SecPath虚拟防火墙技术白皮书

SecPath 虚拟防火墙技术白皮书

关键词：虚拟防火墙MPLS VPN

摘要：本文介绍了H3C 公司虚拟防火墙技术和其应用背景。描述了虚拟防火墙的功能特色，并介绍了H3C 公司具备虚拟防火墙功能的独立防火墙和防火墙插板产品的组网环境应用。

缩略语清单：

目录

1 概述 (3)

1.1 新业务模型产生新需求 (3)

1.2 新业务模型下的防火墙部署 (3)

1.2.1 传统防火墙的部署缺陷 (3)

1.2.2 虚拟防火墙应运而生 (4)

2 虚拟防火墙技术 (5)

2.1 技术特点 (5)

2.2 相关术语 (6)

2.3 设备处理流程 (7)

2.3.1 根据入接口数据流 (7)

2.3.2 根据Vlan ID数据流 (7)

2.3.3 根据目的地址数据流 (8)

3 典型组网部署方案 (8)

3.1 虚拟防火墙在行业专网中的应用 (8)

3.1.1 MPLS VPN组网的园区中的虚拟防火墙部署一 (9)

3.1.2 MPLS VPN组网的园区中的虚拟防火墙部署二 (10)

3.1.3 虚拟防火墙提供对VPE的安全保护 (10)

3.2 企业园区网应用 (11)

4 总结 (12)

1 概述

1.1 新业务模型产生新需求

目前，跨地域的全国性超大企业集团和机构的业务规模和管理复杂度都在急剧的增

加，传统的管理运营模式已经不能适应其业务的发展。企业信息化成为解决目前业

务发展的关键，得到了各企业和机构的相当重视。现今，国内一些超大企业在信息

化建设中投入不断增加，部分已经建立了跨地域的企业专网。有的企业已经达到甚

至超过了IT-CMM3 的级别，开始向IT-CMM4 迈进。

另一方面，随着企业业务规模的不断增大，各业务部门的职能和权责划分也越来越

清晰。各业务部门也初步形成了的相应不同安全级别的安全区域，比如，OA 和数据中

心等。由于SOX 等法案或行政规定的颁布应用，各企业或机构对网络安全的重视程

度也在不断增加。对企业重点安全区域的防护要求越来越迫切。

因此，对企业信息管理人员来说，如何灵活方便的实现企业各业务部门的安全区域

划分和安全区域之间有控制的互访成为其非常关注的问题。这也对安全区域隔离“利

器”――防火墙提出了更高的要求。

1.2 新业务模型下的防火墙部署

目前许多企业已经建设起自己的MPLS VPN 专网，例如电力和政务网。下面我们以

MPLS VPN 组网为例介绍在新的业务模型下防火墙的如何实现对各相互独立的业务

部门进行各自独立的安全策略部署呢？

1.2.1 传统防火墙的部署缺陷

面对上述需求，业界通行的做法是在园区各业务VPN 前部署防火墙来完成对各部门

的安全策略部署实现对部门网络的访问控制。一般部署模式如下图所示：

图1-1 传统防火墙部署方式

然而，由于企业业务VPN 数量众多，而且企业业务发展迅速。显而易见的，这种传

统的部署模式已经不太适应现有的应用环境，存在着如下的不足：•为数较多的部门划分，导致企业要部署管理多台独立防火墙，导致拥有和维护成本较高•集中放置的多个独立防火墙将占用较多的机架空间，并且给综合布线带来额外的复杂度•由于用户业务的发展，VPN 的划分可能会发生新的变化。MPLS VPN 以逻辑形式的实现，仅仅改动配置即可方便满足该需求。而传统防火墙需要发生物理上的变化，对用户后期备件以及管理造成很大的困难

•物理防火墙的增加意味着网络中需要管理的网元设备的增多。势必增加网络管理的复杂度

1.2.2 虚拟防火墙应运而生

为了适应这种业务模式。虚拟防火墙技术应运而生。虚拟防火墙通过在同一台物理

设备上划分多个逻辑的防火墙实例来实现对多个业务VPN 的独立安全策略部署。也

可以利用这种逻辑防火墙的部署的灵活性来来实现企业网络的对新业务的适应性。

虚拟防火墙诞生以后，对用户来说其部署模式变为如图所示：

图1-2 虚拟防火墙部署模型

如上图所示，在MPLS 网络环境中，在PE 与CE 之间部署一台物理防火墙。利用

逻辑划分的多个防火墙实例来部署多个业务VPN 的不同安全策略。这样的组网模式

极大的减少了用户拥有成本。随着业务的发展，当用户业务划分发生变化或者产生

新的业务部门时，可以通过添加或者减少防火墙实例的方式十分灵活的解决后续网

络扩展问题，在一定程度上极大的降低了网络安全部署的复杂度。

另一方面，由于以逻辑的形式取代了网络中的多个物理防火墙。极大的减少了企业

运维中需要管理维护的网络设备。简化了网络管理的复杂度，减少了误操作的可能

性。

2 虚拟防火墙技术

2.1 技术特点

为了解决传统防火墙部署方式存在的不足，H3C 公司推出了虚拟防火墙特性，旨在

解决复杂组网环境中大量VPN 的独立安全策略需求所带来的网络拓扑复杂、网络结

构扩展性差、管理复杂，用户安全拥有成本高等几大问题。

虚拟防火墙是一个逻辑概念，可以在一个单一的硬件平台上提供多个防火墙实体，

即，将一台防火墙设备在逻辑上划分成多台虚拟防火墙，每台虚拟防火墙都可以被

看成是一台完全独立的防火墙设备，可拥有独立的管理员、安全策略、用户认证数

据库等。每个虚拟防火墙能够实现防火墙的大部分特性。每个虚拟防火墙之间相互

独立，一般情况下不允许相互通信。

SecPath/SecBlade 虚拟防火墙具有如下技术特点：

每个虚拟防火墙维护自己一组安全区域