网络边界安全：防火墙双机热备之上下行接交换机

 

1、场景概述

 

场景说明：

中小型企业颇有可能只有一个根外网线，一个公网IP，如何接两个防火墙呢？在这种场景下，能够将外网线接入到交换机上，而后交换机下方接入两台防火墙，防火墙使用VRRP技术，在防火墙的实际接口上配置两个私网地址，而后虚拟出一个公网地址（注：VRRP的实际地址能够与虚拟地址不在同一个网段！）。

虽然只有一个外网线，可是若是买了多个公网IP的话，可让防火墙VRRP的实际地址也用公网IP，这样咱们后面作NAT的时候更加方便一些。

这种组网方式适用于中小型网络，仅防火墙有冗余，而交换机没有冗余。

ENSP模拟拓扑：

 

主防火墙的接口IP和区域：

 

备防火墙的接口IP和区域：

 

 

2、图形界面配置过程

配置概述：

一、主备防火墙在配置完HRP协议以后是会同步策略的，包括：NAT策略、安全策略，可是路由不会同步过去！

二、在配置策略的时候默认是从主设备配置，不容许从备设备配置！若是想让备设备配置策略的话，就在主设置上输入：“hrp standby config enable”便可。

三、主备的配置过程能够简单归纳为：

a)     配置HRP、VRRP

b)     NAT

c)     静态路由

主防火墙图形界面配置过程：

一、高可靠----启动“双机热备”----选择“主备备份”或者“负载分担”----选择“运行角色”--指定心跳接口---心跳接口的IP和对端IP，以下图所示：

 

2新建虚拟IP地址，以下图所示（左侧和右侧）：

 

若是防火墙上仅有VRRP的话最好使用监控上联口，若是有VGMP存在的话，监控上联口就能够省略，咱们这里能够不作监控上联口。

三、NAT转换

NAT转换时要注意，若是都是三个公网地址，那么三个公网地址在转换时均可以使用。若是仅有一个公网地址的话，那么NAT转换时只能使用那个公网地址。

NAT策略---源NAT---以下图所示：

这要要注意，路由器在配置NAT时，源和目标要指定接口，而在防火墙上源和目标指的区域而不是某个接口，上图的意思为：“只要是从trust区域过来的流量，防火墙都将其源IP转换成untrust的IP地址”。

四、静态路由

 

备防火墙图形界面配置过程：

一、高可靠----启动“双机热备”----选择“主备备份”或者“负载分担”----选择“运行角色”--指定心跳接口---心跳接口的IP和对端IP，以下图所示：

 

2新建虚拟IP地址，以下图所示（左侧和右侧）：

 

 

 

三、NAT转换

备防火墙的NAT策略不用配置，由于主配置完成后，会自动同步过来。

NAT转换时要注意，若是都是三个公网地址，那么三个公网地址在转换时均可以使用。若是仅有一个公网地址的话，那么NAT转换时只能使用那个公网地址。

NAT策略---源NAT---以下图所示：

 

这要要注意，路由器在配置NAT时，源和目标要指定接口，而在防火墙上源和目标指的区域而不是某个接口，上图的意思为：“只要是从trust区域过来的流量，防火墙都将其源IP转换成untrust的IP地址”。

四、静态路由

 

3、测试验证

测试1：冗余性测试

测试2：查看会话同步,dis seession

测试3：交换机 上dis mac，查看VRRP的免费ARP

4、配置注意

1. 命令行配置时，当HRP生效时，防火墙的名字也会发生变化，主设备会在名字后面加一个M，表明本身是主设备，备防火墙会在名字后面加一个s，表明本身是备用设备。
2. 当在主防火墙配置策略的时候，在出现（+B），这个意思是说已经同步到备设备那里去了。
3. 防火墙默认不容许ICMP协议检测，在trust区域使用tracert命令时，要在防火墙运行"icmp tll-exceeded send"，这样就会容许ICMP检测了。
4. 主设备必定不要忘记配置安全策略。
5. 默认开启抢占，且抢占延迟为60秒，能够经过“hrp preempt delay <秒数>。
6. 在模拟器上作实验的时候，双机切换比较慢，估计会有一分钟的延迟。
7. VRRP查看命令：dis vrrp brief、dis vrrp verbose