總結(jié)：

• 網(wǎng)絡(luò)部署上采取了雙機(jī)熱備部署方式，上行連接交換機(jī)部署VRRP，下行連接路由器運(yùn)行OSPF。實(shí)際還可能上行也部署出口路由器運(yùn)行OSPF。本案例中的部署方式尤其注意防火墻上行接口需規(guī)劃公網(wǎng)地址，否則無(wú)法指定接口網(wǎng)關(guān)。
• 多出口智能選路是廣電出口的重要需求，本例通過(guò)如下方式實(shí)現(xiàn)需求：

  • 出站：本例通過(guò)多出口策略路由實(shí)現(xiàn)了兩個(gè)需求，目的地址屬于哪個(gè)ISP就從哪條鏈路轉(zhuǎn)發(fā)、屬于同一個(gè)ISP的流量在該ISP的多條鏈路間按權(quán)重負(fù)載分擔(dān)。
  • 入站：配置NAT Server向不同ISP公布不同的服務(wù)器公網(wǎng)IP地址。同時(shí)如果為服務(wù)器提供域名解析的DNS服務(wù)器部署在內(nèi)網(wǎng)，防火墻還提供了智能DNS功能使各ISP的外網(wǎng)用戶能夠解析到自己ISP為服務(wù)器分配的地址，從而提高訪問(wèn)服務(wù)器的速度。

5.2 其他配置建議

本例中使用了最常用的NAPT進(jìn)行地址轉(zhuǎn)換，如果網(wǎng)絡(luò)中P2P流量較多可以選擇配置三元組NAT節(jié)省二級(jí)運(yùn)營(yíng)商的運(yùn)營(yíng)資費(fèi)。

文件共享、語(yǔ)音通信、視頻等P2P應(yīng)用的實(shí)現(xiàn)原理都是先從服務(wù)器獲取對(duì)端的IP和端口，然后直接與對(duì)方建立連接。此時(shí)NAPT與P2P不能很好地共存。

例如：內(nèi)網(wǎng)PC1首先和外網(wǎng)的P2P服務(wù)器進(jìn)行交互（登錄、認(rèn)證等操作），防火墻會(huì)對(duì)PC1訪問(wèn)P2P服務(wù)器的報(bào)文進(jìn)行NAPT方式的轉(zhuǎn)換，P2P服務(wù)器記錄PC1經(jīng)過(guò)轉(zhuǎn)換后的公網(wǎng)地址和端口。當(dāng)PC2需要下載文件時(shí)，服務(wù)器會(huì)將PC1的地址和端口發(fā)給PC2，然后PC2從PC1上下載文件。但是因?yàn)镻C2訪問(wèn)PC1無(wú)法匹配會(huì)話表而被防火墻拒絕訪問(wèn)，PC2就只能再向其他主機(jī)請(qǐng)求資源文件。

這樣如果PC1和PC2都位于內(nèi)網(wǎng)，PC2卻只能向外網(wǎng)主機(jī)請(qǐng)求資源文件。這樣當(dāng)有大量的內(nèi)網(wǎng)用戶進(jìn)行P2P下載時(shí)，這種業(yè)務(wù)就會(huì)占用很多運(yùn)營(yíng)商帶寬，而且浪費(fèi)了二級(jí)運(yùn)營(yíng)商的流量資費(fèi)。同時(shí)，對(duì)于跨網(wǎng)絡(luò)訪問(wèn)，用戶的下載體驗(yàn)也不佳。

三元組NAT可以解決此問(wèn)題，無(wú)論P(yáng)C1是否訪問(wèn)過(guò)PC2，只要PC2獲取到PC1經(jīng)過(guò)NAT轉(zhuǎn)換后的地址和端口，就可以主動(dòng)向該地址和端口發(fā)起訪問(wèn)。防火墻上即使沒(méi)有配置相應(yīng)的安全策略，也允許此類訪問(wèn)報(bào)文通過(guò)。兩臺(tái)內(nèi)網(wǎng)PC可以不通過(guò)外網(wǎng)直接進(jìn)行P2P下載，節(jié)約了二級(jí)運(yùn)營(yíng)商的流量資費(fèi)。

三元組NAT配置與NAPT配置差異不大，只是指定地址池類型為full-cone類型。

HRP_M[FW_A]?nat?address-group?pool_isp1
HRP_M[FW_A-address-group-pool_isp1]?mode?full-cone?global
HRP_M[FW_A-address-group-pool_isp1]?section?1.1.1.10?1.1.1.12
HRP_M[FW_A-address-group-isp1]?quit

對(duì)于USG9500配置三元組NAT前，必須保證HASH選板模式為源地址HASH模式。具體的配置命令如下：

[FW]?firewall?hash-mode?source-only

配置完成后需要重新啟動(dòng)設(shè)備才能生效。文章來(lái)源地址http://www.zghlxwxcb.cn/news/detail-675490.html