号主:老杨丨11年资深网络工程师,更多网工提升干货,请关注公众号:网络工程师俱乐部
你们好,我的网工朋友。
不知道你有没有想过,我们每天看电视、上网追剧的广电网络,它的背后是如何确保安全稳定运行的?
广电行业除了提供家庭广播电视业务,还向ISP租用链路开展宽带用户上网、服务器托管等网络接入服务。
广电出口作为广电网络与互联网世界连接的关键节点,具有多重重要的作用和功能。不仅帮助广电网络连接到互联网的大门,也是所有广电用户访问互联网的必经之路。
这个出口的安全直接关系到广电用户的上网体验和信息安全。
而防火墙作为广电出口的第一道防线,它负责抵御外部攻击、管理网络流量、控制用户访问等,其作用自然不容小觑。
今天就来看看防火墙在广电网络出口中的规划和部署,相信能够对你有所帮助。
今日文章阅读福利:《华为防火墙配置指南》
私信我,发送暗号“华为防火墙”,即可获取此份优质指南,提升你的技术水平。
如果想从0到1系统学习,也欢迎私信我,告知学习意向,我会为你推荐最适合你的方式。
01 方案简介
广电行业除了提供家庭广播电视业务,还向ISP租用链路开展宽带用户上网、服务器托管等网络接入服务。此时网络出口处通常部署防火墙作为出口网关提供Internet接入及安全保障功能。
如图1-1所示,防火墙部署在网络出口主要提供如下功能:
-
NAT:提供源NAT功能将宽带用户私网IP转换为公网IP,提供NAT Server功能将托管服务器的私网IP转换为公网IP供外网用户访问。
-
多出口智能选路:提供基于目的IP、应用等多种选路措施,合理利用多条ISP链路保证上网质量。
-
安全管理:通过安全区域及安全策略进行区域隔离,提供入侵防御、DDoS攻击防范等安全功能进行安全防护。
-
用户溯源和审计:记录用户NAT前后IP地址、端口等日志发往日志服务器,满足相关部门的审计和溯源需求。
02 典型组网
如图1-2所示,广电向两个ISP各租用了两条链路,为城域网的广电用户提供宽带上网服务。广电还在服务器区部署了服务器,为内外网用户提供服务器托管业务。
广电的Internet出口处部署了两台防火墙双机热备组网(主备方式)。两台防火墙的上行接口通过出口汇聚交换机与两个ISP相连,下行接口通过核心路由器与城域网相连,通过服务器区的交换机与服务器相连。
广电网络对Internet出口防火墙的具体需求如下:
-
两台防火墙能够组成主备备份组网,提升网络可靠性。
-
通过防火墙的源NAT功能保证城域网的海量用户能够同时访问Internet。
-
为了提升内网用户的宽带上网体验,广电的出口选路需求如下:
-
能够根据目的地址所属的ISP进行选路。例如,访问ISP1的服务器的流量能够通过ISP1链路转发,访问ISP2的服务器的流量能够通过ISP2链路转发。
-
属于同一个ISP的流量在两条链路间按权重负载分担。
-
引导P2P流量由资费较低、带宽较大的ISP2链路转发。
-
托管的服务器能够供外网用户访问,对服务器进行管理。
-
广电网络内还部署了DNS服务器为以上服务器提供域名解析。广电希望各ISP的外网用户能够解析到自己ISP为服务器分配的地址,从而提高访问服务器的速度。
-
防火墙能够保护内部网络,防止各种DDoS攻击,并对僵尸、木马、蠕虫等网络入侵行为进行告警。
-
为了应对有关部门的审查,防火墙能够提供内网用户访问Internet的溯源功能,包括NAT转换前后的IP地址、端口等。
03 业务规划
01 双机热备规划
由于一个ISP接入点无法与两台防火墙直接相连,因此需要在防火墙与ISP之间部署出口汇聚交换机。
出口汇聚交换机可以将ISP的一条链路变为两条链路,然后分别将两条链路与两台防火墙的上行接口相连。
而防火墙与下行路由器之间运行OSPF,所以这就组成了“两台防火墙上行连接交换机,下行连接路由器”的典型双机热备组网。该种组网方式防火墙上行配置VRRP备份组,下行配置VGMP组监控业务口。
双机热备组网可以转换为图1-3,将与同一个ISP接入点连接的主备防火墙接口加入同一个VRRP备份组。
02 多出口选路规划
广电向不同运营商租用链路,多出口选路功能尤为重要,防火墙提供丰富的多出口功能满足需求:
-
通过DNS透明代理分担内网用户上网的DNS请求,从而达到在多个ISP间分担流量的目的。
内网用户上网的第一步是用户访问某个域名,DNS服务器将域名解析为IP地址。这一步存在一个问题,内网PC往往都配置了同一个ISP的DNS服务器,这样将导致用户只能解析到一个ISP的地址,后续的ISP选路也就无从谈起了。
防火墙提供DNS透明代理功能解决这一问题,防火墙通过一定的规则将内网用户的DNS请求分担至不同ISP的DNS服务器,从而解析到不同ISP的地址。本例采取指定链路权重的方式分担DNS请求。
-
通过基于多出口的策略路由实现ISP选路。
防火墙的策略路由可以同时指定多个出接口,并配置多个出接口的流量分担方式。例如指定目的地址为ISP1地址的流量从ISP1的两个出接口发送,同时指定两个出接口间按权重进行负载分担。
-
通过基于应用的策略路由将P2P流量引导至ISP2链路。
-
通过健康检查探测链路的可达性。
防火墙探测某个出接口到指定目的地址的链路健康状态,保证流量不会被转发到故障链路上。
03 源NAT规划
在FW配置源NAT使内网用户可以通过有限的公网IP地址访问Internet。
地址池
根据向ISP申请的公网IP地址,配置两个对应不同ISP的地址池,注意地址池中排除VRRP备份组的公网IP、服务器对外发布的公网IP。
NAPT(Network Address and Port Translation)
NAPT同时对IP地址和端口进行转换,内网用户访问Internet的报文到达防火墙后,报文的源地址会被NAT转换成公网地址,源端口会被NAT转换成随机的非知名端口。这样一个公网地址就可以同时被多个内网用户使用,实现了公网地址的复用,解决了海量用户同时访问Internet的问题。
当防火墙既开启NAT功能,又需要转发多通道协议报文(例如FTP等)时,必须开启相应的NAT ALG功能。例如FTP、SIP、H323、RTSP和QQ等多通道协议。
04 NAT Server规划
广电的托管服务器业务主要开通网站托管业务,如某个学校的网站托管,同时还有公司内部的办公网,公司门户网站等。
由于托管服务器部署在内网的DMZ区域,所以需要在防火墙上部署NAT server功能,将服务器的私网地址转换成公网地址,而且需要为不同的ISP用户提供不同的公网地址。
如果DNS服务器在内网,则需要配置智能DNS使外网用户可以获取最适合的服务器解析地址,即与用户属于同一ISP网络地址避免跨网络访问。
05 安全功能规划
缺省情况下FW拒绝所有流量通过,需要配置安全策略允许正常的业务访问。具体规划见下文的数据规划。
出口网关作为广电网络与外界通信的关口,需要配置入侵防御(IPS)、攻击防范等安全功能。
本案例使用缺省的IPS配置文件default,对检测到的入侵行为进行阻断;还可以选择配置文件ids先记录攻击日志不阻断,然后根据日志再配置具体的IPS配置文件。
06 用户溯源规划
通过与日志服务器配合完成用户溯源:
-
FW配置向日志服务器发送会话日志功能,会话日志中详细记录了会话的原始(即NAT转换前)源IP地址/端口、目的IP地址/端口,以及会话经过NAT转换后的源IP地址/端口和目的IP地址/端口等信息。
-
如果某个用户在外网发布了非法言论,管理员在日志服务器中根据该用户的公网IP地址追踪到其私网IP地址。
-
管理员根据企业内部的认证系统等追踪到具体用户账号。
07 数据规划
根据上述业务规划进行数据规划。
04 注意事项
01 License
IPS功能和智能DNS功能需要License支持,另外智能DNS功能需要加载内容安全组件包才能使用。
02 硬件要求
对于USG9500,IPS、基于应用的策略路由、智能DNS需要应用安全业务处理子卡(SPC-APPSEC-FW)在位,否则功能不可用。
使用IPS功能前,建议将IPS特征库升级到最新版本。
03 组网部署
为了避免心跳接口故障导致双机通信异常,心跳接口建议使用Eth-trunk接口。对于支持扩展多个接口卡的设备(具体支持情况,请查阅硬件指南),必须使用跨板Eth-Trunk接口,即一个Eth-Trunk的成员接口来自于不同的接口板,这样既提高了可靠性,又增加了备份通道的带宽。
对于无接口扩展能力无法使用跨板Eth-Trunk的设备,可能存在一块接口卡故障导致所有HRP备份通道不可用、业务受损。
当双机热备与智能选路结合使用时,如果上行部署交换机运行VRRP,防火墙的上行物理接口必须配置与ISP路由器同一网段的公网IP地址,否则无法指定接口的gateway。
gateway命令是智能选路、链路健康探测的必选配置。
如果上行是路由器则无此限制。
04 智能选路
防火墙在接口下提供gateway命令生成等价缺省路由,协议类型为UNR,路由优先级为70,低于静态路由的优先级(60)。
配置了此命令后不能再手动配置多出口的静态等价路由
策略路由智能选路不能和IP欺骗攻击防范功能或URPF(Unicast Reverse Path Forwarding,单播逆向路径转发)功能一起使用。如果开启IP欺骗攻击防范功能或URPF功能,可能导致防火墙丢弃报文。
05 黑洞路由
防火墙支持为NAT地址池中的地址生成UNR(User Network Route)路由,该UNR路由的作用与黑洞路由的作用相同,可以防止路由环路,同时也可以引入到OSPF等动态路由协议中发布出去。
对于NAT Server来说,如果指定了协议和端口,则还需要手工配置目的地址为公网地址的黑洞路由,使外网访问公网地址但没有匹配到Server-Map的报文匹配到黑洞路由后直接被丢弃,防止路由环路。
整理:老杨丨11年资深网络工程师,更多网工提升干货,请关注公众号:网络工程师俱乐部
