发布时间:2010-06-07
1.概述
随着计算机技术和网络技术的普及,网络安全问题也越来越得到关注。防火墙作为出现最早,发展最成熟的安全设备,已成为安全部署的首要选择。作为维护网络安全的关键设备,防火墙的目的就是在信任网络(区域)和非信任网络(区域)之间建立一道屏障,并实施相应的安全策略。应该说,在网络中应用防火墙是一种非常有效的网络安全手段。
防火墙诞生以来,技术发展总共经历了三个主要的发展阶段:包过滤技术、应用代理技术、状态检测技术。目前,获得普遍认同的是状态检测技术,因为该技术的安全性、性能都比较优良,所以得到了广泛的应用。
在以上发展阶段中,出现了许多有特点的技术,虚拟防火墙技术也应运而生。虚拟防火墙可以在一个单一的硬件平台上提供多个虚拟的防火墙实例。所有常规的防火墙功能及其与外部世界的互动——独立管理、独立配置,以及每个虚拟防火墙的各种内部组件——例如安全策略、路由表、NAT转换等,都将被虚拟化。
2.虚拟防火墙介绍
虚拟防火墙就是可以将一台防火墙在逻辑上划分成多台虚拟的防火墙,每个虚拟防火墙系统都可以被看成是一台完全独立的防火墙设备,可拥有独立的系统资源、管理员、安全策略、用户认证数据库等。
3.虚拟防火墙基本需求
将一台防火墙配置为两个虚拟系统VS1和VS2或更多,并且允许所有的通讯。使接口fe2和接口fe1的子接口fe1. 01属于VS1,可以互相通信(即:默认网关为fe1.01的主机pc1可以访问server);使接口fe1的子接口fe1.02属于VS2,不能与VS1中的任何接口通信(即:默认网关为fe1.02的主机pc2不能访问server),实现不同虚系统间的隔离。
4.锐捷网络虚拟防火墙典型配置
MCE基本概念:
◆ 一台设备模拟多个CE实例,减少设备量,减少成本。
◆ 各虚拟CE实例间业务隔离,保证数据安全。
◆ MCE和PE间多条逻辑连接可用以太网子接口来实现。
5.信息流分类
基于接口或基于子接口(VLAN):
当采用基于 VLAN 的信息流分类时,安全设备使用VLAN 标记将信息流方向引导至与不同系统绑定的各种子接口。
当vsys绑定到trust区段的子接口(非专用物理接口)时,区段中的内部交换机和内部路由器必须能够支持VLAN。如果在某一物理接口上创建了多个子接口,则必须将连接交换机的端口定义为中继端口并使其成为使用该端口的所有 VLAN 中的成员。
当 vsys绑定到 Untrust 区段的子接口 ( 非专用物理接口)时,接收其入站和出站信息流的外部交换机和外部路由器必须能够支持 VLAN。路由器会对内向帧进行标记,以便当内向帧到达安全设备时,路由器可以将其导向正确的子接口,vsys 不能处于“透明”模式 ( 因为它要求接口或子接口 IP 地址必须唯一)。要为 vsys 创建 VLAN,根级管理员必须执行以下三个任务:
1.进入根系统。
2.定义好接口与vsys id。
3.将vsys id与 VLAN 关联。
配置完成后,归属同一虚系统的主机可以互相访问,如同属vsys1的主机可以互通。但vsys1与vsys2之间无法通信。
基于接口+IP:对于内部trust区域,可以对指定IP的归属进行设置。可设置该IP归属于指定虚系统vsys1,或者屏蔽掉该IP的虚系统ID。从而支持该IP即能访问虚系统,又能屏蔽虚系统概念访问非虚系统。
例如,可以设定内部区段的client1:192.168.10.10归属vsys1,则client1只能与归属同一虚系统的主机通信,无法访问互联网。如果设定屏蔽掉client1的虚系统ID,则client1就不再归属vsys1,无法访问归属vsys1的服务,但是可以访问互联网。
虚系统路由表:
每个虚系统对应一张路由表,进入该虚系统的数据包将根据该虚系统的路由表来决定数据包的走向,如果找不到路由则做丢弃处理。如果屏蔽内部IP的虚系统ID,将对该IP发起的数据包做特殊处理,不会去查询虚系统的路由表。直接根据根系统路由表的查询结果进行路由。
6.锐捷网络虚拟防火墙技术特点:
◆ 部署灵活,简化网络结构
可以十分灵活的对防火墙划分资源,各虚拟防火墙间互相独立、互不影响。修改或撤消某个安全区域也不需要修改网络拓扑,网络整体结构大大的得到简化。
◆ 易于管理
将多台防火墙缩减为一台防火墙后,管理员只需对该台防火墙进行管理,大大减轻了工作量。同时也最大程度的减少了故障点。
◆ 节省投资
只需购买一台防火墙设备,即可当成若干台防火墙来使用,很大程度上节省了企业在网络安全的投资,甚至可以成为企业为用户提供的一种增值服务。
文档评价
