本文承接:
https://blog.csdn.net/qq_37633855/article/details/133339254?spm=1001.2014.3001.5501
重点讲解华为智能企业上网行为管理安全解决方案的部署流程。
华为智能企业上网行为管理安全解决方案(2)
- 课程地址
- 方案部署
- 整体流程
- 组网规划
- 基础网络配置
- 路由规划
- 安全区域规划
- 高可靠性配置
- 防火墙双机热备
- ASG双机热备
- 业务部署
- 上网行为管理
课程地址
本方案相关课程资源已在华为O3社区发布,可按照以下步骤进行访问(需要有华为账号哦,普通的个人账号即可~)
课程地址:
- 复制链接 https://o3community.huawei.com/ 进入华为O3社区;
- 点击“培训赋能 > 向导式学习”;
- 在向导式课程中选择《华为智能企业上网行为管理安全解决方案》即可看到课程相关内容。
华为O3社区平台会有课程配套技术文档和模拟试题。课程所有内容均为本人开发,学习过程中如有任何问题可随时在O3平台课程下方或者本文评论区留言讨论~
方案部署
整体流程
华为智能企业上网行为管理安全解决方案整体部署流程如下:
- 组网规划:设计方案底层组网与设备网络参数,确保设备合理部署;规划业务主备路径,保证业务韧性;
- 基础网络配置:完成设备基础网络参数配置与路由配置,确保底层业务网络基础路由可达;完成防火墙安全区域划分;
- 高可靠性配置:组建防火墙与ASG双机热备系统,提高整体网络可靠性,避免单点故障导致业务中断;
- 业务部署:配置防火墙侧NAT技术与安全策略,确保客户业务可正常交互;
- 上网行为管理:在ASG设备上基于客户具体需求配置对应的行为管理、行为审计策略,满足客户行为管理需求。
组网规划
华为智能企业上网行为管理安全解决方案组网规划如下图所示:
- 出口交换机为企业出口设备,负责接入运营商访问外网;
- 防火墙工作在三层,组建基于VRRP的主备模式双机热备系统,负责企业网络安全防护及NAT;
- ASG设备通过网桥模式部署在防火墙与核心交换机之间,组建主备模式双机热备,负责企业上网行为管理;
- 正常情况下业务走左侧主设备所在链路,主链路出现故障后,防火墙与ASG双机热备系统同步切换主备状态,将流量切换至右侧备用链路,保障企业关键业务不中断。
华为智能企业上网行为管理安全解决方案中使用到的网络地址段,具体规划如下所示。
说明:上表参数仅供参考,实际生产环境需根据实际情况合理调整。
基础网络配置
路由规划
以上文规划的网络参数为例,完成所有设备的接口IP地址后,需要在出口交换机和核心交换机上规划路由,基于本方案组网架构,具体的路由规划如下所示:
安全区域规划
防火墙是企业进行安全防护的核心设备,通过将业务网络划分为多个不同的安全区域,并根据企业的业务需求合理配置安全策略,即可实现域间业务流量的过滤,满足企业安防需求。本案例安全区域规划如下:
- Untrust区域:主要用于连接外部网络,确保企业有上网能力。
- Trust区域:主要连接企业内部业务网络,是防火墙重点保护的网络资产片区。
- DMZ区域:主备防火墙之间的心跳线规划到DMZ区域中,实现防火墙双机热备功能。
- Local区域:防火墙自身属于Local区域,主要包括防火墙的本地接口。
高可靠性配置
防火墙双机热备
为保证底层网络的可靠性,确保客户关键业务不因单台防火墙故障而中断,需组建防火墙双机热备系统,本方案选择基于VRRP的主备模式双机热备系统,具体配置流程如下:
- 配置防火墙心跳接口,用于交互HRP报文与VGMP报文;
- 配置HRP认证秘钥,确保防火墙双机热备系统安全性;
- 配置Link-Group,将所有业务接口作为一个整体监控,便于及时发现链路或端口故障,完成业务路径切换;
- 配置防火墙HRP设备角色,用于区分主备防火墙;
- 开启防火墙HRP协议,组建主备备份双机热备系统。
ASG双机热备
为保证底层网络的可靠性,确保客户关键业务不因单台ASG故障而中断,需组建ASG设备HA系统,本方案选择HA主备透明桥模式,具体配置流程如下:
- 工作模式选择主备;
- 开启配置同步和运行状态同步;
- 开启抢占模式,延迟时间建议和防火墙侧保持一致;
- 选择HA通讯接口(同防火墙心跳接口);
- 配置端口状态同步组(同Link-Group)监控业务线路;
- HA主备配置同步(可选)。
业务部署
为保证客户上网业务可顺利交互,同时保护内网核心业务网段,需在防火墙上配置安全策略放行业务流量;配置源NAT技术,保证内外网通信正常,同时隐藏内网业务网段,保证企业内网安全,具体配置流程如下:
- 在防火墙上配置安全策略,允许从Trust区域至Untrust区域的业务流量;
- 在防火墙上创建公网地址池(建议使用防火墙上行接口IP创建地址池);
- 在防火墙上配置源NAT策略,对流量源IP地址和端口进行转换,使得内网用户能够正常访问Internet。
上网行为管理
为规避企业各类上网业务安全风险、满足日趋严格的企业网安相关法律法规、避免网络资源的不合理使用,企业必须进行上网行为管理和审计。本方案将介绍华为ASG5510产品的以下功能来满足企业上网行为管理和审计需求:
具体实验操作可通过华为O3社区在线实验室预约相关实验进行操作练习,实验链接如下:
https://o3community.huawei.com/o3/1663500457860972546/detail?activeIndex=4&subIndex=1&o3src=https%3A%2F%2Fcn.o3.huawei.com%2Fcommunity%2Ftraining%2Flab-online-detail-shixizhi%3FlabType%3D1%26labId%3D5634%26domainCode%3DFORUM_221126001
在线实验界面如下:
本方案系列博客到此完结~
