Todo Sobre Switches - Ejemplos de configuracion ]Ejemplo de como configurar un modulo NGFW

Pubilicado 2019-1-11 10:56:30 56 0 0 0

1.1 Resumen

Después de instalar el Módulo NGFW en un switch, puede redirigir el tráfico especificado al Módulo NGFW para procesar según los requisitos de servicio. La figura 1 muestra un ejemplo. El tráfico de la oficina de la empresa y de Internet a los servidores de la empresa se redirige al Módulo NGFW para la protección de la seguridad.

Figura 1 Ajuste de la ruta del tráfico de servicio según los requisitos del servicio

003807gl5agzl1ogwoaoet.png

El módulo NGFW proporciona un CLI potente y una interfaz de usuario web fácil de usar. Además, el módulo NGFW puede usar SNMP para comunicarse con el NMS estándar para la administración centralizada.

1.1.1 Apariencia

  NGFW Module es un módulo de FW de última generación (NGFW) que se aplica a las series de switches Huawei S7700, S9700 y S12700 para proporcionar funciones de firewall, NAT, VPN y seguridad de contenido para redes IP.

Figura 2 Aspecto del módulo NGFW.


004929xdi9xgqin6mgenn5.png

Puertos

Descripción

Puerto   de MGMT.

Puerto   de administración de Ethernet con detección automática fuera de banda 10/100   / 1000M. El número de la interfaz es GigabitEthernet 0/0/0 y la dirección IP   predeterminada de la interfaz es 192.168.0.1.

Puede   conectar este puerto a una PC a través de un cable de red. Luego, puede usar   Telnet o sTelnet para acceder a la CLI o usar un navegador web para acceder a   la interfaz de usuario web para configurar, administrar y mantener el módulo   NGFW.

NOTA:

El   puerto MGMT no se puede utilizar como puerto de servicio. Los puertos de   servicio (GigabitEthernet 1/0/0 a GigabitEthernet 1/0/1) del módulo NGFW se   utilizan para conectarse al conmutador en el que está instalado el módulo.

Puerto   de consola.

El   puerto de la consola le permite conectarse localmente al módulo NGFW. Puede   usar un cable de consola para conectar el puerto de la consola en el Módulo   NGFW al puerto COM en su PC y usar un programa terminal de puerto en serie en   su PC para acceder, configurar y administrar el Módulo NGFW.

Puertos   GE1-GE3.

Tres   puertos eléctricos Ethernet 10/100 / 1000M autosensing, numerados desde   GigabitEthernet 0/0/1 a GigabitEthernet 0/0/3.

Puede   usar uno de los puertos de GE como la interfaz de heartbeat durante la   implementación en espera activa o para conectar un host de registro de   terceros.

NOTA:

Los   tres puertos no se pueden utilizar como puertos de servicio.

Puerto   USB.

El   puerto USB le permite insertar dispositivos USB para las actualizaciones del   software del sistema. Para obtener detalles sobre las actualizaciones a través   de dispositivos USB, consulte la Guía de actualización entregada con el   dispositivo.

1.1.2 Funciones

La tabla 1 enumera las funciones principales del módulo NGFW.

Tabla 1 funciones del módulo NGFW.

 

 

 

 

 

 

Categoría

Función

Descripción

Contenido de Seguridad

Identifiacion de aplicaciones

·             Identifica aplicaciones comunes basadas en la base   de datos de firmas predefinida.

·             Admite la actualización constante de la base de   datos de firmas predefinida y las aplicaciones definidas por el usuario.

·             Analiza los paquetes de decenas de protocolos e   identifica los contenidos durante la negociación del protocolo y admite   protocolos comunes multicanal.

Antivirus

·             Emplea el Advanced Intelligent Awareness Engine   (IAE) y la base de datos de firmas de virus constantemente actualizada para   detectar y eliminar virus.

·             Actualiza constantemente la base de datos.

Prevencion de intrusos.

·             Detecta y defiende contra miles de comportaamientos   comunes de intrusión, gusanos, caballos de Troya y botnets.

·             Actualiza constantemente la base de datos de firmas   predefinida y admite firmas definidas por el usuario.

Filtrado de URL’s.

·             Bloquea las conexiones a las URL de HTTP y HTTPS   según sea necesario.

·             Agrega URL y categorías de URL localmente y admite   la consulta de las últimas URL y categorías de URL desde el servidor de   categoría de URL remoto.

·             Actualiza las categorías de URL constantemente.

Filtrado de Datos.

·             Admite protocolos comunes de transferencia de   archivos, incluidos HTTP, FTP, SMTP, POP3, NFS, SMB, IMAP, RTMPT y FLASH.

·             Filtra el contenido de los archivos transferidos a   través de los protocolos anteriores según las palabras clave.

·             Filtra los contenidos en los archivos HTTP y FTP   basados en palabras clave.

Bloqueo de Archivos

·             Admite protocolos comunes de transferencia de   archivos, incluidos HTTP, FTP, SMTP, POP3, NFS, SMB, IMAP, RTMPT y FLASH.

·             Identifica documentos comunes, archivos de código,   archivos ejecutables, archivos multimedia, tipos reales de archivos   comprimidos y extensiones de nombre de archivo sobre los protocolos   anteriores.

·             Identifica los archivos comunes transferidos a   través de los protocolos anteriores según los tipos reales y las extensiones   de nombre de archivo.

Control de comportamiento de aplicaciones.  

·             Controla los comportamientos de HTTP, incluidos la   carga y descarga de archivos, POST, navegación de páginas web y proxy HTTP.

·             Controla los comportamientos de FTP, incluida la   carga y descarga de archivos FTP.

Filtrado de e-mail.

·             Admite la  whitelist del servidor de correo y la  Blacklist en el local para bloquear el   correo no deseado.

·             Trabaja con el servidor RBL para consultar de forma   remota si un correo recibido o enviado es spam en tiempo real.

·             Filtra los correos basados en las direcciones del   remitente, las direcciones del destinatario y el tamaño y la cantidad de   archivos adjuntos del correo.

Protección de seguridad – Capa de Red.

Filtrado de Paquetes.

Admite el filtrado de paquetes en   función de las políticas.

NAT

·             Traduce   las direcciones IP de origen, las direcciones IP de destino y los puertos de   los paquetes.

·             Asigna   direcciones y puertos IP privados a puertos y direcciones IP públicas, de   modo que el servidor interno pueda proporcionar servicios para usuarios   externos.

·             Traduce   automáticamente las direcciones IP y los puertos negociados en los paquetes   de protocolos multicanal.

Ataque y Defensa DDoS.

Defiende contra varios ataques DoS y DDoS:

·             Ataques   DDoS sin capa de aplicación: inundación SYN, inundación UDP, inundación ICMP   e inundación ARP

·             Ataques   DDoS en la capa de aplicación: inundación de HTTP, inundación de HTTPS,   inundación de DNS e inundación de SIP

Defensa de ataque de un solo paquete

Implementa la comprobación y validez de   paquetes para defenderse de varios ataques de un solo paquete, incluidos los   ataques de falsificación de IP, ataques de LAND, ataques de Pitufo, ataques   de Fraggle, ataques de Winnuke, ataques de Ping of Death, ataques de lágrima,   ataques de escaneo de direcciones, ataques de escaneo de puertos, ataques de   control de opciones de IP , Ataques de control de fragmentos de IP, ataques   de comprobación de validez de etiqueta TCP, ataques de control de paquetes   ICMP, ataques de paquetes de redirección ICMP, ataques de paquetes   inalcanzables ICMP y ataques de paquetes TRACERT.

Blacklist y whitelist

Filtra rápidamente los paquetes según la  whitelist y la  Blacklist de direcciones IP.

Union IP-MAC address.

Admite el enlace de direcciones IP-MAC para   evitar la suplantación de IP.

 

1.1.3 Aplicación de interfaz

El módulo NGFW y el switch están interconectados a través de dos enlaces Ethernet internos 20GE. El módulo NGFW se considera un dispositivo de firewall conectado directamente al switch a través de interfaces Ethernet internas.

El módulo NGFW tiene dos interfaces Ethernet internas: GE 1/0/0 y GE 1/0/1.

La regla de numeración de las interfaces Ethernet internas en el switch está determinada por la ranura en la que está instalado el Módulo NGFW. Por ejemplo, cuando el módulo NGFW se instala en la ranura 1 del conmutador, como se muestra en la Figura 3, las interfaces Ethernet internas utilizadas por el conmutador son XGE 1/0/0 y XGE 1/0/1.

Figura 3 Numeración de la interfaz Ethernet interna


004956am2uupqd7z9f2q4m.png

1.2 Ejemplo de configuración

Este ejemplo muestra cómo configurar las conexiones en las interfaces entre el módulo NGFW y el switch y cómo redirigir el tráfico al módulo NGFW. Para obtener más información sobre la configuración de la política de seguridad, consulte la Guía del administrador de HUAWEI USG6000 Series & NGFW Module V100R001.

Notas de configuración.

Soporte de la versión de la tabla 2.

Versión requerida: S7700&S9700&S12700

Versión del Módulo NGFW requerida

V200R005C00 y versiones posteriores.

V100R001C10 y versiones posteriores.

 

Requisitos de red

En general, un interruptor central en la red de un campus se conecta a la red externa a través de un enrutador ascendente, y se implementa una placa NGFW para controlar el acceso de la red externa.

El módulo NGFW está instalado en el conmutador central para proteger el tráfico entre VLAN 301 y VLAN 302.

Se implementan dos módulos NGFW en el switch central para trabajar en modo de espera activa (balanceo de carga) y mejorar la confiabilidad del dispositivo. Dos módulos NGFW reenvían tráfico al mismo tiempo. Cuando falla un módulo NGFW, los servicios pueden transferirse sin problemas a otro módulo NGFW.

Figura 4 Desvío de tráfico basado en PBR con módulos NGFW con equilibrio de carga que funcionan en modo de enrutamiento

005251a7khgf36ezhq7mpq.png

Como se muestra en la parte derecha de la Figura 4, para mejorar el ancho de banda y la confiabilidad del enlace, agrupe las interfaces Ethernet internas entre el switch y los módulos NGFW. El switch reenvía el tráfico al módulo NGFW a través de Eth-Trunk.

Dos módulos NGFW están instalados en la ranura 1 y la ranura 2 del switch. Para comprender la dirección de reenvío de tráfico, consulte la Figura 5.

Figura 5 Redes lógicas para el equilibrio de carga en modo enrutado (desviación de tráfico basada en PBR).

005308uyzmiv4yytk3n3k7.png

Mapa de configuración

La hoja de ruta de configuración es la siguiente:

1.       Configure las interfaces en el conmutador conectado a los módulos NGFW y los enlaces utilizados para transmitir el tráfico a los módulos NGFW.

2.       Configure la redirección (PBR) en el conmutador para reenviar el tráfico a los módulos NGFW.

3.       Configure las interfaces en los módulos NGFW conectados al conmutador y los enlaces utilizados para transmitir el tráfico al switch.

4.       Configure el modo de hot standby en los módulos NGFW.

5.       Crear una política de seguridad en los módulos NGFW.


  • x
  • convención:

Responder

Responder
Debe iniciar sesión para responder la publicación Inicio de sesión | Registrarse

Aviso: Para garantizar sus legítimos derechos e intereses, la comunidad y los terceros no publicarán contenido que pueda generar riesgos legales a las partes, por ejemplo, pornografía, contenido político, contenido sobre juego, consumo y tráfico de drogas, así como contenido que viole los derechos de propiedad intelectual de terceros, por ejemplo, secretos comerciales, marcas, derechos de autor, patentes y privacidad personal. No comparta su cuenta ni su contraseña con terceros. Todas las operaciones realizadas usando su cuenta se considerarán como sus acciones y todas las consecuencias que estas acciones generen serán responsabilidad suya. Para obtener información detallada, consulte la “ Política de privacidad.”
Si el botón para adjuntar no está disponible, actualice Adobe Flash Player con la versión más reciente
Respuesta rápida Desplácese hasta arriba