防火墙网络架构改造方案计划

PAGE12防火墙网络架构改造方案二○一二年十月二十九日

目录一、概述 21.背景 22.建网状况说明 23.老架构存在的问题 44.升级改造网络要达到以下几点要求： 4二、网络设计 41. 网络拓扑设计 42. 设计策略 6三、网络安全设计 8四、配置举例 9五、总结 101．安全性 102．可靠性 113．不足缺陷和改进方法 114．升级后需要解决的问题 11附录： 12

一、概述1.背景健威家具企业建网时间较早，限于企业规模与当时的条件，组网方式为简单的工作组网，网络结构为星型结构，厂区建筑物间采用光纤相连，室内采用超五类双绞线。做到千兆为主干，百兆到桌面这样的网络架构。为满足业务人员的需要，采用电信光纤接入互联网。配有域管理，防火墙，代理服务器等安全保障。2.建网状况说明网络现状拓扑：（拓扑图）设备ID设备名称用途说明R2Fortigate-400飞塔防火墙防火墙兼做路由功能S1Catalyst-2960G思科二层交换机普通二层交换机S2Srw-2024G思科二层交换机普通二层交换机Serv1ERP、OA、Mailserver重要服务系统对外服务服务器Serv2FAX、FTPserver员工服务应用服务器对内服务服务器代理服务器2003server代理上网服务器控制出口流量域服务器2003server域管理网关管理内网用户及DNS指向采用同一网段工作组，随着厂区人数增多，掩码更改为，工作网内可容纳1000个有效IP。出口控制和路由依靠防火墙实现。分厂区沙发厂有光纤专线连接到总厂区访问日常办公应用服务，有单独的互联网接入口。用户数据流向图：（初流向图）如上图看出，用户数据要访问内部服务应用、访问互联网等必须流经防火墙，随着业务需求不断增多，用户数不断增多，防火墙常驻内存、CPU使用率均达60%以上。防火墙已服役6年，病毒库过期未更新。3.老架构存在的问题在当时，上述架构是中小型企业网络的主流架构，能够满足公司业务需要。但随着厂区规模不断扩展，信息化不断提高，原来的网络架构已经尽显疲态，具体表现在下面几个方面：采用工作组的组网方式，网络结构简单，为二层网络架构，且网络设备老化，功能单一，无法实现高级管理功能。因建网初期客户端较少，因此采用单一网段，随着客户端数量的增加，以及业务需要的不断提高，出于一些保密性和安全性需要，必须要划分vlan。尽管已开启域管理和代理服务器保障局域网安全，但是由于功能性和网络性能问题，始终出现网络病毒传播。4.升级改造网络要达到以下几点要求：提升网络性能，并支持扩展升级，为日后企业扩展做好准备。加固网络安全，在不影响客户终端配置的情况下，对骨干网络进行整改，提高数据安全性。控制成本，实用性要好，对现有网络架构能充分分配利用。二、网络设计网络拓扑设计拓扑图设备命名规则设备名放置位置设备型号说明R1出口路由器（带DMZ功能Fortigate防火墙）外部防火墙R2内部转发路由器Fortigate-400内部防火墙S1办公楼汇聚层Catalyst-2960G二层管理交换机S2研发楼汇聚层Srw-2024G二层管理交换机Serv1DMZ非军事区ERP、OA、Mailserver对外服务重要服务Serv2研发楼汇聚层FAX、FTPserver内部应用服务器域服务器R22003server控制出口流量代理服务器R22003server管理内网用户及DNS指向设计策略划分vlan提高网络的管用性。现有设备分析：骨干网络上S1：思科catalyst2960G、S2:思科srw2024G都是带管理功能的2层交换机，带有vlan划分功能。出口控制防火墙：Fortint400支持vlan路由转发。(vlan分析图)二层交换机划分不同VLAN之间必须通过路由功能才能实现通讯，如果VLAN的数量不断增加，流经路由与交换机之间链路的流量也变得非常大，此时，这条链路也就成为了整个网络的瓶颈。由于采用飞塔防火墙作路由功能，尽量只划分有必要的VLAN，即只对服务器和客户端用户进行VLAN划分。解决办法是使用三层交换机代替飞塔放火墙，三层交换技术在第三层实现了数据包的高速转发，从而解决了传统路由低速、负荷不足所造成的网络瓶颈问题。但由于三层交换机设备昂贵，本次改造方案暂不予考虑。划分DMZ保障关键服务系统的安全。使用防火墙为关键服务器提供隔离区，整个网络区分为三个部分WAN、LAN、DMZ，并确定其访问策略：1.内网可以访问外网2.内网可以访问DMZ3.外网不能访问内网4.外网可以访问DMZ不能访问内网不能访问外网（邮件服务器除外）在网络中，非军事区（DMZ）是指为不信任系统提供服务的孤立网段，其目的是把敏感的内部网络和其他提供访问服务的网络分开，阻止内网和外网直接通信，以保证内网安全。改造后用户数据流向图：改造后如上图：R2防火墙主要负责Serv2、域服务器、代理服务器的防护机制，通过防病毒过滤及访问策略控制对内部关键应用服务器进行保护。划分vlan后，因vlan隔离广播，能有效抑制网络病毒对应用服务器的感染。R1防火墙主要负责Serv1、互联网出口、沙发厂员工vpn接入的防护机制。购置带DMZ的Fortigate防火墙可提供最新的病毒库，能与R2病毒库兼容一并升级。改造后整个网络的安全体系升级，但网络性能瓶颈依然在R2防火墙上，解决办法是使用三层交换机代替R2放火墙。IP地址分配方案设备名IP接口接口说明R1F0/1VpnF0/2专线F0/3DMZF0/4TrunkR2F0/1TurnkF0/2代理、域服务器接口F0/3研发楼F0/4办公楼S1Vlan1（交换机默认所有接口）各终端Trunk(F0/)连接R2接口S2Vlan1（交换机默认所有接口）各终端Trunk(F0/)连接R2接口Vlan2(F0/)S2交换机下的内部服务器Serv2路由规划设备名路由网关说明R1Vpn出口DMZTrunkR2Turnk代理、域服务器接口研发楼办公楼S1各终端连接R2接口S2各终端连接R2接口S2交换机下的内部服务器Serv2三、网络安全设计出口控制规划表(防火墙)：序号源地址目的地址时间表服务保护内容表动作port1->port2(7)1IntallalwaysANYENCRYPT2MailserverKWRPSVR0608allalwaysANYACCEPT3四、配置举例S2交换机配置：S2#vlandatabaseS2<vlan>#vlan2S2<vlan>#ipaddress<IP地址><mask>S2<vlan>#exitS2#configterminalS2<config>#intrangef0/1-5S2<config-if-range>#switchportmodeaccessS2<config-if-range>#switchportaccessvlan2S2<config-if-range>#endS2<config>#interfacevlan1S2<config-if>#ipaddress<IP地址><mask>S2<config-if>#exitS2<config>#ipdefault-gateway<IP地址>S2<config>#intf0/24(设置turnk口)S2<config-if>#switchportmodetrunkS2<config-if>#switchporttrunkallowedvlan1,2S2<config-if>#switchporttrunkencapdot1q（vlan中继）S2<config-if>#exitS2<config>#enablesecretxxx（设置特权加密口为xxx）S2<config>#enablepasswordxxx（设置特权非加密口为xxx）S2<config-line>#linevty04S2<config-line>#loginS2<config-line>#passwordxxS2<config-line>#exitS2<config>#exitS2#write防火墙vlan配置：R1防火墙DMZ配置:进入防火墙>虚拟IP新建一个虚拟IP项目五、总结1．安全性通过以上网络改造后，网络架构从单一组网，转换成交换式网络。防火墙R2过滤了过往Serv2文件传输所造成的病毒传播。创建VLAN后，隔离了不同VLAN间的逻辑广播域，缩小了广播范围，能够阻止广播风暴的产生。整个网络的安全性能方面有了较大的提高。2．可靠性两台飞塔防火墙互为通用设备，任意一台发生故障时，另一台可以在极短时间内还原升级前配置，恢复以前的网络架构，为关键服务提高可靠的灾难应对方法。3．不足缺陷和改进方法在汇聚层上，仅依靠R2做路由转发功能，导致办公楼与研发楼间的数据交互受R2性能影响，传输速度有所影响。为了以后能更高效，更可靠的拓展公司业务，建议把老旧的R2防火墙换成思科三层交换机，其高效的数据交换足以满足公司网络汇聚层以后的发展要求。4．升级后需要解决的问题