双链路网络安全解决方案.docx

1、 双链路网络安全解决方案 一、 需求分析： 为业务提供所承诺的7/24的可靠服务是至关重要的。一个提供Internet接入和网站访问的服务商不仅需要保证链路和网站内所有的WEB服务器、应用服务器和数据库服务器的高可用性，还必须保证链路和站点本身的高可用性。 保证Internet接入的稳定性对于Internet服务商来说是非常重要的。现在的服务商采用一条Internet接入，也就是说使用一个ISP的链路。显然，一个ISP无法保证它提供的Internet链路的持续可用性，从而可能导致Internet访问和网站WAN接入的中断，而Internet接入的中断则意味着高额的损失。

2、一个企业可以采用多链路（Multi-Homing）和集群HA的解决方案来避免Internet接入中断所造成的损失。在这里所提及的”Multi-Homing"通常指同时使用不同ISP提供的多条Internet接入链路；”集群HA”是指在接入点利用同品牌通型号的两个或者多个防火墙形成互为备份/冗余的功能。由于多链路解决方案能够提供更好的可用性和性能，它正在被越来越多的Internet服务商和企业所采用。可用性的提高来自于多条链路的使用，而性能提高则是因为同时使用多条链路增加了带宽，而加入集群的同时更加保护网络不受因单点故障而导致网络中断的风险。 二、 方案描述 多链路冗余起到在多个运营商之

3、间故障的转移，但是防火墙作为内外网的接入点，当设备出现故障便会导致内外网之间的网络业务的全部中断,引起单点故障,影响业务正常运行。因此在网络接入点部署多台设备形成备份/冗余是非常必要的，其中一台设备发生故障时，数据便会切换到另外一台设备上继续传输,而且还可以做设备性能的叠加增强。下面是网络拓扑图： 三、 功能实现 3.1双链路功能 3.1.1 对于外向型连接 多重连接将以速度为目标对外向型互联网连接进行优化。多重连接使用来自于各个ISP的源IP地址检测与服务器的连接情况。反馈速度最快的连接可以继续进行工作。因此，每个连接都必定是速度最快的连接，其结果是，综合数据吞吐率将远远超过一

4、个服务性能不稳定的单个连接。经过累加，暂时性工作性能高峰将为整个系统的工作带来优势，还可以避免延迟现象的发生。 3.1.2 对于内向型连接 多重连接技术中将对内向型连接进行负载均衡，并以获得最高水平的可用性为目标而进行优化，因此，用户在访问您的站点时将不会出现延迟现象或服务中断。通过对服务器使用特殊IP地址，多重连接技术将可以实现这一目标；此时，服务器上将被配置多个IP地址，而这些IP地址来自于由多个ISP所分配的IP地址范围当中。 3.1.3 线路负载均衡原理 通过Watchguard卓越有效的Link Load Balancing功能为总部多条ISP多条链路无缝实现链路负载均衡

5、 目前Watchguard可实现多种负载均衡方式： u Routing table：本方式通常用来解决南电信北网通互通难的问题，从而实现访问电信线路出去访问电信网络，反之通过网通线路出去。 u Failover：线路备份，Watchguard提供备份优先级，并可指定那些预留线路不参与线路备份，保证关键业务的持续有效。 u Round-robin：真正的负载均衡实现多条链路的叠加，Watchguard也可以指定预留线路不参与负载均衡。对不同质量的线路也可以加权处理。 u Interface Overflow：通过这种负载均衡的方式可以保证每条链路的带宽都能充分利用从而实现投资最大化。

6、 3.1.4 线路切换机制 通过配置多链路事件的粘滞连接、故障回复来实现线路之间的相互切换。 u 粘滞连接：在规定的时间段内持续使用同一个WAN 接口的连接。在为多WAN 使用“循环法”或“接口溢出”选项时，可以设置粘滞连接参数。粘滞特性可确保：当数据包通过某个外部接口发送出去时，在指定时间段内，源IP 地址和目标IP 地址对之间的所有未来的数据包都使用同一个外部接口。默认情况下，粘滞连接会在3 分钟内使用同一个接口。 u 故障回复：当发生故障转移事件时希望WatchGuard 设备执行的操作，使主外部接口重新处于活动状态。发生此情况后，所有新连接将立即故障回复到主外部接口。可以选择

7、在发生故障回复时为正在处理的连接使用此方法。 3.2 集群功能 3.2.1 触发故障转移的事件 u 群集主控设备的被监控接口出现链路故障 如果群集主控设备的被监控接口无法发送或接收流量，将触发故障转移。您可以在 Policy Manager 的FireCluster 配置中查看被监控接口的列表。 u 群集主控设备没有完全正常运转 如果在群集主控设备中检测到软件故障或硬件故障，或群集主控设备上的关键进程 失败，将触发故障转移。 u 群集收到来自于Firebox System Manager 的“故障转移主设备”命令 主控设备故障转移到备份主控设备。 3.2.2 发生

8、故障转移 当群集主控设备发生故障转移之后，备份主控设备将成为群集主控设备。原来的群集主控设备将重启，并作为备份主控设备重新加入群集。群集将故障转移，并保持所有数据包筛 选器连接、BOVPN 隧道和用户会话。对于主动/主动和主动/被动，执行的效果相同。在主动/主动群集中，如果备份主控设备出现故障，群集将故障转移，并保持所有数据包筛选器连接、BOVPN 隧道和用户会话。代理连接和Mobile VPN 连接可能中断，在主动/被动群集中，如果备份主控设备出现故障，将不会中断连接或会话，因为备份主控设备未被分配任何任务。 3.2.3 故障转移期间监视群集 在Firebox System Ma

9、nager 的“前面板”选项卡中，在成员名称之后会显示群集中每个设备的角色。如果您在群集主控设备故障转移期间查看“前面板”选项卡，可以看到群集主控设备的角色从一个设备转移到另一个设备。在故障转移期间，您可以看到： 1) 原来的备份主控设备的角色从“备份主控设备”变为“主控设备”。 2) 原来的群集主控设备重启时，其角色先变为“非活动”，然后又变为“闲置”。 3) 原来的群集主控设备重启后，其角色变为“备份主控设备”。 四、 WatchGuard产品技术性能 4.1 WatchGuard公司 美国WatchGuard公司是世界领先的高效率和全系列Internet安全方案供应商，是全球

10、排名前五位的专门生产防火墙的公司之一。WatchGuard公司1996年成立于美国的华盛顿西雅图，并在北美、南美和亚洲等地设有办事处，全球员工总数约300多名。1999年7月30日在纳斯达克上市（纳斯达克股票代号：WGRD）。WatchGuard是全球领先的高效率、全方位Internet方案供应商，宗旨是保护那些通过Internet开展电子商务的企业，并确保其通信安全。公司以生产即插即用Internet安全设备“Firebox”和相应的服务器安全软件而闻名于世。通过公司具有创新意义的LiveSecurity Service，单位与用户能保持其安全系统总是处于最新状态。 WatchGuard公

11、司全球首创了专用安全系统，在1997年首家将应用层安全运用到系统，并在2004年全球首创可全面升级的整合安全网关。2005年WatchGuard公司推出了基于全新技术的Fireware Pro安全系统和Firebox Peak高端安全设备，为市场提供了更安全、更全面、更强大的安全设备。 WatchGuard公司是生产即插即用Internet安全设备的先锋，为不同规模的用户提供解决方案，从跨国大型企业和远程工作人员，一直到使用单个宽带连接的家庭办公室。WatchGuard公司的智能分层安全防御机制提供了健壮的、可信赖的网络安全方案，可调节安全防御的深度，以满足不同规模用户的特殊要求。 Wat

12、chGuard公司在2004年先后建立了上海、北京办事处。由2002年至今已经为3000+用户提供超过总计1万台WatchGuard产品，并且在金融保险、制造、交通、通信等行业以及众多的跨国公司和政府单位成功的实施应用。 4.2 “预防御”保护 WatchGuard® 通过其WatchGuard 统一威胁管理（Unified Threat Management）平台的智能分层安全（Intelligent Layered Security）技术提供了“预防御”（Zero Day）保护，能够有效地阻止新的和未知的攻击，同时不需要攻击特征的支持。 4.2.1 什么是“预防御” 在网络安全的领

13、域，人们对“预防御”攻击保护有多种不同的说法。但是，厂商们真正提供的防护服务却截然不同。零天威胁（Zero Day threats）是指新的或未知的攻击，它们出现的时候，还没有写好相应的补丁程序或者攻击特征。预防御保护（Zero Day protection）是指在发现漏洞，以及在建立和发起真正的攻击之前，就阻止新的或未知的威胁。 4.2.2 WatchGuard架构中集成了真正的预防御保护 WatchGuard的智能分层安全（Intelligent Layered Security）技术构架合并了关键的安全功能来防范攻击大类，以及防范即使是当时未知的变种。其中一些功能包括： 协议异

14、常检测——阻止与协议标准不符的恶意通信。 模式匹配——通过全面检查整个数据包，在系统中标记并移除高风险文件，比如.exe 和脚本文件、病毒、间谍软件和木马。 行为分析——识别并阻止来自主机的可疑通信，其中包括DoS 和DDoS 攻击、端口扫描和地址扫描。 4.2.3 漏洞空窗期 基于攻击特征的方案只能阻止已经识别出来的威胁。在分析出攻击特征，开发好补丁程序，并实际部署之前，您的网络对于新的溢出漏洞仍然没有任何免疫力。考虑一下当今的各式网络攻击的频率和破坏力，即使失去一分钟保护，都可能带来灾难性的后果。事实上，在分析出攻击特征或开发出补丁，并进行实际部署之前，用户需要的是几小时、几天甚至

15、几周的等待时间。这个网络漏洞的空窗期是每一个IT 管理者的噩梦。 4.2.4 强大的保护层协同工作 和市面上的许多UTM 产品不同，通过Firebox X中的ILS 构架，安全层能够协同工作来加强总体安全性。软件功能相互协调，各个组件均对整体安全结构提供支持。 如：当入侵预防服务发现攻击时，可通知防火墙如何进行处理。层与层之间的合作通信减轻并协调了安全功能要求执行的计算和处理。结果是您获得了保证安全所需的保护，同时优化了性能。 5771001803090012095 579036822859633082 5771001803090012386 576137399735760

16、696 5771001803090013594 578077579902515512 5771001803090012387 577164982601818051 5771001803090012138 572131192158918326 5771001803090012359 579036822361076053 5771001803090012356 576135286143791742 5771001803090012355 575087869704693279 17088100343355274 101229944325833379 170881003433552

17、75 101866732938832008 17088100343356107 101581152501500522 17088100343356108 101000180059871732 17088100343354295 101074194142687017 17088100343356184 101878660869628802 17088100343356185 101775831174086674 17088100343356109 101086014373572846 17088100343356110 101152207216014916 17088100343355237 101027041605702709 17088100343355238 101229364861425414 17088100343356169 101862204402635718 17088100343354928 101760654089788804