防火墙在企业园区出口安全方案中的应用(ENSP实现)_基于ensp的大型企业双路由出口与双防火墙,以及两台三层交换机作为汇聚接入设备的

已于 2024-05-04 22:13:47 修改
阅读量1.2k 收藏 19
点赞数 15
CC 4.0 BY-SA版权
分类专栏: 程序员 文章标签: 安全
于 2024-05-04 22:13:45 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/2401_84300859/article/details/138451751

需求:

1、企业出口网关设备必须具备较高的可靠性,为了避免单点故障,要求两台设备形成双机热备状态。当一台设备发生故障时,另一台设备会接替其工作,不会影响业务正常运行。

2、企业从两个ISP租用了两条链路,要求出口网关设备可以识别流量的应用类型,将不同应用类型的流量送往合适的链路,提高链路利用率,避免网络拥塞。

3、企业内部用户分为研发部员工、市场部员工、生产部员工以及管理者,根据企业内部各个部门的实际业务需求,在出口网关设备上基于用户/部门和应用来制定访问控制策略。

4、为了实现企业内网大量用户通过公网地址访问Internet的目的,要求出口网关设备能够将私网地址转换为公网地址。

5、在网关设备上存储用户和部门的信息,体现公司的组织结构,供策略引用。在服务器区部署AD服务器,为实现基于用户的网络行为控制和网络权限分配提供基础。

6、对公司外的用户提供Web服务器和FTP服务器的访问。

7、企业内部网络面临来自Internet的非法访问、以及各种攻击和入侵行为,要求出口网关设备可以防范各种病毒、蠕虫、木马和僵尸网络攻击,保护公司网络的安全。此外,对公司员工访问的网站进行过滤,禁止所有成人网站和非法网站的访问。

8、要求出口网关设备防范针对企业内部网络的SYN Flood、UDP Flood攻击和畸形报文攻击。

9、要求出口网关设备可以基于应用的流量控制,对大量占用网络带宽的流量(如P2P流量)进行限制,保证关键业务的正常运行。此外,还可以基于不同用户/部门实施差异化的带宽管理。

10、要求出差和家庭办公的研发员工能够安全地使用公司的ERP系统和邮件系统,高级管理者和市场员工能够像在公司内网一样正常办公。

业务规划

1 IP、VLAN

部门 / 设备 / 用户 IP段 网关 Vlan
Market 10.1.11.0/24~10.1.15.0/24 网段内首个可用地址(VRRP) 11~15
Procure 10.1.21.0/24~10.1.25.0/24 网段内首个可用地址(VRRP) 21~25
Finance 10.1.31.0/24~10.1.35.0/24 网段内首个可用地址(VRRP) 31~35
HR 10.1.41.0/24~10.1.45.0/24 网段内首个可用地址(VRRP) 41~45
Wireless_Public 10.1.51.0/24~10.1.55.0/24 网段内首个可用地址(VRRP) 51~55
Services 10.1.60.0/24 网段内首个可用地址(VRRP) 60
Wireless_Guest
最低0.47元/天 解锁文章

200万优质内容无限畅学
SecPath防火墙在双ISP出口中的典型配置
11-11
SecPath防火墙在双ISP出口中的典型配置
防火墙企业园区出口安全方案中的应用(ENSP实现)
Shass的博客
01-25 3613
该方案描述了防火墙企业园区网络的Internet出口处的典型应用。如果您想在企业网络出口部署防火墙,完全可以借鉴此案例。该方案诠释了双机热备的经典组网:“防火墙上行连交换机,下行连三层设备”。我们可以借此理解双机热备的典型应用。该方案展现了防火墙作为网关的多出口选路能力,包括:全局智能选路和策略路由智能选路等功能。该方案还体现了防火墙应用识别和控制能力。防火墙不仅能够识别端口信息,还能够识别各种应用,并且能够根据应用进行访问控制、策略路由和流量控制。
前端该知道些密码学和安全上的事儿
dzqxwzoe的博客
01-03 408
从时代发展的角度看,网络安全的知识是学不完的,而且以后要学的会更多,同学们要摆正心态,既然选择入门网络安全,就不能仅仅只是入门程度而已,能力越强机会才越多。因为入门学习阶段知识点比较杂,所以我讲得比较笼统,大家如果有不懂的地方可以找我咨询,我保证知无不言言无不尽,需要相关资料也可以找我要,我的网盘里一大堆资料都在吃灰呢。干货主要有:①1000+CTF历届题库(主流和经典的应该都有了)②CTF技术文档(最全中文版)③项目源码(四五十个有趣且经典的练手项目及源码)
神州数码防火墙——防火墙出口配置实例(R4.0)
君逍遥o
10-13 1318
目前国内的骨干网南有电信北有网通,除此之外还有移动、教育网等。考虑到不同运营商之间的通信都需要到骨干网进行数据交换,因此跨运营商访问时比较慢。由此很多大型网络设置双出口、甚至多出口来规避这个问题。本文档以某高校实际环境、实际需求为例来讲解神州数码多核防火墙在多出口环境下的配置实例。文档中涉及到目的路由、ISP路由、源路由和策略路由,涉及到等价路由的负载均衡,路由转发权值、线路监控,还有多线路服务器映射后的逆向路由问题。
一般企业网络规划(防火墙出口
qq_21612759的博客
03-08 2780
FW-policy-security-rule-Trust_Intelnet]source-zone trust //放行trust安全区域。[FW-policy-security-rule-Trust_Intelnet]source-zone trust //放行trust安全区域。[FW-policy-nat-rule-Trust_Internet]source-zone trust //转换源trust区域。
Ensp毕业设计—高可靠性企业网络设计实现
最新发布
数维网络的博客
08-29 5750
不过需要注意的是保持VRRPMSTP的主备统一,比如VLAN111、121、131的根桥在A设备上,对应的VRRP网关,也应该以A为主,B为备用。共计800个信息点。公司通过设计层次化网络结构,把不同部门的流量进行区分,对快速增长的部门按需增加对应的接入设备,保证公司发展的同时也降低了成本。考虑到公司拥有多个部门,某些部门有网络隔离的需求,因此IP地址划分,将使用子网划分的方式来对每个部门进行规划,每一个部门使用单独的一个24位子网网段,保证连续性的同时还方便后续做汇总一些路由策略[8]。
eNSP校园网设计实现
qq_63822856的博客
07-16 4602
设计完成了VLAN 划分、WLAN、OSPF、VRRP等基本配置,之后出于对企业top图的完整性和网络安全性的考虑,在此基础上引入了防火墙防火墙双热备,并在防火墙上成功配置了OSPF、NAT、GRE VPN、IPsec VPN,成功完成了企业网的基本功能。
华为hcnp综合实验--基于园区网的真实案例
weixin_46202077的博客
01-26 1万+
拓扑图 1项目实施原则 (1)整体规划分步实施,一方面因为学校的资金情况,不能一步到位。二是依据需求,不能盲目投资。 (2)注重应用系统建设,计算机网络要想发挥出它的作用,必须有建立在它之上的应用系统。这里有一个非常形象的比喻:网络就像一条路,而应用系统就像一台车,只修路但没车跑,路也不能发挥它的作用。这必须跟据学校的实际情况,选择恰当的应用系统。 (3)把握当前先进性,要将未来的可扩展性和经济...
安全防御——二、ENSP防火墙实验学习
钟言的博客
11-04 1万+
本篇为安全防御——二、防火墙的基本概念以及配置,Web界面的配置,使用,详细内容包含了:防火墙口以及模式配置 1、untrust区域 2、trust区域 3、DMZ区域 4、口对演示 防火墙的策略 1、定义原理 2、防火墙策略配置 2.1 安全策略工作流程 2.2 查询和创建会话3.实验策略配置 3.1 trust-to-untrust 3.2 trust-to-dmz 3.3 untrust-to-dmz 、防火墙的区域等等
园区网络安全设计——出口防火墙
城下深蓝的博客
05-27 3581
园区网络安全设计——出口防火墙
11、中小企业网络架构-扩展配置防火墙双出口
友人A的博客
05-11 3578
网络拓扑: vlan2所在网段访问Internet的报文正常情况下流入链路ISP1; vlan3所在网段访问Internet的报文正常情况下流入链路ISP2; vlan2和vlan3所在链路互为备份,当某vlan的链路(主链路)出现故障时,流量切换到另一vlan所在的链路(备链路)上。 配置思路: 策略路由和IP-Link联动配置思路如下: 为实现不同链路分担不同流量,需要配置基于源地...
华为ensp防火墙双出口GRE over IPSEC主备切换
白话聊网络的博客
11-03 2867
IPSEC 对两个私网流量加密,通过GRE进行选路,通过静态路由来控制选路,但是主链路中的热任何节点故障,防火墙的主备ipsec流量该如何切换成为难题,这里用NQA和静态的联动,非常的可以解决该问题。配置nqa,只要你中间链路路由可达,指明目的地址,防火墙就开始发送nqa探测报文了。中间路由就是用动态协议打通网络,ospf isis 静态都可以,不是重点配置。本期实验适用在防火墙ipsec vpn多出口的场景,看拓扑。为两个gre隧道口创建两个ipsec名。配置ipsec流量进入gre隧道流量。
华为防火墙出口网关
m0_63775189的博客
07-20 3406
1、掌握基本口配置 2、掌握静态路由配置, 3、掌握防火墙安全策略及内容
有了这个网络安全面试题,面试就像开了挂!(附PDF)
lvaolan的博客
02-26 1693
还有兄弟不知道网络安全面试可以提前刷题吗?费时一周整理的160+网络安全面试题,金九银十,做网络安全面试里的显眼包!王岚嵚工程师面试题(附答案),只能帮兄弟们到这儿了!如果你能答对70%,找一个安全工作,问题不大。对于有1-3年工作经验,想要跳槽的朋友来说,也是很好的温习资料!【完整版领取方式在文末!!​​​​内容实在太多,不一一截图了。
ensp——防火墙安全策略配置实验
热门推荐
ChenD的学习笔记
11-08 2万+
ensp——防火墙配置初体验
防火墙配置NAT 多出口
qq_44757725的博客
11-13 5288
防火墙配置NAT多出口 配置实例 某企业的网络拓扑如下 部门A:vlan11:192.168.11.1 /24 部门B:vlan12:192.168.12.1/24 两个部门均通过vlan10接入防火墙,从而访问外部网络。内部服务器开启了web服务以及ftp服务,外部客户端只能访问内部的web服务和ftp服务。防火墙有联通和电信两个出口设备配置 防火墙配置 interface Gigabit...
ensp防火墙控制案例(防火墙控制无线,内网,dmz,外网,cloud云)
wudongfang666的专栏
04-24 3723
验证,如果让内网可以访问局域网,可以增加trust to guest 的策略,测试结果如下,第一、需要在trust区域内的交换机增加路由表到192.168.1.0网络的表项,第二、防火墙配置增加通过规则。出错点:私有ip分配的范围,开始用公网ip了,怎么也ping不同,后来改成私网ip就正常了,ap收敛时间比较长,多等待一些。#启动自动获取ip,在vlan192和vlan102里面分别设置,即ap自动获取ip,无线链自动获取ip。#各个vlan的ip地址 ,无线链设备自动获取ip,对应上面地址池。
实验 | 利用华为eNSP进行防火墙主备配置
网络技术联盟站
08-06 2452
局域网中有一台主机名为“PC1”的路由器,充当局域网内的客户端计算机,主机名为“AR1”的路由器充当客户端计算机的网关,FW1 为活动防火墙,F2 为备用防火墙,公共网络中有一台路由器充当互联网,另一台主机名为“PC2”的路由器充当计算机,FW1的口GE1/0/3FW2的口GE1/0/3相连,用于心跳链路。在 FW1 上,将防火墙规则配置为允许流量,如下所示,我们不需要在 FW2 上配置此规则,此规则会自动从 FW1 复制到 FW2。然后,让我们如下配置 IP 和 OSPF 路由协议。
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值