安全无小事！近段时间“密码泄露”事件闹得沸沸扬扬，人心惶惶。先是CSDN用户数据库的泄露，这对从事计算机技术工作的人员来说可谓是当头一棒。因为绝大多数IT技术工作者都在CSDN注册过账号，而且几乎都是使用同一个用户名和密码，注册了其它类的技术网站。发生“CSDN用户数据库泄露”事件后，反正我是赶紧把自己在用的许多技术类网站的密码都改了过来。但是刚改完没多久，又出现了天涯、新浪微博等泄密事件。真是防不胜防！

　　难道互联网上就没有安全的地方了吗？我认为还是有的，要不然也没有这么多人使用互联网。只不过近段时间接二连三暴露的问题太多了。不过，有了问题只要通过各种安全措施把它解决了，同样可以提高互联网的安全性。本文就涉及到企业网络中防火墙设备部署、安装和配置。虽然防火墙不能解决所有的安全问题，但它在网络中的部署也是绝对不能少的。

图1　单位网络架构和防火墙部署图示

　　一、网络架构和防火墙部署情况

　　单位网络结构图如图1所示。为了确保重要设备的稳定性和冗余性，核心层交换机使用两台6509-E，通过Trunk线连接。在办公区的接入层使用了多台Cisco 2960交换机，图示为了简洁，只画出了两台。在核心层交换机6509-E上，通过防火墙连接有单位重要的服务器，如FTP、E-MAIL服务器和数据库等。单位IP地址的部署，使用的是C类私有192网段的地址。DHCP服务器的IP地址为192.168.10.1，FTP服务器的IP地址是192.168.5.2。Cisco 6509-E和Cisco 3750之间，以及Cisco 3750和Cisco 2960之间都是Trunk连接。

　　图1中的橘黄色线表示的是用光纤连接，蓝色线表示的是用双绞线连接。而且从两台6509上分别延伸出来了的两条黄色线，一条竖线和一条横线，它们在拓扑图中其实是对两台6509上端口的一种扩展，并不是这两条线只连接到6509上的一个端口，而是连接了多个端口。这种布局的拓扑图，在结构上就显得更清晰明了。

　　单位根据部门性质的不同，把各个部门的电脑划入到不同的VLAN中。服务器都位于VLAN 2至VLAN 10中，对应的网络号是192.168.2.0~192.168.10.0，如DHCP服务器位于VLAN 10中，FTP服务器位于VLAN 5中。服务器的IP地址、默认网关和DNS都是静态配置的。VLAN 11至VLAN 150是属于办公部门使用的，对应的网络号是192.168.11.0~192.168.150.0。VLAN号和网络号之间都是对应的。VLAN中的PC都是通过Cisco 2960接入到网络中，3750都是二层配置，三层的配置都在Cisco 6509上，也就是VLAN间的路由都是通过6509完成的。PC的IP地址、默认网关和DNS都是自动从DHCP服务器上获得的，不用手工静态配置。

　　如图1所示，两台防火墙都是联想Power V防火墙，它们运行的模式都为透明模式，也就是以“桥”模式运行的，本身只需要配置一个管理IP地址，不必占用任何其它的IP资源，也不需要改变用户的拓扑环境，设备的运行对用户来说是“透明”的，在网络设备上进行各种命令的配置时，就当不存在这两个防火墙一样，因为它们是透明模式。它们只对线路上的数据包作安全检查，和安全策略上的限制，本身不会影响网络的整体架构和配置。这种模式在安装和维护防火墙时，相对防火墙的另外一种运行模式——路由模式，来说要简单很多。

　　Cisco 6509-E和核心区Cisco 2960之间不是Trunk模式连接，而是使用接入模式连接的，也就是两台Cisco 6509-E的Gi3/2位于VLAN 5中，核心区两台Cisco 2960的Gi0/1也位于VLAN 5中。两台6509和两台3750之间，以及办公区中网络设备间的连接情况如下所示：

　　Cisco 6509-E1 GigabitEthernet 3/1 <----> Cisco3750A GigabitEthernet 1/0/25
　　Cisco 6509-E2 GigabitEthernet 3/1 <----> Cisco3750B GigabitEthernet 1/0/25
　　Cisco 3750A GigabitEthernet 1/0/1 <-----> Cisco 2960A GigabitEthernet 0/1
　　Cisco 3750B GigabitEthernet 1/0/1 <-----> Cisco 2960B GigabitEthernet 0/1

　　两台6509和两台防火墙之间的，以及核心区中网络设备间的连接情况如下所示：

　　Cisco 6509-E1 GigabitEthernet 3/2 <-----> FW-A GigabitEthernet 1
　　Cisco 6509-E2 GigabitEthernet 3/2 <-----> FW-B GigabitEthernet 1
　　FW-A GigabitEthernet 2 <-----> Cisco 2960A GigabitEthernet 0/1
　　FW-B GigabitEthernet 2 <-----> Cisco 2960B GigabitEthernet 0/1

　　二、主要网络设备上的配置情况

　　1、两台核心交换机上的配置情况。在Cisco 6509-E1上的主要配置如下所示：

　　hostname Cisco 6509-E1
　　!
　　interface GigabitEthernet3/1
　　description Link3750A_1/0/25
　　switchport trunk encapsulation dot1q
　　switchport trunk allowed vlan 5,115
　　switchport mode trunk
　　!
　　interface GigabitEthernet3/2
　　description Link_FW-A_Gi1
　　switchport access vlan 5
　　switchport mode access
　　!
　　interface Vlan5
　　ip address 192.168.5.252 255.255.255.0
　　standby 5 ip 192.168.5.254
　　standby 5 priority 120
　　standby 5 preempt
　　!
　　interface Vlan115
　　ip address 192.168.115.252 255.255.255.0
　　standby 115 ip 192.168.115.254
　　standby 115 priority 120
　　standby 115 preempt

　　其中命令“ip address 192.168.5.252 255.255.255.0”是给指定的VLAN配置IP地址。

　　命令“standby 5 priority 120”中的“priority”是配置HSRP的优先级，5为组序号，它的取值范围为0～255，120为优先级的值，取值范围为0～255，数值越大优先级越高。

　　优先级将决定一台路由器在HSRP备份组中的状态，优先级最高的路由器将成为活动路由器，其它优先级低的路由器将成为备用路由器。当活动路由器失效后，备用路由器将替代它成为活动路由器。当活动和备用路由器都失效后，其它路由器将参与活动和备用路由器的选举工作。优先级都相同时，接口IP地址高的将成为活动路由器。

　　“preempt”是配置HSRP为抢占模式。如果需要高优先级的路由器能主动抢占成为活动路由器，则要配置此命令。配置preempt后，能够保证优先级高的路由器失效恢复后总能成为活动路由器。活动路由器失效后，优先级最高的备用路由器将处于活动状态，如果没有使用preempt技术，则当活动路由器恢复后，它只能处于备用状态，先前的备用路由器代替其角色处于活动状态。

　　命令“standby 5 ip 192.168.5.254”作用是启动HSRP，如果虚拟IP地址不指定，路由器就不会参与备份。虚拟IP应该是接口所在的网段内的地址，不能配置为接口上的IP地址。

　　在Cisco 6509-E2上的主要配置如下所示：

　　hostname Cisco 6509-E2
　　!
　　interface GigabitEthernet3/1
　　description Link3750B_1/0/25
　　switchport trunk encapsulation dot1q
　　switchport trunk allowed vlan 5,115
　　switchport mode trunk
　　!
　　interface GigabitEthernet3/2
　　description Link_FW-B_Gi1
　　switchport access vlan 5
　　switchport mode access
　　!
　　interface Vlan5
　　ip address 192.168.5.253 255.255.255.0
　　standby 5 ip 192.168.5.254
　　standby 5 priority 120
　　standby 5 preempt
　　!
　　interface Vlan115
　　ip address 192.168.115.253 255.255.255.0
　　standby 115 ip 192.168.115.254
　　standby 115 priority 120
　　standby 115 preempt

　　2、在办公区两台Cisco 3750和两台Cisco 2960上的配置情况。在Cisco 3750A上的配置：

　　hostname Cisco3750A
　　!
　　interface GigabitEthernet1/0/25
　　description Link6509-E1 3/1
　　switchport trunk encapsulation dot1q
　　switchport trunk allowed vlan 5,115
　　switchport mode trunk
　　!
　　interface GigabitEthernet1/0/1
　　description Link2960A 0/1
　　switchport trunk encapsulation dot1q
　　switchport trunk allowed vlan 5,115
　　switchport mode trunk

　　在Cisco 3750B上的配置：

　　hostname Cisco3750B
　　!
　　interface GigabitEthernet1/0/25
　　description Link6509-E2 3/1
　　switchport trunk encapsulation dot1q
　　switchport trunk allowed vlan 5,115
　　switchport mode trunk
　　!
　　interface GigabitEthernet1/0/1
　　description Link2960B 0/1
　　switchport trunk encapsulation dot1q
　　switchport trunk allowed vlan 5,115
　　switchport mode trunk

　　在Cisco 2960A上的配置：

　　hostname Cisco2960A
　　!
　　interface GigabitEthernet0/1
　　description Link3750A 1/0/1
　　switchport trunk encapsulation dot1q
　　switchport trunk allowed vlan 5,115
　　switchport mode trunk

　　在Cisco 2960B上的配置：

　　hostname Cisco2960B
　　!
　　interface GigabitEthernet0/1
　　description Link3750B 1/0/1
　　switchport trunk encapsulation dot1q
　　switchport trunk allowed vlan 5,115
　　switchport mode trunk

　　3、在核心区两台Cisco 2960上的主要配置情况如下所示。在Cisco 2960A上的配置：

　　hostname Cisco2960A
　　!
　　interface GigabitEthernet0/1
　　description Link3750A 1/0/1
　　switchport access vlan 5
　　switchport mode access

　　在Cisco 2960B上的配置：

　　hostname Cisco2960B
　　!
　　interface GigabitEthernet0/1
　　description Link3750B 1/0/1
　　switchport access vlan 5
　　switchport mode access

　　注意，在办公区和核心区中Cisco 2960交换机上的配置情况是不一样的，前者交换机上的端口的配置为Trunk模式，而后者的端口模式为Access模式。