防火墙网络架构改造方案Word下载.docx

1、1.背景健威家具企业建网时间较早，限于企业规模与当时的条件，组网方式为简单的工作 组网， 网络结构为星型结构，厂区建筑物间采用光纤相连，室内采用超五类双绞线。做 到千兆为主干， 百兆到桌面这样的网络架构。 为满足业务人员的需要， 采用电信光纤接 入互联网。配有域管理，防火墙，代理服务器等安全保障。2.建网状况说明网络现状拓扑：拓扑图）设备 ID设备名称用途说明R2Fortigate-400飞塔防火墙防火墙兼做路由功能S1Catalyst-2960G思科二层交换机普通二层交换机S2Srw-2024GServ1ERP、 OA、 Mailserver重要服务系统对外服务服务器Serv2FAX、 FT

2、Pserver员工服务应用服务器对内服务服务器代理服务器2003server代理上网服务器控制出口流量域服务器域管理网关管理内网用户及 DNS 指向采用同一网段工作组，随着厂区人数增多，掩码更改为 255.255.252.0 ，工作网内 可容纳 1000 个有效 IP。出口控制和路由依靠防火墙实现。分厂区沙发厂有光纤专线连 接到总厂区访问日常办公应用服务，有单独的互联网接入口。用户数据流向图：初流向图）如上图看出， 用户数据要访问内部服务应用、 访问互联网等必须流经防火墙， 随着 业务需求不断增多，用户数不断增多，防火墙常驻内存、 CPU 使用率均达 60%以上。 防火墙已服役 6 年，病毒库

3、过期未更新。3.老架构存在的问题在当时， 上述架构是中小型企业网络的主流架构， 能够满足公司业务需要。 但随着 厂区规模不断扩展， 信息化不断提高， 原来的网络架构已经尽显疲态， 具体表现在下面 几个方面：1）采用工作组的组网方式，网络结构简单，为二层网络架构，且网络设备老化，功能 单一，无法实现高级管理功能。2）因建网初期客户端较少，因此采用单一网段，随着客户端数量的增加，以及业务需 要的不断提高，出于一些保密性和安全性需要，必须要划分 vlan。尽管已开启域管理和代理服务器保障局域网安全，但是由于功能性和网络性能问题，始终出现网络 病毒传播。1） 提升网络性能，并支持扩展升级，为日后企业扩

4、展做好准备。2） 加固网络安全，在不影响客户终端配置的情况下，对骨干网络进行整改，提高数据 安全性。3）控制成本，实用性要好，对现有网络架构能充分分配利用。二、网络设计1. 网络拓扑设计拓扑图设备命名规则设备名放置位置设备型号R1出口路由器（带 DMZ 功能 Fortigate 防火墙）外部防火墙内部转发路由器内部防火墙办公楼汇聚层二层管理交换机研发楼汇聚层DMZ 非军事区对外服务重要服务内部应用服务器管理内网用户及 DNS指向2. 设计策略划分 vlan 提高网络的管用性。 现有设备分析：骨干网络上 S1：思科 catalyst 2960G、S2:思科 srw 2024G 都是带管理功能的

5、2 层交换（vlan 分析图 ）机，带有 vlan 划分功能。出口控制防火墙： Fortint 400 支持 vlan 路由转发。二层交换机划分不同 VLAN 之间必须通过路由功能才能实 现通讯， 如果 VLAN的数量不断 增加，流经路由与交换机之间链 路的流量也变得非常大，此时， 这条链路也就成为了整个网络 的瓶颈。VLAN，即只对服务器和客由于采用飞塔防火墙作路由功能，尽量只划分有必要的 户端用户进行 VLAN 划分。解决办法是使用三层交换机代替飞塔放火墙， 三层交换技术在第三层实现了数据包 的高速转发， 从而解决了传统路由低速、 负荷不足所造成的网络瓶颈问题。 但由于三层 交换机设备昂贵

6、，本次改造方案暂不予考虑。划分 DMZ 保障关键服务系统的安全。使用防火墙为关键服务器提供隔离区，整 个网络区分为三个部分 WAN、LAN、DMZ，并 确定其访问策略：1.内网可以访问外网2.内网可以访问 DMZ3.外网不能访问内网4.外网可以访问 DMZ5.DMZ 不能访问内网6.DMZ 不能访问外网（邮件服务器除外）在网络中，非军事区（ DMZ）是指为不信任系统提供服务的孤立网段，其目的是把敏感的内部网络和其他提供访问服务的网络分开， 阻止内网和外网直接通信， 以保证内 网安全。改造后用户数据流向图：改造后如上图：R2 防火墙主要负责 Serv2、域服务器、代理服务器的防护机制，通过防病毒

7、过滤及 访问策略控制对内部关键应用服务器进行保护。划分 vlan 后，因 vlan 隔离广播，能有 效抑制网络病毒对应用服务器的感染。R1 防火墙主要负责 Serv1、互联网出口、沙发厂员工 vpn 接入的防护机制。购置带 DMZ 的 Fortigate 防火墙可提供最新的病毒库，能与 R2 病毒库兼容一并升级。改造后整个网络的安全体系升级，但网络性能瓶颈依然在 R2 防火墙上，解决办法是使用三层交换机代替 R2 放火墙。IP地址分配方案IP接口接口说明F0/1VpnF0/2专线F0/3DMZF0/4TrunkTurnk代理、域服务器接口研发楼办公楼Vlan 1（交换机默认所有接口）各终端Tr

8、unk （F0/）连接 R2 接口Vlan 2 （F0/）S2 交换机下的内部服务器 Serv2路由规划路由网关出口三、网络安全设计出口控制规划表 （防火墙 ）：序号源地址目的地址时间表服务保护内容表动作port1 - port2 （7）1IntallalwaysANYENCRYPT2MailserverKWRPSVR0608ACCEPT3四、配置举例S2交换机配置：S2#vlan databaseS2#vlan 2#ip address #exitS2#config terminalconfig#int range f0/1 -5 S2#switchport mode access S2#s

9、witchport access vlan 2 S2 S2#ip default-gateway #int f0/24 （设置 turnk 口） S2#switchport mode trunk S2#switchport trunk allowed vlan 1,2 S2#switchport trunk encap dot1q （ vlan 中继） S2#enable secret xxx（设置特权加密口为 xxx） S2#enable password xxx （设置特权非加密口为 xxx） S2#line vty 0 4#login S2#password xx#exit S2S2#w

10、rite防火墙 vlan 配置：R1防火墙 DMZ 配置 :进入防火墙 虚拟 IP 新建一个虚拟 IP 项目五、总结1安全性通过以上网络改造后，网络架构从单一组网，转换成交换式网络。防火墙 R2 过滤了 过往 Serv2文件传输所造成的病毒传播。创建 VLAN 后，隔离了不同 VLAN 间的逻辑 广播域， 缩小了广播范围， 能够阻止广播风暴的产生。 整个网络的安全性能方面有了较 大的提高。2可靠性两台飞塔防火墙互为通用设备， 任意一台发生故障时， 另一台可以在极短时间内还原升级前配置，恢复以前的网络架构，为关键服务提高可靠的灾难应对方法。3不足缺陷和改进方法在汇聚层上， 仅依靠 R2 做路由转发功能， 导致办公楼与研发楼间的数据交互受 性能影响， 传输速度有所影响。 为了以后能更高效，更可靠的拓展公司业务，建议把老 旧的 R2 防火墙换成思科三层交换机，其高效的数据交换足以满足公司网络汇聚层以后 的发展要求。4升级后需要解决的问题由于划分 VLAN 后，限制了广播功能，部分需要广播的应用服务器应与客户端处于 同一 VLAN 下，新部署的 ip-guard 服务需要通过广播功能搜索在线客户端，所以应把其 部署在 VLAN 1，否则无法使用其广播功能。原出口控制表：