某运营商IP Tracing集采项目配套防火墙项目

　　一、项目背景

　　在《互联网信息服务管理办法》第十四条中规定：互联网接入服务提供者应当记录上网用户的上网时间、用户帐号、互联网地址或者域名、主叫电话号码等信息。互联网信息服务提供者和互联网接入服务提供者的记录备份应当保存60日，并在国家有关机关依法查询时，予以提供。

　　依以上规定，某运营商建设用户上网日志查询系统，分别对公司的WAP、分组域、WLAN、上网本等上网方式进行日志查询。对于分组域根据集团规范，需实现分组域的日志留存系统，保存用户上网的日志信息。

　　二、网络拓扑

　　此项目采用H3C的NS-SecPath-F1000-S-AI防火墙为核心设备隔离内网和CMNET，SecPath F1000-S-AI是H3C公司面向大型企业和运营商用户开发的新一代电信级防火墙设备。SecPath F1000-S-AI采用了H3C公司最新的硬件平台和体系架构，实现防火墙性能的跨越式突破，可支持万兆接口、数十个GE接口，能满足电信级应用的需求。

　　防火墙分配3个CMNET地址连接到CMNET网，分配3个内网地址，与本机房的交换机及Hunter、前置机连接，防火墙与之使用一个29位的内网地址段。

　　防火墙建立IP隧道到交流中心站连接到CMNET的防火墙以实现分站点到中心站的网络通信。

　　交换机分配3个内网地址与本机房的防火墙使用一个29位内网地址段，分配3个内网地址与本机房主机、盘阵、IDS、网管采集机使用一个26位地址段。

　　交换机划分2个vlan，分别为与防火墙连接的vlan和与本机房设备连接的vlan。

　　三、配置注意事项

　　项目的实施过程中防火墙配置应注意以下事项：

　　1. 升级设备版本：

　　先进行设备升级，升级至Release3719

　　2. VRRP配置：

　　下行接口的VRRP应TRACK上行接口，接口VRRP track interface后reduce应配置大于10

　　3. NAT配置：

　　NAT地址池应使用VRRP虚地址，不能直接使用接口地址做easyip

　　4. VPN配置：

　　IPSEC source使用VRRP地址，增加DPD配置

　　5. 策略规划：

　　untrust到local域间策略至少配置允许vrrp/http/ssh/ike/ipsec-esp，ping(割接时测试使用)，deny其它协议，保障防火墙本身安全。untrust到trust域间策略请注意允许对端VPN私网网段地址

　　6. 用户安全：

　　防火墙上公网后，增加管理用户名，删除原有admin账号

　　四、建设成果

　　分组域日志服务提供用户通过CMNET、CMTDS访问的可查询日志上报、查询接口的功能实现，通过在分组域中建设Gn口流量采集设备、日志采集服务器等硬件设备，实现Gn流量的采集分析，防火墙NAT的采集，日志数据的匹配保存、对外的查询接口、对外的上报接口、网管接口等软件功能。为上报网关和查询系统提供了数据基础。

2016年01月