基于Pfsense的雙防火墻高可用性熱備系統(tǒng)

■濰坊 代善國

筆者在單位中負(fù)責(zé)網(wǎng)絡(luò)系統(tǒng)的維護(hù)工作。苦于資金限制，對(duì)網(wǎng)絡(luò)的安全性一直沒有找到好的解決辦法。

在通過網(wǎng)絡(luò)了解到開源防火墻軟件Pfsense后，經(jīng)過一段時(shí)間學(xué)習(xí)，終于將其部署到了網(wǎng)絡(luò)中，切實(shí)提高了網(wǎng)絡(luò)的安全性。

但在使用過程中，逐漸發(fā)現(xiàn)單路防火墻加路由器的模式，在安全威脅較大的網(wǎng)絡(luò)或是數(shù)據(jù)流量較大的網(wǎng)絡(luò)中需要的維護(hù)工作量相當(dāng)大。特別是對(duì)7×24小時(shí)不間斷的數(shù)據(jù)采集工作，由于單路系統(tǒng)的中斷是不可能完全避免的，而采集工作一旦中斷，后期的數(shù)據(jù)補(bǔ)收、處理等工作往往會(huì)給維護(hù)人員造成相當(dāng)大的工作量。

圖1 網(wǎng)絡(luò)結(jié)構(gòu)圖

為了切實(shí)解決單路網(wǎng)絡(luò)的低可靠性問題，筆者嘗試將網(wǎng)絡(luò)架構(gòu)改為雙路路由加防火墻的高可靠性模式。

筆者的總體思路是，部署兩個(gè)Pfsense主機(jī)，上端分別通過光纖利用固定公網(wǎng)IP方式接入外網(wǎng)。下端分別利用CARP方式虛擬為一個(gè)虛擬IP，通過交換機(jī)，為網(wǎng)絡(luò)中的服務(wù)器與單機(jī)提供網(wǎng)絡(luò)接入與流控服務(wù)。中間將兩個(gè)Pfsense主機(jī)設(shè)置為高可靠性熱備運(yùn)行模式。一臺(tái)為MASTER狀態(tài)（以下稱“主機(jī)”），負(fù)責(zé)正常的網(wǎng)絡(luò)接入與防火墻流控任務(wù)。另一臺(tái)為BACKUP狀態(tài)（以下稱“副機(jī)”），隨時(shí)保持與主機(jī)的同步狀態(tài)，根據(jù)主機(jī)的防火墻規(guī)則及狀態(tài)變化自動(dòng)修改本身的規(guī)則與狀態(tài)，隨時(shí)保持與主機(jī)的一致性，但正常狀態(tài)下并不參與實(shí)際的網(wǎng)絡(luò)接入與流控任務(wù)。一旦主機(jī)造成宕機(jī)，則副機(jī)自動(dòng)接管網(wǎng)絡(luò)的接入與流控任務(wù)，進(jìn)入MASTER狀態(tài)。同時(shí)原主機(jī)自動(dòng)由MASTER狀態(tài)進(jìn)入BACKUP狀態(tài)，實(shí)現(xiàn)網(wǎng)絡(luò)的無縫銜接，保證網(wǎng)絡(luò)的高可用性。

整個(gè)網(wǎng)絡(luò)的結(jié)構(gòu)如圖1所示。以下為具體部署操作。

硬件準(zhǔn)備

硬件最重要的是兩臺(tái)可滿足運(yùn)行PFSENSE的主機(jī)，建議選擇可穩(wěn)定不間斷運(yùn)行的工控機(jī)或閑置低端服務(wù)器，但強(qiáng)烈建議使用最低三網(wǎng)口的機(jī)器，因?yàn)榻?jīng)多次測試，在兩網(wǎng)口機(jī)器上，功能可以實(shí)現(xiàn)，但性能受限很大，不能滿足高性能與高可靠的設(shè)計(jì)初衷。

軟件準(zhǔn)備

軟件基本只需PFSENSE即可，但建議使用PFSENSE的最新版本，筆者使用為2.4.4-RELEASE-p3(amd64)版本。在主機(jī)與副機(jī)上安裝應(yīng)為同一版本，否則在后期兩機(jī)同步時(shí)，可能會(huì)出現(xiàn)不能傳輸相關(guān)狀態(tài)的問題。會(huì)出現(xiàn)提示“The pfsense software configuration version of the other member coult not be determind,Skip synchronization to avoid causing problem.”的錯(cuò)誤。

配置步驟

首先是按網(wǎng)絡(luò)結(jié)構(gòu)要求安裝相關(guān)的硬件設(shè)備，然后按如下步驟完成軟件配置：

表1 在主機(jī)與副機(jī)上設(shè)置相關(guān)網(wǎng)絡(luò)接口

表2 設(shè)置CARP共享虛擬IP地址

1.在主機(jī)與副機(jī)上分別安裝版本Pfsense軟件。

2.開機(jī)菜單中選“2）Set interfaces(s) IP address.”進(jìn)入網(wǎng)卡接口設(shè)置狀態(tài)，在主機(jī)與副機(jī)上按表1所示設(shè)置相關(guān)網(wǎng)絡(luò)接口。

注意：在設(shè)置接口時(shí)兩機(jī)網(wǎng)絡(luò)接口的順序最好一致，以最大限度降低出現(xiàn)問題的機(jī)會(huì)，同時(shí)對(duì)系統(tǒng)運(yùn)行性能的提升也有幫助。

3.設(shè)置CARP共享虛擬IP地址，本步的作用是將主機(jī)與副機(jī)的LAN口虛擬為一個(gè)共同的IP，并對(duì)局域網(wǎng)中的用戶提供公網(wǎng)接入與流控服務(wù)。局域網(wǎng)內(nèi)用戶在訪問防火墻主機(jī)時(shí)，可以用虛擬IP訪問，此時(shí)主機(jī)與副機(jī)虛擬為一臺(tái)防火墻，可進(jìn)行各種流控規(guī)則與狀態(tài)設(shè)置，其設(shè)置將同時(shí)作用到主機(jī)與副機(jī)中，也可以用主機(jī)與副機(jī)各自的獨(dú)立LAN口IP進(jìn)行分別訪問，在其上的設(shè)置將分別同步到對(duì)方，作用與通過虛擬IP進(jìn)行設(shè)置是一樣的。

具體操作為：分別進(jìn)入主機(jī)與副機(jī)的WEB管理頁面；選擇防火墻菜單——虛擬IPS項(xiàng)；在出現(xiàn)的設(shè)置頁面中，按表2所示項(xiàng)進(jìn)行相應(yīng)設(shè)置。

在以上設(shè)置中，廣播頻率與偏離值可自主設(shè)置，但要保證主機(jī)上的設(shè)置值應(yīng)小于副機(jī)上的值，否則在同步時(shí)，將出現(xiàn)主副機(jī)沖突，造成防火墻規(guī)則失效。

4.設(shè)置主副機(jī)中Pfsense中Web管理訪問協(xié)議。具體操作為：分別進(jìn)入主機(jī)與副機(jī)的Web管理頁面；選擇系統(tǒng)菜單—高級(jí)選項(xiàng)，在出現(xiàn)的管理員訪問選項(xiàng)卡中，將Web訪問協(xié)議修改為一致，如都為HTTPS或HTTP；同時(shí)將并發(fā)訪問數(shù)修改為2或以上，然后保存即可。

注意：調(diào)整Web訪問協(xié)議后，均應(yīng)重啟主機(jī)，或在主機(jī)開機(jī)設(shè)置菜單中利用“11）Reset WEB Configurator”項(xiàng)將主機(jī)的WEB服務(wù)重啟。同時(shí)在瀏覽器上應(yīng)清除此前頁面上已啟動(dòng)的Cookie，否則將不能登錄進(jìn)入PFSENSE的Web管理界面進(jìn)行后面的設(shè)置。

5.設(shè)置防火墻規(guī)則，實(shí)現(xiàn)主副機(jī)利用各自的SYNC口進(jìn)行同步通訊。具體操作為：進(jìn)入主機(jī)Web管理界面，選擇防火墻菜單—規(guī)則策略項(xiàng)SYNC選項(xiàng)卡；按表3、表4、表5所示，添加相應(yīng)的規(guī)則。

選項(xiàng)卡中其他設(shè)置項(xiàng)保持默認(rèn)即可，在規(guī)則1的設(shè)置中，所取值應(yīng)與操作步驟4中的設(shè)置一致。

進(jìn)入副機(jī)，設(shè)置防火墻規(guī)則如表6所示。

6.設(shè)置系統(tǒng)同步

具體操作為：進(jìn)入主副機(jī)系統(tǒng)菜單—同步設(shè)置選項(xiàng)卡，按表7及表8所示設(shè)置各參數(shù)。

注意：主副機(jī)系統(tǒng)管理帳號(hào)與密碼應(yīng)完全一致，同時(shí)在副機(jī)設(shè)置中，對(duì)XMLPRC項(xiàng)不能作任何設(shè)置。

表3 規(guī)則1

表4 規(guī)則2

表5 規(guī)則3

表6 防火墻規(guī)則1

表7 主機(jī)參數(shù)設(shè)置

表8 副機(jī)參數(shù)設(shè)置

至此，主副機(jī)的設(shè)置已全部完成。在保存相關(guān)設(shè)置后，即可看到主機(jī)與副機(jī)已進(jìn)入同步狀態(tài)，相關(guān)的防火墻規(guī)則等已完全一致。

可利用三種方式進(jìn)行驗(yàn)證：一是在主機(jī)上進(jìn)入狀態(tài)菜單—重置過濾—強(qiáng)制配置同步項(xiàng)，即可看到成功完成同步配置。二是進(jìn)入狀態(tài)菜單—CARP項(xiàng)，可看到虛擬接口192.168.1.1已啟用，同時(shí)主機(jī)與副機(jī)的虛擬接口狀態(tài)分別MASTER與BACKUP。三是可通過在主機(jī)或副機(jī)上增加防火墻規(guī)則，一旦保存，在幾秒內(nèi)，在別的主機(jī)上即可看到更新的規(guī)則。

通過一段較長時(shí)間的運(yùn)行測試，筆者的整個(gè)網(wǎng)絡(luò)可靠性與安全性有了極大提高，在以往經(jīng)常出現(xiàn)的數(shù)據(jù)中斷后的補(bǔ)處理工作基本沒有再出現(xiàn)，極大地減少了網(wǎng)絡(luò)的日常維護(hù)工作，達(dá)到了系統(tǒng)設(shè)計(jì)的初衷。