双防火墙下构建专用商务网站
笔者所在公司网络为自建局域网,既承担集团公司生产、财务、物流等各业务系统的运行,又提供办公人员访问互联网的业务。整个网络主要由集团公司总部网络和分系统或区域的分支网络组成。集团公司总部网络对内为员工提供了一个企业内部生产、办公、交流的平台,对外为员工提供访问互联网的业务。
集团公司总部网络的拓扑连接主要为ISP 服务商→防火墙→内部网络。其中,在防火墙的DMZ 区域放着公司的重要服务器,如集团公司电子商务网站、电子邮局、人力资源外部网站等。
本文中涉及的物流网络为分支网络,但为了保证其业务的安全性,该分支网络要求规划成为一个构建在防火墙基础上的专用网络。物流系统数据库服务器及数据库备份服务器、应用服务器及其商务网站等重要服务器,同样被规划在其防火墙的DMZ 区域。
本文将介绍双防火墙下构建专用商务网站的方法。
架设防火墙的目的
本案例中架设防火墙的目的有两个:
第一,防火墙允许网络管理人员有中心、有重点地规划网络,从而防止跨越权限的数据访问及非授权用户进入内部网络。通过借助防火墙的3 个安全区域,使用户的网络规划清晰明了,使网管人员可以很方便地监视网络的安全情况,并按需要及时调整安全访问策略或规则。
第二,通过在防火墙上部署NAT(Network AddressTranslation,网络地址变换),利用NAT 技术将有限的外部IP 地址静态地址与内部的IP 地址对应起来,一方面可以缓解集团公司公网地址空间短缺的问题,另一方面可以提高网络中被保护资源的安全性。
总部网络拓扑概述
集团公司内部网络被防火墙分隔为3 个不同安全级别的安全域,即inside、DMZ、outside 域。其中,inside内网区域是大多数员工所在的集团公司总部网;DMZ 区域专门用于存放集团公司涉外业务,如商务、电子邮局、人力资源等;outside 外网区域,即互联网区域。其安全等级从高到低依次为内网区域100、DMZ 区域50、外网区域0。
规划物流系统网络并进行拓扑连接
1. 规划物流系统分支网络。
在此需要明确的设计需求是:该分支网络的中心或者重点是物流系统各服务器,如物流应用系统、数据库、数据备份服务器等。其使用人员为物资分公司的员工,物流商务网站服务器用于在互联网上发布或收集相关信息。由此,围绕防火墙设计其网络连接:通过Cisco ASA 5550 防火墙的3 个不同端口,构建3个不同安全级别的安全域(inside、DMZ、outside 域)。其安全等级从高到低依次为inside 域100、DMZ 域50、outside 域0。inside 内网区域,用于连接数据库、数据备份、物流应用系统服务器等;DMZ 区域, 放置物流商务网站;outside 外网区域, 由物流系统用户组成。
在这里,服务器的安全等级最高,其目的是保护物流系统核心资源必须是授权访问,并减少来自外部的攻击。如图1 所示中的“物流分支网络”部分。
2. 将物流虚拟网连入集团公司网络,并使其能实现所需功能
物流虚拟网与集团总部网络的拓扑规划及连接如图1所示。由图可见,从集团公司总部网络的核心路由器分出两路连接,一路用于物流系统用户的接入,另一路用于连接物流系统防火墙。同时, 为了实现物流商务网站内外通的功能,还需要在物流商务网站服务器与集团公司总部防火墙的DMZ 区之间再加一条连接,如图1 中的粗虚线所示。
图1 总部网络拓扑图
这样,物流商务网站可以通过在集团公司防火墙上做相应地址转换而实现内外通功能。
配置物流系统防火墙
针对物流系统用户及合作伙伴的流动性及网络扩展性强的要求,物流系统防火墙选用了Cisco ASA 5550 自适应安全设备,它能够随着企业网络安全要求的增长而不断扩展,具有更高的投资保护能力和更出色的服务可扩展性。
企业可扩展其SSL 和IPsec VPN 容量,以支持大量移动员工、远程站点和业务合作伙伴。通过安装SSL VPN 升级许可,可在每个Cisco ASA 5550 上扩展支持多达5000个SSL VPN peer,基础平台最多可支持5000 个IPsec VPNpeer。通过使用Cisco ASA 5550 的集成VPN 集群和负载平衡能力,VPN 容量和永续性还可以进一步提高。
下面简述在Cisco ASA 5550 防火墙上配置物流商务网站的步骤。
1. 配置防火墙
配置防火墙上相应的inside、DMZ、outside 端口地址及其安全级别:建议把inside 和outside 端口放在不同槽板上,这种部署吞吐量大。
下面配置G0/0 口为防火墙的内网口,IP 地址为10.20.100. 1/24,安全级别为100 :
interface GigabitEthernet 0/0
nameif inside
security-level 100
ip address 10.20.100.1 255.255.255.0
配置G0/3 口为防火墙的DMZ 口,IP 地址为10.20.40.1/24,安全级别为50 :
interface GigabitEthernet 0/3
nameif dmz
security-level 50
ip address 10.20.40.1 255.255.255.0
配置G1/0 口为防火墙的外网口,IP 地址为192.168.212.2/22,安全级别为0 :
interface GigabitEthernet 1/0
nameif outside
security-level 0
ip address 192.168.212.2 255.255.
255.0
2. 配置路由
在物流系统防火墙内网口inside 下连的交换机中,还划分了10.20.10.0/24 子网,物流系统服务器的IP 地址被规划在这个网段,因此要为这些网段添加通过内网口访问的静态路由,还需要添加通过防火墙外网口outside 访问的物流系统用户所在的192.168.212.1/22 网段的路由。
在ASA 5550 防火墙上添加下面两条静态路由:
route inside 10.20.10.0 255.255.
255.0 10.20.100.1 1
route outside 0.0.0.0 0.0.0.0 192.
168.212.1 1
上面两条路由,第一条用于访问防火墙内部的服务器,第二条用于访问防火墙外部用户。
3. 配置该服务器网卡
电子商务服务器被连接在了ASA 防火墙的DMZ 区域,网卡配置为10.100.40.2/24,另一块网卡连接到互联网出口防火墙的DMZ 区域,网卡配置为11.11.11.11/24,网关为11.11. 11.1,DNS 服务器IP 地址为202.99.160.68。
4. 做电子商务服务器NAT
做DMZ-outside 的静态NAT :
static (dmz,outside) 192.168.212.20
10.20.40.2 netmask 255.255.255.255
做DMZ-inside 的静态NAT :
static (dmz,inside) 10.20.100.100
10.20.40.2 netmask 255.255.255.255
上面这两条静态地址转换的目的是让防火墙外部用户通过地址192.168.212.20 访问,而防火墙内部通过地址10.20.100.100 访问。
5. 配置security policy (ACL) 及访问规则
首先,创建电子商务所需的服务,服务名称为ebusiness:
object-group service ebusiness tcp
port-object range 2030 2030
port-object range 3389 3389
port-object eq https
port-object eq www
port-object range sqlnet sqlnet
其次,创建从外网访问它的规则:
a c c e s s - l i s t o u t s i d e _ a c c e s s _
in extended permit tcp any host
192.168.212.20 object-group ebusiness
为了测试方便,还加了一条访问规则,允许从外网对它进行Ping :
a c c e s s - l i s t o u t s i d e _ a c c e s s _
in extended permit icmp any host
192.168.212.20
6. 配置出口防火墙
配置企业互联网出口防火墙,建立该服务器在公网的映射,以便用户的访问。
集团公司出口防火墙选用了FortiGate-310B 设备。这款设备包括很高级别的端口密度,10 个千兆以太端口;双WAN 链接,支持冗余的互联网连接,集成了一个4 个端口的交换机,无须使用外接的Hub 或交换机,使得联网的设备直接连接到防火墙上。FortiASIC 网络处理器可实现最高8Gbps 和6Gbps 的FW/IPSec VPN 吞吐量。
edit "VI_229_1"
set extip 61.240.133.13
set extintf "port7"
set portforward enable
set mappedip 11.11.11.11
set extport 80
set mappedport 80
next
edit 14
set input-device "port8"
s e t s r c 1 1 . 1 1 . 1 1 . 1 1 2 5 5 .
255.255.255
set output-device "port7"
next
配置路由
在Windows 系统中,允许为一个机器配置两块网卡。虽然理论上可以给两块网卡都配置网关,但会由此造成路由混乱。因而,对于有两块网卡的机器,对其网卡配置时,一块需要指定网关,一块则不需要指定网关,而通过该网络到达其他网段时,一般需要配置静态路由。
在这里,为了保证机器重启后仍能正常运行,采用给本机添加永久路由的方式。
在添加路由前需要对网络拓扑结构有明确认识。对于该服务器来说,访问集团公司的办公网络172 和192 网段,是通过ASA 防火墙的DMZ 口转换的,而访问物流系统ASA 防火墙内部区域所连接的各数据库服务器和备份服务器,也是通过DMZ 口转发的,即访问这几段网络的下一跳网关都为10.20.40.1。因而需要设置以下几条本地永久路由:
Route –p add 172.16.8.0 mask
255.255.252.0 10.20. 40.1(内网)
Route –p add 192.168. 0.0 mask
255.255.0.0 10.20. 40.1(内网)
Route –p add 10.20.10.0 mask
255.255.255.0 10.20. 40.1(DMZ区)
本机路由表如图2 所示。
图2 本机路由表
至此,一个双防火墙连接下的内外通商务网站构建成功。
核心关注:拓步ERP系统平台是覆盖了众多的业务领域、行业应用,蕴涵了丰富的ERP管理思想,集成了ERP软件业务管理理念,功能涉及供应链、成本、制造、CRM、HR等众多业务领域的管理,全面涵盖了企业关注ERP管理系统的核心领域,是众多中小企业信息化建设首选的ERP管理软件信赖品牌。
转载请注明出处:拓步ERP资讯网http://www.toberp.com/
本文标题:双防火墙下构建专用商务网站
本文网址:http://www.toberp.com/html/consultation/1083946842.html