TEST111
目录
一、出口边界接入
整体示意图如下:
1、内网专线规划
(1)内网专线接入汇聚交换机
所有内部业务类型专线统一接入到专线汇聚交换机不包含(互联网专线、对端与互联网交互的专线)。
交换机配置要求如下:
1、IRF堆叠,端口隔离、对端双线互联的需要分配交叉接入SW1\SW2。
2、每个专线配置独立vlan并做好描述。
3、与专线边界防火墙对接,采用交叉聚合分别与FW1\FW2进行互联,端口类型为trunk vlan all.
4、MGT端口采用VRF隔离实例接入带外管理交换机,并开启SNMP服务。
5、设备账号密码及ACL策略,设备需配置密码复杂等级及ACL策略符合等保要求,串口密码不参与AAA认证。串口 sysadmin password ****** 密码手动修改
SSH secadmin passsword ***** leve 15 密码自动强制修改且符合密码复杂度要求
SSH auditadmin password ***** leve 0 密码自动强制修改且符合密码复杂度要求
set interfaces wireguard wg0 description To-VpnGateway
set interfaces wireguard wg0 address 10.255.4.2/30
set interfaces wireguard wg0 private-key oLlXk/SJ9mN0f8oAfhkmzwloEHYsBoB7BJHDy1s5wEA=
set interfaces wireguard wg0 peer To-VpnGateway-wg11 address 222.85.144.78
set interfaces wireguard wg0 peer To-VpnGateway-wg11 allowed-ips 10.255.0.0/16
set interfaces wireguard wg0 peer To-VpnGateway-wg11 port 60001
set interfaces wireguard wg0 peer To-VpnGateway-wg11 public-key CKNf01nhYjx6psvivmGQEjUJQ77INFfC95+MWaPL8Cw=
set protocols static route 10.255.0.0/16 interface wg0
(2)内网边界防火墙
内网出口边界防火墙采用NAT网关模式,承载内网的SNAT\DNAT、ACL控制服务并开启IPS\AV\RUL等拦截功能,安全策略默认双向0.0.0.0/0 deny,屏蔽路由跟踪方向外到内,全局ICMP Permit
收费网专线上级单位统一规划IP地址用户Pool池内,最小化原则分配给内网主机,采用Dnat及Snat。
金融类专线采用路由静态路由模式与对端互联,其它类型采用Dnat及Snat。
专线网络路由对接最小化子网原则,非必要不得发布24位子网,建议 32、30、29、28
防火墙所有接口均需要根据业务类型打上安全域标识,其余基本配置需符合三级等保要求。To-专线汇聚交换机配置:
1、接口聚合方式对接汇聚交换机,采用子接口dotq1(vlan标签)方式与对接专线网络,规划30子网进行静态路由互联。
To-核心交换机配置:
1、10GE*2 接口聚合方式对接核心交换机,接口类型为Route-mode。
2、采用OSPF路由与核心网络互联,采用静态路由tag标签方式引入OSPF,不得引入缺省路由。
防火墙HA配置:
1、主备模式规划29为地址用于VRRP实现。
2、具备带外能力的需要带外接入安全管理交换机。
2、互联网专线规划
(1)互联网专线汇聚交换机
所有业务类型专线统一接入到专线汇聚交换机含(互联网专线、对端与互联网交互的专线)。
交换机配置要求如下:
1、IRF堆叠,对端双线互联的需要分配交叉接入SW1\SW2。
2、每个专线配置独立vlan并做好描述。
3、与专线边界防火墙对接,采用交叉聚合分别与FW1\FW2进行互联,端口类型为trunk vlan all.
4、MGT端口采用VRF隔离实例接入带外管理交换机,并开启SNMP服务。
5、设备账号密码及ACL策略,设备需配置密码复杂等级及ACL策略符合等保要求,串口密码不参与AAA认证。串口 sysadmin password ****** 密码手动修改
SSH secadmin passsword ***** leve 15 密码自动强制修改且符合密码复杂度要求
SSH auditadmin password ***** leve 0 密码自动强制修改且符合密码复杂度要求
租户不满足机房安全管理准入条件的从互联网专线汇聚交换机独立分配端口给租户的边界设备(双端口聚合并限制QOS),给予独立公网IP地址,且该租户不纳入IDC安全监管访问。
(2)互联网出口防火墙
出口边界防火墙采用NAT网关模式,承载内网的SNAT\DNAT、ACL控制服务并开启IPS\AV\RUL等拦截功能,安全策略默认双向0.0.0.0/0 deny,屏蔽路由跟踪方向外到内,全局ICMP Permit
收费网专线上级单位统一规划IP地址用户Pool池内,最小化原则分配给内网主机,采用Dnat及Snat。
金融类专线采用路由静态路由模式与对端互联,其它类型采用Dnat及Snat。
专线网络路由对接最小化子网原则,非必要不得发布24位子网,建议 32、30、29、28
防火墙所有接口均需要根据业务类型打上安全域标识,其余基本配置需符合三级等保要求。To-专线汇聚交换机配置:
1、接口聚合方式对接汇聚交换机,采用子接口dotq1(vlan标签)方式与对接专线网络,规划30子网进行静态路由互联。
To-核心交换机配置:
1、10GE*2 接口聚合方式对接核心交换机,接口类型为Route-mode。
2、采用OSPF路由与核心网络互联,采用静态路由tag标签方式引入OSPF,不得引入缺省路由。
防火墙HA配置:
1、主备模式规划29为地址用于VRRP实现。
2、具备带外能力的需要带外接入安全管理交换机。
浙公网安备 33010602011771号