H3C虚拟防火墙技术白皮书v1[1][1].0.doc

1、H3C 虚拟防火墙技术白皮书关键词：虚拟防火墙 MPLS VPN摘 要：本文介绍了H3C公司虚拟防火墙技术和其应用背景。描述了虚拟防火墙的功能特色，并介绍了H3C公司具备虚拟防火墙功能的独立防火墙和防火墙插板产品的组网环境应用。缩略语清单：Abbreviations缩略语Full spelling 英文全名Chinese explanation 中文解释CECustomer Edge用户边缘PEProvider Edge运营商边缘MPLSMultiProtocol Label Switching多协议标签交换协议VPNVirtual Private Network虚拟私有网VLANVirtua

2、l Local Area Network虚拟局域网ASPFApplication Specific Packet Filter基于应用层状态的包过滤DMZDemilitary Zone非军事区目录1 概述31.1 新业务模型产生新需求31.2 新业务模型下的防火墙部署31.2.1 传统防火墙的部署缺陷31.2.2 虚拟防火墙应运而生42 虚拟防火墙技术52.1 技术特点52.2 相关术语62.3 设备处理流程62.3.1 根据入接口数据流72.3.2 根据Vlan ID数据流72.3.3 根据目的地址数据流83 典型组网部署方案83.1 虚拟防火墙在行业专网中的应用83.1.1 MPLS VP

3、N组网的园区中的虚拟防火墙部署一93.1.2 MPLS VPN组网的园区中的虚拟防火墙部署二103.1.3 虚拟防火墙提供对VPE的安全保护103.2 企业园区网应用114 总结121 概述1.1 新业务模型产生新需求目前，跨地域的全国性超大企业集团和机构的业务规模和管理复杂度都在急剧的增加，传统的管理运营模式已经不能适应其业务的发展。企业信息化成为解决目前业务发展的关键，得到了各企业和机构的相当重视。现今，国内一些超大企业在信息化建设中投入不断增加，部分已经建立了跨地域的企业专网。有的企业已经达到甚至超过了IT-CMM3的级别，开始向IT-CMM4迈进。另一方面，随着企业业务规模的不断增大，

4、各业务部门的职能和权责划分也越来越清晰。各业务部门也初步形成了的相应不同安全级别的安全区域，比如，OA和数据中心等。由于SOX等法案或行政规定的颁布应用，各企业或机构对网络安全的重视程度也在不断增加。对企业重点安全区域的防护要求越来越迫切。因此，对企业信息管理人员来说，如何灵活方便的实现企业各业务部门的安全区域划分和安全区域之间有控制的互访成为其非常关注的问题。这也对安全区域隔离“利器”防火墙提出了更高的要求。1.2 新业务模型下的防火墙部署目前许多企业已经建设起自己的MPLS VPN专网，例如电力和政务网。下面我们以MPLS VPN组网为例介绍在新的业务模型下防火墙的如何实现对各相互独立的业

5、务部门进行各自独立的安全策略部署呢？ 1.2.1 传统防火墙的部署缺陷面对上述需求，业界通行的做法是在园区各业务VPN前部署防火墙来完成对各部门的安全策略部署实现对部门网络的访问控制。一般部署模式如下图所示：图1 传统防火墙部署方式然而，由于企业业务VPN数量众多，而且企业业务发展迅速。显而易见的，这种传统的部署模式已经不太适应现有的应用环境，存在着如下的不足： n 为数较多的部门划分，导致企业要部署管理多台独立防火墙，导致拥有和维护成本较高n 集中放置的多个独立防火墙将占用较多的机架空间，并且给综合布线带来额外的复杂度n 由于用户业务的发展，VPN的划分可能会发生新的变化。MPLS VPN以

6、逻辑形式的实现，仅仅改动配置即可方便满足该需求。而传统防火墙需要发生物理上的变化，对用户后期备件以及管理造成很大的困难n 物理防火墙的增加意味着网络中需要管理的网元设备的增多。势必增加网络管理的复杂度1.2.2 虚拟防火墙应运而生为了适应这种业务模式。虚拟防火墙技术应运而生。虚拟防火墙通过在同一台物理设备上划分多个逻辑的防火墙实例来实现对多个业务VPN的独立安全策略部署。也可以利用这种逻辑防火墙的部署的灵活性来来实现企业网络的对新业务的适应性。虚拟防火墙诞生以后，对用户来说其部署模式变为如图所示：图2 虚拟防火墙部署模型如上图所示，在MPLS网络环境中，在PE与CE之间部署一台物理防火墙。利用

7、逻辑划分的多个防火墙实例来部署多个业务VPN的不同安全策略。这样的组网模式极大的减少了用户拥有成本。随着业务的发展，当用户业务划分发生变化或者产生新的业务部门时，可以通过添加或者减少防火墙实例的方式十分灵活的解决后续网络扩展问题，在一定程度上极大的降低了网络安全部署的复杂度。另一方面，由于以逻辑的形式取代了网络中的多个物理防火墙。极大的减少了企业运维中需要管理维护的网络设备。简化了网络管理的复杂度，减少了误操作的可能性。2 虚拟防火墙技术2.1 技术特点为了解决传统防火墙部署方式存在的不足，H3C公司推出了虚拟防火墙特性，旨在解决复杂组网环境中大量VPN的独立安全策略需求所带来的网络拓扑复杂、

8、网络结构扩展性差、管理复杂，用户安全拥有成本高等几大问题。虚拟防火墙是一个逻辑概念，可以在一个单一的硬件平台上提供多个防火墙实体，即，将一台防火墙设备在逻辑上划分成多台虚拟防火墙，每台虚拟防火墙都可以被看成是一台完全独立的防火墙设备，可拥有独立的管理员、安全策略、用户认证数据库等。每个虚拟防火墙能够实现防火墙的大部分特性。每个虚拟防火墙之间相互独立，一般情况下不允许相互通信。 SecPath/SecBlade虚拟防火墙具有如下技术特点：n 每个虚拟防火墙维护自己一组安全区域；n 每个虚拟防火墙维护自己的一组资源对象（地址/地址组，服务/服务组等）n 每个虚拟防火墙维护自己的包过滤策略n 每个虚

9、拟防火墙维护自己的ASPF策略、NAT策略、ALG策略n 限制每个虚拟防火墙占用资源数：防火墙Session以及ASPF Session数目2.2 相关术语1) 安全区域防火墙使用安全区域的概念来表示与其相连接的网络。防火墙预先定义了四个安全区域，这些安全区域也称为系统安全区域，分别为Local区域、Trust区域、Untrust区域和DMZ区域。这些区域分别代表了不同的安全级别，安全级别由高到低依次为Local、Trust、DMZ、Untrust。2) 专有接口、共享接口与公共接口专有接口：防火墙采用专有接口表示只属于某个特定虚拟防火墙的接口。该接口必须通过ip binding vpn-in

10、stance命令完成绑定到一个指定的vpn实例。共享接口：防火墙采用共享接口表示可被多个指定的虚拟防火墙共同享有的接口。该接口必须通过nat server vpn-instance命令或nat outbound static命令关联到一个或多个指定的vpn实例。公共接口：特指区别于专有接口和共享接口的其他接口。3) NAT多实例在访问控制列表的规则rule中配置vpn-instance vpn-instance-name，指明哪个虚拟防火墙需要进行地址转换，即可以实现对虚拟防火墙NAT多实例的支持。4) ASPF多实例在接口下引用ASPF中配置vpn-instance vpn-instance

11、-name，指明哪个虚拟防火墙需要ASPF的处理，即可实现虚拟防火墙ASPF多实例的支持。5) 包过滤多实例在ACL配置子规则时增加vpn-instance vpn-instance-name，指明此规则对哪个虚拟防火墙生效，即可实现虚拟防火墙包过滤多实例的支持。6) 资源限制防火墙使用资源限制的可完成各个虚拟防火墙的Session限制。可根据不同的流量背景，对对应的虚拟防火墙在vpn视图下通过firewall session limit 以及aspf session limit等进行限制。2.3 设备处理流程虚拟防火墙是一个逻辑上的概念，每个虚拟防火墙都是VPN实例和安全实例的综合体，能够为

12、虚拟防火墙用户提供私有的路由转发业务和安全服务。每个虚拟防火墙中可以包含三层接口、二层物理接口、二层VLAN子接口和二层Trunk接口+VLAN。默认情况下，所有的接口都属于根防火墙实例（Root），如果希望将部分接口划分到不同的虚拟防火墙，必须创建虚拟防火墙实例，并且将接口加入虚拟防火墙中。根虚拟防火墙不需要创建，默认存在。VPN实例与虚拟防火墙是一一对应的，它为虚拟防火墙提供相互隔离的VPN路由，与虚拟防火墙相关的信息主要包括：VPN路由以及与VPN实例绑定的接口。VPN路由将为转发来自与VPN实例绑定的接口的报文提供路由支持。安全实例为虚拟防火墙提供相互隔离的安全服务，同样与虚拟防火墙一

13、一对应。安全实例具备私有的ACL规则组和NAT地址池；安全实例能够为虚拟防火墙提供地址转换、包过滤、ASPF和NAT ALG等私有的安全服务。虚拟防火墙的引入一方面是为了解决业务多实例的问题，更主要的是为了将一个物理防火墙划分为多个逻辑防火墙来用。多个逻辑防火墙可以分别配置单独不同的安全策略，同时默认情况下，不同的虚拟防火墙之间是默认隔离的。对于防火墙系统接收到的数据流，系统根据数据的Vlan ID、入接口、源地址确定数据流所属的系统。在各个虚拟防火墙系统中，数据流将根据各自系统的路由完成转发。2.3.1 根据入接口数据流根据数据流的的入接口信息，防火墙系统根据所绑定的VPN实例信息从而把数据

14、流送入所绑定的虚拟防火墙系统。如图3所示。图3 防火墙根据入接口识别数据流所属虚拟防火墙2.3.2 根据Vlan ID数据流根据数据流的Vlan ID信息，防火墙系统将会识别出所对应的Vlan子接口从而把数据流送入所绑定的虚拟防火墙系统。如图4所示。图4 防火墙根据Vlan ID识别数据流所属虚拟防火墙2.3.3 根据目的地址数据流对于访问内部服务器的数据流，根据数据流的目的地址，防火墙根据Nat server配置把数据流送入所绑定的虚拟防火墙系统。如图5所示。图5 防火墙根据目的地址识别数据流所属虚拟防火墙3 典型组网部署方案3.1 虚拟防火墙在行业专网中的应用目前一些超大型企业（比如：政府

15、，电力）利用MPLS VPN实现跨地域的部门的连通和相关业务部门之间有控制的安全互访。虽然这些企业的业务和背景都有很大差异，但归纳起来，这些企业主要提出了两个需求：n 如何实现各业务VPN的独立安全策略，进而能够对相关部门的互访进行有效控制n 移动办公用户以及分支机构如何通过公网低成本的安全接入到企业MPLS VPN核心网络中在MPLS VPN网络中，虚拟防火墙可以部署在PE和MCE之间实现对各业务VPN独立的安全策略的部署，从而很好的满足上述需求。详见如下组网模型图。图6 虚拟防火墙在MPLS VPN网络中的部署模式3.1.1 MPLS VPN组网的园区中的虚拟防火墙部署一对大中型的企业MP

16、LS VPN专网，我们主推SecBlade防火墙插板在中、高端交换机上进行部署。利用交换机的高密度端口和可以动态增减的虚拟防火墙保证企业对今后业务发展的适应能力。另一方面，充分利用基础网络平台，实现网络和安全的融合。可以有效的简化拓扑，方便管理。详见下图：图7 防火墙插板的虚拟防火墙典型部署组网说明：1) 插入防火墙插板的中、高端交换机部署为MCE。2) H3C的防火墙插板以路由模式部署于网络中。根据具体业务模式部署OSPF多实例。3) 网络管理人员根据各用户的业务情况，部署各业务VPN的独立安全策略。3.1.2 MPLS VPN组网的园区中的虚拟防火墙部署二对于MPLS VPN网络中的中小机

17、构或分支接入我们主推性能较低的独立防火墙设备进行部署。防火墙设备下挂二层交换机利用VLAN进行各业务VPN之间的物理隔离。实现中小分支机构的低成本接入。详见下图：图8 独立防火墙设备的虚拟防火墙典型部署组网说明：1) 独立防火墙设备实现MCE的功能，根据具体业务模式在各VPN内部部署静态路由或者路由协议。2) 网络管理人员根据各用户的业务情况，部署各业务VPN的独立安全策略。3) 用户利用二层交换机接入进网络，实现低成本的接入3.1.3 虚拟防火墙提供对VPE的安全保护H3C公司的VPE技术可以充分满足移动办公用户以及分支机构低成本接入到企业MPLS VPN核心网络的需求。一般对企业来说，企业

18、对分支机构和个人移动用户在安全监控程度相对是比较小的。如何让这些用户能够安全接入到核心网络中，也是一个需要注意的问题。利用H3C支持虚拟防火墙的IPSec VPN网关，可以在将用户IPSec VPN内的流量映射到MPLS VPN的同时分别对各业务VPN进行安全策略的检查，实现对各业务VPN的保护。详见下图：图9 VPE中的独立安全策略部署组网说明：1) 独立防火墙设备作为IPSec VPN网关实现分支机构的IPSec VPN终结和映射到MPLS VPN。2) 网络管理人员根据各用户的业务情况，部署各业务VPN的独立安全策略，业务流进入各MPLS VPN时，进行安全策略的检测监控。保证企业核心网

19、络不会因为分支机构的接入引入安全问题。3.2 企业园区网应用在一些大型的园区网络环境中，为了实现各业务部门之间（尤其是重点安全区域）的隔离和独立安全策略部署，也需要采用虚拟防火墙技术。在这种组网中，各业务部门对应一个虚拟防火墙实例。针对不同的实例，管理员可以在每个实例的接口上部署独立的访问控制策略。图10 虚拟防火墙实现园区重点安全区域独立安全策略保护组网说明：1) 根据企业各业务部门的安全性要求程度，首先将企业中的重点安全区域划分成独立的安全区域。如部门C和部门D。2) 利用SecBlade防火墙插板制定各安全区域独立的安全策略。3) H3C的防火墙插板以路由模式部署于网络中。支持OSPF多实例，因此虚拟防火墙可以很好的融合在基础网络之中。4 总结H3C公司推出的虚拟防火墙特性解决了传统防火墙部署方式存在的不足，可以很好的缓解复杂组网环境中各VPN的独立安全策略需求所带来的网络拓扑复杂、网络结构扩展性差、管理复杂，用户安全拥有成本高等几大问题。可以很好的满足新业务模型所带来的新需求。Copyright 2007 杭州华三通信技术有限公司第12页, 共12页