出口网络设计
安全区域设计
安全区域介绍
安全区域(Security Zone),简称为区域(Zone),是一个或多个接口所连网络的集合,这些网络中的用户具有相同的安全属性。大部分的安全策略都基于安全区域实施。通过安全区域,防火墙上划分出了等级森严、关系明确的网络,防火墙成为连接各个网络的节点。防火墙通过安全区域来划分网络、标识报文流动的“路线”,当报文在不同的安全区域之间流动时,才会触发安全检查,并实施相应的安全策略。安全区域之间默认是隔离的。
通常情况下,三个安全区域,分别是Trust、DMZ和Untrust:
- Trust区域,该区域内网络的受信任程度高,通常用来定义内部用户所在的网络。
- DMZ区域,该区域内网络的受信任程度中等,通常用来定义内部服务器所在的网络。
- Untrust区域,该区域代表的是不受信任的网络,通常用来定义Internet等不安全的网络。
安全区域规划
一般可以认为园区内网是安全的,安全威胁主要来自外界,所以把Internet划分为Untrust区域,园区内网划分为Trust区域,在园区出口位置部署安全设备来做内外网隔离,抵御外网威胁。数据中心区域一般划分为DMZ区域,在DMZ区域部署防火墙来做园区内网与数据中心各服务器之间的流量隔离。
在园区虚拟化方案中,对于用户网关位于Fabric网络内部时,Fabric网络外部网络资源的每一个出口对应防火墙上的一个三层的逻辑接口,在外部网络资源的出口规划时已经根据具有相同安全策略的虚拟网络按照不同的逻辑出口进行划分,因此在本方案中,可以直接根据外部网络资源的接口进行安全区域的划分,每一个逻辑接口绑定一个安全区域,如图2-49。对于用户网关位于Fabric网络外部时,需要根据网关对应的安全策略,将不同网关绑定相应的安全区域。
双机热备设计
防火墙作为出口设备时,建议部署双机热备来提升防火墙的可靠性。如图2-50所示,防火墙作为园区网络出口设备与核心交换机直连,两台防火墙设备配置双机热备功能,互联的Eth-Trunk链路作为主备通道,当主用防火墙发生故障后,备用防火墙可以接替主用防火墙,进行业务报文的转发。
出口路由设计
园区网络的出口路由主要满足园区内网与外部网络的南北向互通。在采用防火墙作为出口设备时,防火墙到外部网络路由、防火墙与核心交换机间的路由都需要考虑。
防火墙到外部网络路由:智能选路设计
如果园区连接的外部ISP网络比较单一,不需要对访问外部网络的路由做精确控制,可以在防火墙上配置缺省路由,下一跳为ISP网络的PE设备。
对于园区网络连接了不同的ISP网络场景,由于用户可以通过不同的ISP访问互联网资源,为了合理利用出口链路和保证出口访问的质量,建议在防火墙设备上配置智能选路功能。对于该场景推荐部署基于ISP选路功能,通过ISP选路功能可以使访问特定ISP网络的流量从相应出接口转发出去,保证流量转发使用最短路径。
如图2-51所示,防火墙拥有两条属于不同ISP网络的出口链路。当园区网络用户访问ISP2中的Server1时,如果防火墙上存在等价路由,则防火墙可以通过两条不同的路径到达Server1。其中,路径1显然不是最优路径,路径2才是用户所期望的路径。配置ISP选路功能后,当内网用户访问Server1时,防火墙会根据目的地址所在ISP网络选择相应的出接口,从而使访问流量通过最短路径到达服务器,如图2-51中的路径2。
防火墙与核心交换机间路由设计
防火墙与核心交换机间包括南北向的路由:核心交换机上园区内网到外部网络的路由;防火墙上外部网络到园区内网的回程路由。在大中型园区虚拟化方案中,Fabric设计的外部网络资源模型,作为Border的核心交换机与防火墙间三层互联所采用的路由协议,可以选择静态路由、OSPF和BGP三种。防火墙通常会部署双机热备来保证设备可靠性,在主备倒换场景下如何实现业务流量路径的切换,是路由协议选择的主要考虑因素。
- 静态路由
如果防火墙基于VRRP实现主备备份的双机热备,此时建议采用静态路由。如图2-52所示,核心交换机上配置缺省的静态路由,下一跳地址为VRRP备份组的虚拟IP地址。主用防火墙的VRRP备份组状态为主用状态时,会响应核心交换机包含虚拟IP地址的ARP请求,使得核心交换机上的业务流量都被引导到主用防火墙处理。
当主用防火墙发生故障时,备用防火墙的VRRP备份组状态会切换成主用状态,而且会广播免费ARP报文,报文中携带VRRP备份组的虚拟IP地址和接口的MAC地址(开启接口虚MAC地址功能时,携带虚MAC地址)。核心交换机收到免费ARP报文后会刷新ARP缓存表。这样,业务流量路径会切换到备用防火墙上。
- 动态路由
如果防火墙不部署VRRP,也可以通过动态路由来实现业务流量路径的自动切换,此时需要在备用防火墙上配置hrp standby-device命令,将其指定为备机。如图2-53所示,以OSPF路由协议为例,主备防火墙都正常工作时,主用防火墙按照OSPF配置正常发布路由,而备用防火墙发布的OSPF路由开销值则被调整为65500(缺省值,可修改为其他数值)。核心交换机在转发流量时会选择开销更小的路径,业务流量都被引导到主用防火墙上转发。
当主用防火墙发生故障时,备用防火墙会切换成主用状态,而且VGMP组(VRRP Group Management Protocol,用于双机热备的主备状态管理)会对OSPF开销值进行调整:主用防火墙发布的OSPF路由开销值被调整为65500,备用防火墙发布的OSPF路由开销值被调整为1。路由完成收敛后,业务流量路径会切换到备用防火墙上。
对于核心交换机与防火墙采用不同路由协议时的具体部署细节,可参考Fabric网络设计中的外部网络设计。
安全策略设计
NAT设计
NAT(Network Address Translation)是一种地址转换技术,支持将报文的源地址进行转换,也支持将报文的目的地址进行转换。对于园区网络内网使用私网地址时,若需要同Internet互通,需配置NAT功能。如图2-55所示,防火墙做出口设备时,NAT配置有以下规划注意点:
- 若内网为私网IP地址时,用户流量通过防火墙访问互联网时,需要采用源NAT技术将报文的源IP地址转换成公网IP地址。推荐采用NAPT的方式,转换时同时转换地址和端口,实现多个私网地址共用一个或多个公网地址的地址转换方式。适用于公网地址数量少,需要上网的私网用户数量大的场景。
- 若内网服务器资源作为服务器端向公网用户提供服务器端相关服务时,需要采用目的NAT技术将公网用户的访问流量对应的目的IP和端口号转换成服务器端在内网环境的IP地址和端口号,完成服务提供。
- 在防火墙双机热备主备模式下,如果NAT地址池中的地址与FW的上行接口的VRRP备份组地址在同一网段,那么外网返回的回程报文到达PE设备后,PE设备会广播ARP报文请求NAT地址池中地址对应的MAC地址。由于两台FW上有相同的NAT地址池配置,所以两台FW都会将自身上行接口的MAC地址回应给PE设备。因此在这种场景下需在防火墙设备上配置NAT地址池与防火墙双机热备的状态进行绑定,仅让双机热备的主设备应答PE设备的ARP请求。
