H3C SecPath虚拟防火墙技术白皮书.docx

《H3C SecPath虚拟防火墙技术白皮书.docx》由会员分享，可在线阅读，更多相关《H3C SecPath虚拟防火墙技术白皮书.docx（10页珍藏版）》请在三一办公上搜索。

1、H3C SecPath虚拟防火墙技术白皮书(V1.00)SecPath虚拟防火墙技术白皮书关键词：虚拟防火墙MPLS VPN摘 要：本文介绍了 H3C公司虚拟防火墙技术和其应用背景。描述了虚拟防火墙的功能特色，并介绍 了 H3C公司具备虚拟防火墙功能的独立防火墙和防火墙插板产品的组网环境应用。缩略语清单：Abbreviations 缩略语Full spelling英文全名Chinese explanation 中文解释CECustomer Edge用户边缘PEProvider Edge运营商边缘MPLSMultiProtocol Label Switching多协议标签交换协议VPNVirtu

2、al Private Network虚拟私有网VLANVirtual Local Area Network虚拟局域网ASPFApplication Specific PacketFilter基于应用层状态的包过滤DMZDemilitary Zone非军事区1概述1.1新业务模型产生新需求1.2新业务模型下的防火墙部署1.2.1传统防火墙的部署缺陷1.2.2虚拟防火墙应运而生2虚拟防火墙技术2.1技术特点2.2相关术语2.3设备处理流程2.3.1根据入接口数据流2.3.2根据Vlan ID数据流2.3.3根据目的地址数据流3典型组网部署方案3.1虚拟防火墙在行业专网中的应用3.1.1 MPLS

3、VPN组网的园区中的虚拟防火墙部署一3.1.2 MPLS VPN组网的园区中的虚拟防火墙部署二3.1.3虚拟防火墙提供对VPE的安全保护3.2企业园区网应用4总结1 概述1.1 新业务模型产生新需求目前，跨地域的全国性超大企业集团和机构的业务规模和管理复杂度都在急剧的增加，传统的管理运营模 式巳经不能适应其业务的发展。企业信息化成为解决目前业务发展的关键，得到了各企业和机构的相当重 视。现今，国内一些超大企业在信息化建设中投入不断增加，部分巳经建立了跨地域的企业专网。有的企 业巳经达到甚至超过了 IT-CMM3的级别，开始向IT-CMM4迈进。另一方面，随着企业业务规模的不断增大，各业务部门的

4、职能和权责划分也越来越清晰。各业务部门也初 步形成了的相应不同安全级别的安全区域，比如，OA和数据中心等。由于SOX等法案或行政规定的颁布应 用，各企业或机构对网络安全的重视程度也在不断增加。对企业重点安全区域的防护要求越来越迫切。因此，对企业信息管理人员来说，如何灵活方便的实现企业各业务部门的安全区域划分和安全区域之间有 控制的互访成为其非常关注的问题。这也对安全区域隔离“利器”一一防火墙提出了更高的要求。1.2 新业务模型下的防火墙部署 目前许多企业巳经建设起自己的MELS VPN专网，例如电力和政务网。下面我们以MPLS VPN组网为例介绍 在新的业务模型下防火墙的如何实现对各相互独立的

5、业务部门进行各自独立的安全策略部署呢？1.2.1 传统防火墙的部署缺陷 面对上述需求，业界通行的做法是在园区各业务VPN前部署防火墙来完成对各部门的安全策略部署实现对 部门网络的访问控制。一般部署模式如下图所示：图1-1传统防火墙部署方式然而，由于企业业务VPN数量众多，而且企业业务发展迅速。显而易见的，这种传统的部署模式巳经不太 适应现有的应用环境，存在着如下的不足： 为数较多的部门划分，导致企业要部署管理多台独立防火墙，导致拥有和维护成本较高 集中放置的多个独立防火墙将占用较多的机架空间，并且给综合布线带来额外的复杂度 由于用户业务的发展，VPN的划分可能会发生新的变化。MPLSVPN以逻

6、辑形式的实现，仅仅改 动配置即可方便满足该需求。而传统防火墙需要发生物理上的变化，对用户后期备件以及管理 造成很大的困难 物理防火墙的增加意味着网络中需要管理的网元设备的增多。势必增加网络管理的复杂度1.2.2 虚拟防火墙应运而生 为了适应这种业务模式。虚拟防火墙技术应运而生。虚拟防火墙通过在同一台物理设备上划分多个逻辑的 防火墙实例来实现对多个业务VPN的独立安全策略部署。也可以利用这种逻辑防火墙的部署的灵活性来来 实现企业网络的对新业务的适应性。虚拟防火墙诞生以后，对用户来说其部署模式变为如图所示：图1-2虚拟防火墙部署模型如上图所示，在MPLS网络环境中，在PE与CE之间部署一台物理防火

7、墙。利用逻辑划分的多个防火墙实例 来部署多个业务VPN的不同安全策略。这样的组网模式极大的减少了用户拥有成本。随着业务的发展，当 用户业务划分发生变化或者产生新的业务部门时，可以通过添加或者减少防火墙实例的方式十分灵活的解 决后续网络扩展问题，在一定程度上极大的降低了网络安全部署的复杂度。另一方面，由于以逻辑的形式取代了网络中的多个物理防火墙。极大的减少了企业运维中需要管理维护的 网络设备。简化了网络管理的复杂度，减少了误操作的可能性。2 虚拟防火墙技术2.1 技术特点为了解决传统防火墙部署方式存在的不足，H3C公司推出了虚拟防火墙特性，旨在解决复杂组网环境中大 量VPN的独立安全策略需求所带

8、来的网络拓扑复杂、网络结构扩展性差、管理复杂，用户安全拥有成本高 等几大问题。虚拟防火墙是一个逻辑概念，可以在一个单一的硬件平台上提供多个防火墙实体，即，将一台防火墙设备 在逻辑上划分成多台虚拟防火墙，每台虚拟防火墙都可以被看成是一台完全独立的防火墙设备，可拥有独 立的管理员、安全策略、用户认证数据库等。每个虚拟防火墙能够实现防火墙的大部分特性。每个虚拟防 火墙之间相互独立，一般情况下不允许相互通信。SecPath/SecBlade虚拟防火墙具有如下技术特点： 每个虚拟防火墙维护自己一组安全区域 每个虚拟防火墙维护自己的一组资源对象（地址/地址组，服务/服务组等） 每个虚拟防火墙维护自己的包过

9、滤策略 每个虚拟防火墙维护自己的ASPF策略、NAT策略、ALG策略 限制每个虚拟防火墙占用资源数：防火墙Session以及ASPF Session数目2.2 相关术语 安全区域防火墙使用安全区域的概念来表示与其相连接的网络。防火墙预先定义了四个安全区域，这些安全区域也 称为系统安全区域，分别为Local区域、Trust区域、Untrust区域和DMZ区域。这些区域分别代表了不同 的安全级别，安全级别由高到低依次为Local、Trust、DMZ、Untrust。(2) 专有接口、共享接口与公共接口专有接口 ：防火墙采用专有接口表示只属于某个特定虚拟防火墙的接口。该接口必须通过ip bindin

10、g vpn-instance命令完成绑定到一个指定的vpn实例。共享接口：防火墙采用共享接口表示可被多个指定的虚拟防火墙共同享有的接口。该接口必须通过nat server vpn-instance命令或nat outbound static命令关联到一个或多个指定的vpn实例。公共接口：特指区别于专有接口和共享接口的其他接口。(3) NAT多实例在访问控制列表的规则rule中配置vpn-instance vpn-instance-name，指明哪个虚拟防火墙需要进行地 址转换，即可以实现对虚拟防火墙NAT多实例的支持。(4) ASPF多实例在接口下引用ASPF中配置vpn-instance v

11、pn-instance-name，指明哪个虚拟防火墙需要ASPF的处理，即 可实现虚拟防火墙ASPF多实例的支持。(5) 包过滤多实例在ACL配置子规则时增加vpn-instance vpn-instance-name，指明此规则对哪个虚拟防火墙生效，即可实 现虚拟防火墙包过滤多实例的支持。 资源限制防火墙使用资源限制的可完成各个虚拟防火墙的Session限制。可根据不同的流量背景，对对应的虚拟防 火墙在vpn视图下通过firewall session limit以及aspf session limit等进行限制。2.3 设备处理流程虚拟防火墙是一个逻辑上的概念，每个虚拟防火墙都是VPN实例和

12、安全实例的综合体，能够为虚拟防火墙 用户提供私有的路由转发业务和安全服务。每个虚拟防火墙中可以包含三层接口、二层物理接口、二层VLAN 子接口和二层Trunk接口 +VLAN。默认情况下，所有的接口都属于根防火墙实例(Root)，如果希望将部分 接口划分到不同的虚拟防火墙，必须创建虚拟防火墙实例，并且将接口加入虚拟防火墙中。根虚拟防火墙 不需要创建，默认存在。VPN实例与虚拟防火墙是一一对应的，它为虚拟防火墙提供相互隔离的VPN路由，与虚拟防火墙相关的信 息主要包括：VPN路由以及与VPN实例绑定的接口。VPN路由将为转发来自与VPN实例绑定的接口的报文提 供路由支持。安全实例为虚拟防火墙提供

13、相互隔离的安全服务，同样与虚拟防火墙一一对应。安全实例具备私有的ACL 规则组和NAT地址池；安全实例能够为虚拟防火墙提供地址转换、包过滤、ASPF和NAT ALG等私有的安全 服务。虚拟防火墙的引入一方面是为了解决业务多实例的问题，更主要的是为了将一个物理防火墙划分为多个逻 辑防火墙来用。多个逻辑防火墙可以分别配置单独不同的安全策略，同时默认情况下，不同的虚拟防火墙 之间是默认隔离的。对于防火墙系统接收到的数据流，系统根据数据的Vlan ID、入接口、源地址确定数据流所属的系统。在 各个虚拟防火墙系统中，数据流将根据各自系统的路由完成转发。2.3.1 根据入接口数据流根据数据流的的入接口信息

14、，防火墙系统根据所绑定的VPN实例信息从而把数据流送入所绑定的虚拟防火 墙系统。如图3所示。DCO/C.属亍UP If 口1的赦峥况VFVTO1木整口E/L 乎MFNg忙I跋照疙VFWWAW ntt/o,属fwFRna的敌房此 VFUV1O3图2-1防火墙根据入接口识别数据流所属虚拟防火墙2.3.2 根据Vlan ID数据流根据数据流的Vlan ID信息，防火墙系统将会识别出所对应的Vlan子接口从而把数据流送入所绑定的虚拟 防火墙系统。如图4所示。祯EE.图2-2防火墙根据Vlan ID识别数据流所属虚拟防火墙2.3.3 根据目的地址数据流对于访问内部服务器的数据流，根据数据流的目的地址，防

15、火墙根据Nat server配置把数据流送入所绑定 的虚拟防火墙系统。如图5所示。图2-3防火墙根据目的地址识别数据流所属虚拟防火墙3 典型组网部署方案3.1 虚拟防火墙在行业专网中的应用目前一些超大型企业（比如：政府，电力）利用MPLSVPN实现跨地域的部门的连通和相关业务部门之间有 控制的安全互访。虽然这些企业的业务和背景都有很大差异，但归纳起来，这些企业主要提出了两个需求: 如何实现各业务VPN的独立安全策略，进而能够对相关部门的互访进行有效控制 移动办公用户以及分支机构如何通过公网低成本的安全接入到企业MPLS VPN核心网络中 在MELS VPN网络中，虚拟防火墙可以部署在PE和MC

16、E之间实现对各业务VPN独立的安全策略的部署，从 而很好的满足上述需求。详见如下组网模型图。图3-1虚拟防火墙在MPLS VPN网络中的部署模式3.1.1 MLS VPN组网的园区中的虚拟防火墙部署一 对大中型的企业MPLS VPN专网，我们主推SecBlade防火墙插板在中、高端交换机上进行部署。利用交换 机的高密度端口和可以动态增减的虚拟防火墙保证企业对今后业务发展的适应能力。另一方面，充分利用 基础网络平台，实现网络和安全的融合。可以有效的简化拓扑，方便管理。详见下图：用户园区图3-2防火墙插板的虚拟防火墙典型部署组网说明：(1) 插入防火墙插板的中、高端交换机部署为MCE。(2) H3

17、C的防火墙插板以路由模式部署于网络中。根据具体业务模式部署OSPF多实例。(3) 网络管理人员根据各用户的业务情况，部署各业务VPN的独立安全策略。3.1.2 MPLS VPN组网的园区中的虚拟防火墙部署二对于MPLSVPN网络中的中小机构或分支接入我们主推性能较低的独立防火墙设备进行部署。防火墙设备下 挂二层交换机利用VLAN进行各业务VPN之间的物理隔离。实现中小分支机构的低成本接入。详见下图：虚拟而火埼实郭 各业务VPM的糖 立宜全策路图3-3独立防火墙设备的虚拟防火墙典型部署 组网说明:(1) 独立防火墙设备实现MCE的功能，根据具体业务模式在各VPN内部部署静态路由或者路由协议。(2

18、) 网络管理人员根据各用户的业务情况，部署各业务VPN的独立安全策略。(3) 用户利用二层交换机接入进网络，实现低成本的接入3.1.3 虚拟防火墙提供对VPE的安全保护H3C公司的VPE技术可以充分满足移动办公用户以及分支机构低成本接入到企业MPLSVPN核心网络的需求。 一般对企业来说，企业对分支机构和个人移动用户在安全监控程度相对是比较小的。如何让这些用户能够 安全接入到核心网络中，也是一个需要注意的问题。利用H3C支持虚拟防火墙的IPSec VPN网关，可以在将用户IPSec VPN内的流量映射到MPLS VPN的同时分 别对各业务VPN进行安全策略的检查，实现对各业务VPN的保护。详见

19、下图：-Tso MPN图3-4 VPE中的独立安全策略部署组网说明：(1) 独立防火墙设备作为IPSec VPN网关实现分支机构的IPSec VPN终结和映射到MPLS VPN。(2) 网络管理人员根据各用户的业务情况，部署各业务VPN的独立安全策略，业务流进入各MPLS VPN 时，进行安全策略的检测监控。保证企业核心网络不会因为分支机构的接入引入安全问题。3.2 企业园区网应用在一些大型的园区网络环境中，为了实现各业务部门之间(尤其是重点安全区域)的隔离和独立安全策略 部署，也需要采用虚拟防火墙技术。在这种组网中，各业务部门对应一个虚拟防火墙实例。针对不同的实 例，管理员可以在每个实例的接

20、口上部署独立的访问控制策略。MTEFtNtr周憾区理俱僵E HIP岫 PPKItI炫国监胃皿护tt四法曜JCSTK洋留殳帙电5：lUrtl EfttS st 堵心的姑+ H贵个苛fi*i报帽十障宏十等划51#不M世疫胃建图3-5虚拟防火墙实现园区重点安全区域独立安全策略保护组网说明：(1) 根据企业各业务部门的安全性要求程度，首先将企业中的重点安全区域划分成独立的安全区域。 如部门C和部门D。(2) 利用SecBlade防火墙插板制定各安全区域独立的安全策略。(3) H3C的防火墙插板以路由模式部署于网络中。支持OSPF多实例，因此虚拟防火墙可以很好的融合 在基础网络之中。4 总结H3C公司推出的虚拟防火墙特性解决了传统防火墙部署方式存在的不足，可以很好的缓解复杂组网环境中 各VPN的独立安全策略需求所带来的网络拓扑复杂、网络结构扩展性差、管理复杂，用户安全拥有成本高 等几大问题。可以很好的满足新业务模型所带来的新需求。