一、方案簡介

廣電行業(yè)除了提供家庭廣播電視業(yè)務，還向ISP租用鏈路開展寬帶用戶上網、服務器托管等網絡接入服務。此時網絡出口處通常部署防火墻作為出口網關提供Internet接入及安全保障功能。

圖1 防火墻在廣電網絡出口的應用

如圖1所示，防火墻部署在網絡出口主要提供如下功能：

NAT：提供源NAT功能將寬帶用戶私網IP轉換為公網IP，提供NAT Server功能將托管服務器的私網IP轉換為公網IP供外網用戶訪問。

多出口智能選路：提供基于目的IP、應用等多種選路措施，合理利用多條ISP鏈路保證上網質量。

安全管理：通過安全區(qū)域及安全策略進行區(qū)域隔離，提供入侵防御、DDoS攻擊防范等安全功能進行安全防護。

用戶溯源和審計：記錄用戶NAT前后IP地址、端口等日志發(fā)往日志服務器，滿足相關部門的審計和溯源需求。

二、方案設計

2.1 典型組網

如圖2所示，廣電向兩個ISP各租用了兩條鏈路，為城域網的廣電用戶提供寬帶上網服務。廣電還在服務器區(qū)部署了服務器，為內外網用戶提供服務器托管業(yè)務。

廣電的Internet出口處部署了兩臺防火墻雙機熱備組網（主備方式）。兩臺防火墻的上行接口通過出口匯聚交換機與兩個ISP相連，下行接口通過核心路由器與城域網相連，通過服務器區(qū)的交換機與服務器相連。

圖2 防火墻在廣電網絡出口的典型組網

廣電網絡對Internet出口防火墻的具體需求如下：

兩臺防火墻能夠組成主備備份組網，提升網絡可靠性。

通過防火墻的源NAT功能保證城域網的海量用戶能夠同時訪問Internet。

為了提升內網用戶的寬帶上網體驗，廣電的出口選路需求如下：

能夠根據目的地址所屬的ISP進行選路。例如，訪問ISP1的服務器的流量能夠通過ISP1鏈路轉發(fā)，訪問ISP2的服務器的流量能夠通過ISP2鏈路轉發(fā)。

屬于同一個ISP的流量在兩條鏈路間按權重負載分擔。

引導P2P流量由資費較低、帶寬較大的ISP2鏈路轉發(fā)。

托管的服務器能夠供外網用戶訪問，對服務器進行管理。

廣電網絡內還部署了DNS服務器為以上服務器提供域名解析。廣電希望各ISP的外網用戶能夠解析到自己ISP為服務器分配的地址，從而提高訪問服務器的速度。

防火墻能夠保護內部網絡，防止各種DDoS攻擊，并對僵尸、木馬、蠕蟲等網絡入侵行為進行告警。

為了應對有關部門的審查，防火墻能夠提供內網用戶訪問Internet的溯源功能，包括NAT轉換前后的IP地址、端口等。

2.2 業(yè)務規(guī)劃

2.2.1 設備規(guī)劃

廣電網絡出口可能用到的設備如表1所示，USG9500和USG6000如有差異將補充說明。

表1 廣電網絡出口設備規(guī)劃

2.2.2 雙機熱備規(guī)劃

由于一個ISP接入點無法與兩臺防火墻直接相連，因此需要在防火墻與ISP之間部署出口匯聚交換機。出口匯聚交換機可以將ISP的一條鏈路變?yōu)閮蓷l鏈路，然后分別將兩條鏈路與兩臺防火墻的上行接口相連。而防火墻與下行路由器之間運行OSPF，所以這就組成了“兩臺防火墻上行連接交換機，下行連接路由器”的典型雙機熱備組網。該種組網方式防火墻上行配置VRRP備份組，下行配置VGMP組監(jiān)控業(yè)務口。

雙機熱備組網可以轉換為圖3，將與同一個ISP接入點連接的主備防火墻接口加入同一個VRRP備份組。

圖3 雙機熱備組網

2.2.3 多出口選路規(guī)劃

廣電向不同運營商租用鏈路，多出口選路功能尤為重要，防火墻提供豐富的多出口功能滿足需求：

通過DNS透明代理分擔內網用戶上網的DNS請求，從而達到在多個ISP間分擔流量的目的。

內網用戶上網的第一步是用戶訪問某個域名，DNS服務器將域名解析為IP地址。這一步存在一個問題，內網PC往往都配置了同一個ISP的DNS服務器，這樣將導致用戶只能解析到一個ISP的地址，后續(xù)的ISP選路也就無從談起了。防火墻提供DNS透明代理功能解決這一問題，防火墻通過一定的規(guī)則將內網用戶的DNS請求分擔至不同ISP的DNS服務器，從而解析到不同ISP的地址。本例采取指定鏈路權重的方式分擔DNS請求。

通過基于多出口的策略路由實現ISP選路。

防火墻的策略路由可以同時指定多個出接口，并配置多個出接口的流量分擔方式。例如指定目的地址為ISP1地址的流量從ISP1的兩個出接口發(fā)送，同時指定兩個出接口間按權重進行負載分擔。

通過基于應用的策略路由將P2P流量引導至ISP2鏈路。

通過健康檢查探測鏈路的可達性。

防火墻探測某個出接口到指定目的地址的鏈路健康狀態(tài)，保證流量不會被轉發(fā)到故障鏈路上。

2.2.4 源NAT規(guī)劃

在FW配置源NAT使內網用戶可以通過有限的公網IP地址訪問Internet。

地址池

根據向ISP申請的公網IP地址，配置兩個對應不同ISP的地址池，注意地址池中排除VRRP備份組的公網IP、服務器對外發(fā)布的公網IP。

NAPT（Network Address and Port Translation）

NAPT同時對IP地址和端口進行轉換，內網用戶訪問Internet的報文到達防火墻后，報文的源地址會被NAT轉換成公網地址，源端口會被NAT轉換成隨機的非知名端口。這樣一個公網地址就可以同時被多個內網用戶使用，實現了公網地址的復用，解決了海量用戶同時訪問Internet的問題。

NAT ALG

當防火墻既開啟NAT功能，又需要轉發(fā)多通道協議報文（例如FTP等）時，必須開啟相應的NAT ALG功能。例如FTP、SIP、H323、RTSP和QQ等多通道協議。

2.2.5 NAT Server規(guī)劃

廣電的托管服務器業(yè)務主要開通網站托管業(yè)務，如某個學校的網站托管，同時還有公司內部的辦公網，公司門戶網站等。由于托管服務器部署在內網的DMZ區(qū)域，所以需要在防火墻上部署NAT server功能，將服務器的私網地址轉換成公網地址，而且需要為不同的ISP用戶提供不同的公網地址。

如果DNS服務器在內網，則需要配置智能DNS使外網用戶可以獲取最適合的服務器解析地址，即與用戶屬于同一ISP網絡地址避免跨網絡訪問。

2.2.6 安全功能規(guī)劃

缺省情況下FW拒絕所有流量通過，需要配置安全策略允許正常的業(yè)務訪問。具體規(guī)劃見下文的數據規(guī)劃。

出口網關作為廣電網絡與外界通信的關口，需要配置入侵防御（IPS）、攻擊防范等安全功能。

本案例使用缺省的IPS配置文件default，對檢測到的入侵行為進行阻斷；還可以選擇配置文件ids先記錄攻擊日志不阻斷，然后根據日志再配置具體的IPS配置文件。

2.2.6 用戶溯源規(guī)劃

通過與日志服務器配合完成用戶溯源：

FW配置向日志服務器發(fā)送會話日志功能，會話日志中詳細記錄了會話的原始（即NAT轉換前）源IP地址/端口、目的IP地址/端口，以及會話經過NAT轉換后的源IP地址/端口和目的IP地址/端口等信息。

如果某個用戶在外網發(fā)布了非法言論，管理員在日志服務器中根據該用戶的公網IP地址追蹤到其私網IP地址。

管理員根據企業(yè)內部的認證系統等追蹤到具體用戶賬號。

2.2.7 數據規(guī)劃

根據上述業(yè)務規(guī)劃進行數據規(guī)劃。

三、注意事項

3.1 License

IPS功能和智能DNS功能需要License支持，另外智能DNS功能需要加載內容安全組件包才能使用。

3.2 硬件要求

對于USG9500，IPS、基于應用的策略路由、智能DNS需要應用安全業(yè)務處理子卡（SPC-APPSEC-FW）在位，否則功能不可用。

使用IPS功能前，建議將IPS特征庫升級到最新版本。

3.3 組網部署

為了避免心跳接口故障導致雙機通信異常，心跳接口建議使用Eth-trunk接口。對于支持擴展多個接口卡的設備（具體支持情況，請查閱硬件指南），必須使用跨板Eth-Trunk接口，即一個Eth-Trunk的成員接口來自于不同的接口板，這樣既提高了可靠性，又增加了備份通道的帶寬。對于無接口擴展能力無法使用跨板Eth-Trunk的設備，可能存在一塊接口卡故障導致所有HRP備份通道不可用、業(yè)務受損。

當雙機熱備與智能選路結合使用時，如果上行部署交換機運行VRRP，防火墻的上行物理接口必須配置與ISP路由器同一網段的公網IP地址，否則無法指定接口的gateway。gateway命令是智能選路、鏈路健康探測的必選配置。

如果上行是路由器則無此限制。

3.4 智能選路

防火墻在接口下提供gateway命令生成等價缺省路由，協議類型為UNR，路由優(yōu)先級為70，低于靜態(tài)路由的優(yōu)先級（60）。配置了此命令后不能再手動配置多出口的靜態(tài)等價路由

策略路由智能選路不能和IP欺騙攻擊防范功能或URPF（Unicast Reverse Path Forwarding，單播逆向路徑轉發(fā)）功能一起使用。如果開啟IP欺騙攻擊防范功能或URPF功能，可能導致防火墻丟棄報文。

3.5 黑洞路由

防火墻支持為NAT地址池中的地址生成UNR（User Network Route）路由，該UNR路由的作用與黑洞路由的作用相同，可以防止路由環(huán)路，同時也可以引入到OSPF等動態(tài)路由協議中發(fā)布出去。對于NAT Server來說，如果指定了協議和端口，則還需要手工配置目的地址為公網地址的黑洞路由，使外網訪問公網地址但沒有匹配到Server-Map的報文匹配到黑洞路由后直接被丟棄，防止路由環(huán)路。

四、方案配置

4.1 配置接口和安全區(qū)域

4.1.1 背景信息

按下圖配置接口和安全區(qū)域。

接口IP及安全區(qū)域

4.1.2 操作步驟

1.配置FW_A接口IP地址。

system-view
[FW_A]interfaceEth-Trunk1
[FW_A-Eth-Trunk1]undoservice-manageenable
[FW_A-Eth-Trunk1]descriptionTo-isp1
[FW_A-Eth-Trunk1]trunkportGigabitEthernet1/0/1
[FW_A-Eth-Trunk1]trunkportGigabitEthernet1/0/6
[FW_A-Eth-Trunk1]quit
[FW_A]interfaceEth-Trunk2
[FW_A-Eth-Trunk2]undoservice-manageenable
[FW_A-Eth-Trunk2]descriptionTo-isp2
[FW_A-Eth-Trunk2]trunkportGigabitEthernet1/0/2
[FW_A-Eth-Trunk2]trunkportGigabitEthernet1/0/7
[FW_A-Eth-Trunk2]quit
[FW_A]interfaceEth-Trunk1.1
[FW_A-Eth-Trunk1.1]descriptionTo-isp1-1
[FW_A-Eth-Trunk1.1]vlan-typedot1q11
[FW_A-Eth-Trunk1.1]ipaddress1.1.1.229
[FW_A-Eth-Trunk1.1]quit
[FW_A]interfaceEth-Trunk2.1
[FW_A-Eth-Trunk2.1]descriptionTo-isp2-1
[FW_A-Eth-Trunk2.1]vlan-typedot1q21
[FW_A-Eth-Trunk2.1]ipaddress2.2.2.229
[FW_A-Eth-Trunk2.1]quit
[FW_A]interfaceEth-Trunk1.2
[FW_A-Eth-Trunk1.2]descriptionTo-isp1-2
[FW_A-Eth-Trunk1.2]vlan-typedot1q12
[FW_A-Eth-Trunk1.2]ipaddress1.1.2.229
[FW_A-Eth-Trunk1.2]quit
[FW_A]interfaceEth-Trunk2.2
[FW_A-Eth-Trunk2.2]descriptionTo-isp2-2
[FW_A-Eth-Trunk2.2]vlan-typedot1q22
[FW_A-Eth-Trunk2.2]ipaddress2.2.3.229
[FW_A-Eth-Trunk2.2]quit
[FW_A]interfaceGigabitEthernet1/0/3
[FW_A-GigabitEthernet1/0/3]undoservice-manageenable
[FW_A-GigabitEthernet1/0/3]descriptionTo-router
[FW_A-GigabitEthernet1/0/3]ipaddress10.0.3.124
[FW_A-GigabitEthernet1/0/3]quit
[FW_A]interfaceGigabitEthernet1/0/4
[FW_A-GigabitEthernet1/0/4]undoservice-manageenable
[FW_A-GigabitEthernet1/0/4]descriptionTo-server
[FW_A-GigabitEthernet1/0/4]ipaddress10.0.5.124
[FW_A-GigabitEthernet1/0/4]quit
[FW_A]interfaceEth-Trunk0
[FW_A-Eth-Trunk0]undoservice-manageenable
[FW_A-Eth-Trunk0]descriptionHrp-interface
[FW_A-Eth-Trunk0]ipaddress10.0.7.124
[FW_A-Eth-Trunk0]quit
[FW_A]interfaceGigabitEthernet2/0/0
[FW_A-GigabitEthernet2/0/0]undoservice-manageenable
[FW_A-GigabitEthernet2/0/0]eth-trunk0
[FW_A-GigabitEthernet2/0/0]quit
[FW_A]interfaceGigabitEthernet1/0/5
[FW_A-GigabitEthernet1/0/5]undoservice-manageenable
[FW_A-GigabitEthernet1/0/5]eth-trunk0
[FW_A-GigabitEthernet1/0/5]quit

2.將FW_A接口加入安全區(qū)域。

[FW_A]firewallzonenameisp1_1
[FW_A-zone-isp1_1]setpriority10
[FW_A-zone-isp1_1]addinterfaceEth-Trunk1.1
[FW_A-zone-isp1_1]quit
[FW_A]firewallzonenameisp1_2
[FW_A-zone-isp1_2]setpriority15
[FW_A-zone-isp1_2]addinterfaceEth-Trunk1.2
[FW_A-zone-isp1_2]quit
[FW_A]firewallzonenameisp2_1
[FW_A-zone-isp2_1]setpriority20
[FW_A-zone-isp2_1]addinterfaceEth-Trunk2.1
[FW_A-zone-isp2]quit
[FW_A]firewallzonenameisp2_2
[FW_A-zone-isp2_2]setpriority25
[FW_A-zone-isp1_2]addinterfaceEth-Trunk2.2
[FW_A-zone-isp2]quit
[FW_A]firewallzonetrust
[FW_A-zone-trust]addinterfaceGigabitEthernet1/0/3
[FW_A-zone-trust]quit
[FW_A]firewallzonedmz
[FW_A-zone-dmz]addinterfaceGigabitEthernet1/0/4
[FW_A-zone-dmz]quit
[FW_A]firewallzonenamehrp
[FW_A-zone-hrp]setpriority75
[FW_A-zone-hrp]addinterfaceEth-Trunk0
[FW_A-zone-hrp]quit

3.參考上述步驟配置FW_B的接口IP和安全區(qū)域，不同之處是接口IP不同。

4.2 配置智能選路及路由

4.2.1 操作步驟

1.配置FW_A的健康檢查功能，分別為ISP1和ISP2鏈路配置健康檢查。

其中目的地址是Internet真實存在的IP地址，本例以ISP網關地址、DNS地址為例。

[FW_A]healthcheckenable
[FW_A]healthchecknameisp1_health1
[FW_A-healthcheck-isp1_health1]destination1.1.1.6interfaceEth-Trunk1.1protocolicmp
[FW_A-healthcheck-isp1_health1]destination1.1.1.222interfaceEth-Trunk1.1protocoldns
[FW_A-healthcheck-isp1_health1]quit
[FW_A]healthchecknameisp1_health2
[FW_A-healthcheck-isp1_health2]destination1.1.2.6interfaceEth-Trunk1.2protocolicmp
[FW_A-healthcheck-isp1_health2]destination1.1.1.222interfaceEth-Trunk1.2protocoldns
[FW_A-healthcheck-isp1_health2]quit
[FW_A]healthchecknameisp2_health1
[FW_A-healthcheck-isp2_health1]destination2.2.2.6interfaceEth-Trunk2.1protocolicmp
[FW_A-healthcheck-isp2_health1]destination2.2.2.222interfaceEth-Trunk2.1protocoldns
[FW_A-healthcheck-isp2_health1]quit
[FW_A]healthchecknameisp2_health2
[FW_A-healthcheck-isp2_health2]destination2.2.3.6interfaceEth-Trunk2.2protocolicmp
[FW_A-healthcheck-isp2_health2]destination2.2.2.222interfaceEth-Trunk2.2protocoldns
[FW_A-healthcheck-isp2_health2]quit

FW_B與FW_A的配置相同，請自行配置。

2.配置接口的網關地址、接口帶寬并應用對應的健康檢查。

接口應用健康檢查功能后，當接口所在鏈路故障時，與其綁定的路由將失效。

[FW_A]interfaceEth-Trunk1.1
[FW_A-Eth-Trunk1.1]gateway1.1.1.6
[FW_A-Eth-Trunk1.1]bandwidthingress800000
[FW_A-Eth-Trunk1.1]bandwidthegress800000
[FW_A-Eth-Trunk1.1]healthcheckisp1_health1
[FW_A-Eth-Trunk1.1]quit
[FW_A]interfaceEth-Trunk1.2
[FW_A-Eth-Trunk1.2]gateway1.1.2.6
[FW_A-Eth-Trunk1.2]bandwidthingress400000
[FW_A-Eth-Trunk1.2]bandwidthegress400000
[FW_A-Eth-Trunk1.2]healthcheckisp1_health2
[FW_A-Eth-Trunk1.2]quit
[FW_A]interfaceEth-Trunk2.1
[FW_A-Eth-Trunk2.1]gateway2.2.2.6
[FW_A-Eth-Trunk2.1]bandwidthingress900000
[FW_A-Eth-Trunk2.1]bandwidthegress900000
[FW_A-Eth-Trunk2.1]healthcheckisp2_health1
[FW_A-Eth-Trunk2.1]quit
[FW_A]interfaceEth-Trunk2.2
[FW_A-Eth-Trunk2.2]gateway2.2.3.6
[FW_A-Eth-Trunk2.2]bandwidthingress600000
[FW_A-Eth-Trunk2.2]bandwidthegress600000
[FW_A-Eth-Trunk2.2]healthcheckisp2_health2
[FW_A-Eth-Trunk2.2]quit

FW_B與FW_A的配置相同，請自行配置。

3.配置DNS透明代理。

a.配置DNS透明代理參數。

[FW_A]dns-transparent-policy
[FW_A-policy-dns]dnstransparent-proxyenable
[FW_A-policy-dns]dnsserverbindinterfaceEth-Trunk1.1preferred1.1.1.222alternate1.1.1.223
[FW_A-policy-dns]dnsserverbindinterfaceEth-Trunk1.2preferred1.1.1.222alternate1.1.1.223
[FW_A-policy-dns]dnsserverbindinterfaceEth-Trunk2.1preferred2.2.2.222alternate2.2.2.223
[FW_A-policy-dns]dnsserverbindinterfaceEth-Trunk2.2preferred2.2.2.222alternate2.2.2.223
[FW_A-policy-dns]dnstransparent-proxyexcludedomainwww.example.comserverpreferred1.1.1.222
[FW_A-policy-dns]rulenamedns_proxy
[FW_A-policy-dns-rule-dns_proxy]actiontpdns
[FW_A-policy-dns-rule-dns_proxy]source-address10.3.0.024
[FW_A-policy-dns-rule-dns_proxy]quit
[FW_A-policy-dns]quit

FW_B與FW_A的配置相同，請自行配置。

dns transparent-proxy exclude domain命令用來配置不需要DNS透明代理的域名，這里假設www.example.com固定使用1.1.1.222這個DNS服務器進行解析，不進行DNS透明代理。

b.配置基于DNS服務的策略路由使DNS請求按鏈路權重進行分擔。

[FW_A]policy-based-route
[FW_A-policy-pbr]rulenamedns_pbr
[FW_A-policy-pbr-rule-dns_pbr]ingress-interfaceGigabitEthernet1/0/3
[FW_A-policy-pbr-rule-dns_pbr]servicedns
[FW_A-policy-pbr-rule-dns_pbr]actionpbregress-interfacemulti-interface
[FW_A-policy-pbr-rule-dns_pbr-multi-inter]addinterfaceEth-Trunk1.1weight2
[FW_A-policy-pbr-rule-dns_pbr-multi-inter]addinterfaceEth-Trunk1.2weight1
[FW_A-policy-pbr-rule-dns_pbr-multi-inter]addinterfaceEth-Trunk2.1weight3
[FW_A-policy-pbr-rule-dns_pbr-multi-inter]addinterfaceEth-Trunk2.2weight2
[FW_A-policy-pbr-rule-dns_pbr-multi-inter]modeproportion-of-weight
[FW_A-policy-pbr-rule-dns_pbr-multi-inter]quit
[FW_A-policy-pbr-rule-dns_pbr]quit

FW_B與FW_A的配置相同，請自行配置。

4.配置策略路由智能選路。

a.按如下格式準備ISP1和ISP2的地址文件，isp1.csv和isp2.csv。

b.上傳ISP地址文件到FW_A。

c.為ISP1和ISP2分別創(chuàng)建運營商名稱isp1和isp2，并關聯對應的ISP地址文件。

[FW_A]ispnameisp1setfilenameisp1.csv
[FW_A]ispnameisp2setfilenameisp2.csv

完成此配置后，防火墻自動生成以ISP名稱命名的地址集，地址集中包含對應ISP的地址。該地址集中的內容不能直接修改，只能通過重新導入ISP地址文件進行間接修改。ISP地址集可以被策略路由引用，作為源地址或目的地址。

FW_B與FW_A的配置相同，請自行配置。

d.配置基于應用的策略路由，引導P2P流量從ISP2轉發(fā)。

[FW_A]policy-based-route
[FW_A-policy-pbr]rulenamep2p_pbr
[FW_A-policy-pbr-rule-p2p_pbr]ingress-interfaceGigabitEthernet1/0/3
[FW_A-policy-pbr-rule-p2p_pbr]applicationappBTThundereDonkey_eMule
[FW_A-policy-pbr-rule-p2p_pbr]actionpbregress-interfacemulti-interface
[FW_A-policy-pbr-rule-p2p_pbr-multi-inter]addinterfaceEth-Trunk2.1weight3
[FW_A-policy-pbr-rule-p2p_pbr-multi-inter]addinterfaceEth-Trunk2.2weight2
[FW_A-policy-pbr-rule-p2p_pbr-multi-inter]modeproportion-of-weight
[FW_A-policy-pbr-rule-p2p_pbr-multi-inter]quit
[FW_A-policy-pbr-rule-p2p_pbr]quit

多條策略路由規(guī)則的匹配順序是按配置順序匹配。本例配置了多條策略路由規(guī)則，注意先配置基于DNS服務和P2P應用的策略路由，再配置基于目的地址的策略路由，否則將先匹配基于目的地址的策略路由，基于DNS服務和P2P應用的策略路由就不生效了。

此處僅給出了BT、迅雷和電驢應用作為例子，具體配置時請根據實際需求指定應用。

FW_B與FW_A的配置相同，請自行配置。

e.配置基于ISP1地址為目的地址的策略路由，引導訪問ISP1的流量從ISP1鏈路轉發(fā)。

[FW_A-policy-pbr]rulenameisp1_pbr
[FW_A-policy-pbr-rule-isp1_pbr]ingress-interfaceGigabitEthernet1/0/3
[FW_A-policy-pbr-rule-isp1_pbr]destination-addressispisp1
[FW_A-policy-pbr-rule-isp1_pbr]actionpbregress-interfacemulti-interface
[FW_A-policy-pbr-rule-isp1_pbr-multi-inter]addinterfaceEth-Trunk1.1weight2
[FW_A-policy-pbr-rule-isp1_pbr-multi-inter]addinterfaceEth-Trunk1.2weight1
[FW_A-policy-pbr-rule-isp1_pbr-multi-inter]modeproportion-of-weight
[FW_A-policy-pbr-rule-isp1_pbr-multi-inter]quit
[FW_A-policy-pbr-rule-isp1_pbr]quit

FW_B與FW_A的配置相同，請自行配置。

f.配置基于ISP2地址為目的地址的策略路由，引導訪問ISP2的流量從ISP1鏈路轉發(fā)。

[FW_A-policy-pbr]rulenameisp2_pbr
[FW_A-policy-pbr-rule-isp2_pbr]ingress-interfaceGigabitEthernet1/0/3
[FW_A-policy-pbr-rule-isp2_pbr]destination-addressispisp2
[FW_A-policy-pbr-rule-isp2_pbr]actionpbregress-interfacemulti-interface
[FW_A-policy-pbr-rule-isp2_pbr-multi-inter]addinterfaceEth-Trunk2.1weight3
[FW_A-policy-pbr-rule-isp2_pbr-multi-inter]addinterfaceEth-Trunk2.2weight2
[FW_A-policy-pbr-rule-isp2_pbr-multi-inter]modeproportion-of-weight
[FW_A-policy-pbr-rule-isp2_pbr-multi-inter]quit
[FW_A-policy-pbr-rule-isp2_pbr]quit

FW_B與FW_A的配置相同，請自行配置。

5.配置OSPF。

a.在FW_A上配置OSPF，發(fā)布下行接口所在網段。

[FW_A]ospf1
[FW_A-ospf-1]area0
[FW_A-ospf-1-area-0.0.0.0]network10.0.3.00.0.0.255
[FW_A-ospf-1-area-0.0.0.0]network10.0.5.00.0.0.255
[FW_A-ospf-1-area-0.0.0.0]quit
[FW_A-ospf-1]quit

b.在FW_B上配置OSPF，發(fā)布下行接口所在網段。

[FW_B]ospf1
[FW_B-ospf-1]area0
[FW_B-ospf-1-area-0.0.0.0]network10.0.4.00.0.0.255
[FW_B-ospf-1-area-0.0.0.0]network10.0.6.00.0.0.255
[FW_B-ospf-1-area-0.0.0.0]quit
[FW_B-ospf-1]quit

4.3 配置雙機熱備

4.3.1 背景信息

按下圖配置雙機熱備。

雙機熱備

4.3.2 操作步驟

1.在FW_A的上行接口上配置VRRP備份組，并將VRRP備份組狀態(tài)設置為Active。

system-view
[FW_A]interfaceEth-Trunk1.1
[FW_A-Eth-Trunk1.1]vrrpvrid1virtual-ip1.1.1.129active
[FW_A-Eth-Trunk1.1]quit
[FW_A]interfaceEth-Trunk2.1
[FW_A-Eth-Trunk2.1]vrrpvrid2virtual-ip2.2.2.129active
[FW_A-Eth-Trunk2.1]quit
[FW_A]interfaceEth-Trunk1.2
[FW_A-Eth-Trunk1.2]vrrpvrid3virtual-ip1.1.2.129active
[FW_A-Eth-Trunk1.2]quit
[FW_A]interfaceEth-Trunk2.2
[FW_A-Eth-Trunk2.2]vrrpvrid4virtual-ip2.2.3.129active
[FW_A-Eth-Trunk2.2]quit

2.在FW_A上配置VGMP組監(jiān)控下行接口。

[FW_A]hrptrackinterfaceGigabitEthernet1/0/3
[FW_A]hrptrackinterfaceGigabitEthernet1/0/4

3.在FW_A配置根據VGMP狀態(tài)調整OSPF Cost值功能。

[FW_A]hrpadjustospf-costenable

4.在FW_A上開啟搶占功能，并配置搶占延遲時間為300s。

[FW_A]hrppreemptdelay300

5.在FW_A上指定心跳口，并啟用雙機熱備。

[FW_A]hrpinterfaceEth-Trunk0remote10.0.7.2
[FW_A]hrpenable

6.參考上述步驟配置FW_B的雙機熱備功能，不同之處是VRRP備份組狀態(tài)設置為Standby、hrp interface的遠端地址設置為10.0.7.1。

7.配置路由器和交換機。

a.在路由器上配置OSPF，發(fā)布相鄰網段，具體配置命令請參考路由器的相關文檔。

b.在交換機上將三個接口加入同一個VLAN，具體配置命令請參考交換機的相關文檔。

4.3.3 操作結果

至此，雙機熱備關系已經建立，后續(xù)大部分配置都能夠備份。所以在下面的步驟中，我們只需在主用設備FW_A上配置即可（有特殊說明的配置除外）。

4.4 配置源NAT

4.4.1 操作步驟

1.配置NAT地址池pool_isp1_1，并指定地址池類型為NAPT。

HRP_M[FW_A]nataddress-grouppool_isp1_1
HRP_M[FW_A-address-group-pool_isp1_1]modepat
HRP_M[FW_A-address-group-pool_isp1_1]section1.1.1.101.1.1.12
HRP_M[FW_A-address-group-pool_isp1_1]routeenable
HRP_M[FW_A-address-group-pool_isp1_1]quit

route enable命令將會為NAT地址池中的地址生成UNR（User Network Route）路由，該UNR路由的作用與黑洞路由的作用相同，可以防止路由環(huán)路，

2.配置Trust與isp1_1區(qū)域之間的NAT策略，將來自Trust區(qū)域用戶報文的源地址轉換成地址池pool_isp1_1中的地址。

HRP_M[FW_A]nat-policy
HRP_M[FW_A-policy-nat]rulenamepolicy_nat1
HRP_M[FW_A-policy-nat-rule-policy_nat1]source-zonetrust
HRP_M[FW_A-policy-nat-rule-policy_nat1]destination-zoneisp1_1
HRP_M[FW_A-policy-nat-rule-policy_nat1]actionsource-nataddress-grouppool_isp1_1
HRP_M[FW_A-policy-nat-rule-policy_nat1]quit
HRP_M[FW_A-policy-nat]quit

3.配置NAT地址池pool_isp1_2，并指定地址池類型為NAPT。

HRP_M[FW_A]nataddress-grouppool_isp1_2
HRP_M[FW_A-address-group-pool_isp1_2]modepat
HRP_M[FW_A-address-group-pool_isp1_2]section1.1.2.101.1.2.12
HRP_M[FW_A-address-group-pool_isp1_2]routeenable
HRP_M[FW_A-address-group-pool_isp1_2]quit

4.配置Trust與isp1_2區(qū)域之間的NAT策略，將來自Trust區(qū)域用戶報文的源地址轉換成地址池pool_isp1_2中的地址。

HRP_M[FW_A]nat-policy
HRP_M[FW_A-policy-nat]rulenamepolicy_nat2
HRP_M[FW_A-policy-nat-rule-policy_nat2]source-zonetrust
HRP_M[FW_A-policy-nat-rule-policy_nat2]destination-zoneisp1_2
HRP_M[FW_A-policy-nat-rule-policy_nat2]actionsource-nataddress-grouppool_isp1_2
HRP_M[FW_A-policy-nat-rule-policy_nat2]quit
HRP_M[FW_A-policy-nat]quit

5.配置NAT地址池pool_isp2_1，并指定地址池類型為NAPT。

HRP_M[FW_A]nataddress-grouppool_isp2_1
HRP_M[FW_A-address-group-pool_isp2_1]modepat
HRP_M[FW_A-address-group-pool_isp2_1]section2.2.2.102.2.2.12
HRP_M[FW_A-address-group-pool_isp2_1]routeenable
HRP_M[FW_A-address-group-pool_isp2_1]quit

6.配置Trust與isp2_1區(qū)域之間的NAT策略，將來自Trust區(qū)域用戶報文的源地址轉換成地址池pool_isp2_1中的地址。

HRP_M[FW_A]nat-policy
HRP_M[FW_A-policy-nat]rulenamepolicy_nat3
HRP_M[FW_A-policy-nat-rule-policy_nat3]source-zonetrust
HRP_M[FW_A-policy-nat-rule-policy_nat3]destination-zoneisp2_1
HRP_M[FW_A-policy-nat-rule-policy_nat3]actionsource-nataddress-grouppool_isp2_1
HRP_M[FW_A-policy-nat-rule-policy_nat3]quit
HRP_M[FW_A-policy-nat]quit

7.配置NAT地址池pool_isp2_2，并指定地址池類型為NAPT。

HRP_M[FW_A]nataddress-grouppool_isp2_2
HRP_M[FW_A-address-group-pool_isp2_2]modepat
HRP_M[FW_A-address-group-pool_isp2_2]section2.2.3.102.2.3.12
HRP_M[FW_A-address-group-pool_isp2_2]routeenable
HRP_M[FW_A-address-group-pool_isp2_2]quit

8.配置Trust與isp2_2區(qū)域之間的NAT策略，將來自Trust區(qū)域用戶報文的源地址轉換成地址池pool_isp2_2中的地址。

HRP_M[FW_A]nat-policy
HRP_M[FW_A-policy-nat]rulenamepolicy_nat4
HRP_M[FW_A-policy-nat-rule-policy_nat4]source-zonetrust
HRP_M[FW_A-policy-nat-rule-policy_nat4]destination-zoneisp2_2
HRP_M[FW_A-policy-nat-rule-policy_nat4]actionsource-nataddress-grouppool_isp2_2
HRP_M[FW_A-policy-nat-rule-policy_nat4]quit
HRP_M[FW_A-policy-nat]quit

9.配置NAT ALG功能。

HRP_M[FW_A]detectftp

HRP_M[FW_A]detectsip

HRP_M[FW_A]detecth323

HRP_M[FW_A]detectrtsp

HRP_M[FW_A]detectqq

4.5 配置NAT Server和智能DNS

4.5.1 背景信息

智能DNS受內容安全組合License控制，并且通過動態(tài)加載功能加載相應組件包后方可使用。

對于USG9500，智能DNS需要應用安全業(yè)務處理子卡（SPC-APPSEC-FW）在位，否則功能不可用。

4.5.2 操作步驟

1.配置NAT Server。

a.配置NAT Server功能，將Web服務器的私網地址分別映射成供ISP1和ISP2用戶訪問的公網地址。

HRP_M[FW_A]natserverpolicy_web1zoneisp1_1protocoltcpglobal1.1.1.158080inside10.0.10.10www
HRP_M[FW_A]natserverpolicy_web2zoneisp1_2protocoltcpglobal1.1.2.158080inside10.0.10.10www
HRP_M[FW_A]natserverpolicy_web3zoneisp2_1protocoltcpglobal2.2.2.158080inside10.0.10.10www
HRP_M[FW_A]natserverpolicy_web4zoneisp2_2protocoltcpglobal2.2.3.158080inside10.0.10.10www

b.配置NAT Server功能，將FTP服務器的私網地址分別映射成供ISP1和ISP2用戶訪問的公網地址。

HRP_M[FW_A]natserverpolicy_ftp1zoneisp1_1protocoltcpglobal1.1.1.16ftpinside10.0.10.11ftp
HRP_M[FW_A]natserverpolicy_ftp2zoneisp1_2protocoltcpglobal1.1.2.16ftpinside10.0.10.11ftp
HRP_M[FW_A]natserverpolicy_ftp3zoneisp2_1protocoltcpglobal2.2.2.16ftpinside10.0.10.11ftp
HRP_M[FW_A]natserverpolicy_ftp4zoneisp2_2protocoltcpglobal2.2.3.16ftpinside10.0.10.11ftp

c.配置NAT Server功能，將DNS服務器的私網地址分別映射成供ISP1和ISP2用戶訪問的公網地址。

HRP_M[FW_A]natserverpolicy_dns1zoneisp1_1protocoltcpglobal1.1.1.17domaininside10.0.10.20domain
HRP_M[FW_A]natserverpolicy_dns2zoneisp1_2protocoltcpglobal1.1.2.17domaininside10.0.10.20domain
HRP_M[FW_A]natserverpolicy_dns3zoneisp2_1protocoltcpglobal2.2.2.17domaininside10.0.10.20domain
HRP_M[FW_A]natserverpolicy_dns4zoneisp2_2protocoltcpglobal2.2.3.17domaininside10.0.10.20domain

2.配置源進源出功能。

在接口上配置IP地址和網關地址后，才能配置源進源出功能。IP地址和網關地址已經在配置接口和安全區(qū)域和配置智能選路及路由中配置完成。

接口下配置不支持備份，因此需要同時在FW_A和FW_B上配置源進源出功能。

HRP_M[FW_A]interfaceEth-Trunk1.1
HRP_M[FW_A-Eth-Trunk1.1]redirect-reversenext-hop1.1.1.6
HRP_M[FW_A-Eth-Trunk1.1]quit
HRP_M[FW_A]interfaceEth-Trunk2.1
HRP_M[FW_A-Eth-Trunk2.1]redirect-reversenext-hop2.2.2.6
HRP_M[FW_A-Eth-Trunk2.1]quit
HRP_M[FW_A]interfaceEth-Trunk1.2
HRP_M[FW_A-Eth-Trunk1.2]redirect-reversenext-hop1.1.2.6
HRP_M[FW_A-Eth-Trunk1.2]quit
HRP_M[FW_A]interfaceEth-Trunk2.2
HRP_M[FW_A-Eth-Trunk2.2]redirect-reversenext-hop2.2.3.6
HRP_M[FW_A-Eth-Trunk2.2]quit
HRP_S[FW_B]interfaceEth-Trunk1.1
HRP_S[FW_B-Eth-Trunk1.1]redirect-reversenext-hop1.1.1.6
HRP_S[FW_B-Eth-Trunk1.1]quit
HRP_S[FW_B]interfaceEth-Trunk2.1
HRP_S[FW_B-Eth-Trunk2.1]redirect-reversenext-hop2.2.2.6
HRP_S[FW_B-Eth-Trunk2.1]quit
HRP_S[FW_B]interfaceEth-Trunk1.2
HRP_S[FW_B-Eth-Trunk1.2]redirect-reversenext-hop1.1.2.6
HRP_S[FW_B-Eth-Trunk1.2]quit
HRP_S[FW_B]interfaceEth-Trunk2.2
HRP_S[FW_B-Eth-Trunk2.2]redirect-reversenext-hop2.2.3.6
HRP_S[FW_B-Eth-Trunk2.2]quit

3.配置智能DNS。

DNS服務器部署在內網且記錄了Web和FTP服務器域名與公網IP地址的對應關系，此時配置智能DNS功能，確保各個ISP的用戶訪問內網服務器時，都能夠解析到自己ISP為服務器分配的地址，從而提高訪問速度。例如使ISP1的用戶訪問內網的Web服務器10.0.10.10時，能夠解析到服務器的ISP1地址1.1.1.15， ISP2的用戶訪問內網的Web服務器10.0.10.10時，能夠解析到服務器的ISP2地址2.2.2.15。

HRP_M[FW_A]dns-smartenable
HRP_M[FW_A]dns-smartgroup1typemulti
HRP_M[FW_A-dns-smart-group-1]out-interfaceEth-Trunk1.1map1.1.1.15
HRP_M[FW_A-dns-smart-group-1]out-interfaceEth-Trunk2.1map2.2.2.15
HRP_M[FW_A-dns-smart-group-1]out-interfaceEth-Trunk1.2map1.1.2.15
HRP_M[FW_A-dns-smart-group-1]out-interfaceEth-Trunk2.2map2.2.3.15
HRP_M[FW_A-dns-smart-group-1]quit
HRP_M[FW_A]dns-smartgroup2typemulti
HRP_M[FW_A-dns-smart-group-2]out-interfaceEth-Trunk1.1map1.1.1.16
HRP_M[FW_A-dns-smart-group-2]out-interfaceEth-Trunk2.1map2.2.2.16
HRP_M[FW_A-dns-smart-group-2]out-interfaceEth-Trunk1.2map1.1.2.16
HRP_M[FW_A-dns-smart-group-2]out-interfaceEth-Trunk2.2map2.2.3.16
HRP_M[FW_A-dns-smart-group-2]quit

4.配置NAT Server公網地址的黑洞路由，避免防火墻與ISP路由器之間產生路由環(huán)路。

路由配置不支持備份，因此需要同時在FW_A和FW_B上配置。

HRP_M[FW_A]iproute-static1.1.1.1532NULL0
HRP_M[FW_A]iproute-static1.1.1.1632NULL0
HRP_M[FW_A]iproute-static1.1.1.1732NULL0
HRP_M[FW_A]iproute-static2.2.2.1532NULL0
HRP_M[FW_A]iproute-static2.2.2.1632NULL0
HRP_M[FW_A]iproute-static2.2.2.1732NULL0
HRP_M[FW_A]iproute-static1.1.2.1532NULL0
HRP_M[FW_A]iproute-static1.1.2.1632NULL0
HRP_M[FW_A]iproute-static1.1.2.1732NULL0
HRP_M[FW_A]iproute-static2.2.3.1532NULL0
HRP_M[FW_A]iproute-static2.2.3.1632NULL0
HRP_M[FW_A]iproute-static2.2.3.1732NULL0
HRP_S[FW_B]iproute-static1.1.1.1532NULL0
HRP_S[FW_B]iproute-static1.1.1.1632NULL0
HRP_S[FW_B]iproute-static1.1.1.1732NULL0
HRP_S[FW_B]iproute-static2.2.2.1532NULL0
HRP_S[FW_B]iproute-static2.2.2.1632NULL0
HRP_S[FW_B]iproute-static2.2.2.1732NULL0
HRP_S[FW_B]iproute-static1.1.2.1532NULL0
HRP_S[FW_B]iproute-static1.1.2.1632NULL0
HRP_S[FW_B]iproute-static1.1.2.1732NULL0
HRP_S[FW_B]iproute-static2.2.3.1532NULL0
HRP_S[FW_B]iproute-static2.2.3.1632NULL0
HRP_S[FW_B]iproute-static2.2.3.1732NULL0

4.6 配置安全策略及安全防護

4.6.1 操作步驟

1.配置Trust區(qū)域到isp1_1、isp1_2區(qū)域的安全策略，允許內網用戶通過ISP1訪問Internet，并進行入侵防御檢測。

HRP_M[FW_A]security-policy
HRP_M[FW_A-policy-security]rulenametrust_to_isp1
HRP_M[FW_A-policy-security-rule-trust_to_isp1]source-zonetrust
HRP_M[FW_A-policy-security-rule-trust_to_isp1]destination-zoneisp1_1isp1_2
HRP_M[FW_A-policy-security-rule-trust_to_isp1]profileipsdefault
HRP_M[FW_A-policy-security-rule-trust_to_isp1]actionpermit
HRP_M[FW_A-policy-security-rule-trust_to_isp1]quit

2.配置Trust區(qū)域到isp2_1、isp2_2區(qū)域的安全策略，允許內網用戶通過ISP2訪問Internet，并進行入侵防御檢測。

HRP_M[FW_A-policy-security]rulenametrust_to_isp2
HRP_M[FW_A-policy-security-rule-trust_to_isp2]source-zonetrust
HRP_M[FW_A-policy-security-rule-trust_to_isp2]destination-zoneisp2_1isp2_2
HRP_M[FW_A-policy-security-rule-trust_to_isp2]profileipsdefault
HRP_M[FW_A-policy-security-rule-trust_to_isp2]actionpermit
HRP_M[FW_A-policy-security-rule-trust_to_isp2]quit

3.配置isp1_1、isp1_2區(qū)域到DMZ區(qū)域的安全策略，允許外網用戶通過ISP1鏈路訪問DMZ區(qū)域的Web服務器、FTP服務器和DNS服務器，并進行入侵防御檢測。

HRP_M[FW_A-policy-security]rulenameisp1_to_http
HRP_M[FW_A-policy-security-rule-isp1_to_http]source-zoneisp1_1isp1_2
HRP_M[FW_A-policy-security-rule-isp1_to_http]destination-zonedmz
HRP_M[FW_A-policy-security-rule-isp1_to_http]destination-address10.0.10.1024
HRP_M[FW_A-policy-security-rule-isp1_to_http]servicehttp
HRP_M[FW_A-policy-security-rule-isp1_to_http]profileipsdefault
HRP_M[FW_A-policy-security-rule-isp1_to_http]actionpermit
HRP_M[FW_A-policy-security-rule-isp1_to_http]quit
HRP_M[FW_A-policy-security]rulenameisp1_to_ftp
HRP_M[FW_A-policy-security-rule-isp1_to_ftp]source-zoneisp1_1isp1_2
HRP_M[FW_A-policy-security-rule-isp1_to_ftp]destination-zonedmz
HRP_M[FW_A-policy-security-rule-isp1_to_ftp]destination-address10.0.10.1124
HRP_M[FW_A-policy-security-rule-isp1_to_ftp]serviceftp
HRP_M[FW_A-policy-security-rule-isp1_to_ftp]profileipsdefault
HRP_M[FW_A-policy-security-rule-isp1_to_ftp]actionpermit
HRP_M[FW_A-policy-security-rule-isp1_to_ftp]quit
HRP_M[FW_A-policy-security]rulenameisp1_to_dns
HRP_M[FW_A-policy-security-rule-isp1_to_dns]source-zoneisp1_1isp1_2
HRP_M[FW_A-policy-security-rule-isp1_to_dns]destination-zonedmz
HRP_M[FW_A-policy-security-rule-isp1_to_dns]destination-address10.0.10.2024
HRP_M[FW_A-policy-security-rule-isp1_to_dns]servicedns
HRP_M[FW_A-policy-security-rule-isp1_to_dns]profileipsdefault
HRP_M[FW_A-policy-security-rule-isp1_to_dns]actionpermit
HRP_M[FW_A-policy-security-rule-isp1_to_dns]quit

4.配置isp2_1、isp2_2區(qū)域到DMZ區(qū)域的安全策略，允許外網用戶通過ISP2鏈路訪問DMZ區(qū)域的Web服務器、FTP服務器和DNS服務器，并進行入侵防御檢測。

HRP_M[FW_A-policy-security]rulenameisp2_to_http
HRP_M[FW_A-policy-security-rule-isp2_to_http]source-zoneisp2_1isp2_2
HRP_M[FW_A-policy-security-rule-isp2_to_http]destination-zonedmz
HRP_M[FW_A-policy-security-rule-isp2_to_http]destination-address10.0.10.1024
HRP_M[FW_A-policy-security-rule-isp2_to_http]servicehttp
HRP_M[FW_A-policy-security-rule-isp2_to_http]profileipsdefault
HRP_M[FW_A-policy-security-rule-isp2_to_http]actionpermit
HRP_M[FW_A-policy-security-rule-isp2_to_http]quit
HRP_M[FW_A-policy-security]rulenameisp2_to_ftp
HRP_M[FW_A-policy-security-rule-isp2_to_ftp]source-zoneisp2_1isp2_2
HRP_M[FW_A-policy-security-rule-isp2_to_ftp]destination-zonedmz
HRP_M[FW_A-policy-security-rule-isp2_to_ftp]destination-address10.0.10.1124
HRP_M[FW_A-policy-security-rule-isp2_to_ftp]serviceftp
HRP_M[FW_A-policy-security-rule-isp2_to_ftp]profileipsdefault
HRP_M[FW_A-policy-security-rule-isp2_to_ftp]actionpermit
HRP_M[FW_A-policy-security-rule-isp2_to_ftp]quit
HRP_M[FW_A-policy-security]rulenameisp1_to_dns
HRP_M[FW_A-policy-security-rule-isp2_to_dns]source-zoneisp2_1isp2_2
HRP_M[FW_A-policy-security-rule-isp2_to_dns]destination-zonedmz
HRP_M[FW_A-policy-security-rule-isp2_to_dns]destination-address10.0.10.2024
HRP_M[FW_A-policy-security-rule-isp2_to_dns]servicedns
HRP_M[FW_A-policy-security-rule-isp2_to_dns]profileipsdefault
HRP_M[FW_A-policy-security-rule-isp2_to_dns]actionpermit
HRP_M[FW_A-policy-security-rule-isp2_to_dns]quit

5.配置Trust區(qū)域到DMZ區(qū)域的安全策略，允許內網用戶訪問DMZ區(qū)域的Web服務器、FTP服務器和DNS服務器，并進行入侵防御檢測。

HRP_M[FW_A-policy-security]rulenametrust_to_http
HRP_M[FW_A-policy-security-rule-trust_to_http]source-zonetrust
HRP_M[FW_A-policy-security-rule-trust_to_http]destination-zonedmz
HRP_M[FW_A-policy-security-rule-trust_to_http]destination-address10.0.10.1024
HRP_M[FW_A-policy-security-rule-trust_to_http]servicehttp
HRP_M[FW_A-policy-security-rule-trust_to_http]profileipsdefault
HRP_M[FW_A-policy-security-rule-trust_to_http]actionpermit
HRP_M[FW_A-policy-security-rule-trust_to_http]quit
HRP_M[FW_A-policy-security]rulenametrust_to_ftp
HRP_M[FW_A-policy-security-rule-trust_to_ftp]source-zonetrust
HRP_M[FW_A-policy-security-rule-trust_to_ftp]destination-zonedmz
HRP_M[FW_A-policy-security-rule-trust_to_ftp]destination-address10.0.10.1124
HRP_M[FW_A-policy-security-rule-trust_to_ftp]serviceftp
HRP_M[FW_A-policy-security-rule-trust_to_ftp]profileipsdefault
HRP_M[FW_A-policy-security-rule-trust_to_ftp]actionpermit
HRP_M[FW_A-policy-security-rule-trust_to_ftp]quit
HRP_M[FW_A-policy-security]rulenametrust_to_dns
HRP_M[FW_A-policy-security-rule-trust_to_dns]source-zonetrust
HRP_M[FW_A-policy-security-rule-trust_to_dns]destination-zonedmz
HRP_M[FW_A-policy-security-rule-trust_to_dns]destination-address10.0.10.2024
HRP_M[FW_A-policy-security-rule-trust_to_dns]servicedns
HRP_M[FW_A-policy-security-rule-trust_to_dns]profileipsdefault
HRP_M[FW_A-policy-security-rule-trust_to_dns]actionpermit
HRP_M[FW_A-policy-security-rule-trust_to_dns]quit

6.配置Local到DMZ區(qū)域的安全策略，允許防火墻向與日志服務器發(fā)送日志。

HRP_M[FW_A-policy-security]rulenamelocal_to_logcenter
HRP_M[FW_A-policy-security-rule-local_to_logcenter]source-zonelocal
HRP_M[FW_A-policy-security-rule-local_to_logcenter]destination-zonedmz
HRP_M[FW_A-policy-security-rule-local_to_logcenter]destination-address10.0.10.3024
HRP_M[FW_A-policy-security-rule-local_to_logcenter]actionpermit
HRP_M[FW_A-policy-security-rule-local_to_logcenter]quit

7.配置Local到isp1和isp2區(qū)域的安全策略，允許FW連接安全中心升級特征庫、發(fā)送健康檢查報文。

HRP_M[FW_A-policy-security]rulenamelocal_to_isp
HRP_M[FW_A-policy-security-rule-local_to_isp]source-zonelocal
HRP_M[FW_A-policy-security-rule-local_to_isp]destination-zoneisp1_1isp1_2isp2_1isp2_2
HRP_M[FW_A-policy-security-rule-local_to_isp]actionpermit
HRP_M[FW_A-policy-security-rule-local_to_isp]quit
HRP_M[FW_A-policy-security]quit

對于USG6000&USG9500 V500R001C80之前的版本，需要在FW上配置對應的安全策略，允許FW向目的設備發(fā)送健康檢查探測報文。對于V500R001C80及之后的版本，健康檢查的探測報文不受安全策略控制，默認放行，無需配置相應安全策略。

8.入侵防御特征庫和應用識別特征庫自動升級。

a.確保防火墻已經激活支持入侵防御特征庫升級服務器的License。

HRP_M[FW_A]displaylicense
IPS:Enabled;serviceexpiretime:2015/06/12

b.配置DNS服務器，使防火墻能通過域名訪問安全中心。

HRP_M[FW_A]dnsresolve
HRP_M[FW_A]dnsserver1.1.1.222

c.配置特征庫定時自動升級。

HRP_M[FW_A]updatescheduleips-sdbenable
HRP_M[FW_A]updateschedulesa-sdbenable
HRP_M[FW_A]updatescheduleips-sdbdaily03:00
HRP_M[FW_A]updateschedulesa-sdbweeklyMon03:00

9.配置攻擊防范。

HRP_M[FW_A]firewalldefendlandenable
HRP_M[FW_A]firewalldefendsmurfenable
HRP_M[FW_A]firewalldefendfraggleenable
HRP_M[FW_A]firewalldefendip-fragmentenable
HRP_M[FW_A]firewalldefendtcp-flagenable
HRP_M[FW_A]firewalldefendwinnukeenable
HRP_M[FW_A]firewalldefendsource-routeenable
HRP_M[FW_A]firewalldefendteardropenable
HRP_M[FW_A]firewalldefendroute-recordenable
HRP_M[FW_A]firewalldefendtime-stampenable
HRP_M[FW_A]firewalldefendping-of-deathenable

4.7 配置用戶溯源

4.7.1 背景信息

防火墻向eLog發(fā)送二進制會話日志、IM日志，eLog采集并存儲、分析日志。根據這些日志可以獲取用戶NAT前的原始IP、IM上下線記錄等滿足審需求。

4.7.2 操作步驟

1.在FW_A上配置日志主機。

HRP_M[FW_A]firewallloghost110.0.10.309002
HRP_M[FW_A]firewalllogsource10.0.5.16000

2.在FW_A的安全策略中開啟會話日志功能記錄功能。

HRP_M[FW_A]security-policy
HRP_M[FW_A-policy-security]rulenametrust_to_isp1
HRP_M[FW_A-policy-security-rule-trust_to_isp1]sessionlogging
HRP_M[FW_A-policy-security-rule-trust_to_isp1]quit
HRP_M[FW_A-policy-security]rulenametrust_to_isp2
HRP_M[FW_A-policy-security-rule-trust_to_isp2]sessionlogging
HRP_M[FW_A-policy-security-rule-trust_to_isp2]quit
HRP_M[FW_A-policy-security]quit

3.在FW_A上開啟IM日志發(fā)送功能。

HRP_M[FW_A]firewalllogimenable

4.在FW_B上配置向日志主機發(fā)送日志的源IP和端口，此配置不支持備份。

HRP_S[FW_B]firewalllogsource10.0.6.16000

5.在FW_A上配置SNMP V3。

HRP_M[FW_A]snmp-agentsys-infoversionv3
HRP_M[FW_A]snmp-agentgroupv3NMS1privacy
HRP_M[FW_A]snmp-agentusm-userv3admin1groupNMS1
HRP_M[FW_A]snmp-agentusm-userv3admin1authentication-modemd5cipherAdmin@123abcdefg1234567890abccba10
HRP_M[FW_A]snmp-agentusm-userv3admin1privacy-modeaes256cipherAdmin@123abcdefg1234567890abccba10

6.在FW_B上配置SNMP V3，此配置不支持備份。

HRP_S[FW_B]snmp-agentsys-infoversionv3
HRP_S[FW_B]snmp-agentgroupv3NMS1privacy
HRP_S[FW_B]snmp-agentusm-userv3admin1groupNMS1
HRP_S[FW_B]snmp-agentusm-userv3admin1authentication-modemd5cipherAdmin@123abcdefg1234567890abccba10
HRP_S[FW_B]snmp-agentusm-userv3admin1privacy-modeaes256cipherAdmin@123abcdefg1234567890abccba10

7.eLog配置完成后，在eLog上選擇“日志分析 > 會話分析 > IPv4會話日志”，可以查看會話日志。選擇“日志分析 > 網絡安全分析 > 即時通信”，可以查看IM日志。

4.8 查看流量統計

4.8.1 操作步驟

1.登錄Web配置界面。

2.在面板中查看接口或整機流量趨勢。

3.對于USG6000，如果安裝有硬盤還可以選擇“監(jiān)控 > 報表 > 流量報表”查看流量報表?？梢曰诘刂?、應用等查詢流量趨勢。

4.9 結果驗證

內網用戶可以正常訪問Internet。

外網用戶可以通過公網IP訪問內網服務器。

eLog可以獲取防火墻會話日志。

在主防火墻的接口GigabitEthernet 1/0/1上執(zhí)行shutdown命令，模擬鏈路故障，發(fā)現主備正常倒換，業(yè)務不會中斷。

五、方案總結與建議

5.1 方案總結

本案例介紹了防火墻部署在廣電網絡出口的組網規(guī)劃及部署，實際可以根據需求選擇配置的功能。該方案有如下幾點總結：

網絡部署上采取了雙機熱備部署方式，上行連接交換機部署VRRP，下行連接路由器運行OSPF。實際還可能上行也部署出口路由器運行OSPF。本案例中的部署方式尤其注意防火墻上行接口需規(guī)劃公網地址，否則無法指定接口網關。

多出口智能選路是廣電出口的重要需求，本例通過如下方式實現需求：

出站：本例通過多出口策略路由實現了兩個需求，目的地址屬于哪個ISP就從哪條鏈路轉發(fā)、屬于同一個ISP的流量在該ISP的多條鏈路間按權重負載分擔。

入站：配置NAT Server向不同ISP公布不同的服務器公網IP地址。同時如果為服務器提供域名解析的DNS服務器部署在內網，防火墻還提供了智能DNS功能使各ISP的外網用戶能夠解析到自己ISP為服務器分配的地址，從而提高訪問服務器的速度。

5.2 其他配置建議

本例中使用了最常用的NAPT進行地址轉換，如果網絡中P2P流量較多可以選擇配置三元組NAT節(jié)省二級運營商的運營資費。

文件共享、語音通信、視頻等P2P應用的實現原理都是先從服務器獲取對端的IP和端口，然后直接與對方建立連接。此時NAPT與P2P不能很好地共存。

例如：內網PC1首先和外網的P2P服務器進行交互（登錄、認證等操作），防火墻會對PC1訪問P2P服務器的報文進行NAPT方式的轉換，P2P服務器記錄PC1經過轉換后的公網地址和端口。當PC2需要下載文件時，服務器會將PC1的地址和端口發(fā)給PC2，然后PC2從PC1上下載文件。但是因為PC2訪問PC1無法匹配會話表而被防火墻拒絕訪問，PC2就只能再向其他主機請求資源文件。

這樣如果PC1和PC2都位于內網，PC2卻只能向外網主機請求資源文件。這樣當有大量的內網用戶進行P2P下載時，這種業(yè)務就會占用很多運營商帶寬，而且浪費了二級運營商的流量資費。同時，對于跨網絡訪問，用戶的下載體驗也不佳。

三元組NAT可以解決此問題，無論PC1是否訪問過PC2，只要PC2獲取到PC1經過NAT轉換后的地址和端口，就可以主動向該地址和端口發(fā)起訪問。防火墻上即使沒有配置相應的安全策略，也允許此類訪問報文通過。兩臺內網PC可以不通過外網直接進行P2P下載，節(jié)約了二級運營商的流量資費。

三元組NAT配置與NAPT配置差異不大，只是指定地址池類型為full-cone類型。

HRP_M[FW_A]nataddress-grouppool_isp1
HRP_M[FW_A-address-group-pool_isp1]modefull-coneglobal
HRP_M[FW_A-address-group-pool_isp1]section1.1.1.101.1.1.12
HRP_M[FW_A-address-group-isp1]quit

對于USG9500配置三元組NAT前，必須保證HASH選板模式為源地址HASH模式。具體的配置命令如下：

[FW]firewallhash-modesource-only

配置完成后需要重新啟動設備才能生效。