海大集团AF实施规范一【适用于HW S5700+CISCO2911+防火.doc

海大集团海大集团 NGAF 标准配置方案一标准配置方案一 适用于适用于 HW S5700 CISCO2911 防火墙结构的分支防火墙结构的分支 文档编文档编号 号 密级 密级 商密 版本编号 版本编号 V1 0日期 日期 xxxx xx xx 深深信信服服科科技技 客客户户服服务务部部 XXXX 报告报告页码页码 1 1 4040 密级 商密密级 商密 版本变更记录版本变更记录 时间时间版本版本说明说明修改人修改人 20131115V1 0初稿完成 20131119V1 1增加流程图杨志刚 20131122V1 2增加 IPSEC 截图杨志刚 本文中出现的任何文字叙述 文档格式 插图 照片 方法 过程等内容 除另有特别注明 版权均 属深信服所有 受到有关产权及版权法保护 任何个人 机构未经深信服的书面授权许可 不得以任何方 式复制或引用本文的任何片断 版权声明版权声明 深深信信服服科科技技 客客户户服服务务部部 XXXX 报告报告页码页码 2 2 4040 密级 商密密级 商密 目目 录录 1 操作流程 4 2 网络配置 4 2 1 登陆设备控制台 4 2 2 接口和区域配置 6 2 3 路由配置 10 2 4 DNS 配置 11 2 5 NAT 代理上网配置 11 2 6 应用控制策略配置 12 3 割接操作步骤 14 3 1 TOP变化 14 3 2 割接步骤 14 4 认证配置 15 4 1 认证服务器设置 15 4 2 认证策略配置 18 5 IPSEC 专线备份配置 21 5 1 IPSEC总部配置 21 5 2 IPSEC分支配置 23 6 流量管理配置 27 6 1 自定义应用 27 6 2 虚拟线路配置 29 6 3 通道配置 29 6 4 流量统计配置 32 6 5 流量统计报表 32 7 行为管理配置 34 7 1 定义上班时间 34 7 2 普通员工上网策略 34 7 3 分公司总经理上网策略 37 8 配置备份 38 9 日常维护 39 深深信信服服科科技技 客客户户服服务务部部 XXXX 报告报告页码页码 3 3 4040 密级 商密密级 商密 深深信信服服科科技技 客客户户服服务务部部 XXXX 报告报告页码页码 4 4 4040 密级 商密密级 商密 1 操作流程操作流程 2 网络配置网络配置 2 1 登陆设备控制台登陆设备控制台 AF 设备控制台采用 WEB 访问管理 使用加密的 HTTPS 协议 设备初始配置时 可以 使用 manage 口的默认 IP 地址 10 251 251 251 24 地址进行管理 深深信信服服科科技技 客客户户服服务务部部 XXXX 报告报告页码页码 5 5 4040 密级 商密密级 商密 首先为登陆控制台的电脑配置一个 10 251 251 X 网段的 IP 如配置 10 251 251 100 然后在浏览器中访问 AF 的默认管理地址 https 10 251 251 251 出现一个如下图的安全 提示 点击 继续浏览此网站 后出现以下的登录界面 在登陆框输入 用户名 和 密码 点击登录按钮即可登录 NGAF 设备进行配置 出厂情况下的用户名和密码为 admin admin 深深信信服服科科技技 客客户户服服务务部部 XXXX 报告报告页码页码 6 6 4040 密级 商密密级 商密 2 2 接口和区域配置接口和区域配置 设备有四个接口 分别是 ETH1 Manage ETH1 ETH2 ETH3 该网络结构下 接 口和区域按如下规范进行配置 接口接口类型类型描述描述区域区域IP 地址地址 ETH0 manage 路由内网接口 接入核心 内网区域 ETH1透明To 5700 x 接入核心 ETH2透明To 2911 x 专线接入 ETH3路由互联网接口 互联网接入 外网区域 Veth 1 网桥接口专线 其中 表示不存在 x 表示具体的连接接口 配置截图如下 其中 IP 地址列表中的 10 251 251 251 24 为设备默认地址 无法删除 直接在该列表中 新增内网 IP 地址即可 深深信信服服科科技技 客客户户服服务务部部 XXXX 报告报告页码页码 7 7 4040 密级 商密密级 商密 其中 access 设置的值默认为 1 如果修改 则后续创建的 VLAN 接口也必须与之对应 深深信信服服科科技技 客客户户服服务务部部 XXXX 报告报告页码页码 8 8 4040 密级 商密密级 商密 由于该接口是专线透明接口的外网接口 连接专线路由器 2911 需在 基本属性 中 勾选 WAN 口 以便在流控策略中定义该线路 深深信信服服科科技技 客客户户服服务务部部 XXXX 报告报告页码页码 9 9 4040 密级 商密密级 商密 互联网接口同样需要勾选 WAN 口属性 且必须配置下一跳网关 在 VLAN 接口中新增 VLAN 接口 深深信信服服科科技技 客客户户服服务务部部 XXXX 报告报告页码页码 1010 4040 密级 商密密级 商密 其中接口名称必须与之前设置的透明接口 ETH1 ETH2 中 access 的值一致 2 3 路由配置路由配置 路由配置主要用于配置互联网的默认路由和分支网段的回程路由 配置方法如下 深深信信服服科科技技 客客户户服服务务部部 XXXX 报告报告页码页码 1111 4040 密级 商密密级 商密 其中 10 x x 0 根据各分支网段的不同 分别配置到内网网段的路由 下一跳为连接内 网接口的核心交换机的地址 2 4 DNS 配置配置 DNS 主要是防火墙设备在线更新规则库使用 对业务网络没有影响 配置方法如下 可以配置对应运营商的 DNS 地址或者如上图 配置通用 DNS 地址 2 5 NAT 代理上网配置代理上网配置 NAT 代理上网配置 用户内网用户通过地址转换访问互联网 在 防火墙 地址转 换 中新增 源地址转换 策略 配置方法如下 深深信信服服科科技技 客客户户服服务务部部 XXXX 报告报告页码页码 1212 4040 密级 商密密级 商密 2 6 应用控制策略配置应用控制策略配置 由于防火墙默认拒绝所有区域到区域之间的访问 因此 需要在 内容安全 应用控 制策略 中配置一条允许策略 放通内外网之间的访问 配置方法如下 深深信信服服科科技技 客客户户服服务务部部 XXXX 报告报告页码页码 1313 4040 密级 商密密级 商密 完成如上配置后 设备接入网络 即可实现基本的网络互联互通 深深信信服服科科技技 客客户户服服务务部部 XXXX 报告报告页码页码 1414 4040 密级 商密密级 商密 3 割接操作步骤割接操作步骤 3 1 top 变化变化 3 2 割接步骤割接步骤 操作步骤验证方式 1 AF 的 ETH0 manage 口连接核心交换机 S5700 原来连接 sonicwall 防火墙的接口 测试在 S5700 上可以 ping 通 AF 的 ETH0 MANAGE 口配置的 IP 地址 即内 网接口 IP 2 将互联网线路连接到 AF 的 ETH3 口 测试在 AF 上可以 ping 通互联网接口的网关 地址 可以 ping 通外网地址 内网 PC 可以 访问互联网 3 将 AF 的 ETH2 口连接专线路由器测试核心交换机 S5700 和专线路由器 2911 深深信信服服科科技技 客客户户服服务务部部 XXXX 报告报告页码页码 1515 4040 密级 商密密级 商密 CISCO2911 原来连接 AC 的接口 AF 的 ETH1 连接核心交换机 S5700 原来连接 AC 的接口 即将 AF 的 ETH1 ETH2 串接在核 心交换机和专线路由器之间 之间可以建立 OSPF 邻居 在 S5700 上可以 ping 通总部服务器 内网 PC 可以访问总部 业务系统 4 认证配置认证配置 4 1 认证服务器设置认证服务器设置 在 认证系统 用户认证 的 外部认证服务器 中 新增 LDAP 服务器 配置方法 如下 深深信信服服科科技技 客客户户服服务务部部 XXXX 报告报告页码页码 1616 4040 密级 商密密级 商密 然后在 用户管理 LDAP 自动同步 中新增用户同步策略 配置方法如下 深深信信服服科科技技 客客户户服服务务部部 XXXX 报告报告页码页码 1717 4040 密级 商密密级 商密 深深信信服服科科技技 客客户户服服务务部部 XXXX 报告报告页码页码 1818 4040 密级 商密密级 商密 4 2 认证策略配置认证策略配置 在 用户认证 认证策略 中启用认证策略 勾选认证区域为 内网区域 然后 修改默认策略 配置方法如下 深深信信服服科科技技 客客户户服服务务部部 XXXX 报告报告页码页码 1919 4040 密级 商密密级 商密 深深信信服服科科技技 客客户户服服务务部部 XXXX 报告报告页码页码 2020 4040 密级 商密密级 商密 深深信信服服科科技技 客客户户服服务务部部 XXXX 报告报告页码页码 2121 4040 密级 商密密级 商密 5 IPsec 专线备份配置专线备份配置 5 1 IPsec 总部配置总部配置 其中 当分支是固定 IP 地址时 IPsec Prmary Gateway Name or Address 填写分支外 网 IP 地址 Shared Secret 预共享密钥 统一配置为 haidvpn IKE ID 选择 IP Address 类 型 填写对应的外网 IP 地址 当分支是 ADSL 拨号或其他非固定 IP 地址时 IPsec Prmary Gateway Name or Address 填写 IKE ID 选择 FQDN 类型 以分支名称填写对应的 ID 值 如分支是荆州 则填写 jingzhou 总部固定为 sonicwall 深深信信服服科科技技 客客户户服服务务部部 XXXX 报告报告页码页码 2222 4040 密级 商密密级 商密 其中 本地网络选择总部的网段 目的网络选择对应分支的网段 安全参数配置上下图 深深信信服服科科技技 客客户户服服务务部部 XXXX 报告报告页码页码 2323 4040 密级 商密密级 商密 其中 当分支外网为固定 IP 时 模式 Exchange 选择为主模式 Main Mode 当分支外网为 ADSL 拨号或其他非固定 IP 时 模式 Exchange 选择为野蛮模式 Aggressive Mode 5 2 IPsec 分支配置分支配置 AF 配置 Ipsec 需先在 VPN 中配置 外网接口设置 和 内网接口设置 具体配 置方法如下 深深信信服服科科技技 客客户户服服务务部部 XXXX 报告报告页码页码 2424 4040 密级 商密密级 商密 其中 外网是 ADSL 拨号方式的 仅选择外网接口即可 配置完成内 外网接口设置后 在第三方对接中 配置 IPsec VPN 当分支外网接口为 固定 IP 时 在第一阶段的配置中 按照如下方法配置 深深信信服服科科技技 客客户户服服务务部部 XXXX 报告报告页码页码 2525 4040 密级 商密密级 商密 当分支外网接口为 ADSL 拨号时 按照如下方法配置 其中预共享密钥为 haidvpn ADSL 拨号时 模式为 野蛮模式 身份类型为 域名 字符串 FQCN 我方身份 ID 为分支结构名称的全拼 如荆州为 jingzhou 对方身份 ID 固定配置为 sonicwall 在第二阶段的 入站策略 和 出站策略 中分别设置总部和分支的网段 具体配置方 法如下 深深信信服服科科技技 客客户户服服务务部部 XXXX 报告报告页码页码 2626 4040 密级 商密密级 商密 然后在 安全选项 中编辑默认安全选项 设置参数如下 深深信信服服科科技技 客客户户服服务务部部 XXXX 报告报告页码页码 2727 4040 密级 商密密级 商密 配置完成后 可以在 DLAN 运行状态中查询到 VPN 连接如下 6 流量管理配置流量管理配置 6 1 自定义应用自定义应用 在 对象定义 自定义应用 中 根据内网业务系统的 IP 地址定义各个业务系统 用于对业务系统进行流量管理和统计 配置方法如下 深深信信服服科科技技 客客户户服服务务部部 XXXX 报告报告页码页码 2828 4040 密级 商密密级 商密 实施时只需将如下附件在 自定义应用 中导入即可 深深信信服服科科技技 客客户户服服务务部部 XXXX 报告报告页码页码 2929 4040 密级 商密密级 商密 6 2 虚拟线路配置虚拟线路配置 在 流量管理 虚拟线路配置 中新增虚拟线路 选择对应的线路外出接口 专线出 口为 ETH2 互联网出口为 ETH3 设置对应的带宽值 配置方法如下 为规范配置 线路 1 选择出接口为 ETH3 为互联网线路 线路 2 选择出接口为 ETH2 为专线线路 6 3 通道配置通道配置 在 通道配置 中新增通道 配置对应业务系统或互联网应用的流控策略 如 SAP 在 专线上保证 45 的流量 配置如下 深深信信服服科科技技 客客户户服服务务部部 XXXX 报告报告页码页码 3030 4040 密级 商密密级 商密 深深信信服服科科技技 客客户户服服务务部部 XXXX 报告报告页码页码 3131 4040 密级 商密密级 商密 其中 适用应用和目标 IP 组只需要选择其中之一即可 也可以全部都选择 IP 组需 自定义或者在 对象定义 IP 组 中导入如下附件 海大业务系统IP组 csv 流量管理通道配置列表如下 深深信信服服科科技技 客客户户服服务务部部 XXXX 报告报告页码页码 3232 4040 密级 商密密级 商密 6 4 流量统计配置流量统计配置 在 系统 日志设置 中启用 流量统计 以便后续在数据中心中统计内网业务系 统的流量使用情况 配置方法如下 6 5 流量统计报表流量统计报表 在设备控制台的右上角点击 内置数据中心 可以进入设备日志中心 在该中心可以 进行查询日志 生成报表等操作 需要统计海大业务系统的流量使用情况时 可以在 统计分析 中设置 流量统计 报 表 选择 应用 为海大业务系统 具体配置方法如下 深深信信服服科科技技 客客户户服服务务部部 XXXX 报告报告页码页码 3333 4040 密级 商密密级 商密 设置好条件后 点击查询 即可打开生成的报表 在报表的右上角可以选择以什么格式 导出报表 下图是流量统计的报表示例 深深信信服服科科技技 客客户户服服务务部部 XXXX 报告报告页码页码 3434 4040 密级 商密密级 商密 7 行为管理配置行为管理配置 7 1 定义上班时间定义上班时间 在 对象定义 时间计划 中新增 循环时间计划 配置方法如下 7 2 普通员工上网策略普通员工上网策略 普通员工上网策略用于限制普通员工在上班时间访问互联网的权限 主要用于禁止上班 时间使用 P2P 视频 游戏等应用 禁止上班时间访问购物 在线交易等网站 增加带宽有 效利用率 禁止木马控制程序和一些非法网站 避免主机感染病毒或木马 配置时 在 内容安全 应用控制策略 中新增应用控制策略 配置方法如下 深深信信服服科科技技 客客户户服服务务部部 XXXX 报告报告页码页码 3535 4040 密级 商密密级 商密 其中 用户组选择该策略要应用的用户 如财务部 行政部等 源区域为内网区域 目 的区域为外网区域 然后在 服务 应用 中选择应用 然后勾选要禁止的应用 网络流媒体 游戏 P2P P2P 流媒体 下载工具 代理工具 木马控制 股票行情和股票交易 生效时间选择 上班时间 深深信信服服科科技技 客客户户服服务务部部 XXXX 报告报告页码页码 3636 4040 密级 商密密级 商密 在 内容安全 web 过滤 的 url 过滤 中新增 url 过滤策略 在 URL 分类中选择 要禁止的 URL 类别 配置方法如下 深深信