1.1 Resumen
Después de instalar el Módulo NGFW en un switch, puede redirigir el tráfico especificado al Módulo NGFW para procesar según los requisitos de servicio. La figura 1 muestra un ejemplo. El tráfico de la oficina de la empresa y de Internet a los servidores de la empresa se redirige al Módulo NGFW para la protección de la seguridad.
Figura 1 Ajuste de la ruta del tráfico de servicio según los requisitos del servicio
El módulo NGFW proporciona un CLI potente y una interfaz de usuario web fácil de usar. Además, el módulo NGFW puede usar SNMP para comunicarse con el NMS estándar para la administración centralizada.
1.1.1 Apariencia
NGFW Module es un módulo de FW de última generación (NGFW) que se aplica a las series de switches Huawei S7700, S9700 y S12700 para proporcionar funciones de firewall, NAT, VPN y seguridad de contenido para redes IP.
Figura 2 Aspecto del módulo NGFW.
Puertos | Descripción |
Puerto de MGMT. | Puerto de administración de Ethernet con detección automática fuera de banda 10/100 / 1000M. El número de la interfaz es GigabitEthernet 0/0/0 y la dirección IP predeterminada de la interfaz es 192.168.0.1. Puede conectar este puerto a una PC a través de un cable de red. Luego, puede usar Telnet o sTelnet para acceder a la CLI o usar un navegador web para acceder a la interfaz de usuario web para configurar, administrar y mantener el módulo NGFW. NOTA: El puerto MGMT no se puede utilizar como puerto de servicio. Los puertos de servicio (GigabitEthernet 1/0/0 a GigabitEthernet 1/0/1) del módulo NGFW se utilizan para conectarse al conmutador en el que está instalado el módulo. |
Puerto de consola. | El puerto de la consola le permite conectarse localmente al módulo NGFW. Puede usar un cable de consola para conectar el puerto de la consola en el Módulo NGFW al puerto COM en su PC y usar un programa terminal de puerto en serie en su PC para acceder, configurar y administrar el Módulo NGFW. |
Puertos GE1-GE3. | Tres puertos eléctricos Ethernet 10/100 / 1000M autosensing, numerados desde GigabitEthernet 0/0/1 a GigabitEthernet 0/0/3. Puede usar uno de los puertos de GE como la interfaz de heartbeat durante la implementación en espera activa o para conectar un host de registro de terceros. NOTA: Los tres puertos no se pueden utilizar como puertos de servicio. |
Puerto USB. | El puerto USB le permite insertar dispositivos USB para las actualizaciones del software del sistema. Para obtener detalles sobre las actualizaciones a través de dispositivos USB, consulte la Guía de actualización entregada con el dispositivo. |
1.1.2 Funciones
La tabla 1 enumera las funciones principales del módulo NGFW.
Tabla 1 funciones del módulo NGFW.
Categoría | Función | Descripción |
Contenido de Seguridad | Identifiacion de aplicaciones | · Identifica aplicaciones comunes basadas en la base de datos de firmas predefinida. · Admite la actualización constante de la base de datos de firmas predefinida y las aplicaciones definidas por el usuario. · Analiza los paquetes de decenas de protocolos e identifica los contenidos durante la negociación del protocolo y admite protocolos comunes multicanal. |
Antivirus | · Emplea el Advanced Intelligent Awareness Engine (IAE) y la base de datos de firmas de virus constantemente actualizada para detectar y eliminar virus. · Actualiza constantemente la base de datos. | |
Prevencion de intrusos. | · Detecta y defiende contra miles de comportaamientos comunes de intrusión, gusanos, caballos de Troya y botnets. · Actualiza constantemente la base de datos de firmas predefinida y admite firmas definidas por el usuario. | |
Filtrado de URL’s. | · Bloquea las conexiones a las URL de HTTP y HTTPS según sea necesario. · Agrega URL y categorías de URL localmente y admite la consulta de las últimas URL y categorías de URL desde el servidor de categoría de URL remoto. · Actualiza las categorías de URL constantemente. | |
Filtrado de Datos. | · Admite protocolos comunes de transferencia de archivos, incluidos HTTP, FTP, SMTP, POP3, NFS, SMB, IMAP, RTMPT y FLASH. · Filtra el contenido de los archivos transferidos a través de los protocolos anteriores según las palabras clave. · Filtra los contenidos en los archivos HTTP y FTP basados en palabras clave. | |
Bloqueo de Archivos | · Admite protocolos comunes de transferencia de archivos, incluidos HTTP, FTP, SMTP, POP3, NFS, SMB, IMAP, RTMPT y FLASH. · Identifica documentos comunes, archivos de código, archivos ejecutables, archivos multimedia, tipos reales de archivos comprimidos y extensiones de nombre de archivo sobre los protocolos anteriores. · Identifica los archivos comunes transferidos a través de los protocolos anteriores según los tipos reales y las extensiones de nombre de archivo. | |
Control de comportamiento de aplicaciones. | · Controla los comportamientos de HTTP, incluidos la carga y descarga de archivos, POST, navegación de páginas web y proxy HTTP. · Controla los comportamientos de FTP, incluida la carga y descarga de archivos FTP. | |
Filtrado de e-mail. | · Admite la whitelist del servidor de correo y la Blacklist en el local para bloquear el correo no deseado. · Trabaja con el servidor RBL para consultar de forma remota si un correo recibido o enviado es spam en tiempo real. · Filtra los correos basados en las direcciones del remitente, las direcciones del destinatario y el tamaño y la cantidad de archivos adjuntos del correo. | |
Protección de seguridad – Capa de Red. | Filtrado de Paquetes. | Admite el filtrado de paquetes en función de las políticas. |
NAT | · Traduce las direcciones IP de origen, las direcciones IP de destino y los puertos de los paquetes. · Asigna direcciones y puertos IP privados a puertos y direcciones IP públicas, de modo que el servidor interno pueda proporcionar servicios para usuarios externos. · Traduce automáticamente las direcciones IP y los puertos negociados en los paquetes de protocolos multicanal. | |
Ataque y Defensa DDoS. | Defiende contra varios ataques DoS y DDoS: · Ataques DDoS sin capa de aplicación: inundación SYN, inundación UDP, inundación ICMP e inundación ARP · Ataques DDoS en la capa de aplicación: inundación de HTTP, inundación de HTTPS, inundación de DNS e inundación de SIP | |
Defensa de ataque de un solo paquete | Implementa la comprobación y validez de paquetes para defenderse de varios ataques de un solo paquete, incluidos los ataques de falsificación de IP, ataques de LAND, ataques de Pitufo, ataques de Fraggle, ataques de Winnuke, ataques de Ping of Death, ataques de lágrima, ataques de escaneo de direcciones, ataques de escaneo de puertos, ataques de control de opciones de IP , Ataques de control de fragmentos de IP, ataques de comprobación de validez de etiqueta TCP, ataques de control de paquetes ICMP, ataques de paquetes de redirección ICMP, ataques de paquetes inalcanzables ICMP y ataques de paquetes TRACERT. | |
Blacklist y whitelist | Filtra rápidamente los paquetes según la whitelist y la Blacklist de direcciones IP. | |
Union IP-MAC address. | Admite el enlace de direcciones IP-MAC para evitar la suplantación de IP. |
1.1.3 Aplicación de interfaz
El módulo NGFW y el switch están interconectados a través de dos enlaces Ethernet internos 20GE. El módulo NGFW se considera un dispositivo de firewall conectado directamente al switch a través de interfaces Ethernet internas.
El módulo NGFW tiene dos interfaces Ethernet internas: GE 1/0/0 y GE 1/0/1.
La regla de numeración de las interfaces Ethernet internas en el switch está determinada por la ranura en la que está instalado el Módulo NGFW. Por ejemplo, cuando el módulo NGFW se instala en la ranura 1 del conmutador, como se muestra en la Figura 3, las interfaces Ethernet internas utilizadas por el conmutador son XGE 1/0/0 y XGE 1/0/1.
Figura 3 Numeración de la interfaz Ethernet interna
1.2 Ejemplo de configuración
Este ejemplo muestra cómo configurar las conexiones en las interfaces entre el módulo NGFW y el switch y cómo redirigir el tráfico al módulo NGFW. Para obtener más información sobre la configuración de la política de seguridad, consulte la Guía del administrador de HUAWEI USG6000 Series & NGFW Module V100R001.
Notas de configuración.
Soporte de la versión de la tabla 2.
Versión requerida: S7700&S9700&S12700 | Versión del Módulo NGFW requerida |
V200R005C00 y versiones posteriores. | V100R001C10 y versiones posteriores. |
Requisitos de red
En general, un interruptor central en la red de un campus se conecta a la red externa a través de un enrutador ascendente, y se implementa una placa NGFW para controlar el acceso de la red externa.
El módulo NGFW está instalado en el conmutador central para proteger el tráfico entre VLAN 301 y VLAN 302.
Se implementan dos módulos NGFW en el switch central para trabajar en modo de espera activa (balanceo de carga) y mejorar la confiabilidad del dispositivo. Dos módulos NGFW reenvían tráfico al mismo tiempo. Cuando falla un módulo NGFW, los servicios pueden transferirse sin problemas a otro módulo NGFW.
Figura 4 Desvío de tráfico basado en PBR con módulos NGFW con equilibrio de carga que funcionan en modo de enrutamiento
Como se muestra en la parte derecha de la Figura 4, para mejorar el ancho de banda y la confiabilidad del enlace, agrupe las interfaces Ethernet internas entre el switch y los módulos NGFW. El switch reenvía el tráfico al módulo NGFW a través de Eth-Trunk.
Dos módulos NGFW están instalados en la ranura 1 y la ranura 2 del switch. Para comprender la dirección de reenvío de tráfico, consulte la Figura 5.
Figura 5 Redes lógicas para el equilibrio de carga en modo enrutado (desviación de tráfico basada en PBR).
Mapa de configuración
La hoja de ruta de configuración es la siguiente:
1. Configure las interfaces en el conmutador conectado a los módulos NGFW y los enlaces utilizados para transmitir el tráfico a los módulos NGFW.
2. Configure la redirección (PBR) en el conmutador para reenviar el tráfico a los módulos NGFW.
3. Configure las interfaces en los módulos NGFW conectados al conmutador y los enlaces utilizados para transmitir el tráfico al switch.
4. Configure el modo de hot standby en los módulos NGFW.
5. Crear una política de seguridad en los módulos NGFW.