返回
Netscreen防火墙保护内网安全的一个解决方案.doc

Netscreen防火墙保护内网安全的一个解决方案.doc

ID:56825898

大小:127.00 KB

页数:6页

时间:2020-07-15

Netscreen防火墙保护内网安全的一个解决方案.doc_第1页
Netscreen防火墙保护内网安全的一个解决方案.doc_第2页
Netscreen防火墙保护内网安全的一个解决方案.doc_第3页
Netscreen防火墙保护内网安全的一个解决方案.doc_第4页
Netscreen防火墙保护内网安全的一个解决方案.doc_第5页
资源描述:

《Netscreen防火墙保护内网安全的一个解决方案.doc》由会员上传分享,免费在线阅读,更多相关内容在教育资源-天天文库

1、部署Netscreen防火墙保护内网安全目前有很多用户存在内网访问控制的需求,希望能够充分利用防火墙的访问控制能力进一步细分内网的安全子域,由于办公用户和内部应用主机通常接在交换机上,要想在交换机上实现不同VLAN间访问控制和隔离,对交换机处理要求比较高,实施起来比较复杂而且维护不方便。经测试验证:交换机和Netscreen防火墙结合起来可以很好地解决内网访问控制问题,通过Trunk+aggregate接口并结合防火墙的zone和Policy能够提供更细粒度的内网访问控制。下面结合一个客户案例做一个扼要介绍。客户需求:1、需要对内网所有VLAN间的流量实施统一的安全管理策略,容许VLAN

2、间流量的单向、双向访问或拒绝访问。2、保持现有网络架构不变,防火墙里面接三层交换机,交换机直连服务器和用户,充分利用现有Netscreen防火墙安全处理能力,无需额外采购防火墙放置在交换机和服务器之间。3、对于需要加强访问控制的流量由防火墙处理,而部分无需实行访问控制的流量则直接由交换机进行转发。解决方案:根据客户的具体需求,Netscreen防火墙在交换机协助下通过Trunk进行连接,并将不同的VLAN子接口放在不同的zone中,通过Policy来控制VLAN间流量访问。为了提高流量的吞吐量,可以在交换机和防火墙间通过千兆以太网捆绑通道相连,提高了网络的带宽和可靠性。测试环境:其中vl

3、an2和vlan3网关终结在防火墙上,并位于不同的zone,vlan4和vlan5网关终结在cisco交换机上,vlan4和vlan5间流量直接通过交换机转发。同时在防火墙和交换机trunk中继上配置单独子网,用于解决vlan2/3和vlan4/5的互访。测试目标:1、VLAN2可以访问VLAN4服务器的WEB应用,而VLAN3可以访问VLAN4服务器的mail应用2、VLAN2可以访问VLAN3整个网段,而VLAN3仅可以访问VLAN2的FTP应用。3、VLAN4和VLAN5间流量直接由交换机转发处理,流量无需经过防火墙。1、除此以外,所有访问都不容许访问。测试结果:1、通过配置聚合端

4、口使防火墙和交换机的转发能力得到大副提高,同时增强了链路的冗余性。2、通过Trunk中继技术,使防火墙能够正确地识别交换机配置的不同VLANID,并通过Policy提供单向的严格访问控制。3、对于一些vlan间无需访问控制的流量,可在交换机上直接终结这些VLAN,使这些VLAN间的流量转发不经过防火墙,由交换机直接进行交换处理。配置信息:一、NS5200setzone"Trust"vrouter"trust-vr"setzone"Untrust"vrouter"trust-vr"setzone"DMZ"vrouter"trust-vr"setgroupservice"MAIL1"comm

5、ent"SMTP+POP3"setgroupservice"MAIL1"add"POP3"setgroupservice"MAIL1"add"SMTP"setinterfaceid109"aggregate1"zone"Untrust"setinterfaceethernet2/7aggregateaggregate1setinterfaceethernet2/8aggregateaggregate1setinterface"aggregate1.2"tag2zone"Trust"setinterface"aggregate1.3"tag3zone"Untrust"setinterfac

6、e"aggregate1.10"tag10zone"DMZ"setinterfaceaggregate1.2ip192.168.2.1/24setinterfaceaggregate1.2routesetinterfaceaggregate1.3ip192.168.3.1/24setinterfaceaggregate1.3routesetinterfaceaggregate1.10ip10.0.0.2/24/***与防火墙互连网段,用于转发VLAN4/5与Vlan2/3中间的流量***/setinterfaceaggregate1.10routesetpolicyid1from"Tru

7、st"to"DMZ""Any""192.168.4.0/24""HTTP"permitsetpolicyid2from"Untrust"to"DMZ"""Any"192.168.4.0/24""MAIL1"permitsetpolicyid3from"Untrust"to"trust""Any""Any""FTP"permitsetpolicyid4from"Trust"to"Untrust""Any""Any""ANY"permi

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。