中煙微平臺建設項目網(wǎng)絡解決方案

一、方案簡 拓撲設 方案描 方案特 設備二、方案實 設備命 設備能 端口及IP規(guī) 路由規(guī) 項目進 三、系統(tǒng)安 3.2安全特 1.4.1、用戶和內(nèi)容的可視 IPS綜合的防范能 3.3管理安 四、鏈路負載均衡技術實 Outbound流量負載均衡實現(xiàn)原 Inbound流量負載均衡實現(xiàn)原 在鏈路負載均衡環(huán)境中的DNS設計和解析方 五、設備基本配 F5基本配 5.2基本配 拓撲設下面是專門為中煙微平臺設計的網(wǎng)絡拓撲圖方案描司的LTM3900一臺,提供兩條出口鏈路（中通和中國電信）的負載均衡，其中兩條Internet出口鏈路都通過光纖/RJ45(需確認)F53900連接（如果今后考慮雙機冗余，需要ISPF5LTM3900前面放置兩臺臺二層光纖交換機做端口拓F5LTM3900與PaloAlto之間通過三層相連，下聯(lián)交換機至各服務器方案特結(jié)構合整個網(wǎng)絡結(jié)構布局合理，層次分明，便于管理與。故障發(fā)生時可迅速定位故障點鏈路可用性F5LTM390099.999%安全性F53900IP地址與端口。F5、palaAlto采用SSH和SSL技術來管理設備，管理流量加密，可以防止來自內(nèi)部或PaloAlto在實現(xiàn)傳統(tǒng)功能的前提下，在本次項目中，在確保網(wǎng)絡通暢的基礎上，確保數(shù)據(jù)的傳輸，抵御、、代碼、DDoS等通過各種形式對系統(tǒng)發(fā)起的破壞和，特別能夠應對來自內(nèi)部的行為，防止由此產(chǎn)生的系統(tǒng)事故或網(wǎng)絡事可擴展性或做任何改變從而使得系統(tǒng)擴展輕松方便?？晒芾硇栽黾映隹趲?。PaloAlto支持完全的應用程序可視化、控制、檢查、和日志記錄功能設備PartProductR620E5-2620*2/ECC16G/900GSAS2.52R620E5-2620*2/ECC16G/900GSAS2.51R620E5-2609*1/ECC16G/1TBSAS2.51（H3C）S5120-28C-PWR-EI241SFP，850nm4PaloAltoNetworksPA-1Threatpreventionsubscriptionyear1,PA-1DDOSprevention1BIG-IPSwitch:LocalTrafficManager39008GB1STDService(One1RMA-2Service(One1BIG-IPAdd-on:LinkController1Webwin2008R2642sqlserver1設備命網(wǎng)絡設備命描命F5PaloAltoH3C機柜布放設備能所有設備總能耗小于3Kw，均為交流供電端口IP規(guī)端 ServerVLANServerVLANServerVLANServerVLANServerServerServerServer路由規(guī)默認路由：服務器網(wǎng)關在上，交換機默認路由指向，指向F5；返程路由：由F5指向，指向交換機；管理方于加密的網(wǎng)絡環(huán)境中，具有較高的安全性。配合上的用戶分權分組策略，可以控制撥入后用戶的權限。項目進間況負載均衡安全特F53900HTTPS,SSHF5VIPTCP/UDP在防止DOS方面,F5提供防護能力,特別對于ofDeath,F5的VIP一旦規(guī)定成功就對包做中繼處理,避免對服務器的壓力.并且，F(xiàn)5具備回收技術，同時可以設置在資源消耗在97%（可設）時重啟，切安全特Paloalto的下一代安全網(wǎng)關突破了傳統(tǒng)的和UTM的缺陷，從硬件設計和軟件設計上獨有識別技術——可視化——應用程序、內(nèi)容、用戶信息全部深度可視策略編輯器——日志報告——全面的系統(tǒng)、流量、、審計日志，有效降低成虛擬系統(tǒng)——Panorama——GlobalProtect——多種部署方式——高性能、低延遲——業(yè)界領先的單通道并行處理(SP3)對比——下一代不其他安全產(chǎn)品的比、用戶和內(nèi)容的可視以清楚易懂的形式查看URL、和文件/數(shù)據(jù)傳輸活動。添加和刪除過濾器可了解有關應用可視內(nèi)容（）可視用戶可視IPS綜合的防范能對允許的應用程序通信進行檢測成為了下一個大的難題這一難題可通過與無縫集成的預防引擎來解決，該引擎將統(tǒng)一的簽名格式與基于流的掃描組合在一起，以單通道方式、和軟件。防御系統(tǒng)(IPS)：保護功能集成了一組豐富的防御系統(tǒng)(IPS)功能，可已知和未知的網(wǎng)絡層和應用程序?qū)印⒕彌_區(qū)溢出、DoS及端口掃描危害和破壞企業(yè)信息資源。IPS機制包括：協(xié)議器分IPTCP自定義簽網(wǎng)絡防：內(nèi)聯(lián)的防保護功能將在網(wǎng)關處檢測和大多數(shù)類型的軟件。防病毒保護功能利用統(tǒng)一的簽名格式和基于流的引擎來保護企業(yè)免受數(shù)百萬種的軟件的侵擾?；诹鞯膾呙杩蓭椭Ｗo網(wǎng)絡，而不會造成顯著的延遲。使用依賴于基于的掃描的其他網(wǎng)AV技術會出現(xiàn)此問題。此外，基于流的引擎可執(zhí)行內(nèi)聯(lián)解壓縮，從而使企業(yè)可防范經(jīng)過壓縮的。而且，由于PaloAltoNetworks新一代能夠按策略對SSL進行，還可以讓組織防范通過受的SSL加密的應用程序的軟件。URL過濾：完全集成且可自定義的URL過濾數(shù)據(jù)庫收集了76個類別的2000多萬個URL，管理員可以利用它應用精細的網(wǎng)絡瀏覽策略，同時配合應用程序可視化和控制策略，幫助企業(yè)防范各種法律、和生產(chǎn)風險。可以創(chuàng)建自定義策略，以便對原始URL過濾數(shù)據(jù)庫進行補充并滿足獨特的客戶需求。為了適應本地用戶社區(qū)的通信模式，還可以利用一個收集有一百萬個URL的單獨的動態(tài)緩存數(shù)據(jù)庫（從一個收集有一億八千萬個URL的托數(shù)據(jù)過濾：利用數(shù)據(jù)過濾功能，管理員能夠?qū)嵤┮恍┎呗砸越档团c傳輸基于類型的授權的文件（與僅查看文件擴展名相對）和數(shù)據(jù)模式（號和號）精細的網(wǎng)絡、應用策略控定。利用這些數(shù)據(jù)點，管理員可以應用具有各種比允許或更為精細的響應的策略。策略控允許或允許，但會進行掃描以檢測和其他允許（基于時間表、用戶或組QoS通過使用具有熟悉的界面外觀和操作方式的策略編輯器，經(jīng)驗豐富的管理員可以快速創(chuàng)建靈活的策略，例如：，，部署URL過濾策略明顯與工作無關的可能存在問題的并“指導”如何其他。，，實施QoS策略以允許和其他占用大量帶寬的應用程序但限制這些應用程序?qū)I(yè)務通過使用PaloAltoNetworks的新一代，客戶可以部署積極的強制實施模型策略，以應用程序、掃描業(yè)務應用程序以檢測并促進安全使用最終用戶應用程序。相比之下，基于IPS的解決方案只具有兩個選項（即允許或，這將限制以積極、可控且安全帶寬監(jiān)視和控PaloAltoNetworks安全防護網(wǎng)關，支持多達八種的服務質(zhì)量控制分類，可依據(jù)網(wǎng)絡應用服務的重要性，予以劃分等級，例如：語音通話服務，劃有最高優(yōu)先權分類、網(wǎng)頁數(shù)據(jù)瀏覽PaloAltoNetworksQoS控管機制，IT人員所需管理信息?服務質(zhì)(QoS)：用大量帶寬的應用程序（如流）運行，同時又保持業(yè)務應用程序的性能。可以基于應用程實時帶寬監(jiān)視器QoS類中的應用程序和用戶對帶寬和會話的使用量的實時圖形化報告和日志記告來滿足特定的要求。詳細的活動報告會顯示已使用的應用程序、過的URL類別和以及給定用戶在指定期間內(nèi)的所有URL的詳細報告所有報告均可作為CSV或PDF格日志記錄/過動態(tài)過濾功能來查看應用程序、和用戶活動?？梢詫⑷罩具^濾結(jié)果導出到CSV文件中會話工具：通過對與單個會話相關的通信、、URL和應用程序的所有日志使用集中式關聯(lián)視圖，可加快取證或事件的速度。管理安SSHIP為了加強對設備的SSH登錄管理，可以對能SSH登錄設備的IP地址進行限制，以限定只IP地址或網(wǎng)段才能登錄設備。為了加強對對設備的HTTPS登錄管理，可以對能HTTPS登錄設備的IP地址進行限制，以IP地址或網(wǎng)段才能登錄設備。WebUIsessiontimeouttimeout時間后，login600秒。在缺省情況下，SSHSSH600秒。NTP服務，并開啟所有設備日志管理。圖中中煙微平臺通過ISP1和ISP2接入Internet每個ISP都分配給該網(wǎng)絡一個IP地址網(wǎng)段，假設ISP1分配的地址段為/24，ISP2分配的地址段為/24（此處的/24表示網(wǎng)絡IP地址段為子網(wǎng)掩碼為24同樣Internet/24。多鏈路負載均衡解決方案就是在內(nèi)部網(wǎng)絡和ISP之間，跨接一臺負載均衡設備應用交換機DNSInternetOutbound流量負載均衡實F5OutboundDefaultGatewayDefaultGatewayPoolISP對端路由器地址，作為負載均衡的對象，并且可以健康檢查，負載均衡算法以及會話保持等屬性。DefaultGatewayPoolNodesF5F5iRulesWildcardVirtualServer－:0/internal，WildcardVirtualServer這個特殊的虛擬服務器，一般用于DefaultGatewayPool。SNAT/SNAT對于Outbound流量的地址翻譯，F(xiàn)5負載均衡設備使用了稱為SNAT的方法當選定一個路由（某一個ISP）傳送Outbound流量時負載均衡設備將選擇該ISP提供的地址在上圖中，如果負載均衡設備選擇ISP1作為Outbound流量的路徑，則它將把內(nèi)部的主機地址192.168.1.A翻譯為100.1.1.A，并作為Outbound數(shù)據(jù)包的源地址。同樣，如果負載均衡設備選擇ISP2作為Outbound流量的路徑則它將把內(nèi)部的主機地址192.168.1.A翻譯為200.1.1.A并作為Outbound當F5VlanSelf-IP100.1.1.A=，200.1.1.A＝SNATAutomap。Inbound流量負載均衡實現(xiàn)原F5InboundDNS解析器（Wide擔DNS的功能以便返回給用戶相應的IP地址F5LTM設備支持完整的DNS記錄解析WideIP可以各種Inbound負載均衡算法由于F5F5返回給用戶DNS解析是VirtualServer；VirtualServer，例如：NetworkVirtualServer以及TransparentVirtualServer。Forwarding時（例如：AutoLasthopForwardingPool。Lasthoppool/AutoLast設備的MAC地址，確定返回路徑，以便正確返回給最初發(fā)起數(shù)據(jù)包的網(wǎng)絡設備。置相應的NAT記錄來保證從多條鏈路都能內(nèi)部服務器與VirtualServer加上SNAT功能相當（細節(jié)有所不同。對于而言，由于外部服務器需要進行地址反向解析，因VirtualServer+SNAT方式。在鏈路負載均衡環(huán)境中的DNS設計和解析方RootDNS（DNS）直接與F5LTM設備配CNAME方IN IN.IN. A（F5LTM設備電信地址 A（F5LTM設備網(wǎng)通地址這是在Inbound負載均衡中，普遍使用的一種解析方法NS委派方IN IN .IN（F5LTM設備電信地址.IN（F5LTM設備網(wǎng)通地址這種方式將解析的所有工作都交給了LTM設備完成，也是我們推薦的DNS方式。這種方DNSDNS的功能。F5基本配BIGIPF5ConsoleCable交叉網(wǎng)線一根，通過管理口(console)F5連接（通過配置好的其它端口登陸時，BIG的端口是自適應正反線的SSH客戶端軟件（secureHTTPS協(xié)議的瀏覽器（IE即可到BIG-IP的圖形界面海富通使用的F5為V9版本可以通過圖形界面完成所有的配置console使用超級終端建立接通過Console電纜一端連接BIGIP，一端連接終端的SSHBIG-IPBIG-IP的管理地址并將你（/24BIG-IP,命令行的默認用戶/是root/default，可以通過web登陸后進行修改。當你知道BIG-IP的管理地址時就可以使用瀏覽器通過進入圖形界管