基于NGFW的数据中心安全架构方案探讨

摘 要：通过对传统防火墙和下一代防火墙的功能分析，阐述了下一代防火墙的优势所在，并以实际部署为例，介绍了集成式板载下一代防火墙的冗余式部署方案并验证。

关键词：防火墙；NGFW；数据中心

DOI：10.16640/ki.37-1222/t.2016.22.112

1 前言

随着IT技术的发展和“互联网+”战略的实施，保护信息系统和数据安全的需要也飞速增长，数据中心的安全建设需求愈发重要。而防火墙作为数据中心防护架构的关键防线，如何在数据中心内部稳定并高效的部署防火墙，成为当今数据中心安全建设的一个重要课题。一般来说，数据中心防火墙部署于数据中心的网络边界上，位于数据中心内部的服务器区域和外部访问用户区域之间，传统的网络层防火墙运行在TCP/IP协议栈上，通过对访问流量的TCP/IP报文进行预订策略的识别、过滤和转发来控制外部用户对数据中心内部服务器的访问权限，保护数据中心内部服务器免于非法用户的访问和入侵[1]。

2 NGFW介绍

随着网络技术的发展和防护需求的提升，传统的网络层防火墙由于工作在ISO网络七层架构的网络层，对数据包和流量的分析是基于网络层五元组（源/目的IP，源/目的端口和协议）的，由此也暴露出一些新问题：1）基于端口的识别方式对具体应用没有识别能力，导致非法应用可能借用知名端口穿过防火墙；2）基于IP的识别方式对DDoS、源地址仿冒攻击和对象IP地址不固定的移动端信息服务防范能力不足；3）对于应用层服务的检测、过滤和管理能力欠缺。

因此，业内各个厂家近年来都推出了下一代防火墙（Next Generation Fire Wall，NGFW）来代替传统防火墙，除了提供传统防火墙的防护方式外，同时提供以区分用户、应用和资源内容为防护手段和目标的新一代数据中心防护模式。

3 NGFW实施方案

在实际实施方案中，我们选用了华为公司的S12708三层交换机作为数据中心的网络核心和骨干[2]，各个机柜的服务器通过二层VLAN连接到该数据中心交换机[3]。采用两块ET1D2FW00S00 NGFW下一代防火墙集成板卡作为安全防护核心。系统结构如图1所示：

该方案主要说明如下：1）两块S12708集成的NGFW Module做主备式部署，其GE0/0/1配置为心跳接口，当A板卡出问题后，防护系统自动切换到B板卡，消除单点故障；2）两块NGFW Module通过背板带宽，以一进一出两个虚拟20G接口的方式与S12708三层交换机做逻辑连接；3）两块NGFW Module上行链路做捆绑后与S12708数据中心交换机外网部分做路由互指，NGFW Module的默认路由指向S12708，S12708根据防火墙上实际部署的服务器网段做静态路由；4）两块防火墙的内向接口配置为内部服务器的网关，并且做VRRP以确保冗余切换，在内向接口上使用子接口区分不同VLAN。

4 具体关键配置

在对S12708进行完基础配置，使其联入互联网后，防火墙功能部分主要配置实施如下：1）将两块NGFW Module的GE0/0/1用网线直接连接，并配置其心跳线功能：

Module A：

interface GigabitEthernet0/0/1

ip address 10.0.0.1 255.255.255.252

hrp enable

hrp interface GigabitEthernet0/0/1 remote 10.0.0.2

Module B：

interface GigabitEthernet0/0/1

ip address 10.0.0.1 255.255.255.252

hrp enable

hrp interface GigabitEthernet0/0/1 remote 10.0.0.2

2）以新增VLAN51（VRRP=10.10.179.30）为例配置内网接口为服务器区域网关：

Module A：

vlan 51

hrp track active

interface Vlanif51

ip address 10.10.179.28 255.255.255.224

vrrp vrid 1 virtual-ip 10.10.179.30 active

interface GigabitEthernet1/0/0

portswitch

port link-type trunk

port trunk permit vlan 51

Module B：

vlan 51

hrp track active

interface Vlanif51

ip address 10.10.179.29 255.255.255.224

vrrp vrid 1 virtual-ip 10.10.179.30 standby

interface GigabitEthernet1/0/0

portswitch

port link-type trunk

port trunk permit vlan 51

3）配置两块NGFW Module和S12708之间的接口地址和互指路由后，内外网即可以互通。

配置完成后进行测试，将VLAN51下的服务器IP地址设置为10.10.179.0/27内地之后，可以ping通网关并正常上网。通过192.168.1.195和192.168.1.196可以进入防火墙板卡的配置接口或Web管理界面，以配置更详细的防火墙策略，实现对服务器的全面防护。

5 总结

较之独立防火墙设备的部署方式，集成式的防火墙板卡优化了与数据中心交换机的连接方式，节约了设备端口的同时，还提供了很大的双向连接带宽。同时充分利用了S12708上设备端口，减少了防火墙所需的设备下联端口。基于以上过程搭建的数据中心安全架构，具有很好的安全冗余性，并且除了提供了传统防火墙所具备的防功能外，还可以为数据中心提供反病毒、入侵防护、URL过滤、内容过滤、文件过滤、邮件过滤、应用行为控制等企业级应用层功能，经过多方面测试，具有较好的实际使用效果。

参考文献：

[1]陈麟，李焕洲，胡勇，戴宗坤.防火墙系统高可用性研究[J].四川大学学报（工程科学版），2005，31（01）：126-129.

[2]HUAWEI USG6000系列&NGFW Module V100R001典型配置案例 [J].

2015（07）：30.

[3]S12700系列敏捷交换机典型配置举例[J].2016（03）：16.

作者介绍：夏凌云（1980-），男，四川泸州人，硕士研究生，工程师，主要研究方向：互联网技术、计算机软硬件技术和物联网技术。