tceic.com
学霸学习网 这下你爽了
相关文章
当前位置:首页 >> IT/计算机 >>

虚拟防火墙技术白皮书v1[1]


H3C 虚拟防火墙技术白皮书
关键词: 关键词:虚拟防火墙 MPLS VPN 本文介绍了H3C公司虚拟防火墙技术和其应用背景。描述了虚拟防火墙的功能特色,并介 公司虚拟防火墙技术和其应用背景。 虚拟防火墙的功能特色 摘 要:本文介绍了 公司虚拟防火墙技术和其应用背景 描述了虚拟防火墙的功能特色, 绍了H3C公司具备虚拟防火墙功能的独立防火墙和防火墙插板产品的组网环境应用。 公司具备虚拟防火墙功能的独立防火墙和防火墙插板产品的组网环境应用。 绍了 公司具备虚拟防火墙功能的独立防火墙和防火墙插板产品的组网环境应用 缩略语清单: 缩略语清单:

Abbreviations缩略语 缩略语 CE PE MPLS VPN VLAN ASPF DMZ

Full spelling 英文全名 Customer Edge Provider Edge MultiProtocol Label Switching Virtual Private Network Virtual Local Area Network Application Specific Packet Filter Demilitary Zone

Chinese explanation 中文解释 用户边缘 运营商边缘 多协议标签交换协议 虚拟私有网 虚拟局域网 基于应用层状态的包过滤 非军事区

Copyright ? 2007 杭州华三通信技术有限公司

第1页, 共12页

目录
1 概述 ............................................................................................................................................................... 3 1.1 新业务模型产生新需求 ................................................................................................................... 3 1.2 新业务模型下的防火墙部署............................................................................................................ 3 1.2.1 传统防火墙的部署缺陷 ........................................................................................................ 3 1.2.2 虚拟防火墙应运而生 ............................................................................................................ 4 2 虚拟防火墙技术 ........................................................................................................................................... 5 2.1 技术特点 ........................................................................................................................................... 5 2.2 相关术语 ........................................................................................................................................... 6 2.3 设备处理流程 ................................................................................................................................... 6 2.3.1 根据入接口数据流 ................................................................................................................ 7 2.3.2 根据Vlan ID数据流 ............................................................................................................... 7 2.3.3 根据目的地址数据流 ............................................................................................................ 8 3 典型组网部署方案 ....................................................................................................................................... 8 3.1 虚拟防火墙在行业专网中的应用 .................................................................................................... 8 3.1.1 MPLS VPN组网的园区中的虚拟防火墙部署一 ................................................................. 9 3.1.2 MPLS VPN组网的园区中的虚拟防火墙部署二 ............................................................... 10 3.1.3 虚拟防火墙提供对VPE的安全保护 .................................................................................. 10 3.2 企业园区网应用 ............................................................................................................................. 11 4 总结 ............................................................................................................................................................. 12

Copyright ? 2007 杭州华三通信技术有限公司

第2页, 共12页

1 概述
1.1 新业务模型产生新需求
目前,跨地域的全国性超大企业集团和机构的业务规模和管理复杂度都在急剧的增加,传统的管 理运营模式已经不能适应其业务的发展。企业信息化成为解决目前业务发展的关键,得到了各企业 和机构的相当重视。现今,国内一些超大企业在信息化建设中投入不断增加,部分已经建立了跨地 域的企业专网。有的企业已经达到甚至超过了IT-CMM3的级别,开始向IT-CMM4迈进。 另一方面,随着企业业务规模的不断增大,各业务部门的职能和权责划分也越来越清晰。各业务 部门也初步形成了的相应不同安全级别的安全区域,比如,OA和数据中心等。由于SOX等法案或行 政规定的颁布应用,各企业或机构对网络安全的重视程度也在不断增加。对企业重点安全区域的防 护要求越来越迫切。 因此,对企业信息管理人员来说,如何灵活方便的实现企业各业务部门的安全区域划分和安全区 域之间有控制的互访成为其非常关注的问题。这也对安全区域隔离“利器”――防火墙提出了更高 的要求。

1.2 新业务模型下的防火墙部署
目前许多企业已经建设起自己的MPLS VPN专网,例如电力和政务网。下面我们以MPLS VPN 组网为例介绍在新的业务模型下防火墙的如何实现对各相互独立的业务部门进行各自独立的安全策 略部署呢?

1.2.1 传统防火墙的部署缺陷
面对上述需求,业界通行的做法是在园区各业务VPN前部署防火墙来完成对各部门的安全策略部 署实现对部门网络的访问控制。一般部署模式如下图所示:

Copyright ? 2007 杭州华三通信技术有限公司

第3页, 共12页

图1 传统防火墙部署方式

然而,由于企业业务VPN数量众多,而且企业业务发展迅速。显而易见的,这种传统的部署模式 已经不太适应现有的应用环境,存在着如下的不足: 为数较多的部门划分,导致企业要部署管理多台独立防火墙,导致拥有和维护成本较高 集中放置的多个独立防火墙将占用较多的机架空间,并且给综合布线带来额外的复杂度 由于用户业务的发展,VPN的划分可能会发生新的变化。MPLS VPN以逻辑形式的实现, 仅仅改动配置即可方便满足该需求。而传统防火墙需要发生物理上的变化,对用户后期备 件以及管理造成很大的困难 物理防火墙的增加意味着网络中需要管理的网元设备的增多。势必增加网络管理的复杂度

1.2.2 虚拟防火墙应运而生
为了适应这种业务模式。虚拟防火墙技术应运而生。虚拟防火墙通过在同一台物理设备上划分多 个逻辑的防火墙实例来实现对多个业务VPN的独立安全策略部署。也可以利用这种逻辑防火墙的部 署的灵活性来来实现企业网络的对新业务的适应性。虚拟防火墙诞生以后,对用户来说其部署模式 变为如图所示:

Copyright ? 2007 杭州华三通信技术有限公司

第4页, 共12页

图2 虚拟防火墙部署模型

如上图所示,在MPLS网络环境中,在PE与CE之间部署一台物理防火墙。利用逻辑划分的多个防 火墙实例来部署多个业务VPN的不同安全策略。这样的组网模式极大的减少了用户拥有成本。随着 业务的发展,当用户业务划分发生变化或者产生新的业务部门时,可以通过添加或者减少防火墙实 例的方式十分灵活的解决后续网络扩展问题,在一定程度上极大的降低了网络安全部署的复杂度。 另一方面,由于以逻辑的形式取代了网络中的多个物理防火墙。极大的减少了企业运维中需要管 理维护的网络设备。简化了网络管理的复杂度,减少了误操作的可能性。

2 虚拟防火墙技术
2.1 技术特点
为了解决传统防火墙部署方式存在的不足,H3C公司推出了虚拟防火墙特性,旨在解决复杂组网 环境中大量VPN的独立安全策略需求所带来的网络拓扑复杂、网络结构扩展性差、管理复杂,用户 安全拥有成本高等几大问题。 虚拟防火墙是一个逻辑概念,可以在一个单一的硬件平台上提供多个防火墙实体,即,将一台防 火墙设备在逻辑上划分成多台虚拟防火墙,每台虚拟防火墙都可以被看成是一台完全独立的防火墙 设备,可拥有独立的管理员、安全策略、用户认证数据库等。每个虚拟防火墙能够实现防火墙的大 部分特性。每个虚拟防火墙之间相互独立,一般情况下不允许相互通信。 SecPath/SecBlade虚拟防火墙具有如下技术特点: 每个虚拟防火墙维护自己一组安全区域; 每个虚拟防火墙维护自己的一组资源对象(地址/地址组,服务/服务组等)
Copyright ? 2007 杭州华三通信技术有限公司 第5页, 共12页

每个虚拟防火墙维护自己的包过滤策略 每个虚拟防火墙维护自己的ASPF策略、NAT策略、ALG策略 限制每个虚拟防火墙占用资源数:防火墙Session以及ASPF Session数目

2.2 相关术语
1) 安全区域 防火墙使用安全区域的概念来表示与其相连接的网络。防火墙预先定义了四个安全区域,这些安 全区域也称为系统安全区域,分别为Local区域、Trust区域、Untrust区域和DMZ区域。这些区域分别 代表了不同的安全级别,安全级别由高到低依次为Local、Trust、DMZ、Untrust。 2) 专有接口、共享接口与公共接口 专有接口:防火墙采用专有接口表示只属于某个特定虚拟防火墙的接口。该接口必须通过ip binding vpn-instance命令完成绑定到一个指定的vpn实例。 共享接口:防火墙采用共享接口表示可被多个指定的虚拟防火墙共同享有的接口。该接口必须通 过nat server vpn-instance命令或nat outbound static命令关联到一个或多个指定的vpn实例。 公共接口:特指区别于专有接口和共享接口的其他接口。 3) NAT多实例 在访问控制列表的规则rule中配置vpn-instance vpn-instance-name,指明哪个虚拟防火墙需要进行地 址转换,即可以实现对虚拟防火墙NAT多实例的支持。 4) ASPF多实例 在接口下引用ASPF中配置vpn-instance vpn-instance-name,指明哪个虚拟防火墙需要ASPF的处 理,即可实现虚拟防火墙ASPF多实例的支持。 5) 包过滤多实例 在ACL配置子规则时增加vpn-instance vpn-instance-name,指明此规则对哪个虚拟防火墙生效,即 可实现虚拟防火墙包过滤多实例的支持。 6) 资源限制 防火墙使用资源限制的可完成各个虚拟防火墙的Session限制。可根据不同的流量背景,对对应的 虚拟防火墙在vpn视图下通过firewall session limit 以及aspf session limit等进行限制。

2.3 设备处理流程
虚拟防火墙是一个逻辑上的概念,每个虚拟防火墙都是VPN实例和安全实例的综合体,能够为虚 拟防火墙用户提供私有的路由转发业务和安全服务。每个虚拟防火墙中可以包含三层接口、二层物 理接口、二层VLAN子接口和二层Trunk接口+VLAN。默认情况下,所有的接口都属于根防火墙实例
Copyright ? 2007 杭州华三通信技术有限公司 第6页, 共12页

(Root),如果希望将部分接口划分到不同的虚拟防火墙,必须创建虚拟防火墙实例,并且将接口 加入虚拟防火墙中。根虚拟防火墙不需要创建,默认存在。 VPN实例与虚拟防火墙是一一对应的,它为虚拟防火墙提供相互隔离的VPN路由,与虚拟防火墙 相关的信息主要包括:VPN路由以及与VPN实例绑定的接口。VPN路由将为转发来自与VPN实例绑 定的接口的报文提供路由支持。 安全实例为虚拟防火墙提供相互隔离的安全服务,同样与虚拟防火墙一一对应。安全实例具备私 有的ACL规则组和NAT地址池;安全实例能够为虚拟防火墙提供地址转换、包过滤、ASPF和NAT ALG等私有的安全服务。 虚拟防火墙的引入一方面是为了解决业务多实例的问题,更主要的是为了将一个物理防火墙划分 为多个逻辑防火墙来用。多个逻辑防火墙可以分别配置单独不同的安全策略,同时默认情况下,不 同的虚拟防火墙之间是默认隔离的。 对于防火墙系统接收到的数据流,系统根据数据的Vlan ID、入接口、源地址确定数据流所属的系 统。在各个虚拟防火墙系统中,数据流将根据各自系统的路由完成转发。

2.3.1 根据入接口数据流
根据数据流的的入接口信息,防火墙系统根据所绑定的VPN实例信息从而把数据流送入所绑定的 虚拟防火墙系统。如图3所示。

图3 防火墙根据入接口识别数据流所属虚拟防火墙

2.3.2 根据Vlan ID数据流
根据数据流的Vlan ID信息,防火墙系统将会识别出所对应的Vlan子接口从而把数据流送入所绑定 的虚拟防火墙系统。如图4所示。

Copyright ? 2007 杭州华三通信技术有限公司

第7页, 共12页

图4 防火墙根据Vlan ID识别数据流所属虚拟防火墙

2.3.3 根据目的地址数据流
对于访问内部服务器的数据流,根据数据流的目的地址,防火墙根据Nat server配置把数据流送入 所绑定的虚拟防火墙系统。如图5所示。

图5 防火墙根据目的地址识别数据流所属虚拟防火墙

3 典型组网部署方案
3.1 虚拟防火墙在行业专网中的应用
目前一些超大型企业(比如:政府,电力)利用MPLS VPN实现跨地域的部门的连通和相关业务 部门之间有控制的安全互访。虽然这些企业的业务和背景都有很大差异,但归纳起来,这些企业主 要提出了两个需求: 如何实现各业务VPN的独立安全策略,进而能够对相关部门的互访进行有效控制 移动办公用户以及分支机构如何通过公网低成本的安全接入到企业MPLS VPN核心网络中 在MPLS VPN网络中,虚拟防火墙可以部署在PE和MCE之间实现对各业务VPN独立的安全策略的
Copyright ? 2007 杭州华三通信技术有限公司 第8页, 共12页

部署,从而很好的满足上述需求。详见如下组网模型图。

图6 虚拟防火墙在MPLS VPN网络中的部署模式

3.1.1 MPLS VPN组网的园区中的虚拟防火墙部署一
对大中型的企业MPLS VPN专网,我们主推SecBlade防火墙插板在中、高端交换机上进行部署。 利用交换机的高密度端口和可以动态增减的虚拟防火墙保证企业对今后业务发展的适应能力。另一 方面,充分利用基础网络平台,实现网络和安全的融合。可以有效的简化拓扑,方便管理。详见下 图:

图7 防火墙插板的虚拟防火墙典型部署 Copyright ? 2007 杭州华三通信技术有限公司 第9页, 共12页

组网说明: 1) 2) 3) 插入防火墙插板的中、高端交换机部署为MCE。 H3C的防火墙插板以路由模式部署于网络中。根据具体业务模式部署OSPF多实例。 网络管理人员根据各用户的业务情况,部署各业务VPN的独立安全策略。

3.1.2 MPLS VPN组网的园区中的虚拟防火墙部署二
对于MPLS VPN网络中的中小机构或分支接入我们主推性能较低的独立防火墙设备进行部署。防 火墙设备下挂二层交换机利用VLAN进行各业务VPN之间的物理隔离。实现中小分支机构的低成本 接入。详见下图:

图8 独立防火墙设备的虚拟防火墙典型部署

组网说明: 1) 独立防火墙设备实现MCE的功能,根据具体业务模式在各VPN内部部署静态路由或者路由 协议。 2) 3) 网络管理人员根据各用户的业务情况,部署各业务VPN的独立安全策略。 用户利用二层交换机接入进网络,实现低成本的接入

3.1.3 虚拟防火墙提供对VPE的安全保护
H3C公司的VPE技术可以充分满足移动办公用户以及分支机构低成本接入到企业MPLS VPN核心 网络的需求。一般对企业来说,企业对分支机构和个人移动用户在安全监控程度相对是比较小的。 如何让这些用户能够安全接入到核心网络中,也是一个需要注意的问题。
Copyright ? 2007 杭州华三通信技术有限公司 第10页, 共12页

利用H3C支持虚拟防火墙的IPSec VPN网关,可以在将用户IPSec VPN内的流量映射到MPLS VPN 的同时分别对各业务VPN进行安全策略的检查,实现对各业务VPN的保护。详见下图:

图9 VPE中的独立安全策略部署

组网说明: 1) 2) 独立防火墙设备作为IPSec VPN网关实现分支机构的IPSec VPN终结和映射到MPLS VPN。 网络管理人员根据各用户的业务情况,部署各业务VPN的独立安全策略,业务流进入各 MPLS VPN时,进行安全策略的检测监控。保证企业核心网络不会因为分支机构的接入引 入安全问题。

3.2 企业园区网应用
在一些大型的园区网络环境中,为了实现各业务部门之间(尤其是重点安全区域)的隔离和独立 安全策略部署,也需要采用虚拟防火墙技术。在这种组网中,各业务部门对应一个虚拟防火墙实 例。针对不同的实例,管理员可以在每个实例的接口上部署独立的访问控制策略。

Copyright ? 2007 杭州华三通信技术有限公司

第11页, 共12页

图10 虚拟防火墙实现园区重点安全区域独立安全策略保护

组网说明: 1) 根据企业各业务部门的安全性要求程度,首先将企业中的重点安全区域划分成独立的安全 区域。如部门C和部门D。 2) 3) 利用SecBlade防火墙插板制定各安全区域独立的安全策略。 H3C的防火墙插板以路由模式部署于网络中。支持OSPF多实例,因此虚拟防火墙可以很好 的融合在基础网络之中。

4 总结
H3C公司推出的虚拟防火墙特性解决了传统防火墙部署方式存在的不足,可以很好的缓解复杂组 网环境中各VPN的独立安全策略需求所带来的网络拓扑复杂、网络结构扩展性差、管理复杂,用户 安全拥有成本高等几大问题。可以很好的满足新业务模型所带来的新需求。

Copyright ? 2007 杭州华三通信技术有限公司

第12页, 共12页


推荐相关:

虚拟防火墙技术白皮书v1[1].doc

虚拟防火墙技术白皮书v1[1] - 虚拟防火墙技术白皮书 关键词: 关键词:虚拟

防火墙_产品技术白皮书_V1.0.pdf

防火墙_产品技术白皮书_V1.0_计算机硬件及网络_IT/计算机_专业资料。东软 Net...相比传统的虚拟防火墙技术,虚拟接口和虚拟网络技术的实现大大提升虚拟化 技术的...

虚拟防火墙技术白皮书v1[1].doc

虚拟防火墙技术白皮书v1[1] - H3C 虚拟防火墙技术白皮书 关键词: 关键

eudemon系列防火墙vpn技术白皮书v1[1].0_20050508_.pdf

eudemon系列防火墙vpn技术白皮书v1[1].0_20050508_ 白皮书白皮书隐藏>> Eudemon系列...虚拟私有网 二层隧道协议 IP安全 Internet密钥交换 All rights reserved 版权所...

华为USG6000系列防火墙产品技术白皮书(总体).pdf

华为USG6000系列防火墙产品技术白皮书(总体) - 华为 USG6000 系列下防火墙 技术白皮书 文档版本 发布日期 V1.1 2014-03-12 华为技术有限公司 版权所...

Eudemon系列防火墙VPN技术白皮书(20050508V1.0).doc

Eudemon系列防火墙VPN技术白皮书(20050508V1.0) - huawei firewall... Eudemon系列防火墙VPN技术白皮书(20050508V1.0)...按照业务用途,VPN分为三种类型:远程访问虚拟...

Hillstone虚拟防火墙技术解决方案白皮书.pdf

Hillstone虚拟防火墙技术解决方案白皮书范围: 市场类技术文档,面向售前工

方正FS防火墙技术白皮书V1.pdf

方正FS防火墙技术白皮书V1 - FS V1.1 FS ...

山石网科虚拟云安全解决方案技术白皮书-CN-V1.0.pdf

山石网科虚拟云安全解决方案技术白皮书-CN-V1.0_互联网_IT/计算机_专业资料。...第一个是给每个租户分配一个单防火墙虚机,同时解决南北向和东西向流量问题,允许...

SecPath防火墙双机状态热备技术白皮书V1.0.pdf

SecPath防火墙双机状态热备技术白皮书V1.0_信息与通信_工程科技_专业资料。...2. VRRP(虚拟路由冗余协议): 采用VRRP的链路保护机制比依赖动态路由协议的广播...

H3C SecCenter 解决方案技术白皮书 V1.1.doc

H3C SecCenter 解决方案技术白皮书 V1.1_信息与通信_工程科技_专业资料。Sec...现在很多公司采用了防火墙虚拟专用网( VPN )、身份验证机 制、入侵检测系统(...

H3C云安全服务技术白皮书-V1.0.pdf

H3C云安全服务技术白皮书-V1.0_互联网_IT/计算机_专业资料。H3C云安全服务技术...在虚拟机迁移或删除时,H3C VCF 控制器控制下发相关防火墙策略随即迁移,实现整个...

Eudemon系列防火墙安全技术白皮书(20050508V1.0).doc

Eudemon系列防火墙安全技术白皮书(20050508V1.0)_信息与通信_工程科技_专业资料。...虚拟私有网 验证,授权,计费 基于应用层规范的包过滤 拒绝服务,一种常见的网络...

神州数码终结者系列防火墙技术白皮书V1.0_2008.12.1.pdf

神州数码终结者系列防火墙技术白皮书V1.0_2008.12.1 - 2008?

红山服务器虚拟化vGate 技术白皮书v5.2 -V1.1.pdf

17 II 红山服务器虚拟化 vGate 技术白皮书 1 前言目前,企业对 IT 系统的依赖...3页 1下载券 虚拟防火墙技术白皮书v1... 12页 1下载券 2016 Baidu 使用...

DPtech FW1000 系列防火墙技术白皮书.pdf

DPtech FW1000 系列防火墙技术白皮书_计算机硬件及网络...防火墙虚拟化技术 3.7.1 虚拟防火墙技术 3.7.2...(支持 RIP v1/2、OSPF、IS-IS、BGP、Guard 路由...

防火墙技术白皮书_图文.doc

NGAF 技术白皮书 文档密级:公开 深信服下防火墙 NGAF 技术白皮书 深信服科技有限公司 www.sangfor.com 二零一三年四月 1 / 27 NGAF 技术白皮书 文 ...

华为USG6000系列防火墙产品技术白皮书(总体).pdf

华为USG6000系列防火墙产品技术白皮书(总体) - 华为 USG6000 系列下防火墙 技术白皮书 文档版本 发布日期 V1.1 2014-03-12 华为技术有限公司 版权所...

下一代防火墙 白皮书V1.0-1108.pdf

17 2 / 17 NGAF 技术白皮书 文档密级:公开 1.概述防火墙自诞生以来, 在网络...虚拟防火墙技术白皮书v1... 12页 1下载券 H3C 虚拟防火墙技术白皮... 12...

DPtech防火墙技术白皮书_图文.pdf

对外公开 DPtech FW1000 系列防火墙 技术白皮书 杭州...防火墙虚拟化技术 3.7.1 虚拟防火墙技术 3.7.2...(支持 RIP v1/2、OSPF、IS-IS、BGP、Guard 路由...

网站首页 | 网站地图
All rights reserved Powered by 学霸学习网 www.tceic.com
copyright ©right 2010-2021。
文档资料库内容来自网络,如有侵犯请联系客服。zhit325@126.com