华为防火墙在广电出口安全方案中的应用（方案设计、配置、总结）

广电行业除了提供家庭广播电视业务，还向ISP租用链路开展宽带用户上网、服务器托管等网络接入服务。此时网络出口处通常部署防火墙作为出口网关提供Internet接入及安全保障功能。

防火墙在广电网络出口的应用

如图所示，防火墙部署在网络出口主要提供如下功能：

NAT：提供源NAT功能将宽带用户私网IP转换为公网IP，提供NAT Server功能将托管服务器的私网IP转换为公网IP供外网用户访问。

多出口智能选路：提供基于目的IP、应用等多种选路措施，合理利用多条ISP链路保证上网质量。

安全管理：通过安全区域及安全策略进行区域隔离，提供入侵防御、DDoS攻击防范等安全功能进行安全防护。

用户溯源和审计：记录用户NAT前后IP地址、端口等日志发往日志服务器，满足相关部门的审计和溯源需求。

如图所示，广电向两个ISP各租用了两条链路，为城域网的广电用户提供宽带上网服务。广电还在服务器区部署了服务器，为内外网用户提供服务器托管业务。

广电的Internet出口处部署了两台防火墙双机热备组网（主备方式）。两台防火墙的上行接口通过出口汇聚交换机与两个ISP相连，下行接口通过核心路由器与城域网相连，通过服务器区的交换机与服务器相连。

防火墙在广电网络出口的典型组网

广电网络对Internet出口防火墙的具体需求如下：

两台防火墙能够组成主备备份组网，提升网络可靠性。

通过防火墙的源NAT功能保证城域网的海量用户能够同时访问Internet。

为了提升内网用户的宽带上网体验，广电的出口选路需求如下：

能够根据目的地址所属的ISP进行选路。例如，访问ISP1的服务器的流量能够通过ISP1链路转发，访问ISP2的服务器的流量能够通过ISP2链路转发。

属于同一个ISP的流量在两条链路间按权重负载分担。

引导P2P流量由资费较低、带宽较大的ISP2链路转发。

托管的服务器能够供外网用户访问，对服务器进行管理。

广电网络内还部署了DNS服务器为以上服务器提供域名解析。广电希望各ISP的外网用户能够解析到自己ISP为服务器分配的地址，从而提高访问服务器的速度。

防火墙能够保护内部网络，防止各种DDoS攻击，并对僵尸、木马、蠕虫等网络入侵行为进行告警。

为了应对有关部门的审查，防火墙能够提供内网用户访问Internet的溯源功能，包括NAT转换前后的IP地址、端口等。

2.2.1 设备规划

广电网络出口可能用到的设备如表所示：

广电网络出口设备规划

2.2.2 双机热备规划

由于一个ISP接入点无法与两台防火墙直接相连，因此需要在防火墙与ISP之间部署出口汇聚交换机。出口汇聚交换机可以将ISP的一条链路变为两条链路，然后分别将两条链路与两台防火墙的上行接口相连。而防火墙与下行路由器之间运行OSPF，所以这就组成了“两台防火墙上行连接交换机，下行连接路由器”的典型双机热备组网。该种组网方式防火墙上行配置VRRP备份组，下行配置VGMP组监控业务口。

双机热备组网可以转换为图1，将与同一个ISP接入点连接的主备防火墙接口加入同一个VRRP备份组。

双机热备组网

2.2.3 多出口选路规划

广电向不同运营商租用链路，多出口选路功能尤为重要，防火墙提供丰富的多出口功能满足需求：

通过DNS透明代理分担内网用户上网的DNS请求，从而达到在多个ISP间分担流量的目的。

内网用户上网的第一步是用户访问某个域名，DNS服务器将域名解析为IP地址。这一步存在一个问题，内网PC往往都配置了同一个ISP的DNS服务器，这样将导致用户只能解析到一个ISP的地址，后续的ISP选路也就无从谈起了。防火墙提供DNS透明代理功能解决这一问题，防火墙通过一定的规则将内网用户的DNS请求分担至不同ISP的DNS服务器，从而解析到不同ISP的地址。本例采取指定链路权重的方式分担DNS请求。

通过基于多出口的策略路由实现ISP选路。

防火墙的策略路由可以同时指定多个出接口，并配置多个出接口的流量分担方式。例如指定目的地址为ISP1地址的流量从ISP1的两个出接口发送，同时指定两个出接口间按权重进行负载分担。

通过基于应用的策略路由将P2P流量引导至ISP2链路。

通过健康检查探测链路的可达性。

防火墙探测某个出接口到指定目的地址的链路健康状态，保证流量不会被转发到故障链路上。

2.2.4 源NAT规划

在FW配置源NAT使内网用户可以通过有限的公网IP地址访问Internet。

地址池

根据向ISP申请的公网IP地址，配置两个对应不同ISP的地址池，注意地址池中排除VRRP备份组的公网IP、服务器对外发布的公网IP。

NAPT

Network Address and Port Translation

NAPT同时对IP地址和端口进行转换，内网用户访问Internet的报文到达防火墙后，报文的源地址会被NAT转换成公网地址，源端口会被NAT转换成随机的非知名端口。这样一个公网地址就可以同时被多个内网用户使用，实现了公网地址的复用，解决了海量用户同时访问Internet的问题。

NAT ALG

当防火墙既开启NAT功能，又需要转发多通道协议报文（例如FTP等）时，必须开启相应的NAT ALG功能。例如FTP、SIP、H323、RTSP和QQ等多通道协议。

2.2.5 NAT Server规划

广电的托管服务器业务主要开通网站托管业务，如某个学校的网站托管，同时还有公司内部的办公网，公司门户网站等。由于托管服务器部署在内网的DMZ区域，所以需要在防火墙上部署NAT server功能，将服务器的私网地址转换成公网地址，而且需要为不同的ISP用户提供不同的公网地址。

如果DNS服务器在内网，则需要配置智能DNS使外网用户可以获取最适合的服务器解析地址，即与用户属于同一ISP网络地址避免跨网络访问。

2.2.6 安全功能规划

缺省情况下FW拒绝所有流量通过，需要配置安全策略允许正常的业务访问。具体规划见下文的数据规划。

出口网关作为广电网络与外界通信的关口，需要配置入侵防御（IPS）、攻击防范等安全功能。

本案例使用缺省的IPS配置文件default，对检测到的入侵行为进行阻断；还可以选择配置文件ids先记录攻击日志不阻断，然后根据日志再配置具体的IPS配置文件。