华为企业级防火墙在企业园区出口安全方案中的应用.pdf

华为企业级防火墙在企业园区出口安全方案

中的应用

华为防火墙在企业园区出口安全方案中的应

用

本案例介绍了如何将设备作为大中型企业的出口网关，来对企业的网络安全进行防护。案

例描述了设备最常用的场景和特性，可以供管理员在规划和组建企业网络时参考。

基于USG6000USG9500V500R005C00版本写作，可供USG6000USG9500V500R005C00、

USG6000EV600R006C00及后续版本参考。不同版本之间可能存在差异，请以实际版本为

准。

方案简介

企业园区网简介

企业园区网是指企业或者机构的内部网络，路由结构完全由一个机构来管理，与广域互联、

数据中心相关，合作伙伴或者出差员工、访客等通过VPN、WAN或者Internet访问企业内

部。

企业园区网通常是一种用户高密度的非运营网络，在有限的空间内聚集了大量的终端和用

户。同时对于企业园区网而言，注重的是网络的简单可靠、易部署、易维护。因此在企业园

区网中，拓扑结构通常以星型结构为主，较少使用环网结构（环网结构较多的运用在运营商

的城域网络和骨干网络中，可以节约光纤资源）。

企业网络架构如图5-1所示，数据从内网用户到达Internet，需要经过三层汇聚交换机、

三层核心交换机以及网关设备接入Internet。

企业内部员工按照负责业务类型不同，被划分在多个不同部门。在保证企业内网用户能正常

访问Internet并不被外网恶意流量攻击的基础上，还要对不同部门员工的上网权限和流量

进行限制。同时，还要保证分支机构员工和出差员工能有正常访问总部网络以便业务交流和

资源共享。

图5-1企业网络组网图

•接入层

负责将各种终端接入到园区网络，通常由以太网交换机组成。对于某些终端，可能还要增加

特定的接入设备，例如无线接入的AP设备、POTS话机接入的IAD等。

•汇聚层

汇聚层将众多的接入设备和大量用户经过一次汇聚后再接入到核心层，扩展核心层接入用户

的数量。

•核心层

核心层负责整个企业园区网的高速互联，一般不部署具体的业务。核心网络需要实现带宽的

高利用率和故障的快速收敛。

•企业园区出口

企业园区出口是企业园区网络到外部公网的边界，企业园区网的内部用户通过边缘网络接入

到公网，外部用户（包括客户、合作伙伴、分支机构、远程用户等）也通过边缘网络接入到

内部网络。

•数据中心

部署服务器和应用系统的区域。为企业内部和外部用户提供数据和应用服务。

•网管中心

对网络、服务器、应用系统进行管理的区域。包括故障管理，配置管理，性能管理，安全管

理等。

FW在企业园区出口的应用

FW通常作为企业园区网出口的网关，常用特性如下：

•双机热备

为提升网络可靠性，可在企业网络出口部署两台FW构成双机热备的组网。当一台FW所在链

路出现问题，企业网络流量可被切换至备用FW，保证企业内外部的正常通信。

•NAT

由于IPv4公网地址资源有限，企业内网用户在企业内网分配的一般是私网地址，很少会直

接分配公网地址，当企业内网用户访问Internet时需要进行地址转换。FW部署在企业内网

的Internet出口可提供NAT功能。

•安全防护

FW可提供攻击防范功能，保护企业网络免受外网恶意流量攻击。

•内容安全

FW可提供入侵防御、反病毒以及URL过滤等安全功能，为企业网络内部提供绿色的网络环

境。

•带宽管理

FW可提供带宽管理功能，按照应用或用户等识别流量并针对不同流量进行控制。

方案设计

典型组网

接入Internet时，企业的网络环境在访问控制、安全防护、出口带宽管理等方面面临诸多

问题。在企业的出口部署FW，可以帮助企业解决这些问题，保证业务正常运行。

如图5-2所示，某企业分别向两个ISP租用了两条10G链路，为企业网用户提供宽带上网服

务。该企业还在服务器区部署了服务器，为内外网用户提供访问。

企业网的Internet出口处部署了两台FW作为出口网关链接企业园区内外部网络并为保护企

业内部网络的安全。两台防火墙的上行接口通过出口汇聚交换机与两个ISP相连，下行接口

通过三层核心交换机与企业内网和服务器区的交换机相连。

图5-2企业出口安全防护组网图