当前位置:   article > 正文

防火墙在企业园区出口安全方案中的应用(ENSP实现)_基于ensp的大型企业双路由出口与双防火墙,以及两台三层交换机作为汇聚接入设备的(1)_ensp出口设计

ensp出口设计
部门 / 设备 / 用户IP段网关Vlan
Market10.1.11.0/24~10.1.15.0/24网段内首个可用地址(VRRP)11~15
Procure10.1.21.0/24~10.1.25.0/24网段内首个可用地址(VRRP)21~25
Finance10.1.31.0/24~10.1.35.0/24网段内首个可用地址(VRRP)31~35
HR10.1.41.0/24~10.1.45.0/24网段内首个可用地址(VRRP)41~45
Wireless_Public10.1.51.0/24~10.1.55.0/24网段内首个可用地址(VRRP)51~55
Services10.1.60.0/24网段内首个可用地址(VRRP)60
Wireless_Guest10.1.101.0/24~10.1.105.0/24网段内首个可用地址(VRRP)101~105
AC10.1.203.0/24网段内首个可用地址(VRRP)203
AGG1_to_Core10.1.204.0/24网段内首个可用地址(VRRP)204
AGG2_to_Core10.1.205.0/24网段内首个可用地址(VRRP)205
L2tp over IPSec user1010.1.2~10.10.1.100/2410.10.1.1(FW_A&B_Virtual-Template 1)
Export1.1.1.0/24、2.2.2.0/24网段内首个可用地址(VRRP)
分支机构内网192.168.1.0/24192.168.1.254

2 VRRP

部门 / 用户MasterBackup
Market,Procure,Finance,HRAGG1AGG2
Wireless_Public,Wireless_Guest,AC,ServicesCore1Core2
ExportFW_AFW_B

3 DHCP

部门 / 用户网关设备
Market,Procure,Finance,HRAGG1、AGG2
Wireless_Public,Wireless_GuestCore1、Core2
L2tp over IPSec userFW_A&B

4 MSTP

VlanStp InstanceRoot Device
51 to 55,60,101 to 105,203 to 2051Core1
11 to 15,21 to 25,31 to 35,41 to 452AGG1

5 防火墙接口与安全区域规划

在这里插入图片描述

  • 连接ISP1链路的接口GE1/0/1加入区域ISP1。ISP1区域需要新建,优先级设定为15。
  • 连接ISP2链路的接口GE1/0/2加入ISP2区域。ISP2区域需要新建,优先级设定为20。
  • 用于防火墙双机热备的接口GE1/0/3加入Heart区域。Heart区域需要新建优先级设定为75。
  • 连接核心路由器的接口GE1/0/4加入Trust区域。Trust区域是防火墙缺省存在的安全区域,优先级为85。

6 访问限制

  • 总部web、FTP服务器为内部以及外部用户提供服务,外部用户需使用8080端口访问web服务器,FTP服务使用默认端口号。
  • Finance部门不能访问公司内部服务器,也不能访问Internet
  • 总部到分支机构192.168.1.0/24使用IPSec Tunnel访问,并且只允许Market、Procure、HR通过VPN访问分支机构。
  • 出差用户可使用L2TP Over IPSec Tunnel访问总部内部10.1.0.0/16。
  • 总部无线访客用户不允许访问公司内部服务器。
  • 除了Finance部门不能访问Internet外,其他用户都可以访问。

7 NAT规划

源地址地址池
总部、分部内网可访问Internet的网段1.1.1.6 ~ 1.1.1.10、2.2.2.6 ~ 2.2.2.10

8 NAT Server

Source-IPSource-PortGlobal-IPGlobal-Port
10.1.60.100801.1.1.4(FW_A)8080
10.1.60.101211.1.1.5(FW_A)21
10.1.60.100802.2.2.4(FW_B)8080
10.1.60.101212.2.2.5(FW_B)21

9 OSPF

本端设备对端设备进程号区域
FW_A、FW_BCore1、Core210
AGG1、AGG2Core1、Core211

配置结果验证

1 AP状态

在这里插入图片描述

2 VRRP状态

在这里插入图片描述
在这里插入图片描述
在这里插入图片描述

3 VPN 协商

在这里插入图片描述
在这里插入图片描述
在这里插入图片描述
在这里插入图片描述

4 双击热备状态

在这里插入图片描述

5 用户IP地址获取

  • 无线用户
    在这里插入图片描述
    在这里插入图片描述
  • 有线用户
    在这里插入图片描述
  • 出差用户
    在这里插入图片描述

6 防火墙策略

策略部署相对简单,根据部署情况放行相应流量即可,下图为FW_A的策略条目,部署双机热备后会在FW_B上同步,另外还需要配置NAT策略以及NAT服务器地址映射,这里不再赘述。
在这里插入图片描述

访问验证

1 To_Internet

1.1 Wireless_User

在这里插入图片描述

还有兄弟不知道网络安全面试可以提前刷题吗?费时一周整理的160+网络安全面试题,金九银十,做网络安全面试里的显眼包!

王岚嵚工程师面试题(附答案),只能帮兄弟们到这儿了!如果你能答对70%,找一个安全工作,问题不大。

对于有1-3年工作经验,想要跳槽的朋友来说,也是很好的温习资料!

【完整版领取方式在文末!!】

93道网络安全面试题

内容实在太多,不一一截图了

黑客学习资源推荐

最后给大家分享一份全套的网络安全学习资料,给那些想学习 网络安全的小伙伴们一点帮助!

对于从来没有接触过网络安全的同学,我们帮你准备了详细的学习成长路线图。可以说是最科学最系统的学习路线,大家跟着这个大的方向学习准没问题。

声明:本文内容由网友自发贡献,不代表【wpsshop博客】立场,版权归原作者所有,本站不承担相应法律责任。如您发现有侵权的内容,请联系我们。转载请注明出处:https://www.wpsshop.cn/w/酷酷是懒虫/article/detail/774850
推荐阅读
相关标签