HCNP-SEC-19.11.23

Posted by Mr.Be1ieVe on Monday, January 13, 2020

648EB2E3-ECFB-4610-AC4F-C41A40C726F0

eSight网管 可管其他厂商设备,几乎都可以

CIS可用于抵御APT攻击。它从海量数据中提取关键信息,智能可视化,还原攻击链,防御攻击

FireHunter还原流量,在虚拟环境对网络中传输的文件进行检测

UMA 审计上网行为

NGFW USG9000 网络运营商,广电(超大型网络)USG6000 中大型企业

业务随行

S12700 整个网络核心 S9k S7k

61051AC5-C8D2-47E8-9516-09E3979F7769

网络安全运维

安全策略:简单,稳定,安全

端口要加端口描述

脚本配置

52CCD98F-87B0-4D17-9CD9-043B92E84B1E

6D82AE28-99ED-4EE5-8BAF-F34E0639D652

9C6D9139-095E-43E4-A914-232B379D1387

0C995BDD-0A38-483B-B32B-727CA8AAF2C4

监控(类似只读)

4731E999-DBE2-4436-B428-3BC61E399D80

B33BEC42-D775-4EDF-98B9-08454E630607

3B696243-B418-4CCF-AE64-B94BC4556C4D

3CAA5AFE-7E9C-48D1-BC36-7D357E6FCEF3

7BC6559D-1E13-4026-AC0A-B341738B51A7

C7585DFE-372F-4841-B579-E5ABF8B743C4

A037C828-5CD5-4549-A6A4-E7E7CBE5A54C

62BE7CDD-3135-430E-987F-6EACF0D80B0A

FE1DD198-9061-4788-819D-4EB92584BB87

9DCB02F8-A1E8-49FB-B30B-8D1D93C28D5E

C3771611-034E-4CE2-B951-D908189A4396

C8E502F2-BA95-4D88-980E-B339A71104CC

QS 优先级?优先保证业务

FW作为出口且有多条出口链路,两条链路一接,最起码也要做一个链路聚合(Eth-Trunck)

在ensp中,fw连接router,在实际中不会占用GE0/0/0(这是个管理口)

智能选路应用场景

网络差,如何优化:增加带宽,增加IP,调整点位

image-20191130211703575

  • 全局选路策略:动态选择出接口,充分利用资源
  • 策略路由:依据制定的策略进行数据转发
  • ISP路由:可以实现流量按照运营商转发,指定选路
  • 健康检查,感知服务器或链路状态变化,保证流量传输

园区网的四大敏捷特性:有线无线深度融合,业务随行,安全协防,IPCA质量感知(极少)

image-20191130213239431

路由策略和策略路由的区别??

选路原理

image-20191130213351116

过载保护:有预值

  • 根据带宽:默认的。原流量仍从该链路走,后续不再。并且全部过载,则继续根据比例分配流量 image-20191130220056847
  • image-20191130220558188

入方向?出方向?

  • 根据链路质量:保证质量,保证体验 image-20191130221210672
  • image-20191130221323811
  • 根据链路权重:根据预设的权重
  • 根据链路优先级:默认优先级高的,超过过载阈值时启用优先级次高的链路。(少用,不可能闲置)

过载保护的问题

image-20191130221945199

会话保持: image-20191130222127477

查看会话保持表项(要有流量经过才能查看到

display session persistence table

策略路由

依据用户制定的策略进行转发

bypass 直通模式,FW相当于透明

image-20191130222809732

image-20191130222832266

先看策略,无策略则按路由表转发

ISP选路

在FW连接多个ISP网络时,通过ISP选路可以使访问特定ISP的流量通过相应出接口转发,保证最短路径。

原理

写入CSV文件(该文件成为ISP地址文件),然后导入FW

image-20191130223451969

导入ISP地址文件:Web界面操作 网络 > 路由 > 智能选路 > 运营商地址库

应用: 网络> 接口 > 编辑

可选:健康检查

探测到无法访问,对应ISP路由会被删除

image-20191130223853655

策略路由应用

修改名称,配置端口描述

image-20191130224518587

image-20191130224603119

image-20191130224624111

命令行

配置安全区域

interface GE1/0/2
ip address 10.10.1.1 24
quit 
interface GE1/0/3
ip address 10.1.1.1 24
in GE1/0/4
ip add 10.20.1.1 24
firewall zone trust
set priority 85
add interface GE1/0/3
quit
firewall zone untrust
set priority 5
add interface GE1/0/2
add interface GE1/0/4

配置安全策略

security-policy
rule name policy_sec_sec_trust_untrust
source-zone trust
destination-zone untrust
action permit
source-address 10.1.1.0 24 

一定要写action,不然默认不允许通过

配置IP-Link

目标ip 通过 xx 端口

ip-link check enable
ip-link name pbr_1
destination 10.10.1.2 interface GE 1/0/2
quit
ip-link name pbr_2
destination 10.20.1.2 interface GE 1/0/4

image-20191130225841573

故障排查

image-20191130225907120

主要问题多为域间流量是否放行

实验

image-20191130230708184

实验脚本

R1:
sys
sysname r1
int e0/0/0
ip add 10.1.1.2 24
des to-pc1-e0/0/1
q
int g0/0/0
ip add 10.10.1.1 24
des to-fw-g1/0/0
q
int e0/0/1
des to-pc2-e0/0/1
ip add 10.1.2.2 24

Dis cu | in ip-link

「真诚赞赏,手留余香」

Mr.Be1ieVe's Treasure

真诚赞赏,手留余香

使用微信扫描二维码完成支付