雙防火墻下構建專用商務網站

    筆者所在公司網絡為自建局域網，既承擔集團公司生產、財務、物流等各業務系統的運行，又提供辦公人員訪問互聯網的業務。整個網絡主要由集團公司總部網絡和分系統或區域的分支網絡組成。集團公司總部網絡對內為員工提供了一個企業內部生產、辦公、交流的平臺，對外為員工提供訪問互聯網的業務。

    集團公司總部網絡的拓撲連接主要為ISP 服務商→防火墻→內部網絡。其中，在防火墻的DMZ 區域放著公司的重要服務器，如集團公司電子商務網站、電子郵局、人力資源外部網站等。

    本文中涉及的物流網絡為分支網絡，但為了保證其業務的安全性，該分支網絡要求規劃成為一個構建在防火墻基礎上的專用網絡。物流系統數據庫服務器及數據庫備份服務器、應用服務器及其商務網站等重要服務器，同樣被規劃在其防火墻的DMZ 區域。

    本文將介紹雙防火墻下構建專用商務網站的方法。

    架設防火墻的目的

    本案例中架設防火墻的目的有兩個：

    第一，防火墻允許網絡管理人員有中心、有重點地規劃網絡，從而防止跨越權限的數據訪問及非授權用戶進入內部網絡。通過借助防火墻的3 個安全區域，使用戶的網絡規劃清晰明了，使網管人員可以很方便地監視網絡的安全情況，并按需要及時調整安全訪問策略或規則。

    第二，通過在防火墻上部署NAT（Network AddressTranslation，網絡地址變換），利用NAT 技術將有限的外部IP 地址靜態地址與內部的IP 地址對應起來，一方面可以緩解集團公司公網地址空間短缺的問題，另一方面可以提高網絡中被保護資源的安全性。

    總部網絡拓撲概述

    集團公司內部網絡被防火墻分隔為3 個不同安全級別的安全域，即inside、DMZ、outside 域。其中，inside內網區域是大多數員工所在的集團公司總部網；DMZ 區域專門用于存放集團公司涉外業務，如商務、電子郵局、人力資源等；outside 外網區域，即互聯網區域。其安全等級從高到低依次為內網區域100、DMZ 區域50、外網區域0。

    規劃物流系統網絡并進行拓撲連接

    1. 規劃物流系統分支網絡。

    在此需要明確的設計需求是：該分支網絡的中心或者重點是物流系統各服務器，如物流應用系統、數據庫、數據備份服務器等。其使用人員為物資分公司的員工，物流商務網站服務器用于在互聯網上發布或收集相關信息。由此，圍繞防火墻設計其網絡連接：通過Cisco ASA 5550 防火墻的3 個不同端口，構建3個不同安全級別的安全域（inside、DMZ、outside 域）。其安全等級從高到低依次為inside 域100、DMZ 域50、outside 域0。inside 內網區域，用于連接數據庫、數據備份、物流應用系統服務器等；DMZ 區域， 放置物流商務網站；outside 外網區域， 由物流系統用戶組成。

    在這里，服務器的安全等級最高，其目的是保護物流系統核心資源必須是授權訪問，并減少來自外部的攻擊。如圖1 所示中的“物流分支網絡”部分。

    2. 將物流虛擬網連入集團公司網絡，并使其能實現所需功能

    物流虛擬網與集團總部網絡的拓撲規劃及連接如圖1所示。由圖可見，從集團公司總部網絡的核心路由器分出兩路連接，一路用于物流系統用戶的接入，另一路用于連接物流系統防火墻。同時, 為了實現物流商務網站內外通的功能，還需要在物流商務網站服務器與集團公司總部防火墻的DMZ 區之間再加一條連接，如圖1 中的粗虛線所示。

    圖1 總部網絡拓撲圖

    這樣，物流商務網站可以通過在集團公司防火墻上做相應地址轉換而實現內外通功能。

    配置物流系統防火墻

    針對物流系統用戶及合作伙伴的流動性及網絡擴展性強的要求，物流系統防火墻選用了Cisco ASA 5550 自適應安全設備，它能夠隨著企業網絡安全要求的增長而不斷擴展，具有更高的投資保護能力和更出色的服務可擴展性。

    企業可擴展其SSL 和IPsec VPN 容量，以支持大量移動員工、遠程站點和業務合作伙伴。通過安裝SSL VPN 升級許可，可在每個Cisco ASA 5550 上擴展支持多達5000個SSL VPN peer，基礎平臺最多可支持5000 個IPsec VPNpeer。通過使用Cisco ASA 5550 的集成VPN 集群和負載平衡能力，VPN 容量和永續性還可以進一步提高。

    下面簡述在Cisco ASA 5550 防火墻上配置物流商務網站的步驟。

    1. 配置防火墻

    配置防火墻上相應的inside、DMZ、outside 端口地址及其安全級別：建議把inside 和outside 端口放在不同槽板上，這種部署吞吐量大。

    下面配置G0/0 口為防火墻的內網口，IP 地址為10.20.100. 1/24，安全級別為100 ：

    interface GigabitEthernet 0/0 
    nameif inside 
    security-level 100 
    ip address 10.20.100.1 255.255.255.0

    配置G0/3 口為防火墻的DMZ 口，IP 地址為10.20.40.1/24，安全級別為50 ：

    interface GigabitEthernet 0/3 
    nameif dmz 
    security-level 50 
    ip address 10.20.40.1 255.255.255.0

    配置G1/0 口為防火墻的外網口，IP 地址為192.168.212.2/22，安全級別為0 ：

    interface GigabitEthernet 1/0 
    nameif outside 
    security-level 0 
    ip address 192.168.212.2 255.255. 
    255.0

    2. 配置路由

    在物流系統防火墻內網口inside 下連的交換機中，還劃分了10.20.10.0/24 子網，物流系統服務器的IP 地址被規劃在這個網段，因此要為這些網段添加通過內網口訪問的靜態路由，還需要添加通過防火墻外網口outside 訪問的物流系統用戶所在的192.168.212.1/22 網段的路由。

    在ASA 5550 防火墻上添加下面兩條靜態路由：

    route inside 10.20.10.0 255.255. 
    255.0 10.20.100.1 1 
    route outside 0.0.0.0 0.0.0.0 192. 
    168.212.1 1

    上面兩條路由，第一條用于訪問防火墻內部的服務器，第二條用于訪問防火墻外部用戶。

    3. 配置該服務器網卡

    電子商務服務器被連接在了ASA 防火墻的DMZ 區域，網卡配置為10.100.40.2/24，另一塊網卡連接到互聯網出口防火墻的DMZ 區域，網卡配置為11.11.11.11/24，網關為11.11. 11.1，DNS 服務器IP 地址為202.99.160.68。

    4. 做電子商務服務器NAT

    做DMZ-outside 的靜態NAT ：

    static (dmz,outside) 192.168.212.20 
    10.20.40.2 netmask 255.255.255.255

    做DMZ-inside 的靜態NAT ：

    static (dmz,inside) 10.20.100.100 
    10.20.40.2 netmask 255.255.255.255

    上面這兩條靜態地址轉換的目的是讓防火墻外部用戶通過地址192.168.212.20 訪問，而防火墻內部通過地址10.20.100.100 訪問。

    5. 配置security policy (ACL) 及訪問規則

    首先，創建電子商務所需的服務，服務名稱為ebusiness：

    object-group service ebusiness tcp 
    port-object range 2030 2030 
    port-object range 3389 3389 
    port-object eq https 
    port-object eq www 
    port-object range sqlnet sqlnet

    其次，創建從外網訪問它的規則：

    a c c e s s - l i s t o u t s i d e _ a c c e s s _ 
    in extended permit tcp any host 
    192.168.212.20 object-group ebusiness

    為了測試方便，還加了一條訪問規則，允許從外網對它進行Ping ：

    a c c e s s - l i s t o u t s i d e _ a c c e s s _ 
    in extended permit icmp any host 
    192.168.212.20

    6. 配置出口防火墻

    配置企業互聯網出口防火墻，建立該服務器在公網的映射，以便用戶的訪問。

    集團公司出口防火墻選用了FortiGate-310B 設備。這款設備包括很高級別的端口密度，10 個千兆以太端口；雙WAN 鏈接，支持冗余的互聯網連接，集成了一個4 個端口的交換機，無須使用外接的Hub 或交換機，使得聯網的設備直接連接到防火墻上。FortiASIC 網絡處理器可實現最高8Gbps 和6Gbps 的FW/IPSec VPN 吞吐量。

    edit "VI_229_1" 
    set extip 61.240.133.13 
    set extintf "port7" 
    set portforward enable 
    set mappedip 11.11.11.11 
    set extport 80 
    set mappedport 80 
    next 
    edit 14 
    set input-device "port8" 
    s e t s r c 1 1 . 1 1 . 1 1 . 1 1 2 5 5 . 
    255.255.255 
    set output-device "port7" 
    next

    配置路由

    在Windows 系統中，允許為一個機器配置兩塊網卡。雖然理論上可以給兩塊網卡都配置網關，但會由此造成路由混亂。因而，對于有兩塊網卡的機器，對其網卡配置時，一塊需要指定網關，一塊則不需要指定網關，而通過該網絡到達其他網段時，一般需要配置靜態路由。

    在這里，為了保證機器重啟后仍能正常運行，采用給本機添加永久路由的方式。

    在添加路由前需要對網絡拓撲結構有明確認識。對于該服務器來說，訪問集團公司的辦公網絡172 和192 網段，是通過ASA 防火墻的DMZ 口轉換的，而訪問物流系統ASA 防火墻內部區域所連接的各數據庫服務器和備份服務器，也是通過DMZ 口轉發的，即訪問這幾段網絡的下一跳網關都為10.20.40.1。因而需要設置以下幾條本地永久路由：

    Route –p add 172.16.8.0 mask 
    255.255.252.0 10.20. 40.1(內網) 
    Route –p add 192.168. 0.0 mask 
    255.255.0.0 10.20. 40.1(內網) 
    Route –p add 10.20.10.0 mask 
    255.255.255.0 10.20. 40.1(DMZ區)

    本機路由表如圖2 所示。

    圖2 本機路由表

    至此，一個雙防火墻連接下的內外通商務網站構建成功。

核心關注：拓步ERP系統平臺是覆蓋了眾多的業務領域、行業應用，蘊涵了豐富的ERP管理思想，集成了ERP軟件業務管理理念，功能涉及供應鏈、成本、制造、CRM、HR等眾多業務領域的管理，全面涵蓋了企業關注ERP管理系統的核心領域，是眾多中小企業信息化建設首選的ERP管理軟件信賴品牌。

轉載請注明出處：拓步ERP資訊網http://m.guhuozai8.cn/

本文標題：雙防火墻下構建專用商務網站

本文網址：http://m.guhuozai8.cn/html/consultation/1083946842.html