PICC 防火墻實(shí)施步驟

　當(dāng)前 PICC 兩臺 McA fee 防火墻運(yùn)行在雙機(jī)模式下。目前的狀態(tài)如下：

　 兩臺防火墻分別名為：sw1.picc.com.cn

　和 sw2.picc.com.cn,當(dāng)前為雙機(jī)運(yùn)行模式。

　Sw1.picc.com.cn 的網(wǎng)絡(luò)配置如下：

　外網(wǎng)端口為 em2 ,IP 為 10.3.3.81 （aliases IP 為 10.3.3.80）

　內(nèi)網(wǎng)端口為 em1 和 em0. IP 地址分別為:172.16.16.202(aliases IP 為 172.16.16.201)和 10.1.1.252（aliases IP 為 10.1.1.254）

　心跳端口為 em3，IP 地址為 192.168.100.1（aliases IP 為 192.168.100.3）

　 S6032 (sw1.picc.com.cn): EM0(external) 10.3.3.81 /24 EM1(internal) 10.1.1.252 /24 EM3(internal) 172.16.16.202 /24 EM7(heartbeat) 192.168.100.1/24 Mgr1(management)192.168.1.111/24

　 Sw2.picc.com.cn 的網(wǎng)絡(luò)配置如下：

　 外網(wǎng)端口為 em2 ,IP 為 10.3.3.82 （aliases IP 為 10.3.3.80）

　內(nèi)網(wǎng)端口為em1和em0. IP地址分別為:172.16.16.203(aliases IP為172.16.16.201)和 10.1.1.253（aliases IP 為 10.1.1.254）

　心跳端口為 em3，IP 地址為 192.168.100.2 （aliases IP 為 192.168.100.3）

　 S6032 (sw2.picc.com.cn): EM0(external) 10.3.3.82 /24 EM1(internal) 10.1.1.253 /24 EM3(internal) 172.16.16.203 /24 EM7(heartbeat) 192.168.100.2/24 Mgr1(management)192.168.1.222/24

　雙機(jī)虛地址為：

　心跳線由一根網(wǎng)線組成，虛 IP 分別為：

　外網(wǎng)：10.3.3.80 內(nèi)網(wǎng)：10.1.1.254 內(nèi)網(wǎng)：172.16.16.201 心跳：192.168.100.3

　也就是表明，當(dāng)前兩臺防火墻共用一個(gè)外網(wǎng)地址 10.3.3.80， 兩個(gè)內(nèi)網(wǎng)地址 10.1.1.254和 172.16.16.201. 為了完成對當(dāng)前設(shè)備的正常割接，我們需要對新設(shè)備進(jìn)行初始化設(shè)置和雙機(jī)安裝。首先進(jìn)行新設(shè)備 SW1 的配置。

　 線下的配置：

　SW1 的配置：

　開機(jī)畫面

　 同意 license 許可，并輸入 Y 進(jìn)入下一步。

　按照以上截圖中相關(guān)信息進(jìn)行填寫，這里的信息可以非正式。

　 此截圖配置此防火墻為標(biāo)準(zhǔn)模式（路由模式），并允許基本的網(wǎng)絡(luò)訪問服務(wù)。

　 以上截圖為配置的重點(diǎn)。需要注意，external IP 即為外網(wǎng) IP(10.3.3.81)，internal IP 即為內(nèi)網(wǎng)IP(172.16.16.202)。默認(rèn)只有內(nèi)網(wǎng) IP 可以被訪問和登錄。依次輸入 DNS(202.106.0.20)和默認(rèn)網(wǎng)關(guān)(10.3.3.3)。

　 設(shè)置登錄防火墻的初始用戶名和密碼。這里設(shè)置的用戶名為 swadmin 密碼為 admin123

　待完成密碼設(shè)置后，防火墻配置即告完成，輸入 A 表示同意以上配置。并回車，系統(tǒng)會(huì)自動(dòng)進(jìn)行服務(wù)重啟，當(dāng)看到 login 登錄標(biāo)識即表示防火墻已經(jīng)初始化完成。

　 在安裝了 McAfee Admin console 的機(jī)器上打開此程序，并添加 SX1 的 IP 到程序中。即可登錄進(jìn)行管理。

　到此已經(jīng)可以正常使用防火墻了。接下來進(jìn)行 license 激活和軟件更新。

　進(jìn)入 maintenance 選項(xiàng)，并找到 license 一項(xiàng)。點(diǎn)擊 acitvate firewall 即可激活 license。但需要注意，此時(shí)的 firewall 一定要能夠訪問外網(wǎng)。否則無法從 McAfee license 服務(wù)器中取到此設(shè)備的 license。

　軟件更新

　 然后到 software management 中升級當(dāng)前防火墻到最新的軟件版本。接下來就是對時(shí)區(qū)的設(shè)置。

　更改時(shí)區(qū)：

　為了更加清晰的了解當(dāng)前防火墻的端口配置，可到 Network 選項(xiàng)下的 interfaces 里查看當(dāng)前已經(jīng)配置的端口及其對應(yīng)的 IP 地址。

　查看網(wǎng)絡(luò)端口：

　 查看網(wǎng)絡(luò)區(qū)域：

　 完成 SW1 的初始安裝，接下來進(jìn)行 SW2 的安裝，同樣首先開啟該設(shè)備。

　SW2 的配置：

　 同意 license 許可，并輸入 Y 進(jìn)入下一步。

　按照以上截圖中相關(guān)信息進(jìn)行填寫，這里的信息可以非正式。

　 此截圖配置此防火墻為標(biāo)準(zhǔn)模式（路由模式），并允許基本的網(wǎng)絡(luò)訪問服務(wù)。

　以上截圖為配置的重點(diǎn)。需要注意，external IP 即為外網(wǎng) IP(10.3.3.82)，internal IP 即為內(nèi)網(wǎng)IP(172.16.16.203)。默認(rèn)只有內(nèi)網(wǎng) IP 可以被訪問和登錄。依次輸入 DNS(202.106.0.20)和默認(rèn)網(wǎng)關(guān)(10.3.3.3)。

　設(shè)置登錄防火墻的初始用戶名和密碼。同樣的，我們在 SW2 里也設(shè)置了同樣的用戶名和密

　碼。用戶名為 swadmin 密碼為 admin123

　待完成密碼設(shè)置后，防火墻配置即告完成，輸入 A 表示同意以上配置。并回車，系統(tǒng)會(huì)自動(dòng)進(jìn)行服務(wù)重啟，當(dāng)看到 login 登錄標(biāo)識即表示防火墻已經(jīng)初始化完成。

　 在安裝了 McAfee Admin console 的機(jī)器上打開此程序，并添加 SX2 的 IP 到程序中。即可登錄進(jìn)行管理。

　到此 SW2 已經(jīng)可以正常使用了。接下來進(jìn)行 license 激活和軟件更新。

　 進(jìn)入 maintenance 選項(xiàng)，并找到 license 一項(xiàng)。點(diǎn)擊 acitvate firewall 即可激活 license。同樣的，此時(shí)的 firewall 一定要能夠訪問外網(wǎng)。否則無法從 McAfee license 服務(wù)器中取到此設(shè)備的 license。

　 軟件更新

　SW2 也需要把軟件更新到最新的版本，保證和 SW1 的軟件版本一致。

　 更改時(shí)區(qū)：

　更改時(shí)區(qū)到中國北京

　查看網(wǎng)絡(luò)端口：

　為了更加清晰的了解當(dāng)前防火墻的端口配置，可到 Network 選項(xiàng)下的 interfaces 里查看當(dāng)前已經(jīng)配置的端口及其對應(yīng)的 IP 地址。

　查看網(wǎng)絡(luò)區(qū)域：

　到此 SW2 的基本配置已經(jīng)完成，防火墻已經(jīng)運(yùn)行正常，接下來需要進(jìn)行配置的備份。

　按照以下截圖，備份 SW1,SW2 的配置到本機(jī)和管理服務(wù)器。

　 由于 PICC 采用雙機(jī)部署，所以，為了能夠完成正常的割接，我們需要把這兩臺新的設(shè)備配置為雙機(jī)，并保證所配置的 IP 地址和虛地址和當(dāng)前在線的舊防火墻一致。

　雙機(jī)配置：

　雙機(jī)配置需要建立一個(gè)心跳連接。如下圖所示我們需要先建立一個(gè) heartbeat 區(qū)域。取名為 heartbeat。

　Sw1 設(shè)備上的配置:

　 我已經(jīng)添加了一個(gè) Heartbeat 區(qū)域，并綁定了網(wǎng)卡 em2 到該區(qū)域，設(shè)置了 IP 地址為192.168.0.200.

　 Sw2 設(shè)備上的配置:

　 我們在 SW2 上也添加了一個(gè) Heartbeat 區(qū)域，并綁定了網(wǎng)卡 em2 到該區(qū)域，設(shè)置了 IP 地址為 192.168.0.1.

　 HA 集群配置過程：

　 點(diǎn)擊 maintenance 里的 cluster wizard。即可開啟一個(gè)集群配置的向?qū)А?/p>

　 我們采用主/備雙機(jī)模式

　 設(shè)定 內(nèi)網(wǎng)口的虛 IP 地址為 192.168.206.23， 外網(wǎng)口的虛 IP 地址為 10.3.3.30. 心跳虛 IP 地址為 192.168.0.99

　 在 SW1 上的集群已經(jīng)建立完成，通過下圖可驗(yàn)證當(dāng)前 SW1 已經(jīng)出現(xiàn)了 high availability 的組別。并且 SW1 已經(jīng)為 pirmary 角色。

　Sw1 的狀態(tài)已經(jīng)變?yōu)榱巳缦聽顟B(tài)：

　 隨即需要在 SW1 上添加鄰居的心跳地址到 pair members 里。并設(shè)定共享密匙為 admin123.鄰居的名字為 sw2.picc.com.cn。

　 添加完成后狀態(tài)如上圖。

　 接下來需要把 SW2 加入到 sw1 中：

　在 SW2 中點(diǎn)擊 maintenance 里的 cluster wizard。即可開啟一個(gè)集群配置的向?qū)А?/p>

　 點(diǎn)擊加入存在的集群。

　并輸入密匙和對端心跳的地址 192.168.0.200.

　 如圖，集群成功建立。

　集群安裝完成：

　此圖顯示 SW1 為主設(shè)備，SW2 為備用設(shè)備。

　 其登錄地址已經(jīng)變?yōu)榱?share IP：

　 到此，新設(shè)備的雙機(jī)已經(jīng)完成。

　 完成了新設(shè)備的雙機(jī)安裝后，接著需要進(jìn)行如下部分的配置：

　1. 配置相關(guān)靜態(tài)路由。

　2. 配置 DNS 地址。

　(202.106.0.20) 3. 添加網(wǎng)絡(luò)服務(wù)。

　4. 添加網(wǎng)絡(luò)對象。

　5. 添加防火墻策略，并保證和舊的防火墻策略一致。

　完成以上配置，并保存一次配置，即可進(jìn)行正式的網(wǎng)絡(luò)割接工作。

　上線 割接 配置 步驟：

　由于當(dāng)前機(jī)房電力供應(yīng)緊張，所以需要較為繁瑣的割接過程。我們需要分兩個(gè)部分來完成本次割接，首先是準(zhǔn)備階段。

　辦公室準(zhǔn)備部分：

　為了不對網(wǎng)絡(luò)造成影響，我們首先需要在辦公室把兩臺新設(shè)備升級到最新的軟件版本。

　然后，分別按照機(jī)房的舊有設(shè)備的 IP 配置到新設(shè)備上(SW1.picc.com.cn 對應(yīng)新的 SW1，SW2.picc.com.cn 對應(yīng) SW2)，然后配置兩臺新設(shè)備為雙機(jī)模式。

　機(jī)房割接部分：

　兩臺設(shè)備已經(jīng)按照舊有設(shè)備完全配置。我們采用如下步驟進(jìn)行割接。

　 1. 首先關(guān)閉舊有設(shè)備角色為 standby(備)的防火墻，此時(shí)不用拔掉網(wǎng)線。

　2. 然后開啟新設(shè)備為 primary（主）角色 SW1 防火墻，此時(shí)不用插上網(wǎng)線。用筆記本接入 SW1 的管理口，并測試可通過 share IP 管理防火墻,并登錄進(jìn)入防火墻，確認(rèn)當(dāng)前防火墻的角色為 primary 角色。由于新設(shè)備已經(jīng)被配置為雙機(jī)模式，此時(shí)，即使備機(jī)SW2 沒有在線，share IP 應(yīng)該也是可以工作的。該測試必須測試直到成功為止。然后進(jìn)入下一步。

　 3. 拔掉舊防火墻角色為 primary（主）的設(shè)備的內(nèi)網(wǎng)和外網(wǎng)網(wǎng)線，然后插入到新的防火墻角色為 primary（主）的內(nèi)網(wǎng)和外網(wǎng)接口中。

　測試：

　測試網(wǎng)絡(luò)訪問是否正常。（可通過登錄防火墻后臺 ping www.sina.com.cn。或登陸內(nèi)部一臺服務(wù)器訪問外網(wǎng)。測試是否可以訪問）

　如果正常，關(guān)閉舊的 primary（主）防火墻電源，并啟動(dòng)新的 standby（備）防火墻電源。

　如果不正常（網(wǎng)絡(luò)不通，內(nèi)網(wǎng)無法訪問外網(wǎng)），把拔掉的網(wǎng)線再重新插入到舊的 primary（主）防火墻上。

　（此部分很重要）

　4. 拔下舊防火墻角色為 standby（備）的設(shè)備內(nèi)網(wǎng)和外網(wǎng)網(wǎng)線，并插入到新的防火墻角色為 standby（備）的內(nèi)網(wǎng)和外網(wǎng)接口中。

　5. 查看雙機(jī)是否正確識別，確認(rèn)主墻和備墻狀態(tài)。

　6. 測試網(wǎng)絡(luò)連通性。

　7. 割接完成。

　回退步驟：把內(nèi)網(wǎng)和外網(wǎng)接口插回到舊防火墻上。請查看割接部分第 3 點(diǎn)。

　 附：日常管理規(guī)范：

　為了保證最優(yōu)的防火墻利用率和管理便捷性，建議管理員按照如下規(guī)則進(jìn)行策略制定和日常管理：

　1. 定期登錄防火墻，進(jìn)行配置備份。

　 2. 制定規(guī)范的命名規(guī)則。

　建議采用按服務(wù)對象分組命名。例如如下的 NetScaller 策略組.

　上圖能看到策略組為 NetScaller,表示該組下的所有策略均與 NetScaller 有關(guān)。方便進(jìn)行管理和識別。

　禁止出現(xiàn)如下方式：

　 該圖為未分組策略，無法清晰的識別對應(yīng)的服務(wù)和所屬的組別。

　3. 添加備注和說明 當(dāng)添加任何網(wǎng)絡(luò)對象，服務(wù)或策略的時(shí)候，最好在后端添加備注和說明。以方便識別。如下為正確的設(shè)置：

　非正式的設(shè)置如下：

　4. 制定策略時(shí)間性 制定策略的有效期，對制定的策略進(jìn)行時(shí)效性制定。測試的策略規(guī)定有效期，過期作廢。

　永久策略需標(biāo)明。

　配置截圖如下：

　5. 管理員密碼定期更改 雖然我們采用 C/S 架構(gòu)進(jìn)行管理，安全性已經(jīng)達(dá)到較高水平，但為了更加安全，建議定期進(jìn)行密碼修改，具體可參見 PICC 內(nèi)部 IT 管理相關(guān)規(guī)范。

推薦訪問： 實(shí)施方案 防火墻