9、配置基于zone的NAT Server,使外网用户能够访问内网服务器。
一般情况下一台服务器的私网IP会映射成多个ISP的公网地址,供各个ISP的用户访问。 下面以其中一台图书馆服务器10.1.10.10为例配置基于zone的NAT Server。
[USG] nat server 1 zone isp1 global 200.1.10.10 inside 10.1.10.10 description lb-isp1 [USG] nat server 1 zone isp2 global 202.1.10.10 inside 10.1.10.10 description lb-isp2 [USG] nat server 1 zone csnet global 218.1.10.10 inside 10.1.10.10 description csnet [USG] ip route-static 218.1.10.10 32 NULL 0
10、配置智能DNS,使各个ISP的外网用户都能够使用自己所在的ISP地址访问内网服务器。 智能DNS的作用是确保各个ISP的用户访问学校的服务器时,都能够解析到自己ISP的地址,从而提高访问速度。例如ISP1的用户通过域名访问图书馆服务器10.1.10.10时,会解析到服务器的ISP1地址200.1.10.10。
【强叔点评】使用智能DNS的前提是内网部署了DNS服务器(本案例仅以10.1.10.20为例)。 智能DNS将分配给每个ISP的服务器地址与连接ISP的出接口绑定。
各位小伙伴注意,智能DNS功能是USG9000系列V300R001C20版本的新功能噢~ [USG] dns resolve
[USG] dns server 10.1.10.20 [USG] dns-smart enable
[USG] dns-smart group 1 type single [USG-dns-smart-group-1] description lb
[USG-dns-smart-group-1] real-server-ip 10.1.10.10
[USG-dns-smart-group-1] out-interface GigabitEthernet 1/0/0 map 218.1.10.10 [USG-dns-smart-group-1] out-interface GigabitEthernet 1/0/1 map 200.1.10.10 [USG-dns-smart-group-1] out-interface GigabitEthernet 1/0/2 map 202.1.10.10 11、配置攻击防范,保护内部网络安全。 [USG] firewall defend land enable [USG] firewall defend smurf enable [USG] firewall defend fraggle enable [USG] firewall defend winnuke enable [USG] firewall defend source-route enable [USG] firewall defend route-record enable [USG] firewall defend time-stamp enable [USG] firewall defend ping-of-death enable [USG] firewall defend syn-flood enable
[USG] firewall defend syn-flood interface GigabitEthernet1/0/0 max-rate 24000 tcp-proxy auto [USG] firewall defend syn-flood interface GigabitEthernet1/0/1 max-rate 24000 tcp-proxy auto [USG] firewall defend syn-flood interface GigabitEthernet1/0/2 max-rate 24000 tcp-proxy auto 【强叔点评】一般情况下,如果对网络安全没有特殊要求,开启以上攻击防范即可。
对于syn flood攻击防范,建议10GE接口阈值取值16000pps。本案例的接口都是10GE接口,之所以取值为24000pps,也是实际试验的结果。因为实际经验往往是配置较大的阈值,然后一边观察一边调小阈值,直到调整到合适的范围(既很好的限制了攻击,又不影响正常业务)。 12、配置带宽管理,限制网络的P2P流量。
【强叔点评】带宽管理的配置方法是先创建带宽通道(也就是指定各种限流动作),然后在带宽策略中引用带宽通道。需要特别注意的是上传、下载的方向与outbound、inbound的关系。另外一般情况下建议限制P2P流量到网络总流量的20%到30%。
各位小伙伴注意,带宽管理功能是USG9000系列V300R001C20版本的新功能噢~ [USG] car-class p2p_all_download
[USG-car-class-p2p_all_download] car-mode per-ip [USG-car-class-p2p_all_download] cir 100000 [USG-car-class-p2p_all_download] cir 4000000 total [USG-car-class-p2p_all_download] quit [USG] car-class p2p_all_upload
[USG-car-class-p2p_all_upload] car-mode per-ip [USG-car-class-p2p_all_upload] cir 100000 [USG-car-class-p2p_all_upload] cir 4000000 total [USG-car-class-p2p_all_upload] quit [USG] car-policy zone trust inbound
[USG-car-policy-zone-trust-inbound] policy 0
[USG-car-policy-zone-trust-inbound-0] policy application category p2p [USG-car-policy-zone-trust-inbound-0] action car
[USG-car-policy-zone-trust-inbound-0] car-class p2p_all_download [USG-car-policy-zone-trust-inbound-0] description p2p_limit_download [USG-car-policy-zone-trust-inbound-0] quit [USG] car-policy zone trust outbound
[USG-car-policy-zone-trust-outbound] policy 0
[USG-car-policy-zone-trust-outbound-0] policy application category p2p [USG-car-policy-zone-trust-outbound-0] action car
[USG-car-policy-zone-trust-outbound-0] car-class p2p_all_upload [USG-car-policy-zone-trust-outbound-0] description p2p_limit_upload [USG-car-policy-zone-trust-outbound-0] quit
13、配置日志和NAT溯源功能,在网管系统eSight上查看日志。
配置USG向日志主机(10.1.10.30)发送系统日志(本案例发送IPS日志和攻击防范日志)。 [USG] info-center enable [USG] engine log ips enable
[USG] info-center source ips channel loghost log level emergencies [USG] info-center source ANTIATTACK channel loghost [USG] info-center loghost 10.1.10.30
配置USG向日志主机(10.1.10.30)发送会话日志(端口9002)。这里需要在trust与isp、isp2、csnet间的双方向都配置审计策略。本案例仅以trust与isp1间的outbound方向的审计策略为例。 [USG] firewall log source 172.16.1.1 9002 [USG] firewall log host 2 10.1.10.30 9002
[USG] audit-policy interzone trust isp1 outbound
[USG- audit-policy -interzone-trust-isp1-outbound] policy 0 [USG- audit-policy -interzone-trust-isp1-outbound-0] action audit
本案例中日志主机(10.1.10.30)上安装了网管系统eSight。如果希望在eSight上查看日志,需要在USG上配置SNMP,使USG与eSight对接。eSight上的SNMP参数需要与USG上保持一致。 [USG] snmp-agent sys-info v3
[USG] snmp-agent group v3 NMS1 privacy
[USG] snmp-agent usm-user v3 admin1 NMS1 authentication-mode md5 Admin@123 privacy-mode aes256 Admin@123
eSight配置完成后,在eSight上选择“业务>安全业务>LogCenter>日志分析>会话分析> IPv4会话日志”,可以查看会话日志。(此图仅为示意,后续专门带来真实数据的防火墙与esight对接案例)
【拍案惊奇】
1、此案例的惊奇之处在于几乎囊括了防火墙的所有经典特性:安全策略、NAT、ASPF、攻击防范、IPS、带宽管理(基于应用的带宽限制、基于每IP的带宽限制)。防火墙功能繁多,如果小伙伴们不知道如何选择,那么参考此样板案例就八九不离十啦~
2、此案例的另一惊奇之处在于展现了防火墙作网关的能力。网关最重要的特性之一就是出口选路。防火墙通过ISP选路功能实现基于目的地址的选路,通过策略路由功能实现基于源地址的选路,通过智能DNS功能实现外网用户访问内网服务器的选路(选择最适合的服务器)。
另外与路由器作网关相比,防火墙作网关的优势在于更强大的NAT、更强大的安全性。
3、此案例的又一惊奇之处在于展现了防火墙的NAT溯源功能(防火墙上配置审计策略后,会将会话日志发送给网管系统,客户在网管系统上能够查看到NAT前后的地址)。这个功能最近很火,是应对上级和相关部门检查的利器噢~ 【参考资料】
对于上面强叔提到的ISP选路、智能DNS以及带宽管理等USG9000系列V300R001C20版本的新功能,各位小伙伴一定迫不及待地想深入学习一番,请访问V300R001C20版本产品文档,下载产品文档,在管理员指南中的负载均衡以及带宽管理章节中一探究竟吧。
【强叔问答】看完此案例后,强叔请各位小伙伴谈谈你对出口网关的认识?