Netscreen防火墙保护内网安全的一个解决方案

1、部署Netscreen防火墙保护内网安全目前有很多用户存在内网访问控制的需求，希望能够充分利用防火墙的访问控制能力进一步细分内网的安全子域，由于办公用户和内部应用主机通常接在交换机上，要想在交换机上实现不同VLAN间访问控制和隔离，对交换机处理要求比较高，实施起来比较复杂而且维护不方便。经测试验证：交换机和Netscreen防火墙结合起来可以很好地解决内网访问控制问题，通过Trunkaggregate接口并结合防火墙的zone和Policy能够提供更细粒度的内网访问控制。下面结合一个客户案例做一个扼要介绍。客户需求：1、需要对内网所有VLAN间的流量实施统一的安全管理策略，容许VLAN间流量的

2、单向、双向访问或拒绝访问。2、保持现有网络架构不变，防火墙里面接三层交换机，交换机直连服务器和用户，充分利用现有Netscreen防火墙安全处理能力，无需额外采购防火墙放置在交换机和服务器之间。3、对于需要加强访问控制的流量由防火墙处理，而部分无需实行访问控制的流量则直接由交换机进行转发。解决方案：根据客户的具体需求，Netscreen防火墙在交换机协助下通过Trunk进行连接，并将不同的VLAN子接口放在不同的zone中，通过Policy来控制VLAN间流量访问。为了提高流量的吞吐量，可以在交换机和防火墙间通过千兆以太网捆绑通道相连，提高了网络的带宽和可靠性。测试环境：其中vlan2和vla

3、n3网关终结在防火墙上，并位于不同的zone，vlan4和vlan5网关终结在cisco交换机上，vlan4和vlan5间流量直接通过交换机转发。同时在防火墙和交换机trunk中继上配置单独子网，用于解决vlan2/3和vlan4/5的互访。测试目标：1、 VLAN2可以访问VLAN4服务器的WEB应用，而VLAN3可以访问VLAN4服务器的mail应用2、 VLAN2可以访问VLAN3整个网段，而VLAN3仅可以访问VLAN2的FTP应用。3、 VLAN4和VLAN5间流量直接由交换机转发处理，流量无需经过防火墙。4、 除此以外，所有访问都不容许访问。测试结果：1、通过配置聚合端口使防火墙和

4、交换机的转发能力得到大副提高，同时增强了链路的冗余性。2、通过Trunk中继技术，使防火墙能够正确地识别交换机配置的不同VLAN ID，并通过Policy提供单向的严格访问控制。3、对于一些vlan间无需访问控制的流量，可在交换机上直接终结这些VLAN，使这些VLAN间的流量转发不经过防火墙，由交换机直接进行交换处理。配置信息：一、 NS5200set zone Trust vrouter trust-vrset zone Untrust vrouter trust-vrset zone DMZ vrouter trust-vrset group service MAIL1 comment S

5、MTP+POP3set group service MAIL1 add POP3set group service MAIL1 add SMTPset interface id 109 aggregate1 zone Untrustset interface ethernet2/7 aggregate aggregate1set interface ethernet2/8 aggregate aggregate1set interface aggregate1.2 tag 2 zone Trustset interface aggregate1.3 tag 3 zone Untrustset

6、interface aggregate1.10 tag 10 zone DMZset interface aggregate1.2 ip /24set interface aggregate1.2 routeset interface aggregate1.3 ip /24set interface aggregate1.3 routeset interface aggregate1.10 ip /24 /*与防火墙互连网段，用于转发VLAN4/5与Vlan2/3中间的流量*/set interface aggregate1.10 r

7、outeset policy id 1 from TrusttoDMZ Any /24 HTTP permitset policy id 2 from UntrusttoDMZ Any /24 MAIL1 permitset policy id 3 from Untrust to trust Any Any FTP permitset policy id 4 from Trust to Untrust Any Any ANY permitset route /24 interface aggregate1.10 gateway

8、set route /24 interface aggregate1.10 gateway /*转发VLAN4/5与Vlan2/3间流量的路由*/二、 Cisco 3550（EMI Version）interface Port-channel1 switchport mode dynamic desirable!interface FastEthernet0/2 switchport access vlan 2 switchport mode access!interface FastEthernet0/3 switchport acces

9、s vlan 3 switchport mode access!interface FastEthernet0/4 switchport access vlan 4 switchport mode access!interface FastEthernet0/5 switchport access vlan 5 switchport mode access!interface FastEthernet0/10 switchport access vlan 10 switchport mode access!interface GigabitEthernet0/1 /*port-channel+

10、Trunk*/ switchport trunk encapsulation dot1q switchport mode trunk channel-group 1 mode desirable!interface GigabitEthernet0/2 /*port-channel+Trunk*/ switchport trunk encapsulation dot1q switchport mode trunk channel-group 1 mode desirable!interface Vlan4 /*在交换机上终结Vlan4的流量*/ ip address 2

11、!interface Vlan5 /*在交换机上终结Vlan5的流量*/ ip address !interface Vlan10 /*与防火墙互连网段，用于转发VLAN4/5与Vlan2/3中间的流量*/ ip address !ip classlessip route 备注：1、 聚合端口需要NS5200/5400或ISG1000/2000的8G2模块支持。2、 在测试过程中，拔调聚合端口中的一个网线不会出现ping丢包现象，

12、但是如果恢复拔掉的网线，防火墙需要将该端口加入到聚合端口中并进行流量再分配，会出现下面的丢包现象（共丢6个ping包，流量中断30秒），聚合端口完成流量重新分配后，网络恢复正常，不再出现ping丢包。C: ping Pinging with 32 bytes of data:Reply from : bytes=32 time=1ms TTL=64Reply from : bytes=32 time=1ms TTL=64Request timed out.Reply from : bytes=32 time=1ms TTL=64Reply from : bytes=32 time=1ms TTL=64Request timed out.Request timed out.Request timed out.Request timed out.Request timed out.Reply from : bytes=32 time=1ms TTL=64Reply from : bytes=32 time=1ms TTL=64Reply from 192.168.