信息安全技術(shù)（HCIA-Security）（微課版）（第2版） 教案 項目8 防火墻雙機熱備技術(shù)

教案 《信息安全技術(shù)》第頁ADDINCNKISM.UserStyle授課周次與課時：第8周第29-32課時累計32課時課程名稱：信息安全技術(shù)授課課題：防火墻雙機熱備技術(shù)教學(xué)目標(biāo)：了解防火墻雙機熱備技術(shù)掌握雙機熱備技術(shù)原理掌握防火墻雙機熱備配置教學(xué)要點：1.教學(xué)重點：掌握防火墻雙機熱備配置2.教學(xué)難點：掌握雙機熱備技術(shù)原理思政目標(biāo)：加強學(xué)生維護網(wǎng)絡(luò)空間的認(rèn)識，提高維護網(wǎng)絡(luò)空間安全能力；愛國主義，通過學(xué)生對北斗導(dǎo)航的了解，增強學(xué)生的愛國主義意識；科技強國，通過學(xué)生對北斗導(dǎo)航研發(fā)歷程的了解，增強學(xué)生科技強國的精神；課型：理實一體課教學(xué)與學(xué)法（教具）：多媒體教學(xué)過程：【課程思政/溫故知新】網(wǎng)上網(wǎng)下要同心聚力、齊抓共管,形成共同防范社會風(fēng)險、共同構(gòu)筑同心圓的良好局面。要維護網(wǎng)絡(luò)空間安全及網(wǎng)絡(luò)數(shù)據(jù)的完整性、安全性、可靠性，提高維護網(wǎng)絡(luò)空間安全能力。思政主題：科技強國、愛國主義2020年的6月23號，中國北斗3號的最后一顆衛(wèi)星發(fā)射成功，北斗衛(wèi)星導(dǎo)航系統(tǒng)（以下簡稱北斗系統(tǒng)）組建完成，向全球提供服務(wù)。北斗系統(tǒng)是中國著眼于國家安全和經(jīng)濟社會發(fā)展需要，自主建設(shè)運行的全球衛(wèi)星導(dǎo)航系統(tǒng)，是為全球用戶提供全天候、全天時、高精度的定位、導(dǎo)航和授時服務(wù)的國家重要時空基礎(chǔ)設(shè)施。本章學(xué)習(xí)內(nèi)容是防火墻雙機熱備技術(shù)，做為大國重器的北斗從最早的雙星，到現(xiàn)在的45個星的全球組網(wǎng)，備份一直是重中之重。在網(wǎng)絡(luò)安全方面，防火墻的雙機熱備也是網(wǎng)絡(luò)安全的重中之重，學(xué)好雙機熱備技術(shù)，對于我們以后在實際工程工作具有十分重要的意義?！拘抡n講授】一、雙機熱備技術(shù)原理1、雙機熱備技術(shù)的產(chǎn)生傳統(tǒng)的組網(wǎng)方式如圖12-1所示，內(nèi)部用戶和外部用戶的交互報文全部通過FirewallA進(jìn)行傳輸。如果FirewallA出現(xiàn)故障，內(nèi)部網(wǎng)絡(luò)中所有以FirewallA作為默認(rèn)網(wǎng)關(guān)的主機與外部網(wǎng)絡(luò)之間的通訊將中斷，通信可靠性無法得到保證。雙機熱備份技術(shù)的出現(xiàn)改變了可靠性難以保證的尷尬狀態(tài)，通過在網(wǎng)絡(luò)出口位置部署兩臺或多臺網(wǎng)關(guān)設(shè)備，保證了內(nèi)部網(wǎng)絡(luò)與外部網(wǎng)絡(luò)之間的通信暢通。2、雙機熱備在路由器上部署為了避免路由器傳統(tǒng)組網(wǎng)所引起的單點故障的發(fā)生，通常情況可以采用多條鏈路的保護機制，依靠動態(tài)路由協(xié)議進(jìn)行鏈路切換。但這種路由協(xié)議來進(jìn)行切換保護的方式存在一定的局限性，當(dāng)不能使用動態(tài)路由協(xié)議時，仍然會導(dǎo)致鏈路中斷的問題，因此推出了另一種保護機制VRRP（虛擬路由冗余協(xié)議）來進(jìn)行。采用VRRP的鏈路保護機制比依賴動態(tài)路由協(xié)議的廣播報文來進(jìn)行鏈路切換的時間更短，同時彌補了不能使用動態(tài)路由情況下的鏈路保護。3、VRRP工作原理VRRP在多區(qū)域防火墻組網(wǎng)中的應(yīng)用VRRP在防火墻應(yīng)用中存在的缺陷VRRP用于防火墻多區(qū)域備份（VGMP）VGMP基本原理VGMP組管理4、HRP工作原理HRP基本概念HRP心跳接口5、雙機熱備的備份方式自動備份自動備份功能缺省為開啟狀態(tài)，能夠自動實時備份配置命令和周期性地備份狀態(tài)信息，適用于各種雙機熱備組網(wǎng)。啟用自動備份功能后，在一臺FW上每執(zhí)行一條可以備份的命令時，此配置命令就會被立即同步備份到另一臺FW上。啟用自動備份功能后，主用設(shè)備會周期性地將可以備份的狀態(tài)信息備份到備用設(shè)備上。即主用設(shè)備的狀態(tài)信息建立后不會立即備份，而是在建立一段時間（10秒左右）之后才會備份到備用設(shè)備。自動備份不會備份以下類型的會話：到防火墻自身的會話，例如管理員登錄防火墻時產(chǎn)生的會話。未完成3次握手的TCP半連接會話（快速備份支持備份此會話）。只為UDP首包創(chuàng)建，而不被后續(xù)包匹配的會話（快速備份支持備份此會話）。手工批量備份手工批量備份需要管理員手工觸發(fā)，每執(zhí)行一次手工批量備份命令，主用設(shè)備就會立即同步一次配置命令和狀態(tài)信息到備用設(shè)備。因此手工批量備份主要適用于主備設(shè)備之間配置不同步，需要手工同步的場景。執(zhí)行手工批量備份命令后，主用（配置主）設(shè)備會立即同步一次可以備份的配置命令到備用（配置備）設(shè)備。執(zhí)行手工批量備份命令后，主用設(shè)備會立即同步一次可以備份的狀態(tài)信息到備用設(shè)備，而不必等到自動備份周期的到來。會話快速備份會話快速備份功能，適用于負(fù)載分擔(dān)的工作方式，以應(yīng)對報文來回路徑不一致的場景。負(fù)載分擔(dān)組網(wǎng)下，由于兩臺防火墻都是主用設(shè)備，都能轉(zhuǎn)發(fā)報文，所以可能存在報文的來回路徑不一致的情況，即來回兩個方向的報文分別從不同的防火墻經(jīng)過。這時如果兩臺防火墻的會話沒有及時相互備份，則回程報文會因為沒有匹配到會話表項而被丟棄，從而導(dǎo)致業(yè)務(wù)中斷。所以為防止上述現(xiàn)象發(fā)生，需要在負(fù)載分擔(dān)組網(wǎng)下配置會話快速備份功能，使兩臺防火墻能夠?qū)崟r的相互備份會話，使回程報文能夠查找到相應(yīng)的會話表項，從而保證內(nèi)外部用戶的業(yè)務(wù)不中斷。啟用會話快速備份功能后，主用設(shè)備會實時地將可以備份的會話（包括上面提到的自動備份不支持的會話）都同步到備用設(shè)備上。即在主用設(shè)備會話建立的時候立即將其實時備份到備用設(shè)備。設(shè)備重啟后主備FW的配置自動同步雙機熱備組網(wǎng)中，如果一臺FW重啟，重啟期間業(yè)務(wù)都是由另一臺FW承載。在此期間，承載業(yè)務(wù)的FW上可能會新增、刪除或修改配置。為了保證主備FW配置一致，在FW重啟完成后，會自動從當(dāng)前承載業(yè)務(wù)的FW上進(jìn)行一次配置同步。配置同步僅會同步支持備份的配置，如安全策略、NAT策略等。不支持備份的配置，如OSPF、BGP等，還繼續(xù)沿用原有的配置。配置同步需要一定的時間。同步的時間與配置量有關(guān)，配置量越大同步配置所需時間也越長，最長可能需要1個小時左右。在配置同步期間，F(xiàn)W上無法執(zhí)行支持備份的配置命令。二、12.2 雙機熱備基本組網(wǎng)與配置1、雙機熱備基本組網(wǎng)上下行業(yè)務(wù)接口工作在三層模式，連接二層設(shè)備時，需要在上下行的業(yè)務(wù)接口上配置VRRP備份組，使VGMP管理組能夠通過VRRP備份組監(jiān)測三層業(yè)務(wù)接口。雙機熱備組網(wǎng)最常見的是防火墻采用路由模式，下行交換機雙線上聯(lián)到防火墻，正常情況下防火墻A作為主，當(dāng)防火墻A上行或下行鏈路down掉后，防火墻B自動切換為主設(shè)備，交換機流量走向防火墻B。2、VRRP備份組配置命令vrrpvridvirtual-router-IDvirtual-ipvirtual-address[ip-mask|ip-mask-length]{active|standby}執(zhí)行此命令時，指定active或standby參數(shù)后，即將該VRRP組加入了VGMP管理組的Active或Standby管理組。每個普通物理接口（GigabitEthernet接口）下最多配置255個VRRP組。vrrpvridvirtual-router-IDtimeradvertiseadver-interval此命令在接口視圖下修改vrrp報文發(fā)送時間：Master管理組默認(rèn)情況下會每隔1秒發(fā)送一次vrrp報文，可以在接口視圖下調(diào)整vrrp報文發(fā)送間隔。vrrpvridvirtual-router-idip-linklink-id此命令在接口視圖下配置ip-link：vrrp也可以與ip-link進(jìn)行配合，當(dāng)上行鏈路斷掉后使vrrp能夠進(jìn)行主備切換。hrppreempt[delayinterval]此命令配置VGMP管理組的搶占延遲時間，缺省情況下，VGMP管理組的搶占功能為啟用狀態(tài)，搶占延遲時間為60s。3、HRP配置命令指定心跳口hrpinterfaceinterface-typeinterface-number[remote{ip-address|ipv6-address}]啟用HRP備份功能hrpenable 啟用允許配置備用設(shè)備的功能hrpstandbyconfigenable啟用命令與狀態(tài)信息的自動備份hrpauto-sync[config|connection-status]啟用會話快速備份hrpmirrorsessionenableHRP配置舉例-CLIUSG_A關(guān)于HRP配置：[USG_A]hrpenable使能hrp協(xié)議[USG_A]hrpmirrorsessionenable開啟會話快速備份功能[USG_A]hrpinterfaceGigabitEthernet1/0/6指定心跳接口為G1/0/6USG_B關(guān)于HRP的配置：[USG_B]hrpenable[USG_B]hrpmirrorsessionenable[USG_B]hrpinterfaceGigabitEthernet1/0/6狀態(tài)查詢查看VRRP狀態(tài)-CLI查看處于VRRP備份組中的接口狀態(tài)信息：HRP_A<USG_A>displayvrrpinterfaceG1/0/3GigabitEthernet1/0/3|VirtualRouter2VRRPGroup:Activestate:ActiveVirtualIP:10.3.0.3VirtualMAC:0000-5e00-0102PrimaryIP:10.3.0.1PriorityRun:120PriorityConfig:100MasterPriority:120Preempt:YESDelayTime:0AdvertisementTimer:1AuthType:NONECheckTTL:YES查看HRP狀態(tài)-CLI查看處于Master狀態(tài)防火墻的狀態(tài)信息如下：HRP_A<USG_A>dishrpstateThefirewall'sconfigstateis:ACTIVECurrentstateofvirtualroutersconfiguredasactive:GigabitEthernet1/0/1vrid1:activeGigabitEthernet1/0/3vrid2:active查看處于Slave狀態(tài)防火墻的狀態(tài)信息如下：HRP_S[USG_B]displayhrpstateThefirewall'sconfigstateis:StandbyCurrentstateofvirtualroutersconfiguredasstandby:GigabitEthernet1/0/1vrid1:standbyGigabitEthernet1/0/3vrid2:standby4、雙機熱備配置WEB界面一致性檢查，如圖所示。單擊“系統(tǒng)>高可靠性>雙機熱備>配置”進(jìn)行雙機熱備相關(guān)配置。單擊“配置”進(jìn)入雙機熱備配置界面，在配置界面中可以配置HRP的基本參數(shù)，以及對接口、VLAN、IP-Link、BFD的監(jiān)視；單擊“詳細(xì)”按鈕可以查看HRP的歷史切換信息；單擊“一致性檢查”按鈕可以對主備防火墻的配置做一致性檢查。雙機熱備主用設(shè)備配置–Web在雙機熱備配置界面單擊“配置”按鈕對主用設(shè)備USG_A的配置，在配置虛擬IP地址下單擊“新建”建立相應(yīng)VRRP備份組。雙機熱備備用設(shè)備配置–Web在雙機熱備配置界面單擊“配置”按鈕對備用設(shè)備USG_B的配置，在配置虛擬IP地址下單擊“新建”建立相應(yīng)VRRP備份組。查看雙機熱備歷史切換信息–Web在雙機熱備界面，單擊“詳細(xì)”可以查看雙機熱備主備切換信息。查看雙機熱備狀態(tài)信息–Web在雙機熱備界面確認(rèn)運行模式、角色及VRRP備份組的狀態(tài)信息?！緦W(xué)生練習(xí)】綜合實驗關(guān)于本實驗本實驗通過在網(wǎng)絡(luò)出口位置部署兩臺或多臺網(wǎng)關(guān)設(shè)備，保證了內(nèi)部網(wǎng)絡(luò)與外部網(wǎng)絡(luò)之間的通信暢通。實驗?zāi)康睦斫怆p機熱備的基本原理。理解VGMP和HRP協(xié)議。掌握通過命令行和web方式配置防火墻雙機熱備。實驗拓?fù)鋱D12-16防火墻雙機熱備實驗拓?fù)鋱D實驗規(guī)劃USG6330作為安全設(shè)備被部署在業(yè)務(wù)節(jié)點上。其中上下行設(shè)備均是交換機，USG6330-1、USG6330-2以主備備份方式工作。表12-1端口地址和區(qū)域劃分設(shè)備名稱接口IP地址區(qū)域USG6330-1G1/0/110.1.2.1TrustG1/0/330.1.1.1DMZG1/0/440.1.1.1UntrustUSG6330-2G1/0/110.1.2.2TrustG1/0/330.1.1.2DMZG1/0/440.1.1.2UntrustPC1E0/0/110.1.2.100TrustPC2E0/0/12.2.2.2Untrust實驗任務(wù)列表表12-2端口地址和區(qū)域劃分序號任務(wù)子任務(wù)任務(wù)說明1配置基礎(chǔ)數(shù)據(jù)配置安全區(qū)域?qū)⒏鹘涌趧澣氚踩珔^(qū)域2配置雙機熱備配置雙機熱備配置雙機熱備模式為主備模式，F(xiàn)W1為主，F(xiàn)W2為備。配置虛擬IP地址配置VRRP備份組1和23配置安全策略放行域間轉(zhuǎn)發(fā)安全策略放行Trust到Untrust區(qū)域策略實驗配置思路在配置基本的IP地址和所屬安全區(qū)域，并且放行對應(yīng)安全策略。進(jìn)行雙機熱備配置，備份方式為主備備份，USG6330-1為主，USG6330-2為備。配置步驟-CLI完成USG6330-1上、下行業(yè)務(wù)接口的配置。配置各接口IP地址并加入相應(yīng)安全區(qū)域。<USG6330-1>system-view[USG6330-1]interfaceGigabitEthernet1/0/1[USG6330-1-GigabitEthernet1/0/1]ipaddress10.1.2.1255.255.255.0[USG6330-1-GigabitEthernet1/0/1]quit[USG6330-1]interfaceGigabitEthernet1/0/4[USG6330-1-GigabitEthernet1/0/3]ipaddress40.1.1.1255.255.255.0[USG6330-1-GigabitEthernet1/0/3]quit[USG6330-1]firewallzonetrust[USG6330-1-zone-trust]addinterfaceGigabitEthernet1/0/1[USG6330-1-zone-trust]quit[USG6330-1]firewallzoneuntrust[USG6330-1-zone-untrust]addinterfaceGigabitEthernet1/0/4[USG6330-1-zone-untrust]quit配置接口GigabitEthernet1/0/1的VRRP備份組1，并加入到狀態(tài)為Active的VGMP管理組。[USG6330-1]interfaceGigabitEthernet1/0/4[USG6330-1-GigabitEthernet1/0/1]vrrpvrid1virtual-ip2.2.2.1255.255.255.0active[USG6330-1-GigabitEthernet1/0/1]quit配置接口GigabitEthernet1/0/3的VRRP備份組2，并加入到狀態(tài)為Active的VGMP管理組。[USG6330-1]interfaceGigabitEthernet1/0/1[USG6330-1-GigabitEthernet1/0/3]vrrpvrid2virtual-ip10.1.2.3active[USG6330-1-GigabitEthernet1/0/3]quit完成USG6330-1的心跳線配置，配置GigabitEthernet1/0/7的IP地址。[USG6330-1]interfaceGigabitEthernet1/0/3[USG6330-1-GigabitEthernet1/0/7]ipaddress30.1.1.1255.255.255.0[USG6330-1-GigabitEthernet1/0/7]quit配置GigabitEthernet1/0/7加入DMZ區(qū)域。[USG6330-1]firewallzonedmz[USG6330-1-zone-dmz]addinterfaceGigabitEthernet1/0/3[USG6330-1-zone-dmz]quit指定GigabitEthernet1/0/7為心跳口。[USG6330-1]hrpinterfaceGigabitEthernet1/0/3配置Trust區(qū)域和Untrust區(qū)域的域間轉(zhuǎn)發(fā)策略。HRP_A[USG6330-1]security-policyHRP_A[USG6330-1-policy-security]rulenamepolicy_secHRP_A[USG6330-1-policy-security-rule-policy_sec]source-zonetrustHRP_A[USG6330-1-policy-security-rule-policy_sec]destination-zoneuntrustHRP_A[USG6330-1-policy-security-rule-policy_sec]actionpermitHRP_A[USG6330-1-policy-security-rule-policy_sec]quit啟用HRP備份功能。[USG6330-1]hrpenable配置USG6330-2。USG6330-2和上述USG6330-1的配置基本相同，不同之處在于以下兩點：G6330-2各接口的IP地址與USG6330-1各接口的IP地址不相同。G6330-2的業(yè)務(wù)接口GigabitEthernet1/0/1和GigabitEthernet1/0/4加入狀態(tài)為Standby的VGMP管理組。配置Switch。分別將兩臺Switch的三個接口加入同一個VLAN，缺省即可，如需配置請參考交換機的相關(guān)文檔。配置步驟-Web完成USG6330-1防火墻接口配置。選擇“網(wǎng)絡(luò)>接口”。單擊需要配置接口后面的配置按鈕。依次選擇或輸入各項參數(shù)，單擊“確定”。完成GigabitEthernet1/0/1接口配置如圖所示：圖12-17GigabitEthernet1/0/1接口配置圖GigabitEthernet1/0/3和GigabitEthernet1/0/1配置類似。完成USG6330-1防火墻VRRP備份組1和VRRP備份組2的配置。選擇“系統(tǒng)>高可靠性>雙機熱備”。單擊“配置”，選用“啟用”前的復(fù)選框后，按如下參數(shù)配置：圖12-18熱備參數(shù)配置USG6330-2防火墻配置與USG6330-1防火墻基本一致，略。在雙機熱備的配置界面可以查看雙機熱備的狀態(tài)信息。圖12-19熱備運行狀態(tài)配置USG6330-1防火墻域間轉(zhuǎn)發(fā)策略。Trust與untrust間轉(zhuǎn)發(fā)策略：選擇“策略>安全策略>安全策略”。在“安全策略列表”中，單擊“新建”。依次輸入或選擇各項參數(shù)。單擊“確定”。完成Trust與untrust間轉(zhuǎn)發(fā)策略如圖所示：圖12-20熱備策略配置圖12-21熱備策略配置結(jié)果結(jié)果驗證，查看相關(guān)信息。查看VRRP信息在USG6330-1上執(zhí)行displayvrrp命令，檢查VRRP組內(nèi)接口的狀態(tài)信息，顯示以下信息表示VRRP組建立成功。HRP_A<USG6330-1>displayvrrpGigabitEthernet1/0/4|VirtualRouter1State:MasterVirtualIP:2.2.2.1MasterIP:40.1.1.1PriorityRun:120PriorityConfig:100MasterPriority:120Preempt:YESDelayTime:0sTimerRun:60s TimerConfig:60sAuthtype:NONEVirtualMAC:0000-5e00-0101CheckTTL:YESConfigtype:vgmp-vrrpBackup-forward:disabledGigabitEthernet1/0/1|VirtualRouter2State:MasterVirtualIP:10.1.2.3MasterIP:10.1.2.1PriorityRun:120PriorityConfig:100MasterPriority:120Preempt:YESDelayTime:0sTimerRun:60sTimerConfig:60sAuthtype:NONEVirtualMAC:0000-5e00-0102CheckTTL:YESConfigtype:vgmp-vrrpBackup-forward:disabled查看HRP信息在USG6330-1上執(zhí)行displayhrpstate命令，檢查當(dāng)前HRP的狀態(tài)，顯示以下信息表示HRP建立成功。HRP_A<USG6330-1>displayhrpstateThefirewall'sconfigstateis:ACTIVECurrentstateofvirtualroutersconfiguredasactive:GigabitEthernet1/0/1vrid2:activeGigab