解决方案
本项目的设计思想如下:通过checkpoint防火墙的强大功能实现DMZ区,Internet的安全防护和访问控制。
一共四台CP4600,其中两台防火墙为一组实施HA的高可用性功能,实现互相冗余,互为备份,在实际的生产中做到无缝结合,保证网络的高效无风险
在防火墙的管理上,两组防火墙实现分布式部署结构,分别通过本地和远程的管理服务器smartcenter对做HA的防火墙进行管理。
下图为本次项目的网络拓扑图,在图中我们可以看到在AREA129区,各两组防火墙都实施了HA,保证了网络的整体安全和高可用性。
针对两组cp4600做HA的情况,其中关键的是一组互联网安全防火墙的实施。两条链路电信和联通,分别做链路负载,各接入到CP4600防火墙port1和port2接口。Prot3和port4接口设备为DMZ1和DMZ2的接入口。Port5则为与另一组防火墙的互联口。而port6是这组防火墙的心跳口。
如下图,互联网安全防火墙的物理拓朴,两DMZ区经过port1和port2口对外发布应用,并且DMZ1和DMZ2区的数据流是经过port3和port4口,防火墙对这些数据流都进行安全保护。
两组CP4600防火墙的接口参数。根据这两组防火墙的部署需求,将下面详细的接口参数设置进防火墙接口中,并配置好防火墙的链路备份功能,防火墙双机HA功能,和防火墙策略和NAT策略的基础。
两组CP4600防火墙的接口参数。根据这两组防火墙的部署需求,将下面详细的接口参数设置进防火墙接口中,并配置好防火墙的链路备份功能,防火墙双机HA功能,和防火墙策略和NAT策略的基础。
两组CP4600防火墙的接口参数。根据这两组防火墙的部署需求,将下面详细的接口参数设置进防火墙接口中,并配置好防火墙的链路备份功能,防火墙双机HA功能,和防火墙策略和NAT策略的基础。两组CP4600防火墙的接口参数。根据这两组防火墙的部署需求,将下面详细的接口参数设置进防火墙接口中,并配置好防火墙的链路备份功能,防火墙双机HA功能,和防火墙策略和NAT策略的基础。
两组CP4600防火墙的接口参数。根据这两组防火墙的部署需求,将下面详细的接口参数设置进防火墙接口中,并配置好防火墙的链路备份功能,防火墙双机HA功能,和防火墙策略和NAT策略的基础。