防火墙保护内网安全的一个解决方案

部署Netscreen防火墙保护内网安全

目前有很多用户存在内网访问控制的需求，希望能够充分利用防火墙的访问控制能力进一步细分内网的安全子域，由于办公用户和内部应用主机通常接在交换机上，要想在交换机上实现不同VLAN间访问控制和隔离，对交换机处理要求比较高，实施起来比较复杂而且维护不方便。经测试验证：交换机和Netscreen防火墙结合起来可以很好地解决内网访问控制问题，通过Trunk＋aggregate接口并结合防火墙的zone和Policy能够提供更细粒度的内网访问控制。下面结合一个客户案例做一个扼要介绍。

客户需求：

1、需要对内网所有VLAN间的流量实施统一的安全管理策略，容许VLAN间流量的单向、双向访问或拒绝访问。

2、保持现有网络架构不变，防火墙里面接三层交换机，交换机直连服务器和用户，充分利用现有Netscreen防火墙安全处理能力，无需额外采购防火墙放置在交换机和服务器之间。

3、对于需要加强访问控制的流量由防火墙处理，而部分无需实行访问控制的流量则直接由交换机进行转发。

解决方案：

根据客户的具体需求，Netscreen防火墙在交换机协助下通过Trunk 进行连接，并将不同的VLAN子接口放在不同的zone中，通过Policy

来控制VLAN间流量访问。为了提高流量的吞吐量，可以在交换机和防火墙间通过千兆以太网捆绑通道相连，提高了网络的带宽和可靠性。测试环境：

其中vlan2和vlan3网关终结在防火墙上，并位于不同的zone，vlan4和vlan5网关终结在cisco交换机上，vlan4和vlan5间流量直接通过交换机转发。同时在防火墙和交换机trunk中继上配置单独子网，用于解决vlan2/3和vlan4/5的互访。

测试目标：

1、VLAN2可以访问VLAN4服务器的WEB应用，而VLAN3可以访问VLAN4服务器的mail应用

2、VLAN2可以访问VLAN3整个网段，而VLAN3仅可以访问VLAN2的FTP应用。

3、VLAN4和VLAN5间流量直接由交换机转发处理，流量无需经过防火墙。

4、除此以外，所有访问都不容许访问。

测试结果：

1、通过配置聚合端口使防火墙和交换机的转发能力得到大副提高，同时增强了链路的冗余性。

2、通过Trunk中继技术，使防火墙能够正确地识别交换机配置的不同VLAN ID，并通过Policy提供单向的严格访问控制。

3、对于一些vlan间无需访问控制的流量，可在交换机上直接终结这些VLAN，使这些VLAN间的流量转发不经过防火墙，由交换机直接进行交换处理。

配置信息：

一、NS5200

set zone "Trust" vrouter "trust-vr"

set zone "Untrust" vrouter "trust-vr"

set zone "DMZ" vrouter "trust-vr"

set group service "MAIL1" comment "SMTP+POP3"

set group service "MAIL1" add "POP3"

set group service "MAIL1" add "SMTP"

set interface id 109 "aggregate1" zone "Untrust"

set interface ethernet2/7 aggregate aggregate1

set interface ethernet2/8 aggregate aggregate1

set interface "aggregate1.2" tag 2 zone "Trust"

set interface "aggregate1.3" tag 3 zone "Untrust"

set interface "aggregate1.10" tag 10 zone "DMZ"

set interface aggregate1.2 ip 192.168.2.1/24

set interface aggregate1.2 route

set interface aggregate1.3 ip 192.168.3.1/24

set interface aggregate1.3 route

set interface aggregate1.10 ip 10.0.0.2/24

/***与防火墙互连网段，用于转发VLAN4/5与Vlan2/3中间的流量***/

set interface aggregate1.10 route

set policy id 1 from "Trust"to"DMZ" "Any" "192.168.4.0/24" "HTTP" permit set policy id 2 from "Untrust"to"DMZ" ""Any "192.168.4.0/24" "MAIL1" permit set policy id 3 from "Untrust" to "trust" "Any" "Any" "FTP" permit

set policy id 4 from "Trust" to "Untrust" "Any" "Any" "ANY" permit

set route 192.168.4.0/24 interface aggregate1.10 gateway 10.0.0.1

set route 192.168.5.0/24 interface aggregate1.10 gateway 10.0.0.1

/***转发VLAN4/5与Vlan2/3间流量的路由***/

二、Cisco 3550（EMI Version）

interface Port-channel1

switchport mode dynamic desirable

!

interface FastEthernet0/2

switchport access vlan 2

switchport mode access

!

interface FastEthernet0/3

switchport access vlan 3

switchport mode access

!

interface FastEthernet0/4

switchport access vlan 4

switchport mode access

!

interface FastEthernet0/5

switchport access vlan 5

switchport mode access

!

interface FastEthernet0/10

switchport access vlan 10

switchport mode access

!

interface GigabitEthernet0/1 /***port-channel+Trunk***/

switchport trunk encapsulation dot1q