基于的网络安全设计.pdf

基于基于IRF的网络安全设计思路的网络安全设计思路 1 概述概述 随着企业对IT安全重视程度逐步增加， 安全产品逐渐融合进企业总体基础架构基本规划中， 网络产品(交 换机、路由器)与安全产品(防火墙、IPS)成为支撑企业IT系统的基本构件。 H3C基于总体网络安全提供集成化最佳实践设计，目标是向企业客户提供在实际部署中的详细指导。 2 IRF 对网络安全设计的提升对网络安全设计的提升 企业在安全与网络在规划、设计、部署过程中的一体化结合还存在着问题，如重视架构而不重视实践， 重视组件齐全而不关注网络与安全的配合对接。而在一般安全设计过程中，考虑到网络设备、安全设备冗 余性等高可靠，出现多种复杂的设计拓扑，对实现安全目标提出了挑战。 当前H3C提出了全网IRF架构，达到简化网络结构、简化网络规划设计、简化部署实施、简化运行管理， 同时极大简化网络设备与安全设备之间的对接设计，进一步提升有效安全、可靠性安全。 3 IRF 交换网络交换网络&防火墙组合设计防火墙组合设计 3.1 IRF 交换网络与独立防火墙组合设计思路 在当前的防火墙部署方案中，设计人员越来越倾向于使用更简单的组网结构来简化总体安全策略设计， 并使得在出现网络故障时更易于快速定位问题，或是安全事件发生时能够基于简单拓扑进行快速判定。如 图1 左图是一种常见的防火墙与交换机组网，采用右图的IRF交换结构后，对网络拓扑并没有改变，但在设 计上有了不同的考虑。 图1 防火墙交换机基本组网结构 H3C的防火墙都具备会话同步的热备份功能， 使用专用的一条或两条带外线缆(双机热备专线)进行两台 防火墙的会话信息进行同步，配合交换网络流量切换，可保证单台防火墙故障时应用流量不会中断，可提 供经典的设计方式有路由模式、透明模式，双机冗余下均支持Active-Active和Active-Standby方式。 图2给出了防火墙双机热备工作在透明模式下，与IRF交换机组的两种组网方式。 图2左图的方式，两组IRF与两台防火墙的互联接口配置两组连接网段，交换机对防火墙的端口均采用 untagged方式，因此，可以保证两台防火墙在VLAN的配置上也达到一致，防火墙同时启动流路径非对称能 力。两组IRF交换系统之间可以运行动态路由协议(防火墙允许相应的协议数据通过)，所有数据流通过等价 路由分担到两台防火墙所在的链路上，由于防火墙支持路径非对称功能，因此当某条数据流下行经过一台 防火墙而上行经过另一台防火墙时，双机的状态会话仍能同步保持。 图2右图采用了一种更简单的方式进行组网， 利用防火墙inline转发方式， 即防火墙端口配对转发而不进 行MAC地址查表转发，将交换机IRF系统中不同成员的端口与两台防火墙分别连接，只在交换机IRF系统端 进行两条链路的LACP捆绑，这样将网络流量分担到不同防火墙，而在交换机IRF系统不需要使用等价路由。 防火墙允许LACP协议报文通过，从而保证聚合链路的可靠性连接。数据流在防火墙往返路径不一致的情况 仍由路径非对称功能解决。 图2 双活透明防火墙+交换IRF 独立防火墙路由模式与交换机IRF的组网也基本有两种方式，如图3，无论哪种方式下，防火墙之间的 带外状态同步专线需要可靠连接。 图3 防火墙路由模式+交换网络IRF 图3 左图方案，双机防火墙对上游、下游交换机IRF系统均配置VRRP备份组，而交换机组对防火墙只 需要一个VLAN三层接口，防火墙备份组接口成员以Active/Standby方式运行，需在两台防火墙上配置相同 的对外静态路由下一跳分别指向交换机接口(10.1.1.1或10.2.1.1)， 而在每组IRF交换机则只需配置一个三层接 口和一条静态路由。 图3 右图方案，各防火墙作为独立路由运行节点与IRF交换系统组成动态路由区域，完全由路由协议控 制数据流经的防火墙，两台防火墙之间相互同步会话状态信息，支持非对称流量安全检测。 3.2 IRF 交换网络集成防火墙插卡设计思路 当前在交换机中集成防火墙等安全业务线卡已经成为数据中心基础安全实施的一个主流方向，这种架 构促进了数据中心网络安全的快速部署、简捷运行。 早期的基本网络都是按照双机冗余结构进行设计与部署的，那么，在交换系统IRF虚拟化环境下，防火 墙等安全线卡与两台交换机的关系有所变化。如图4所示，在双机冗余设备中插入多块防火墙(图4 左图)， 通过IRF对交换机进行了虚拟化整合，则这多块防火墙本质上如同插在一台交换机上(图4 右图)。 图4 IRF集成多块安全线卡 不同交换机集成安全变化为一台交换机集成安全，安全线卡只面对一台虚拟交换机，一个网络交换单 元，给设计上带来了更为方便的地方。如图5所示服务器接入组网，IRF集成防火墙，本设计采用了类似图3 左图的基本结构。 图5 交换机IRF集成防火墙路由A-S模式 本方案中，服务器群的网关设置在防火墙上，防火墙通过VRRP提供冗余，冗余备份组通过静态路由下 一跳指向IRF交换机三层接口，交换机之间通过IRF消除了二层接入环路。 在集成防火墙路由模式下，还可以将防火墙进行虚拟化，逻辑分割成多个虚拟防火墙实例提供网络安 全服务，如图6所示，在图5相似的结构下，对每块防火墙线卡划分了多个逻辑实例，每一对虚拟防火墙工 作在A-S方式，可选择Active实例分布在两块物理线卡上，从而达到负载分担和冗余备份的能力。 图6 交换机IRF集成虚拟防火墙路由模式 在有些网络中，将防火墙运行在透明模式，目的是为了降低安全设备参与网络路由计算的压力，因此， 通常情况下的双机集成安全透明模式都会引入网络环路，为消除环路影响，一般需要启用生成树协议避免 广播风暴。同样，在IRF交换结构下的防火墙透明模式，在逻辑结构下也存在二层网络环路，如图7左图所 示；为消除环路的影响，提升整体网络可靠性和可用性能，图7右图所示，在防火墙线卡使能inline转发方式 和状态同步非对称特性，将两台交换机与防火墙固联的两个万兆端口进行端口捆绑，基于目的IP和源IP的 HASH算法进行流量分担达到对防火墙的负载分担效果。 此种方案下， 从交换机进入防火墙的流量被聚合端 口分担转发到防火墙， 防火墙进行安全检测后将数据流从另一个VLAN二层返回交换机的万兆聚合端口， 从 交换机聚合端口进入的流量是不能又从这些端口再次出去的(包括广播和组播)，因此有效防止了二层环路， 同时防火墙自身解决流量往返路径不一致问题，使得此方案具备更简单和易用。 图7 交换机IRF集成防火墙双机透明模式 4 IRF 交换网络交换网络&IPS 设计设计 4.1 IRF 交换网络与独立 IPS 组合设计思路 由于数据深度处理性能消耗，独立IPS盒式设备一般情况下难以提供双机热备的组网方案。图8 提供了 两种在IRF方式下的典型组网模式。 图8 独立IPS与交换机IRF组网 图8左图使用IPS单机方式，将IPS四个端口进行同段划分，保证IRF两条链路双向流量路径不一致时也 能够维持应用的状态。 图8右图采用了IPS双机结构，但是为维持应用的状态会话在一台IPS设备上，在两层IRF之间的链路上 针对动态路由cost值进行了区分设置100和500， IRF在网络上作为一个逻辑节点， 选路的结果是优先采用cost 值为100的链路，而cost值为500的链路动态作为备份链路。 4.2 IRF 交换网络集成 IPS 插卡设计思路 IPS作为线卡集成到交换机，安全检测流量是预先定义并重定向到IPS上的，在一般的双机条件下，两 台交换机之间是一种完全松耦合的路由关系，针对不同设备上的IPS无法起到相互备份和负载分担的作用。 但是在IRF架构下集成多块IPS后，各IPS在整个IRF结构上均被整合，即IPS所在物理端口在IRF全局可见、 可被访问控制流规则所引用，因此，多块IPS线卡集成后，可在方案设计上将其性能叠加起来，如图9所示， 多块IPS线卡如同多台IPS独立设备可并行使用。 图9 IPS线卡在IRF上可并行使用 图10给出了两块IPS线卡与IRF交换系统的配合关系，以一条流(一种应用服务)为例，对于进入IRF系统 的下行流量，基于目的地址网段进行流分类配置两条业务重定向规则，如将目的网段为10.2.0.0/16的数据流 以高优先级重定向到IPS-B线卡进行检测，另一条重定向到IPS-A的规则优先级低，入方向数据重定向到IPS 并经过深度检测后返回交换机IRF系统进行正常交换转发到目的端口，对于返回的流量，则针对源IP网段进 行类似的数据优先重定向到IPS-B(IPS-A作为备份)，这样使得往返数据流在同一块IPS线卡。 图10 交换机IRF集成IPS双线卡 此方案基于不同的IPS所在交换机端口进行了业务分流负载分担，同时，当其中一块IPS线卡被拔出交 换机，交换机与IPS之间的联动协议将检测到IPS不在位，并取消针对此IPS的ACL高优先级策略，而使得低 优先级策略得到下发，从而提供了IPS之间的冗余能力，当所有IPS不在位，ACL