部署方案

• 防火墻拉起時使用的子網需避免與客戶業務網絡處于同一子網，建議新起一段管理子網專用于防火墻管理，作為單點跳轉使用；trust域所在子網需與客戶業務子網互通。
• 裝好NF鏡像后，單臺需要新增至少3張網卡，一張trust、一張untrust、一張dmz的VRRP心跳口專用網卡，結合初始拉起鏡像時自帶的主網卡作為M口管理，單臺設備共計需要4張網卡（單臂部署則需要三張）。
• 在虛擬云網絡中至少申請三個虛IP作為兩設備間的兩兩網卡綁定的虛擬切換地址。

前提條件

• 已完成主備NF的部署，收集NF防護云服務器的一些信息；服務器站點以及端口和對應的主機的地址。
• 部署前檢查控制臺環境。
  1. 確保用戶服務器站點沒過NF設備前，是能正常訪問的。
  2. 確保防火墻與客戶業務是否處于同一VPC （與客戶業務處在不同VPC得做對等連接）。
  3. NF設備和服務器安全組是否做了限制。

注意
安全組配置：請確保防火墻VRRP所綁定網卡處于同一安全組，且將VRRP報文通報端口置于放通狀態。

網絡規劃

子網及示例IP規劃如下：

網卡
子網
NF1 IP
NF2 IP
虛擬IP
Manager
192.168.0.0/24
192.168.0.5
192.168.0.9
-
Turst
192.168.2.0/24
192.168.2.5
192.168.2.6
192.168.2.7
Untrust
192.168.3.0/24
192.168.3.3
192.168.3.4
192.168.3.5
DMZVRRP
192.168.4.0/24
192.168.4.5
192.168.4.6
192.168.4.7

天翼云控制臺配置

1. 登錄云等保專區控制臺。

2. 在左側導航欄，選擇“下一代防火墻”，查看下一代防火墻所在VPC。

   

3. 在防火墻同VPC內新建子網。新建子網詳細操作請參見創建子網。

   說明
   單臺防火墻需要新增至少3張網卡，一張trust、一張untrust、一張dmz的VRRP心跳口專用網卡。
   結合初始創建防火墻時自帶的主網卡作為M口管理，單臺設備共計需要4張網卡。
   

   

4. 為防火墻設備綁定網卡。

   說明
   防火墻云主機綁定網卡時所選子網先后順序需保持一致，為云主機綁定網卡詳細操作請參見綁定網卡。
   若綁定網卡時遇到問題，可聯系天翼云工作人員。
   

5. 申請虛擬IP地址并綁定至防火墻設備的網卡。

   說明
   請按照以下步驟申請并綁定虛擬IP：
   共需根據防火墻子網所在網段購買三個虛擬IP，基于步驟3所創建的三個子網進行申請虛擬地址。申請虛擬IP詳細操作請參見申請虛擬IP地址。
   將申請的虛擬地址綁定至新建的彈性網卡，詳細操作請參見綁定虛擬IP。
   將新建的網卡兩兩綁定至虛擬IP。
   綁定完成后，需重啟兩臺添加了網卡的防火墻云主機，讓設備重新識別網卡。
   若綁定虛擬IP時遇到問題，可聯系天翼云工作人員協助處理。
   

NF界面配置

登錄下一代防火墻

1. 登錄云等保專區控制臺。

2. 在左側導航欄，選擇“下一代防火墻”，單擊操作列的“配置”，即可單點登錄至下一代防火墻。

   

配置NF網卡接口

創建trust,untrust,dmz。如下步驟以GE4/0口為例，其他接口配置步驟類似。

1. 點擊防火墻Web界面“網絡-接口-接口-GE4/0的編輯按鈕”。

   

2. 點擊安全域進行域規劃（示例中GE4/0口為DMZ域即VRRP心跳口）。

   

3. 地址設置。

   點擊編輯頁中的“IPV4地址-DHCP”使接口自動獲取IP地址。

   

4. 重復以上操作將兩臺防火墻四個接口均獲取到地址。

   NF1：
   
   NF2：

   

5. 點擊右上角保存接口配置。

   

配置NF高可用

1. 點擊“系統-高可靠性”，單擊“配置”。

   

2. 在頁面右側彈出的配置雙擊熱備頁面，開啟設備高可靠性。填入本端IP及對端IP，以GE4/0為通信通道開啟1分鐘搶占。

   備機同此配置，將本端與對端地址正確填寫后確認保存配置。

   

3. 開啟防火墻VRRP設置。點擊防火墻“系統 > 高可靠性 > VRRP”，單擊“新建”。

   

4. 在頁面右側彈出的VRRP配置頁面，配置VRRP備份組參數。

   參數	說明
   備份組所在的接口	選擇GE4/0為備份組所在接口。
   備份組號	自定義。
   雙擊熱備狀態	主機選擇active組，備機選擇standby。
   虛擬IP	填寫在云平臺申請的虛擬IP地址/32位掩碼。
   優先級	自定義。
   搶占模式	主備均可開啟搶占。

   

5. 由于云平臺的單播特性，需進入防火墻VNC界面將VRRP報文限制為真實MAC通報。

   1. 聯系天翼云工作人員獲取VNC遠程連接，進入VNC界面。
   2. 鍵入賬號密碼登錄防火墻后，輸入 sys進入系統視圖。
   3. 然后輸入 undo vrrp virtual-mac enable，限制其虛擬MAC通報（主備均需限制）。

   

6. 以上配置完成后，單擊“系統 > 高可靠性”，查看高可用狀態。