如何利用山石防火墙做高可靠的组网?

日期:2014-9-19来源:山石网科

在一个部署了防火墙产品的重要网络中,防火墙设备一旦出现故障,必然会影响网络的安全运营,所以很多用户在购买防火墙的时候,都会根据自己网络情况认真考虑是采用单台设备组网,还是采用冗余备份的方式。但是,这真的可靠吗?

单双机部署均存在难以破解的故障

网络中部署单台防火墙设备时,无论其可靠性多高,系统都必然要承受因单点故障而导致网络业务中断的风险,而且部署在互联网出口的防火墙一般要使用网络地址转换(NAT)功能,因此无法使用Bypass来解决单点故障。

当双机部署时,单点故障问题可通过双活架构组网来规避,但防火墙是状态检测设备,如果仍是单机模式,会出现单台设备故障时,靠路由冗余切换过来的TCP流无法通过状态检测而中断。即使防火墙关闭状态检测,对于需要网络地址转换的流,由于没有NAT会话同步,也会导致中断,而且流的后续报文可能缺少应用特征关键字,导致流量应用类型识别不准,所以这些是网络管理员需要直接面对的难题。

怎样组建高度可靠的安全网络

山石网科防火墙提供了三种高可靠组网工作模式:AP模式、AA模式、对等模式。AP和AA模式都是两台防火墙通过山石网科集群管理协议建立互相备份关系(山石网科集群管理协议的基本原理请参考官网),而对等模式则是两台防火墙依赖组网中的路由冗余建立互相备份关系。

AP模式

两台设备(工作在透明模式或者路由模式)配置成一个“HA组”,一台作为主设备,另一台作为备份设备。主设备处于活动状态,转发报文,同时将其所有网络和配置信息以及当前会话信息传递给备份设备。当主设备出现设备或链路故障时,备份设备接替主设备工作,转发报文。这种主备模式具有较强冗余性,而且其网络结构简单,便于维护管理。

AA模式

两台设备(工作在透明模式或者路由模式)配置成两个“HA组”,一台在HA组1中作为主设备,在HA组0中作为备份设备;另一台在HA组1中作为备份设备,在HA组0中作为主设备。两台设备同时运行各自的工作,且相互监测对方的情况。当其中一台设备发生设备或链路故障时,另外一台设备运行其自身的工作并且接管故障设备的工作,以保证工作不间断。这种双主模式具有高性能以及负载均衡的优点。

图5 山石网科防火墙AA模式部署

对等模式

对等模式是山石网科为特殊组网场景考虑的解决方案。要求两台防火墙(工作在透明模式或者路由模式)部署在双活并且起了动态路由协议(如OSPF、BGP)的CE与PE之间,主要做访问控制和攻击防护,路由模式部署时一般还需要做网络地址转换。为了防止由于路由的冗余,会有非对称路由的问题出现:如下图所示,用户侧访问网络侧的流量走一台防火墙,而网络侧回用户侧的流量走了另一台防火墙。防火墙作为状态检测设备,无论是采用单机还是AP/AA模式部署,都会出现由于匹配不到会话,非对称流量无法通过状态检测而中断的问题,同时影响应用流量管理、入侵防御等多个功能。

图6 非对称流量组网场景

为此山石网科给出如下解决方案:两台防火墙单机部署,不使用山石网科集群管理协议,但增加互相会话备份和流量转发通道。一台设备先收到一条流的报文,则建立本地会话,同时向另一台防火墙同步对端会话,当另一台防火墙收到这条流的后续报文时,匹配到对端会话,则将流量转发到建有本地会话的防火墙上处理。这样能够保证同一条流的所有流量都由同一台防火墙来处理,延续会话的一致性,同时使得应用流量管理、入侵防御等功能能够正常使用。

图7 山石网科防火墙对等模式部署

建议使用的应用场景

企业互联网出口,防火墙通常作为网关部署在企业的互联网出口,网络地址转换(NAT)是必须的功能。一般来说企业网络内网用户和服务数量不多,为便于维护,内网用户和服务都希望配置相同的网关地址,因此建议选择两台防火墙AP模式部署。

数据中心网络出口,防火墙通常不作为网关部署在企业数据中心的网络出口,但网络地址转换(NAT)是必须的功能。由于企业数据中心具有业务多、数据流量大的特点,一般网关交换机都选择VRRP负载分担模式,此时需要防火墙的高可靠部署方案具有处理非对称流量的能力,因此需要选择两台防火墙对等模式部署。

运营商网络出口,防火墙通常不作为网关部署在运营商的网络出口,但网络地址转换(NAT)同样是必须的功能。由于运营商的运营网络出口具有数据流量大、可靠性要求高的特点,也需要选择两台防火墙AP模式部署。

微信公众号

TechTarget微信公众号二维码

TechTarget

官方微博

TechTarget中国官方微博二维码

TechTarget中国

评论
查看更多评论

敬请读者发表评论,本站保留删除与本文无关和不雅评论的权力。

网络防火墙>更多

相关推荐

技术手册>更多

  • 企业渗透测试指南

    正确执行的渗透测试是秘密的测试,其中由咨询人员或者内部人员扮演恶意攻击者,攻击系统的安全性。因为最终目的是渗透,这种测试不会发出警告,完全保密(当然,上层管理人员同意进行测试并且理解秘密的要求)。理想的是,应该没有来自企业的支持……或者,最大限度的是指出哪些是渗透测试团队应该避免的。在本指南中将全面介绍渗透测试和道德黑客,以及渗透测试的作用和执行方式,此外,希望本指南也能为想要成为渗透测试人员,也就是道德黑客的技术人员提供帮助。

  • 端点安全实用指南

    端点安全一直是令IT团队头痛的问题。如今,越来越多的员工使用自己的智能手机、平板电脑和笔记本进行工作,同时,这些设备中平台和服务数量日益增多,再加上云计算技术使用的增加,都让信息安全专业人士更加头痛。

  • 配置应用防火墙

    市场研究公司Gartner最近发表的研究报告强调了这种威胁并且预测当前成功的攻击有75%以上发生在应用层。Gartner甚至提出了一个更吓人的预测:到2009年年底,80% 的企业将成为应用层攻击的受害者。这正是应用防火墙发挥作用的地方。这些防火墙在HTTP通讯到达网络服务器之前对这些通讯进行应用层检查。这些设备能够检测到一个连接并且分析用户正在提供给这个应用程序的指令的性质和类型。然后,它们能够根据已知的攻击特征或者异常的应用状况分析这些通讯。

  • 电子邮件安全

    近年来,作为一种通讯方式,电子邮件不断快速发展。电子邮件用户和公司所面临的安全性风险也变得日益严重。病毒、蠕虫、垃圾邮件、网页仿冒欺诈、间谍软件和一系列更新、更复杂的攻击方法,使得电子邮件通信和电子邮件基础结构的管理成为了一种更加具有风险的行为。电子邮件的安全越来越受到重视。

TechTarget

最新资源
  • 存储
  • CIO
  • 数据库
  • 网络
  • 数据中心
  • 云计算