华为防火墙在云计算安全方案中的应用
简介
方案简介
方案一:防火墙作为网关
典型组网
该云计算网络中,核心交换机使用CE12800、接入交换机使用CE6800、防火墙使用USG9500,本案例重点关注防火墙上的配置,整体的组网环境如图4-3所示。
云计算网络中主要有如下几个需求:
- 不同的外网企业用户访问虚拟机时,相互之间不能影响,业务必须隔离。同时,每个虚拟机业务可使用的带宽资源也要限制在一定范围内,避免占用大量资源。
- 内部网络中的虚拟机和Portal系统都配置私网地址,要求对外发布两者的公网地址,使外网企业用户能够通过公网地址访问虚拟机和Portal系统。
- 对外网企业用户访问虚拟机和Portal系统的行为进行控制,仅允许访问业务的流量通过。
- 提高设备的可靠性,不能因为一台设备出现故障而导致业务中断。
防火墙旁挂在核心交换机CE12800上,使用如下特性来满足上述需求:
- 使用虚拟系统隔离外网企业用户访问虚拟机的业务,每一个虚拟机都属于一个虚拟系统,每个虚拟系统中都限制了最大带宽资源。
- 使用子接口与CE12800相连,将子接口划分到虚拟系统和根系统中,虚拟系统中的子接口用来传输虚拟机业务,根系统中的子接口用来传输Portal系统业务。
- 使用NAT Server对外发布虚拟机和Portal系统的公网地址,在每个虚拟系统中配置针对虚拟机的NAT Server,在根系统中配置针对Portal系统的NAT Server。
- 使用安全策略对虚拟机和Portal系统的业务进行访问控制,在每个虚拟系统中配置针对虚拟机业务的安全策略,在根系统中配置针对Portal系统业务的安全策略。
- 使用双机热备提高可靠性,两台防火墙形成主备备份状态的双机热备,当主用防火墙出现故障时,备用防火墙接替其工作,业务不会中断。
业务规划
如图4-4所示,FW旁挂在CE12800上,工作在三层转发模式。CE12800从逻辑上分为上行、下行两个部分,上行部分工作在三层转发(L3)模式,下行部分工作在二层转发(L2)模式。FW与CE12800的上行部分之间运行OSPF,与CE12800的下行部分之间运行VRRP,FW上VRRP的虚拟IP地址作为虚拟机和Portal系统的网关。外网企业用户访问虚拟机和Portal系统的流量经过CE12800的上行部分转发至FW处理后,再经过CE12800的下行部分转发至虚拟机和Portal;回程流量则经过CE12800的下行部分转发至FW处理后,再经过CE12800的上行部分发送出去。
详细的规划情况在下面逐一介绍。
接口和安全区域
下面以FW_A和CE12800_A为例,介绍两者之间的连接情况。
如图4-5所示,FW_A上的GE1/0/1接口与CE12800_A上的10GE1/1/0/1接口相连,详细的连接情况如下:
- FW_A上的GE1/0/1接口划分了多个子接口(此处仅以三个子接口为例进行说明),每个子接口上都配置了IP地址。其中多数的子接口都属于不同的虚拟系统,划分到虚拟系统的Untrust区域中;一个子接口属于根系统,划分到根系统的Untrust区域中。
- CE12800_A上的10GE1/1/0/1接口为Trunk口,允许多个VLAN的报文通过,在每个Vlanif接口上都配置IP地址,逻辑上与FW_A上相应的子接口连接。
如图4-6所示,FW_A上的GE1/0/2接口与CE12800_A上的10GE1/1/0/2接口相连,详细的连接情况如下:
- FW_A上的GE1/0/2接口划分了两个子接口(也可以根据Portal系统的实际网络情况划分多个子接口),每个子接口上都配置了IP地址,每个子接口都划分到根系统的DMZ区域中。
- CE12800_A上的10GE1/1/0/2接口为Trunk口,允许多个VLAN的报文通过。
- FW_A上子接口的VRRP虚拟IP地址作为Portal系统的网关,终结VLAN,CE12800_A的作用是二层透传报文。
如图4-7所示,FW_A上的GE1/0/3接口与CE12800_A上的10GE1/1/0/3接口相连,详细的连接情况如下:
- FW_A上的GE1/0/3接口划分了多个子接口(此处仅以两个子接口为例进行说明),每个子接口上都配置了IP地址。每个子接口都属于不同的虚拟系统,划分到虚拟系统的Trust区域中。
- CE12800_A上的10GE1/1/0/3接口为Trunk口,允许多个VLAN的报文通过。
- FW_A上子接口的VRRP虚拟IP地址作为虚拟机的网关,终结VLAN,CE12800_A的作用是二层透传报文。
FW_B和CE12800_B之间的连接情况与上面的内容相同,此处不再赘述。
虚拟机之间的互访需求,可以通过访问各自的公网地址,互访报文经过CE12800转发来实现。
FW上的接口和安全区域的数据规划如表4-1所示。
表4-1 接口和安全区域数据规划
|
FW_A |
FW_B |
说明 |
|---|---|---|
|
GE1/0/1 IP地址:无 虚拟系统:public 安全区域:Untrust |
GE1/0/1 IP地址:无 虚拟系统:public 安全区域:Untrust |
与CE12800的10GE1/1/0/1接口相连。 |
|
GE1/0/1.10 IP地址:172.16.10.252/24 虚拟系统:vfw1 安全区域:Untrust |
GE1/0/1.10 IP地址:172.16.10.253/24 虚拟系统:vfw1 安全区域:Untrust |
虚拟系统vfw1的子接口。 |
|
GE1/0/1.11 IP地址:172.16.11.252/24 虚拟系统:vfw2 安全区域:Untrust |
GE1/0/1.11 IP地址:172.16.11.253/24 虚拟系统:vfw2 安全区域:Untrust |
虚拟系统vfw2的子接口。 |
|
GE1/0/1.1000 IP地址:172.16.9.252/24 虚拟系统:public 安全区域:Untrust |
GE1/0/1.1000 IP地址:172.16.9.253/24 虚拟系统:public 安全区域:Untrust |
根系统的子接口。 |
|
GE1/0/2 IP地址:无 虚拟系统:public 安全区域:DMZ |
GE1/0/2 IP地址:无 虚拟系统:public 安全区域:DMZ |
与CE12800的10GE1/1/0/2接口相连。 |
|
GE1/0/2.1 IP地址:10.159.1.252/24 虚拟系统:public 安全区域:DMZ VRRP ID:1 虚拟IP:10.159.1.254 状态:active |
GE1/0/2.1 IP地址:10.159.1.253/24 虚拟系统:public 安全区域:DMZ VRRP ID:1 虚拟IP:10.159.1.254 状态:standby |
根系统的子接口。 10.159.1.254作为Portal系统所在网络的网关。 |
|
GE1/0/2.2 IP地址:10.159.2.252/24 虚拟系统:public 安全区域:DMZ VRRP ID:2 虚拟IP:10.159.2.254 状态:active |
GE1/0/2.2 IP地址:10.159.2.253/24 虚拟系统:public 安全区域:DMZ VRRP ID:2 虚拟IP:10.159.2.254 状态:standby |
根系统的子接口。 10.159.2.254作为Portal系统所在网络的网关。 |
|
GE1/0/3 IP地址:无 虚拟系统:public 安全区域:Trust |
GE1/0/3 IP地址:无 虚拟系统:public 安全区域:Trust |
与CE12800的10GE1/1/0/3接口相连。 |
|
GE1/0/3.10 IP地址:10.159.10.252/24 虚拟系统:vfw1 安全区域:Trust VRRP ID:10 虚拟IP:10.159.10.254 状态:active |
GE1/0/3.10 IP地址:10.159.10.253/24 虚拟系统:vfw1 安全区域:Trust VRRP ID:10 虚拟IP:10.159.10.254 状态:standby |
虚拟系统vfw1的子接口。 10.159.10.254作为虚拟机的网关。 |
|
GE1/0/3.11 IP地址:10.159.11.252/24 虚拟系统:vfw2 安全区域:Trust VRRP ID:11 虚拟IP:10.159.11.254 状态:active |
GE1/0/3.11 IP地址:10.159.11.253/24 虚拟系统:vfw2 安全区域:Trust VRRP ID:11 虚拟IP:10.159.11.254 状态:standby |
虚拟系统vfw2的子接口。 10.159.11.254作为虚拟机的网关。 |
|
Eth-Trunk1 成员接口:GE1/0/8、GE2/0/8 IP地址:10.1.1.1/30 虚拟系统:public 安全区域:hrpzone |
Eth-Trunk1 成员接口:GE1/0/8、GE2/0/8 IP地址:10.1.1.2/30 虚拟系统:public 安全区域:hrpzone |
HRP备份接口。 |
虚拟系统
虚拟系统用来承载虚拟机业务,每个虚拟系统都对应一个虚拟机。虚拟系统中接口的划分情况在上面的接口和安全区域中已经介绍过了,除此之外,为了限制每个虚拟系统可使用的带宽,还需要为虚拟系统配置资源类。
FW上的虚拟系统数据规划如表4-2所示。此处仅以两个虚拟系统为例进行介绍,实际使用时请根据虚拟机的数量创建多个虚拟系统。
表4-2 虚拟系统数据规划
|
项目 |
FW_A |
FW_B |
说明 |
|---|---|---|---|
|
资源类 |
名称:vfw1_car 最大带宽:100M |
名称:vfw1_car 最大带宽:100M |
限制虚拟系统vfw1整体的最大带宽为100M。 |
|
名称:vfw2_car 最大带宽:100M |
名称:vfw2_car 最大带宽:100M |
限制虚拟系统vfw2整体的最大带宽为100M。 |
|
|
虚拟系统 |
名称:vfw1 资源类:vfw1_car |
名称:vfw1 资源类:vfw1_car |
- |
|
名称:vfw2 资源类:vfw2_car |
名称:vfw2 资源类:vfw2_car |
- |
路由
路由分为根系统中的路由和虚拟系统中的路由两部分,都配置缺省路由、黑洞路由和OSPF路由,其中OSPF路由运行于FW与CE12800相连的上行子接口上,如图4-8所示。
具体分析如下:
- 根系统配置缺省路由,下一跳为CE12800_A上相应的Vlanif接口的IP地址;每个虚拟系统中均配置缺省路由,下一跳为CE12800_A上相应的Vlanif接口的IP地址。
- 根系统中配置目的地址是Portal系统的公网地址的黑洞路由,引入到根系统的OSPF中发布给CE12800;每个虚拟系统中配置目的地址是虚拟机公网地址的黑洞路由,引入到虚拟系统的OSPF中发布给CE12800_A。
- 根系统和虚拟系统中都运行OSPF路由协议,虚拟系统中的OSPF是通过在根系统中绑定虚拟系统对应的VPN实例来实现的。
CE12800_A上也运行OSPF协议,将每个Vlanif接口所属的网段都发布出去。
FW上的路由数据规划如表4-3所示。
表4-3 路由数据规划
|
项目 |
FW_A |
FW_B |
说明 |
|---|---|---|---|
|
根系统中的路由 |
缺省路由 下一跳:172.16.9.251 |
缺省路由 下一跳:172.16.9.251 |
根系统的缺省路由,下一跳指向CE12800。 |
|
黑洞路由 目的地址:117.1.1.1/32、117.1.1.2/32 |
黑洞路由 目的地址:117.1.1.1/32、117.1.1.2/32 |
Portal系统Global地址的黑洞路由,防止路由环路。 |
|
|
OSPF 发布的网段:172.16.9.0/24 引入静态路由 |
OSPF 发布的网段:172.16.9.0/24 引入静态路由 |
将Portal系统的Global地址引入到OSPF中,发布给CE12800。 |
|
|
虚拟系统vfw1中的路由 |
缺省路由 下一跳:172.16.10.251 |
缺省路由 下一跳:172.16.10.251 |
虚拟系统vfw1的缺省路由,下一跳指向CE12800。 |
|
黑洞路由 目的地址:118.1.1.1/32 |
黑洞路由 目的地址:118.1.1.1/32 |
虚拟机Global地址的黑洞路由,防止路由环路。 |
|
|
OSPF 绑定的VPN实例:vfw1 发布的网段:172.16.10.0/24 引入静态路由 |
OSPF 绑定的VPN实例:vfw1 发布的网段:172.16.10.0/24 引入静态路由 |
将虚拟机的Global地址引入到OSPF中,发布给CE12800。 |
|
|
虚拟系统vfw2中的路由 |
缺省路由 下一跳:172.16.11.251 |
缺省路由 下一跳:172.16.11.251 |
虚拟系统vfw1的缺省路由,下一跳指向CE12800。 |
|
黑洞路由 目的地址:118.1.1.2/32 |
黑洞路由 目的地址:118.1.1.2/32 |
虚拟机Global地址的黑洞路由,防止路由环路。 |
|
|
OSPF 绑定的VPN实例:vfw2 发布的网段:172.16.11.0/24 引入静态路由 |
OSPF 绑定的VPN实例:vfw2 发布的网段:172.16.11.0/24 引入静态路由 |
将虚拟机的Global地址引入到OSPF中,发布给CE12800。 |
双机热备
对于双机热备来说,整个组网的逻辑图就可以理解为经典的防火墙上行连接三层设备,下行连接二层设备的双机热备组网。外网企业用户访问虚拟机的业务,其组网逻辑图如图4-9所示。
外网企业用户访问Portal系统的业务,其组网逻辑图如图4-10所示。
双机热备状态形成后,FW_A作为主用防火墙,FW_B作为备用防火墙。如图4-11所示,在网络正常的情况下,FW_A正常对外发布路由,FW_B发布的路由Cost值增加65500(缺省值,可调整)。Router_A和Router_B在转发外网企业用户访问虚拟机或Portal系统的流量时,会选择开销(Cost值)更小的路径,因此流量通过FW_A转发。
对于虚拟机或Portal系统回应给外网企业用户的返程流量,当虚拟机或Portal系统请求网关的MAC地址时,只有主用设备FW_A才会应答,将虚MAC地址回应给虚拟机和Portal系统。而CE6800则会记录虚MAC和端口的对应关系,返程流量经过CE6800被转发至FW_A。
当FW_A或者FW_A连接的链路出现故障时,双机主备倒换,这时FW_B正常对外发布路由,FW_A发布的路由Cost值增加65500。路由重新收敛后,流量都经过FW_B来转发,如图4-12所示。
对于虚拟机或Portal系统回应给外网企业用户的返程流量,双机主备倒换后,FW_B会对外发送免费ARP报文,使CE6800更新虚MAC和端口的对应关系,返程流量经过CE6800被转发至FW_B。
安全策略
安全策略分为根系统中的安全策略和虚拟系统中的安全策略两部分,根系统中安全策略的作用是允许外网企业用户访问Portal系统的报文通过,以及允许根系统与CE12800之间交互的OSPF报文通过;虚拟系统中安全策略的作用是允许外网企业用户访问虚拟机的报文通过,以及允许虚拟系统与CE12800之间交互的OSPF报文通过。
同时,可以在安全策略上引用反病毒、入侵防御的配置文件,防范各种病毒、蠕虫、木马和僵尸网络攻击。一般情况下,使用缺省的反病毒和入侵防御配置文件default,即可满足防范各种病毒、蠕虫、木马和僵尸网络攻击的需求。
FW上的安全策略数据规划如表4-4所示。
表4-4 安全策略数据规划
|
项目 |
FW_A |
FW_B |
说明 |
|---|---|---|---|
|
根系统中的安全策略 |
名称:sec_portal 源安全区域:Untrust 目的安全区域:DMZ 目的地址:10.159.0.0/16 动作:permit 反病毒:default 入侵防御:default |
名称:sec_portal 源安全区域:Untrust 目的安全区域:DMZ 目的地址:10.159.0.0/16 动作:permit 反病毒:default 入侵防御:default |
允许外网企业用户访问Portal系统的报文通过。 |
|
名称:sec_ospf 源安全区域:Untrust、Local 目的安全区域:Local、Untrust 服务:ospf 动作:permit |
名称:sec_ospf 源安全区域:Untrust、Local 目的安全区域:Local、Untrust 服务:ospf 动作:permit |
允许FW与CE12800交互OSPF报文。 |
|
|
虚拟系统vfw1中的安全策略 |
名称:sec_vm1 源安全区域:Untrust 目的安全区域:Trust 目的地址:10.159.10.0/24 动作:permit 反病毒:default 入侵防御:default |
名称:sec_vm1 源安全区域:Untrust 目的安全区域:Trust 目的地址:10.159.10.0/24 动作:permit 反病毒:default 入侵防御:default |
允许外网企业用户访问虚拟机的报文通过。 |
|
名称:sec_vm1_ospf 源安全区域:Untrust、Local 目的安全区域:Local、Untrust 服务:ospf 动作:permit |
名称:sec_vm1_ospf 源安全区域:Untrust、Local 目的安全区域:Local、Untrust 服务:ospf 动作:permit |
允许FW与CE12800交互OSPF报文。 |
|
|
虚拟系统vfw2中的安全策略 |
名称:sec_vm2 源安全区域:Untrust 目的安全区域:Trust 目的地址:10.159.11.0/24 动作:permit 反病毒:default 入侵防御:default |
名称:sec_vm2 源安全区域:Untrust 目的安全区域:Trust 目的地址:10.159.11.0/24 动作:permit 反病毒:default 入侵防御:default |
允许外网企业用户访问虚拟机的报文通过。 |
|
名称:sec_vm2_ospf 源安全区域:Untrust、Local 目的安全区域:Local、Untrust 服务:ospf 动作:permit |
名称:sec_vm2_ospf 源安全区域:Untrust、Local 目的安全区域:Local、Untrust 服务:ospf 动作:permit |
允许FW与CE12800交互OSPF报文。 |
NAT Server
NAT Server分为根系统中的NAT Server和虚拟系统中的NAT Server两部分,根系统中NAT Server的作用是将Portal系统映射成公网地址,供外网企业用户访问;虚拟系统中NAT Server的作用是将虚拟机映射成公网地址,供外网企业用户访问。
为了使外网的企业用户可以访问Portal系统和虚拟机,需要为Portal系统和每一个虚拟机申请公网地址。此处假设为Portal系统申请的公网地址为117.1.1.1和117.1.1.2,为虚拟机申请的公网地址为118.1.1.1和118.1.1.2。FW上的NAT Server数据规划如表4-5所示。
表4-5 NAT Server数据规划
|
项目 |
FW_A |
FW_B |
说明 |
|---|---|---|---|
|
根系统中的NAT Server |
名称:nat_server_portal1 Global地址:117.1.1.1 Inside地址:10.159.1.100 |
名称:nat_server_portal1 Global地址:117.1.1.1 Inside地址:10.159.1.100 |
Portal系统的NAT Server。 |
|
名称:nat_server_portal2 Global地址:117.1.1.2 Inside地址:10.159.2.100 |
名称:nat_server_portal2 Global地址:117.1.1.2 Inside地址:10.159.2.100 |
Portal系统的NAT Server。 |
|
|
虚拟系统vfw1中的NAT Server |
名称:nat_server_vm1 Global地址:118.1.1.1 Inside地址:10.159.10.100 |
名称:nat_server_vm1 Global地址:118.1.1.1 Inside地址:10.159.10.100 |
虚拟机的NAT Server。 |
|
虚拟系统vfw2中的NAT Server |
名称:nat_server_vm2 Global地址:118.1.1.2 Inside地址:10.159.11.100 |
名称:nat_server_vm2 Global地址:118.1.1.2 Inside地址:10.159.11.100 |
虚拟机的NAT Server。 |
注意事项
虚拟系统
缺省情况下,USG9500支持10个虚拟系统,如果需要使用更多的虚拟系统,必须申请License。
OSPF
虚拟系统中不能直接配置OSPF,必须在根系统中创建OSPF进程时绑定虚拟系统对应的VPN实例。
黑洞路由
根系统和虚拟系统中配置针对虚拟机和Portal系统公网地址的黑洞路由,防止路由环路,并且可以引入到OSPF中发布出去。
策略备份加速
当策略数量较多时(比如超过500条),为了提升策略加速期间的匹配效率,需要开启备份加速功能。但是开启该功能后,新配置的策略需要等待策略备份加速完成后才能生效。
方案二:交换机作为网关
典型组网
该云计算网络中,核心交换机使用CE12800、接入交换机使用CE6800、防火墙使用USG9500,本案例重点关注防火墙上的配置,整体的组网环境如图4-13所示。
云计算网络中主要有如下几个需求:
- 不同的外网企业用户访问虚拟机时,相互之间不能影响,业务必须隔离。同时,每个虚拟机业务可使用的带宽资源也要限制在一定范围内,避免占用大量资源。
- 内部网络中的虚拟机和Portal系统都配置私网地址,要求对外发布两者的公网地址,使外网企业用户能够通过公网地址访问虚拟机和Portal系统。
- 对外网企业用户访问虚拟机和Portal系统的行为进行控制,仅允许访问业务的流量通过。
- 提高设备的可靠性,不能因为一台设备出现故障而导致业务中断。
防火墙旁挂在核心交换机CE12800上,使用如下特性来满足上述需求:
- 使用虚拟系统隔离外网企业用户访问虚拟机的业务,每一个虚拟机都属于一个虚拟系统,每个虚拟系统中都限制了最大带宽资源。
- 使用子接口与CE12800相连,将子接口划分到虚拟系统和根系统中,虚拟系统中的子接口用来传输虚拟机业务,根系统中的子接口用来传输Portal系统业务。
- 使用NAT Server对外发布虚拟机和Portal系统的公网地址,在每个虚拟系统中配置针对虚拟机的NAT Server,在根系统中配置针对Portal系统的NAT Server。
- 使用安全策略对虚拟机和Portal系统的业务进行访问控制,在每个虚拟系统中配置针对虚拟机业务的安全策略,在根系统中配置针对Portal系统业务的安全策略。
- 使用双机热备提高可靠性,两台防火墙形成主备备份状态的双机热备,当主用防火墙出现故障时,备用防火墙接替其工作,业务不会中断。
业务规划
如图4-14所示,FW旁挂在CE12800上,工作在三层转发模式。CE12800上配置VRF功能,虚拟成连接上行的交换机(根交换机Public)和连接下行的交换机(多个虚拟交换机VRF)。FW与CE12800的根交换机Public和虚拟交换机VRF之间都运行VRRP,CE12800上VRRP的虚拟IP地址作为虚拟机和Portal系统的网关。外网企业用户访问虚拟机和Portal系统的流量经过CE12800的根交换机Public转发至FW处理后,再经过CE12800的虚拟交换机VRF转发至虚拟机和Portal;回程流量则经过CE12800的虚拟交换机VRF转发至FW处理后,再经过CE12800的根交换机Public发送出去。
详细的规划情况在下面逐一介绍。
接口和安全区域
下面以FW_A和CE12800_A为例,介绍两者之间的连接情况。
如图4-15所示,FW_A上的GE1/0/1接口与CE12800_A上的10GE1/1/0/1接口相连,详细的连接情况如下:
- FW_A上的GE1/0/1接口划分了多个子接口(此处仅以三个子接口为例进行说明),每个子接口上都配置了IP地址。其中多数的子接口都属于不同的虚拟系统,划分到虚拟系统的Untrust区域中;一个子接口属于根系统,划分到根系统的Untrust区域中。
- CE12800_A上的10GE1/1/0/1接口为Trunk口,允许多个VLAN的报文通过,在每个Vlanif接口上都配置IP地址,逻辑上与FW_A上相应的子接口连接。
如图4-16所示,FW_A上的GE1/0/2接口与CE12800_A上的10GE1/1/0/2接口相连,详细的连接情况如下:
- FW_A上的GE1/0/2接口划分了两个子接口(也可以根据Portal系统的实际网络情况划分多个子接口),每个子接口上都配置了IP地址,每个子接口都划分到根系统的DMZ区域中。
- CE12800_A上的10GE1/1/0/2接口为Trunk口,允许两个VLAN的报文通过,在每个Vlanif接口上都配置IP地址,逻辑上与FW_A上相应的子接口连接。
如图4-17所示,FW_A上的GE1/0/3接口与CE12800_A上的10GE1/1/0/3接口相连,详细的连接情况如下:
- FW_A上的GE1/0/3接口划分了多个子接口(此处仅以两个子接口为例进行说明),每个子接口上都配置了IP地址。每个子接口都属于不同的虚拟系统,划分到虚拟系统的Trust区域中。
- CE12800_A上的10GE1/1/0/3接口为Trunk口,允许多个VLAN的报文通过,在每个Vlanif接口上都配置IP地址,逻辑上与FW_A上相应的子接口连接。
FW_B和CE12800_B之间的连接情况与上面的内容相同,只是IP地址有所区别,此处不再赘述。
虚拟机之间的互访需求,可以通过访问各自的公网地址,互访报文经过CE12800转发来实现。
FW上的接口和安全区域的数据规划如表4-6所示。
表4-6 接口和安全区域数据规划
|
FW_A |
FW_B |
说明 |
|---|---|---|
|
GE1/0/1 IP地址:无 虚拟系统:public 安全区域:Untrust |
GE1/0/1 IP地址:无 虚拟系统:public 安全区域:Untrust |
与CE12800的10GE1/1/0/1接口相连。 |
|
GE1/0/1.10 IP地址:172.16.10.252/24 虚拟系统:vfw1 安全区域:Untrust VRRP ID:10 虚拟IP:172.16.10.254 状态:active |
GE1/0/1.10 IP地址:172.16.10.253/24 虚拟系统:vfw1 安全区域:Untrust VRRP ID:10 虚拟IP:172.16.10.254 状态:standby |
虚拟系统vfw1的子接口。 |
|
GE1/0/1.11 IP地址:172.16.11.252/24 虚拟系统:vfw2 安全区域:Untrust VRRP ID:11 虚拟IP:172.16.11.254 状态:active |
GE1/0/1.11 IP地址:172.16.11.253/24 虚拟系统:vfw2 安全区域:Untrust VRRP ID:11 虚拟IP:172.16.11.254 状态:standby |
虚拟系统vfw2的子接口。 |
|
GE1/0/1.1000 IP地址:172.16.9.252/24 虚拟系统:public 安全区域:Untrust VRRP ID:9 虚拟IP:172.16.9.254 状态:active |
GE1/0/1.1000 IP地址:172.16.9.253/24 虚拟系统:public 安全区域:Untrust VRRP ID:9 虚拟IP:172.16.9.254 状态:standby |
根系统的子接口。 |
|
GE1/0/2 IP地址:无 虚拟系统:public 安全区域:DMZ |
GE1/0/2 IP地址:无 虚拟系统:public 安全区域:DMZ |
与CE12800的10GE1/1/0/2接口相连。 |
|
GE1/0/2.1 IP地址:10.159.1.252/24 虚拟系统:public 安全区域:DMZ VRRP ID:1 虚拟IP:10.159.1.254 状态:active |
GE1/0/2.1 IP地址:10.159.1.253/24 虚拟系统:public 安全区域:DMZ VRRP ID:1 虚拟IP:10.159.1.254 状态:standby |
根系统的子接口。 |
|
GE1/0/2.2 IP地址:10.159.2.252/24 虚拟系统:public 安全区域:DMZ VRRP ID:2 虚拟IP:10.159.2.254 状态:active |
GE1/0/2.2 IP地址:10.159.2.253/24 虚拟系统:public 安全区域:DMZ VRRP ID:2 虚拟IP:10.159.2.254 状态:standby |
根系统的子接口。 |
|
GE1/0/3 IP地址:无 虚拟系统:public 安全区域:Trust |
GE1/0/3 IP地址:无 虚拟系统:public 安全区域:Trust |
与CE12800的10GE1/1/0/3接口相连。 |
|
GE1/0/3.10 IP地址:10.159.10.252/24 虚拟系统:vfw1 安全区域:Trust VRRP ID:110 虚拟IP:10.159.10.254 状态:active |
GE1/0/3.10 IP地址:10.159.10.253/24 虚拟系统:vfw1 安全区域:Trust VRRP ID:110 虚拟IP:10.159.10.254 状态:standby |
虚拟系统vfw1的子接口。 |
|
GE1/0/3.11 IP地址:10.159.11.252/24 虚拟系统:vfw2 安全区域:Trust VRRP ID:111 虚拟IP:10.159.11.254 状态:active |
GE1/0/3.11 IP地址:10.159.11.253/24 虚拟系统:vfw2 安全区域:Trust VRRP ID:111 虚拟IP:10.159.11.254 状态:standby |
虚拟系统vfw2的子接口。 |
|
Eth-Trunk1 成员接口:GE1/0/8、GE2/0/8 IP地址:10.1.1.1/30 虚拟系统:public 安全区域:hrpzone |
Eth-Trunk1 成员接口:GE1/0/8、GE2/0/8 IP地址:10.1.1.2/30 虚拟系统:public 安全区域:hrpzone |
HRP备份接口。 |
虚拟系统
虚拟系统用来承载虚拟机业务,每个虚拟系统都对应一个虚拟机。虚拟系统中接口的划分情况在上面的接口和安全区域中已经介绍过了,除此之外,为了限制每个虚拟系统可使用的带宽,还需要为虚拟系统配置资源类。
FW上的虚拟系统数据规划如表4-7所示。此处仅以两个虚拟系统为例进行介绍,实际使用时请根据虚拟机的数量创建多个虚拟系统。
表4-7 虚拟系统数据规划
|
项目 |
FW_A |
FW_B |
说明 |
|---|---|---|---|
|
资源类 |
名称:vfw1_car 最大带宽:100M |
名称:vfw1_car 最大带宽:100M |
限制虚拟系统vfw1整体的最大带宽为100M。 |
|
名称:vfw2_car 最大带宽:100M |
名称:vfw2_car 最大带宽:100M |
限制虚拟系统vfw2整体的最大带宽为100M。 |
|
|
虚拟系统 |
名称:vfw1 资源类:vfw1_car |
名称:vfw1 资源类:vfw1_car |
- |
|
名称:vfw2 资源类:vfw2_car |
名称:vfw2 资源类:vfw2_car |
- |
路由
FW与CE12800之间通过静态路由来引导流量转发:
- CE12800上的根交换机Public中配置静态路由,目的地址是虚拟机和Portal系统的公网地址,下一跳是FW上各个子接口的地址,使外网企业用户访问虚拟机和Portal系统公网地址的流量可以转发至FW。
- CE12800上的每个虚拟交换机VRF中配置缺省路由,下一跳是FW上各个子接口的地址,使虚拟机和Portal系统的回程流量可以转发至FW。
- FW上配置静态路由,目的地址是虚拟机和Portal系统的私网地址,下一跳是CE12800上各个虚拟交换机VRF的vlanif地址,使外网企业用户访问虚拟机和Portal系统公网地址的流量经过FW处理后转发至CE12800。
- FW上配置缺省路由,下一跳是CE12800上根交换机Public的vlanif地址,使虚拟机和Portal系统的回程流量经过FW处理后转发至CE12800。
FW上的路由分为根系统中的路由和虚拟系统中的路由两部分,路由数据规划如表4-8所示。
表4-8 路由数据规划
|
项目 |
FW_A |
FW_B |
说明 |
|---|---|---|---|
|
根系统中的路由 |
缺省路由 下一跳:172.16.9.251 |
缺省路由 下一跳:172.16.9.251 |
根系统的缺省路由,下一跳指向CE12800。 |
|
黑洞路由 目的地址:117.1.1.1/32、117.1.1.2/32 |
黑洞路由 目的地址:117.1.1.1/32、117.1.1.2/32 |
Portal系统Global地址的黑洞路由,防止路由环路。 |
|
|
静态路由 目的地址:10.160.1.0/24 下一跳:10.159.1.251 目的地址:10.160.2.0/24 下一跳:10.159.2.251 |
静态路由 目的地址:10.160.1.0/24 下一跳:10.159.1.251 目的地址:10.160.2.0/24 下一跳:10.159.2.251 |
去往Portal系统私网地址的静态路由,下一跳指向CE12800。 |
|
|
虚拟系统vfw1中的路由 |
缺省路由 下一跳:172.16.10.251 |
缺省路由 下一跳:172.16.10.251 |
虚拟系统vfw1的缺省路由,下一跳指向CE12800。 |
|
黑洞路由 目的地址:118.1.1.1/32 |
黑洞路由 目的地址:118.1.1.1/32 |
虚拟机Global地址的黑洞路由,防止路由环路。 |
|
|
静态路由 目的地址:10.160.10.0/24 下一跳:10.159.10.251 |
静态路由 目的地址:10.160.10.0/24 下一跳:10.159.10.251 |
去往虚拟机私网地址的静态路由,下一跳指向CE12800。 |
|
|
虚拟系统vfw2中的路由 |
缺省路由 下一跳:172.16.11.251 |
缺省路由 下一跳:172.16.11.251 |
虚拟系统vfw1的缺省路由,下一跳指向CE12800。 |
|
黑洞路由 目的地址:118.1.1.2/32 |
黑洞路由 目的地址:118.1.1.2/32 |
虚拟机Global地址的黑洞路由,防止路由环路。 |
|
|
静态路由 目的地址:10.160.11.0/24 下一跳:10.159.11.251 |
静态路由 目的地址:10.160.11.0/24 下一跳:10.159.11.251 |
去往虚拟机私网地址的静态路由,下一跳指向CE12800。 |
双机热备
对于双机热备来说,整个组网的逻辑图就可以理解为经典的防火墙上、下行连接二层设备的双机热备组网。外网企业用户访问虚拟机的业务,其组网逻辑图如图4-18所示。为了便于描述,此处以一个虚拟机为例。
外网企业用户访问Portal系统的业务,其组网逻辑图如图4-19所示。为了便于描述,此处以一个Portal系统为例。
双机热备状态形成后,FW_A作为主用防火墙,FW_B作为备用防火墙。如图4-20所示,在网络正常的情况下,FW_A会回应CE12800的根交换机Public请求网关MAC地址的ARP报文,外网企业用户访问虚拟机或Portal系统的流量通过FW_A转发。同理,虚拟机或Portal系统回应给外网企业用户的返程流量也会被转发至FW_A。
当FW_A或者FW_A连接的链路出现故障时,双机主备倒换,这时FW_B会对外发送免费ARP报文,使CE12800更新虚MAC和端口的对应关系,流量都经过FW_B来转发,如图4-21所示。同理,虚拟机或Portal系统回应给外网企业用户的返程流量也会被转发至FW_B。
安全策略
安全策略分为根系统中的安全策略和虚拟系统中的安全策略两部分,根系统中安全策略的作用是允许外网企业用户访问Portal系统的报文通过;虚拟系统中安全策略的作用是允许外网企业用户访问虚拟机的报文通过。
同时,可以在安全策略上引用反病毒、入侵防御的配置文件,防范各种病毒、蠕虫、木马和僵尸网络攻击。一般情况下,使用缺省的反病毒和入侵防御配置文件default,即可满足防范各种病毒、蠕虫、木马和僵尸网络攻击的需求。
FW上的安全策略数据规划如表4-9所示。
表4-9 安全策略数据规划
|
项目 |
FW_A |
FW_B |
说明 |
|---|---|---|---|
|
根系统中的安全策略 |
名称:sec_portal 源安全区域:Untrust 目的安全区域:DMZ 目的地址:10.160.0.0/16 动作:permit 反病毒:default 入侵防御:default |
名称:sec_portal 源安全区域:Untrust 目的安全区域:DMZ 目的地址:10.160.0.0/16 动作:permit 反病毒:default 入侵防御:default |
允许外网企业用户访问Portal系统的报文通过。 |
|
虚拟系统vfw1中的安全策略 |
名称:sec_vm1 源安全区域:Untrust 目的安全区域:Trust 目的地址:10.160.10.0/24 动作:permit 反病毒:default 入侵防御:default |
名称:sec_vm1 源安全区域:Untrust 目的安全区域:Trust 目的地址:10.160.10.0/24 动作:permit 反病毒:default 入侵防御:default |
允许外网企业用户访问虚拟机的报文通过。 |
|
虚拟系统vfw2中的安全策略 |
名称:sec_vm2 源安全区域:Untrust 目的安全区域:Trust 目的地址:10.160.11.0/24 动作:permit 反病毒:default 入侵防御:default |
名称:sec_vm2 源安全区域:Untrust 目的安全区域:Trust 目的地址:10.160.11.0/24 动作:permit 反病毒:default 入侵防御:default |
允许外网企业用户访问虚拟机的报文通过。 |
NAT Server
NAT Server分为根系统中的NAT Server和虚拟系统中的NAT Server两部分,根系统中NAT Server的作用是将Portal系统映射成公网地址,供外网企业用户访问;虚拟系统中NAT Server的作用是将虚拟机映射成公网地址,供外网企业用户访问。
为了使外网的企业用户可以访问Portal系统和虚拟机,需要为Portal系统和每一个虚拟机申请公网地址。此处假设为Portal系统申请的公网地址为117.1.1.1和117.1.1.2,为虚拟机申请的公网地址为118.1.1.1和118.1.1.2。FW上的NAT Server数据规划如表4-10所示。
表4-10 NAT Server数据规划
|
项目 |
FW_A |
FW_B |
说明 |
|---|---|---|---|
|
根系统中的NAT Server |
名称:nat_server_portal1 Global地址:117.1.1.1 Inside地址:10.160.1.100 |
名称:nat_server_portal1 Global地址:117.1.1.1 Inside地址:10.160.1.100 |
Portal系统的NAT Server。 |
|
名称:nat_server_portal2 Global地址:117.1.1.2 Inside地址:10.160.2.100 |
名称:nat_server_portal2 Global地址:117.1.1.2 Inside地址:10.160.2.100 |
Portal系统的NAT Server。 |
|
|
虚拟系统vfw1中的NAT Server |
名称:nat_server_vm1 Global地址:118.1.1.1 Inside地址:10.160.10.100 |
名称:nat_server_vm1 Global地址:118.1.1.1 Inside地址:10.160.10.100 |
虚拟机的NAT Server。 |
|
虚拟系统vfw2中的NAT Server |
名称:nat_server_vm2 Global地址:118.1.1.2 Inside地址:10.160.11.100 |
名称:nat_server_vm2 Global地址:118.1.1.2 Inside地址:10.160.11.100 |
虚拟机的NAT Server。 |
注意事项
虚拟系统
缺省情况下,USG9500支持10个虚拟系统,如果需要使用更多的虚拟系统,必须申请License。
黑洞路由
根系统和虚拟系统中配置针对虚拟机和Portal系统公网地址的黑洞路由,防止路由环路。
策略备份加速
当策略数量较多时(比如超过500条),为了提升策略加速期间的匹配效率,需要开启备份加速功能。但是开启该功能后,新配置的策略需要等待策略备份加速完成后才能生效。
发表评论