企业防火墙双机试验浅析.docVIP

企业防火墙双机试验浅析 　　摘要:作为企业网络安全中的一个重要的角色,防火墙已是目前企业隔离网络的重要安全设备之一。随着信息安全技术的发展和革新,越来越多的安全产品也不断的问世,但硬件防火墙仍然对企业网络的安全防御、区域划分和网络映射起着重要的作用。该文通过对目前国内较普遍的防火墙在设计的不同网络结构中可靠性实验的部署和测试,分析了目前主流的基于状态检测的硬件防火墙在不同网络结构中的应用及故障情况。通过对实验测试结果的分析,初步了解各种防火墙的基本特性、工作模式以及在实验设计的网络结构中存在的故障问题,并通过不同的方案对故障进行解决。另外了解和分析了不同厂商设备的双机故障检测方法及切换机制的不一致导致在故障检测和切换时间上的差异,从而导致在 设备互连的网络结构中存在网络中断的故障现象。因此在企业设计出一个合理的网络结构是非常重要的,这不仅能够让企业用户在一个安全的网络环境中使用网络服务,也能够因企业壮大使得基础网络快速容易的进行扩容;同样对于不同安全设备设计出合理统一的标准故障检测切换算法的协议对改善不同厂商设备的互连网络中运行的协调和稳定性具有一定的意义。该文的实验和研究对企业安全受控网络区域的网络参考部署具有有效的实验和应用价值。 　　关键词:防火墙;双机;状态检测;VRRP 　　中图分类号:TP393文献标识码:A文章编号:1009-3044(2009)36-10454-03 　　随着互联网以及现代通讯技术的发展,以及用户对服务品质的需求,高可用性网络已经越来越成为Internet组网设计的目标。因网络中断给用户带来的损失以及潜在损失已经十分巨大,有研究表明,网络停运带来的损失已经高达几百万美元/每小时,而由此带来的隐性损失则更是难以估量。 　　在防火墙的可靠性试验之前,先了解目前防火墙的技术以及该技术特点对防火墙可靠性的影响,目前各类型的防火墙从其实现原理上来说基于以下三大类: 　　1) 基于逐包转发过滤的包过滤; 　　2) 通过检测会话状态基于会话流的状态; 　　3) 基于应用代理方式的全代理。 　　这三种防火墙技术的优缺点不作详细讨论,对于第一种逐包转发过滤的包过滤防火墙因为其不能很好的区分和保护不同的区域,在运行内部网络访问外部网络的同时也提供了外部网络访问内部网络的安全漏洞,因此这种防火墙技术在近年来属于逐步被淘汰的技术,但是就可靠性而言,因为该技术采用逐包转发过滤,对会话流的来回路径不敏感,因此在不做Nat的时候,其冗余设备的备份可以做到平滑过渡,不过在启动了Nat功能的情况下,由于不同的设备很难做到对同一会话进行相同的地址转换,导致包过滤防火墙在Nat的应用中也出现问题。 　　对于基于应用代理方式的全代理防火墙,由于其隔离了与外部网络和内部网络的连接,它能给内部网络提供很好的保护,但是他的优点同时也是最大的缺点,由于采用的是应用代理的方式,对于应用程序而言就不透明了,需要应用程序为这种连接进行适配;并且由于采用了全代理方式,其处理的性能要明显低于其它两种类型的防火墙。就可靠性而言,要做到双机热备的话,不仅要求会话的来回路径一致,而且因为它是全代理,这要求每一个报文都需要适时地备份到备机上去,这种特性使得全代理方式的防火墙的双机热备实现起来很困难,在实际应用中也很少见这种防火墙的备份方案。 　　下面我们将通过两组实验讨论基于会话流的状态防火墙的可靠性问题,所谓状态防火墙是指用户通过防火墙访问外部网络时,会在防火墙上创建一个会话表项(该会话表项通常情况下会包含该会话的五元组信息――源/目的IP地址、源/目的端口、协议类型),这样从外面回应的报文如果能匹配该五元组就能顺利通过防火墙到达用户,而从外面主动发起的会话请求因为不能匹配任何会话表项,而被ACL规则过滤掉。这样就可以提供给用户不同级别的保护,从而有效地保护用户的内部网络。目前大部分防火墙产品都是属于这种技术的防火墙。由于这种基于会话流的防火墙要求每个会话的来回路径一致,因此在做双机热备的时候对组网有特殊的要求,以下将通过实验了解防火墙可靠性技术,以及实验过程中出现的问题并提出的解决方案。 　　1 防火墙双机试验组网及配置 　　单组防火墙双机可靠性实验中采用设备有TOPsec NGFW4000 、JUNIPER SSG 520、 H3C Secblade III、H3C 9500系列及华为Quidway 6500系列交换机, sinfor互联网安全控制产品。根据可靠性要求将网络安全设备和交换设备进行如下组网设计和部署,通过实验测试防火墙HA情况下不同安全区域的数据过滤及交换情况以及在该种模式和网络结构中存在的故障现象。 　　首先我们做单组防火墙双机的实验,其网络结构如图1所示。 　　该结构使用H3C系列高端网络及安全设备组网,适