虚拟防火墙技术白皮书v[].doc

《虚拟防火墙技术白皮书v[].doc》由会员分享，可在线阅读，更多相关《虚拟防火墙技术白皮书v[].doc（12页珍藏版）》请在咨信网上搜索。

1、虚拟防火墙技术白皮书关键词：虚拟防火墙 MPLS VPN摘 要：本文介绍了虚拟防火墙技术和其应用背景。描述了虚拟防火墙的功能特色，并介绍了公司具备虚拟防火墙功能的独立防火墙和防火墙插板产品的组网环境应用。矚慫润厲钐瘗睞枥庑赖。缩略语清单：Abbreviations缩略语Full spelling 英文全名Chinese explanation 中文解释CECustomer Edge用户边缘PEProvider Edge运营商边缘MPLSMultiProtocol Label Switching多协议标签交换协议VPNVirtual Private Network虚拟私有网VLANVirtual

2、 Local Area Network虚拟局域网ASPFApplication Specific Packet Filter基于应用层状态的包过滤DMZDemilitary Zone非军事区目录1 概述3聞創沟燴鐺險爱氇谴净。1.1 新业务模型产生新需求3残骛楼諍锩瀨濟溆塹籟。1.2 新业务模型下的防火墙部署3酽锕极額閉镇桧猪訣锥。1.2.1 传统防火墙的部署缺陷3彈贸摄尔霁毙攬砖卤庑。1.2.2 虚拟防火墙应运而生4謀荞抟箧飆鐸怼类蒋薔。2 虚拟防火墙技术5厦礴恳蹒骈時盡继價骚。2.1 技术特点5茕桢广鳓鯡选块网羈泪。2.2 相关术语6鹅娅尽損鹌惨歷茏鴛賴。2.3 设备处理流程6籟丛妈羥为贍

3、偾蛏练淨。2.3.1 根据入接口数据流7預頌圣鉉儐歲龈讶骅籴。2.3.2 根据Vlan ID数据流7渗釤呛俨匀谔鱉调硯錦。2.3.3 根据目的地址数据流8铙誅卧泻噦圣骋贶頂廡。3 典型组网部署方案8擁締凤袜备訊顎轮烂蔷。3.1 虚拟防火墙在行业专网中的应用8贓熱俣阃歲匱阊邺镓騷。3.1.1 MPLS VPN组网的园区中的虚拟防火墙部署一9坛摶乡囂忏蒌鍥铃氈淚。3.1.2 MPLS VPN组网的园区中的虚拟防火墙部署二10蜡變黲癟報伥铉锚鈰赘。3.1.3 虚拟防火墙提供对VPE的安全保护10買鲷鴯譖昙膚遙闫撷凄。3.2 企业园区网应用11綾镝鯛駕櫬鹕踪韦辚糴。4 总结12驅踬髏彦浃绥譎饴憂锦。1

4、 概述1.1 新业务模型产生新需求目前，跨地域的全国性超大企业集团和机构的业务规模和管理复杂度都在急剧的增加，传统的管理运营模式已经不能适应其业务的发展。企业信息化成为解决目前业务发展的关键，得到了各企业和机构的相当重视。现今，国内一些超大企业在信息化建设中投入不断增加，部分已经建立了跨地域的企业专网。有的企业已经达到甚至超过了IT-CMM3的级别，开始向IT-CMM4迈进。猫虿驢绘燈鮒诛髅貺庑。另一方面，随着企业业务规模的不断增大，各业务部门的职能和权责划分也越来越清晰。各业务部门也初步形成了的相应不同安全级别的安全区域，比如，OA和数据中心等。由于SOX等法案或行政规定的颁布应用，各企业或

5、机构对网络安全的重视程度也在不断增加。对企业重点安全区域的防护要求越来越迫切。锹籁饗迳琐筆襖鸥娅薔。因此，对企业信息管理人员来说，如何灵活方便的实现企业各业务部门的安全区域划分和安全区域之间有控制的互访成为其非常关注的问题。这也对安全区域隔离“利器”防火墙提出了更高的要求。構氽頑黉碩饨荠龈话骛。1.2 新业务模型下的防火墙部署目前许多企业已经建设起自己的MPLS VPN专网，例如电力和政务网。下面我们以MPLS VPN组网为例介绍在新的业务模型下防火墙的如何实现对各相互独立的业务部门进行各自独立的安全策略部署呢？ 輒峄陽檉簖疖網儂號泶。1.2.1 传统防火墙的部署缺陷面对上述需求，业界通行的做

6、法是在园区各业务VPN前部署防火墙来完成对各部门的安全策略部署实现对部门网络的访问控制。一般部署模式如下图所示：尧侧閆繭絳闕绚勵蜆贅。图1 传统防火墙部署方式然而，由于企业业务VPN数量众多，而且企业业务发展迅速。显而易见的，这种传统的部署模式已经不太适应现有的应用环境，存在着如下的不足： 识饒鎂錕缢灩筧嚌俨淒。n 为数较多的部门划分，导致企业要部署管理多台独立防火墙，导致拥有和维护成本较高n 集中放置的多个独立防火墙将占用较多的机架空间，并且给综合布线带来额外的复杂度n 由于用户业务的发展，VPN的划分可能会发生新的变化。MPLS VPN以逻辑形式的实现，仅仅改动配置即可方便满足该需求。而传

7、统防火墙需要发生物理上的变化，对用户后期备件以及管理造成很大的困难凍鈹鋨劳臘锴痫婦胫籴。n 物理防火墙的增加意味着网络中需要管理的网元设备的增多。势必增加网络管理的复杂度1.2.2 虚拟防火墙应运而生为了适应这种业务模式。虚拟防火墙技术应运而生。虚拟防火墙通过在同一台物理设备上划分多个逻辑的防火墙实例来实现对多个业务VPN的独立安全策略部署。也可以利用这种逻辑防火墙的部署的灵活性来来实现企业网络的对新业务的适应性。虚拟防火墙诞生以后，对用户来说其部署模式变为如图所示：恥諤銪灭萦欢煬鞏鹜錦。图2 虚拟防火墙部署模型如上图所示，在MPLS网络环境中，在PE与CE之间部署一台物理防火墙。利用逻辑划分

8、的多个防火墙实例来部署多个业务VPN的不同安全策略。这样的组网模式极大的减少了用户拥有成本。随着业务的发展，当用户业务划分发生变化或者产生新的业务部门时，可以通过添加或者减少防火墙实例的方式十分灵活的解决后续网络扩展问题，在一定程度上极大的降低了网络安全部署的复杂度。鯊腎鑰诎褳鉀沩懼統庫。另一方面，由于以逻辑的形式取代了网络中的多个物理防火墙。极大的减少了企业运维中需要管理维护的网络设备。简化了网络管理的复杂度，减少了误操作的可能性。硕癘鄴颃诌攆檸攜驤蔹。2 虚拟防火墙技术2.1 技术特点为了解决传统防火墙部署方式存在的不足，公司推出了虚拟防火墙特性，旨在解决复杂组网环境中大量VPN的独立安全

9、策略需求所带来的网络拓扑复杂、网络结构扩展性差、管理复杂，用户安全拥有成本高等几大问题。阌擻輳嬪諫迁择楨秘騖。虚拟防火墙是一个逻辑概念，可以在一个单一的硬件平台上提供多个防火墙实体，即，将一台防火墙设备在逻辑上划分成多台虚拟防火墙，每台虚拟防火墙都可以被看成是一台完全独立的防火墙设备，可拥有独立的管理员、安全策略、用户认证数据库等。每个虚拟防火墙能够实现防火墙的大部分特性。每个虚拟防火墙之间相互独立，一般情况下不允许相互通信。 氬嚕躑竄贸恳彈瀘颔澩。SecPath/SecBlade虚拟防火墙具有如下技术特点：n 每个虚拟防火墙维护自己一组安全区域；n 每个虚拟防火墙维护自己的一组资源对象（地址

10、/地址组，服务/服务组等）n 每个虚拟防火墙维护自己的包过滤策略n 每个虚拟防火墙维护自己的ASPF策略、NAT策略、ALG策略n 限制每个虚拟防火墙占用资源数：防火墙Session以及ASPF Session数目2.2 相关术语1) 安全区域防火墙使用安全区域的概念来表示与其相连接的网络。防火墙预先定义了四个安全区域，这些安全区域也称为系统安全区域，分别为Local区域、Trust区域、Untrust区域和DMZ区域。这些区域分别代表了不同的安全级别，安全级别由高到低依次为Local、Trust、DMZ、Untrust。釷鹆資贏車贖孙滅獅赘。2) 专有接口、共享接口与公共接口专有接口：防火墙

11、采用专有接口表示只属于某个特定虚拟防火墙的接口。该接口必须通过ip binding vpn-instance命令完成绑定到一个指定的vpn实例。怂阐譜鯪迳導嘯畫長凉。共享接口：防火墙采用共享接口表示可被多个指定的虚拟防火墙共同享有的接口。该接口必须通过nat server vpn-instance命令或nat outbound static命令关联到一个或多个指定的vpn实例。谚辞調担鈧谄动禪泻類。公共接口：特指区别于专有接口和共享接口的其他接口。3) NAT多实例在访问控制列表的规则rule中配置vpn-instance vpn-instance-name，指明哪个虚拟防火墙需要进行地址转换

12、，即可以实现对虚拟防火墙NAT多实例的支持。嘰觐詿缧铴嗫偽純铪锩。4) ASPF多实例在接口下引用ASPF中配置vpn-instance vpn-instance-name，指明哪个虚拟防火墙需要ASPF的处理，即可实现虚拟防火墙ASPF多实例的支持。熒绐譏钲鏌觶鷹緇機库。5) 包过滤多实例在ACL配置子规则时增加vpn-instance vpn-instance-name，指明此规则对哪个虚拟防火墙生效，即可实现虚拟防火墙包过滤多实例的支持。鶼渍螻偉阅劍鲰腎邏蘞。6) 资源限制防火墙使用资源限制的可完成各个虚拟防火墙的Session限制。可根据不同的流量背景，对对应的虚拟防火墙在vpn视图下

13、通过firewall session limit 以及aspf session limit等进行限制。纣忧蔣氳頑莶驅藥悯骛。2.3 设备处理流程虚拟防火墙是一个逻辑上的概念，每个虚拟防火墙都是VPN实例和安全实例的综合体，能够为虚拟防火墙用户提供私有的路由转发业务和安全服务。每个虚拟防火墙中可以包含三层接口、二层物理接口、二层VLAN子接口和二层Trunk接口+VLAN。默认情况下，所有的接口都属于根防火墙实例（Root），如果希望将部分接口划分到不同的虚拟防火墙，必须创建虚拟防火墙实例，并且将接口加入虚拟防火墙中。根虚拟防火墙不需要创建，默认存在。颖刍莖蛺饽亿顿裊赔泷。VPN实例与虚拟防火墙

14、是一一对应的，它为虚拟防火墙提供相互隔离的VPN路由，与虚拟防火墙相关的信息主要包括：VPN路由以及与VPN实例绑定的接口。VPN路由将为转发来自与VPN实例绑定的接口的报文提供路由支持。濫驂膽閉驟羥闈詔寢賻。安全实例为虚拟防火墙提供相互隔离的安全服务，同样与虚拟防火墙一一对应。安全实例具备私有的ACL规则组和NAT地址池；安全实例能够为虚拟防火墙提供地址转换、包过滤、ASPF和NAT ALG等私有的安全服务。銚銻縵哜鳗鸿锓謎諏涼。虚拟防火墙的引入一方面是为了解决业务多实例的问题，更主要的是为了将一个物理防火墙划分为多个逻辑防火墙来用。多个逻辑防火墙可以分别配置单独不同的安全策略，同时默认情况

15、下，不同的虚拟防火墙之间是默认隔离的。挤貼綬电麥结鈺贖哓类。对于防火墙系统接收到的数据流，系统根据数据的Vlan ID、入接口、源地址确定数据流所属的系统。在各个虚拟防火墙系统中，数据流将根据各自系统的路由完成转发。赔荊紳谘侖驟辽輩袜錈。2.3.1 根据入接口数据流根据数据流的的入接口信息，防火墙系统根据所绑定的VPN实例信息从而把数据流送入所绑定的虚拟防火墙系统。如图3所示。塤礙籟馐决穩賽釙冊庫。图3 防火墙根据入接口识别数据流所属虚拟防火墙2.3.2 根据Vlan ID数据流根据数据流的Vlan ID信息，防火墙系统将会识别出所对应的Vlan子接口从而把数据流送入所绑定的虚拟防火墙系统。如

16、图4所示。裊樣祕廬廂颤谚鍘羋蔺。图4 防火墙根据Vlan ID识别数据流所属虚拟防火墙2.3.3 根据目的地址数据流对于访问内部服务器的数据流，根据数据流的目的地址，防火墙根据Nat server配置把数据流送入所绑定的虚拟防火墙系统。如图5所示。仓嫗盤紲嘱珑詁鍬齊驁。图5 防火墙根据目的地址识别数据流所属虚拟防火墙3 典型组网部署方案3.1 虚拟防火墙在行业专网中的应用目前一些超大型企业（比如：政府，电力）利用MPLS VPN实现跨地域的部门的连通和相关业务部门之间有控制的安全互访。虽然这些企业的业务和背景都有很大差异，但归纳起来，这些企业主要提出了两个需求：绽萬璉轆娛閬蛏鬮绾瀧。n 如何实

17、现各业务VPN的独立安全策略，进而能够对相关部门的互访进行有效控制n 移动办公用户以及分支机构如何通过公网低成本的安全接入到企业MPLS VPN核心网络中在MPLS VPN网络中，虚拟防火墙可以部署在PE和MCE之间实现对各业务VPN独立的安全策略的部署，从而很好的满足上述需求。详见如下组网模型图。骁顾燁鶚巯瀆蕪領鲡赙。图6 虚拟防火墙在MPLS VPN网络中的部署模式3.1.1 MPLS VPN组网的园区中的虚拟防火墙部署一对大中型的企业MPLS VPN专网，我们主推SecBlade防火墙插板在中、高端交换机上进行部署。利用交换机的高密度端口和可以动态增减的虚拟防火墙保证企业对今后业务发展的

18、适应能力。另一方面，充分利用基础网络平台，实现网络和安全的融合。可以有效的简化拓扑，方便管理。详见下图：瑣钋濺暧惲锟缟馭篩凉。图7 防火墙插板的虚拟防火墙典型部署组网说明：1) 插入防火墙插板的中、高端交换机部署为MCE。2) 的防火墙插板以路由模式部署于网络中。根据具体业务模式部署OSPF多实例。3) 网络管理人员根据各用户的业务情况，部署各业务VPN的独立安全策略。3.1.2 MPLS VPN组网的园区中的虚拟防火墙部署二对于MPLS VPN网络中的中小机构或分支接入我们主推性能较低的独立防火墙设备进行部署。防火墙设备下挂二层交换机利用VLAN进行各业务VPN之间的物理隔离。实现中小分支机

19、构的低成本接入。详见下图：鎦诗涇艳损楼紲鯗餳類。图8 独立防火墙设备的虚拟防火墙典型部署组网说明：1) 独立防火墙设备实现MCE的功能，根据具体业务模式在各VPN内部部署静态路由或者路由协议。2) 网络管理人员根据各用户的业务情况，部署各业务VPN的独立安全策略。3) 用户利用二层交换机接入进网络，实现低成本的接入3.1.3 虚拟防火墙提供对VPE的安全保护公司的VPE技术可以充分满足移动办公用户以及分支机构低成本接入到企业MPLS VPN核心网络的需求。一般对企业来说，企业对分支机构和个人移动用户在安全监控程度相对是比较小的。如何让这些用户能够安全接入到核心网络中，也是一个需要注意的问题。栉

20、缏歐锄棗鈕种鵑瑶锬。利用支持虚拟防火墙的IPSec VPN网关，可以在将用户IPSec VPN内的流量映射到MPLS VPN的同时分别对各业务VPN进行安全策略的检查，实现对各业务VPN的保护。详见下图：辔烨棟剛殓攬瑤丽阄应。图9 VPE中的独立安全策略部署组网说明：1) 独立防火墙设备作为IPSec VPN网关实现分支机构的IPSec VPN终结和映射到MPLS VPN。峴扬斕滾澗辐滠兴渙藺。2) 网络管理人员根据各用户的业务情况，部署各业务VPN的独立安全策略，业务流进入各MPLS VPN时，进行安全策略的检测监控。保证企业核心网络不会因为分支机构的接入引入安全问题。詩叁撻訥烬忧毀厉鋨骜。

21、3.2 企业园区网应用在一些大型的园区网络环境中，为了实现各业务部门之间（尤其是重点安全区域）的隔离和独立安全策略部署，也需要采用虚拟防火墙技术。在这种组网中，各业务部门对应一个虚拟防火墙实例。针对不同的实例，管理员可以在每个实例的接口上部署独立的访问控制策略。则鯤愜韋瘓賈晖园栋泷。图10 虚拟防火墙实现园区重点安全区域独立安全策略保护组网说明：1) 根据企业各业务部门的安全性要求程度，首先将企业中的重点安全区域划分成独立的安全区域。如部门C和部门D。胀鏝彈奥秘孫戶孪钇賻。2) 利用SecBlade防火墙插板制定各安全区域独立的安全策略。3) 的防火墙插板以路由模式部署于网络中。支持OSPF多实例，因此虚拟防火墙可以很好的融合在基础网络之中。4 总结公司推出的虚拟防火墙特性解决了传统防火墙部署方式存在的不足，可以很好的缓解复杂组网环境中各VPN的独立安全策略需求所带来的网络拓扑复杂、网络结构扩展性差、管理复杂，用户安全拥有成本高等几大问题。可以很好的满足新业务模型所带来的新需求。鳃躋峽祷紉诵帮废掃減。 第12页, 共12页