1、 第1页, 共12页虚拟防火墙技术白皮书关键词:虚拟防火墙 MPLS VPN摘 要:本文介绍了虚拟防火墙技术和其应用背景。描述了虚拟防火墙的功能特色,并介绍了公司具备虚拟防火墙功能的独立防火墙和防火墙插板产品的组网环境应用。缩略语清单:Abbreviations缩略语 Full spelling 英文全名 Chinese explanation 中文解释CE Customer Edge 用户边缘PE Provider Edge 运营商边缘MPLS MultiProtocol Label Switching多协议标签交换协议VPN Virtual Private Network 虚拟私有网VLA
2、N Virtual Local Area Network 虚拟局域网ASPF Application Specific Packet Filter基于应用层状态的包过滤DMZ Demilitary Zone 非军事区第2页, 共12页目录1 概述 .31.1 新业务模型产生新需求 .31.2 新业务模型下的防火墙部署 .31.2.1 传统防火墙的部署缺陷 .31.2.2 虚拟防火墙应运而生 .42 虚拟防火墙技术 .52.1 技术特点 .52.2 相关术语 .62.3 设备处理流程 .62.3.1 根据入接口数据流 .72.3.2 根据 Vlan ID数据流 72.3.3 根据目的地址数据流
3、.83 典型组网部署方案 .83.1 虚拟防火墙在行业专网中的应用 .83.1.1 MPLS VPN组网的园区中的虚拟防火墙部署一 93.1.2 MPLS VPN组网的园区中的虚拟防火墙部署二 103.1.3 虚拟防火墙提供对VPE 的安全保护 103.2 企业园区网应用 .114 总结 .12第3页, 共12页1 概述1.1 新业务模型产生新需求目前,跨地域的全国性超大企业集团和机构的业务规模和管理复杂度都在急剧的增加,传统的管理运营模式已经不能适应其业务的发展。企业信息化成为解决目前业务发展的关键,得到了各企业和机构的相当重视。现今,国内一些超大企业在信息化建设中投入不断增加,部分已经建立
4、了跨地域的企业专网。有的企业已经达到甚至超过了IT-CMM3的级别,开始向IT-CMM4 迈进。另一方面,随着企业业务规模的不断增大,各业务部门的职能和权责划分也越来越清晰。各业务部门也初步形成了的相应不同安全级别的安全区域,比如,OA和数据中心等。由于SOX等法案或行政规定的颁布应用,各企业或机构对网络安全的重视程度也在不断增加。对企业重点安全区域的防护要求越来越迫切。因此,对企业信息管理人员来说,如何灵活方便的实现企业各业务部门的安全区域划分和安全区域之间有控制的互访成为其非常关注的问题。这也对安全区域隔离“利器”防火墙提出了更高的要求。1.2 新业务模型下的防火墙部署目前许多企业已经建设
5、起自己的MPLS VPN专网,例如电力和政务网。下面我们以MPLS VPN组网为例介绍在新的业务模型下防火墙的如何实现对各相互独立的业务部门进行各自独立的安全策略部署呢? 1.2.1 传统防火墙的部署缺陷面对上述需求,业界通行的做法是在园区各业务VPN前部署防火墙来完成对各部门的安全策略部署实现对部门网络的访问控制。一般部署模式如下图所示:第4页, 共12页图1 传统防火墙部署方式然而,由于企业业务VPN数量众多,而且企业业务发展迅速。显而易见的,这种传统的部署模式已经不太适应现有的应用环境,存在着如下的不足: 为数较多的部门划分,导致企业要部署管理多台独立防火墙,导致拥有和维护成本较高 集中
6、放置的多个独立防火墙将占用较多的机架空间,并且给综合布线带来额外的复杂度 由于用户业务的发展,VPN的划分可能会发生新的变化。MPLS VPN以逻辑形式的实现,仅仅改动配置即可方便满足该需求。而传统防火墙需要发生物理上的变化,对用户后期备件以及管理造成很大的困难 物理防火墙的增加意味着网络中需要管理的网元设备的增多。势必增加网络管理的复杂度1.2.2 虚拟防火墙应运而生为了适应这种业务模式。虚拟防火墙技术应运而生。虚拟防火墙通过在同一台物理设备上划分多个逻辑的防火墙实例来实现对多个业务VPN的独立安全策略部署。也可以利用这种逻辑防火墙的部署的灵活性来来实现企业网络的对新业务的适应性。虚拟防火墙
7、诞生以后,对用户来说其部署模式变为如图所示:第5页, 共12页图2 虚拟防火墙部署模型如上图所示,在MPLS网络环境中,在PE与CE之间部署一台物理防火墙。利用逻辑划分的多个防火墙实例来部署多个业务VPN 的不同安全策略。这样的组网模式极大的减少了用户拥有成本。随着业务的发展,当用户业务划分发生变化或者产生新的业务部门时,可以通过添加或者减少防火墙实例的方式十分灵活的解决后续网络扩展问题,在一定程度上极大的降低了网络安全部署的复杂度。另一方面,由于以逻辑的形式取代了网络中的多个物理防火墙。极大的减少了企业运维中需要管理维护的网络设备。简化了网络管理的复杂度,减少了误操作的可能性。2 虚拟防火墙
8、技术2.1 技术特点为了解决传统防火墙部署方式存在的不足,公司推出了虚拟防火墙特性,旨在解决复杂组网环境中大量VPN 的独立安全策略需求所带来的网络拓扑复杂、网络结构扩展性差、管理复杂,用户安全拥有成本高等几大问题。虚拟防火墙是一个逻辑概念,可以在一个单一的硬件平台上提供多个防火墙实体,即,将一台防火墙设备在逻辑上划分成多台虚拟防火墙,每台虚拟防火墙都可以被看成是一台完全独立的防火墙设备,可拥有独立的管理员、安全策略、用户认证数据库等。每个虚拟防火墙能够实现防火墙的大部分特性。每个虚拟防火墙之间相互独立,一般情况下不允许相互通信。 SecPath/SecBlade虚拟防火墙具有如下技术特点:
9、每个虚拟防火墙维护自己一组安全区域; 每个虚拟防火墙维护自己的一组资源对象(地址/地址组,服务/ 服务组等)第6页, 共12页 每个虚拟防火墙维护自己的包过滤策略 每个虚拟防火墙维护自己的ASPF策略、NAT 策略、ALG 策略 限制每个虚拟防火墙占用资源数:防火墙Session以及ASPF Session数目2.2 相关术语1) 安全区域防火墙使用安全区域的概念来表示与其相连接的网络。防火墙预先定义了四个安全区域,这些安全区域也称为系统安全区域,分别为Local区域、Trust 区域、 Untrust区域和DMZ区域。这些区域分别代表了不同的安全级别,安全级别由高到低依次为Local、Tru
10、st、DMZ、Untrust。2) 专有接口、共享接口与公共接口专有接口:防火墙采用专有接口表示只属于某个特定虚拟防火墙的接口。该接口必须通过ip binding vpn-instance命令完成绑定到一个指定的vpn实例。共享接口:防火墙采用共享接口表示可被多个指定的虚拟防火墙共同享有的接口。该接口必须通过nat server vpn-instance命令或 nat outbound static命令关联到一个或多个指定的vpn实例。公共接口:特指区别于专有接口和共享接口的其他接口。3) NAT多实例在访问控制列表的规则rule中配置vpn-instance vpn-instance-nam
11、e,指明哪个虚拟防火墙需要进行地址转换,即可以实现对虚拟防火墙NAT多实例的支持。4) ASPF多实例在接口下引用ASPF中配置vpn-instance vpn-instance-name ,指明哪个虚拟防火墙需要 ASPF的处理,即可实现虚拟防火墙ASPF多实例的支持。5) 包过滤多实例在ACL配置子规则时增加vpn-instance vpn-instance-name,指明此规则对哪个虚拟防火墙生效,即可实现虚拟防火墙包过滤多实例的支持。6) 资源限制防火墙使用资源限制的可完成各个虚拟防火墙的Session限制。可根据不同的流量背景,对对应的虚拟防火墙在vpn视图下通过firewall s
12、ession limit 以及aspf session limit等进行限制。2.3 设备处理流程虚拟防火墙是一个逻辑上的概念,每个虚拟防火墙都是VPN实例和安全实例的综合体,能够为虚拟防火墙用户提供私有的路由转发业务和安全服务。每个虚拟防火墙中可以包含三层接口、二层物理接口、二层VLAN子接口和二层 Trunk接口+VLAN。默认情况下,所有的接口都属于根防火墙实例第7页, 共12页(Root),如果希望将部分接口划分到不同的虚拟防火墙,必须创建虚拟防火墙实例,并且将接口加入虚拟防火墙中。根虚拟防火墙不需要创建,默认存在。VPN实例与虚拟防火墙是一一对应的,它为虚拟防火墙提供相互隔离的VPN
13、路由,与虚拟防火墙相关的信息主要包括:VPN路由以及与VPN 实例绑定的接口。VPN路由将为转发来自与VPN 实例绑定的接口的报文提供路由支持。安全实例为虚拟防火墙提供相互隔离的安全服务,同样与虚拟防火墙一一对应。安全实例具备私有的ACL规则组和NAT地址池;安全实例能够为虚拟防火墙提供地址转换、包过滤、ASPF和NAT ALG等私有的安全服务。虚拟防火墙的引入一方面是为了解决业务多实例的问题,更主要的是为了将一个物理防火墙划分为多个逻辑防火墙来用。多个逻辑防火墙可以分别配置单独不同的安全策略,同时默认情况下,不同的虚拟防火墙之间是默认隔离的。对于防火墙系统接收到的数据流,系统根据数据的Vla
14、n ID、入接口、源地址确定数据流所属的系统。在各个虚拟防火墙系统中,数据流将根据各自系统的路由完成转发。2.3.1 根据入接口数据流根据数据流的的入接口信息,防火墙系统根据所绑定的VPN实例信息从而把数据流送入所绑定的虚拟防火墙系统。如图3所示。图3 防火墙根据入接口识别数据流所属虚拟防火墙2.3.2 根据 Vlan ID数据流根据数据流的Vlan ID 信息,防火墙系统将会识别出所对应的Vlan 子接口从而把数据流送入所绑定的虚拟防火墙系统。如图4所示。第8页, 共12页图4 防火墙根据 Vlan ID识别数据流所属虚拟防火墙2.3.3 根据目的地址数据流对于访问内部服务器的数据流,根据数
15、据流的目的地址,防火墙根据Nat server配置把数据流送入所绑定的虚拟防火墙系统。如图5所示。图5 防火墙根据目的地址识别数据流所属虚拟防火墙3 典型组网部署方案3.1 虚拟防火墙在行业专网中的应用目前一些超大型企业(比如:政府,电力)利用MPLS VPN实现跨地域的部门的连通和相关业务部门之间有控制的安全互访。虽然这些企业的业务和背景都有很大差异,但归纳起来,这些企业主要提出了两个需求: 如何实现各业务VPN的独立安全策略,进而能够对相关部门的互访进行有效控制 移动办公用户以及分支机构如何通过公网低成本的安全接入到企业MPLS VPN核心网络中在MPLS VPN网络中,虚拟防火墙可以部署
16、在 PE和MCE之间实现对各业务 VPN独立的安全策略的第9页, 共12页部署,从而很好的满足上述需求。详见如下组网模型图。图6 虚拟防火墙在MPLS VPN网络中的部署模式3.1.1 MPLS VPN组网的园区中的虚拟防火墙部署一对大中型的企业MPLS VPN专网,我们主推 SecBlade防火墙插板在中、高端交换机上进行部署。利用交换机的高密度端口和可以动态增减的虚拟防火墙保证企业对今后业务发展的适应能力。另一方面,充分利用基础网络平台,实现网络和安全的融合。可以有效的简化拓扑,方便管理。详见下图:图7 防火墙插板的虚拟防火墙典型部署第10页, 共12页组网说明:1) 插入防火墙插板的中、
17、高端交换机部署为MCE。2) 的防火墙插板以路由模式部署于网络中。根据具体业务模式部署OSPF多实例。3) 网络管理人员根据各用户的业务情况,部署各业务VPN的独立安全策略。3.1.2 MPLS VPN组网的园区中的虚拟防火墙部署二对于MPLS VPN网络中的中小机构或分支接入我们主推性能较低的独立防火墙设备进行部署。防火墙设备下挂二层交换机利用VLAN进行各业务VPN之间的物理隔离。实现中小分支机构的低成本接入。详见下图:图8 独立防火墙设备的虚拟防火墙典型部署组网说明:1) 独立防火墙设备实现MCE的功能,根据具体业务模式在各 VPN内部部署静态路由或者路由协议。2) 网络管理人员根据各用
18、户的业务情况,部署各业务VPN的独立安全策略。3) 用户利用二层交换机接入进网络,实现低成本的接入3.1.3 虚拟防火墙提供对VPE 的安全保护公司的VPE技术可以充分满足移动办公用户以及分支机构低成本接入到企业MPLS VPN核心网络的需求。一般对企业来说,企业对分支机构和个人移动用户在安全监控程度相对是比较小的。如何让这些用户能够安全接入到核心网络中,也是一个需要注意的问题。第11页, 共12页利用支持虚拟防火墙的IPSec VPN网关,可以在将用户IPSec VPN内的流量映射到MPLS VPN的同时分别对各业务VPN进行安全策略的检查,实现对各业务VPN的保护。详见下图:图9 VPE中
19、的独立安全策略部署组网说明:1) 独立防火墙设备作为IPSec VPN网关实现分支机构的IPSec VPN终结和映射到MPLS VPN。2) 网络管理人员根据各用户的业务情况,部署各业务VPN的独立安全策略,业务流进入各MPLS VPN时,进行安全策略的检测监控。保证企业核心网络不会因为分支机构的接入引入安全问题。3.2 企业园区网应用在一些大型的园区网络环境中,为了实现各业务部门之间(尤其是重点安全区域)的隔离和独立安全策略部署,也需要采用虚拟防火墙技术。在这种组网中,各业务部门对应一个虚拟防火墙实例。针对不同的实例,管理员可以在每个实例的接口上部署独立的访问控制策略。第12页, 共12页图10 虚拟防火墙实现园区重点安全区域独立安全策略保护组网说明:1) 根据企业各业务部门的安全性要求程度,首先将企业中的重点安全区域划分成独立的安全区域。如部门C和部门D。2) 利用SecBlade防火墙插板制定各安全区域独立的安全策略。3) 的防火墙插板以路由模式部署于网络中。支持OSPF多实例,因此虚拟防火墙可以很好的融合在基础网络之中。4 总结公司推出的虚拟防火墙特性解决了传统防火墙部署方式存在的不足,可以很好的缓解复杂组网环境中各VPN 的独立安全策略需求所带来的网络拓扑复杂、网络结构扩展性差、管理复杂,用户安全拥有成本高等几大问题。可以很好的满足新业务模型所带来的新需求。
