可資源化的安全部署
【51CTO.com 綜合報道】在虛擬園區(qū)網(wǎng)2.0解決方案大規(guī)模部署的情況下,當(dāng)網(wǎng)絡(luò)資源通過IRF2技術(shù)橫向整合和VPN技術(shù)縱向隔離,形成了分層分業(yè)務(wù)的虛擬化后,安全的資源化如何與網(wǎng)絡(luò)的資源化相匹配,形成網(wǎng)絡(luò)與安全的整體資源部署,是虛擬園區(qū)網(wǎng)設(shè)計中的重點(diǎn)。 FW、NAT、SSL VPN、IPS、NetStream、ACG(應(yīng)用控制網(wǎng)關(guān))等園區(qū)網(wǎng)內(nèi)的安全技術(shù)和相關(guān)產(chǎn)品層出不窮,為了簡化問題 ,從工作模式入手,安全產(chǎn)品大致可以分為兩類:三層工作模式和二層工作模式的產(chǎn)品。另外,從可靠性等方面考慮,又有多種部署方式:Active-Active;Active-Standby。通過工作模式和部署方式的組合,我們挑選出一兩種有代表性的組合方式及以H3C安全產(chǎn)品為例,討論虛擬園區(qū)網(wǎng)2.0中的安全資源化部署的問題。
IRF2環(huán)境下防火墻部署
如圖1所示是通常情況下園區(qū)網(wǎng)絡(luò)匯聚層防火墻的邏輯部署方式,通過在匯聚層面的防火墻部署,可以用更簡單的操作進(jìn)行園區(qū)內(nèi)部或者是每個虛擬網(wǎng)內(nèi)部的訪問控制。
H3C防火墻具備會話同步的熱備份功能,使用專用的一條或兩條帶外線纜(雙機(jī)熱備專線)進(jìn)行兩臺防火墻的會話信息進(jìn)行同步,配合交換網(wǎng)絡(luò)流量切換,可保證單臺防火墻故障時應(yīng)用流量不會中斷。
圖1中兩個組網(wǎng)的物理連接方式相同,但是右圖組網(wǎng)采用IRF2技術(shù)后卻能夠改變整網(wǎng)的邏輯部署,并在設(shè)計上只需要更簡單的考慮。
圖1 防火墻交換機(jī)基本組網(wǎng)結(jié)構(gòu)
以下分別就防火墻的路由模式和透明模式來討論,在IRF2的組網(wǎng)環(huán)境下,安全部署有哪些不同。
防火墻路由模式部署
傳統(tǒng)的防火墻路由模式部署,當(dāng)部署于園區(qū)網(wǎng)匯聚層的話,假設(shè)二層終結(jié)于匯聚層,匯聚和直到核心的網(wǎng)絡(luò)處于同一個OSPF域內(nèi),其三層接口部署一般如圖2所示。
采用Actice-Active方式部署,各防火墻作為獨(dú)立路由運(yùn)行節(jié)點(diǎn)與交換系統(tǒng)組成動態(tài)路由區(qū)域,完全由路由協(xié)議控制數(shù)據(jù)流經(jīng)的防火墻,兩臺防火墻之間相互同步會話狀態(tài)信息,支持非對稱流量安全檢測,這樣全網(wǎng)可見12個路由節(jié)點(diǎn),至少12條路由(不考慮網(wǎng)段路由等其他情況)。
采用Active-Standby方式部署,為了保證負(fù)載分擔(dān),需要采用多VRRP組的部署方式。鑒于核心匯聚交換機(jī)和FW連接接口均為三層接口,需要核心、匯聚、防火墻上分別起兩組VRRP組,才能完成不同路徑下流量的負(fù)載分擔(dān)。
圖2 傳統(tǒng)防火墻路由模式+Active-Active部署
圖3為采用IRF2技術(shù)之后的部署。通過IRF2部署,能夠有效降低網(wǎng)絡(luò)中三層接口數(shù)量和路由表大小,并將核心和核心之間、匯聚和匯聚之間的數(shù)據(jù)交互有效屏蔽在網(wǎng)絡(luò)的二層,簡化了網(wǎng)絡(luò)設(shè)計和運(yùn)維管理需要考慮的問題,從而使得網(wǎng)絡(luò)設(shè)計更簡單。
對于Active-Active組網(wǎng)模式下,如圖3右圖所示,匯聚和核心層面設(shè)備進(jìn)行了橫向整合,整網(wǎng)的三層接口縮減為7個,相應(yīng)的網(wǎng)絡(luò)內(nèi)路由條數(shù)縮減為7條。
而對于Active-Standby部署模式,如圖3左圖所示,當(dāng)整網(wǎng)IRF2整合之后,由于核心和匯聚設(shè)備橫向整合在一起,不但三層接口和路由數(shù)目大為減少,并且只需要在防火墻上起2個VRRP組即可達(dá)到傳統(tǒng)6個VRRP組才能實(shí)現(xiàn)的功能,虛擬化所帶來的好處更加明顯
圖3 防火墻路由模式+交換網(wǎng)絡(luò)IRF2
防火墻透明模式部署
如圖4所示,為防火墻在透明模式下采用IRF2前后的對比。啟用IRF2以后,可以實(shí)現(xiàn)跨鏈路聚合,從而以更簡單的方式實(shí)現(xiàn)了鏈路的負(fù)載分擔(dān)。
傳統(tǒng)的防火墻在匯聚層面透明模式部署的時候(組網(wǎng)如圖4左圖),兩組交換機(jī)與兩臺防火墻的互聯(lián)接口配置兩組連接網(wǎng)段,交換機(jī)對防火墻的端口均采用untagged方式,因此可以保證兩臺防火墻在VLAN的配置上達(dá)到一致,防火墻同時啟動流路徑非對稱能力。兩組交換系統(tǒng)之間可以運(yùn)行動態(tài)路由協(xié)議(防火墻允許相應(yīng)的協(xié)議數(shù)據(jù)通過),所有數(shù)據(jù)流通過等價路由分擔(dān)到兩臺防火墻所在的鏈路上,由于防火墻支持路徑非對稱功能,因此當(dāng)某條數(shù)據(jù)流下行經(jīng)過一臺防火墻而上行經(jīng)過另一臺防火墻時,雙機(jī)的狀態(tài)會話仍能同步保持。
啟用IRF2以后,如圖4右圖所示,利用防火墻inline轉(zhuǎn)發(fā)方式,即防火墻端口配對轉(zhuǎn)發(fā)而不進(jìn)行MAC地址查表轉(zhuǎn)發(fā),將交換機(jī)IRF2系統(tǒng)中不同成員的端口與兩臺防火墻分別連接,只在交換機(jī)IRF2系統(tǒng)端進(jìn)行兩條鏈路的LACP捆綁,這樣將網(wǎng)絡(luò)流量分擔(dān)到不同防火墻,而在交換機(jī)IRF2系統(tǒng)不需要使用等價路由。防火墻允許LACP協(xié)議報文通過,從而保證聚合鏈路的可靠性連接。數(shù)據(jù)流在防火墻往返路徑不一致的情況仍由路徑非對稱功能解決。
圖4 防火墻透明模式傳統(tǒng)部署和IRF2環(huán)境部署對比 #p#
如何實(shí)現(xiàn)安全模塊一分多虛擬化
雖然IRF2實(shí)現(xiàn)了安全的簡單部署,然而安全資源還是不能實(shí)現(xiàn)按需部署的資源化。要達(dá)到這一點(diǎn),需要安全設(shè)備支持一虛多的虛擬化功能,下面以在交換機(jī)上模塊化部署來說明其實(shí)現(xiàn)原理。
圖5 同一虛擬組內(nèi)共享安全資源
如圖5所示,通過IRF2整合,將多個機(jī)框式交換系統(tǒng)整合在一起,邏輯上形成一個大的交換系統(tǒng),在這個系統(tǒng)中,無論安全模塊部署在組內(nèi)的任何一個框上,都能夠被本組的其他框所共享,每個機(jī)框上行流量都能夠基于本身的需求進(jìn)行安全處理,而不必關(guān)心這個安全模塊部署在哪個機(jī)框上。同時,在路由表項,安全策略等方面,基于不同的業(yè)務(wù)可以給予不同的保障,真正實(shí)現(xiàn)了按需分配,組內(nèi)共享的安全資源化,俗稱為“安全模塊一拖N部署”。
圖6 防火墻模塊一虛多在交換系統(tǒng)中的部署
如圖6所示,終端的網(wǎng)關(guān)設(shè)置在防火墻上,防火墻通過VRRP提供冗余,冗余備份組通過靜態(tài)路由下一跳指向IRF2交換機(jī)三層接口,交換機(jī)之間通過IRF2消除了二層接入環(huán)路。在集成防火墻路由模式下,還可以將防火墻進(jìn)行虛擬化,邏輯分割成多個虛擬防火墻實(shí)例提供網(wǎng)絡(luò)安全服務(wù),如圖中對每塊防火墻線卡劃分了多個邏輯實(shí)例,每一對虛擬防火墻工作在A-S方式,可選擇Active實(shí)例分布在兩塊物理線卡上,從而達(dá)到負(fù)載分擔(dān)和冗余備份的能力,實(shí)現(xiàn)防火墻在一個虛擬組內(nèi)如何實(shí)現(xiàn)資源化。
通過一分多的虛擬化技術(shù),可以使不同業(yè)務(wù)或用戶群在同一個IRF2組內(nèi)共享相同的安全硬件,而在邏輯上達(dá)到資源動態(tài)分配的目的,降低了建設(shè)成本,提高了安全服務(wù)的動態(tài)調(diào)配能力,為業(yè)務(wù)的靈活部署提供了有效的支撐。 #p#
MPLS VPN環(huán)境中的防火墻部署
在MPLS VPN組網(wǎng)環(huán)境中,由于以下情況的存在,網(wǎng)絡(luò)匯聚層需要進(jìn)行訪問控制和地址轉(zhuǎn)換:
◆每個VPN內(nèi)部可能存在多個不同的網(wǎng)段,為了有效控制網(wǎng)段間互訪和服務(wù)器與終端間的訪問,需要在匯聚層采用防火墻做單向訪問控制;
◆兩個或者多個VPN互訪時,不同VPN內(nèi)的IP地址可能存在地址沖突,所以需要在網(wǎng)絡(luò)匯聚層進(jìn)行地址轉(zhuǎn)換。
如圖7所示為比較常見的傳統(tǒng)防火墻部署組網(wǎng)情況及其局限性。
圖7 傳統(tǒng)園區(qū)網(wǎng)防火墻部署示意圖
此部署方式會對防火墻的接口類型、協(xié)議處理有較高要求。例如,當(dāng)組網(wǎng)為匯聚和核心采用萬兆鏈路并在匯聚和核心之間采用MPLS VPN組網(wǎng)的時候,就需要防火墻支持萬兆鏈路并能夠參與路由計算和處理MPLS報文。此部署方式會對防火墻的接口數(shù)量有較高要求。例如,當(dāng)組網(wǎng)為接入和匯聚之間采用千兆光鏈路的時候,需要防火墻有較高的端口密度,并在匯聚層下掛多臺防火墻才能滿足部署要求,勢必造成部署成本過高和管理節(jié)點(diǎn)過多的情況。
虛擬園區(qū)網(wǎng)下采用FW插卡部署,可解決傳統(tǒng)部署模式帶來的接口類型、協(xié)議處理、建設(shè)成本和運(yùn)維管理等一系列的問題。如圖8所示為在MPLS VPN環(huán)境中,防火墻的部署方式。將一塊FW模塊插入?yún)R聚層交換機(jī)內(nèi),由交換機(jī)的接口板卡與接入以及核心設(shè)備連接,這樣就無須考慮防火墻的接口類型等方面的要求;并且保證防火墻的處理在PE和CE之間,可以不必要求防火墻參與OSPF等動態(tài)路由協(xié)議計算和MPLS報文處理,大大簡化了網(wǎng)絡(luò)設(shè)計和運(yùn)行維護(hù)。可見,模塊化的安全部署方式在簡化設(shè)計、降低總擁有成本等方面具有較大優(yōu)勢,是網(wǎng)絡(luò)設(shè)計時需要考慮的常用設(shè)計方法之一。
圖8 MPLS VPN環(huán)境下防火墻最佳部署示意圖 #p#
互聯(lián)網(wǎng)出口安全部署
互聯(lián)網(wǎng)出口通常面臨網(wǎng)絡(luò)層和應(yīng)用層的攻擊,因此是控制安全威脅的最佳控制點(diǎn)之一。相應(yīng)的,此處的安全設(shè)計和部署也通常是園區(qū)網(wǎng)中最復(fù)雜的場景之一。
針對不同場景的需求和保證網(wǎng)絡(luò)邊界的安全和完整性,在互聯(lián)網(wǎng)出口通常需要部署訪問控制、地址轉(zhuǎn)換、應(yīng)用層防護(hù)、流量控制、行為審計、鏈路負(fù)載均衡、DMZ區(qū)服務(wù)器負(fù)載均衡、SSL遠(yuǎn)程接入、DDoS攻擊防護(hù)等多種技術(shù)手段。由于各種技術(shù)的側(cè)重不同,催生出了多種組合的方案。下面將圍繞其中的一種常用方案進(jìn)行展開,描述在互聯(lián)網(wǎng)出口處進(jìn)行訪問控制、地址轉(zhuǎn)換、應(yīng)用防護(hù)、行為審計、鏈路負(fù)載均衡多種技術(shù)混合部署的設(shè)計方式。
圖9 虛擬園區(qū)網(wǎng)出口FW+IPS+ACG+LB板卡組網(wǎng)
如圖9所示,業(yè)務(wù)板卡采用主備方式進(jìn)行部署。具體的部署方式如下:
◆兩臺園區(qū)出口交換機(jī)(S9500E)作為IRF堆疊使用;
◆在互聯(lián)網(wǎng)出口處,部署LB的情況下,應(yīng)存在兩個不同的互聯(lián)網(wǎng)出口,連接到兩臺路由器上,這樣LB才能夠發(fā)揮作用;
◆FW在轉(zhuǎn)發(fā)路徑上,使用路由模式,提供訪問控制及攻擊防御等功能,部署方式采用主備方式,采用VRRP部署,MASTER進(jìn)行流量轉(zhuǎn)發(fā);
◆IPS采用主備方式部署,在S9500E上通過MQC引流,轉(zhuǎn)發(fā)到主IPS上,當(dāng)主IPS失效后,通過MQC的下一跳備份功能,流量被引導(dǎo)到備份的IPS上,IPS與ACG部署的位置在S9500E與FW的三層轉(zhuǎn)發(fā)路徑上,將不會存在上下行不一致的問題。
◆ACG采用主備方式部署,在S9500E上通過MQC引流,轉(zhuǎn)發(fā)到主ACG上,當(dāng)主ACG失效后,通過MQC的下一跳備份功能,流量被引導(dǎo)到備份的ACG上,IPS與ACG部署的位置在S9500E與FW的三層轉(zhuǎn)發(fā)路徑上,將不會存在上下行不一致的問題。
◆LB作為連接出口路由器的設(shè)備,使用鏈路負(fù)載分擔(dān)功能,并且使能NAT OUTBOUND功能讓內(nèi)網(wǎng)用戶能夠訪問Internet,同時,兩臺LB之間使用VRRP進(jìn)行主備,為提升兩臺設(shè)備故障的恢復(fù)能力,兩臺LB可以直接使用狀態(tài)備份;
◆S9500E作為三層轉(zhuǎn)發(fā)設(shè)備。與FW之間為三層轉(zhuǎn)發(fā)。
圖10 虛擬園區(qū)網(wǎng)出口FW+IPS+ACG+LB板卡流量路徑
如圖10所示為流量路徑,具體如下:
兩條藍(lán)色的虛線并不代表流量會同時從兩套板卡上經(jīng)過,而是說明在這一部署方式下,流量所流經(jīng)的路徑。
1. 園區(qū)網(wǎng)出方向:用戶側(cè)->外網(wǎng)側(cè)(流量經(jīng)過所有的多業(yè)務(wù)板卡)。用戶側(cè)數(shù)據(jù)按照交換機(jī)->ACG->IPS->防火墻->LB的順序進(jìn)行轉(zhuǎn)發(fā),在這個轉(zhuǎn)發(fā)路徑上,交換機(jī)進(jìn)行一次三層轉(zhuǎn)發(fā)(即將用戶側(cè)流量通過三層轉(zhuǎn)發(fā)發(fā)送給防火墻),流量先被重定向到ACG,然后被重定向到IPS上。通過防火墻轉(zhuǎn)發(fā)后,轉(zhuǎn)發(fā)到LB上,LB通過鏈路負(fù)載分擔(dān)并進(jìn)行NAT轉(zhuǎn)換后,轉(zhuǎn)發(fā)到外網(wǎng)出口的路由器上。
2. 園區(qū)網(wǎng)入方向:外網(wǎng)側(cè)->用戶側(cè)方向。外網(wǎng)方向的數(shù)據(jù)流根據(jù)不同的目的地址,到達(dá)不同的LB板卡上,LB進(jìn)行NAT轉(zhuǎn)換后,其下一跳是FW,在經(jīng)過FW轉(zhuǎn)發(fā)后,流量重定向到IPS、ACG進(jìn)行處理,處理完成后,再由交換機(jī)轉(zhuǎn)發(fā)給內(nèi)網(wǎng)用戶。
總結(jié)
虛擬園區(qū)網(wǎng)2.0解決方案,通過在園區(qū)中引入IRF2技術(shù),不僅實(shí)現(xiàn)了網(wǎng)絡(luò)的革命性突破,更對網(wǎng)絡(luò)中的安全服務(wù)的部署帶來了深遠(yuǎn)的影響。在當(dāng)前網(wǎng)絡(luò)和安全一體化的趨勢下,模塊化的部署方式、一分多的虛擬化技術(shù)、全虛擬化環(huán)境下的安全部署,使得網(wǎng)絡(luò)安全服務(wù)的部署更為簡化,并進(jìn)一步實(shí)現(xiàn)了安全業(yè)務(wù)的資源化,從而為搭建資源化的園區(qū)網(wǎng)絡(luò)平臺提供堅實(shí)的基礎(chǔ)。
