USG5530S防火墙更换Juniper SSG防火墙导致业务中断

发布时间:  2014-09-04 浏览次数:  662 下载次数:  0
问题描述
客户使用华为USG5530S防火墙升级替代原有Juniper SSG550M防火墙,组网如下图所示:


原有Juniper SSG550M防火墙的4个接口分别在4个区域。1号和2号接口划分在两个不同的L3安全区域,接口配置IP地址,2号和3号接口则划分在两个不同的L2安全区域,没有配置IP地址,允许所有VLAN通过;

华为USG5530S防火墙设备为替代升级,把Juniper SSG550M防火墙的配置转换后实现接口1对1的连线替代SSG550M防火墙,完成升级。

在测试过程中发现PC终端B到互联网服务器C业务不通,而同一二层网络的PC终端A则可以正常访问;

告警信息
处理过程
通过简单把接口切换成二层接口并加入安全区域在此案例应用中并不适用,主要检查的“六元组”信息中,从PC终端B到服务器C的流量中有“五元组”是相同的,因此只能通过VPN实例这一项进行区分。
通过VPN实例,也就是虚拟防火墙特性便可以解决这个问题,如下图所示。



通过配置VPN实例,把VLAN加入对应的实例,把不同的接口加入对应安全区域,解决了故障问题。
主要配置参考如下:
#
ip vpn-instance VF1
route-distinguisher 1:1
#
vlan 5
binding vpn-instance VF1
#
firewall zone vpn-instance VF1 vf_in
add interface GigabitEthernet0/0/2
#
firewall zone vpn-instance VF1 vf_out
add interface GigabitEthernet0/0/3
#
#
interface GigabitEthernet0/0/2
portswitch
port link-type trunk
port trunk permit vlan 5
#
interface GigabitEthernet0/0/3
portswitch
port link-type trunk
port trunk permit vlan 5
#
根因
根据问题现象进行测试,最后发现PC终端B所在的区域访问互联网或USG5530S三层接口(local区域)这种类型的访问就不通(报文被丢弃),流量走向如下图所示:




排除了常见的如配置错误和区域策略等问题,上述现象简单描述就是:流量从G0/0/3经过G0/0/2离开防火墙,再进入防火墙时,此时流量再去往其它区域时将被防火墙丢弃;

以PC终端B到服务器C的流量为例,分析可能存在的问题:

流量到达防火墙G0/0/3接口进入防火墙,由于是二层接口,因此流量将通过防火墙G0/0/2接口转发,同时防火墙创建会话表,会话表如下图所示;
http  VPN:public --> public 192.168.5.200:3627-->200.1.1.1:80

流量从防火墙G0/0/2接口离开后经过交换机后又将从G0/0/1进入防火墙,流量的五元组信息和刚才一样没有发生改变。

USG防火墙对会话的在全局只检查VPN实例、协议、源IP、目的IP、源端口、目的端口,就是五元组加上VPN实例的“六元组”,根据六元组信息匹配流量。由于并不检查报文的出入安全区域信息,所以防火墙认为会话不匹配丢弃报文导致了故障现象的发生。


建议与总结
1、 在替代设备升级场景时,需要对原有设备使用的每部分功能进行详细理解并转换成正确的配置文件在替代设备中进行测试,测试完成再进行替代;

2、 华为防火墙在会话匹配中与JUNIPER设备处理机制不同:华为USG不检查流量进出的安全区域信息,而JUNIPER SSG检查区域信息,在类似场景下需要注意这点区别;

3、 USG5530S默认支持10个VRF,由于每个二层VLAN绑定时需要对应一个VRF,需要注意VLAN数量是否超过VRF支持数量;

END