防火墙在金融数据中心安全方案中的应用_数据中心防火墙

一、方案简介

数据中心承载着企业的核心业务、存储海量的业务数据，是企业正常生产和运行的关键资源，因此数据中心的网络安全显得尤为重要。

华为金融数据中心方案通常采用模块化和层次化设计。模块化设计是将整个数据中心网络划分成多个分区，并通过防火墙保证业务的安全隔离。层次化设计是指整个网络采用核心层、汇聚层、接入层的设计，使网络具备横向弹性，易扩展。

为了保证数据中心网络和内部服务器安全，通常需要在数据中心网络中部署防火墙产品，提供网络安全隔离、访问控制、攻击防范和入侵防御等功能。

如图1所示，金融数据中心解决方案中，防火墙主要部署在三个位置：数据中心出口、内网接入区、互联网出口。不同位置的防火墙提供不同的安全防护功能。

二、数据中心出口防火墙

2.1 典型组网

如图2所示为数据中心出口防火墙的典型组网。

• 核心交换机SW1/SW2堆叠组网、汇聚交换机SW3/SW4堆叠组网。防火墙位于核心交换机和汇聚交换机之间，三层接入并启用主备备份方式的双机热备。
• 防火墙连接上下行设备的接口上配置VRRP，防火墙使用VRRP虚拟IP地址与上下行设备通信。
• 防火墙上配置静态路由，引导流量的转发。

2.2 业务规划

2.2.1 防火墙接口规划

FW-1的接口规划：

FW-2的接口规划：

2.2.2 防火墙IP地址规划

2.2.3 防火墙安全区域规划

2.2.4 防火墙安全策略规划

地址组

自定义服务

安全策略

“default”是设备默认存在的缺省安全策略，如果流量没有匹配到管理员定义的安全策略，就会命中缺省安全策略（条件均为any，动作默认为禁止）。如果需要控制只有某些IP可以访问服务器，则需要保持缺省安全策略的禁止动作，然后配置允许哪些IP访问服务器的安全策略。

双机热备心跳报文不受安全策略控制，不需要针对心跳报文配置安全策略。

2.2.5 防火墙长连接

延长协议的会话老化时间来实现长连接。

通过Long-link功能实现长连接。

延长协议的会话老化时间来实现长连接与Long-link功能相比，配置更简单。而Long-link功能可以细化保持长连接的条件，仅对特定的流量保持长连接。延长协议的会话老化时间是全局配置，对所有该类型的协议都生效。这会导致一些不需要保持长连接的会话长时间得不到老化，占用大量的会话表项资源。一旦会话表项资源耗尽，将无法再继续新建业务。

因此，确认某个协议的所有会话都要保持一个较长的老化时间时，可以使用延长该协议的会话老化时间的方法来实现长连接。否则，请使用Long-link功能实现长连接。

Long-link功能仅对基于TCP协议的连接有效。

2.2.6 防火墙路由规划

防火墙上配置静态路由，具体如下：

2.2.7 安全防护规划

攻击防范规划

为了保证内部网络免受网络攻击侵袭，需要在防火墙上配置攻击防范功能。

一般情况下，推荐防火墙配置以下攻击防范：

• Smurf攻击防范
• Land攻击防范
• Fraggle攻击防范
• Ping of Death攻击防范
• WinNuke攻击防范
• 带路由记录项的IP报文攻击防范
• 带源路由选项的IP报文攻击防范
• 带时间戳选项的IP报文攻击防范
• SYN Flood攻击防范
• UDP Flood攻击防范
• ICMP Flood攻击防范

在实际部署时，对于以上Flood类型的攻击，接口的攻击报文的最大速率可以先配置一个较大的取值，然后一边观察一边调小取值，直到调整至合适的范围（原则是既很好的限制了攻击，又不影响正常业务）。

IPS规划

为了保证内部网络免受黑客、僵尸、木马、蠕虫等的侵袭，需要在防火墙上配置IPS功能。

IPS功能可以部署在防火墙上，可以通过单独的IPS设备部署。

IPS和功能的配置方式是在配置安全策略时引用IPS配置文件。在本案例中，我们需要在上述配置的安全策略中都引用IPS配置文件，即对安全策略允许通过的流量都进行IPS检测。

一般情况下，在初始部署防火墙时，选择缺省的IPS配置文件default即可。防火墙运行一段时间后，管理员可以根据网络运行状况，自定义配置文件。IPS还支持缺省的配置文件ids，即只对入侵报文产生告警，不阻断。如果对安全性要求不是很高，为了降低IPS误报的风险，可以选择ids配置文件。

2.3 注意事项

2.3.1 IPS

配置IPS功能前需要确保IPS特征库为最新版本。

2.3.2 攻击防范

本案例的攻击防范配置为推荐的标准配置。

2.3.3 策略备份加速

当策略数量较多时（比如超过500条），为了提升策略加速期间的匹配效率，需要开启备份加速功能。但是开启该功能后，新配置的策略需要等待策略备份加速完成后才能生效。

2.4 配置步骤

配置接口的IP地址，并将接口加入安全区域。

配置FW-1的Eth-Trunk接口。

<sysname> system-view 
[sysname] sysname FW-1 
[FW-1] interface Eth-Trunk 1 
[FW-1-Eth-Trunk1] description Link_To_CoreSwitch_SW1 
[FW-1-Eth-Trunk1] trunkport GigabitEthernet 1/0/1 
[FW-1-Eth-Trunk1] trunkport GigabitEthernet 1/0/2 
[FW-1-Eth-Trunk1] ip address 10.6.1.2 29 
[FW-1-Eth-Trunk1] quit 
[FW-1] interface Eth-Trunk 2 
[FW-1-Eth-Trunk2] description Link_To_Aggregation_SW3 
[FW-1-Eth-Trunk2] trunkport GigabitEthernet 1/0/3 
[FW-1-Eth-Trunk2] trunkport GigabitEthernet 1/0/4 
[FW-1-Eth-Trunk2] ip address 10.7.1.2 29 
[FW-1-Eth-Trunk2] quit 
[FW-1] interface Eth-Trunk 0 
[FW-1-Eth-Trunk0] description HRP_Interface 
[FW-1-Eth-Trunk0] trunkport GigabitEthernet 1/0/5 
[FW-1-Eth-Trunk0] trunkport GigabitEthernet 1/0/6 
[FW-1-Eth-Trunk0] ip address 11.11.11.1 24 
[FW-1-Eth-Trunk0] quit
1

配置FW-2的Eth-Trunk接口。

<sysname> system-view 
[sysname] sysname FW-2 
[FW-2] interface Eth-Trunk 1 
[FW-2-Eth-Trunk1] description Link_To_CoreSwitch_SW2 
[FW-2-Eth-Trunk1] trunkport GigabitEthernet 1/0/1 
[FW-2-Eth-Trunk1] trunkport GigabitEthernet 1/0/2 
[FW-2-Eth-Trunk1] ip address 10.6.1.3 29 
[FW-2-Eth-Trunk1] quit 
[FW-2] interface Eth-Trunk 2 
[FW-2-Eth-Trunk2] description Link_To_Aggregation_SW4 
[FW-2-Eth-Trunk2] trunkport GigabitEthernet 1/0/3 
[FW-2-Eth-Trunk2] trunkport GigabitEthernet 1/0/4 
[FW-2-Eth-Trunk2] ip address 10.7.1.3 29 
[FW-2-Eth-Trunk2] quit 
[FW-2] interface Eth-Trunk 0 
[FW-2-Eth-Trunk0] description HRP_Interface 
[FW-2-Eth-Trunk0] trunkport GigabitEthernet 1/0/5 
[FW-2-Eth-Trunk0] trunkport GigabitEthernet 1/0/6 
[FW-2-Eth-Trunk0] ip address 11.11.11.2 24 
[FW-2-Eth-Trunk0] quit
1

将FW-1的各接口加入相应的安全区域。

[FW-1] firewall zone trust 
[FW-1-zone-trust] add interface Eth-Trunk 2 
[FW-1-zone-trust] quit 
[FW-1] firewall zone untrust 
[FW-1-zone-untrust] add interface Eth-Trunk 1 
[FW-1-zone-untrust] quit 
[FW-1] firewall zone dmz 
[FW-1-zone-dmz] add interface Eth-Trunk 0 
[FW-1-zone-dmz] quit
1

将FW-2的各接口加入相应的安全区域。

[FW-2] firewall zone trust 
[FW-2-zone-trust] add interface Eth-Trunk 2 
[FW-2-zone-trust] quit 
[FW-2] firewall zone untrust 
[FW-2-zone-untrust] add interface Eth-Trunk 1 
[FW-2-zone-untrust] quit 
[FW-2] firewall zone dmz 
[FW-2-zone-dmz] add interface Eth-Trunk 0 
[FW-2-zone-dmz] quit
1

2.配置静态路由。

在FW-1上配置到数据中心业务服务区的静态路由，下一跳为汇聚交换机的IP地址。

[FW-1] ip route-static 10.1.0.0 255.255.0.0 10.7.1.4 
[FW-1] ip route-static 10.2.0.0 255.255.0.0 10.7.1.4 
[FW-1] ip route-static 10.3.0.0 255.255.0.0 10.7.1.4
1

在FW-2上配置到数据中心业务服务区的静态路由，下一跳为汇聚交换机的IP地址。

[FW-2] ip route-static 10.1.0.0 255.255.0.0 10.7.1.4 
[FW-2] ip route-static 10.2.0.0 255.255.0.0 10.7.1.4 
[FW-2] ip route-static 10.3.0.0 255.255.0.0 10.7.1.4
1

在FW-1上配置到出差员工SSL VPN接入终端、分支机构、合作伙伴的静态路由，下一跳为核心交换机的IP地址。

[FW-1] ip route-static 172.168.3.0 255.255.255.0 10.6.1.4 
[FW-1] ip route-static 172.168.4.0 255.255.255.0 10.6.1.4 
[FW-1] ip route-static 10.8.1.0 255.255.255.0 10.6.1.4 
[FW-1] ip route-static 10.9.1.0 255.255.255.0 10.6.1.4
1

在FW-2上配置到出差员工SSL VPN接入终端、分支机构、合作伙伴的静态路由，下一跳为核心交换机的IP地址。

[FW-2] ip route-static 172.168.3.0 255.255.255.0 10.6.1.4 
[FW-2] ip route-static 172.168.4.0 255.255.255.0 10.6.1.4 
[FW-2] ip route-static 10.8.1.0 255.255.255.0 10.6.1.4 
[FW-2] ip route-static 10.9.1.0 255.255.255.0 10.6.1.4
1

3.配置双机热备。

在FW-1的上行接口Eth-Trunk1上配置VRRP备份组1，并设置状态为Active。

[FW-1] interface Eth-Trunk1 
[FW-1-Eth-Trunk1] vrrp vrid 1 virtual-ip 10.6.1.1 active 
[FW-1-Eth-Trunk1] quit
1

在FW-1的下行接口Eth-Trunk2上配置VRRP备份组2，并设置状态为Active。

[FW-1] interface Eth-Trunk2 
[FW-1-Eth-Trunk2] vrrp vrid 2 virtual-ip 10.7.1.1 active 
[FW-1-Eth-Trunk2] quit
1

在FW-1上指定Eth-Trunk0为心跳口，并启用双机热备。

[FW-1] hrp interface Eth-Trunk0 remote 11.11.1.2 
[FW-1] hrp enable
1

在FW-2的上行接口Eth-Trunk1上配置VRRP备份组1，并设置状态为Standby。

[FW-2] interface Eth-Trunk1 
[FW-2-Eth-Trunk1] vrrp vrid 1 virtual-ip 10.6.1.1 standby 
[FW-2-Eth-Trunk1] quit
1

在FW-2的下行接口Eth-Trunk2上配置VRRP备份组2，并设置状态为Standby。

[FW-2] interface Eth-Trunk2 
[FW-2-Eth-Trunk2] vrrp vrid 2 virtual-ip 10.7.1.1 standby 
[FW-2-Eth-Trunk2] quit
1

在FW-2上指定Eth-Trunk0为心跳口，并启用双机热备。

[FW-2] hrp interface Eth-Trunk0 remote 11.11.11.1 
[FW-2] hrp enable
1

4.配置安全策略和IPS。

双机热备功能配置完成后，安全策略和攻击防范等功能只需要在主用设备FW-1上配置即可。FW-1上的配置会自动备份到FW-2上。

在FW-1上配置地址组。

HRP_M[FW-1] ip address-set remote_users type object 
HRP_M[FW-1-object-address-set-remote_users] address 0 172.168.3.0 mask 24 
HRP_M[FW-1-object-address-set-remote_users] description "for remote users" 
HRP_M[FW-1-object-address-set-remote_users] quit 
HRP_M[FW-1] ip address-set partner type object 
HRP_M[FW-1-object-address-set-partner] address 0 172.168.4.0 mask 24 
HRP_M[FW-1-object-address-set-partner] description "for partner" 
HRP_M[FW-1-object-address-set-partner] quit 
HRP_M[FW-1] ip address-set branch1 type object 
HRP_M[FW-1-object-address-set-branch1] address 0 10.8.1.0 mask 24 
HRP_M[FW-1-object-address-set-branch1] description "for branch1" 
HRP_M[FW-1-object-address-set-branch1] quit 
HRP_M[FW-1] ip address-set branch2 type object 
HRP_M[FW-1-object-address-set-branch2] address 0 10.9.1.0 mask 24 
HRP_M[FW-1-object-address-set-branch2] description "for branch2" 
HRP_M[FW-1-object-address-set-branch2] quit 
HRP_M[FW-1] ip address-set server1 type object 
HRP_M[FW-1-object-address-set-server1] address 0 10.1.1.10 mask 32 
HRP_M[FW-1-object-address-set-server1] address 1 10.1.1.11 mask 32 
HRP_M[FW-1-object-address-set-server1] description "for server1" 
HRP_M[FW-1-object-address-set-server1] quit 
HRP_M[FW-1] ip address-set server2 type object 
HRP_M[FW-1-object-address-set-server2] address 0 10.2.1.4 mask 32 
HRP_M[FW-1-object-address-set-server2] address 1 10.2.1.5 mask 32 
HRP_M[FW-1-object-address-set-server2] description "for server2" 
HRP_M[FW-1-object-address-set-server2] quit 
HRP_M[FW-1] ip address-set server3 type object 
HRP_M[FW-1-object-address-set-server3] address 0 10.1.2.4 mask 32 
HRP_M[FW-1-object-address-set-server3] address 1 10.1.2.5 mask 32 
HRP_M[FW-1-object-address-set-server3] description "for server3" 
HRP_M[FW-1-object-address-set-server3] quit 
HRP_M[FW-1] ip address-set server4 type object 
HRP_M[FW-1-object-address-set-server4] address 0 10.1.1.4 mask 32 
HRP_M[FW-1-object-address-set-server4] address 1 10.1.1.5 mask 32 
HRP_M[FW-1-object-address-set-server4] description "for server4" 
HRP_M[FW-1-object-address-set-server4] quit
1

在FW-1上配置服务集。

HRP_M[FW-1] ip service-set tcp_1414 type object 
HRP_M[FW-1-object-service-set-tcp_1414] service 0 protocol tcp destination-port 1414 
HRP_M[FW-1-object-service-set-tcp_1414] quit 
HRP_M[FW-1] ip service-set tcp_8888_9000 type object 
HRP_M[FW-1-object-service-set-tcp_8888_9000] service 0 protocol tcp destination-port 8888 
HRP_M[FW-1-object-service-set-tcp_8888_9000] service 1 protocol tcp destination-port 9000 
HRP_M[FW-1-object-service-set-tcp_8888_9000] quit
1

在FW-1上配置安全策略remote_users_to_server1，并引用IPS安全配置文件。

HRP_M[FW-1] security-policy 
HRP_M[FW-1-policy-security] rule name remote_users_to_server1 
HRP_M[FW-1-policy-security-rule-to_remote_users_to_server1] source-zone untrust  
HRP_M[FW-1-policy-security-rule-to_remote_users_to_server1] destination-zone trust  
HRP_M[FW-1-policy-security-rule-to_remote_users_to_server1] source-address address-set remote_users  
HRP_M[FW-1-policy-security-rule-to_remote_users_to_server1] destination-address address-set server1  
HRP_M[FW-1-policy-security-rule-to_remote_users_to_server1] service ftp http 
HRP_M[FW-1-policy-security-rule-to_remote_users_to_server1] action permit 
HRP_M[FW-1-policy-security-rule-to_remote_users_to_server1] profile ips default 
HRP_M[FW-1-policy-security-rule-to_remote_users_to_server1] quit
1

在FW-1上配置安全策略partner_to_server2，并引用IPS安全配置文件。

HRP_M[FW-1-policy-security] rule name partner_to_server2 
HRP_M[FW-1-policy-security-rule-partner_to_server2] source-zone untrust  
HRP_M[FW-1-policy-security-rule-partner_to_server2] destination-zone trust  
HRP_M[FW-1-policy-security-rule-partner_to_server2] source-address address-set partner  
HRP_M[FW-1-policy-security-rule-partner_to_server2] destination-address address-set server2  
HRP_M[FW-1-policy-security-rule-partner_to_server2] service tcp_1414 
HRP_M[FW-1-policy-security-rule-partner_to_server2] action permit 
HRP_M[FW-1-policy-security-rule-partner_to_server2] profile ips default 
HRP_M[FW-1-policy-security-rule-partner_to_server2] quit
1

在FW-1上配置安全策略branch1_to_server3，并引用IPS安全配置文件。

HRP_M[FW-1-policy-security] rule name branch1_to_server3 
HRP_M[FW-1-policy-security-rule-branch1_to_server3] source-zone untrust  
HRP_M[FW-1-policy-security-rule-branch1_to_server3] destination-zone trust  
HRP_M[FW-1-policy-security-rule-branch1_to_server3] source-address address-set branch1  
HRP_M[FW-1-policy-security-rule-branch1_to_server3] destination-address address-set server3  
HRP_M[FW-1-policy-security-rule-branch1_to_server3] service tcp_8888_9000 
HRP_M[FW-1-policy-security-rule-branch1_to_server3] action permit 
HRP_M[FW-1-policy-security-rule-branch1_to_server3] profile ips default 
HRP_M[FW-1-policy-security-rule-branch1_to_server3] quit
1

在FW-1上配置安全策略branch2_to_server4，并引用IPS安全配置文件。

HRP_M[FW-1-policy-security] rule name branch2_to_server4 
HRP_M[FW-1-policy-security-rule-branch2_to_server4] source-zone untrust  
HRP_M[FW-1-policy-security-rule-branch2_to_server4] destination-zone trust  
HRP_M[FW-1-policy-security-rule-branch2_to_server4] source-address address-set branch2  
HRP_M[FW-1-policy-security-rule-branch2_to_server4] destination-address address-set server4  
HRP_M[FW-1-policy-security-rule-branch2_to_server4] service ftp 
HRP_M[FW-1-policy-security-rule-branch2_to_server4] action permit 
HRP_M[FW-1-policy-security-rule-branch2_to_server4] profile ips default 
HRP_M[FW-1-policy-security-rule-branch2_to_server4] quit 
HRP_M[FW-1-policy-security] quit
1

5.配置长连接。

修改tcp_1414的会话老化时间为40000秒。

HRP_M[FW-1] firewall session aging-time service-set tcp_1414 40000
1

在安全策略branch2_to_server4中启用长连接功能，将命中该策略的连接的老化时间修改为480小时。

HRP_M[FW-1] security-policy 
HRP_M[FW-1-policy-security] rule name branch2_to_server4 
HRP_M[FW-1-policy-security-rule-branch2_to_server4] long-link enable 
HRP_M[FW-1-policy-security-rule-branch2_to_server4] long-link aging-time 480 
HRP_M[FW-1-policy-security-rule-branch2_to_server4] quit 
HRP_M[FW-1-policy-security] quit
1

6.配置攻击防范。

在FW-1上配置单包攻击防范功能。

HRP_M[FW-1] firewall defend land enable 
HRP_M[FW-1] firewall defend smurf enable 
HRP_M[FW-1] firewall defend fraggle enable 
HRP_M[FW-1] firewall defend ip-fragment enable 
HRP_M[FW-1] firewall defend tcp-flag enable 
HRP_M[FW-1] firewall defend winnuke enable 
HRP_M[FW-1] firewall defend source-route enable 
HRP_M[FW-1] firewall defend teardrop enable 
HRP_M[FW-1] firewall defend route-record enable 
HRP_M[FW-1] firewall defend time-stamp enable 
HRP_M[FW-1] firewall defend ping-of-death enable
1

7.配置策略备份加速。

当策略数量较多时（比如超过500条），为了提升策略加速期间的匹配效率，需要开启备份加速功能。但是开启该功能后，新配置的策略需要等待策略备份加速完成后才能生效。

HRP_M[FW-1] policy accelerate standby enable
1

2.5 结果验证

1.在FW-1和FW-2上分别执行display hrp state verbose命令，查看双机热备的状态。

HRP_M<FW-1> display hrp state verboseRole: active, peer: standby 
 Running priority: 45000, peer: 45000 
 Backup channel usage: 0.00% 
 Stable time: 0 days, 3 hours, 8 minutes 
 Last state change information: 2016-05-14 11:18:13 HRP core state changed, old_state = abnormal(active), new_state = normal, local_priority = 45000, peer_priority = 45000. 
 
 Configuration: 
 hello interval:              1000ms 
 preempt:                     60s 
 mirror configuration:        off 
 mirror session:              off 
 track trunk member:          on 
 auto-sync configuration:     on 
 auto-sync connection-status: on 
 adjust ospf-cost:            on 
 adjust ospfv3-cost:          on 
 adjust bgp-cost:             on 
 nat resource:                off 
 
 Detail information: 
                     Eth-Trunk1 vrrp vrid 1: active 
                     Eth-Trunk2 vrrp vrid 2: active 
                       GigabitEthernet1/0/1: up 
                       GigabitEthernet1/0/2: up 
                       GigabitEthernet1/0/3: up 
                       GigabitEthernet1/0/4: up 
                                  ospf-cost: +0 
                                ospfv3-cost: +0 
                                   bgp-cost: +0
HRP_S<FW-2> display hrp state verboseRole: standby, peer: active 
 Running priority: 45000, peer: 45000 
 Backup channel usage: 0.00% 
 Stable time: 0 days, 3 hours, 8 minutes 
 Last state change information: 2016-05-14 11:18:18 HRP core state changed, old_state = abnormal(standby), new_state = normal, local_priority = 45000, peer_priority = 45000. 
 
 Configuration: 
 hello interval:              1000ms 
 preempt:                     60s 
 mirror configuration:        off 
 mirror session:              off 
 track trunk member:          on 
 auto-sync configuration:     on 
 auto-sync connection-status: on 
 adjust ospf-cost:            on 
 adjust ospfv3-cost:          on 
 adjust bgp-cost:             on 
 nat resource:                off 
 
 Detail information: 
                     Eth-Trunk1 vrrp vrid 1: standby 
                     Eth-Trunk2 vrrp vrid 2: standby 
                       GigabitEthernet1/0/1: up 
                       GigabitEthernet1/0/2: up 
                       GigabitEthernet1/0/3: up 
                       GigabitEthernet1/0/4: up 
                                  ospf-cost: +65500 
                                ospfv3-cost: +65500 
                                   bgp-cost: +100
1

2.双机倒换测试。

在untrust区域的PC上长ping服务器的IP地址，然后将FW-1的Eth-trunk1接口shutdown，观察FW状态切换及ping包丢包情况。如果切换正常，FW-2会立即切换为主机承载业务。FW-2命令行提示符前的前缀由HRP_S变为HRP_M，FW-1命令行提示符前的前缀由HRP_M变为HRP_S。ping包不丢包或出现若干个丢包（一般是1到3个包，实际视网络环境而定）。 再将FW-1的Eth-trunk1接口undo shutdown，观察FW状态切换及ping包丢包情况。如果切换正常，在抢占延迟时间到达（缺省是60s）后，FW-1会重新切换为主机承载业务。FW-1命令行提示符前的前缀由HRP_S变为HRP_M，FW-2命令行提示符前的前缀由HRP_M变为HRP_S。ping包不丢包或出现若干个丢包（一般是1到3个包，实际视网络环境而定）。

3.检查IPS特征库的配置信息和升级信息。

使用display update configuration命令查看当前升级特征库的配置信息。

HRP_M<FW-1> display update configuration 
Update Configuration Information: 
------------------------------------------------------------
  Update Server               : sec.huawei.com  
  Update Port                 : 80
  Proxy State                 : disable   
  Proxy Server                : - 
  Proxy Port                  : - 
  Proxy User                  : - 
  Proxy Password              : - 
  IPS-SDB:                        
    Application Confirmation  : Disable  
    Schedule Update           : Enable
    Schedule Update Frequency : Daily 
    Schedule Update Time      : 02:30 
  AV-SDB:                 
    Application Confirmation  : Disable 
    Schedule Update           : Enable  
    Schedule Update Frequency : Daily   
    Schedule Update Time      : 02:30 
  SA-SDB:  
    Application Confirmation  : Disable 
    Schedule Update           : Enable   
    Schedule Update Frequency : Daily  
    Schedule Update Time      : 02:30 
  IP-REPUTATION:
    Application Confirmation  : Disable
    Schedule Update           : Enable  
    Schedule Update Frequency : Daily   
    Schedule Update Time      : 02:30   
  CNC:   
    Application Confirmation  : Disable  
    Schedule Update           : Enable   
    Schedule Update Frequency : Daily  
    Schedule Update Time      : 02:30   
1

使用display version ips-sdb命令查看IPS特征库的信息。

HRP_M<FW-1> display version ips-sdb 
IPS SDB Update Information List:                                        
  Current Version:                                                               
    Signature Database Version    : 2016050703                                   
    Signature Database Size(byte) : 2659606                                      
    Update Time                   : 02:30:00 2016/05/08                          
    Issue Time of the Update File : 16:06:30 2016/05/07                          
                                                                                 
  Backup Version:                                                                
    Signature Database Version    :                                              
    Signature Database Size(byte) : 0                                            
    Update Time                   : 00:00:00 0000/00/00                          
    Issue Time of the Update File : 00:00:00 0000/00/00                          
----------------------------------------------------------------                 
IPS Engine Information List:                                                     
----------------------------------------------------------------                 
  Current Version:                                                               
    IPS Engine Version            : V200R002C00SPC060                            
    IPS Engine Size(byte)         : 3145728                                      
    Update Time                   : 02:30:00 2016/05/08                          
    Issue Time of the Update File : 16:06:30 2016/05/07                          
                                                                                 
  Backup Version:                                                                
    IPS Engine Version            :                                              
    IPS Engine Size(byte)         : 0                                            
    Update Time                   : 00:00:00 0000/00/00                          
    Issue Time of the Update File : 00:00:00 0000/00/00                          
----------------------------------------------------------------  
1

4.验证各个区域用户对数据中心的网络访问权限。

如果访问控制权限能够达到“业务规划”中安全策略规划的需求，则证明配置成功。

三、内网接入区防火墙

3.1 典型组网

如图3所示，防火墙挂接在核心交换机作为Agile Controller的硬件SACG。在分支机构1的用户访问数据中心的业务服务区时，防火墙和Agile Controller配合，对用户进行准入控制并实现如下需求：

• 为保护数据中心业务服务区安全，防止非本公司人员以及不安全的终端主机接入，只有身份认证和终端主机安全检查通过才允许访问保护数据中心业务服务区。
• 数据中心业务服务区属于核心资源，只允许员工在上班时间段访问。
• 希望方案部署过程对现有网络影响最小；整个网络业务优先原则，如果准入控制系统失效，业务不能中断。

将数据中心内网按逻辑划分为认证前域、隔离域和后域。

• 前域是指终端主机在通过身份认证之前能够访问的区域，如DNS服务器、外部认证源、业务控制器（SC）、业务管理器（SM）。
• 隔离域是指在终端用户通过了身份认证但未通过安全认证时允许访问的区域，如补丁服务器、病毒库服务器。
• 后域是指终端用户通过了身份认证和安全认证后能够访问的区域，即数据中心业务服务区。

3.2 业务规划

3.2.1 防火墙接口规划

3.2.2 防火墙IP地址规划

3.2.3 防火墙安全区域规划

3.2.4 防火墙安全策略规划

3.2.5 防火墙路由规划

防火墙上配置静态路由，具体如下：

3.2.6 Agile Controller数据规划

3.2.7 Agile Controller用户数据规划

3.3 注意事项

关闭防火墙状态检测功能。

3.4 配置步骤

配置接口的IP地址，并将接口加入安全区域。

配置FW-3的接口IP地址。

<sysname> system-view 
[sysname] sysname FW-3 
[FW-3] interface GigabitEthernet 1/0/1 
[FW-3-GigabitEthernet1/0/1] description SACG1_To_Coreswitch1_GE1/1/0/3 
[FW-3-GigabitEthernet1/0/1] ip address 10.4.1.2 29 
[FW-3-GigabitEthernet1/0/1] quit 
[FW-3] interface GigabitEthernet 1/0/2 
[FW-3-GigabitEthernet1/0/2] description SACG1_To_Coreswitch1_GE1/1/0/4 
[FW-3-GigabitEthernet1/0/2] ip address 10.5.1.2 29 
[FW-3-GigabitEthernet1/0/2] quit 
[FW-3] interface GigabitEthernet 1/0/3 
[FW-3-GigabitEthernet1/0/3] description hrp_interface 
[FW-3-GigabitEthernet1/0/3] ip address 10.10.10.1 24 
[FW-3-GigabitEthernet1/0/3] quit
1

配置FW-4的接口IP地址。

<sysname> system-view 
[sysname] sysname FW-4 
[FW-4] interface GigabitEthernet 1/0/1 
[FW-4-GigabitEthernet1/0/1] description SACG2_To_Coreswitch2_GE2/1/0/3 
[FW-4-GigabitEthernet1/0/1] ip address 10.4.1.3 29 
[FW-4-GigabitEthernet1/0/1] quit 
[FW-4] interface GigabitEthernet 1/0/2 
[FW-4-GigabitEthernet1/0/2] description SACG2_To_Coreswitch2_GE2/1/0/4 
[FW-4-GigabitEthernet1/0/2] ip address 10.5.1.3 29 
[FW-4-GigabitEthernet1/0/2] quit 
[FW-4] interface GigabitEthernet 1/0/3 
[FW-4-GigabitEthernet1/0/3] description hrp_interface 
[FW-4-GigabitEthernet1/0/3] ip address 10.10.10.2 24 
[FW-4-GigabitEthernet1/0/3] quit
1

将FW-3的各接口加入相应的安全区域。

[FW-3] firewall zone trust 
[FW-3-zone-trust] add interface GigabitEthernet 1/0/1 
[FW-3-zone-trust] quit 
[FW-3] firewall zone untrust 
[FW-3-zone-untrust] add interface GigabitEthernet 1/0/2 
[FW-3-zone-untrust] quit 
[FW-3] firewall zone dmz 
[FW-3-zone-dmz] add interface GigabitEthernet 1/0/3 
[FW-3-zone-dmz] quit
1

将FW-4的各接口加入相应的安全区域。

[FW-4] firewall zone trust 
[FW-4-zone-trust] add interface GigabitEthernet 1/0/1 
[FW-4-zone-trust] quit 
[FW-4] firewall zone untrust 
[FW-4-zone-untrust] add interface GigabitEthernet 1/0/2 
[FW-4-zone-untrust] quit 
[FW-4] firewall zone dmz 
[FW-4-zone-dmz] add interface GigabitEthernet 1/0/3 
[FW-4-zone-dmz] quit
1

2.配置静态路由。

在FW-3上配置回注核心交换机的静态路由。

[FW-3] ip route-static 0.0.0.0 0.0.0.0 10.4.1.4
1

在FW-4上配置回注核心交换机的静态路由。

[FW-4] ip route-static 0.0.0.0 0.0.0.0 10.4.1.4
1

3.配置Link-group。

在FW-3上配置Link-group，将上下行业务接口加入Link-group 1。

[FW-3] interface GigabitEthernet 1/0/1 
[FW-3-GigabitEthernet1/0/1] link-group 1 
[FW-3-GigabitEthernet1/0/1] quit 
[FW-3] interface GigabitEthernet 1/0/2 
[FW-3-GigabitEthernet1/0/2] link-group 1 
[FW-3-GigabitEthernet1/0/2] quit
1

在FW-4上配置Link-group，将上下行业务接口加入Link-group 1。

[FW-4] interface GigabitEthernet 1/0/1 
[FW-4-GigabitEthernet1/0/1] link-group 1 
[FW-4-GigabitEthernet1/0/1] quit 
[FW-4] interface GigabitEthernet 1/0/2 
[FW-4-GigabitEthernet1/0/2] link-group 1 
[FW-4-GigabitEthernet1/0/2] quit
1

4.配置双机热备。

在FW-3的上行接口GE1/0/1上配置VRRP备份组1，并设置状态为Active。

[FW-3] interface GigabitEthernet 1/0/1 
[FW-3-GigabitEthernet1/0/1] vrrp vrid 1 virtual-ip 10.4.1.1 active 
[FW-3-GigabitEthernet1/0/1] quit
1

在FW-3的下行接口GE1/0/2上配置VRRP备份组2，并设置状态为Active。

[FW-3] interface GigabitEthernet 1/0/2 
[FW-3-GigabitEthernet1/0/2] vrrp vrid 2 virtual-ip 10.5.1.1 active 
[FW-3-GigabitEthernet1/0/2] quit
1

在FW-3上指定GE1/0/3为心跳口，并启用双机热备。

[FW-3] hrp interface GigabitEthernet 1/0/3 remote 10.10.10.2 
[FW-3] hrp enable
1

在FW-4的下行接口GE1/0/1上配置VRRP备份组1，并设置状态为Standby。

[FW-4] interface GigabitEthernet 1/0/1 
[FW-4-GigabitEthernet1/0/1] vrrp vrid 1 virtual-ip 10.4.1.1 standby 
[FW-4-GigabitEthernet1/0/1] quit
1

在FW-4的下行接口GE1/0/2上配置VRRP备份组2，并设置状态为Standby。

[FW-4] interface GigabitEthernet 1/0/2 
[FW-4-GigabitEthernet1/0/2] vrrp vrid 2 virtual-ip 10.5.1.1 standby 
[FW-4-GigabitEthernet1/0/2] quit
1

在FW-4上指定GE1/0/3为心跳口，并启用双机热备。

[FW-4] hrp interface GigabitEthernet 1/0/3 remote 10.10.10.1 
[FW-4] hrp enable
1

双机热备功能配置完成后，安全策略、SACG等配置只需要在主用设备FW-3上配置即可。FW-3上的配置会自动备份到FW-4上。

5.关闭会话状态检测功能。

HRP_M[FW-3] undo firewall session link-state check
1

6.配置安全策略。

配置local区域与trust区域之间的安全策略，允许FW和Service Controller通信。

HRP_M[FW-3] security-policy 
HRP_M[FW-3-security-policy] rule name sc_to_sacg 
HRP_M[FW-3-security-policy-sc_to_sacg] source-zone trust local 
HRP_M[FW-3-security-policy-sc_to_sacg] destination-zone local trust 
HRP_M[FW-3-security-policy-sc_to_sacg] action permit 
HRP_M[FW-3-security-policy-sc_to_sacg] quit
1

配置local区域与untrust区域之间的安全策略，使FW能够推送用于认证的Web页面给用户。

HRP_M[FW-3-security-policy] rule name sacg_to_client 
HRP_M[FW-3-security-policy-sacg_to_client] source-zone local 
HRP_M[FW-3-security-policy-sacg_to_client] destination-zone untrust 
HRP_M[FW-3-security-policy-sacg_to_client] action permit 
HRP_M[FW-3-security-policy-sacg_to_client] quit 
HRP_M[FW-3-security-policy] quit
1

7.配置SACG。

进入SACG配置视图，指定缺省ACL规则组号。

如果ACL 3099～3999已经被占用，需要先删除ACL 3099～3999再进行配置，以免FW生成ACL规则时产生冲突。

HRP_M[FW-3] right-manager server-group 
HRP_M[FW-3-rightm] default acl 3099
1

在FW上添加Service Controller，以便FW能够连接Service Controller实施联动。由于有两台Service Controller，所以需要执行两遍server ip命令添加两台Service Controller。

server ip命令中的port和shared-key请务必与Service Controller侧的配置保持一致，否则FW不能与Service Controller连接，功能就无法使用。

HRP_M[FW-3-rightm] server ip 192.168.1.2 port 3288 shared-key TSM_Security 
HRP_M[FW-3-rightm] server ip 192.168.1.3 port 3288 shared-key TSM_Security
1

配置Web认证。当终端用户在未通过身份认证的情况下尝试访问网络时，实现FW自动向终端主机推送Web认证页面的功能，方便终端用户通过Web页面进行身份认证。

HRP_M[FW-3-rightm] right-manager authentication url http://192.168.1.2:8084/auth 
HRP_M[FW-3-rightm] right-manager authentication url http://192.168.1.3:8084/auth
1

配置FW与Service Controller通信时使用的本端IP地址。

该配置不支持备份，需要分别在主备FW上配置。备用FW的IP地址配置为10.4.1.3。

HRP_M[FW-3-rightm] local ip 10.4.1.2
1

启用服务器组，使FW立即连接Service Controller发送联动请求，连接成功后，FW可以接收到Agile Controller下发的角色和角色规则。

HRP_M[FW-3-rightm] right-manager server-group enable
1

配置逃生通道功能，将最少Service Controller数量设定为1。这样当FW可以成功连接的Service Controller达到或超过1台，就正常进行准入认证。当FW不能与任何一台Service Controller连接上的话，就打开逃生通道，允许所有用户终端访问受控网络。这样可以避免终端用户因Service Controller出现故障而无法访问网络。

HRP_M[FW-3-rightm] right-manager server-group active-minimum 1 
HRP_M[FW-3-rightm] right-manager status-detect enable 
HRP_M[FW-3-rightm] quit
1

在trust和untrust域间入方向应用ACL 3099，使终端用户可以与认证前域正常通信，同时也使逃生通道的放行规则可以正确下发到trust和untrust域间。

HRP_M[FW-3] firewall interzone trust untrust 
HRP_M[FW-3-interzone-trust-untrust] apply packet-filter right-manager inbound 
HRP_M[FW-3-interzone-trust-untrust] quit
1

8.配置核心交换机。此处仅以CE12800为例，介绍了交换机和FW对接部分的配置。

配置核心交换机接口和VLAN。

[~CSS] vlan batch 101 to 102          
[*CSS] interface gigabitethernet 1/1/0/3 
[*CSS-GigabitEthernet1/1/0/3] description To_SACG1_GE1/0/1 
[*CSS-GigabitEthernet1/1/0/3] port link-type access 
[*CSS-GigabitEthernet1/1/0/3] port default vlan 101   
[*CSS-GigabitEthernet1/1/0/3] quit          
[*CSS] interface gigabitethernet 1/1/0/4                 
[*CSS-GigabitEthernet1/1/0/4] description To_SACG1_GE1/0/2 
[*CSS-GigabitEthernet1/1/0/4] port link-type access
[*CSS-GigabitEthernet1/1/0/4] port default vlan 102   
[*CSS-GigabitEthernet1/1/0/4] quit     
[*CSS] interface gigabitethernet 2/1/0/3                 
[*CSS-GigabitEthernet2/1/0/3] description To_SACG2_GE1/0/1 
[*CSS-GigabitEthernet2/1/0/3] port link-type access  
[*CSS-GigabitEthernet2/1/0/3] port default vlan 101   
[*CSS-GigabitEthernet2/1/0/3] quit          
[*CSS] interface gigabitethernet 2/1/0/4                 
[*CSS-GigabitEthernet2/1/0/4] description To_SACG2_GE1/0/2 
[*CSS-GigabitEthernet2/1/0/4] port link-type access 
[*CSS-GigabitEthernet2/1/0/4] port default vlan 102   
[*CSS-GigabitEthernet2/1/0/4] quit     
[*CSS] interface vlanif 101 
[*CSS-Vlanif101] ip address 10.4.1.4 29 
[*CSS-Vlanif101] quit                       
[*CSS] interface vlanif 102 
[*CSS-Vlanif102] ip address 10.5.1.4 29 
[*CSS-Vlanif102] quit   
[*CSS] commit
1

配置策略路由。

[~CSS] acl 3001   
[*CSS-acl4-advance-3001] rule 5 permit ip source 10.8.1.0 24   
[*CSS-acl4-advance-3001] quit 
[~CSS] traffic classifier c1   
[*CSS-classifier-c1] if-match acl 3001   
[*CSS-classifier-c1] quit 
[~CSS] traffic behavior b1   
[*CSS-behavior-b1] redirect nexthop 10.5.1.1   
[*CSS-behavior-b1] quit 
[~CSS] traffic policy p1   
[*CSS-trafficpolicy-p1] classifier c1 behavior b1 precedence 5   
[*CSS-trafficpolicy-p1] quit 
[~CSS] interface eth-trunk 2  //Eth-Trunk2是核心交换机与分支机构1互联的接口 
[*CSS-Eth-Trunk2] traffic-policy p1 inbound  
[*CSS-Eth-Trunk2] quit 
[*CSS] commit
1

9.配置Agile Controller和防火墙对接的参数。

a.添加防火墙作为硬件SACG。

i.选择“策略 > 准入控制 > 硬件SACG > 硬件SACG配置”。

ii.在“硬件SACG”页签单击“增加”。

如果终端用户与SC之间配置了NAT地址转换，终端用户IP地址范围（起始IP和结束IP）需要添加终端用户NAT转换后的IP地址，并非用户终端真实的IP地址。否则终端用户无法在SACG上线。

b.配置前域、隔离域和后域。

i.在“前域”页签中单击“增加”。

同样将前域规划的其他服务器IP地址添加到前域。

ii.在“受控域”页签中单击“增加”，将隔离域资源加入受控域。

重复操作将后域资源也加到受控域。

iii.在“隔离域”页签中单击“增加”，只允许访问“隔离_受控域”资源。

iv.在“后域”页签中单击“增加”，配置用于上班时间段的后域资源，即只允许访问“后域_受控域”。

同样将下班时间禁止访问“后域_受控域”添加到后域。

c.配置硬件SACG策略组并应用于帐号/用户组或者IP地址段。i.配置时间段，满足只允许在上班时间访问业务系统的需求。1.选择“策略 > 准入控制 > 策略元素 > 时间段”。

ii.单击“增加”。

iii.单击“确定”。

iv.配置SACG策略组。1.选择“策略 > 准入控制 > 硬件SACG > 硬件SACG策略组”。

v.单击“增加”。

vi.单击“确定”。

vii.将SACG策略组应用于帐号/用户组或者IP地址段。本举例中以应用于用户组为例。

应用于帐号、用户组、IP地址段的匹配优先级逐步降低。

单击“SACG策略”右侧的，将策略分配给指定用户组。

3.5 结果验证

1.分支机构用户在上班时间段认证通过并且终端主机安全检查通过情况下可以访问业务系统，下班时间无法访问。

2.终端主机检查存在严重违规的时候无法接入网络，提示需要修复，修复完成后可以成功接入网络。

3.在FW上查看Agile Controller状态。

在主用FW上查看Agile Controller状态。

HRP_M<FW-3> display right-manager server-group 
 Server group state  :  Enable 
 Server number :     2
 Server ip address        Port        State       Master
 192.168.1.2              3288        active        Y
 192.168.1.3              3288        active        N
1

active表示Agile Controller与FW连接状态正常。

在备用FW上查看Agile Controller状态。

HRP_S<FW-4> display right-manager server-group
 Server group state  :  Enable
 Server number :     2
 Server ip address        Port        State       Master 
 192.168.1.2              3288        active        Y  
 192.168.1.3              3288        active        N 
1

4.分支机构用户登录成功后，在主备FW上均可以查看到用户的登录信息。下面以在主用FW上执行命令display right-manager online-users为例查看在线用户的登录信息和角色信息。

HRP_M<FW-3> display right-manager online-users  
  User name    : lee 
  Ip address   : 10.8.1.3 
  ServerIp     : 192.168.1.2 
  Login time   : 10:14:11 2016/05/06 ( Hour:Minute:Second Year/Month/Day) 
----------------------------------------- 
  Role id      Rolename 
     1          DefaultDeny   
     6          Permit_1   
   255          Last   
-----------------------------------------
1

执行命令display right-manager role-info，查看角色与ACL对应关系。

HRP_M<FW-3> display right-manager role-info 
 All Role count:8  
 Role  ID      ACL number      Role name 
------------------------------------------------------------------------------ 
 Role   0      3099            default 
 Role   1      3100            DefaultDeny 
 Role   2      3101            DefaultPermit 
 Role   3      3102            Deny___0 
 Role   4      3103            Permit_0 
------------------------------------------------------------------------------ 
 Role   5      3104            Deny___1 
 Role   6      3105            Permit_1Role 255      3354            Last
1

执行命令display acl acl-number命令查看acl 3100、3105、3354的内容。

HRP_M<FW-3> display acl 3100 
Advanced ACL  3100, 1 rule     //缺省禁止规则，在隔离域和后域中的“控制方式”选择“只允许访问列表中的受控域资源，禁止访问其它。”时使用。 
Acl's step is 1 
 rule 1 deny ip (0 times matched) 
HRP_M<FW-3> display acl 3105 
Advanced ACL  3105, 1 rule     //允许访问认证后域。 
Acl's step is 1 
 rule 1 permit ip destination 10.1.1.4 0 (0 times matched) 
 rule 2 permit ip destination 10.1.1.5 0 (0 times matched) 
HRP_M<FW-3> display acl 3354 
Advanced ACL  3354, 3 rules     //允许访问认证前域 
Acl's step is 1 
 rule 1 permit ip destination 192.168.1.2 0 (0 times matched) 
 rule 2 permit ip destination 192.168.1.3 0 (0 times matched) 
 rule 3 permit ip destination 192.168.3.3 0 (0 times matched) 
1

由此可知帐号lee对应1、6和255三个角色，匹配顺序从下到上，通过角色与ACL的对应关系可看出三个角色所对应的ACL内容。

其中角色ID为255的角色表示允许访问认证前域，角色ID为6的角色表示允许访问数据中心业务服务区，角色ID为1的角色表示禁止访问所有。

综合角色的内容和匹配顺序，可得出帐号lee可以访问认证前域和认证后域，禁止访问其他。

5.在Agile Controller上选择“资源 > 用户 > 在线用户管理”可以查看用户上线的详细信息。

四、互联网出口防火墙

4.1 典型组网

如图所示为互联网出口防火墙的典型组网。

• 核心交换机SW1/SW2堆叠组网、出口汇聚交换机SW7/SW8堆叠组网。防火墙位于核心交换机和出口汇聚交换机之间，三层接入并启用主备备份方式的双机热备。
• 防火墙连接上下行设备的接口上配置VRRP，防火墙使用VRRP虚拟IP地址与上下行设备通信。
• 出差员工与出口防火墙间建立SSL VPN，安全接入内网。
• 分支机构的互联网出口处也部署防火墙，与总部的互联网出口防火墙之间建立IPSec VPN，承载分支机构和数据中心之间的数据传输。
• DMZ区域的部分服务器为业务前置服务器，需要开放给公网用户访问。因此，互联网出口防火墙上需要配置NAT Server功能，将服务器私网地址映射为公网地址。

4.2 配置步骤

4.2.1 配置接口、安全区域和路由

配置FW-5接口IP地址。

<sysname> system-view 
[sysname] sysname FW-5 
[FW-5] interface Eth-trunk 1 
[FW-5-Eth-Trunk1] description Link_To_SW5 
[FW-5-Eth-Trunk1] trunkport GigabitEthernet 1/0/1 
[FW-5-Eth-Trunk1] trunkport GigabitEthernet 1/0/2 
[FW-5-Eth-Trunk1] quit 
[FW-5] interface Eth-trunk 1.1 
[FW-5-Eth-Trunk1.1] vlan-type dot1q 10 
[FW-5-Eth-Trunk1.1] ip address 172.6.1.2 29 
[FW-5-Eth-Trunk1.1] quit 
[FW-5] interface Eth-trunk 1.2 
[FW-5-Eth-Trunk1.2] vlan-type dot1q 20 
[FW-5-Eth-Trunk1.2] ip address 172.6.2.2 29 
[FW-5-Eth-Trunk1.2] quit 
[FW-5] interface Eth-trunk 1.3 
[FW-5-Eth-Trunk1.3] vlan-type dot1q 30 
[FW-5-Eth-Trunk1.3] ip address 172.6.3.2 29 
[FW-5-Eth-Trunk1.3] quit 
[FW-5] interface Eth-trunk 1.4 
[FW-5-Eth-Trunk1.4] vlan-type dot1q 40 
[FW-5-Eth-Trunk1.4] ip address 172.6.4.2 29 
[FW-5-Eth-Trunk1.4] quit 
[FW-5] interface Eth-trunk 2 
[FW-5-Eth-Trunk2] description Link_To_SW1 
[FW-5-Eth-Trunk2] trunkport GigabitEthernet 1/0/3 
[FW-5-Eth-Trunk2] trunkport GigabitEthernet 1/0/4 
[FW-5-Eth-Trunk2] quit 
[FW-5] interface Eth-trunk 2.1 
[FW-5-Eth-Trunk2.1] vlan-type dot1q 103 
[FW-5-Eth-Trunk2.1] ip address 172.7.1.2 29 
[FW-5-Eth-Trunk2.1] quit 
[FW-5] interface Eth-trunk 2.2 
[FW-5-Eth-Trunk2.2] vlan-type dot1q 104 
[FW-5-Eth-Trunk2.2] ip address 172.7.2.2 29 
[FW-5-Eth-Trunk2.2] quit 
[FW-5] interface Eth-trunk 0 
[FW-5-Eth-Trunk0] description HRP_Interface 
[FW-5-Eth-Trunk0] trunkport GigabitEthernet 1/0/5 
[FW-5-Eth-Trunk0] trunkport GigabitEthernet 1/0/6 
[FW-5-Eth-Trunk0] ip address 12.12.12.1 24 
[FW-5-Eth-Trunk0] quit
1

2.将FW-5接口加入安全区域。

[FW-5] firewall zone name zone1 
[FW-5-zone-zone1] set priority 45 
[FW-5-zone-zone1] add interface Eth-trunk1.1 
[FW-5-zone-zone1] quit 
[FW-5] firewall zone name zone2 
[FW-5-zone-zone2] set priority 40 
[FW-5-zone-zone2] add interface Eth-trunk1.2 
[FW-5-zone-zone2] quit 
[FW-5] firewall zone name zone3 
[FW-5-zone-zone3] set priority 10 
[FW-5-zone-zone3] add interface Eth-trunk1.3 
[FW-5-zone-zone3] quit 
[FW-5] firewall zone name zone4 
[FW-5-zone-zone4] set priority 30 
[FW-5-zone-zone4] add interface Eth-trunk1.4 
[FW-5-zone-zone4] quit 
[FW-5] firewall zone trust 
[FW-5-zone-trust] add interface Eth-trunk2.1 
[FW-5-zone-trust] quit 
[FW-5] firewall zone dmz 
[FW-5-zone-dmz] add interface Eth-trunk2.2 
[FW-5-zone-dmz] quit 
[FW-5] firewall zone name hrp 
[FW-5-zone-hrp] set priority 85 
[FW-5-zone-hrp] add interface Eth-trunk0 
[FW-5-zone-hrp] quit
1

3.在FW-5上配置静态路由。

在FW-5上配置到数据中心业务服务区的静态路由，下一跳为核心交换机的IP地址。

[FW-5] ip route-static 10.1.0.0 255.255.0.0 172.7.1.4 
[FW-5] ip route-static 10.2.0.0 255.255.0.0 172.7.1.4 
[FW-5] ip route-static 10.3.0.0 255.255.0.0 172.7.1.4
1

在FW-5上配置到出差员工SSL VPN接入终端、分支机构、合作伙伴、Internet的静态路由，下一跳为ISP路由器的IP地址。

[FW-5] ip route-static 172.168.3.0 255.255.255.0 1.1.1.2 
[FW-5] ip route-static 172.168.4.0 255.255.255.0 1.1.4.2 
[FW-5] ip route-static 10.9.1.0 255.255.255.0 1.1.2.2 
[FW-5] ip route-static 0.0.0.0 0.0.0.0 1.1.3.2
1

4.参考上述步骤配置FW-6的接口IP、安全区域和路由，不同之处是接口IP不同。

4.2.2 配置双机热备

在FW-5的上行接口上配置VRRP备份组，并将VRRP备份组状态设置为Active。

<FW-5> system-view 
[FW-5] interface Eth-Trunk1.1 
[FW-5-Eth-Trunk1.1] vrrp vrid 1 virtual-ip 1.1.1.1 29 active 
[FW-5-Eth-Trunk1.1] quit 
[FW-5] interface Eth-Trunk1.2 
[FW-5-Eth-Trunk1.2] vrrp vrid 2 virtual-ip 1.1.2.1 29 active 
[FW-5-Eth-Trunk1.2] quit 
[FW-5] interface Eth-Trunk1.3 
[FW-5-Eth-Trunk1.3] vrrp vrid 3 virtual-ip 1.1.3.1 29 active 
[FW-5-Eth-Trunk1.3] quit 
[FW-5] interface Eth-Trunk1.4 
[FW-5-Eth-Trunk1.4] vrrp vrid 4 virtual-ip 1.1.4.1 29 active 
[FW-5-Eth-Trunk1.4] quit 
[FW-5] interface Eth-Trunk2.1 
[FW-5-Eth-Trunk2.1] vrrp vrid 5 virtual-ip 172.7.1.1 29 active 
[FW-5-Eth-Trunk2.1] quit 
[FW-5] interface Eth-Trunk2.2 
[FW-5-Eth-Trunk2.2] vrrp vrid 6 virtual-ip 172.7.2.1 29 active 
[FW-5-Eth-Trunk2.2] quit
1

2.在FW-5上指定Eth-Trunk0为心跳口，并启用双机热备。

[FW-5] hrp interface Eth-Trunk0 remote 12.12.12.2 
[FW-5] hrp enable
1

3.在FW-6的接口上配置VRRP备份组，并将VRRP备份组状态设置为Standby。

<FW-6> system-view 
[FW-6] interface Eth-Trunk1.1 
[FW-6-Eth-Trunk1.1] vrrp vrid 1 virtual-ip 1.1.1.1 29 standby 
[FW-6-Eth-Trunk1.1] quit 
[FW-6] interface Eth-Trunk1.2 
[FW-6-Eth-Trunk1.2] vrrp vrid 2 virtual-ip 1.1.2.1 29 standby 
[FW-6-Eth-Trunk1.2] quit 
[FW-6] interface Eth-Trunk1.3 
[FW-6-Eth-Trunk1.3] vrrp vrid 3 virtual-ip 1.1.3.1 29 standby 
[FW-6-Eth-Trunk1.3] quit 
[FW-6] interface Eth-Trunk1.4 
[FW-6-Eth-Trunk1.4] vrrp vrid 4 virtual-ip 1.1.4.1 29 standby 
[FW-6-Eth-Trunk1.4] quit 
[FW-6] interface Eth-Trunk2.1 
[FW-6-Eth-Trunk2.1] vrrp vrid 5 virtual-ip 172.7.1.1 29 standby 
[FW-6-Eth-Trunk2.1] quit 
[FW-6] interface Eth-Trunk2.2 
[FW-6-Eth-Trunk2.2] vrrp vrid 6 virtual-ip 172.7.2.1 29 standby 
[FW-6-Eth-Trunk2.2] quit
1

4.在FW-6上指定Eth-Trunk0为心跳口，并启用双机热备。

[FW-6] hrp interface Eth-Trunk0 remote 12.12.12.1 
[FW-6] hrp enable
1

至此，双机热备关系已经建立，后续大部分配置都能够备份。所以在下面的步骤中，我们只需在主用设备FW-5上配置即可（有特殊说明的配置除外）。

4.2.3 配置NAT Server

1.配置NAT Server，将前置服务器的私网地址分别映射公网地址。

HRP_M[FW-5] nat server https_server1 protocol tcp global 1.1.3.2 4433 inside 192.168.4.2 443 
HRP_M[FW-5] nat server https_server2 protocol tcp global 1.1.3.3 4433 inside 192.168.4.3 443 
HRP_M[FW-5] nat server http_server1 protocol tcp global 1.1.3.4 8000 inside 192.168.4.4 80 
HRP_M[FW-5] nat server http_server2 protocol tcp global 1.1.3.5 8000 inside 192.168.4.5 80
1

2.配置NAT Server公网地址的黑洞路由，避免防火墙与ISP路由器之间产生路由环路。

路由配置不支持备份，因此需要同时在FW-5和FW-6上配置。

HRP_M[FW-5] ip route-static 1.1.3.2 32 NULL 0 
HRP_M[FW-5] ip route-static 1.1.3.3 32 NULL 0 
HRP_M[FW-5] ip route-static 1.1.3.4 32 NULL 0 
HRP_M[FW-5] ip route-static 1.1.3.5 32 NULL 0     
HRP_S[FW-6] ip route-static 1.1.3.2 32 NULL 0 
HRP_S[FW-6] ip route-static 1.1.3.3 32 NULL 0 
HRP_S[FW-6] ip route-static 1.1.3.4 32 NULL 0 
HRP_S[FW-6] ip route-static 1.1.3.5 32 NULL 0
1

4.2.4 配置安全策略及安全防护

配置安全策略和IPS。

在FW-5上配置地址组。

HRP_M[FW-5] ip address-set remote_users type object 
HRP_M[FW-5-object-address-set-remote_users] address 0 172.168.3.0 mask 24 
HRP_M[FW-5-object-address-set-remote_users] description "for remote users" 
HRP_M[FW-5-object-address-set-remote_users] quit 
HRP_M[FW-5] ip address-set partner type object 
HRP_M[FW-5-object-address-set-partner] address 0 172.168.4.0 mask 24 
HRP_M[FW-5-object-address-set-partner] description "for partner" 
HRP_M[FW-5-object-address-set-partner] quit 
HRP_M[FW-5] ip address-set branch2 type object 
HRP_M[FW-5-object-address-set-branch2] address 0 10.9.1.0 mask 24 
HRP_M[FW-5-object-address-set-branch2] description "for branch2" 
HRP_M[FW-5-object-address-set-branch2] quit 
HRP_M[FW-5] ip address-set server1 type object 
HRP_M[FW-5-object-address-set-server1] address 0 10.1.1.10 mask 32 
HRP_M[FW-5-object-address-set-server1] address 1 10.1.1.11 mask 32 
HRP_M[FW-5-object-address-set-server1] description "for server1" 
HRP_M[FW-5-object-address-set-server1] quit 
HRP_M[FW-5] ip address-set server2 type object 
HRP_M[FW-5-object-address-set-server2] address 0 10.2.1.4 mask 32 
HRP_M[FW-5-object-address-set-server2] address 1 10.2.1.5 mask 32 
HRP_M[FW-5-object-address-set-server2] description "for server2" 
HRP_M[FW-5-object-address-set-server2] quit 
HRP_M[FW-5] ip address-set server4 type object 
HRP_M[FW-5-object-address-set-server4] address 0 10.1.1.4 mask 32 
HRP_M[FW-5-object-address-set-server4] address 1 10.1.1.5 mask 32 
HRP_M[FW-5-object-address-set-server4] description "for server4" 
HRP_M[FW-5-object-address-set-server4] quit 
HRP_M[FW-5] ip address-set server5 type object 
HRP_M[FW-5-object-address-set-server5] address 0 192.168.4.2 mask 32 
HRP_M[FW-5-object-address-set-server5] address 1 192.168.4.3 mask 32 
HRP_M[FW-5-object-address-set-server5] address 2 192.168.4.4 mask 32 
HRP_M[FW-5-object-address-set-server5] address 3 192.168.4.5 mask 32 
HRP_M[FW-5-object-address-set-server5] description "for server5" 
HRP_M[FW-5-object-address-set-server5] quit 
HRP_M[FW-5] ip address-set ad_server type object 
HRP_M[FW-5-object-address-set-ad_server] address 0 192.168.5.4 mask 32 
HRP_M[FW-5-object-address-set-ad_server] address 1 192.168.5.5 mask 32 
HRP_M[FW-5-object-address-set-ad_server] description "for ad_server" 
HRP_M[FW-5-object-address-set-ad_server] quit
1

在FW-5上配置服务集。

HRP_M[FW-5] ip service-set tcp_1414 type object 
HRP_M[FW-5-object-service-set-tcp_1414] service 0 protocol tcp destination-port 1414 
HRP_M[FW-5-object-service-set-tcp_1414] quit
1

在FW-5上配置安全策略remote_users_to_server1，并引用IPS安全配置文件。

HRP_M[FW-5] security-policy 
HRP_M[FW-5-policy-security] rule name remote_users_to_server1 
HRP_M[FW-5-policy-security-rule-remote_users_to_server1] source-zone zone1  
HRP_M[FW-5-policy-security-rule-remote_users_to_server1] destination-zone trust  
HRP_M[FW-5-policy-security-rule-remote_users_to_server1] source-address address-set remote_users  
HRP_M[FW-5-policy-security-rule-remote_users_to_server1] destination-address address-set server1  
HRP_M[FW-5-policy-security-rule-remote_users_to_server1] service ftp http 
HRP_M[FW-5-policy-security-rule-remote_users_to_server1] action permit 
HRP_M[FW-5-policy-security-rule-remote_users_to_server1] profile ips default 
HRP_M[FW-5-policy-security-rule-remote_users_to_server1] quit
1

在FW-5上配置安全策略partner_to_server2，并引用IPS安全配置文件。

HRP_M[FW-5-policy-security] rule name partner_to_server2 
HRP_M[FW-5-policy-security-rule-partner_to_server2] source-zone zone4  
HRP_M[FW-5-policy-security-rule-partner_to_server2] destination-zone trust  
HRP_M[FW-5-policy-security-rule-partner_to_server2] source-address address-set partner  
HRP_M[FW-5-policy-security-rule-partner_to_server2] destination-address address-set server2  
HRP_M[FW-5-policy-security-rule-partner_to_server2] service tcp_1414 
HRP_M[FW-5-policy-security-rule-partner_to_server2] action permit 
HRP_M[FW-5-policy-security-rule-partner_to_server2] profile ips default 
HRP_M[FW-5-policy-security-rule-partner_to_server2] quit
1

在FW-5上配置安全策略branch2_to_server4，并引用IPS安全配置文件。

HRP_M[FW-5-policy-security] rule name branch2_to_server4 
HRP_M[FW-5-policy-security-rule-branch2_to_server4] source-zone zone2  
HRP_M[FW-5-policy-security-rule-branch2_to_server4] destination-zone trust  
HRP_M[FW-5-policy-security-rule-branch2_to_server4] source-address address-set branch2  
HRP_M[FW-5-policy-security-rule-branch2_to_server4] destination-address address-set server4  
HRP_M[FW-5-policy-security-rule-branch2_to_server4] service ftp 
HRP_M[FW-5-policy-security-rule-branch2_to_server4] action permit 
HRP_M[FW-5-policy-security-rule-branch2_to_server4] profile ips default 
HRP_M[FW-5-policy-security-rule-branch2_to_server4] quit
1

在FW-5上配置安全策略internet_to_server5，并引用IPS安全配置文件。

HRP_M[FW-5-policy-security] rule name internet_to_server5 
HRP_M[FW-5-policy-security-rule-internet_to_server5] source-zone zone3  
HRP_M[FW-5-policy-security-rule-internet_to_server5] destination-zone dmz  
HRP_M[FW-5-policy-security-rule-internet_to_server5] destination-address address-set server5  
HRP_M[FW-5-policy-security-rule-internet_to_server5] service https http 
HRP_M[FW-5-policy-security-rule-internet_to_server5] action permit 
HRP_M[FW-5-policy-security-rule-internet_to_server5] profile ips default 
HRP_M[FW-5-policy-security-rule-internet_to_server5] quit
1

在FW-5上配置安全策略ipsec。

HRP_M[FW-5-policy-security] rule name ipsec 
HRP_M[FW-5-policy-security-rule-ipsec] source-zone zone2 local  
HRP_M[FW-5-policy-security-rule-ipsec] destination-zone zone2 local  
HRP_M[FW-5-policy-security-rule-ipsec] source-address 1.1.2.1 32  
HRP_M[FW-5-policy-security-rule-ipsec] source-address 2.2.2.2 32  
HRP_M[FW-5-policy-security-rule-ipsec] destination-address 1.1.2.1 32 
HRP_M[FW-5-policy-security-rule-ipsec] destination-address 2.2.2.2 32 
HRP_M[FW-5-policy-security-rule-ipsec] action permit 
HRP_M[FW-5-policy-security-rule-ipsec] quit
1

在FW-5上配置安全策略ssl_vpn。

HRP_M[FW-5-policy-security] rule name ssl_vpn 
HRP_M[FW-5-policy-security-rule-ssl_vpn] source-zone zone1 zone4  
HRP_M[FW-5-policy-security-rule-ssl_vpn] destination-zone local  
HRP_M[FW-5-policy-security-rule-ssl_vpn] destination-address 1.1.1.1 32 
HRP_M[FW-5-policy-security-rule-ssl_vpn] destination-address 1.1.4.1 32 
HRP_M[FW-5-policy-security-rule-ssl_vpn] action permit 
HRP_M[FW-5-policy-security-rule-ssl_vpn] quit
1

在FW-5上配置安全策略to_ad_server。

HRP_M[FW-5-policy-security] rule name to_ad_server 
HRP_M[FW-5-policy-security-rule-to_ad_server] source-zone local  
HRP_M[FW-5-policy-security-rule-to_ad_server] destination-zone dmz  
HRP_M[FW-5-policy-security-rule-to_ad_server] destination-address address-set ad_server 
HRP_M[FW-5-policy-security-rule-to_ad_server] action permit 
HRP_M[FW-5-policy-security-rule-to_ad_server] quit 
HRP_M[FW-5-policy-security] quit
1

2.配置长连接。

修改tcp_1414的会话老化时间为40000秒。

HRP_M[FW-5] firewall session aging-time service-set tcp_1414 40000
1

在安全策略branch2_to_server4中启用长连接功能，将命中该策略的连接的老化时间修改为480小时。

HRP_M[FW-5] security-policy 
HRP_M[FW-5-policy-security] rule name branch2_to_server4 
HRP_M[FW-5-policy-security-rule-branch2_to_server4] long-link enable 
HRP_M[FW-5-policy-security-rule-branch2_to_server4] long-link aging-time 480 
HRP_M[FW-5-policy-security-rule-branch2_to_server4] quit 
HRP_M[FW-5-policy-security] quit
1

3.配置攻击防范。

在FW-5上配置单包攻击防范功能。

HRP_M[FW-5] firewall defend land enable 
HRP_M[FW-5] firewall defend smurf enable 
HRP_M[FW-5] firewall defend fraggle enable 
HRP_M[FW-5] firewall defend ip-fragment enable 
HRP_M[FW-5] firewall defend tcp-flag enable 
HRP_M[FW-5] firewall defend winnuke enable 
HRP_M[FW-5] firewall defend source-route enable 
HRP_M[FW-5] firewall defend teardrop enable 
HRP_M[FW-5] firewall defend route-record enable 
HRP_M[FW-5] firewall defend time-stamp enable 
HRP_M[FW-5] firewall defend ping-of-death enable
1

4.配置策略备份加速。

当策略数量较多时（比如超过500条），为了提升策略加速期间的匹配效率，需要开启备份加速功能。但是开启该功能后，新配置的策略需要等待策略备份加速完成后才能生效。

HRP_M[FW-5] policy accelerate standby enable
1

4.2.5 配置IPSec VPN

a.定义被保护的数据流。配置高级ACL 3000，允许10.1.1.0/24网段访问10.9.1.0/24网段。

HRP_M<FW-5> system-view 
HRP_M[FW-5] acl 3000 
HRP_M[FW-5-acl-adv-3000] rule 5 permit ip source 10.1.1.0 0.0.0.255 destination 10.9.1.0 0.0.0.255 
HRP_M[FW-5-acl-adv-3000] quit
1

b.配置IPSec安全提议。缺省参数可不配置。

HRP_M[FW-5] ipsec proposal tran1 
HRP_M[FW-5-ipsec-proposal-tran1] esp authentication-algorithm sha2-256 
HRP_M[FW-5-ipsec-proposal-tran1] esp encryption-algorithm aes-256 
HRP_M[FW-5-ipsec-proposal-tran1] quit
1

c.配置IKE安全提议。缺省参数可不配置。

HRP_M[FW-5] ike proposal 10 
HRP_M[FW-5-ike-proposal-10] authentication-method pre-share 
HRP_M[FW-5-ike-proposal-10] prf hmac-sha2-256 
HRP_M[FW-5-ike-proposal-10] encryption-algorithm aes-256 
HRP_M[FW-5-ike-proposal-10] dh group2 
HRP_M[FW-5-ike-proposal-10] integrity-algorithm hmac-sha2-256   
HRP_M[FW-5-ike-proposal-10] quit
1

d.配置IKE peer。

HRP_M[FW-5] ike peer b 
HRP_M[FW-5-ike-peer-b] ike-proposal 10 
HRP_M[FW-5-ike-peer-b] pre-shared-key Test!1234 
HRP_M[FW-5-ike-peer-b] quit
1

e.配置IPSec策略。

HRP_M[FW-5] ipsec policy-template policy1 1 
HRP_M[FW-5-ipsec-policy-templet-policy1-1] security acl 3000 
HRP_M[FW-5-ipsec-policy-templet-policy1-1] proposal tran1 
HRP_M[FW-5-ipsec-policy-templet-policy1-1] ike-peer b 
HRP_M[FW-5-ipsec-policy-templet-policy1-1] quit 
HRP_M[FW-5] ipsec policy map1 10 isakmp template policy1
1

f.在接口上应用IPSec策略组map1。

HRP_M[FW-5] interface Eth-Trunk1.2 
HRP_M[FW-5-Eth-Trunk1.2] ipsec policy map1 
HRP_M[FW-5-Eth-Trunk1.2] quit
1

2.在分支FW-branch上配置IPSec策略，并在接口上应用此IPSec策略。

a.配置高级ACL 3000，允许10.9.1.0/24网段访问10.1.1.0/24网段。

<FW-branch> system-view 
[FW-branch] acl 3000 
[FW-branch-acl-adv-3000] rule 5 permit ip source 10.9.1.0 0.0.0.255 destination 10.1.1.0 0.0.0.255 
[FW-branch-acl-adv-3000] quit
1

b.配置IPSec安全提议。

[FW-branch] ipsec proposal tran1 
[FW-branch-ipsec-proposal-tran1] esp authentication-algorithm sha2-256 
[FW-branch-ipsec-proposal-tran1] esp encryption-algorithm aes-256 
[FW-branch-ipsec-proposal-tran1] quit
1

c.配置IKE安全提议。

[FW-branch] ike proposal 10 
[FW-branch-ike-proposal-10] authentication-method pre-share 
[FW-branch-ike-proposal-10] prf hmac-sha2-256 
[FW-branch-ike-proposal-10] encryption-algorithm aes-256 
[FW-branch-ike-proposal-10] dh group2 
[FW-branch-ike-proposal-10] integrity-algorithm hmac-sha2-256   
[FW-branch-ike-proposal-10] quit
1

d.配置IKE peer。

[FW-branch] ike peer a  
[FW-branch-ike-peer-a] ike-proposal 10  
[FW-branch-ike-peer-a] remote-address 1.1.2.1  
[FW-branch-ike-peer-a] pre-shared-key Test!1234  
[FW-branch-ike-peer-a] quit
1

e.配置IPSec策略。

[FW-branch] ipsec policy map1 10 isakmp  
[FW-branch-ipsec-policy-isakmp-map1-10] security acl 3000  
[FW-branch-ipsec-policy-isakmp-map1-10] proposal tran1  
[FW-branch-ipsec-policy-isakmp-map1-10] ike-peer a  
[FW-branch-ipsec-policy-isakmp-map1-10] quit
1

f.在接口上应用IPSec策略组map1。此处假设分支机构的公网接口为GE1/0/1

[FW-branch] interface GigabitEthernet 1/0/1  
[FW-branch-GigabitEthernet1/0/1] ipsec policy map1 
[FW-branch-GigabitEthernet1/0/1] quit
1

4.2.6 配置SSL VPN

配置FW和AD服务器的对接参数。

此处设置的参数必须与AD服务器上的参数保持一致。

HRP_M[FW-5] ad-server template ad_server    
HRP_M[FW-5-ad-ad_server] ad-server authentication 192.168.5.4 88 
HRP_M[FW-5-ad-ad_server] ad-server authentication 192.168.5.5 88 secondary 
HRP_M[FW-5-ad-ad_server] ad-server authentication base-dn dc=cce,dc=com 
HRP_M[FW-5-ad-ad_server] ad-server authentication manager cn=administrator,cn=users Admin@123 Admin@123 
HRP_M[FW-5-ad-ad_server] ad-server authentication host-name info-server.cce.com 
HRP_M[FW-5-ad-ad_server] ad-server authentication host-name info-server2.cce.com secondary 
HRP_M[FW-5-ad-ad_server] ad-server authentication ldap-port 389       
HRP_M[FW-5-ad-ad_server] ad-server user-filter sAMAccountName          
HRP_M[FW-5-ad-ad_server] ad-server group-filter ou
1

如果对AD服务器不熟悉，无法给出服务器机器名、Base DN、过滤字段等参数，可以通过AD Explorer或LDAP Browser等软件连接到AD服务器上查看具体的属性。以AD Explorer为例，查看到的AD服务器属性以及服务器属性和FW上参数对应关系如下。

测试FW与AD服务器的连通性。

HRP_M[FW-5-ad-ad_server] test-aaa user_0001 Admin@123 ad-template ad_server 
 Info: Server detection succeeded. 
HRP_M[FW-5-ad-ad_server] quit
1

测试时使用的用户名和密码需要与AD服务器上已经存在的帐号的用户名和密码保持一致。

2.配置认证域。

FW使用AD/LDAP认证时，配置的认证域名称要和认证服务器上的域名保持一致。本示例中AD服务器上的域名是cce.com，FW上认证域名称也要配置成cce.com。

HRP_M[FW-5] aaa 
HRP_M[FW-5-aaa] authentication-scheme ad 
HRP_M[FW-5-aaa-authen-ad] authentication-mode ad 
HRP_M[FW-5-aaa-authen-ad] quit 
HRP_M[FW-5-aaa] domain cce.com 
HRP_M[FW-5-aaa-domain-cce.com] service-type ssl-vpn  
HRP_M[FW-5-aaa-domain-cce.com] authentication-scheme ad 
HRP_M[FW-5-aaa-domain-cce.com] ad-server ad_server  
HRP_M[FW-5-aaa-domain-cce.com] reference user current-domain 
HRP_M[FW-5-aaa-domain-cce.com] quit 
HRP_M[FW-5-aaa] quit
1

3.配置服务器导入策略。

HRP_M[FW-5] user-manage import-policy ad_server from ad  
HRP_M[FW-5-import-ad_server] server template ad_server 
HRP_M[FW-5-import-ad_server] server basedn dc=cce,dc=com 
HRP_M[FW-5-import-ad_server] server searchdn ou=remoteusers,dc=cce,dc=com 
HRP_M[FW-5-import-ad_server] destination-group /cce.com 
HRP_M[FW-5-import-ad_server] user-attribute sAMAccountName 
HRP_M[FW-5-import-ad_server] import-type all          
HRP_M[FW-5-import-ad_server] import-override enable  
HRP_M[FW-5-import-ad_server] sync-mode incremental schedule interval 120 
HRP_M[FW-5-import-ad_server] sync-mode full schedule daily 01:00 
HRP_M[FW-5-import-ad_server] quit
1

• 如果只导入用户组，import-type设置为group，步骤5中的新用户选项设置为new-user add-temporary group /cce.com auto-import ad_server。用户认证通过后使用用户所在组的权限。
• 本例中的用户过滤条件和用户组过滤条件使用缺省值“(&(|(objectclass=person)(objectclass=organizationalPerson))(cn= )(!(objectclass=computer)))”和“(|(objectclass=organizationalUnit)(ou=))”，一般使用缺省值即可。如果需要改变请执行user-filter和group-filter命令设置。

4.执行导入策略将用户导入FW。

HRP_M[FW-5] execute user-manage import-policy ad_server 
 Now importing user, security group and user-group information from remote server...successfully.
1

导入成功后，可以执行display user-manage user verbose查看导入的用户。

5.在FW上配置认证域的新用户选项。

HRP_M[FW-5] aaa 
HRP_M[FW-5-aaa] domain cce.com 
HRP_M[FW-5-aaa-domain-cce.com] new-user add-temporary group /cce.com auto-import ad_server 
HRP_M[FW-5-aaa-domain-cce.com] quit 
HRP_M[FW-5-aaa] quit
1

6.配置SSL VPN虚拟网关。

创建SSL VPN虚拟网关。

HRP_M[FW-5] v-gateway example 1.1.1.1 private www.example.com 
HRP_M[FW-5-example] quit
1

配置SSL VPN虚拟网关允许接入的最大用户数和允许同时接入的最大用户数。

HRP_M[FW-5] v-gateway example max-user 150 
HRP_M[FW-5] v-gateway example cur-max-user 100
1

配置虚拟网关和认证域绑定。

HRP_M[FW-5] v-gateway example authentication-domain cce.com
1

当虚拟网关绑定了认证域时，用户登录时输入的用户名中不能带认证域。如果用户名里带了认证域，网关会将“@”以及“@”后的字符串视为用户名的一部分，而不会将其视为认证域。例如，虚拟网关绑定了认证域“cce.com”，该认证域内的用户“user_0001”在登录时输入的用户名应该是“user_0001”，而不能是“user_0001@cce.com”。

7.配置Web代理功能。

启用Web代理功能。

HRP_M[FW-5] v-gateway example 
HRP_M[FW-5-example] service 
HRP_M[FW-5-example-service] web-proxy enable
1

添加Web代理资源Webmail和ERP。

HRP_M[FW-5-example-service] web-proxy proxy-resource resource1 http://10.1.1.10 show-link 
HRP_M[FW-5-example-service] web-proxy proxy-resource resource2 http://10.1.1.11 show-link
1

8.配置网络扩展功能。

启用网络扩展功能。

HRP_M[FW-5-example-service] network-extension enable
1

配置网络扩展地址池。

HRP_M[FW-5-example-service] network-extension netpool 172.168.3.2 172.168.3.254 255.255.255.0
1

配置网络扩展的路由模式为手动模式。

HRP_M[FW-5-example-service] network-extension mode manual
1

配置网络扩展用户可访问的内网网段。

HRP_M[FW-5-example-service] network-extension manual-route 10.1.1.0 255.255.255.0 
HRP_M[FW-5-example-service] quit
1

9.配置SSL VPN的角色授权/用户。

将用户组remoteusers添加到虚拟网关。

HRP_M[FW-5-example] vpndb 
HRP_M[FW-5-example-vpndb] group /cce.com/remoteusers 
HRP_M[FW-5-example-vpndb] quit
1

创建角色remoteusers。

HRP_M[FW-5-example] role 
HRP_M[FW-5-example-role] role remoteusers
1

将角色与相应的用户组绑定。

HRP_M[FW-5-example-role] role remoteusers group /cce.com/remoteusers
1

配置角色的功能。角色remoteusers启用Web代理和网络扩展功能。

HRP_M[FW-5-example-role] role remoteusers web-proxy network-extension enable
1

配置角色与Web代理资源关联。

HRP_M[FW-5-example-role] role remoteusers web-proxy resource resource1 
HRP_M[FW-5-example-role] role remoteusers web-proxy resource resource1 
HRP_M[FW-5-example-role] quit 
HRP_M[FW-5-example] quit
1

4.3 结果验证

• 出差员工和合作伙伴能够和互联网出口防火墙建立SSL VPN隧道，并能访问数据中心的资源服务器。
• 分支机构出口防火墙和互联网出口防火墙之间能建立IPSec VPN隧道，分支机构能够通过IPSec VPN访问数据中心的资源服务器。
• Internet用户能够访问到DMZ区域的前置服务器。
• 在主防火墙的业务接口上执行shutdown命令，模拟链路故障，发现主备正常倒换，业务不会中断。

五、方案总结与建议

本案例以防火墙在某银行数据中心的实际应用为例，介绍了防火墙在金融行业数据中心的典型应用。

案例中重点讲解了防火墙在数据中心的安全策略规划和网络部署规划。

其中安全策略规划的步骤为：

1. 分析确定各个分区业务和用户的安全等级。
2. 根据业务和用户的安全级别以及企业的具体需求来确定各个区域间的访问控制权限。
3. 将访问控制权限的规划转换为各个防火墙上的安全策略规划。