Datacom-HCIE-17 网络安全技术(二) 防火墙高级特性

目录

在大中型企业通常部署防火墙双机热备,可以保证网络中主用设备出现故障时,备用设备能够平滑地接替主用设备的工作,从而实现业务的不间断运行;防火墙虚拟系统是指将一台防火墙设备划分为多个虚拟系统,每台虚拟系统相当于一台真实的设备。
本文主要介绍防火墙高级特性:双机热备,虚拟系统。

双机热备

在网络中部署防火墙双机时面临的问题

防火墙双机热备简介


防火墙双机热备
双机热备需要两台硬件和软件配置均相同的防火墙组成双机热备系统。防火墙之间通过独立的链路连接(心跳线),通过心跳线了解对端的健康状况,向对端备份配置和表项(如会话表、IPsec SA等)。
当一台防火墙出现故障时,业务流量能平滑地切换到另一台设备上处理,使业务不中断。

部署要求
目前只支持两台设备进行双机热备。
主备设备的产品型号和版本必须相同。
主备设备业务板和接口卡的位置、类型和数目都须相同,否则会出现主用设备备份过去的信息,与备用设备的物理配置无法兼容,导致主备切换后出现问题。

防火墙双机热备关键组件


VRRP(Virtual Router Redundancy Protocol)
VRRP是一种容错协议,它保证当主机的下一跳路由器(默认网关)出现故障时,备份路由器能自动代替前者完成报文转发任务,从而保持网络通信的连续性和可靠性。

VGMP(VRRP Group Management Protocol)
将防火墙上的所有VRRP组都加入到一个VGMP组中,由VGMP组来集中监控并管理所有的VRRP组状态。如果VGMP组检测到其中一个VRRP组的状态变化,则VGMP组会控制组中的所有VRRP组统一进行状态切换,保证各VRRP备份组状态的一致性。

HRP( Huawei Redundancy Protocol)
实现防火墙双机之间动态状态数据和关键配置命令的备份

防火墙双机热备关键组件:VRRP与VGMP


防火墙双机热备关键组件:HRP及心跳线


为了实现主用设备出现故障时备用设备能平滑地接替工作,必须在主用和备用设备之间备份关键配置命令和状态信息。
防火墙能够备份的配置如下:
策略:安全策略、NAT策略(包括NAT地址池)、NAT Server等。
对象:地址、地区、服务、应用、用户等。
网络:安全区域、DNS、IPsec、SSL VPN等。
系统:管理员、虚拟系统、日志配置。
防火墙能够备份的状态信息如下:
会话表、SeverMap表、黑名单/白名单、PAT方式端口映射表、NO-PAT方式地址映射表、二层转发表(静态MAC备份)、AAA用户表(缺省用户admin不备份)、
在线用户监控表、PKI证书、IPsec备份等。

防火墙双机热备典型组网场景

虚拟系统

防火墙虚拟系统的应用场景

防火墙虚拟系统概述

虚拟接口


虚拟系统之间通过虚拟接口实现互访。
虚拟接口是创建虚拟系统时设备自动为其创建的一个逻辑接口,作为虚拟系统自身与其他虚拟系统之间通信的接口。
虚拟接口必须配置IP地址,并加入安全区域才能正常工作。
虚拟接口名的格式为“Virtual-if+接口号”,根系统的虚拟接口名为Virtual-if0,其他虚拟系统的Virtual-if接口号从1开始,根据系统中接口号占用情况自动分配。

虚拟系统访问根系统

两个虚拟系统之间直接互访

配置举例:虚拟系统间互访



端口隔离实现同一VLAN内端口之间的隔离。端口隔离模式分别为二层隔离三层互通、二层三层都隔离。
• 交换机MAC地址表可以分为静态MAC地址表、黑洞MAC地址表、动态MAC地址表。
• 端口安全通过将接口学习到的动态MAC地址转换为安全MAC地址,安全MAC地址通常与安全保护动作结合使用。
• 交换机开启MAC地址漂移检测有助于工程师快速处理交换机环路故障。
• MACsec定义了基于以太网的数据安全通信的方法,通过逐跳设备之间数据加密,保证数据传输安全性。
• 流量抑制与风暴控制主要区别在于流量控制仅仅是对各种报文进行限速处理,超过阈值之后就丢弃,而风暴控制能够根据报文速率的大
小采取不同的惩罚动作,包括关闭端口或者阻塞报文。
• DHCP Snooping技术对于防御以太网中关于终端设备自动获取IP的网络攻击有很大的作用,通过配置DHCP Snooping信任端口功能
和DHCP Snooping绑定表,可以很好的防范针对DHCP的网络攻击。
• IPSG通过查看交换机绑定表,阻止IP地址欺骗攻击,杜绝非法用户盗用合法IP地址对网络发起攻击。
• 部署防火墙双机热备可提升网络可靠性,部署防火墙虚拟系统可实现对物理设备的逻辑划分,提升资源利用率。

posted @ 2024-12-09 11:49  Liam-Wu  阅读(31)  评论(0编辑  收藏  举报