NS防火墙部署方案介绍.ppt

NS防火墙部署方案介绍 TRUNK透传-透明模式 内网访问控制 Multi zone-A/P 动态路由环境 透明模式－A/P 动态路由- A/A A/A－静态路由环境 A/P-静态路由 A/A-静态路由 动态非对称路由- A/A 配置示例 set nsrp cluster id 1 set nsrp rto-mirror sync set nsrp rto-mirror session non-vsi unset nsrp vsd-group id 0 unset nsrp config sync Set arp always-on-dest 防火墙部署建议 Base policy比base route方式有很大灵活性，建议部署base policy nat和base policy vpn。 路由模式比透明模式具有更广泛的使用范围和部署经验。 A/A模式对网络整体结构提出更多要求。 银行客户最广泛的部署模式：A/P Layer3 口型或fullmesh结构 NS FW可满足绝大部分企业网络环境下的部署需求。 * Copyright ? 2005 Juniper Networks, Inc. Proprietary and Confidential Copyright ? 2005 Juniper Networks, Inc. Proprietary and Confidential * VLAN2/3 ROUTER SW VLAN4/5 SW FW FW Trunk Trunk Trunk Trunk VLAN2 ROUTER SW VLAN3 FW SW Trunk Trunk Trunk /24 /24 透明模式支持VLAN透传 VLAN需终结于FW VLAN3用户 vlan2用户 Firewall /24 VLAN 2 Cisco 3550 应用1 聚合端口+中继端口 Trust zone:Vlan2.gw /24 Untrust zone:Vlan3.gw /24 VLAN 3 Vlan4.gw /24 /24 /24 Vlan5.gw /24 VLAN5 /24 VLAN4 应用2 方案优势： 细粒度访问控制 灵活访问控制 总体拥有成本低 互连VLAN:Vlan10 /30 NS-A-L2/L3 NS-B-L2/L3 Switch-BB 应用1 应用2 Switch-AA Intranet Untrust Trust DMZ Switch-B Switch-A Server R-B R-A S-BB S-AA OSPF OSPF OSPF OSPF Intranet FW-L2 Router-B Router-A ospf ospf HA heartbeat Intranet ibgp Server Switch-A Switch-B ospf FW-L2 Firewall-A Router-B Router-A ospf ospf ospf ospf ospf HA heartbeat Intranet ebgp ebgp Firewall-B ibgp Server Switch-A Switch-B ospf NS-A NS-B Intra-RtrA L3 switch Inter-RtrB Inter-RtrA Intra-RtrB L3 switch LAN ospf HA L2 switch L2 switch hsrp/vrrp Intranet hsrp/vrrp Server NS-A-L3 NS-B-L3 Switch-B Switch-A Switch-BB Switch-AA Intranet Server NS-A-L3 NS-B-L3 S/R-B S/R-A S/R-BB S/R-AA Intranet Firewall-A L3 Switch Router-B Router-A ospf ospf ospf ospf ospf HA heartbeat ebgp ebgp Server Firewall-B ibgp 随着信息技术的飞速发展，病毒、蠕虫、木马等攻击手段越来越复杂，P2P软件愈加成熟，导致网络的边界正在逐渐模糊，信任区域正逐渐消失，防火墙的部署也出现大量新的需求，从原来的部署在网络边界，到企业开始逐步细化内网安全，电信运营商则开始在城域网部署防火墙和IDP模块，以期增强网络的安全性和可控性。 很多企业用户受技术力量所限，在部署防火墙时不希望调整组网结构，也不希望带来防火墙以外的额外采购。而是希望在现有网络基础上将防火墙集成进来，这样就需要防火墙能够适应不同网络环境。文档将对NS防火墙的部署方案和组网模式做一