實例解析防火墻部署搭建與故障排除

    安全無小事！近段時間“密碼泄露”事件鬧得沸沸揚揚，人心惶惶。先是CSDN用戶數(shù)據(jù)庫的泄露，這對從事計算機技術(shù)工作的人員來說可謂是當(dāng)頭一棒。因為絕大多數(shù)IT技術(shù)工作者都在CSDN注冊過賬號，而且?guī)缀醵际鞘褂猛�一個用戶名和密碼，注冊了其它類的技術(shù)網(wǎng)站。發(fā)生“CSDN用戶數(shù)據(jù)庫泄露”事件后，反正我是趕緊把自己在用的許多技術(shù)類網(wǎng)站的密碼都改了過來。但是剛改完沒多久，又出現(xiàn)了天涯、新浪微博等泄密事件。真是防不勝防！

    難道互聯(lián)網(wǎng)上就沒有安全的地方了嗎？我認(rèn)為還是有的，要不然也沒有這么多人使用互聯(lián)網(wǎng)。只不過近段時間接二連三暴露的問題太多了。不過，有了問題只要通過各種安全措施把它解決了，同樣可以提高互聯(lián)網(wǎng)的安全性。本文就涉及到企業(yè)網(wǎng)絡(luò)中防火墻設(shè)備部署、安裝和配置。雖然防火墻不能解決所有的安全問題，但它在網(wǎng)絡(luò)中的部署也是絕對不能少的。

圖1　單位網(wǎng)絡(luò)架構(gòu)和防火墻部署圖示

一、網(wǎng)絡(luò)架構(gòu)和防火墻部署情況

    單位網(wǎng)絡(luò)結(jié)構(gòu)圖如圖1所示。為了確保重要設(shè)備的穩(wěn)定性和冗余性，核心層交換機使用兩臺6509-E，通過Trunk線連接。在辦公區(qū)的接入層使用了多臺Cisco 2960交換機，圖示為了簡潔，只畫出了兩臺。在核心層交換機6509-E上，通過防火墻連接有單位重要的服務(wù)器，如FTP、E-MAIL服務(wù)器和數(shù)據(jù)庫等。單位IP地址的部署，使用的是C類私有192網(wǎng)段的地址。DHCP服務(wù)器的IP地址為192.168.10.1，F(xiàn)TP服務(wù)器的IP地址是192.168.5.2。Cisco 6509-E和Cisco 3750之間，以及Cisco 3750和Cisco 2960之間都是Trunk連接。

    圖1中的橘黃色線表示的是用光纖連接，藍(lán)色線表示的是用雙絞線連接。而且從兩臺6509上分別延伸出來了的兩條黃色線，一條豎線和一條橫線，它們在拓?fù)鋱D中其實是對兩臺6509上端口的一種擴展，并不是這兩條線只連接到6509上的一個端口，而是連接了多個端口。這種布局的拓?fù)鋱D，在結(jié)構(gòu)上就顯得更清晰明了。

    單位根據(jù)部門性質(zhì)的不同，把各個部門的電腦劃入到不同的VLAN中。服務(wù)器都位于VLAN 2至VLAN 10中，對應(yīng)的網(wǎng)絡(luò)號是192.168.2.0~192.168.10.0，如DHCP服務(wù)器位于VLAN 10中，F(xiàn)TP服務(wù)器位于VLAN 5中。服務(wù)器的IP地址、默認(rèn)網(wǎng)關(guān)和DNS都是靜態(tài)配置的。VLAN 11至VLAN 150是屬于辦公部門使用的，對應(yīng)的網(wǎng)絡(luò)號是192.168.11.0~192.168.150.0。VLAN號和網(wǎng)絡(luò)號之間都是對應(yīng)的。VLAN中的PC都是通過Cisco 2960接入到網(wǎng)絡(luò)中，3750都是二層配置，三層的配置都在Cisco 6509上，也就是VLAN間的路由都是通過6509完成的。PC的IP地址、默認(rèn)網(wǎng)關(guān)和DNS都是自動從DHCP服務(wù)器上獲得的，不用手工靜態(tài)配置。

    如圖1所示，兩臺防火墻都是聯(lián)想Power V防火墻，它們運行的模式都為透明模式，也就是以“橋”模式運行的，本身只需要配置一個管理IP地址，不必占用任何其它的IP資源，也不需要改變用戶的拓?fù)洵h(huán)境，設(shè)備的運行對用戶來說是“透明”的，在網(wǎng)絡(luò)設(shè)備上進(jìn)行各種命令的配置時，就當(dāng)不存在這兩個防火墻一樣，因為它們是透明模式。它們只對線路上的數(shù)據(jù)包作安全檢查，和安全策略上的限制，本身不會影響網(wǎng)絡(luò)的整體架構(gòu)和配置。這種模式在安裝和維護(hù)防火墻時，相對防火墻的另外一種運行模式——路由模式，來說要簡單很多。

    Cisco 6509-E和核心區(qū)Cisco 2960之間不是Trunk模式連接，而是使用接入模式連接的，也就是兩臺Cisco 6509-E的Gi3/2位于VLAN 5中，核心區(qū)兩臺Cisco 2960的Gi0/1也位于VLAN 5中。兩臺6509和兩臺3750之間，以及辦公區(qū)中網(wǎng)絡(luò)設(shè)備間的連接情況如下所示：

    Cisco 6509-E1 GigabitEthernet 3/1 <----> Cisco3750A GigabitEthernet 1/0/25
    Cisco 6509-E2 GigabitEthernet 3/1 <----> Cisco3750B GigabitEthernet 1/0/25
    Cisco 3750A GigabitEthernet 1/0/1 <-----> Cisco 2960A GigabitEthernet 0/1
    Cisco 3750B GigabitEthernet 1/0/1 <-----> Cisco 2960B GigabitEthernet 0/1

    兩臺6509和兩臺防火墻之間的，以及核心區(qū)中網(wǎng)絡(luò)設(shè)備間的連接情況如下所示：

    Cisco 6509-E1 GigabitEthernet 3/2 <-----> FW-A GigabitEthernet 1
    Cisco 6509-E2 GigabitEthernet 3/2 <-----> FW-B GigabitEthernet 1
    FW-A GigabitEthernet 2 <-----> Cisco 2960A GigabitEthernet 0/1
    FW-B GigabitEthernet 2 <-----> Cisco 2960B GigabitEthernet 0/1

二、主要網(wǎng)絡(luò)設(shè)備上的配置情況

    1、兩臺核心交換機上的配置情況。在Cisco 6509-E1上的主要配置如下所示：

    hostname Cisco 6509-E1
    !
    interface GigabitEthernet3/1
    description Link3750A_1/0/25
    switchport trunk encapsulation dot1q
    switchport trunk allowed vlan 5,115
    switchport mode trunk
    !
    interface GigabitEthernet3/2
    description Link_FW-A_Gi1
    switchport access vlan 5
    switchport mode access
    !
    interface Vlan5
    ip address 192.168.5.252 255.255.255.0
    standby 5 ip 192.168.5.254
    standby 5 priority 120
    standby 5 preempt
    !
    interface Vlan115
    ip address 192.168.115.252 255.255.255.0
    standby 115 ip 192.168.115.254
    standby 115 priority 120
    standby 115 preempt

    其中命令“ip address 192.168.5.252 255.255.255.0”是給指定的VLAN配置IP地址。

    命令“standby 5 priority 120”中的“priority”是配置HSRP的優(yōu)先級，5為組序號，它的取值范圍為0～255，120為優(yōu)先級的值，取值范圍為0～255，數(shù)值越大優(yōu)先級越高。

    優(yōu)先級將決定一臺路由器在HSRP備份組中的狀態(tài)，優(yōu)先級最高的路由器將成為活動路由器，其它優(yōu)先級低的路由器將成為備用路由器。當(dāng)活動路由器失效后，備用路由器將替代它成為活動路由器。當(dāng)活動和備用路由器都失效后，其它路由器將參與活動和備用路由器的選舉工作。優(yōu)先級都相同時，接口IP地址高的將成為活動路由器。

    “preempt”是配置HSRP為搶占模式。如果需要高優(yōu)先級的路由器能主動搶占成為活動路由器，則要配置此命令。配置preempt后，能夠保證優(yōu)先級高的路由器失效恢復(fù)后總能成為活動路由器。活動路由器失效后，優(yōu)先級最高的備用路由器將處于活動狀態(tài)，如果沒有使用preempt技術(shù)，則當(dāng)活動路由器恢復(fù)后，它只能處于備用狀態(tài)，先前的備用路由器代替其角色處于活動狀態(tài)。

    命令“standby 5 ip 192.168.5.254”作用是啟動HSRP，如果虛擬IP地址不指定，路由器就不會參與備份。虛擬IP應(yīng)該是接口所在的網(wǎng)段內(nèi)的地址，不能配置為接口上的IP地址。

    在Cisco 6509-E2上的主要配置如下所示：

    hostname Cisco 6509-E2
    !
    interface GigabitEthernet3/1
    description Link3750B_1/0/25
    switchport trunk encapsulation dot1q
    switchport trunk allowed vlan 5,115
    switchport mode trunk
    !
    interface GigabitEthernet3/2
    description Link_FW-B_Gi1
    switchport access vlan 5
    switchport mode access
    !
    interface Vlan5
    ip address 192.168.5.253 255.255.255.0
    standby 5 ip 192.168.5.254
    standby 5 priority 120
    standby 5 preempt
    !
    interface Vlan115
    ip address 192.168.115.253 255.255.255.0
    standby 115 ip 192.168.115.254
    standby 115 priority 120
    standby 115 preempt

    2、在辦公區(qū)兩臺Cisco 3750和兩臺Cisco 2960上的配置情況。在Cisco 3750A上的配置：

    hostname Cisco3750A
    !
    interface GigabitEthernet1/0/25
    description Link6509-E1 3/1
    switchport trunk encapsulation dot1q
    switchport trunk allowed vlan 5,115
    switchport mode trunk
    !
    interface GigabitEthernet1/0/1
    description Link2960A 0/1
    switchport trunk encapsulation dot1q
    switchport trunk allowed vlan 5,115
    switchport mode trunk

    在Cisco 3750B上的配置：

    hostname Cisco3750B
    !
    interface GigabitEthernet1/0/25
    description Link6509-E2 3/1
    switchport trunk encapsulation dot1q
    switchport trunk allowed vlan 5,115
    switchport mode trunk
    !
    interface GigabitEthernet1/0/1
    description Link2960B 0/1
    switchport trunk encapsulation dot1q
    switchport trunk allowed vlan 5,115
    switchport mode trunk

    在Cisco 2960A上的配置：

    hostname Cisco2960A
    !
    interface GigabitEthernet0/1
    description Link3750A 1/0/1
    switchport trunk encapsulation dot1q
    switchport trunk allowed vlan 5,115
    switchport mode trunk

    在Cisco 2960B上的配置：

    hostname Cisco2960B
    !
    interface GigabitEthernet0/1
    description Link3750B 1/0/1
    switchport trunk encapsulation dot1q
    switchport trunk allowed vlan 5,115
    switchport mode trunk

    3、在核心區(qū)兩臺Cisco 2960上的主要配置情況如下所示。在Cisco 2960A上的配置：

    hostname Cisco2960A
    !
    interface GigabitEthernet0/1
    description Link3750A 1/0/1
    switchport access vlan 5
    switchport mode access

    在Cisco 2960B上的配置：

    hostname Cisco2960B
    !
    interface GigabitEthernet0/1
    description Link3750B 1/0/1
    switchport access vlan 5
    switchport mode access

    注意，在辦公區(qū)和核心區(qū)中Cisco 2960交換機上的配置情況是不一樣的，前者交換機上的端口的配置為Trunk模式，而后者的端口模式為Access模式。

核心關(guān)注：拓步ERP系統(tǒng)平臺是覆蓋了眾多的業(yè)務(wù)領(lǐng)域、行業(yè)應(yīng)用，蘊涵了豐富的ERP管理思想，集成了ERP軟件業(yè)務(wù)管理理念，功能涉及供應(yīng)鏈、成本、制造、CRM、HR等眾多業(yè)務(wù)領(lǐng)域的管理，全面涵蓋了企業(yè)關(guān)注ERP管理系統(tǒng)的核心領(lǐng)域，是眾多中小企業(yè)信息化建設(shè)首選的ERP管理軟件信賴品牌。

轉(zhuǎn)載請注明出處：拓步ERP資訊網(wǎng)http://m.hanmeixuan.com/

本文標(biāo)題：實例解析防火墻部署搭建與故障排除

本文網(wǎng)址：http://m.hanmeixuan.com/html/support/1112187575.html