防火墙技术案例3_校园网出口网关配置.docx

【防火墙技术案例 3 】强叔拍案惊奇校园网出口网关配置论坛的小伙伴们,大家好。强叔刚刚从某著名高校开局归来,气儿还没喘匀,就为大家伏案写下这篇经典的校园网出口网关配置。墨迹未干,就此奉上~ 这篇案例来源于此次开局的真实组网,是真实组网的“微缩改造”版。但这丝毫不影响这篇案例的真实性和实用性,各位准备部署校园网出口网关的小伙伴们可以尽情参考噢~ ——————————本案例很长,但看完一定会有收获——————————————【组网需求】如图所示,防火墙( USG9560 V300R001C20 版本)作为网关部署在学校网络出口。学校的具体需求如下: 1、为了保证内网用户的上网体验,学校希望去往特定目的地址的流量能够通过特定的 ISP 链路转发。例如,去往 ISP1 的服务器的流量能够通过 ISP1 提供的链路转发,去往 ISP2 的服务器的流量能够通过 ISP 2 提供的链路转发,去往教育网服务器的流量能够通过教育网链路转发。另外学校希望特定内网用户的流量能够通过特定的 ISP 链路转发。例如图书馆的上网流量能够通过教育网链路转发。 2、学校内部署了提供对外访问的服务器,供多个 ISP 的用户访问。例如学校网站主页、邮件、 Portal 等服务器。学校内还部署了 DNS 服务器为以上服务器提供域名解析。学校希望各 ISP 的外网用户能够解析到自己 ISP 的地址,从而提高访问服务器的速度。 3、学校希望 USG 能够保护内部网络,防止 SYN-flood 攻击,并对网络入侵行为进行告警。 4、学校希望限制 P2P 流量,包括每个用户的 P2P 流量,以及网络总体的 P2P 流量。 5、学校希望能够在网管系统上查看攻击防范和入侵检测的日志,并且能够查看 NAT 转换前后的 IP地址。【配置步骤】 1、配置各接口的 IP地址。接口的配置我想大家都会的,所以强叔这里只给出 GE1/0/0 的配置了。本举例中的接口都为 10GE 接口。【强叔点评】一般 ISP 分配给你的 IP地址都是 30 位掩码的。建议在接口上配置描述或别名,表示接口的情况。<USG> system-view [USG] interface 1/0/0 [USG -1/0/0] ip address [USG -1/0/0] description [USG -1/0/0] quit 2、创建安全区域,并将各接口加入安全区域。新建安全区域 isp1 、 isp2 和 (代表教育网),并将各接口加入对应的安全区域。【强叔点评】当防火墙需要连接多个 ISP 时,一般需要为每个连接 ISP 的接口都创建一个新的安全区域, 而且安全区域的名称最好能够代表此安全区域。[USG] firewall zone name isp1 [USG-zone-isp1] set priority 15 [USG-zone-isp1] add interface 1/0/1 [USG-zone-isp1] quit [USG] firewall zone name isp2 [USG-zone-isp2] set priority 20 [USG-zone-isp2] add interface 1/0/2 [USG-zone-isp2] quit [USG