部署方案
- 防火墙拉起时使用的子网需避免与客户业务网络处于同一子网,建议新起一段管理子网专用于防火墙管理,作为单点跳转使用;trust域所在子网需与客户业务子网互通。
- 装好NF镜像后,单台需要新增至少3张网卡,一张trust、一张untrust、一张dmz的VRRP心跳口专用网卡,结合初始拉起镜像时自带的主网卡作为M口管理,单台设备共计需要4张网卡(单臂部署则需要三张)。
- 在虚拟云网络中至少申请三个虚IP作为两设备间的两两网卡绑定的虚拟切换地址。
前提条件
- 已完成主备NF的部署,收集NF防护云服务器的一些信息;服务器站点以及端口和对应的主机的地址。
- 部署前检查控制台环境。
- 确保用户服务器站点没过NF设备前,是能正常访问的。
- 确保防火墙与客户业务是否处于同一VPC (与客户业务处在不同VPC得做对等连接)。
- NF设备和服务器安全组是否做了限制。
注意安全组配置:请确保防火墙VRRP所绑定网卡处于同一安全组,且将VRRP报文通报端口置于放通状态。
网络规划
子网及示例IP规划如下:
网卡 子网 NF1 IP NF2 IP 虚拟IP Manager 192.168.0.0/24 192.168.0.5 192.168.0.9 - Turst 192.168.2.0/24 192.168.2.5 192.168.2.6 192.168.2.7 Untrust 192.168.3.0/24 192.168.3.3 192.168.3.4 192.168.3.5 DMZVRRP 192.168.4.0/24 192.168.4.5 192.168.4.6 192.168.4.7
天翼云控制台配置
-
登录云等保专区控制台。
-
在左侧导航栏,选择“下一代防火墙”,查看下一代防火墙所在VPC。
-
在防火墙同VPC内新建子网。新建子网详细操作请参见创建子网。
说明单台防火墙需要新增至少3张网卡,一张trust、一张untrust、一张dmz的VRRP心跳口专用网卡。
结合初始创建防火墙时自带的主网卡作为M口管理,单台设备共计需要4张网卡。
-
为防火墙设备绑定网卡。
说明防火墙云主机绑定网卡时所选子网先后顺序需保持一致,为云主机绑定网卡详细操作请参见绑定网卡。
若绑定网卡时遇到问题,可联系天翼云工作人员。
-
申请虚拟IP地址并绑定至防火墙设备的网卡。
NF界面配置
登录下一代防火墙
-
登录云等保专区控制台。
-
在左侧导航栏,选择“下一代防火墙”,单击操作列的“配置”,即可单点登录至下一代防火墙。
配置NF网卡接口
创建trust,untrust,dmz。如下步骤以GE4/0口为例,其他接口配置步骤类似。
-
点击防火墙Web界面“网络-接口-接口-GE4/0的编辑按钮”。
-
点击安全域进行域规划(示例中GE4/0口为DMZ域即VRRP心跳口)。
-
地址设置。
点击编辑页中的“IPV4地址-DHCP”使接口自动获取IP地址。
-
重复以上操作将两台防火墙四个接口均获取到地址。
NF1:
NF2: -
点击右上角保存接口配置。
配置NF高可用
-
点击“系统-高可靠性”,单击“配置”。
-
在页面右侧弹出的配置双击热备页面,开启设备高可靠性。填入本端IP及对端IP,以GE4/0为通信通道开启1分钟抢占。
备机同此配置,将本端与对端地址正确填写后确认保存配置。
-
开启防火墙VRRP设置。点击防火墙“系统 > 高可靠性 > VRRP”,单击“新建”。
-
在页面右侧弹出的VRRP配置页面,配置VRRP备份组参数。
参数 说明 备份组所在的接口 选择GE4/0为备份组所在接口。 备份组号 自定义。 双击热备状态 主机选择active组,备机选择standby。 虚拟IP 填写在云平台申请的虚拟IP地址/32位掩码。 优先级 自定义。 抢占模式 主备均可开启抢占。 -
由于云平台的单播特性,需进入防火墙VNC界面将VRRP报文限制为真实MAC通报。
- 联系天翼云工作人员获取VNC远程连接,进入VNC界面。
- 键入账号密码登录防火墙后,输入
sys进入系统视图。 - 然后输入
undo vrrp virtual-mac enable,限制其虚拟MAC通报(主备均需限制)。
-
以上配置完成后,单击“系统 > 高可靠性”,查看高可用状态。
