客戶要求:

1、總部和分支機(jī)構(gòu)通過MPLS VPN互聯(lián)。與此同時，總部和分支機(jī)構(gòu)需要調(diào)整現(xiàn)有的防火墻，對訪問互聯(lián)網(wǎng)的數(shù)據(jù)做病毒過濾和IPS過濾。

2、一些分支機(jī)構(gòu)有獨(dú)立的互聯(lián)網(wǎng)出口，需要對進(jìn)入互聯(lián)網(wǎng)出口的數(shù)據(jù)進(jìn)行病毒過濾和IPS過濾。

3、有些分支沒有獨(dú)立的互聯(lián)網(wǎng)出口，需要通過MPLS VPN將所有數(shù)據(jù)轉(zhuǎn)發(fā)到總部，通過總部的Internet出口接入互聯(lián)網(wǎng)。

部署概述:

1、總部采用路由方式部署防火墻，一條線路接入互聯(lián)網(wǎng)，接入互聯(lián)網(wǎng)線路的接口啟用NAT另一條線路連接MPLS VPN的CE端路由器。

2、分公司1有CE路由器，同時提供Internet接入和MPLS VPN接入，內(nèi)部部署防火墻，使其通過MPLS VPN接入總部資源，同時利用防火墻的反病毒、入侵防御等UTM特性，對接入互聯(lián)網(wǎng)的流量進(jìn)行病毒過濾和入侵防御。

3、分公司2沒有自己獨(dú)立的Internet出口，ISP的CE路由器只提供MPLS VPN接入，所以分公司2不僅需要通過MPLS VPN接入總部內(nèi)網(wǎng)資源，同時需要MPLS VPN將接入互聯(lián)網(wǎng)的流量轉(zhuǎn)發(fā)到總部，通過總部的互聯(lián)網(wǎng)出口接入互聯(lián)網(wǎng)。同時需要使用防火墻的UTM功能對訪問Internet數(shù)據(jù)進(jìn)行病毒過濾和IPS過濾。

部署方案描述:

1、對于總部網(wǎng)絡(luò)，因為是三層結(jié)構(gòu)，所以很容易部署防火墻和MPLS VPN.對訪問各個分支機(jī)構(gòu)的流量轉(zhuǎn)發(fā)至MPLS VPN的CE端路由器。通過防火墻的UTM功能實現(xiàn)Trust區(qū)域到Untrust等指定區(qū)域之間的病毒過濾和IPS過濾。

2、對于分支1和分支2的網(wǎng)絡(luò)環(huán)境，根據(jù)分支使用的防火墻功能分析，需要非常規(guī)部署防火墻。

第一分支和第二分支的部署方案將在下面詳細(xì)描述。

一分支網(wǎng)絡(luò)環(huán)境如下:

（1）分公司1的ISP提供CE端路由器，同時提供MPLS VPN和互聯(lián)網(wǎng)接入。

（2）分支機(jī)構(gòu)使用的防火墻是低端機(jī)型，只能支持路由部署。同時，局域網(wǎng)-廣域網(wǎng)方向的NAT功能被強(qiáng)制開啟，無法關(guān)閉。病毒和IPS過濾只支持LAN-WAN方向。

（3）內(nèi)部網(wǎng)是二層環(huán)境

為了實現(xiàn)MPLS VPN和1號分支的互聯(lián)網(wǎng)接入，以及對Lan-Wan方向做AV，IPS過濾，采用以下方式部署防火墻

分公司2的網(wǎng)絡(luò)環(huán)境如下:

（1）ISP提供的CE路由器只提供MPLS VPN接入。

（2）內(nèi)部是二層環(huán)境，分支機(jī)構(gòu)需要通過總部的互聯(lián)網(wǎng)出口接入Internet。

（3）分支機(jī)構(gòu)使用的防火墻是低端機(jī)型，只能支持路由部署。同時，局域網(wǎng)-廣域網(wǎng)方向的NAT功能被強(qiáng)制開啟，無法關(guān)閉。病毒過濾和IPS過濾只支持局域網(wǎng)-廣域網(wǎng)方向。

為了實現(xiàn)分公司2的MPLS VPN接入和互聯(lián)網(wǎng)接入流量的AV、IPS過濾，采用以下方式部署防火墻。

總結(jié):

這個計劃的復(fù)雜部分是分支機(jī)構(gòu)的部署。如果分公司FW能支持透明部署，部署起來會很簡單，哈哈。但由于分支防火墻只能支持路由部署，NAT強(qiáng)制開啟不能關(guān)閉，且指定了病毒IPS過濾方向，只能非常規(guī)部署。同時，在CE端路由器中設(shè)置兩個IP也有助于解決這個問題。同時，總部的資源限制了對源IP地址的訪問，這就需要防火墻將流量正確的傳遞到指定的接口，不需要NAT的流量需要正確的傳回到ce終端的IP1地址。同時對于分支訪問MPLS VPN的流量是非對稱的路徑，數(shù)據(jù)從FW的Lan進(jìn)入，由被路由從Lan流出到CE，CE回包時是直接通過交換機(jī)返回給PC的，因為是二層環(huán)境，所以是非對稱路徑。這種非對稱的流量會被絕大多數(shù)主流的防火墻drop(juniper，fortigate等筆者測試過)，所以對于非對稱路徑的檢測特性需要關(guān)閉，才能確保流量正確轉(zhuǎn)發(fā)。最后就是總部防火墻的NAT，需要把分支來的數(shù)據(jù)正確進(jìn)行NAT，已經(jīng)回包，確保分支可以通過總部訪問Internet。