雙防火墻下構建專用商務網(wǎng)站

    筆者所在公司網(wǎng)絡為自建局域網(wǎng)，既承擔集團公司生產(chǎn)、財務、物流等各業(yè)務系統(tǒng)的運行，又提供辦公人員訪問互聯(lián)網(wǎng)的業(yè)務。整個網(wǎng)絡主要由集團公司總部網(wǎng)絡和分系統(tǒng)或區(qū)域的分支網(wǎng)絡組成。集團公司總部網(wǎng)絡對內(nèi)為員工提供了一個企業(yè)內(nèi)部生產(chǎn)、辦公、交流的平臺，對外為員工提供訪問互聯(lián)網(wǎng)的業(yè)務。

    集團公司總部網(wǎng)絡的拓撲連接主要為ISP 服務商→防火墻→內(nèi)部網(wǎng)絡。其中，在防火墻的DMZ 區(qū)域放著公司的重要服務器，如集團公司電子商務網(wǎng)站、電子郵局、人力資源外部網(wǎng)站等。

    本文中涉及的物流網(wǎng)絡為分支網(wǎng)絡，但為了保證其業(yè)務的安全性，該分支網(wǎng)絡要求規(guī)劃成為一個構建在防火墻基礎上的專用網(wǎng)絡。物流系統(tǒng)數(shù)據(jù)庫服務器及數(shù)據(jù)庫備份服務器、應用服務器及其商務網(wǎng)站等重要服務器，同樣被規(guī)劃在其防火墻的DMZ 區(qū)域。

    本文將介紹雙防火墻下構建專用商務網(wǎng)站的方法。

    架設防火墻的目的

    本案例中架設防火墻的目的有兩個：

    第一，防火墻允許網(wǎng)絡管理人員有中心、有重點地規(guī)劃網(wǎng)絡，從而防止跨越權限的數(shù)據(jù)訪問及非授權用戶進入內(nèi)部網(wǎng)絡。通過借助防火墻的3 個安全區(qū)域，使用戶的網(wǎng)絡規(guī)劃清晰明了，使網(wǎng)管人員可以很方便地監(jiān)視網(wǎng)絡的安全情況，并按需要及時調(diào)整安全訪問策略或規(guī)則。

    第二，通過在防火墻上部署NAT（Network AddressTranslation，網(wǎng)絡地址變換），利用NAT 技術將有限的外部IP 地址靜態(tài)地址與內(nèi)部的IP 地址對應起來，一方面可以緩解集團公司公網(wǎng)地址空間短缺的問題，另一方面可以提高網(wǎng)絡中被保護資源的安全性。

    總部網(wǎng)絡拓撲概述

    集團公司內(nèi)部網(wǎng)絡被防火墻分隔為3 個不同安全級別的安全域，即inside、DMZ、outside 域。其中，inside內(nèi)網(wǎng)區(qū)域是大多數(shù)員工所在的集團公司總部網(wǎng)；DMZ 區(qū)域專門用于存放集團公司涉外業(yè)務，如商務、電子郵局、人力資源等；outside 外網(wǎng)區(qū)域，即互聯(lián)網(wǎng)區(qū)域。其安全等級從高到低依次為內(nèi)網(wǎng)區(qū)域100、DMZ 區(qū)域50、外網(wǎng)區(qū)域0。

    規(guī)劃物流系統(tǒng)網(wǎng)絡并進行拓撲連接

    1. 規(guī)劃物流系統(tǒng)分支網(wǎng)絡。

    在此需要明確的設計需求是：該分支網(wǎng)絡的中心或者重點是物流系統(tǒng)各服務器，如物流應用系統(tǒng)、數(shù)據(jù)庫、數(shù)據(jù)備份服務器等。其使用人員為物資分公司的員工，物流商務網(wǎng)站服務器用于在互聯(lián)網(wǎng)上發(fā)布或收集相關信息。由此，圍繞防火墻設計其網(wǎng)絡連接：通過Cisco ASA 5550 防火墻的3 個不同端口，構建3個不同安全級別的安全域（inside、DMZ、outside 域）。其安全等級從高到低依次為inside 域100、DMZ 域50、outside 域0。inside 內(nèi)網(wǎng)區(qū)域，用于連接數(shù)據(jù)庫、數(shù)據(jù)備份、物流應用系統(tǒng)服務器等；DMZ 區(qū)域， 放置物流商務網(wǎng)站；outside 外網(wǎng)區(qū)域， 由物流系統(tǒng)用戶組成。

    在這里，服務器的安全等級最高，其目的是保護物流系統(tǒng)核心資源必須是授權訪問，并減少來自外部的攻擊。如圖1 所示中的“物流分支網(wǎng)絡”部分。

    2. 將物流虛擬網(wǎng)連入集團公司網(wǎng)絡，并使其能實現(xiàn)所需功能

    物流虛擬網(wǎng)與集團總部網(wǎng)絡的拓撲規(guī)劃及連接如圖1所示。由圖可見，從集團公司總部網(wǎng)絡的核心路由器分出兩路連接，一路用于物流系統(tǒng)用戶的接入，另一路用于連接物流系統(tǒng)防火墻。同時, 為了實現(xiàn)物流商務網(wǎng)站內(nèi)外通的功能，還需要在物流商務網(wǎng)站服務器與集團公司總部防火墻的DMZ 區(qū)之間再加一條連接，如圖1 中的粗虛線所示。

    圖1 總部網(wǎng)絡拓撲圖

    這樣，物流商務網(wǎng)站可以通過在集團公司防火墻上做相應地址轉換而實現(xiàn)內(nèi)外通功能。

    配置物流系統(tǒng)防火墻

    針對物流系統(tǒng)用戶及合作伙伴的流動性及網(wǎng)絡擴展性強的要求，物流系統(tǒng)防火墻選用了Cisco ASA 5550 自適應安全設備，它能夠隨著企業(yè)網(wǎng)絡安全要求的增長而不斷擴展，具有更高的投資保護能力和更出色的服務可擴展性。

    企業(yè)可擴展其SSL 和IPsec VPN 容量，以支持大量移動員工、遠程站點和業(yè)務合作伙伴。通過安裝SSL VPN 升級許可，可在每個Cisco ASA 5550 上擴展支持多達5000個SSL VPN peer，基礎平臺最多可支持5000 個IPsec VPNpeer。通過使用Cisco ASA 5550 的集成VPN 集群和負載平衡能力，VPN 容量和永續(xù)性還可以進一步提高。

    下面簡述在Cisco ASA 5550 防火墻上配置物流商務網(wǎng)站的步驟。

    1. 配置防火墻

    配置防火墻上相應的inside、DMZ、outside 端口地址及其安全級別：建議把inside 和outside 端口放在不同槽板上，這種部署吞吐量大。

    下面配置G0/0 口為防火墻的內(nèi)網(wǎng)口，IP 地址為10.20.100. 1/24，安全級別為100 ：

    interface GigabitEthernet 0/0 
    nameif inside 
    security-level 100 
    ip address 10.20.100.1 255.255.255.0

    配置G0/3 口為防火墻的DMZ 口，IP 地址為10.20.40.1/24，安全級別為50 ：

    interface GigabitEthernet 0/3 
    nameif dmz 
    security-level 50 
    ip address 10.20.40.1 255.255.255.0

    配置G1/0 口為防火墻的外網(wǎng)口，IP 地址為192.168.212.2/22，安全級別為0 ：

    interface GigabitEthernet 1/0 
    nameif outside 
    security-level 0 
    ip address 192.168.212.2 255.255. 
    255.0

    2. 配置路由

    在物流系統(tǒng)防火墻內(nèi)網(wǎng)口inside 下連的交換機中，還劃分了10.20.10.0/24 子網(wǎng)，物流系統(tǒng)服務器的IP 地址被規(guī)劃在這個網(wǎng)段，因此要為這些網(wǎng)段添加通過內(nèi)網(wǎng)口訪問的靜態(tài)路由，還需要添加通過防火墻外網(wǎng)口outside 訪問的物流系統(tǒng)用戶所在的192.168.212.1/22 網(wǎng)段的路由。

    在ASA 5550 防火墻上添加下面兩條靜態(tài)路由：

    route inside 10.20.10.0 255.255. 
    255.0 10.20.100.1 1 
    route outside 0.0.0.0 0.0.0.0 192. 
    168.212.1 1

    上面兩條路由，第一條用于訪問防火墻內(nèi)部的服務器，第二條用于訪問防火墻外部用戶。

    3. 配置該服務器網(wǎng)卡

    電子商務服務器被連接在了ASA 防火墻的DMZ 區(qū)域，網(wǎng)卡配置為10.100.40.2/24，另一塊網(wǎng)卡連接到互聯(lián)網(wǎng)出口防火墻的DMZ 區(qū)域，網(wǎng)卡配置為11.11.11.11/24，網(wǎng)關為11.11. 11.1，DNS 服務器IP 地址為202.99.160.68。

    4. 做電子商務服務器NAT

    做DMZ-outside 的靜態(tài)NAT ：

    static (dmz,outside) 192.168.212.20 
    10.20.40.2 netmask 255.255.255.255

    做DMZ-inside 的靜態(tài)NAT ：

    static (dmz,inside) 10.20.100.100 
    10.20.40.2 netmask 255.255.255.255

    上面這兩條靜態(tài)地址轉換的目的是讓防火墻外部用戶通過地址192.168.212.20 訪問，而防火墻內(nèi)部通過地址10.20.100.100 訪問。

    5. 配置security policy (ACL) 及訪問規(guī)則

    首先，創(chuàng)建電子商務所需的服務，服務名稱為ebusiness：

    object-group service ebusiness tcp 
    port-object range 2030 2030 
    port-object range 3389 3389 
    port-object eq https 
    port-object eq www 
    port-object range sqlnet sqlnet

    其次，創(chuàng)建從外網(wǎng)訪問它的規(guī)則：

    a c c e s s - l i s t o u t s i d e _ a c c e s s _ 
    in extended permit tcp any host 
    192.168.212.20 object-group ebusiness

    為了測試方便，還加了一條訪問規(guī)則，允許從外網(wǎng)對它進行Ping ：

    a c c e s s - l i s t o u t s i d e _ a c c e s s _ 
    in extended permit icmp any host 
    192.168.212.20

    6. 配置出口防火墻

    配置企業(yè)互聯(lián)網(wǎng)出口防火墻，建立該服務器在公網(wǎng)的映射，以便用戶的訪問。

    集團公司出口防火墻選用了FortiGate-310B 設備。這款設備包括很高級別的端口密度，10 個千兆以太端口；雙WAN 鏈接，支持冗余的互聯(lián)網(wǎng)連接，集成了一個4 個端口的交換機，無須使用外接的Hub 或交換機，使得聯(lián)網(wǎng)的設備直接連接到防火墻上。FortiASIC 網(wǎng)絡處理器可實現(xiàn)最高8Gbps 和6Gbps 的FW/IPSec VPN 吞吐量。

    edit "VI_229_1" 
    set extip 61.240.133.13 
    set extintf "port7" 
    set portforward enable 
    set mappedip 11.11.11.11 
    set extport 80 
    set mappedport 80 
    next 
    edit 14 
    set input-device "port8" 
    s e t s r c 1 1 . 1 1 . 1 1 . 1 1 2 5 5 . 
    255.255.255 
    set output-device "port7" 
    next

    配置路由

    在Windows 系統(tǒng)中，允許為一個機器配置兩塊網(wǎng)卡。雖然理論上可以給兩塊網(wǎng)卡都配置網(wǎng)關，但會由此造成路由混亂。因而，對于有兩塊網(wǎng)卡的機器，對其網(wǎng)卡配置時，一塊需要指定網(wǎng)關，一塊則不需要指定網(wǎng)關，而通過該網(wǎng)絡到達其他網(wǎng)段時，一般需要配置靜態(tài)路由。

    在這里，為了保證機器重啟后仍能正常運行，采用給本機添加永久路由的方式。

    在添加路由前需要對網(wǎng)絡拓撲結構有明確認識。對于該服務器來說，訪問集團公司的辦公網(wǎng)絡172 和192 網(wǎng)段，是通過ASA 防火墻的DMZ 口轉換的，而訪問物流系統(tǒng)ASA 防火墻內(nèi)部區(qū)域所連接的各數(shù)據(jù)庫服務器和備份服務器，也是通過DMZ 口轉發(fā)的，即訪問這幾段網(wǎng)絡的下一跳網(wǎng)關都為10.20.40.1。因而需要設置以下幾條本地永久路由：

    Route –p add 172.16.8.0 mask 
    255.255.252.0 10.20. 40.1(內(nèi)網(wǎng)) 
    Route –p add 192.168. 0.0 mask 
    255.255.0.0 10.20. 40.1(內(nèi)網(wǎng)) 
    Route –p add 10.20.10.0 mask 
    255.255.255.0 10.20. 40.1(DMZ區(qū))

    本機路由表如圖2 所示。

    圖2 本機路由表

    至此，一個雙防火墻連接下的內(nèi)外通商務網(wǎng)站構建成功。

核心關注：拓步ERP系統(tǒng)平臺是覆蓋了眾多的業(yè)務領域、行業(yè)應用，蘊涵了豐富的ERP管理思想，集成了ERP軟件業(yè)務管理理念，功能涉及供應鏈、成本、制造、CRM、HR等眾多業(yè)務領域的管理，全面涵蓋了企業(yè)關注ERP管理系統(tǒng)的核心領域，是眾多中小企業(yè)信息化建設首選的ERP管理軟件信賴品牌。

轉載請注明出處：拓步ERP資訊網(wǎng)http://m.nttd-wave.com.cn/

本文標題：雙防火墻下構建專用商務網(wǎng)站

本文網(wǎng)址：http://m.nttd-wave.com.cn/html/consultation/1083946842.html