H3C SecPath虚拟防火墙技术白皮书(V1.00)

H3C SecPath虚拟防火墙技术白皮书(V1.00)

SecPath虚拟防火墙技术白皮书

关键词：虚拟防火墙MPLS VPN

摘要：本文介绍了H3C公司虚拟防火墙技术和其应用背景。描述了虚拟防火墙的功能特色，并介绍了H3C公司具备虚拟防火墙功能的独立防火墙和防火墙插板产品的组网环境应用。

缩略语清单：

1 概述

1.1 新业务模型产生新需求

1.2 新业务模型下的防火墙部署

1.2.1 传统防火墙的部署缺陷

1.2.2 虚拟防火墙应运而生

2 虚拟防火墙技术

2.1 技术特点

2.2 相关术语

2.3 设备处理流程

2.3.1 根据入接口数据流

2.3.2 根据Vlan ID数据流

2.3.3 根据目的地址数据流

3 典型组网部署方案

3.1 虚拟防火墙在行业专网中的应用

3.1.1 MPLS VPN组网的园区中的虚拟防火墙部署一3.1.2 MPLS VPN组网的园区中的虚拟防火墙部署二3.1.3 虚拟防火墙提供对VPE的安全保护

3.2 企业园区网应用

4 总结

1.1 新业务模型产生新需求

目前，跨地域的全国性超大企业集团和机构的业务规模和管理复杂度都在急剧的增加，传统的管理运营模式已经不能适应其业务的发展。企业信息化成为解决目前业务发展的关键，得到了各企业和机构的相当重视。现今，国内一些超大企业在信息化建设中投入不断增加，部分已经建立了跨地域的企业专网。有的企业已经达到甚至超过了IT-CMM3的级别，开始向IT-CMM4迈进。

另一方面，随着企业业务规模的不断增大，各业务部门的职能和权责划分也越来越清晰。各业务部门也初步形成了的相应不同安全级别的安全区域，比如，OA和数据中心等。由于SOX等法案或行政规定的颁布应用，各企业或机构对网络安全的重视程度也在不断增加。对企业重点安全区域的防护要求越来越迫切。

因此，对企业信息管理人员来说，如何灵活方便的实现企业各业务部门的安全区域划分和安全区域之间有控制的互访成为其非常关注的问题。这也对安全区域隔离“利器”――防火墙提出了更高的要求。

1.2 新业务模型下的防火墙部署

目前许多企业已经建设起自己的MPLS VPN专网，例如电力和政务网。下面我们以MPLS VPN组网为例介绍在新的业务模型下防火墙的如何实现对各相互独立的业务部门进行各自独立的安全策略部署呢？

1.2.1 传统防火墙的部署缺陷

面对上述需求，业界通行的做法是在园区各业务VPN前部署防火墙来完成对各部门的安全策略部署实现对部门网络的访问控制。一般部署模式如下图所示：

图1-1 传统防火墙部署方式

然而，由于企业业务VPN数量众多，而且企业业务发展迅速。显而易见的，这种传统的部署模式已经不太适应现有的应用环境，存在着如下的不足：

⏹为数较多的部门划分，导致企业要部署管理多台独立防火墙，导致拥有和维护成本较高

⏹集中放置的多个独立防火墙将占用较多的机架空间，并且给综合布线带来额外的复杂度

⏹由于用户业务的发展，VPN的划分可能会发生新的变化。MPLS VPN以逻辑形式的实现，仅仅改

动配置即可方便满足该需求。而传统防火墙需要发生物理上的变化，对用户后期备件以及管理

造成很大的困难

⏹物理防火墙的增加意味着网络中需要管理的网元设备的增多。势必增加网络管理的复杂度

1.2.2 虚拟防火墙应运而生

为了适应这种业务模式。虚拟防火墙技术应运而生。虚拟防火墙通过在同一台物理设备上划分多个逻辑的防火墙实例来实现对多个业务VPN的独立安全策略部署。也可以利用这种逻辑防火墙的部署的灵活性来来实现企业网络的对新业务的适应性。虚拟防火墙诞生以后，对用户来说其部署模式变为如图所示：

图1-2 虚拟防火墙部署模型

如上图所示，在MPLS网络环境中，在PE与CE之间部署一台物理防火墙。利用逻辑划分的多个防火墙实例来部署多个业务VPN的不同安全策略。这样的组网模式极大的减少了用户拥有成本。随着业务的发展，当用户业务划分发生变化或者产生新的业务部门时，可以通过添加或者减少防火墙实例的方式十分灵活的解决后续网络扩展问题，在一定程度上极大的降低了网络安全部署的复杂度。

另一方面，由于以逻辑的形式取代了网络中的多个物理防火墙。极大的减少了企业运维中需要管理维护的网络设备。简化了网络管理的复杂度，减少了误操作的可能性。

2 虚拟防火墙技术

2.1 技术特点

为了解决传统防火墙部署方式存在的不足，H3C公司推出了虚拟防火墙特性，旨在解决复杂组网环境中大量VPN的独立安全策略需求所带来的网络拓扑复杂、网络结构扩展性差、管理复杂，用户安全拥有成本高等几大问题。

虚拟防火墙是一个逻辑概念，可以在一个单一的硬件平台上提供多个防火墙实体，即，将一台防火墙设备在逻辑上划分成多台虚拟防火墙，每台虚拟防火墙都可以被看成是一台完全独立的防火墙设备，可拥有独立的管理员、安全策略、用户认证数据库等。每个虚拟防火墙能够实现防火墙的大部分特性。每个虚拟防火墙之间相互独立，一般情况下不允许相互通信。

SecPath/SecBlade虚拟防火墙具有如下技术特点：

⏹每个虚拟防火墙维护自己一组安全区域

⏹每个虚拟防火墙维护自己的一组资源对象（地址/地址组，服务/服务组等）

⏹每个虚拟防火墙维护自己的包过滤策略

⏹每个虚拟防火墙维护自己的ASPF策略、NAT策略、ALG策略

⏹限制每个虚拟防火墙占用资源数：防火墙Session以及ASPF Session数目

2.2 相关术语

(1)安全区域

防火墙使用安全区域的概念来表示与其相连接的网络。防火墙预先定义了四个安全区域，这些安全区域也称为系统安全区域，分别为Local区域、Trust区域、Untrust区域和DMZ区域。这些区域分别代表了不同的安全级别，安全级别由高到低依次为Local、Trust、DMZ、Untrust。

(2)专有接口、共享接口与公共接口

专有接口：防火墙采用专有接口表示只属于某个特定虚拟防火墙的接口。该接口必须通过ip binding vpn-instance命令完成绑定到一个指定的vpn实例。

共享接口：防火墙采用共享接口表示可被多个指定的虚拟防火墙共同享有的接口。该接口必须通过nat server vpn-instance命令或nat outbound static命令关联到一个或多个指定的vpn实例。

公共接口：特指区别于专有接口和共享接口的其他接口。

(3)NAT多实例

在访问控制列表的规则rule中配置vpn-instance vpn-instance-name，指明哪个虚拟防火墙需要进行地址转换，即可以实现对虚拟防火墙NAT多实例的支持。

(4)ASPF多实例

在接口下引用ASPF中配置vpn-instance vpn-instance-name，指明哪个虚拟防火墙需要ASPF的处理，即可实现虚拟防火墙ASPF多实例的支持。

(5)包过滤多实例

在ACL配置子规则时增加vpn-instance vpn-instance-name，指明此规则对哪个虚拟防火墙生效，即可实现虚拟防火墙包过滤多实例的支持。

(6)资源限制

防火墙使用资源限制的可完成各个虚拟防火墙的Session限制。可根据不同的流量背景，对对应的虚拟防火墙在vpn视图下通过firewall session limit 以及aspf session limit等进行限制。

2.3 设备处理流程

虚拟防火墙是一个逻辑上的概念，每个虚拟防火墙都是VPN实例和安全实例的综合体，能够为虚拟防火墙用户提供私有的路由转发业务和安全服务。每个虚拟防火墙中可以包含三层接口、二层物理接口、二层VLAN 子接口和二层Trunk接口+VLAN。默认情况下，所有的接口都属于根防火墙实例（Root），如果希望将部分接口划分到不同的虚拟防火墙，必须创建虚拟防火墙实例，并且将接口加入虚拟防火墙中。根虚拟防火墙不需要创建，默认存在。

VPN实例与虚拟防火墙是一一对应的，它为虚拟防火墙提供相互隔离的VPN路由，与虚拟防火墙相关的信息主要包括：VPN路由以及与VPN实例绑定的接口。VPN路由将为转发来自与VPN实例绑定的接口的报文提供路由支持。

安全实例为虚拟防火墙提供相互隔离的安全服务，同样与虚拟防火墙一一对应。安全实例具备私有的ACL 规则组和NAT地址池；安全实例能够为虚拟防火墙提供地址转换、包过滤、ASPF和NAT ALG等私有的安全服务。