SecPath虛擬防火墻技術(shù)白皮書

1、SecPath 虛擬防火墻技術(shù)白皮書關(guān)鍵詞：虛擬防火墻 MPLS VPN摘 要：本文介紹了 H3C 公司虛擬防火墻技術(shù)和其應(yīng)用背景。描述了虛擬防火墻的功能特色， 并介紹了 H3C 公司具備虛擬防火墻功能的獨(dú)立防火墻和防火墻插板產(chǎn)品的組網(wǎng)環(huán)境應(yīng)用?？s略語清單：Abbreviations 縮略語Full spelling 英文全名Chinese explanation 中文解釋CECustomer Edge用戶邊緣PEProvider Edge運(yùn)營商邊緣MPLSMultiProtocol Label Switching多協(xié)議標(biāo)簽交換協(xié)議VPNVirtual Private Network虛擬私有網(wǎng)

2、VLANVirtual Local Area Network虛擬局域網(wǎng)ASPFApplication Specific Packet Filter基于應(yīng)用層狀態(tài)的包過濾DMZDemilitary Zone非軍事區(qū)目 錄 HYPERLINK l _bookmark0 概述3 HYPERLINK l _bookmark0 新業(yè)務(wù)模型產(chǎn)生新需求3 HYPERLINK l _bookmark0 新業(yè)務(wù)模型下的防火墻部署3 HYPERLINK l _bookmark0 傳統(tǒng)防火墻的部署缺陷3 HYPERLINK l _bookmark1 虛擬防火墻應(yīng)運(yùn)而生4 HYPERLINK l _bookmark2

3、 虛擬防火墻技術(shù)5 HYPERLINK l _bookmark2 技術(shù)特點(diǎn)5 HYPERLINK l _bookmark3 相關(guān)術(shù)語6 HYPERLINK l _bookmark4 設(shè)備處理流程7 HYPERLINK l _bookmark4 根據(jù)入接口數(shù)據(jù)流7 HYPERLINK l _bookmark4 根據(jù)Vlan ID數(shù)據(jù)流7 HYPERLINK l _bookmark5 根據(jù)目的地址數(shù)據(jù)流8 HYPERLINK l _bookmark5 典型組網(wǎng)部署方案8 HYPERLINK l _bookmark5 虛擬防火墻在行業(yè)專網(wǎng)中的應(yīng)用8 HYPERLINK l _bookmark6 MP

4、LS VPN組網(wǎng)的園區(qū)中的虛擬防火墻部署一9 HYPERLINK l _bookmark7 MPLS VPN組網(wǎng)的園區(qū)中的虛擬防火墻部署二10 HYPERLINK l _bookmark7 虛擬防火墻提供對VPE的安全保護(hù)10 HYPERLINK l _bookmark8 企業(yè)園區(qū)網(wǎng)應(yīng)用11 HYPERLINK l _bookmark9 4 總結(jié)12概述新業(yè)務(wù)模型產(chǎn)生新需求目前，跨地域的全國性超大企業(yè)集團(tuán)和機(jī)構(gòu)的業(yè)務(wù)規(guī)模和管理復(fù)雜度都在急劇的增加，傳統(tǒng)的管理運(yùn)營模式已經(jīng)不能適應(yīng)其業(yè)務(wù)的發(fā)展。企業(yè)信息化成為解決目前業(yè)務(wù)發(fā)展的關(guān)鍵，得到了各企業(yè)和機(jī)構(gòu)的相當(dāng)重視?，F(xiàn)今，國內(nèi)一些超大企業(yè)在信息化建設(shè)中

5、投入不斷增加，部分已經(jīng)建立了跨地域的企業(yè)專網(wǎng)。有的企業(yè)已經(jīng)達(dá)到甚至超過了 IT-CMM3 的級別，開始向 IT-CMM4 邁進(jìn)。另一方面，隨著企業(yè)業(yè)務(wù)規(guī)模的不斷增大，各業(yè)務(wù)部門的職能和權(quán)責(zé)劃分也越來越清晰。各業(yè)務(wù)部門也初步形成了的相應(yīng)不同安全級別的安全區(qū)域，比如，OA 和數(shù)據(jù)中心等。由于 SOX 等法案或行政規(guī)定的頒布應(yīng)用，各企業(yè)或機(jī)構(gòu)對網(wǎng)絡(luò)安全的重視程度也在不斷增加。對企業(yè)重點(diǎn)安全區(qū)域的防護(hù)要求越來越迫切。因此，對企業(yè)信息管理人員來說，如何靈活方便的實(shí)現(xiàn)企業(yè)各業(yè)務(wù)部門的安全區(qū)域劃分和安全區(qū)域之間有控制的互訪成為其非常關(guān)注的問題。這也對安全區(qū)域隔離“利器”防火墻提出了更高的要求。新業(yè)務(wù)模型下的

6、防火墻部署目前許多企業(yè)已經(jīng)建設(shè)起自己的 MPLS VPN 專網(wǎng)，例如電力和政務(wù)網(wǎng)。下面我們以MPLS VPN 組網(wǎng)為例介紹在新的業(yè)務(wù)模型下防火墻的如何實(shí)現(xiàn)對各相互獨(dú)立的業(yè)務(wù)部門進(jìn)行各自獨(dú)立的安全策略部署呢？傳統(tǒng)防火墻的部署缺陷面對上述需求，業(yè)界通行的做法是在園區(qū)各業(yè)務(wù) VPN 前部署防火墻來完成對各部門的安全策略部署實(shí)現(xiàn)對部門網(wǎng)絡(luò)的訪問控制。一般部署模式如下圖所示：圖1-1 傳統(tǒng)防火墻部署方式然而，由于企業(yè)業(yè)務(wù) VPN 數(shù)量眾多，而且企業(yè)業(yè)務(wù)發(fā)展迅速。顯而易見的，這種傳統(tǒng)的部署模式已經(jīng)不太適應(yīng)現(xiàn)有的應(yīng)用環(huán)境，存在著如下的不足：為數(shù)較多的部門劃分，導(dǎo)致企業(yè)要部署管理多臺(tái)獨(dú)立防火墻，導(dǎo)致?lián)碛泻途S護(hù)

7、成本較高集中放置的多個(gè)獨(dú)立防火墻將占用較多的機(jī)架空間，并且給綜合布線帶來額外的復(fù)雜度由于用戶業(yè)務(wù)的發(fā)展，VPN 的劃分可能會(huì)發(fā)生新的變化。MPLS VPN 以邏輯形式的實(shí)現(xiàn)，僅僅改動(dòng)配置即可方便滿足該需求。而傳統(tǒng)防火墻需要發(fā)生物理上的變化，對用戶后期備件以及管理造成很大的困難物理防火墻的增加意味著網(wǎng)絡(luò)中需要管理的網(wǎng)元設(shè)備的增多。勢必增加網(wǎng)絡(luò)管理的復(fù)雜度虛擬防火墻應(yīng)運(yùn)而生為了適應(yīng)這種業(yè)務(wù)模式。虛擬防火墻技術(shù)應(yīng)運(yùn)而生。虛擬防火墻通過在同一臺(tái)物理設(shè)備上劃分多個(gè)邏輯的防火墻實(shí)例來實(shí)現(xiàn)對多個(gè)業(yè)務(wù) VPN 的獨(dú)立安全策略部署。也可以利用這種邏輯防火墻的部署的靈活性來來實(shí)現(xiàn)企業(yè)網(wǎng)絡(luò)的對新業(yè)務(wù)的適應(yīng)性。虛擬防

8、火墻誕生以后，對用戶來說其部署模式變?yōu)槿鐖D所示：圖1-2 虛擬防火墻部署模型如上圖所示，在 MPLS 網(wǎng)絡(luò)環(huán)境中，在 PE 與 CE 之間部署一臺(tái)物理防火墻。利用邏輯劃分的多個(gè)防火墻實(shí)例來部署多個(gè)業(yè)務(wù) VPN 的不同安全策略。這樣的組網(wǎng)模式極大的減少了用戶擁有成本。隨著業(yè)務(wù)的發(fā)展，當(dāng)用戶業(yè)務(wù)劃分發(fā)生變化或者產(chǎn)生新的業(yè)務(wù)部門時(shí)，可以通過添加或者減少防火墻實(shí)例的方式十分靈活的解決后續(xù)網(wǎng)絡(luò)擴(kuò)展問題，在一定程度上極大的降低了網(wǎng)絡(luò)安全部署的復(fù)雜度。另一方面，由于以邏輯的形式取代了網(wǎng)絡(luò)中的多個(gè)物理防火墻。極大的減少了企業(yè)運(yùn)維中需要管理維護(hù)的網(wǎng)絡(luò)設(shè)備。簡化了網(wǎng)絡(luò)管理的復(fù)雜度，減少了誤操作的可能性。虛擬防火墻

9、技術(shù)技術(shù)特點(diǎn)為了解決傳統(tǒng)防火墻部署方式存在的不足，H3C 公司推出了虛擬防火墻特性，旨在解決復(fù)雜組網(wǎng)環(huán)境中大量 VPN 的獨(dú)立安全策略需求所帶來的網(wǎng)絡(luò)拓?fù)鋸?fù)雜、網(wǎng)絡(luò)結(jié)構(gòu)擴(kuò)展性差、管理復(fù)雜，用戶安全擁有成本高等幾大問題。虛擬防火墻是一個(gè)邏輯概念，可以在一個(gè)單一的硬件平臺(tái)上提供多個(gè)防火墻實(shí)體， 即，將一臺(tái)防火墻設(shè)備在邏輯上劃分成多臺(tái)虛擬防火墻，每臺(tái)虛擬防火墻都可以被看成是一臺(tái)完全獨(dú)立的防火墻設(shè)備，可擁有獨(dú)立的管理員、安全策略、用戶認(rèn)證數(shù)據(jù)庫等。每個(gè)虛擬防火墻能夠?qū)崿F(xiàn)防火墻的大部分特性。每個(gè)虛擬防火墻之間相互獨(dú)立，一般情況下不允許相互通信。SecPath/SecBlade 虛擬防火墻具有如下技術(shù)特點(diǎn)

10、：每個(gè)虛擬防火墻維護(hù)自己一組安全區(qū)域每個(gè)虛擬防火墻維護(hù)自己的一組資源對象（地址/地址組，服務(wù)/服務(wù)組等）每個(gè)虛擬防火墻維護(hù)自己的包過濾策略每個(gè)虛擬防火墻維護(hù)自己的 ASPF 策略、NAT 策略、ALG 策略限制每個(gè)虛擬防火墻占用資源數(shù)：防火墻 Session 以及 ASPF Session 數(shù)目相關(guān)術(shù)語安全區(qū)域防火墻使用安全區(qū)域的概念來表示與其相連接的網(wǎng)絡(luò)。防火墻預(yù)先定義了四個(gè)安全區(qū)域，這些安全區(qū)域也稱為系統(tǒng)安全區(qū)域，分別為 Local 區(qū)域、Trust 區(qū)域、Untrust 區(qū)域和 DMZ 區(qū)域。這些區(qū)域分別代表了不同的安全級別，安全級別由高到低依次為Local、Trust、DMZ、Untr

11、ust。專有接口、共享接口與公共接口專有接口：防火墻采用專有接口表示只屬于某個(gè)特定虛擬防火墻的接口。該接口必須通過 ip binding vpn-instance 命令完成綁定到一個(gè)指定的 vpn 實(shí)例。共享接口：防火墻采用共享接口表示可被多個(gè)指定的虛擬防火墻共同享有的接口。該接口必須通過 nat server vpn-instance 命令或 nat outbound static 命令關(guān)聯(lián)到一個(gè)或多個(gè)指定的 vpn 實(shí)例。公共接口：特指區(qū)別于專有接口和共享接口的其他接口。NAT 多實(shí)例在訪問控制列表的規(guī)則 rule 中配置 vpn-instance vpn-instance-name，指明

12、哪個(gè)虛擬防火墻需要進(jìn)行地址轉(zhuǎn)換，即可以實(shí)現(xiàn)對虛擬防火墻 NAT 多實(shí)例的支持。ASPF 多實(shí)例在接口下引用 ASPF 中配置 vpn-instance vpn-instance-name，指明哪個(gè)虛擬防火墻需要 ASPF 的處理，即可實(shí)現(xiàn)虛擬防火墻 ASPF 多實(shí)例的支持。包過濾多實(shí)例在 ACL 配置子規(guī)則時(shí)增加 vpn-instance vpn-instance-name，指明此規(guī)則對哪個(gè)虛擬防火墻生效，即可實(shí)現(xiàn)虛擬防火墻包過濾多實(shí)例的支持。資源限制防火墻使用資源限制的可完成各個(gè)虛擬防火墻的 Session 限制。可根據(jù)不同的流量背景，對對應(yīng)的虛擬防火墻在vpn 視圖下通過firewall

13、session limit 以及aspf session limit 等進(jìn)行限制。設(shè)備處理流程虛擬防火墻是一個(gè)邏輯上的概念，每個(gè)虛擬防火墻都是 VPN 實(shí)例和安全實(shí)例的綜合體，能夠?yàn)樘摂M防火墻用戶提供私有的路由轉(zhuǎn)發(fā)業(yè)務(wù)和安全服務(wù)。每個(gè)虛擬防火墻中可以包含三層接口、二層物理接口、二層 VLAN 子接口和二層 Trunk 接口+VLAN。默認(rèn)情況下，所有的接口都屬于根防火墻實(shí)例（Root），如果希望將部分接口劃分到不同的虛擬防火墻，必須創(chuàng)建虛擬防火墻實(shí)例，并且將接口加入虛擬防火墻中。根虛擬防火墻不需要?jiǎng)?chuàng)建，默認(rèn)存在。VPN 實(shí)例與虛擬防火墻是一一對應(yīng)的，它為虛擬防火墻提供相互隔離的 VPN 路由，

14、 與虛擬防火墻相關(guān)的信息主要包括：VPN 路由以及與 VPN 實(shí)例綁定的接口。VPN 路由將為轉(zhuǎn)發(fā)來自與 VPN 實(shí)例綁定的接口的報(bào)文提供路由支持。安全實(shí)例為虛擬防火墻提供相互隔離的安全服務(wù)，同樣與虛擬防火墻一一對應(yīng)。安全實(shí)例具備私有的 ACL 規(guī)則組和 NAT 地址池；安全實(shí)例能夠?yàn)樘摂M防火墻提供地址轉(zhuǎn)換、包過濾、ASPF 和 NAT ALG 等私有的安全服務(wù)。虛擬防火墻的引入一方面是為了解決業(yè)務(wù)多實(shí)例的問題，更主要的是為了將一個(gè)物理防火墻劃分為多個(gè)邏輯防火墻來用。多個(gè)邏輯防火墻可以分別配置單獨(dú)不同的安全策略，同時(shí)默認(rèn)情況下，不同的虛擬防火墻之間是默認(rèn)隔離的。對于防火墻系統(tǒng)接收到的數(shù)據(jù)流，系

15、統(tǒng)根據(jù)數(shù)據(jù)的 Vlan ID、入接口、源地址確定數(shù)據(jù)流所屬的系統(tǒng)。在各個(gè)虛擬防火墻系統(tǒng)中，數(shù)據(jù)流將根據(jù)各自系統(tǒng)的路由完成轉(zhuǎn)發(fā)。根據(jù)入接口數(shù)據(jù)流根據(jù)數(shù)據(jù)流的的入接口信息，防火墻系統(tǒng)根據(jù)所綁定的 VPN 實(shí)例信息從而把數(shù)據(jù)流送入所綁定的虛擬防火墻系統(tǒng)。如圖 3 所示。圖2-1 防火墻根據(jù)入接口識(shí)別數(shù)據(jù)流所屬虛擬防火墻根據(jù) Vlan ID 數(shù)據(jù)流根據(jù)數(shù)據(jù)流的 Vlan ID 信息，防火墻系統(tǒng)將會(huì)識(shí)別出所對應(yīng)的 Vlan 子接口從而把數(shù)據(jù)流送入所綁定的虛擬防火墻系統(tǒng)。如圖 4 所示。圖2-2 防火墻根據(jù)Vlan ID 識(shí)別數(shù)據(jù)流所屬虛擬防火墻根據(jù)目的地址數(shù)據(jù)流對于訪問內(nèi)部服務(wù)器的數(shù)據(jù)流，根據(jù)數(shù)據(jù)流的目

16、的地址，防火墻根據(jù) Nat server 配置把數(shù)據(jù)流送入所綁定的虛擬防火墻系統(tǒng)。如圖 5 所示。圖2-3 防火墻根據(jù)目的地址識(shí)別數(shù)據(jù)流所屬虛擬防火墻典型組網(wǎng)部署方案虛擬防火墻在行業(yè)專網(wǎng)中的應(yīng)用目前一些超大型企業(yè)（比如：政府，電力）利用 MPLS VPN 實(shí)現(xiàn)跨地域的部門的連通和相關(guān)業(yè)務(wù)部門之間有控制的安全互訪。雖然這些企業(yè)的業(yè)務(wù)和背景都有很大差異，但歸納起來，這些企業(yè)主要提出了兩個(gè)需求：如何實(shí)現(xiàn)各業(yè)務(wù) VPN 的獨(dú)立安全策略，進(jìn)而能夠?qū)ο嚓P(guān)部門的互訪進(jìn)行有效控制移動(dòng)辦公用戶以及分支機(jī)構(gòu)如何通過公網(wǎng)低成本的安全接入到企業(yè) MPLS VPN 核心網(wǎng)絡(luò)中在 MPLS VPN 網(wǎng)絡(luò)中，虛擬防火墻可以

17、部署在 PE 和 MCE 之間實(shí)現(xiàn)對各業(yè)務(wù) VPN獨(dú)立的安全策略的部署，從而很好的滿足上述需求。詳見如下組網(wǎng)模型圖。圖3-1 虛擬防火墻在 MPLS VPN 網(wǎng)絡(luò)中的部署模式MPLS VPN 組網(wǎng)的園區(qū)中的虛擬防火墻部署一對大中型的企業(yè) MPLS VPN 專網(wǎng)，我們主推 SecBlade 防火墻插板在中、高端交換機(jī)上進(jìn)行部署。利用交換機(jī)的高密度端口和可以動(dòng)態(tài)增減的虛擬防火墻保證企業(yè)對今后業(yè)務(wù)發(fā)展的適應(yīng)能力。另一方面，充分利用基礎(chǔ)網(wǎng)絡(luò)平臺(tái)，實(shí)現(xiàn)網(wǎng)絡(luò)和安全的融合?？梢杂行У暮喕?fù)?，方便管理。詳見下圖：圖3-2 防火墻插板的虛擬防火墻典型部署組網(wǎng)說明：插入防火墻插板的中、高端交換機(jī)部署為 MCE。

18、H3C 的防火墻插板以路由模式部署于網(wǎng)絡(luò)中。根據(jù)具體業(yè)務(wù)模式部署 OSPF多實(shí)例。網(wǎng)絡(luò)管理人員根據(jù)各用戶的業(yè)務(wù)情況，部署各業(yè)務(wù) VPN 的獨(dú)立安全策略。MPLS VPN 組網(wǎng)的園區(qū)中的虛擬防火墻部署二對于 MPLS VPN 網(wǎng)絡(luò)中的中小機(jī)構(gòu)或分支接入我們主推性能較低的獨(dú)立防火墻設(shè)備進(jìn)行部署。防火墻設(shè)備下掛二層交換機(jī)利用 VLAN 進(jìn)行各業(yè)務(wù) VPN 之間的物理隔離。實(shí)現(xiàn)中小分支機(jī)構(gòu)的低成本接入。詳見下圖：圖3-3 獨(dú)立防火墻設(shè)備的虛擬防火墻典型部署組網(wǎng)說明：獨(dú)立防火墻設(shè)備實(shí)現(xiàn) MCE 的功能，根據(jù)具體業(yè)務(wù)模式在各 VPN 內(nèi)部部署靜態(tài)路由或者路由協(xié)議。網(wǎng)絡(luò)管理人員根據(jù)各用戶的業(yè)務(wù)情況，部署各業(yè)務(wù) VPN 的獨(dú)立安全策略。用戶利用二層交換機(jī)接入進(jìn)網(wǎng)絡(luò)，實(shí)現(xiàn)低成本的接入虛擬防火墻提供對 VPE 的安全保護(hù)H3C 公司的 VPE 技術(shù)可以充分滿足移動(dòng)辦公用戶以及分支機(jī)構(gòu)低成本接入到企業(yè)MPLS VPN 核心網(wǎng)絡(luò)的需求。一般對企業(yè)來說，企業(yè)對分支機(jī)構(gòu)和個(gè)人移動(dòng)用戶在安全監(jiān)控程度相對是比較小的。如何讓這些用戶能夠安全接入到核心網(wǎng)絡(luò)中，也是一個(gè)需要注意的問題。利用 H3C 支持虛擬防火墻的 IPSec VPN 網(wǎng)關(guān)，可以在將用戶 IPSec VPN 內(nèi)的流量映射到 MPLS VPN 的同時(shí)分別對各業(yè)務(wù) VP