企业网组网设计与仿真实现
Core1(config-router)#network 192.168.110.0 0.0.0.255 area 0 Core1(config-router)#network 192.168.10.0 0.0.0.255 area 0 Core1(config-router)#network 192.168.11.0 0.0.0.255 area 0 Core1(config-router)#network 192.168.20.0 0.0.0.255 area 0 Core1(config-router)#network 192.168.21.0 0.0.0.255 area 0 Core1(config-router)#network 192.168.30.0 0.0.0.255 area 0 Core1(config-router)#network 192.168.31.0 0.0.0.255 area 0 Core1(config-router)#network 192.168.40.0 0.0.0.255 area 0 Core1(config-router)#network 192.168.50.0 0.0.0.255 area 0 Core1(config-router)#network 192.168.60.0 0.0.0.255 area 0
(2)这里以FW为例,简单介绍防火墙的OSPF配置 FW(config)# router ospf 1
FW(config-router)# network 192.168.0.0 255.255.255.252 area 0 FW(config-router)# network 192.168.0.8 255.255.255.252 area 0 FW(config-router)# network 192.168.70.0 255.255.255.0 area 0
(3)对Gateway进行动态路由协议配置,并通告自己为默认网关 Gateway(config)#router ospf 1
Gateway (config-router)#network 192.168.0.8 0.0.0.3 area 0 Gateway (config-router)# default-information originate always 4、防火墙放行流量
由于防火墙ASA特有的机制,默认情况下,外网的流量是不允许流进内网的,这里必须进行ACL(访问控制列表)的配置,初步放行所有流量。
FW(config)# access-list outside permit ip any any FW(config)# access-group outside in interface outside
这样就可以初步把所有从outside口(既e0口)进来的流量都放行了。但这不安全的,因为放行的是所有的IP流量,所以必须要对流量进行细分,将在下小节进行细分,并在安全加固模块将对防火墙进行安全加固。
25
企业网组网设计与仿真实现
4.2.2 广域网访问
广域网接入模块的功能是由广域网接入路由器Internet 路由器来完成的。采用的是Cisco的3640路由器(3600系列的路由器就可以了,只是由于现在在市场中3640比较通用)。它通过自己的串行接口serial 0/0使用DDN(128K)技术接入Internet,DDN是利用数字信道传输数据信号的数据传输网
数字数据网是一种利用光纤、数字微波或卫星等数字传输通道和数字交叉复用设备组成的数字数据传输网,它可以为用户提供各种速率的高质量数字专用电路和其他新业务,以满足用户多媒体通信和组建中高速计算机通信网的需要。主要由六个部分组成:光纤或数字微波通信系统;智能节点或集线器设备;网络管理系统; 数据电路终端设备;用户环路;用户端计算机或终端设备。它的主要作用是向用户提供永久性和半永久性连接的数字数据传输信道,既可用于计算机之间的通信,也可用于传送数字化传真,数字话音,数字图像信号或其它数字化信号。永久性连接的数字数据传输信道是指用户间建立固定连接,传输速率不变的独占带宽电路。半永久性连接的数字数据传输信道对用户来说是非交换性的。但用户可提出申请,由网络管理人员对其提出的传输速率、传输数据的目的地和传输路由进行修改。网络经营者向广大用户提供了灵活方便的数字电路出租业务,供各行业构成自己的专用网。
DDN提供半固定连接的专用电路,是面向所有专线用户或专网用户的基础电信网,可为专线用户提供高速、点到点的数字传输。DDN本身是一种数据传输网,支持任何通信协议,使用何种协议由用户决定(如X.25或帧中继)。所谓半固定是指根据用户需要临时建立的一种固定连接。对用户来说,专线申请之后,连接就已完成,且连接信道的数据传输速率、路由及所用的网络协议等随时可根据需要申请改变。其作用主要是在Internet和企业网内网间路由数据包。本小节主要集中在网关Gateway的配置上,图4.8所示。
图4.8 广域网接入路由器
1、DDN专线与内部路由配置
通过租用电信DDN专线,并获得两个连续的固定公网IP地址,假设为
26
企业网组网设计与仿真实现
59.42.177.230、59.42.177.231,一个用于公共服务器的地址转换,一个用于内网用户上网。
对路由器Gateway的s0/0进行IP地址、子网掩码配置,实现通过DDN专线访问Internet。
Gateway(config-if)#ip address 59.42.177.231 255.255.255.240 Gateway(config-if)#encapsulation hdlc Gateway(config-if)#no shutdown Gateway(config-if)#exit
Gateway(config)#ip route 0.0.0.0 0.0.0.0 serial 0/0 2、公共服务器地址转换
使用59.42.177.230作为公共服务器的全局公网地址,将使用端口映射(Port Mapping)功能,针对外网访问59.42.177.230的不同端口,转而转换成对不同的公共服务器的访问。
根据表3.1的地址规划所知,公共服务器的内网网段为192.168.70.0/24,我们将对这个网段不同服务器地址与端口转换成59.42.177.230的不同端口供外网访问。公共服务器与全局地址/端口对应关系如表4.4所示。
表4.4 公共服务器地址转换对应
公共服务器 PublicEmail 192.168.70.2:110(TCP) 192.168.70.3:20(TCP) FTP 192.168.70.3:21(TCP) TFTP WEB 192.168.70.3:69(UDP) 192.168.70.4:80(TCP) 59.42.177.230:21(TCP) 59.42.177.230:69(UDP) 59.42.177.230:80(TCP) 59.42.177.230:110(TCP) 59.42.177.230:20(TCP) 内网IP/端口/协议 192.168.70.2:25(TCP) 全局IP/端口 59.42.177.230:25(TCP) 以下为对路由器Gateway进行配置:
Gateway(config)#ip nat inside source static tcp 192.168.70.2 25 59.42.177.230 25
Gateway(config)#ip nat inside source static tcp 192.168.70.2 110 59.42.177.230 110
27
企业网组网设计与仿真实现
Gateway(config)#ip nat inside source static tcp 192.168.70.3 20 59.42.177.230 20
Gateway(config)#ip nat inside source static tcp 192.168.70.3 21 59.42.177.230 21
Gateway(config)#ip nat inside source static udp 192.168.70.3 69 59.42.177.230 69
Gateway(config)#ip nat inside source static tcp 192.168.70.4 80 59.42.177.230 80
Gateway(config)#interface serial 0/0 Gateway(config-if)#ip nat outside
Gateway(config)#interface FastEthernet 0/0 Gateway(config-if)#ip nat inside 3、内网复用地址转换
使用网关出口地址来为内网用户进行地址转换,既59.42.177.231。根据表3.1的信息,要对部门员工的内网地址进行转换,但要把内网服务器、公共服务器、内网路由地址、管理VLAN地址作例外,它们并不可以进行地址转换进去公网网络。可用ACL来决定哪些内网地址能够转换出去。
以下为对路由器Gateway进行配置:
Gateway(config)#ip access-list extend inside2outside
Gateway(config-ext-nacl)#permit ip 192.168.10.0 0.0.0.255 any Gateway(config-ext-nacl)#permit ip 192.168.11.0 0.0.0.255 any Gateway(config-ext-nacl)#permit ip 192.168.20.0 0.0.0.255 any Gateway(config-ext-nacl)#permit ip 192.168.21.0 0.0.0.255 any Gateway(config-ext-nacl)#permit ip 192.168.22.0 0.0.0.255 any Gateway(config-ext-nacl)#permit ip 192.168.30.0 0.0.0.255 any Gateway(config-ext-nacl)#permit ip 192.168.31.0 0.0.0.255 any Gateway(config-ext-nacl)#permit ip 192.168.50.0 0.0.0.255 any Gateway(config-ext-nacl)#exit
Gateway(config)#ip nat inside source list inside2outside interface serial 0/0 overload
28
企业网组网设计与仿真实现
4.2.3 防火墙配置
ASA算法是ASA/PIX防火墙安全验证算法的核心。ASA算法采用了一种基于状态和面向TCP连接的安全设计体系。ASA基于源和目的地地址创建一个会话流,同时在一个连接完成之前将其TCP序列号、TCP端口号和附带的TCP识别标记随机地加入会话序列。该功能主要用来监视从目的地址返回的数据包,并保证其合法性。同时,ASA算法还可以实现基于策略的安全体系,例如每一个内部系统和相关应用在未经过明确的安全配置的情况下只允许单一方向的连接(由内部到外部)。
外网仅能访问DMZ相关服务
内网能够正常访问DMZ和外网,但要限制
图4.9 防火墙任务
因为上述防火墙的安全机制,在上一小节中提到的,对防火墙的E0口(outside)进行流量放行是初步的放行,仅在测试时候这样做。为了安全考虑,要对E0口的ACL进行细分流量,达到外网能且仅能访问DMZ区域的指定服务器和服务,而且内网访问外网能正确进行,并控制好内网用户访问DMZ区域。
1、限制外网访问
由于网关路由器Gateway针对公共服务器群作了端口映射,一般来说,外网只能访问到经过转换的地址,但为了最大地控制网络安全,最小化安全隐患,这里必须要对防火墙FW上E0的ACL进行细分流量。
首先取消掉原先的ACL条目:
FW(config)# no access-group outside in interface outside
29