網絡邊界安全：防火牆雙機熱備之上下行接交換機

 

1、場景概述

 

場景說明：

中小型企業頗有可能只有一個根外網線，一個公網IP，如何接兩個防火牆呢？在這種場景下，能夠將外網線接入到交換機上，而後交換機下方接入兩臺防火牆，防火牆使用VRRP技術，在防火牆的實際接口上配置兩個私網地址，而後虛擬出一個公網地址（注：VRRP的實際地址能夠與虛擬地址不在同一個網段！）。

雖然只有一個外網線，可是若是買了多個公網IP的話，可讓防火牆VRRP的實際地址也用公網IP，這樣咱們後面作NAT的時候更加方便一些。

這種組網方式適用於中小型網絡，僅防火牆有冗餘，而交換機沒有冗餘。

ENSP模擬拓撲：

 

主防火牆的接口IP和區域：

 

備防火牆的接口IP和區域：

 

 

2、圖形界面配置過程

配置概述：

一、主備防火牆在配置完HRP協議以後是會同步策略的，包括：NAT策略、安全策略，可是路由不會同步過去！

二、在配置策略的時候默認是從主設備配置，不容許從備設備配置！若是想讓備設備配置策略的話，就在主設置上輸入：「hrp standby config enable」便可。

三、主備的配置過程能夠簡單歸納爲：

a)     配置HRP、VRRP

b)     NAT

c)     靜態路由

主防火牆圖形界面配置過程：

一、高可靠----啓動「雙機熱備」----選擇「主備備份」或者「負載分擔」----選擇「運行角色」--指定心跳接口---心跳接口的IP和對端IP，以下圖所示：

 

2新建虛擬IP地址，以下圖所示（左側和右側）：

 

若是防火牆上僅有VRRP的話最好使用監控上聯口，若是有VGMP存在的話，監控上聯口就能夠省略，咱們這裏能夠不作監控上聯口。

三、NAT轉換

NAT轉換時要注意，若是都是三個公網地址，那麼三個公網地址在轉換時均可以使用。若是僅有一個公網地址的話，那麼NAT轉換時只能使用那個公網地址。

NAT策略---源NAT---以下圖所示：

這要要注意，路由器在配置NAT時，源和目標要指定接口，而在防火牆上源和目標指的區域而不是某個接口，上圖的意思爲：「只要是從trust區域過來的流量，防火牆都將其源IP轉換成untrust的IP地址」。

四、靜態路由

 

備防火牆圖形界面配置過程：

一、高可靠----啓動「雙機熱備」----選擇「主備備份」或者「負載分擔」----選擇「運行角色」--指定心跳接口---心跳接口的IP和對端IP，以下圖所示：

 

2新建虛擬IP地址，以下圖所示（左側和右側）：

 

 

 

三、NAT轉換

備防火牆的NAT策略不用配置，由於主配置完成後，會自動同步過來。

NAT轉換時要注意，若是都是三個公網地址，那麼三個公網地址在轉換時均可以使用。若是僅有一個公網地址的話，那麼NAT轉換時只能使用那個公網地址。

NAT策略---源NAT---以下圖所示：

 

這要要注意，路由器在配置NAT時，源和目標要指定接口，而在防火牆上源和目標指的區域而不是某個接口，上圖的意思爲：「只要是從trust區域過來的流量，防火牆都將其源IP轉換成untrust的IP地址」。

四、靜態路由

 

3、測試驗證

測試1：冗餘性測試

測試2：查看會話同步,dis seession

測試3：交換機 上dis mac，查看VRRP的免費ARP

4、配置注意

1. 命令行配置時，當HRP生效時，防火牆的名字也會發生變化，主設備會在名字後面加一個M，表明本身是主設備，備防火牆會在名字後面加一個s，表明本身是備用設備。
2. 當在主防火牆配置策略的時候，在出現（+B），這個意思是說已經同步到備設備那裏去了。
3. 防火牆默認不容許ICMP協議檢測，在trust區域使用tracert命令時，要在防火牆運行"icmp tll-exceeded send"，這樣就會容許ICMP檢測了。
4. 主設備必定不要忘記配置安全策略。
5. 默認開啓搶佔，且搶佔延遲爲60秒，能夠經過「hrp preempt delay <秒數>。
6. 在模擬器上作實驗的時候，雙機切換比較慢，估計會有一分鐘的延遲。
7. VRRP查看命令：dis vrrp brief、dis vrrp verbose