评论

收藏

[其他] 网络边界安全:防火墙双机热备之上下行接交换机

网络安全 网络安全 发布于:2021-07-30 18:14 | 阅读数:599 | 评论:0

一、场景概述
DSC0000.png

场景说明:
中小型企业很有可能只有一个根外网线,一个公网IP,如何接两个防火墙呢?在这种场景下,可以将外网线接入到交换机上,然后交换机下方接入两台防火墙,防火墙使用VRRP技术,在防火墙的实际接口上配置两个私网地址,然后虚拟出一个公网地址(注:VRRP的实际地址可以与虚拟地址不在同一个网段!)。
虽然只有一个外网线,但是如果买了多个公网IP的话,可以让防火墙VRRP的实际地址也用公网IP,这样我们后面做NAT的时候更加方便一些。
这种组网方式适用于中小型网络,仅防火墙有冗余,而交换机没有冗余。
ENSP模拟拓扑:
DSC0001.png

DSC0002.png

主防火墙的接口IP和区域:
DSC0003.png

备防火墙的接口IP和区域:
DSC0004.png

二、图形界面配置过程配置概述:
1、主备防火墙在配置完HRP协议之后是会同步策略的,包括:NAT策略、安全策略,但是路由不会同步过去!
2、在配置策略的时候默认是从主设备配置,不允许从备设备配置!如果想让备设备配置策略的话,就在主设置上输入:“hrp standby config enable”即可。
3、主备的配置过程可以简单概括为:
a)     配置HRP、VRRP
b)     NAT
c)     静态路由
主防火墙图形界面配置过程:
1、高可靠----启动“双机热备”----选择“主备备份”或者“负载分担”----选择“运行角色”--指定心跳接口---心跳接口的IP和对端IP,如下图所示:
DSC0005.png

2新建虚拟IP地址,如下图所示(左侧和右侧):
DSC0006.png

DSC0007.png

如果防火墙上仅有VRRP的话最好使用监控上联口,如果有VGMP存在的话,监控上联口就可以省略,我们这里可以不做监控上联口。
3、NAT转换
NAT转换时要注意,如果都是三个公网地址,那么三个公网地址在转换时都可以使用。如果仅有一个公网地址的话,那么NAT转换时只能使用那个公网地址。
NAT策略---源NAT---如下图所示:
DSC0008.png

这要要注意,路由器在配置NAT时,源和目标要指定接口,而在防火墙上源和目标指的区域而不是某个接口,上图的意思为:“只要是从trust区域过来的流量,防火墙都将其源IP转换成untrust的IP地址”。
4、静态路由
DSC0009.png

备防火墙图形界面配置过程:
1、高可靠----启动“双机热备”----选择“主备备份”或者“负载分担”----选择“运行角色”--指定心跳接口---心跳接口的IP和对端IP,如下图所示:
DSC00010.png

2新建虚拟IP地址,如下图所示(左侧和右侧):
DSC00011.png

DSC00012.png

3、NAT转换
备防火墙的NAT策略不用配置,因为主配置完成后,会自动同步过来。
NAT转换时要注意,如果都是三个公网地址,那么三个公网地址在转换时都可以使用。如果仅有一个公网地址的话,那么NAT转换时只能使用那个公网地址。
NAT策略---源NAT---如下图所示:
DSC00013.png

这要要注意,路由器在配置NAT时,源和目标要指定接口,而在防火墙上源和目标指的区域而不是某个接口,上图的意思为:“只要是从trust区域过来的流量,防火墙都将其源IP转换成untrust的IP地址”。
4、静态路由
DSC00014.png

三、测试验证测试1:冗余性测试
测试2:查看会话同步,dis seession
测试3:交换机 上dis mac,查看VRRP的免费ARP
四、配置注意

  • 命令行配置时,当HRP生效时,防火墙的名字也会发生变化,主设备会在名字后面加一个M,代表自己是主设备,备防火墙会在名字后面加一个s,代表自己是备用设备。
  • 当在主防火墙配置策略的时候,在出现(+B),这个意思是说已经同步到备设备那里去了。
  • 防火墙默认不允许ICMP协议检测,在trust区域使用tracert命令时,要在防火墙运行"icmp tll-exceeded send",这样就会允许ICMP检测了。
  • 主设备一定不要忘记配置安全策略。
  • 默认开启抢占,且抢占延迟为60秒,可以通过“hrp preempt delay <秒数>。
  • 在模拟器上做实验的时候,双机切换比较慢,估计会有一分钟的延迟。
  • VRRP查看命令:dis vrrp brief、dis vrrp verbose



关注下面的标签,发现更多相似文章