企業防火墻雙機試驗淺析

摘要:作為企業網絡安全中的一個重要的角色，防火墻已是目前企業隔離網絡的重要安全設備之一。隨著信息安全技術的發展和革新，越來越多的安全產品也不斷的問世，但硬件防火墻仍然對企業網絡的安全防御、區域劃分和網絡映射起著重要的作用。該文通過對目前國內較普遍的防火墻在設計的不同網絡結構中可靠性實驗的部署和測試，分析了目前主流的基于狀態檢測的硬件防火墻在不同網絡結構中的應用及故障情況。通過對實驗測試結果的分析，初步了解各種防火墻的基本特性、工作模式以及在實驗設計的網絡結構中存在的故障問題，并通過不同的方案對故障進行解決。另外了解和分析了不同廠商設備的雙機故障檢測方法及切換機制的不一致導致在故障檢測和切換時間上的差異，從而導致在 設備互連的網絡結構中存在網絡中斷的故障現象。因此在企業設計出一個合理的網絡結構是非常重要的，這不僅能夠讓企業用戶在一個安全的網絡環境中使用網絡服務，也能夠因企業壯大使得基礎網絡快速容易的進行擴容;同樣對于不同安全設備設計出合理統一的標準故障檢測切換算法的協議對改善不同廠商設備的互連網絡中運行的協調和穩定性具有一定的意義。該文的實驗和研究對企業安全受控網絡區域的網絡參考部署具有有效的實驗和應用價值。

關鍵詞:防火墻;雙機;狀態檢測;VRRP

中圖分類號:TP393文獻標識碼:A文章編號:1009-3044(2009)36-10454-03

隨著互聯網以及現代通訊技術的發展，以及用戶對服務品質的需求，高可用性網絡已經越來越成為Internet組網設計的目標。因網絡中斷給用戶帶來的損失以及潛在損失已經十分巨大，有研究表明，網絡停運帶來的損失已經高達幾百萬美元/每小時，而由此帶來的隱性損失則更是難以估量。

在防火墻的可靠性試驗之前，先了解目前防火墻的技術以及該技術特點對防火墻可靠性的影響，目前各類型的防火墻從其實現原理上來說基于以下三大類:

1) 基于逐包轉發過濾的包過濾;

2) 通過檢測會話狀態基于會話流的狀態;

3) 基于應用代理方式的全代理。

這三種防火墻技術的優缺點不作詳細討論，對于第一種逐包轉發過濾的包過濾防火墻因為其不能很好的區分和保護不同的區域，在運行內部網絡訪問外部網絡的同時也提供了外部網絡訪問內部網絡的安全漏洞，因此這種防火墻技術在近年來屬于逐步被淘汰的技術，但是就可靠性而言，因為該技術采用逐包轉發過濾，對會話流的來回路徑不敏感，因此在不做Nat的時候，其冗余設備的備份可以做到平滑過渡，不過在啟動了Nat功能的情況下，由于不同的設備很難做到對同一會話進行相同的地址轉換，導致包過濾防火墻在Nat的應用中也出現問題。

對于基于應用代理方式的全代理防火墻，由于其隔離了與外部網絡和內部網絡的連接，它能給內部網絡提供很好的保護，但是他的優點同時也是最大的缺點，由于采用的是應用代理的方式，對于應用程序而言就不透明了，需要應用程序為這種連接進行適配;并且由于采用了全代理方式，其處理的性能要明顯低于其它兩種類型的防火墻。就可靠性而言，要做到雙機熱備的話，不僅要求會話的來回路徑一致，而且因為它是全代理，這要求每一個報文都需要適時地備份到備機上去，這種特性使得全代理方式的防火墻的雙機熱備實現起來很困難，在實際應用中也很少見這種防火墻的備份方案。

下面我們將通過兩組實驗討論基于會話流的狀態防火墻的可靠性問題，所謂狀態防火墻是指用戶通過防火墻訪問外部網絡時，會在防火墻上創建一個會話表項(該會話表項通常情況下會包含該會話的五元組信息——源/目的IP地址、源/目的端口、協議類型)，這樣從外面回應的報文如果能匹配該五元組就能順利通過防火墻到達用戶，而從外面主動發起的會話請求因為不能匹配任何會話表項，而被ACL規則過濾掉。這樣就可以提供給用戶不同級別的保護，從而有效地保護用戶的內部網絡。目前大部分防火墻產品都是屬于這種技術的防火墻。由于這種基于會話流的防火墻要求每個會話的來回路徑一致，因此在做雙機熱備的時候對組網有特殊的要求，以下將通過實驗了解防火墻可靠性技術，以及實驗過程中出現的問題并提出的解決方案。

1 防火墻雙機試驗組網及配置

單組防火墻雙機可靠性實驗中采用設備有TOPsec NGFW4000 、JUNIPER SSG 520、 H3C Secblade III、H3C 9500系列及華為Quidway 6500系列交換機， sinfor互聯網安全控制產品。根據可靠性要求將網絡安全設備和交換設備進行如下組網設計和部署，通過實驗測試防火墻HA情況下不同安全區域的數據過濾及交換情況以及在該種模式和網絡結構中存在的故障現象。

首先我們做單組防火墻雙機的實驗，其網絡結構如圖1所示。

該結構使用H3C系列高端網絡及安全設備組網，適用于大中型企業核心網絡安全控制區域的網絡拓撲結構。通過這種網絡結構的部署可以有效的防御外部網絡及企業內部網絡對重要服務器的安全攻擊、漏洞掃描、木馬入侵等等，進而有效地對企業的研發、生產、商業、財務等機密數據進行保護和可控授權訪問。本實驗中將主要針對這種結構下所使用設備部署完成后出現的故障進行分析和討論。

單組防火墻雙機實驗采用H3C9512高端交換作為企業的核心交換，H3C9508作為企業應用服務器區域的核心交換。在4臺9500系列的交換上分別配置萬兆光纖交換單板，在9508上加H3C的SecBlade III防火墻業務單板，防火墻單板通過9508內置的萬兆接口與9508互連。兩臺9500系列交換通過萬兆光纖接口卡進行交叉互連，設備互連接口地址均使用30位掩碼。9508交換作為二層交換使用，服務器區域的三層網關地址全部配置在SecBlade防火墻與9508互連的萬兆接口的邏輯子接口上，并且這些VLAN都配置為VRRP模式，可根據需要將其中一臺防火墻或者其中一部分VLAN配置為master vlan，另外一臺或者另外一部分VLAN配置為slaver vlan。在防火墻和9512上都啟用ospf協議，將互連及三層VLAN地址段發布到ospf中。因該防火墻可將不同的VLAN劃分在不同的安全區域內，所以我們在防火墻上配置3個不同的安全域，并將配置好的邏輯子接口劃分到不同的安全域中，這樣就形成了不同的安全區域，安全區域的默認訪問規則為單向，也就是高優先級區域默認可訪問低優先級區域。然后在9508上增加與防火墻三層接口相同的VLAN，在將千兆物理接口添加到不同安全區域級別的VLAN中。最后啟用防火墻的雙機熱備功能，并選擇防火墻業務板上的一個接口作為心跳接口，服務器(unix系統，需要雙網卡)通過EtherChannel IEEE802.3ad配置成網卡冷備的模式，為了能模擬出各種情況，我們特意將server1的主網卡放在9508-A上，將server2的主網卡放在9508-B上。為避免因靜態路由帶來的不能檢測設備故障的情況，該組網采用了動態路由協議，在防火墻和交換上都啟用ospf協議。

串聯多組防火墻雙機試驗設備采用了Juniper及Topsec防火墻、H3c9512交換機、深信服行為控制設備、Radware的LinkProof鏈路負載均衡及2條不同ISP互聯網線路。這些設備都是我們選用的支持雙機的網絡及安全設備進行串聯，進行Intranet和internet互訪、Intranet與DMZ、Internet與DMZ區域之間數據通訊測試。由于實驗1已經介紹了單組防火墻雙機的實驗情形，故這里只介紹軍事化區域至互聯網區域數據通訊的實驗情況，該實驗的網絡拓撲結構如圖2所示。

該網絡結構使用雙重防火墻及上網行為控制設備對企業軍事化區域和互聯網區域進行了嚴格的數據過濾和行為控制，是企業軍事化區域、半軍事化區域及互聯網區域之間數據互訪受控的一種常用網絡結構，適用于大中型企業對內外部數據交換須進行嚴格控制、審計、授權訪問等操作，或網絡運營服務商對外部用戶提供高可靠和安全性互聯網服務在互聯網出口部分至企業核心交換層的網絡部署。通過本網絡可以有效對內外部上至應用層下至物理層數據的交換有效的控制、阻斷、審計。

同樣先簡單介紹該組網拓撲結構及設備配置的基本信息。我們同樣使用9512作為核心交換，雙機之間通過TRUNK接口互聯，上行與SSG520防火墻相連的接口配置VRRP與其互聯。SSG通過廠商的NSRP協議配置HA，并將其配置為橋接路由模式。SINFOR設備通過串口心跳配置好HA，并將其配置為透明橋接模式。Topsec防火墻通過CISCO 的HSRP和浮動靜態路由技術來配置冗余備份雙機結構，并將其配置為NAT模式。負載設備LinkProof采用標準VRRP配置為冗余雙機(由于本次實驗設備限制，只做單機)。為防止動態路由的動蕩引起鏈路路由切換，兩組防火墻的路由都采用靜態路由的方式進行配置。

2 防火墻雙機試驗故障現象

對于實驗1我們做如下的數據訪問測試:在9512A上和9512B上分別做一個用戶VLAN并接入兩臺pc，兩臺服務器(可使用普通pc代替)分別接入到9508上的，使用同一個網段的地址。我們通過pc使用ICMP包對pc至server端的鏈路進行檢測，從pc1和pc2分別發至server1和server2的檢測包結果顯示:pc1至server1和pc2至server2的包正常;而pc1至server2和pc2至server1的包則出現丟包或者不通的現象。查看路由得知pc至server 都有三條下一跳路由，跟蹤路由發現pc1跟蹤server2的路由到SecBlade-A后出現中斷，pc2至server1的路由到SecBladeB出現中斷。之后我們將交叉鏈路去除后再次做上面同樣的測試發現故障依舊，根據路由情況得知基于會話狀態的防火墻在特殊的網絡結構中存在來回路徑不一致而導致的中斷現象發生。

對于實驗2做了如下數據訪問測試:首先現在沒有任何設備、接口、線路故障的情況下，三組雙機設備都是主機在工作的，此時PC至互聯網server的訪問數據會通過所有雙機的主設備;我們手動的將SSG520主機的外網接口shutdown后會自動切換到備機工作，sinfor發現與其lan口相連的接口down了也會自動的切換到備機， topsec主機發現與其互聯的sinfor主機故障切換了，topsec主機也會切換到備機工作，這種情況并未發生中斷現象。但當我們將剛才shutdown的接口還原時，我們發現此時出現的故障情況為PC至server的數據會出現中斷現象。將SSG520手動down的接口還原后的情況發現三組冗余雙機設備開始在不斷的進行主備的切換，無法達到一致狀態。這時情況是三組雙機因為切換的時間和檢測的故障的。根據各種設備切故障檢測和切換機制分析得知:目前大部分的冗余雙機故障檢測基本上為互聯接口物理up/down和IP跟蹤兩種檢測方式，由于各不同廠商設備主備切換的時間存在差異，導致其他兩組設備切換卻得不到一致和同步切換的效果，而在故障檢測中增加IP跟蹤的檢測機制只能對存在接口地址的雙機設備有效，而在設備互連接口不存在IP地址作為透明模式使用時依然無法進行更有效的補充，這種情況下三組設備很難達到同步切換的狀態，因此導致故障現象的發生。

3 試驗故障分析及解決方案

針對以上三組實驗的故障情況我們分別作了簡單的分析并給出了不同的解決方案。對于實驗1中防火墻可靠性實驗中，出現的故障情況后對PC至server的路由分別進行了跟蹤和分析。本次的整個網絡結構中全部使用ospf協議，并將路由都發布在AREA0區中。根據我國有關部門的提出的規范在默認不改變各條路由開銷(cost)值的情況下，所有設備直連的路由開銷值都相同，在兩臺防火墻上都發布了10.10.10.0/24的路由信息，因而在9512A和9512B上到這兩個網段的路由是通過ospf分別從SecBladeA和SecBladeB上發布的路由表中學到的，這樣從pc1至server2的路由就會從secblade-A走，而server2至pc1的路由則會從secblade-B走，這是就出現了來回的路徑不一致，同理pc2與server1的互訪路徑也會出項這種情況。針對實驗中因會話來回路由不一致所遇到的問題，就此故障現象，我們可將9512與防火墻之間的交叉鏈路去除，并更改各條鏈路的cost值，保證其來回的路徑在一條路由上。這種情況下當其中一臺交換或者防火墻出現故障后可通過VRRP保證master和slaver vlan之間切換，從而使PC至server的數據不會出現中斷現象，這種改造的弊端在于不能做到雙機負載也就是雙A狀態的運行模式。因此另一種解決方案將SecBlade 防火墻的會話通過心跳進行同步，保證主防火墻和備防火墻實時的去同步授權允許的會話列表，這樣一來，既解決了會話流來回路徑不一致的現象，同時也將該組網結構中的兩臺防火墻形成了雙A狀態，分擔了負載。特別說明該實驗中根據設備的特性使用心跳線來代替實驗1中的防火墻的三層互聯即可。

對于在第二個實驗中出現的故障現象，由于現網中使用的各廠商設備的故障檢測機制的不一致性，如要統一算法需要將研究制定統一的故障檢測方法和切換機制。因此分析了實際情況后，我們可根據故障現象和原因對網絡結構進行整改和優化后解決做實驗2中一組冗余雙機出現主備切換時導致網絡中斷的問題。我們可在該網絡結構中增加一組交換，在該組交換上分別配置兩個Vlan，我們這里配置Vlan100和Vlan200，然后將Sinfor的wan口和Topsec的Intratnat接口直接接在新增交換機的兩個接口上，并把這兩個接口配置到Vlan200中，同樣將Sinfor的lan口和SSG520的Internet接口也接入到與這臺交換機上的兩個接口上，并將這兩個接口配置到Vlan100中。另外一組設備以同樣的連接和配置方式與另外一臺交換機互聯。兩臺交換機通過TRUNK口互聯并允許Vlan 100和Vlan 200 通過。其實這里新增加的兩臺交換是用作半軍事化區域的核心交換使用的，這樣內網與外網同時可以接入到這兩臺交換上，可以節省硬件資源。我們在進行同樣的實驗，將三組冗余設備在任何一組設備中任何一個模擬故障現象都不會導致其它兩組設備的主備切換，即使我們設備的故障檢測是包含Track IP的方式也不會導致另外三組冗余設備的因存在故障切換時間的差異而造成網絡中斷的現象發生。即各種故障或者切換都不會導致PC至server鏈路的中斷。具體的網絡整改拓撲圖如圖3所示。

從實驗3的網絡拓撲中可以清楚的看到，無論三組設備的故障切換是否能夠同步進行，PC至server的鏈路都會有一條通暢的路存在。這是本實驗中解決故障問題的較實用的方案。對于該實驗中存在的故障原因還存在另外一種解決方案，但有待于研究討論及權威機構的統一和制定，研究和制定出一套通用的雙機故障檢測及切換算法或者制定一種新的雙機故障同步切換通訊協議類型。使該算法或協議能夠支持端口檢測、會話同步、IP跟蹤等多種故障檢測機制和統一的切換算法，使雙機設備都能通過該算法或協議在各種不同的故障情形下進行快速有效統一地故障同步切換也是解決該問題的重要方法，也是統一網絡設備冗余雙機故障檢測及切換機制的研究方向。目前huawei研究的VGMP和HRP協議已經將huawei的防火墻進行了較好的狀態一致檢測和會話同步的管理。

4 總結

在整個網絡結構設計和實施過程中詳細分析和說明了三組雙機實驗的網絡結構在企業不同安全區域部署的目的、作用和效果，同時對在部署過程中出現的問題進行了分析和研究，在網絡結構的基礎上給出問題解決方案，并對其進行網絡改造和優化，用來滿足用戶信息安全的需求和目的。第一組實驗部署在企業的核心數據受控區域，為嚴格控制各應用服務器之間以及用戶與服務器之間的數據訪問，采用可自定義多區域的防火墻能夠很好的實現企業對不同敏感數據的安全控制需求。但在基于會話狀態的理想全冗余交叉的網絡連接中存在的來回路徑不一致的故障情形，因此解決方案為將主備防火墻置于雙A的工作狀態，并將全部的會話狀態進行較好的同步，這樣不僅解決了路由不一致的問題，也使主備設備都得到了充分的利用，減輕和降低了單設備的負載和單點故障引起切換帶來的業務中斷。第二組實驗部署在企業互聯網出口的網絡結構中，將軍事化、半軍事化及非軍事化控制區域的數據進行了嚴格的區域控劃分和數據控制，并通過行為控制審計設備嚴格地對軍事化區域數據交換進行控制、審計及記錄。安全與性能本來存在對立的一面，因此實驗二雖然在給企業的信息安全帶來高可靠的保障和受控手段，但同時這種高安全的網絡結構勢必會對企業網絡性能造成一定的負面影響，企業可根據實際情況選擇網絡安全的程度。實驗二中針對該實驗中由于故障引起的雙機設備主備切換不一致導致鏈路中斷的現象進行了網絡結構改造后形成了實驗三的網絡拓撲結構，實驗三的網絡結構不僅解決了實驗二切換的故障問題，同時也將多組雙機網絡結構的故障率降為最低，設備切換帶來的業務中斷時間降為最少。實驗三的網絡拓撲方案適用于目前多數企業的互聯網出口結構。本文為企業網絡架構的設計及安全部署，網絡故障處理提供了一定的實踐依據和說明。

本文通過三組實驗的網絡拓撲結構的設計實現、故障測試分析及解決，對幾款目前國內較流行的狀態防火墻和安全設備的雙機基本配置、工作模式、安全防范、故障檢測切換機制都有了基本的了解和認識，并給企業用戶在企業安全區域網絡拓撲結構的設計方面提供了較好的理論應用和實踐基礎。在故障測試過程中通過對故障分析和處理，提出的解決方案和處理思想對企業安全網絡的合理設計提供的實踐證明，也為功能全面防火墻的設計和實現提供了重要的研究方向和思想依據。

參考文獻:

[1] 蔡立軍.計算機網絡安全技術[M].北京:中國水利水電出版社，2002.

[2] 胡道元，閡京華.網絡安全[M].北京:清華大學出版社，2004:22-26

[3] 柯宏力.Intranet信息網絡技術與企業信息化[M].北京:北京郵電學院出版社，2000，24-32，71-82，150-176.

[4] 林曉東，楊義先.網絡防火墻技術[J].電信科學，1997，13(3):41-43.

[5] 雷震甲，馬建峰.Internet安全和防火墻技術安全體系結構[J].通信保密，1998(2).

[6] 劉曉輝.網管從業寶典——交換機路·由器·防火墻.重慶:重慶大學出版社， 2008-5-9，81-86， 117-185，270-275，371-400.

[7] 吳昕，李之棠.并行防火墻研究[J].計算機工程與科學，2000，22(2):54-57.

[8] 林曉東，楊義先.網絡防火墻技術[J].電信科學，1997，13(3):41-43.

[9] 張云鵬.網絡安全與防護技術的研究及應用[D].中國優秀博碩士學位論文全文數據庫，2006(6).

[10] 黃世權.防火墻集群系統的架構與實現研究[J].計算機應用與軟件.2006(6).

[11] 崔偉，齊競艷，黃皓.全狀態防火墻雙機熱備份的設計與實現[J].計算機應用研究，2004，21(12).