边界安全部署最佳实践

边界安全部署最佳实践日期：2007年7月13日 杭州华三通信技术有限公司n 网络园区边界定义n 边界安全部署简介n 边界安全部署典型应用场景目录3网络园区边界定义边界网络的定义是园区网连接到广域网/Internet等外部网络的边缘区域；在园区网的设计中按照区域的划分会产生多个边界网络；通常对于园区的边界有以下几种定义：n广域网出口n公共服务器区域n分支结构VPNn远程用户VPNnPSTN拨号用户nInternet出口4Remote AcessBranch SiteRouterSwitchInternet ServiceLocal NetworkExternal Connector边缘本地外部网络园区边界定义－互联网5n 网络园区边界定义n 边界安全部署简介n 边界安全部署典型应用场景目录6边界安全部署简介为什么需要进行边界安全部署？因为现在的网络非常脆弱，不安全导致现在网络脆弱的原因有很多种，三把双刃剑：n大量业务服务器长时间暴露在公众环境中，使黑客轻易就可以找到想攻击的目标；n攻击工具的高度发展，使攻击难度急剧下降，只要稍懂一点计算机操作的人就可以成功发起一次攻击；网络病毒的泛滥，带来的经济损失和应用规模成正比；nIPv4是简单开放的，本身就没有考虑安全因素。

7边界安全部署简介如何对脆弱的网络进行弥补？根据网络的病根对症下药：n在园区边界出口通过部署防火墙和IPS，将网络攻击与病毒入侵终结在园区边界；nVPN（Virtual Private Network ：虚拟私有网）在实现公用网络上构建私人专用网络的同时，IPSec隧道加密技术也弥补了IPv4的简单和开放；n通过对园区网进出流量的分析和监控，及时发现流量异常，来消除无法预知的不稳定因素；8边界安全部署简介—H3C解决方案H3C边界安全部署最佳实践解决方案通过在边界入口处部署VPN网关、防火墙、IPS、NSM/NAM等设备，一方面阻止来自Internet对受保护网络的未授权或未认证的访问，另一方面允许内部网络的用户安全的对Internet进行Web访问或收发E-mail等企业中心可以使用双机热备，这样当故障发生的时候，业务也能很快恢复，给用户提供了十分可靠的运行环境可通过在园区边界处部署双VPN网关和防火墙，为用户安全、可靠的使用网络提供了很好的保障NSM/NAM是网络安全监控的简称，是H3C公司在防火墙和路由器上开发的流量监控软硬件平台NSM/NAM单板，可以对流经设备上的所有流量进行统计和安全分析，对流量进行采样记录并对历史流量进行安全分析，能对包括IP/none-IP的、2至7层的多种协议进行分析，为网络管理员提供网络安全服务。

NSM/NAM提供方便友好的用户配置，支持图形化的分析结果查询，方便用户使用9边界安全部署简介—H3C解决方案网管ServerLSWVPN serverVPN ClientVPN Client分支节点2分支节点1防火墙/IPS： 攻击与病毒止步NSM/NAM： 一切尽在掌握中IPSec VPN： 加密报文让黑客 们一无所获10n 网络园区边界定义n 边界安全部署简介n 边界安全部署典型应用场景目录11边界安全部署典型应用场景H3C边界安全部署最佳实践解决方案针对不同用户群的需求，分别设计了多套应用组网n对于园区规模较小，性能、可靠性要求不高的用户，我们推荐使用单设备园区出口边界安全部署组网方式，本组网仅使用H3C的一台MSR路由器或者SecPath安全产品，集成VPN网关、防火墙功能，并可以通过在该设备上配置NAM（MSR）或者NSM（SecPath）对园区进出口流量进行监控；对于园区规模较大的用户，我们推荐在本组网中加入专业的防火墙、IPS等设备增加边界安全性；n对边界安全性能、可靠性要求都较高的用户，我们推荐使用园区网络多出口边界安全部署组网方式，本组网在使用专业网关设备的同时，通过部署双VPN网关实现负载均衡和备份，部署双防火墙实现状态热备，提供园区出口的高可靠性； 12单设备园区出口边界安全部署组网园区网络Internet公共服务器路由器/ 安全网关/ VPN网关ISP路由器园区边界 n 典型的单设备园区网出口 组网：仅有Internet一个 边界出口与外部网络互连 n 有一个公共服务器区对外 部提供WWW/E-MAIL等服 务 n 远程用户（包括移动接入 用户和小型分支节点）通 过Internet建立VPN隧道 接入到园区网络内 n 边界安全设计要求设备成 本低，通常将出口路由器 和VPN安全网关/防火墙集 成在一台出口设备上 n 通过在路由器(SecPath) 上配置NAM（NSM）板实 现出口流量监控设备 nMSR50/30/20 nAR28/46 nSecPath系列分支机构VPN网关移动用户211.2.10.1 /24192.168.0.1/24192.168.1.1/24192.168.0.100/24211.4.1.2 /13单设备出口组网说明1. 本组网非常简单，仅一台出口设备，易于管理；2. H3C公司的MSR/AR/SecPath系列产品可提供强大的VPN功能，远程分支、移动用户可以通过单IPSec、GRE over IPSec、L2TP over IPSec等多种VPN方式接入园区总部；L2TP可以提供用户认证功能，GRE隧道可以让企业分支与总部进行私网路由的交互，IPSec加密功能可以确保通讯报文的保密性和可靠性；3. H3C公司的MSR/AR/SecPath系列产品同时也可以作为安全网关使用，支持NAT、ACL访问控制、ASPF、深度业务监控等典型应用；4. 出口设备上配置的NAM/NSM板卡对进出口流量进行有效的分析和监控；5. 出口设备公网接口上配置NAT，让内部用户可以访问internet；6. 出口设备公网接口上配置NAT server，让internet用户可以访问公共服务器；14单设备出口组网配置说明——远程VPN接入1. 分支机构VPN接入，接入方式：单IPSec隧道方式a. IPSec的remote地址为园区出口VPN网关的公网地址；b. IPSec采用野蛮模式，支持NAT穿越功能；c. IPSec感兴趣流为分支机构私网网段地址到总部园区网网段地址；d. 分支设备公网接口上启用IPSec策略；2. 远程移动用户使用iNode VPN客户端接入，接入方式：L2TP over IPSeca. 新建iNode连接，iNode VPN启用IPSec安全协议；b. L2TP LNS服务器地址、IPSec服务器地址都设置为园区出口VPN网关的公网地址；c. IPSec使用隧道方式，启用NAT穿越功能；15单设备出口组网配置说明——总部VPN配置1. 总部VPN网关配置a. 作为L2TP LNS端的基本配置，包括用户名、地址池、虚接口、L2TP组相关配置；b. 由于远程移动接入用户公网IP的不确定性，总部IPSec 使用动态模板方式，先建立IPSec动态模板，然后用动态模板建立IPSec 策略；c. 在VPN网关公网接口上启用IPSec策略16单设备出口组网配置说明——防火墙配置1. 总部防火墙网关：SecPath系列放火墙可支持ACL访问控制、ASPF （基于应用层的报文过滤） 、深度业务监控等多种功能，下面仅以启用ASPF功能为例：系统视图下：#新建ASPF策略，添加需要检测的应用层协议tcp；aspf-policy 1 detect tcp ＃在防火墙网关公网接口上启用ASPF策略，本策略仅允许从园区网内部主动发起的TCP连接，即如果报文是内部网络用户发起的TCP连接的返回报文，则允许其通过防火墙进入内部网络，其他报文被禁止；interface GigabitEthernet0/0 firewall aspf 1 outbound 17单设备出口组网配置说明——NAT配置1. 园区内部通过NAT访问internet首先需要确认访问internet的流量，然后对这些流量的地址进行NAT转换，其次要设置地址池，即申请到的公网地址。

假设分支的IP地址都规划在172.0.0.0/8网段，园区内部IP地址规划在192.168.0.0/16网段1. ＃私网访问公网的流量需要进行NAT转换2. acl number 30003. rule 0 permit ip source 192.168.0.0 0.0.255.2554. rule 1 deny ip destination 172.0.0.0 0.0.0.255 5. ＃申请到的公网IP，与公网接口在同一个网段6. nat address-group 0 211.2.10.1 211.2.10.27. ＃公网接口上启用nat8. interface GigabitEthernet0/1 9. nat outbound 3000 address-group 0 18单设备出口组网配置说明——NAT Server配置1. Internet用户访问园区内部公共服务器1. 在园区出口配置NAT Server，将一个公网的地址与内部服务器地址关联起来。

Internet用户向公网地址发起连接，在网关设备的公网接口上将该报文IP目的地转换为内部服务器地址，即可以到达内部公共服务器的访问目的假设设备公网接口地址为211.2.10.1，内部服务器地址为192.168.0.100/242. ＃公网接口上启用nat server，提供www服务3. interface GigabitEthernet0/1 4. nat server protocol tcp global 211.2.10.1 www inside 192.168.0.100 19单设备出口组网配置说明——NSM配置（1）1. 设备侧流量镜像配置：NSM版卡插在SecPath防火墙上，需要在SecPath上将流量镜像到NSM板卡内部接口上，NSM对收到的报文进行分析 SecPath上需要进行的配置：#将网关内网接口上的进出流量都镜像到NSM内部端口上进行统计，NSM插在三槽位 ；interface GigabitEthernet 0/1mirror to GigabitEthernet 3/0 both1. NSM配置：/* 管理口IP配置为192.0.0.1， 默认网关为192.0.0.10（管理口直连设备接口地址）*/20单设备出口组网配置说明——NSM配置（2）2. NSM配置（续）：如果用户需要在远程监控室中登陆NSM，观察流量分析结果，需要将NSM的管理口eth1接入到园区网中，并将该路由发布出去，NSM管理口的默认网关设置为其直连设备接口的IP地址；选择eth0作为观察接口，即可以观察到SecPath上的流量情况。