边界安全部署最佳实践x课件

边界安全部署最佳实践

日期：2007年7月13日

杭州华三通信技术有限公司边界安全部署最佳实践日期：2007年7月13日杭州华三网络园区边界定义边界安全部署简介边界安全部署典型应用场景目录网络园区边界定义目录网络园区边界定义边界网络的定义是园区网连接到广域网/Internet等外部网络的边缘区域；在园区网的设计中按照区域的划分会产生多个边界网络；通常对于园区的边界有以下几种定义：广域网出口公共服务器区域分支结构VPN远程用户VPNPSTN拨号用户Internet出口网络园区边界定义边界网络的定义是园区网连接到广域网/InteRemote

AcessBranchSiteRouterSwitchInternetServiceLocalNetworkExternalConnector边缘本地外部网络园区边界定义－互联网Remote

AcessBranchSiteRouterS网络园区边界定义边界安全部署简介边界安全部署典型应用场景目录网络园区边界定义目录边界安全部署简介为什么需要进行边界安全部署？因为现在的网络非常脆弱，不安全。导致现在网络脆弱的原因有很多种，三把双刃剑：大量业务服务器长时间暴露在公众环境中，使黑客轻易就可以找到想攻击的目标；攻击工具的高度发展，使攻击难度急剧下降，只要稍懂一点计算机操作的人就可以成功发起一次攻击；网络病毒的泛滥，带来的经济损失和应用规模成正比；IPv4是简单开放的，本身就没有考虑安全因素。边界安全部署简介为什么需要进行边界安全部署？因为现在的网络非边界安全部署简介如何对脆弱的网络进行弥补？根据网络的病根对症下药：在园区边界出口通过部署防火墙和IPS，将网络攻击与病毒入侵终结在园区边界；VPN（VirtualPrivateNetwork：虚拟私有网）在实现公用网络上构建私人专用网络的同时，IPSec隧道加密技术也弥补了IPv4的简单和开放；通过对园区网进出流量的分析和监控，及时发现流量异常，来消除无法预知的不稳定因素；边界安全部署简介如何对脆弱的网络进行弥补？边界安全部署简介—H3C解决方案H3C边界安全部署最佳实践解决方案通过在边界入口处部署VPN网关、防火墙、IPS、NSM/NAM等设备，一方面阻止来自Internet对受保护网络的未授权或未认证的访问，另一方面允许内部网络的用户安全的对Internet进行Web访问或收发E-mail等。企业中心可以使用双机热备，这样当故障发生的时候，业务也能很快恢复，给用户提供了十分可靠的运行环境。可通过在园区边界处部署双VPN网关和防火墙，为用户安全、可靠的使用网络提供了很好的保障。NSM/NAM是网络安全监控的简称，是H3C公司在防火墙和路由器上开发的流量监控软硬件平台。NSM/NAM单板，可以对流经设备上的所有在线流量进行统计和安全分析，对流量进行采样记录并对历史流量进行安全分析，能对包括IP/none-IP的、2至7层的多种协议进行分析，为网络管理员提供网络安全服务。NSM/NAM提供方便友好的用户配置，支持图形化的分析结果查询，方便用户使用。边界安全部署简介—H3C解决方案H3C边界安全边界安全部署简介—H3C解决方案网管ServerLSWVPNserverVPNClientVPNClient分支节点2分支节点1防火墙/IPS：攻击与病毒止步NSM/NAM：一切尽在掌握中IPSecVPN：加密报文让黑客们一无所获边界安全部署简介—H3C解决方案网管ServerLSWVPN网络园区边界定义边界安全部署简介边界安全部署典型应用场景目录网络园区边界定义目录边界安全部署典型应用场景H3C边界安全部署最佳实践解决方案针对不同用户群的需求，分别设计了多套应用组网。对于园区规模较小，性能、可靠性要求不高的用户，我们推荐使用单设备园区出口边界安全部署组网方式，本组网仅使用H3C的一台MSR路由器或者SecPath安全产品，集成VPN网关、防火墙功能，并可以通过在该设备上配置NAM（MSR）或者NSM（SecPath）对园区进出口流量进行监控；对于园区规模较大的用户，我们推荐在本组网中加入专业的防火墙、IPS等设备增加边界安全性；对边界安全性能、可靠性要求都较高的用户，我们推荐使用园区网络多出口边界安全部署组网方式，本组网在使用专业网关设备的同时，通过部署双VPN网关实现负载均衡和备份，部署双防火墙实现状态热备，提供园区出口的高可靠性；边界安全部署典型应用场景H3C边界安全部署最单设备园区出口边界安全部署组网园区网络Internet公共服务器路由器/

安全网关/VPN网关ISP路由器园区边界设备MSR50/30/20AR28/46SecPath系列分支机构VPN网关移动用户211.2.10.1/24192.168.0.1/24192.168.1.1/24192.168.0.100/24211.4.1.2/24单设备园区出口边界安全部署组网园区网络Internet公共服单设备出口组网说明本组网非常简单，仅一台出口设备，易于管理；H3C公司的MSR/AR/SecPath系列产品可提供强大的VPN功能，远程分支、移动用户可以通过单IPSec、GREoverIPSec、L2TPoverIPSec等多种VPN方式接入园区总部；L2TP可以提供用户认证功能，GRE隧道可以让企业分支与总部进行私网路由的交互，IPSec加密功能可以确保通讯报文的保密性和可靠性；H3C公司的MSR/AR/SecPath系列产品同时也可以作为安全网关使用，支持NAT、ACL访问控制、ASPF、深度业务监控等典型应用；出口设备上配置的NAM/NSM板卡对进出口流量进行有效的分析和监控；出口设备公网接口上配置NAT，让内部用户可以访问internet；出口设备公网接口上配置NATserver，让internet用户可以访问公共服务器；单设备出口组网说明本组网非常简单，仅一台出口设备，易于管理；单设备出口组网配置说明

——远程VPN接入分支机构VPN接入，接入方式：单IPSec隧道方式IPSec的remote地址为园区出口VPN网关的公网地址；IPSec采用野蛮模式，支持NAT穿越功能；IPSec感兴趣流为分支机构私网网段地址到总部园区网网段地址；分支设备公网接口上启用IPSec策略；远程移动用户使用iNodeVPN客户端接入，接入方式：L2TPoverIPSec新建iNode连接，iNodeVPN启用IPSec安全协议；L2TPLNS服务器地址、IPSec服务器地址都设置为园区出口VPN网关的公网地址；IPSec使用隧道方式，启用NAT穿越功能；单设备出口组网配置说明

单设备出口组网配置说明

——总部VPN配置总部VPN网关配置作为L2TPLNS端的基本配置，包括用户名、地址池、虚接口、L2TP组相关配置；由于远程移动接入用户公网IP的不确定性，总部IPSec使用动态模板方式，先建立IPSec动态模板，然后用动态模板建立IPSec策略；在VPN网关公网接口上启用IPSec策略单设备出口组网配置说明

单设备出口组网配置说明

——防火墙配置总部防火墙网关：SecPath系列放火墙可支持ACL访问控制、ASPF（基于应用层的报文过滤）、深度业务监控等多种功能，下面仅以启用ASPF功能为例：系统视图下：#新建ASPF策略，添加需要检测的应用层协议tcp；aspf-policy1detecttcp＃在防火墙网关公网接口上启用ASPF策略，本策略仅允许从园区网内部主动发起的TCP连接，即如果报文是内部网络用户发起的TCP连接的返回报文，则允许其通过防火墙进入内部网络，其他报文被禁止；interfaceGigabitEthernet0/0firewallaspf1outbound

单设备出口组网配置说明

单设备出口组网配置说明

——NAT配置园区内部通过NAT访问internet

首先需要确认访问internet的流量，然后对这些流量的地址进行NAT转换，其次要设置地址池，即申请到的公网地址。假设分支的IP地址都规划在172.0.0.0/8网段，园区内部IP地址规划在192.168.0.0/16网段。＃私网访问公网的流量需要进行NAT转换 aclnumber3000 rule0permitipsource192.168.0.00.0.255.255 rule1denyipdestination172.0.0.00.0.0.255＃申请到的公网IP，与公网接口在同一个网段nataddress-group0211.2.10.1211.2.10.2＃公网接口上启用nat interfaceGigabitEthernet0/1natoutbound3000address-group0单设备出口组网配置说明

单设备出口组网配置说明

——NATServer配置单设备出口组网配置说明

单设备出口组网配置说明

——NSM配置（1）设备侧流量镜像配置：NSM版卡插在SecPath防火墙上，需要在SecPath上将流量镜像到NSM板卡内部接口上，NSM对收到的报文进行分析。SecPath上需要进行的配置：#将网关内网接口上的进出流量都镜像到NSM内部端口上进行统计，NSM插在三槽位；interfaceGigabitEthernet0/1mirrortoGigabitEthernet3/0bothNSM配置：/*管理口IP配置为192.0.0.1，默认网关为192.0.0.10（管理口直连设备接口地址）*/单设备出口组网配置说明

单设备出口组网配置说明

——NSM配置（2）NSM配置（续）：如果用户需要在远程监控室中登陆NSM，观察流量分析结果，需要将NSM的管理口eth1接入到园区网中，并将该路由发布出去，NSM管理口的默认网关设置为其直连设备接口的IP地址；选择eth0作为观察接口，即可以观察到SecPath上的流量情况。

单设备出口组网配置说明

园区网Internet公共服务器防火墙/VPN/NATInternet

出口路由器专网WAN

出口路由器远程分支机构IPSIPSInternet/WAN移动用户多出口网关集成边界安全部署组网园区网Internet公共服务器防火墙/VPN/NATInt多出口网关集成出口组网说明（1）本组网中VPN网关、防火墙功能都集成在H3C的SecPath产品上，提供远程VPN接入及攻击防护功能；这里使用两台设备实现双VPN网关及防火墙的备份；网关备份实现方式：VPN隧道使用GREoverIPSec方式，在GREtunnel口上启用OSPF动态路由，并通过配置路由cost值的不同达到备份的目的，正常情况下流量进出走cost值小的隧道，当该隧道中断后，流量会自动切换到cost值大的隧道上。网关负载分担实现方式：不同的分支选择不同的VPN网关作为主设备，这样正常情况下，流量就会分布在两台设备上。在两台SecPath上都配置NSM板卡，NSM板工作在NSM＋nProbe方式下，该方式可以使两块NSM板卡的流量采集功能互为备份，后面对具体配置进行说明。多出口网关集成出口组网说明（1）本组网中VPN网关、防火墙功多出口网关集成出口组网说明（2）如果内部用户需要访问internet，可以在两台SecPath的公网接口上配置NAT；internet访问的备份实现方式：两台SecPath上的私网动态路由中都引入访问internet的默认路由，这样园区内部设备将有两条访问internet的默认路由，可以进行负载分担和冗余备份。如果园区内部有公共服务器需要对internet用户提供服务，则需要在两台SecPath的公网接口上配置NATserver。该服务的备份实现方式：NATserver的外网地址使用网关设备公网接口的VRRP虚地址，当VRRP主设备故障后，VRRP组的从设备将变为主设备，继续执行NATserver功能。多出口网关集成出口组网说明（2）如果内部用户需要访问inte多出口网关集成组网配置说明

——远程VPN接入分支机构VPN接入，接入方式：GREoverIPSec隧道方式分支设备分别与总部（园区出口）的两台VPN网关建立GREoverIPSEC隧道：分支的GRE隧道的源/目的IP分别为分支/总部网关的Loopback口地址；并在tunnel口上启用OSPF，与总部交互私网路由；分支IPSEC的感兴趣流源/目的IP分别为分支/总部网关的Loopback口地址；分支启用DPD功能，便于隧道的快速切换；分支设备公网接口上启用IPSec策略；远程移动用户使用iNodeVPN客户端接入，接入方式：L2TPoverIPSec新建连接，iNodeVPN启用IPSec安全协议；L2TPLNS服务器地址、IPSec服务器地址都设置为园区出口VPN网关的公网地址；因为有两个VPN网关，所以可以建立两个新连接，一个作为备用；多出口网关集成组网配置说明

多出口网关集成组网配置说明

——总部VPN配置总部VPN网关配置作为L2TPLNS端的基本配置，包括用户名、地址池、虚接口、L2TP相关配置；总部的GRE隧道的源/目的IP分别为总部/分支的Loopback口地址；并在Tunnel口上启用OSPF，与私网路由进行交互；由于远程移动接入用户公网IP的不确定性，IPSec使用动态模板方式，先建立IPSec动态模板，然后用动态模板建立IPSec策略；在VPN网关公网接口上启用IPSec策略；多出口网关集成组网配置说明

多出口网关集成组网配置说明

——防火墙配置总部防火墙网关：SecPath系列放火墙可支持ACL访问控制、ASPF（基于应用层的报文过滤）、深度业务监控等多种功能，下面仅以启用ASPF功能为例，两台防火墙上都进行如下配置：系统视图下：#新建ASPF策略，添加需要检测的应用层协议tcp；aspf-policy1detecttcp＃在防火墙网关公网接口上启用ASPF策略，本策略仅允许从园区网内部主动发起的TCP连接，即如果报文是内部网络用户发起的TCP连接的返回报文，则允许其通过防火墙进入内部网络，其他报文被禁止；interfaceGigabitEthernet0/0firewallaspf1outbound

多出口网关集成组网配置说明

多出口网关集成组网配置说明

——NAT配置园区内部通过NAT访问internet

首先需要确认访问internet的流量，然后对这些流量的地址进行NAT转换，其次要设置地址池，即申请到的公网地址。假设分支的IP地址都规划在172.0.0.0/8网段，园区内部IP地址规划在192.168.0.0/16网段。两台网关设备上都进行如下配置后，将默认路由引入到私网动态路由中即可。＃私网访问公网的流量需要进行NAT转换 aclnumber3000 rule0permitipsource192.168.0.00.0.255.255 rule1denyipdestination172.0.0.00.0.0.255＃申请到的公网IP，与公网接口在同一个网段nataddress-group0211.2.10.1211.2.10.2＃公网接口上启用nat interfaceGigabitEthernet0/1natoutbound3000address-group0多出口网关集成组网配置说明

多出口网关集成组网配置说明

——NATServer配置多出口网关集成组网配置说明

多出口网关集成组网配置说明

——NSM配置（1）在本组网中存在两台网关设备进行负载分担和冗余备份，为了实时、方便的采集园区网进出口的所有流量，我们在两台网关设备上分别部署一块NSM板卡，使用NSM＋nProbe方式对流量进行采集。该方式是在设备将原始流量镜像到NSM的内部口eth0上后，nProbe首先对原始流量进行处理，将其统计为netflow流，然后将netflow流发给两块NSM板卡的内部管理口eth1，NSM上启用netflow口接收并处理该netflow流，达到流量统计的目的；设备侧流量镜像配置：NSM板卡插在SecPath防火墙上，需要在SecPath上将流量镜像到NSM板卡内部接口上，NSM对收到的报文进行分析。SecPath上需要进行的配置：#将网关内网接口上的流量都镜像到NSM内部端口上进行统计，NSM插在三槽位；interfaceGigabitEthernet0/1mirrortoGigabitEthernet3/0both多出口网关集成组网配置说明

多出口网关集成组网配置说明

——NSM配置（2）防火墙网关a：NSM板卡配置/*管理口IP配置为192.0.0.1默认网关为192.0.0.10（管理口直连设备接口地址）*//*nProbe产生的netflow发送地址，为主备网关的管理口IP地址*/多出口网关集成组网配置说明

多出口网关集成组网配置说明

——NSM配置（3）防火墙网关a：NSM板卡配置（续）/*netflow接口，端口号为65535，与nProbe上的配置相对应*//*选择该netflow接口作为显示接口即可*/防火墙网关b：NSM板卡配置与防火墙网关a上NSM的配置基本相同，除了管理口IP设置为192.0.0.2。两台防火墙的NSM管理口需要连着同一个交换机上，并接入到园区网设备，设备将该路由在园区网中发布出去，这样客户就可以远程登陆NSM观察流量统计情况。多出口网关集成组网配置说明

多出口网关分离边界安全组网Internet公共服务器防火墙园区边界Internet

出口路由器专网WAN

出口路由器远程分支机构VPN网关IPSIPSInternet/WAN移动用户园区网多出口网关分离边界安全组网Internet公共服务器防火墙园多出口网关分离组网相对于多出口网关集成组网，其主要的差别首先在于VPN网关、防火墙网关功能由两款专业的设备分别实现，提高了园区出口的性能。VPN网关、防火墙网关的配置与网关集成出口组网配置一样，只是部署在不同的设备上。第二个差别是本组网中启用了状态热备功能，该功能可以保障在主网关发生故障时，应用连接不中断的情况下进行网关切换。下面描述一下状态热备的相关配置。多出口网关分离边界安全组网配置说明多出口网关分离组网相对于多出口网关集成组网，其主要的差别首先多出口网关分离组网配置说明

——防火墙配置（1）总部防火墙网关a：启用防火墙网桥模式下的状态热备；假设接口G0/0、G0/1为数据转发接口。E1/1为HA接口，即用于传输双机热备的协商报文和业务同步数据，将两台防火墙设备的HA接口直连。这里的配置不涉及防火墙的具体防御功能。系统视图下：#配置防火墙使能网桥功能，并使能桥组1

bridgeenablebridge1enable

#将接口加入到桥组

interfaceGigabitEthernet0/0bridge-set1interfaceGigabitEthernet0/1bridge-set1多出口网关分离组网配置说明

多出口网关分离组网配置说明

——防火墙配置（2）总部防火墙网关a：启用防火墙网桥模式下的状态热备（续）；#创建冗余设备对象RDO1rdo1ha-interfaceinterfaceEthernet1/1peer-macffff-ffff-ffffad-interval1vif1interfaceGigabitEthernet0/0vif2interfaceGigabitEthernet0/1总部防火墙网关b：启用防火墙网桥模式下的状态热备；防火墙b上的配置与a上一致；多出口网关分离组网配置说明

边界安全部署最佳实践x课件1、Geniusonlymeanshard-workingallone'slife.(Mendeleyer,RussianChemist)

天才只意味着终身不懈的努力。20.8.58.5.202011:0311:03:10Aug-2011:032、Ourdestinyoffersnotonlythecupofdespair,butthechaliceofopportunity.(RichardNixon,AmericanPresident)命运给予我们的不是失望之酒，而是机会之杯。二〇二〇年八月五日2020年8月5日星期三3、Patienceisbitter,butitsfruitissweet.(JeanJacquesRousseau,Frenchthinker)忍耐是痛苦的，但它的果实是甜蜜的。11:038.5.202011:038.5.202011:0311:03:108.5.202011:038.5.20204、Allthatyoudo,dowithyourmight;thingsdonebyhalvesareneverdoneright.----R.H.Stoddard,Americanpoet做一切事都应尽力而为，半途而废永远不行8.5.20208.5.202011:0311:0311:03:1011:03:105、Youhavetobelieveinyourself.That'sthesecretofsuccess.----CharlesChaplin人必须相信自己，这是成功的秘诀。-Wednesday,August5,2020August20Wednesday,August5,20208/5/20206、Almostanysituation---goodorbad---isaffectedbytheattitudewebringto.----LuciusAnnausSeneca差不多任何一种处境---无论是好是坏---都受到我们对待处境态度的影响。11时3分11时3分5-Aug-208.5.20207、Althoughtheworldisfullofsuffering,itisfullalsooftheovercomingofit.----HellenKeller,Americanwriter虽然世界多苦难，但是苦难总是能战胜的。20.8.520.8.520.8.5。2020年8月5日星期三二〇二〇年八月五日8、Formanismanandmasterofhisfate.----Tennyson人就是人，是自己命运的主人11:0311:03:108.5.2020Wednesday,August5,20209、Whensuccesscomesinthedoor,itseems,loveoftengoesoutthewindow.-----JoyceBrothers成功来到门前时，爱情往往就走出了窗外。11:038.5.202011:038.5.202011:0311:03:108.5.202011:038.5.202010、Lifeismeasuredbythoughtandaction,notbytime.——Lubbock衡量生命的尺度是思想和行为，而不是时间。8.5.20208.5.202011:0311:0311:03:1011:03:1011、Tomakealastingmarriagewehavetoovercomeself-centeredness.要使婚姻长久，就需克服自我中心意识。Wednesday,August5,2020August20Wednesday,August5,20208/5/202012、Treatotherpeopleasyouhopetheywilltreatyou.你希望别人如何对待你，你就如何对待别人。11时3分11时3分5-Aug-208.5.202013、Todowhateverneedstobedoneto

preservethislastandgreatestbastionof

freedom.(RonaldReagan,AmericanPresident)为了保住这最后的、最伟大的自由堡垒，我们必须尽我们所能。20.8.520.8.5Wednesday,August5,202014、Wherethereisawill,thereisaway.(ThomasEdison,Americaninventor)有志者，事竟成。11:01:1911:01:1911:018/5/202011:01:19AM15、

Everymanisthemasterofhisownfortune.----RichardSteele每个人都主宰自己的命运。20.8.511:01:1911:01Aug-205-Aug-2016、Asselfishnessandcomplaintcloudthemind,solovewithitsjoyclearsandsharpensthevision.----HelenKeller自私和抱怨是心灵的阴暗，愉快的爱则使视野明朗开阔。11:01:1911:01:1911:01Wednesday,August5,202017、Donot,foronerepulse,giveupthepurposethatyouresolvedtoeffect.----WillianShakespeare,Britishdramatist不要只因一次失败，就放弃你原来决心想达到的目的。20.8.520.8.511:01:1911:01:19August5,202018、Thereisnoabsolutesuccessintheworld,onlyconstantprogress.世界上的事没有绝对成功，只有不断的进步。2020年8月5日星期三上午11时1分19秒11:01:1920.8.519、Nothingismorefataltohappinessthantheremembranceofhappiness.

没有什么比回忆幸福更令人痛苦的了。2020年8月上午11时1分20.8.511:01August5,202020、Nomanishappywhodoesnotthinkhimselfso.——PubliliusSyrus认为自己不幸福的人就不会幸福。2020年8月5日星期三11时1分19秒11:01:195August202021、Theemperortreatstalentastools,usingtheirstrongpointtohisadvantage.

君子用人如器，各取所长。上午11时1分19秒上午11时1分11:01:1920.8.5谢谢观看THEEND1、Geniusonlymeanshard-worki36边界安全部署最佳实践

日期：2007年7月13日

杭州华三通信技术有限公司边界安全部署最佳实践日期：2007年7月13日杭州华三网络园区边界定义边界安全部署简介边界安全部署典型应用场景目录网络园区边界定义目录网络园区边界定义边界网络的定义是园区网连接到广域网/Internet等外部网络的边缘区域；在园区网的设计中按照区域的划分会产生多个边界网络；通常对于园区的边界有以下几种定义：广域网出口公共服务器区域分支结构VPN远程用户VPNPSTN拨号用户Internet出口网络园区边界定义边界网络的定义是园区网连接到广域网/InteRemote

AcessBranchSiteRouterSwitchInternetServiceLocalNetworkExternalConnector边缘本地外部网络园区边界定义－互联网Remote

AcessBranchSiteRouterS网络园区边界定义边界安全部署简介边界安全部署典型应用场景目录网络园区边界定义目录边界安全部署简介为什么需要进行边界安全部署？因为现在的网络非常脆弱，不安全。导致现在网络脆弱的原因有很多种，三把双刃剑：大量业务服务器长时间暴露在公众环境中，使黑客轻易就可以找到想攻击的目标；攻击工具的高度发展，使攻击难度急剧下降，只要稍懂一点计算机操作的人就可以成功发起一次攻击；网络病毒的泛滥，带来的经济损失和应用规模成正比；IPv4是简单开放的，本身就没有考虑安全因素。边界安全部署简介为什么需要进行边界安全部署？因为现在的网络非边界安全部署简介如何对脆弱的网络进行弥补？根据网络的病根对症下药：在园区边界出口通过部署防火墙和IPS，将网络攻击与病毒入侵终结在园区边界；VPN（VirtualPrivateNetwork：虚拟私有网）在实现公用网络上构建私人专用网络的同时，IPSec隧道加密技术也弥补了IPv4的简单和开放；通过对园区网进出流量的分析和监控，及时发现流量异常，来消除无法预知的不稳定因素；边界安全部署简介如何对脆弱的网络进行弥补？边界安全部署简介—H3C解决方案H3C边界安全部署最佳实践解决方案通过在边界入口处部署VPN网关、防火墙、IPS、NSM/NAM等设备，一方面阻止来自Internet对受保护网络的未授权或未认证的访问，另一方面允许内部网络的用户安全的对Internet进行Web访问或收发E-mail等。企业中心可以使用双机热备，这样当故障发生的时候，业务也能很快恢复，给用户提供了十分可靠的运行环境。可通过在园区边界处部署双VPN网关和防火墙，为用户安全、可靠的使用网络提供了很好的保障。NSM/NAM是网络安全监控的简称，是H3C公司在防火墙和路由器上开发的流量监控软硬件平台。NSM/NAM单板，可以对流经设备上的所有在线流量进行统计和安全分析，对流量进行采样记录并对历史流量进行安全分析，能对包括IP/none-IP的、2至7层的多种协议进行分析，为网络管理员提供网络安全服务。NSM/NAM提供方便友好的用户配置，支持图形化的分析结果查询，方便用户使用。边界安全部署简介—H3C解决方案H3C边界安全边界安全部署简介—H3C解决方案网管ServerLSWVPNserverVPNClientVPNClient分支节点2分支节点1防火墙/IPS：攻击与病毒止步NSM/NAM：一切尽在掌握中IPSecVPN：加密报文让黑客们一无所获边界安全部署简介—H3C解决方案网管ServerLSWVPN网络园区边界定义边界安全部署简介边界安全部署典型应用场景目录网络园区边界定义目录边界安全部署典型应用场景H3C边界安全部署最佳实践解决方案针对不同用户群的需求，分别设计了多套应用组网。对于园区规模较小，性能、可靠性要求不高的用户，我们推荐使用单设备园区出口边界安全部署组网方式，本组网仅使用H3C的一台MSR路由器或者SecPath安全产品，集成VPN网关、防火墙功能，并可以通过在该设备上配置NAM（MSR）或者NSM（SecPath）对园区进出口流量进行监控；对于园区规模较大的用户，我们推荐在本组网中加入专业的防火墙、IPS等设备增加边界安全性；对边界安全性能、可靠性要求都较高的用户，我们推荐使用园区网络多出口边界安全部署组网方式，本组网在使用专业网关设备的同时，通过部署双VPN网关实现负载均衡和备份，部署双防火墙实现状态热备，提供园区出口的高可靠性；边界安全部署典型应用场景H3C边界安全部署最单设备园区出口边界安全部署组网园区网络Internet公共服务器路由器/

安全网关/VPN网关ISP路由器园区边界设备MSR50/30/20AR28/46SecPath系列分支机构VPN网关移动用户211.2.10.1/24192.168.0.1/24192.168.1.1/24192.168.0.100/24211.4.1.2/24单设备园区出口边界安全部署组网园区网络Internet公共服单设备出口组网说明本组网非常简单，仅一台出口设备，易于管理；H3C公司的MSR/AR/SecPath系列产品可提供强大的VPN功能，远程分支、移动用户可以通过单IPSec、GREoverIPSec、L2TPoverIPSec等多种VPN方式接入园区总部；L2TP可以提供用户认证功能，GRE隧道可以让企业分支与总部进行私网路由的交互，IPSec加密功能可以确保通讯报文的保密性和可靠性；H3C公司的MSR/AR/SecPath系列产品同时也可以作为安全网关使用，支持NAT、ACL访问控制、ASPF、深度业务监控等典型应用；出口设备上配置的NAM/NSM板卡对进出口流量进行有效的分析和监控；出口设备公网接口上配置NAT，让内部用户可以访问internet；出口设备公网接口上配置NATserver，让internet用户可以访问公共服务器；单设备出口组网说明本组网非常简单，仅一台出口设备，易于管理；单设备出口组网配置说明

——远程VPN接入分支机构VPN接入，接入方式：单IPSec隧道方式IPSec的remote地址为园区出口VPN网关的公网地址；IPSec采用野蛮模式，支持NAT穿越功能；IPSec感兴趣流为分支机构私网网段地址到总部园区网网段地址；分支设备公网接口上启用IPSec策略；远程移动用户使用iNodeVPN客户端接入，接入方式：L2TPoverIPSec新建iNode连接，iNodeVPN启用IPSec安全协议；L2TPLNS服务器地址、IPSec服务器地址都设置为园区出口VPN网关的公网地址；IPSec使用隧道方式，启用NAT穿越功能；单设备出口组网配置说明

单设备出口组网配置说明

——总部VPN配置总部VPN网关配置作为L2TPLNS端的基本配置，包括用户名、地址池、虚接口、L2TP组相关配置；由于远程移动接入用户公网IP的不确定性，总部IPSec使用动态模板方式，先建立IPSec动态模板，然后用动态模板建立IPSec策略；在VPN网关公网接口上启用IPSec策略单设备出口组网配置说明

单设备出口组网配置说明

——防火墙配置总部防火墙网关：SecPath系列放火墙可支持ACL访问控制、ASPF（基于应用层的报文过滤）、深度业务监控等多种功能，下面仅以启用ASPF功能为例：系统视图下：#新建ASPF策略，添加需要检测的应用层协议tcp；aspf-policy1detecttcp＃在防火墙网关公网接口上启用ASPF策略，本策略仅允许从园区网内部主动发起的TCP连接，即如果报文是内部网络用户发起的TCP连接的返回报文，则允许其通过防火墙进入内部网络，其他报文被禁止；interfaceGigabitEthernet0/0firewallaspf1outbound

单设备出口组网配置说明

单设备出口组网配置说明

——NAT配置园区内部通过NAT访问internet

首先需要确认访问internet的流量，然后对这些流量的地址进行NAT转换，其次要设置地址池，即申请到的公网地址。假设分支的IP地址都规划在172.0.0.0/8网段，园区内部IP地址规划在192.168.0.0/16网段。＃私网访问公网的流量需要进行NAT转换 aclnumber3000 rule0permitipsource192.168.0.00.0.255.255 rule1denyipdestination172.0.0.00.0.0.255＃申请到的公网IP，与公网接口在同一个网段nataddress-group0211.2.10.1211.2.10.2＃公网接口上启用nat interfaceGigabitEthernet0/1natoutbound3000address-group0单设备出口组网配置说明

单设备出口组网配置说明

——NATServer配置单设备出口组网配置说明

单设备出口组网配置说明

——NSM配置（1）设备侧流量镜像配置：NSM版卡插在SecPath防火墙上，需要在SecPath上将流量镜像到NSM板卡内部接口上，NSM对收到的报文进行分析。SecPath上需要进行的配置：#将网关内网接口上的进出流量都镜像到NSM内部端口上进行统计，NSM插在三槽位；interfaceGigabitEthernet0/1mirrortoGigabitEthernet3/0bothNSM配置：/*管理口IP配置为192.0.0.1，默认网关为192.0.0.10（管理口直连设备接口地址）*/单设备出口组网配置说明

单设备出口组网配置说明

——NSM配置（2）NSM配置（续）：如果用户需要在远程监控室中登陆NSM，观察流量分析结果，需要将NSM的管理口eth1接入到园区网中，并将该路由发布出去，NSM管理口的默认网关设置为其直连设备接口的IP地址；选择eth0作为观察接口，即可以观察到SecPath上的流量情况。

单设备出口组网配置说明

园区网Internet公共服务器防火墙/VPN/NATInternet

出口路由器专网WAN

出口路由器远程分支机构IPSIPSInternet/WAN移动用户多出口网关集成边界安全部署组网园区网Internet公共服务器防火墙/VPN/NATInt多出口网关集成出口组网说明（1）本组网中VPN网关、防火墙功能都集成在H3C的SecPath产品上，提供远程VPN接入及攻击防护功能；这里使用两台设备实现双VPN网关及防火墙的备份；网关备份实现方式：VPN隧道使用GREoverIPSec方式，在GREtunnel口上启用OSPF动态路由，并通过配置路由cost值的不同达到备份的目的，正常情况下流量进出走cost值小的隧道，当该隧道中断后，流量会自动切换到cost值大的隧道上。网关负载分担实现方式：不同的分支选择不同的VPN网关作为主设备，这样正常情况下，流量就会分布在两台设备上。在两台SecPath上都配置NSM板卡，NSM板工作在NSM＋nProbe方式下，该方式可以使两块NSM板卡的流量采集功能互为备份，后面对具体配置进行说明。多出口网关集成出口组网说明（1）本组网中VPN网关、防火墙功多出口网关集成出口组网说明（2）如果内部用户需要访问internet，可以在两台SecPath的公网接口上配置NAT；internet访问的备份实现方式：两台SecPath上的私网动态路由中都引入访问internet的默认路由，这样园区内部设备将有两条访问internet的默认路由，可以进行负载分担和冗余备份。如果园区内部有公共服务器需要对internet用户提供服务，则需要在两台SecPath的公网接口上配置NATserver。该服务的备份实现方式：NATserver的外网地址使用网关设备公网接口的VRRP虚地址，当VRRP主设备故障后，VRRP组的从设备将变为主设备，继续执行NATserver功能。多出口网关集成出口组网说明（2）如果内部用户需要访问inte多出口网关集成组网配置说明

——远程VPN接入分支机构VPN接入，接入方式：GREoverIPSec隧道方式分支设备分别与总部（园区出口）的两台VPN网关建立GREoverIPSEC隧道：分支的GRE隧道的源/目的IP分别为分支/总部网关的Loopback口地址；并在tunnel口上启用OSPF，与总部交互私网路由；分支IPSEC的感兴趣流源/目的IP分别为分支/总部网关的Loopback口地址；分支启用DPD功能，便于隧道的快速切换；分支设备公网接口上启用IPSec策略；远程移动用户使用iNodeVPN客户端接入，接入方式：L2TPoverIPSec新建连接，iNodeVPN启用IPSec安全协议；L2TPLNS服务器地址、IPSec服务器地址都设置为园区出口VPN网关的公网地址；因为有两个VPN网关，所以可以建立两个新连接，一个作为备用；多出口网关集成组网配置说明

多出口网关集成组网配置说明

——总部VPN配置总部VPN网关配置作为L2TPLNS端的基本配置，包括用户名、地址池、虚接口、L2TP相关配置；总部的GRE隧道的源/目的IP分别为总部/分支的Loopback口地址；并在Tunnel口上启用OSPF，与私网路由进行交互；由于远程移动接入用户公网IP的不确定性，IPSec使用动态模板方式，先建立IPSec动态模板，然后用动态模板建立IPSec策略；在VPN网关公网接口上启用IPSec策略；多出口网关集成组网配置说明

多出口网关集成组网配置说明

——防火墙配置总部防火墙网关：SecPath系列放火墙可支持ACL访问控制、ASPF（基于应用层的报文过滤）、深度业务监控等多种功能，下面仅以启用ASPF功能为例，两台防火墙上都进行如下配置：系统视图下：#新建ASPF策略，添加需要检测的应用层协议tcp；aspf-policy1detecttcp＃在防火墙网关公网接口上启用ASPF策略，本策略仅允许从园区网内部主动发起的TCP连接，即如果报文是内部网络用户发起的TCP连接的返回报文，则允许其通过防火墙进入内部网络，其他报文被禁止；interfaceGigabitEthernet0/0firewallaspf1outbound

多出口网关集成组网配置说明

多出口网关集成组网配置说明

——NAT配置园区内部通过NAT访问internet

首先需要确认访问internet的流量，然后对这些流量的地址进行NAT转换，其次要设置地址池，即申请到的公网地址。假设分支的IP地址都规划在172.0.0.0/8网段，园区内部IP地址规划在192.168.0.0/16网段。两台网关设备上都进行如下配置后，将默认路由引入到私网动态路由中即可。＃私网访问公网的流量需要进行NAT转换 aclnumber3000 rule0permitipsource192.168.0.00.0.255.255 rule1denyipdestination172.0.0.00.0.0.255＃申请到的公网IP，与公网接口在同一个网段nataddress-group0211.2.10.1211.2.10.2＃公网接口上启用nat interfaceGigabitEthernet0/1natoutbound3000address-group0多出口网关集成组网配置说明

多出口网关集成组网配置说明

——NATServer配置多出口网关集成组网配置说明

多出口网关集成组网配置说明

——NSM配置（1）在本组网中存在两台网关设备进行负载分担和冗余备份，为了实时、方便的采集园区网进出口的所有流量，我们在两台网关设备上分别部署一块NSM板卡，使用NSM＋nProbe方式对流量进行采集。该方式是在设备将原始流量镜像到NSM的内部口eth0上后，nProbe首先对原始流量进行处理，将其统计为netflow流，然后将netflow流发给两块NSM板卡的内部管理口eth1，NSM上启用netflow口接收并处理该netflow流，达到流量统计的目的；设备侧流量镜像配置：NSM板卡插在SecPath防火墙上，需要在SecPath上将流量镜像到NSM板卡内部接口上，NSM对收到的报文进行分析。SecPath上需要进行的配置：#将网关内网接口上的流量都镜像到NSM内部端口上进行统计，NSM插在三槽位；interfaceGigabitEthernet0/1mirrortoGigabitEthernet3/0both多出口网关集成组网配置说明

多出口网关集成组网配置说明

——NSM配置（2）防火墙网关a：NSM板卡配置/*管理口IP配置为192.0.0.1默认网关为192.0.0.10（管理口直连设备接口地址）*//*nProbe产生的netflow发送地址，为主备网关的管理口IP地址*/多出口网关集成组网配置说明

多出口网关集成组网配置说明

——NSM配置（3）防火墙网关a：NSM板卡配置（续）/*netflow接口，端口号为65535，与nProbe上的配置相对应*//*选择该netflow接口作为显示接口即可*/防火墙网关b：NSM板卡配置与防火墙网关a上NSM的配置基本相同，除了管理口IP设置为192.0.0.2。两台防火墙的NSM管理口需要连着同一个交换机上，并接入到园区网设备，设备将该路由在园区网中发布出去，这样客户就可以远程登陆NSM观察流量统计情况。多出口网关集成组网配置说明

多出口网关分离边界安全组网Internet公共服务器防火墙园区边界Internet

出口路由器专网WAN

出口路由器远程分支机构VPN网关IPSIPSInternet/WAN移动用户园区网多出口网关分离边界安全组网Internet公共服务器防火墙园多出口网关分离组网相对于多出口网关集成组网，其主要的差别首先在于VPN网关、防火墙网关功能由两款专业的设备分别实现，提高了园区出口的性能。VPN网关、防火墙网关的配置与网关集成出口组网配置一样，只是部署在不同的设备上。第二个差别是本组网中启用了状态热备功能，该功能可以保障在主网关发生故障时，应用连接不中断的情况下进行网关切换。下面描述一下状态热备的相关配置。多出口网关分离边界安全组网配置说明多出口网关分离组网相对于多出口网关集成组网，其主要的差别首先多出口网关分离组网配置说明

——防火墙配置（1）总部防火墙网关a：启用防火墙网桥模式下的状态热备；假设接口G0/0、G0/1为数据转发接口。E1/1为HA接口，即用于传输双机热备的协商报文和业务同步数据，将两台防火墙设备的HA接口直连。这里的配置不涉及防火墙的具体防御功能。系统视图下：#配置防火墙使能网桥功能，并使能桥组1

bridgeenablebridge1enable

#将接口加入到桥组

interfaceGigabitEthernet0/0bridge-set1interfaceGigabitEthernet0/1bridge-set1多出口网关分离组网配置说明

多出口网关分离组网配置说明

——防火墙配置（2）总部防火墙网关a：启用防火墙网桥模式下的状态热备（续）；#创建冗余设备对象RDO1rdo1ha-interfaceinterfaceEthernet1/1peer-macffff-ffff-ffffad-interval1vif1interfaceGigabitEthernet0/0vif2interfaceGigabitEthernet0/1总部防火墙网关b：启用防火墙网桥模式下的状态热备；防火墙b上的配置与a上一致；多出口网关分离组网配置说明

边界安全部署最佳实践x课件1、Geniusonlymeanshard-workingallone'slife.(Mendeleyer,RussianChemist)

天才只意味着终身不懈的努力。20.8.58.5.202011:0311:03:10Aug-2011:032、Ourdestinyoffersnotonlythecupofdespair,butthechaliceofopportunity.(RichardNixon,AmericanPresident)命运给予我们的不是失望之酒，而是机会之杯。二〇二〇年八月五日2020年8月5日星期三3、Patienceisbitter,butitsfruitissweet.(JeanJacquesRousseau,Frenchthinker)忍耐是痛苦的，但它的果实是甜蜜的。11:038.5.202011:038.5.202011:0311:03:108.5.202011:038.5.20204、Allthatyoudo,dowithyourmight;thingsdone