防火墙网络架构改造方案文档格式.docx

防火墙网络架构改造方案文档格式.docx

《防火墙网络架构改造方案文档格式.docx》由会员分享，可在线阅读，更多相关《防火墙网络架构改造方案文档格式.docx（13页珍藏版）》请在冰豆网上搜索。

S1

Catalyst-2960G

思科二层交换机

普通二层交换机

S2

Srw-2024G

Serv1

ERP、OA、Mailserver

重要服务系统

对外服务服务器

Serv2

FAX、FTPserver

员工服务应用服务器

对服务服务器

代理服务器

2003server

代理上网服务器

控制出口流量

域服务器

域管理网关

管理网用户及DNS指向

采用同一网段工作组，随着厂区人数增多，掩码更改为255.255.252.0，工作网可容纳1000个有效IP。

出口控制和路由依靠防火墙实现。

分厂区沙发厂有光纤专线连接到总厂区访问日常办公应用服务，有单独的互联网接入口。

⏹用户数据流向图：

（初流向图）

如上图看出，用户数据要访问部服务应用、访问互联网等必须流经防火墙，随着业务需求不断增多，用户数不断增多，防火墙常驻存、CPU使用率均达60%以上。

防火墙已服役6年，病毒库过期未更新。

3.老架构存在的问题

在当时，上述架构是中小型企业网络的主流架构，能够满足公司业务需要。

但随着厂区规模不断扩展，信息化不断提高，原来的网络架构已经尽显疲态，具体表现在下面几个方面：

1）采用工作组的组网方式，网络结构简单，为二层网络架构，且网络设备老化，功能单一，无法实现高级管理功能。

2）因建网初期客户端较少，因此采用单一网段，随着客户端数量的增加，以及业务需要的不断提高，出于一些性和安全性需要，必须要划分vlan。

尽管已开启域管理和代理服务器保障局域网安全，但是由于功能性和网络性能问题，始终出现网络病毒传播。

4.升级改造网络要达到以下几点要求：

1）提升网络性能，并支持扩展升级，为日后企业扩展做好准备。

2）加固网络安全，在不影响客户终端配置的情况下，对骨干网络进行整改，提高数据安全性。

3）控制成本，实用性要好，对现有网络架构能充分分配利用。

二、网络设计

1.网络拓扑设计

⏹拓扑图

⏹设备命名规则

设备名

放置位置

设备型号

R1

出口路由器

（带DMZ功能Fortigate防火墙）

外部防火墙

部转发路由器

部防火墙

办公楼汇聚层

二层管理交换机

研发楼汇聚层

DMZ非军事区

对外服务重要服务

部应用服务器

2.设计策略

⏹划分vlan提高网络的管用性。

现有设备分析：

骨干网络上S1：

思科catalyst2960G、S2:

思科srw2024G都是带管理功能的2层交换机，带有vlan划分功能。

出口控制防火墙：

Fortint400支持vlan路由转发。

（vlan分析图）

二层交换机划分不同VLAN之间必须通过路由功能才能实现通讯，如果VLAN的数量不断增加，流经路由与交换机之间链路的流量也变得非常大，此时，这条链路也就成为了整个网络的瓶颈。

由于采用飞塔防火墙作路由功能，尽量只划分有必要的VLAN，即只对服务器和客户端用户进行VLAN划分。

解决办法是使用三层交换机代替飞塔放火墙，三层交换技术在第三层实现了数据包的高速转发，从而解决了传统路由低速、负荷不足所造成的网络瓶颈问题。

但由于三层交换机设备昂贵，本次改造方案暂不予考虑。

⏹划分DMZ保障关键服务系统的安全。

使用防火墙为关键服务器提供隔离区，整个网络区分为三个部分WAN、LAN、DMZ，并确定其访问策略：

1.网可以访问外网

2.网可以访问DMZ

3.外网不能访问网

4.外网可以访问DMZ

5.DMZ不能访问网

6.DMZ不能访问外网（服务器除外）

　在网络中，非军事区（DMZ）是指为不信任系统提供服务的孤立网段，其目的是把敏感的部网络和其他提供访问服务的网络分开，阻止网和外网直接通信，以保证网安全。

⏹改造后用户数据流向图：

改造后如上图：

R2防火墙主要负责Serv2、域服务器、代理服务器的防护机制，通过防病毒过滤及访问策略控制对部关键应用服务器进行保护。

划分vlan后，因vlan隔离广播，能有效抑制网络病毒对应用服务器的感染。

R1防火墙主要负责Serv1、互联网出口、沙发厂员工vpn接入的防护机制。

购置带DMZ的Fortigate防火墙可提供最新的病毒库，能与R2病毒库兼容一并升级。

改造后整个网络的安全体系升级，但网络性能瓶颈依然在R2防火墙上，解决办法是使用三层交换机代替R2放火墙。

⏹IP地址分配方案

IP

接口

接口说明

F0/1

Vpn

F0/2

专线

F0/3

DMZ

F0/4

Trunk

Turnk

代理、域服务器接口

研发楼

办公楼

Vlan1（交换机默认所有接口）

各终端

Trunk（F0/）

连接R2接口

Vlan2（F0/）

S2交换机下的部服务器Serv2

⏹路由规划

路由

网关

出口

三、网络安全设计

⏹出口控制规划表（防火墙）：

序号

源地址

目的地址

时间表

服务

保护容表

动作

port1->

port2（7）

1

Int

all

always

ANY

ENCRYPT

2

Mailserver

KWRPSVR0608

ACCEPT

3

四、配置举例

⏹S2交换机配置：

S2#vlandatabase

S2<

vlan>

#vlan2

#ipaddress<

IP地址>

<

mask>

#exit

S2#configterminal

config>

#intrangef0/1-5

config-if-range>

#switchportmodeaccess

#switchportaccessvlan2

#end

#interfacevlan1

config-if>

#ipdefault-gateway<

#intf0/24（设置turnk口）

#switchportmodetrunk

#switchporttrunkallowedvlan1,2

#switchporttrunkencapdot1q（vlan中继）

#enablesecretxxx（设置特权加密口为xxx）

#enablepasswordxxx（设置特权非加密口为xxx）

config-line>

#linevty04

#login

#passwordxx

S2#write

⏹防火墙vlan配置：

⏹R1防火墙DMZ配置:

进入防火墙---->

虚拟IP新建一个虚拟IP项目

五、总结

1．安全性

通过以上网络改造后，网络架构从单一组网，转换成交换式网络。

防火墙R2过滤了过往Serv2文件传输所造成的病毒传播。

创建VLAN后，隔离了不同VLAN间的逻辑广播域，缩小了广播围，能够阻止广播风暴的产生。

整个网络的安全性能方面有了较大的提高。

2．可靠性

两台飞塔防火墙互为通用设备，任意一台发生故障时，另一台可以在极短时间还原升级前配置，恢复以前的网络架构，为关键服务提高可靠的灾难应对方法。

3．不足缺陷和改进方法

在汇聚层上，仅依靠R2做路由转发功能，导致办公楼与研发楼间的数据交互受R2性能影响，传输速度有所影响。

为了以后能更高效，更可靠的拓展公司业务，建议把老旧的R2防火墙换成思科三层交换机，其高效的数据交换足以满足公司网络汇聚层以后的发展要求。

4．升级后需要解决的问题

由于划分VLAN后，限制了广播功能，部分需要广播的应用服务器应与客户端处于同一VLAN下，新部署的ip-guard服务需要通过广播功能搜索在线客户端，所以应把其部署在VLAN1，否则无法使用其广播功能。

附录：

⏹原出口控制表：