防火墻雙機熱備設計與應用

2018-03-22 11:44:14孫中諾

電子技術與軟件工程 2018年3期

孫中諾

摘要防火墻內外網通信，可通過防火墻信任區域與非信任區域，采用防火墻安全策略，實現內外網絡通信。使用單臺防火墻可實現數據正常轉發，但單臺設備容易造成網絡不可靠。一旦直連鏈路或設備故障將會造成網絡中斷，內外網無法正常通信。為了解決單點故障，采用防火墻雙機熱備組網方式，基于虛擬組管理協議，其中一臺為主防火墻，另一臺為備用防火墻，正常情況下主防火墻負責數據正常轉發，當主防火墻或直連鏈路故障，備用防火墻擔任主防火墻角色，實現鏈路數據正常轉發，確保網絡穩定性和可靠性。

【關鍵詞】安全區域虛擬組管理協議心跳線

1 防火墻雙機熱備拓撲結構與需求

需求（如圖1）：

（1）按照網絡拓撲結構，給出相應設備IP地址信息，華為防火墻USG5500FW1與USG5500FW2 g0/0/1端口屬于trust區域，g0/0/2端口屬于untrust區域，g0/0/3端口屬于dmz區域，全網采用OSPF路由協議，實現AR1能夠與AR2正常通信。

（2）FW1為主防火墻，FW2為備用防火墻，通過心跳線，將防火墻配置信息和工作狀態傳遞給備用防火墻。當FW1防火墻出現故障或直連鏈路出現故障，主防火墻FW1失效，FW2備用防火墻擔任主防火墻角色，實現鏈路數據正常轉發。

（3）當主防火墻FW1恢復正常，備用防火墻FW2交還防火墻Master角色，繼續作為Backup角色。

2 安全區域

安全區域是一個或者多個接口所連接的網絡。防火墻提供缺省安全區域，本地區域（Local）、信任區域（Trust）、非軍事化區域（Dmz）、非信任區域（Untrust），本地區域優先級為100，信任區域優先級為85、非軍事化區域優先級為50、非信任區域優先級為5。優先級的值越大，安全級別越高。同一安全區域發送數據，不存在安全風險，不同區域之間發送數據會執行區域安全策略。

FW1防火墻配置：

[FW1]firewall zone trust 進入防火墻trust區域[FW1-zone-trust]add interface g0/0/1 將g0/0/1端口加入到trust區域

[FW1]firewall zone untrust進入防火墻untrust區域

[FW1-zone-untrust]add interface g0/0/2將g0/0/2端口加入到untrust區域

[FW1]firewall zone dmz 進入防火墻dmz區域

[FW1-zone-untrust]add interface g0/0/3將g0/0/3端口加入到dmz區域

同理防火墻FW2做相應的配置。

3 虛擬組管理協議（VGMP）

內外網正常通信，可利用單臺防火墻多個區域進行數據轉發，但單臺設備出現故障會造成網絡中斷，容易形成單點故障，網絡的可靠性也比較差。采用兩臺防火墻，增強網絡的可靠性，基于虛擬路由冗余協議VRRP，采用備份組方式，一臺為主設備、另一臺為備用設備，起到冗余的效果，增強網絡的可靠性。但防火墻的數據轉發，僅僅利用VRRP是無法正常進行數據轉發，每個報文在匹配路由的同時，還要進行狀態的匹配，因此VRRP無法滿足防火墻的雙機熱備，必須利用到虛擬組管理協議（VGMP）。

虛擬組管理協議基于虛擬路由冗余協議，將同一臺防火墻上的多個VRRP組都加入到一個VRRP管理組，由管理組統一管理所有VRRP組。通過統一控制各VRRP組狀態統一切換，來保證管理組內的所有VRRP組狀態都是一致的。

4 心跳線

在防火墻雙機熱備組網中，主防火墻或直連鏈路出現故障，所有流量將切換到備防火墻。USG防火墻是狀態防火墻，如果備防火墻上沒有原來主防火墻上會話表等連接狀態數據，則備防火墻流量將無法通過防火墻，造成現有網絡的連接中斷。華為冗余協議（HRP）能夠通過心跳線將主防火墻關鍵配置和連接狀態傳遞給備用防火墻，真正實現雙機熱備。

5 防火墻安全策略

防火墻通過一定的規則設置，來控制數據流轉發和數據流安全監測的策略，實現區域之間、區域內部和接口包過濾相關的控制。

HRP_M[FW1]policy interzone trust untrust outbound從信任安全區域到非信任安全區域做策略

HRP_M[FW1-policy-interzone-trust-untrust-outbound]policy 1策略名稱為1

HRP_M[FW1-policy-interzone-trust-untrust-outbound-1]policy source 10.1.1.0 0.0.0.255 源IP地址為10.1.1.0網段

HRP_M[FW1-policy-interzone-trust-untrust-outbound-1]policy destination any目標地址為任意網絡

HRP_M[FW1-policy-interzone-trust-untrust-outbound-1]action permit動作為允許訪問

FW2為備用防火墻，通過心跳線會同步到FW1的策略。

此時從路由器R1能夠ping通路由器R2，主防火墻FW1負責轉發，當防火墻FW1或直連鏈路出現故障，備用防火墻FW2會成為主防火墻，保證鏈路的正常通信。

6 結語

防火墻雙機熱備組網技術，有效解決了單臺防火墻因設備或直連鏈路故障，造成內外網絡通信中斷，網絡不可靠等問題。防火墻雙機熱備技術，保證網絡可靠性的同時，能夠起到設備和鏈路冗余目的，數據流量快速切換作用，保證了業務的不間斷運行。

參考文獻