如何利用山石防火墻做高可靠的組網?
責編:admin |2014-09-17 14:16:53在一個部署了防火墻產品的重要網絡中,防火墻設備一旦出現故障,必然會影響網絡的安全運營,所以很多用戶在購買防火墻的時候,都會根據自己網絡情況認真考慮是采用單臺設備組網,還是采用冗余備份的方式。但是,這真的可靠嗎?
單雙機部署均存在難以破解的故障
網絡中部署單臺防火墻設備時,無論其可靠性多高,系統都必然要承受因單點故障而導致網絡業務中斷的風險,而且部署在互聯網出口的防火墻一般要使用網絡地址轉換(NAT)功能,因此無法使用Bypass來解決單點故障。
當雙機部署時,單點故障問題可通過雙活架構組網來規避,但防火墻是狀態檢測設備,如果仍是單機模式,會出現單臺設備故障時,靠路由冗余切換過來的TCP流無法通過狀態檢測而中斷。即使防火墻關閉狀態檢測,對于需要網絡地址轉換的流,由于沒有NAT會話同步,也會導致中斷,而且流的后續報文可能缺少應用特征關鍵字,導致流量應用類型識別不準,所以這些是網絡管理員需要直接面對的難題。
怎樣組建高度可靠的安全網絡
山石網科防火墻提供了三種高可靠組網工作模式:AP模式、AA模式、對等模式。AP和AA模式都是兩臺防火墻通過山石網科集群管理協議建立互相備份關系(山石網科集群管理協議的基本原理請參考官網),而對等模式則是兩臺防火墻依賴組網中的路由冗余建立互相備份關系。
AP模式
兩臺設備(工作在透明模式或者路由模式)配置成一個"HA組",一臺作為主設備,另一臺作為備份設備。主設備處于活動狀態,轉發報文,同時將其所有網絡和配置信息以及當前會話信息傳遞給備份設備。當主設備出現設備或鏈路故障時,備份設備接替主設備工作,轉發報文。這種主備模式具有較強冗余性,而且其網絡結構簡單,便于維護管理。
AA模式
兩臺設備(工作在透明模式或者路由模式)配置成兩個"HA組",一臺在HA組1中作為主設備,在HA組0中作為備份設備;另一臺在HA組1中作為備份設備,在HA組0中作為主設備。兩臺設備同時運行各自的工作,且相互監測對方的情況。當其中一臺設備發生設備或鏈路故障時,另外一臺設備運行其自身的工作并且接管故障設備的工作,以保證工作不間斷。這種雙主模式具有高性能以及負載均衡的優點。
對等模式是山石網科為特殊組網場景考慮的解決方案。要求兩臺防火墻(工作在透明模式或者路由模式)部署在雙活并且起了動態路由協議(如OSPF、BGP)的CE與PE之間,主要做訪問控制和攻擊防護,路由模式部署時一般還需要做網絡地址轉換。為了防止由于路由的冗余,會有非對稱路由的問題出現:如下圖所示,用戶側訪問網絡側的流量走一臺防火墻,而網絡側回用戶側的流量走了另一臺防火墻。防火墻作為狀態檢測設備,無論是采用單機還是AP/AA模式部署,都會出現由于匹配不到會話,非對稱流量無法通過狀態檢測而中斷的問題,同時影響應用流量管理、入侵防御等多個功能。
為此山石網科給出如下解決方案:兩臺防火墻單機部署,不使用山石網科集群管理協議,但增加互相會話備份和流量轉發通道。一臺設備先收到一條流的報文,則建立本地會話,同時向另一臺防火墻同步對端會話,當另一臺防火墻收到這條流的后續報文時,匹配到對端會話,則將流量轉發到建有本地會話的防火墻上處理。這樣能夠保證同一條流的所有流量都由同一臺防火墻來處理,延續會話的一致性,同時使得應用流量管理、入侵防御等功能能夠正常使用。
企業互聯網出口,防火墻通常作為網關部署在企業的互聯網出口,網絡地址轉換(NAT)是必須的功能。一般來說企業網絡內網用戶和服務數量不多,為便于維護,內網用戶和服務都希望配置相同的網關地址,因此建議選擇兩臺防火墻AP模式部署。
數據中心網絡出口,防火墻通常不作為網關部署在企業數據中心的網絡出口,但網絡地址轉換(NAT)是必須的功能。由于企業數據中心具有業務多、數據流量大的特點,一般網關交換機都選擇VRRP負載分擔模式,此時需要防火墻的高可靠部署方案具有處理非對稱流量的能力,因此需要選擇兩臺防火墻對等模式部署。
運營商網絡出口,防火墻通常不作為網關部署在運營商的網絡出口,但網絡地址轉換(NAT)同樣是必須的功能。由于運營商的運營網絡出口具有數據流量大、可靠性要求高的特點,也需要選擇兩臺防火墻AP模式部署。