文档介绍:文档密级:内部公
开
FW+IPS+LB
,共37页
本文档主要针对S75E交换机上多业务板卡组合的流量设计部署方式,各个板卡的详细特性使用(如FW的入侵检测;LB的服务器负载均担;IPS的URL过滤与攻击防御等)不作为描述重点,具体单产品特性实现配置方式,请参考各产品相关配置指导。
最佳实践网络结构
典型组网
本方案主要针对企业网园区DMZ区域需求设计,在满足网络基础架构简单的前提下,在S75E交换机上实现FW、IPS与LB板卡业务特性功能,同时保证流量路径清晰,满足双机HA切换的相关需求。
文档密级:内部公
开
FW+IPS+LB
,共37页
,共37页
文档密级:内部公
开
FW+IPS+LB
H3C
文档密级:内部公
开
FW+IPS+LB
H3C
,共37页
#页,共37页
FW
LB
心
I
DMZ区安全防护典型组网
图1企业网FW+IPS+LB最佳实践典型组网图
文档密级:内部公
开
FW+IPS+LB
文档密级:内部公
开
FW+IPS+LB
H3C
,共37页
,共37页
组网设计
O三层逻辑接口
XlanlO:
Vhm2(h
\lanll:
\lan21:
\lanl2:
Man:2:
ManlOO:\lan2OO:
V-Seivei
二层
VI沁2
Man:2
Man100
\lim200
£节E与Campus相连物理接口
为Ge■024
£节E与服务器相连物理接口
JtjGe■013
IP£扳卡:2槽位
FW板卡:3槽位
LE板卡:4槽位
文档密级:内部公
开
FW+IPS+LB
文档密级:内部公
开
FW+IPS+LB
H3C
,共37页
,共37页
以下配置举例均以本图中的接口vhnip为例
图2整网双机设计示例图
・园区DMZ区域S75E交换机集成多业务板卡,连接DMZ区域服务器与园区网络。为LB连接服务器与FW连接LB提供二层通道,与园区核心路由交换设备通过OSPF动态路由协议互连,并提供双机流量路径冗余。
・SecBladeFW板卡为S75E到LB之间提供三层转发,并通过NAT、策略管理和入侵检测等功能,为内部网络提供基于L3-L4的流量保护。
・SecBladeLB板卡采用在线部署方式,作为服务器网关,缺省路由下一跳指向FW板卡。双机环境中两块板卡均使能源地址转换功能,确保流量往返路径一致。
・SecBladeIPS板卡为网络提供基于L4-L7的攻击防御与病毒检测等流量保护能力。S75E与IPS板卡间通过OAA协议框架完成自动引流与板卡故障不中断转发工作。在本最佳实践中,IPS
文档密级:内部公
开
FW+IPS+LB
文档密级:内部公
开
FW+IPS+LB
H3C
,共37页
杭州华三通信