企业防火墙双机试验浅析

摘要:作为企业网络安全中的一个重要的角色,防火墙已是目前企业隔离网络的重要安全设备之一。随着信息安全技术的发展和革新,越来越多的安全产品也不断的问世,但硬件防火墙仍然对企业网络的安全防御、区域划分和网络映射起着重要的作用。该文通过对目前国内较普遍的防火墙在设计的不同网络结构中可靠性实验的部署和测试,分析了目前主流的基于状态检测的硬件防火墙在不同网络结构中的应用及故障情况。通过对实验测试结果的分析,初步了解各种防火墙的基本特性、工作模式以及在实验设计的网络结构中存在的故障问题,并通过不同的方案对故障进行解决。另外了解和分析了不同厂商设备的双机故障检测方法及切换机制的不一致导致在故障检测和切换时间上的差异,从而导致在 设备互连的网络结构中存在网络中断的故障现象。因此在企业设计出一个合理的网络结构是非常重要的,这不仅能够让企业用户在一个安全的网络环境中使用网络服务,也能够因企业壮大使得基础网络快速容易的进行扩容;同样对于不同安全设备设计出合理统一的标准故障检测切换算法的协议对改善不同厂商设备的互连网络中运行的协调和稳定性具有一定的意义。该文的实验和研究对企业安全受控网络区域的网络参考部署具有有效的实验和应用价值。

关键词:防火墙;双机;状态检测;VRRP

中图分类号:TP393文献标识码:A文章编号:1009-3044(2009)36-10454-03

随着互联网以及现代通讯技术的发展,以及用户对服务品质的需求,高可用性网络已经越来越成为Internet组网设计的目标。因网络中断给用户带来的损失以及潜在损失已经十分巨大,有研究表明,网络停运带来的损失已经高达几百万美元/每小时,而由此带来的隐性损失则更是难以估量。

在防火墙的可靠性试验之前,先了解目前防火墙的技术以及该技术特点对防火墙可靠性的影响,目前各类型的防火墙从其实现原理上来说基于以下三大类:

1) 基于逐包转发过滤的包过滤;

2) 通过检测会话状态基于会话流的状态;

3) 基于应用方式的全。

这三种防火墙技术的优缺点不作详细讨论,对于第一种逐包转发过滤的包过滤防火墙因为其不能很好的区分和保护不同的区域,在运行内部网络访问外部网络的同时也提供了外部网络访问内部网络的安全漏洞,因此这种防火墙技术在近年来属于逐步被淘汰的技术,但是就可靠性而言,因为该技术采用逐包转发过滤,对会话流的来回路径不敏感,因此在不做Nat的时候,其冗余设备的备份可以做到平滑过渡,不过在启动了Nat功能的情况下,由于不同的设备很难做到对同一会话进行相同的地址转换,导致包过滤防火墙在Nat的应用中也出现问题。

对于基于应用方式的全防火墙,由于其隔离了与外部网络和内部网络的连接,它能给内部网络提供很好的保护,但是他的优点同时也是最大的缺点,由于采用的是应用的方式,对于应用程序而言就不透明了,需要应用程序为这种连接进行适配;并且由于采用了全方式,其处理的性能要明显低于其它两种类型的防火墙。就可靠性而言,要做到双机热备的话,不仅要求会话的来回路径一致,而且因为它是全,这要求每一个报文都需要适时地备份到备机上去,这种特性使得全方式的防火墙的双机热备实现起来很困难,在实际应用中也很少见这种防火墙的备份方案。

下面我们将通过两组实验讨论基于会话流的状态防火墙的可靠性问题,所谓状态防火墙是指用户通过防火墙访问外部网络时,会在防火墙上创建一个会话表项(该会话表项通常情况下会包含该会话的五元组信息――源/目的IP地址、源/目的端口、协议类型),这样从外面回应的报文如果能匹配该五元组就能顺利通过防火墙到达用户,而从外面主动发起的会话请求因为不能匹配任何会话表项,而被ACL规则过滤掉。这样就可以提供给用户不同级别的保护,从而有效地保护用户的内部网络。目前大部分防火墙产品都是属于这种技术的防火墙。由于这种基于会话流的防火墙要求每个会话的来回路径一致,因此在做双机热备的时候对组网有特殊的要求,以下将通过实验了解防火墙可靠性技术,以及实验过程中出现的问题并提出的解决方案。

1 防火墙双机试验组网及配置

单组防火墙双机可靠性实验中采用设备有TOPsec NGFW4000 、JUNIPER SSG 520、 H3C Secblade III、H3C 9500系列及华为Quidway 6500系列交换机, sinfor互联网安全控制产品。根据可靠性要求将网络安全设备和交换设备进行如下组网设计和部署,通过实验测试防火墙HA情况下不同安全区域的数据过滤及交换情况以及在该种模式和网络结构中存在的故障现象。

首先我们做单组防火墙双机的实验,其网络结构如图1所示。

该结构使用H3C系列高端网络及安全设备组网,适用于大中型企业核心网络安全控制区域的网络拓扑结构。通过这种网络结构的部署可以有效的防御外部网络及企业内部网络对重要服务器的安全攻击、漏洞扫描、木马入侵等等,进而有效地对企业的研发、生产、商业、财务等机密数据进行保护和可控授权访问。本实验中将主要针对这种结构下所使用设备部署完成后出现的故障进行分析和讨论。

单组防火墙双机实验采用H3C9512高端交换作为企业的核心交换,H3C9508作为企业应用服务器区域的核心交换。在4台9500系列的交换上分别配置万兆光纤交换单板,在9508上加H3C的SecBlade III防火墙业务单板,防火墙单板通过9508内置的万兆接口与9508互连。两台9500系列交换通过万兆光纤接口卡进行交叉互连,设备互连接口地址均使用30位掩码。9508交换作为二层交换使用,服务器区域的三层网关地址全部配置在SecBlade防火墙与9508互连的万兆接口的逻辑子接口上,并且这些VLAN都配置为VRRP模式,可根据需要将其中一台防火墙或者其中一部分VLAN配置为master vlan,另外一台或者另外一部分VLAN配置为slaver vlan。在防火墙和9512上都启用ospf协议,将互连及三层VLAN地址段到ospf中。因该防火墙可将不同的VLAN划分在不同的安全区域内,所以我们在防火墙上配置3个不同的安全域,并将配置好的逻辑子接口划分到不同的安全域中,这样就形成了不同的安全区域,安全区域的默认访问规则为单向,也就是高优先级区域默认可访问低优先级区域。然后在9508上增加与防火墙三层接口相同的VLAN,在将千兆物理接口添加到不同安全区域级别的VLAN中。最后启用防火墙的双机热备功能,并选择防火墙业务板上的一个接口作为心跳接口,服务器(unix系统,需要双网卡)通过EtherChannel IEEE802.3ad配置成网卡冷备的模式,为了能模拟出各种情况,我们特意将server1的主网卡放在9508-A上,将server2的主网卡放在9508-B上。为避免因静态路由带来的不能检测设备故障的情况,该组网采用了动态路由协议,在防火墙和交换上都启用ospf协议。

串联多组防火墙双机试验设备采用了Juniper及Topsec防火墙、H3c9512交换机、深信服行为控制设备、Radware的LinkProof链路负载均衡及2条不同ISP互联网线路。这些设备都是我们选用的支持双机的网络及安全设备进行串联,进行Intranet和internet互访、Intranet与DMZ、Internet与DMZ区域之间数据通讯测试。由于实验1已经介绍了单组防火墙双机的实验情形,故这里只介绍军事化区域至互联网区域数据通讯的实验情况,该实验的网络拓扑结构如图2所示。

该网络结构使用双重防火墙及上网行为控制设备对企业军事化区域和互联网区域进行了严格的数据过滤和行为控制,是企业军事化区域、半军事化区域及互联网区域之间数据互访受控的一种常用网络结构,适用于大中型企业对内外部数据交换须进行严格控制、审计、授权访问等操作,或网络运营服务商对外部用户提供高可靠和安全性互联网服务在互联网出口部分至企业核心交换层的网络部署。通过本网络可以有效对内外部上至应用层下至物理层数据的交换有效的控制、阻断、审计。

同样先简单介绍该组网拓扑结构及设备配置的基本信息。我们同样使用9512作为核心交换,双机之间通过TRUNK接口互联,上行与SSG520防火墙相连的接口配置VRRP与其互联。SSG通过厂商的NSRP协议配置HA,并将其配置为桥接路由模式。SINFOR设备通过串口心跳配置好HA,并将其配置为透明桥接模式。Topsec防火墙通过CISCO 的HSRP和浮动静态路由技术来配置冗余备份双机结构,并将其配置为NAT模式。负载设备LinkProof采用标准VRRP配置为冗余双机(由于本次实验设备限制,只做单机)。为防止动态路由的动荡引起链路路由切换,两组防火墙的路由都采用静态路由的方式进行配置。

2 防火墙双机试验故障现象

对于实验1我们做如下的数据访问测试:在9512A上和9512B上分别做一个用户VLAN并接入两台pc,两台服务器(可使用普通pc代替)分别接入到9508上的,使用同一个网段的地址。我们通过pc使用ICMP包对pc至server端的链路进行检测,从pc1和pc2分别发至server1和server2的检测包结果显示:pc1至server1和pc2至server2的包正常;而pc1至server2和pc2至server1的包则出现丢包或者不通的现象。查看路由得知pc至server 都有三条下一跳路由,跟踪路由发现pc1跟踪server2的路由到SecBlade-A后出现中断,pc2至server1的路由到SecBladeB出现中断。之后我们将交叉链路去除后再次做上面同样的测试发现故障依旧,根据路由情况得知基于会话状态的防火墙在特殊的网络结构中存在来回路径不一致而导致的中断现象发生。

对于实验2做了如下数据访问测试:首先现在没有任何设备、接口、线路故障的情况下,三组双机设备都是主机在工作的,此时PC至互联网server的访问数据会通过所有双机的主设备;我们手动的将SSG520主机的外网接口shutdown后会自动切换到备机工作,sinfor发现与其lan口相连的接口down了也会自动的切换到备机, topsec主机发现与其互联的sinfor主机故障切换了,topsec主机也会切换到备机工作,这种情况并未发生中断现象。但当我们将刚才shutdown的接口还原时,我们发现此时出现的故障情况为PC至server的数据会出现中断现象。将SSG520手动down的接口还原后的情况发现三组冗余双机设备开始在不断的进行主备的切换,无法达到一致状态。这时情况是三组双机因为切换的时间和检测的故障的。根据各种设备切故障检测和切换机制分析得知:目前大部分的冗余双机故障检测基本上为互联接口物理up/down和IP跟踪两种检测方式,由于各不同厂商设备主备切换的时间存在差异,导致其他两组设备切换却得不到一致和同步切换的效果,而在故障检测中增加IP跟踪的检测机制只能对存在接口地址的双机设备有效,而在设备互连接口不存在IP地址作为透明模式使用时依然无法进行更有效的补充,这种情况下三组设备很难达到同步切换的状态,因此导致故障现象的发生。

3 试验故障分析及解决方案

针对以上三组实验的故障情况我们分别作了简单的分析并给出了不同的解决方案。对于实验1中防火墙可靠性实验中,出现的故障情况后对PC至server的路由分别进行了跟踪和分析。本次的整个网络结构中全部使用ospf协议,并将路由都在AREA0区中。根据我国有关部门的提出的规范在默认不改变各条路由开销(cost)值的情况下,所有设备直连的路由开销值都相同,在两台防火墙上都了10.10.10.0/24的路由信息,因而在9512A和9512B上到这两个网段的路由是通过ospf分别从SecBladeA和SecBladeB上的路由表中学到的,这样从pc1至server2的路由就会从secblade-A走,而server2至pc1的路由则会从secblade-B走,这是就出现了来回的路径不一致,同理pc2与server1的互访路径也会出项这种情况。针对实验中因会话来回路由不一致所遇到的问题,就此故障现象,我们可将9512与防火墙之间的交叉链路去除,并更改各条链路的cost值,保证其来回的路径在一条路由上。这种情况下当其中一台交换或者防火墙出现故障后可通过VRRP保证master和slaver vlan之间切换,从而使PC至server的数据不会出现中断现象,这种改造的弊端在于不能做到双机负载也就是双A状态的运行模式。因此另一种解决方案将SecBlade 防火墙的会话通过心跳进行同步,保证主防火墙和备防火墙实时的去同步授权允许的会话列表,这样一来,既解决了会话流来回路径不一致的现象,同时也将该组网结构中的两台防火墙形成了双A状态,分担了负载。特别说明该实验中根据设备的特性使用心跳线来代替实验1中的防火墙的三层互联即可。

对于在第二个实验中出现的故障现象,由于现网中使用的各厂商设备的故障检测机制的不一致性,如要统一算法需要将研究制定统一的故障检测方法和切换机制。因此分析了实际情况后,我们可根据故障现象和原因对网络结构进行整改和优化后解决做实验2中一组冗余双机出现主备切换时导致网络中断的问题。我们可在该网络结构中增加一组交换,在该组交换上分别配置两个Vlan,我们这里配置Vlan100和Vlan200,然后将Sinfor的wan口和Topsec的Intratnat接口直接接在新增交换机的两个接口上,并把这两个接口配置到Vlan200中,同样将Sinfor的lan口和SSG520的Internet接口也接入到与这台交换机上的两个接口上,并将这两个接口配置到Vlan100中。另外一组设备以同样的连接和配置方式与另外一台交换机互联。两台交换机通过TRUNK口互联并允许Vlan 100和Vlan 200 通过。其实这里新增加的两台交换是用作半军事化区域的核心交换使用的,这样内网与外网同时可以接入到这两台交换上,可以节省硬件资源。我们在进行同样的实验,将三组冗余设备在任何一组设备中任何一个模拟故障现象都不会导致其它两组设备的主备切换,即使我们设备的故障检测是包含Track IP的方式也不会导致另外三组冗余设备的因存在故障切换时间的差异而造成网络中断的现象发生。即各种故障或者切换都不会导致PC至server链路的中断。具体的网络整改拓扑图如图3所示。

从实验3的网络拓扑中可以清楚的看到,无论三组设备的故障切换是否能够同步进行,PC至server的链路都会有一条通畅的路存在。这是本实验中解决故障问题的较实用的方案。对于该实验中存在的故障原因还存在另外一种解决方案,但有待于研究讨论及权威机构的统一和制定,研究和制定出一套通用的双机故障检测及切换算法或者制定一种新的双机故障同步切换通讯协议类型。使该算法或协议能够支持端口检测、会话同步、IP跟踪等多种故障检测机制和统一的切换算法,使双机设备都能通过该算法或协议在各种不同的故障情形下进行快速有效统一地故障同步切换也是解决该问题的重要方法,也是统一网络设备冗余双机故障检测及切换机制的研究方向。目前huawei研究的VGMP和HRP协议已经将huawei的防火墙进行了较好的状态一致检测和会话同步的管理。

4 总结

在整个网络结构设计和实施过程中详细分析和说明了三组双机实验的网络结构在企业不同安全区域部署的目的、作用和效果,同时对在部署过程中出现的问题进行了分析和研究,在网络结构的基础上给出问题解决方案,并对其进行网络改造和优化,用来满足用户信息安全的需求和目的。第一组实验部署在企业的核心数据受控区域,为严格控制各应用服务器之间以及用户与服务器之间的数据访问,采用可自定义多区域的防火墙能够很好的实现企业对不同敏感数据的安全控制需求。但在基于会话状态的理想全冗余交叉的网络连接中存在的来回路径不一致的故障情形,因此解决方案为将主备防火墙置于双A的工作状态,并将全部的会话状态进行较好的同步,这样不仅解决了路由不一致的问题,也使主备设备都得到了充分的利用,减轻和降低了单设备的负载和单点故障引起切换带来的业务中断。第二组实验部署在企业互联网出口的网络结构中,将军事化、半军事化及非军事化控制区域的数据进行了严格的区域控划分和数据控制,并通过行为控制审计设备严格地对军事化区域数据交换进行控制、审计及记录。安全与性能本来存在对立的一面,因此实验二虽然在给企业的信息安全带来高可靠的保障和受控手段,但同时这种高安全的网络结构势必会对企业网络性能造成一定的负面影响,企业可根据实际情况选择网络安全的程度。实验二中针对该实验中由于故障引起的双机设备主备切换不一致导致链路中断的现象进行了网络结构改造后形成了实验三的网络拓扑结构,实验三的网络结构不仅解决了实验二切换的故障问题,同时也将多组双机网络结构的故障率降为最低,设备切换带来的业务中断时间降为最少。实验三的网络拓扑方案适用于目前多数企业的互联网出口结构。本文为企业网络架构的设计及安全部署,网络故障处理提供了一定的实践依据和说明。

本文通过三组实验的网络拓扑结构的设计实现、故障测试分析及解决,对几款目前国内较流行的状态防火墙和安全设备的双机基本配置、工作模式、安全防范、故障检测切换机制都有了基本的了解和认识,并给企业用户在企业安全区域网络拓扑结构的设计方面提供了较好的理论应用和实践基础。在故障测试过程中通过对故障分析和处理,提出的解决方案和处理思想对企业安全网络的合理设计提供的实践证明,也为功能全面防火墙的设计和实现提供了重要的研究方向和思想依据。

参考文献:

[1] 蔡立军.计算机网络安全技术[M].北京:中国水利水电出版社,2002.

[2] 胡道元,阂京华.网络安全[M].北京:清华大学出版社,2004:22-26

[3] 柯宏力.Intranet信息网络技术与企业信息化[M].北京:北京邮电学院出版社,2000,24-32,71-82,150-176.

[4] 林晓东,杨义先.网络防火墙技术[J].电信科学,1997,13(3):41-43.

[5] 雷震甲,马建峰.Internet安全和防火墙技术安全体系结构[J].通信保密,1998(2).

[6] 刘晓辉.网管从业宝典――交换机路・由器・防火墙.重庆:重庆大学出版社, 2008-5-9,81-86, 117-185,270-275,371-400.

[7] 吴昕,李之棠.并行防火墙研究[J].计算机工程与科学,2000,22(2):54-57.

[8] 林晓东,杨义先.网络防火墙技术[J].电信科学,1997,13(3):41-43.

[9] 张云鹏.网络安全与防护技术的研究及应用[D].中国优秀博硕士学位论文全文数据库,2006(6).

[10] 黄世权.防火墙集群系统的架构与实现研究[J].计算机应用与软件.2006(6).

[11] 崔伟,齐竞艳,黄皓.全状态防火墙双机热备份的设计与实现[J].计算机应用研究,2004,21(12).