防火墙部署模式和维护经验
常规维护-整理业务拓扑和记录
IntraIntra-RtrA L3 switch
hsrp/vrrp
LAN
部署模式部署模式-静态路由环境 路由模式路由模式-A/A
Intranet S/RS/R-B
S/RS/R- A
NS-A-L3 NS-
NS-B-L3 NS-
S/RS/R- AA
S/RS/R-BB
Server
部署模式-动态非对称路由环境 部署模式-动态非对称路由环境 路由模式路由模式 A/A
常规维护-攻击防御(Screen)
抵御攻击的功能会占用防火墙部分CPU 资源; 客户自行开发的一些应用程序中,可能 存在部分不规范的数据包格式; 网络环境中可能存在非常规性设计 防攻击选项的启用需要采用逐步逼近的 方式 Generate Alarms without Dropping Packet 选项
ebgp RouterRouter- A ospf FirewallFirewall- A ospf L3 Switch HA heartbeat ibgp ospf ospf FirewallFirewall-B ospf ebgp RouterRouter-B
Server
部署模式部署模式-配置示例
ROUTER Trunk FW Trunk SW Trunk FW Trunk SW SW ROUTER 192.168.1.1 192.168.2.1 Trunk FW Trunk SW Trunk
VLAN2/3
VLAN4/5
VLAN2 192.168.1.0/24 192.168.1.0/24
VLAN3 192.168.2.0/24
维护经验介绍
获得基本信息 检查NSRP状态 提高预警水平 策略配置与优化 攻击防御 特殊应用处理 整理业务拓扑和记录 搭建模拟环境
常规维护-获得系统基本信息
Get sys-cfg:了解系统的各种缺省参数设置 Get clock:确定系统时间 get session info:<85% Get session:查看session列表 Get performance session detail:查看session的历史记录 get session id <number>:查看session细节
get performance cpu:<50% get performance cpu detail:查看CPU历史记录 get performance cpu all detail
常规维护-获得系统基本信息
Get memory:采用“预分配”机制 ,<90% Get interface:查看端口细节 Get route:查看路由表 Get log event:查看普通事件记录 Get alarm event:查看告警事件记录
set nsrp cluster id 1 set nsrp rto-mirror sync set nsrp rto-mirror session non-vsi unset nsrp vsd-group id 0 unset nsrp config sync Set arp always-on-dest
聚合端口+ 聚合端口+中继端口
Vlan5.gw 192.168.5.1/24 Vlan4.gw 192.168.4.1/24
VLAN 3
VLAN4
192.168.4.2/24
应用2 应用2 VLAN5
192.168.5.2/24
Cisco 3550
VLAN 2
应用1 应用1
vlan2用户 vlan2用户
其它部署模式介绍
透明模式-TRUNK透传 路由模式-内网访问控制 Multi zone-A/P 动态路由环境-透明模式-A/P 动态路由环境-路由模式-A/A 静态路由环境-路由模式-A/A 动态非对称路由环境-路由模式-A/A
部署模式- 透明模式-TRUNK透传 部署模式- 透明模式-TRUNK透传
常规维护-提高预警水平
以CPU监控为例,在SNMP网管中可 以实时监控获得CPU负载性能曲线, 在此基础上可以设置多个报警阈值, 如设置五级报警,分别在CPU负载 CPU 50%、60%、70%、80%、90%时报 50% 60% 70% 80% 90% 警,这样可以实现一种“预报警” 的功能,在对网络通讯产生严重影 响之前就能主动进行响应,提高系 统的可靠性。
A/PA/P-静态路由
Intranet SwitchSwitch-B
SwitchSwitch- A
NS-A-L3 NS-
NS-B-L3 NS-
SwitchSwitch- AA
SwitchSwitch-BB
Server
防火墙部署建议
路由模式比透明模式具有更广泛的使用范围和部署 经验,更加灵活。 静态路由优点多于动态路由。 A/A模式对网络整体结构提出更多要求。 银行客户最广泛的部署模式:A/P Layer3 口型或 fullmesh结构。 Base policy比base route方式有很大灵活性,建议在 结构复杂的情况下部署base policy nat和base policy vpn。
Serverຫໍສະໝຸດ 部署模式部署模式-静态路由环境 路由模式路由模式-A/A
Intranet ospf InterInter-RtrA L2 switch NSNS- A hsrp/vrrp HA InterInter-RtrB
L2 switch
NSNS-B IntraIntra-RtrB L3 switch
SwitchSwitch-B
NS-B-L2/L3 NS-
SwitchSwitch-BB
应用1 应用1
应用2 应用2
部署模式部署模式-动态路由环境
Intranet
R- A
R- B OSPF OSPF OSPF OSPF
S- AA
S-BB
Server
部署模式部署模式-动态路由环境 透明模式透明模式-A/P
防火墙 部署模式和维护经验
目 录
银行系统部署模式的优选 其它部署模式简介 维护经验介绍
银行系统部署模式的优选
静态路由静态路由-A/P
部署最广泛、最成熟的双机组网模式 方案特点:可靠稳定/易于扩展及维护/环境适应性强 企业不需要A/A的理由: 1、网络流量不超过单台处理能力情况下,A/P性能等 同于A/A性能 2、A/P方式非常便于网络维护,设备和链路调整维护 时,无需反复切换网络流量,减少业务中断风险。 3、A/P方式可平滑升级为A/A 4、A/P方式经广泛部署和实践验证,发现的已知问题 最少 5、静态路由-A/P的切换速度最快
Intranet ebgp RouterRouter- A ospf FirewallFirewall- A ospf ospf SwitchSwitch- A SwitchSwitch-B HA heartbeat ibgp ospf ospf FirewallFirewall-B ospf ebgp RouterRouter-B
透明模式支持VLAN透传
VLAN需终结于FW
部署模式-路由模式部署模式-路由模式-内网访问控制
Firewall
Trust zone:Vlan2.gw 192.168.2.1/24 Untrust zone:Vlan3.gw 192.168.3.1/24 互连VLAN:Vlan10 互连 192.168.10.0/30
常规维护-检查NSRP状态
exec nsrp vsd-group 0 mode backup 手动进行主 备状态切换时,在主用设备上执行该切换命令, 此时该主用设备没有启用抢占模式。 exec nsrp vsd-group 0 mode ineligible 手动进行 主备状态切换时,在主用设备上执行该切换命 令,此时该主用设备已启用抢占模式。 set failover on/set failover auto启用并容许冗余 接口自动切换 exec failover force 手动执行将主用端口切换为 备用端口。 exec failover revert 手动执行将备用端口切换为 主用端口。
常规维护-特殊应用处理
Set service <service name> timeout <number> unset flow tcp-syn-check set alg h323 disable Set policy id X from trust to untrust any any h.323 permit Set policy id X application ignore
192.168.2.2/24
VLAN3用户 VLAN3用户
192.168.3.2/24
方案优势: 细粒度访问控制 灵活访问控制 总体拥有成本低
部署模式部署模式- Multi zone-A/P
Intranet
SwitchSwitch- A Untrust NSNS- A-L2/L3 Trust SwitchSwitch- AA DMZ
常规维护-整理业务拓扑和记录
深入理解网络中业务类型和流量特征,持续优 化防火墙策略。整理出完整网络环境视图(网 络端口、互联地址、防护网段、网络流向、策 略表、应用类型等),以便网络异常时快速定 位故障。 整理一份上下行交换机配置备份文档(调整其 中的端口地址和路由指向),提供备用网络连 线。防止防火墙发生硬件故障时能够快速旁路 防火墙,保证业务正常使用。 在日常维护中建立防火墙资源使用参考基线, 为判断网络异常提供参考依据。
常规维护-提高预警水平
nsResCpuAvg:当前CPU利用率 (1.3.6.1.4.1.3224.16.1.1) nsResMemLeft:剩余内存 (1.3.6.1.4.1.3224.16.2.2) nsResSessAllocate:当前session数 (1.3.6.1.4.1.3224.16.3.2) nsPlyMonPackPerMin:每分钟通过该策略的数 据包数(1.3.6.1.4.1.3224.10.2.1.4) nsPlyMonSessionPerMin:每分钟通过该策略的 session数(1.3.6.1.4.1.3224.10.2.1.10)
