防火墻雙機(jī)熱備設(shè)計與應(yīng)用

孫中諾

摘 要 防火墻內(nèi)外網(wǎng)通信，可通過防火墻信任區(qū)域與非信任區(qū)域，采用防火墻安全策略，實現(xiàn)內(nèi)外網(wǎng)絡(luò)通信。使用單臺防火墻可實現(xiàn)數(shù)據(jù)正常轉(zhuǎn)發(fā)，但單臺設(shè)備容易造成網(wǎng)絡(luò)不可靠。一旦直連鏈路或設(shè)備故障將會造成網(wǎng)絡(luò)中斷，內(nèi)外網(wǎng)無法正常通信。為了解決單點故障，采用防火墻雙機(jī)熱備組網(wǎng)方式，基于虛擬組管理協(xié)議，其中一臺為主防火墻，另一臺為備用防火墻，正常情況下主防火墻負(fù)責(zé)數(shù)據(jù)正常轉(zhuǎn)發(fā)，當(dāng)主防火墻或直連鏈路故障，備用防火墻擔(dān)任主防火墻角色，實現(xiàn)鏈路數(shù)據(jù)正常轉(zhuǎn)發(fā)，確保網(wǎng)絡(luò)穩(wěn)定性和可靠性。

【關(guān)鍵詞】安全區(qū)域 虛擬組管理協(xié)議 心跳線

1 防火墻雙機(jī)熱備拓?fù)浣Y(jié)構(gòu)與需求

需求（如圖1）：

（1）按照網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)，給出相應(yīng)設(shè)備IP地址信息，華為防火墻USG5500FW1與USG5500FW2 g0/0/1端口屬于trust區(qū)域，g0/0/2端口屬于untrust區(qū)域，g0/0/3端口屬于dmz區(qū)域，全網(wǎng)采用OSPF路由協(xié)議，實現(xiàn)AR1能夠與AR2正常通信。

（2）FW1為主防火墻，F(xiàn)W2為備用防火墻，通過心跳線，將防火墻配置信息和工作狀態(tài)傳遞給備用防火墻。當(dāng)FW1防火墻出現(xiàn)故障或直連鏈路出現(xiàn)故障，主防火墻FW1失效，F(xiàn)W2備用防火墻擔(dān)任主防火墻角色，實現(xiàn)鏈路數(shù)據(jù)正常轉(zhuǎn)發(fā)。

（3）當(dāng)主防火墻FW1恢復(fù)正常，備用防火墻FW2交還防火墻Master角色，繼續(xù)作為Backup角色。

2 安全區(qū)域

安全區(qū)域是一個或者多個接口所連接的網(wǎng)絡(luò)。防火墻提供缺省安全區(qū)域，本地區(qū)域（Local）、信任區(qū)域（Trust）、非軍事化區(qū)域（Dmz）、非信任區(qū)域（Untrust）， 本地區(qū)域優(yōu)先級為100，信任區(qū)域優(yōu)先級為85、非軍事化區(qū)域優(yōu)先級為50、非信任區(qū)域優(yōu)先級為5。優(yōu)先級的值越大，安全級別越高。同一安全區(qū)域發(fā)送數(shù)據(jù)，不存在安全風(fēng)險，不同區(qū)域之間發(fā)送數(shù)據(jù)會執(zhí)行區(qū)域安全策略。

FW1防火墻配置：

[FW1]firewall zone trust 進(jìn)入防火墻trust區(qū)域[FW1-zone-trust]add interface g0/0/1 將g0/0/1端口加入到trust區(qū)域

[FW1]firewall zone untrust進(jìn)入防火墻untrust區(qū)域

[FW1-zone-untrust]add interface g0/0/2將g0/0/2端口加入到untrust區(qū)域

[FW1]firewall zone dmz 進(jìn)入防火墻dmz區(qū)域

[FW1-zone-untrust]add interface g0/0/3將g0/0/3端口加入到dmz區(qū)域

同理防火墻FW2做相應(yīng)的配置。

3 虛擬組管理協(xié)議（VGMP）

內(nèi)外網(wǎng)正常通信，可利用單臺防火墻多個區(qū)域進(jìn)行數(shù)據(jù)轉(zhuǎn)發(fā)，但單臺設(shè)備出現(xiàn)故障會造成網(wǎng)絡(luò)中斷，容易形成單點故障，網(wǎng)絡(luò)的可靠性也比較差。采用兩臺防火墻，增強(qiáng)網(wǎng)絡(luò)的可靠性，基于虛擬路由冗余協(xié)議VRRP，采用備份組方式，一臺為主設(shè)備、另一臺為備用設(shè)備，起到冗余的效果，增強(qiáng)網(wǎng)絡(luò)的可靠性。但防火墻的數(shù)據(jù)轉(zhuǎn)發(fā)，僅僅利用VRRP是無法正常進(jìn)行數(shù)據(jù)轉(zhuǎn)發(fā)，每個報文在匹配路由的同時，還要進(jìn)行狀態(tài)的匹配，因此VRRP無法滿足防火墻的雙機(jī)熱備，必須利用到虛擬組管理協(xié)議（VGMP）。

虛擬組管理協(xié)議基于虛擬路由冗余協(xié)議，將同一臺防火墻上的多個VRRP組都加入到一個VRRP管理組，由管理組統(tǒng)一管理所有VRRP組。通過統(tǒng)一控制各VRRP組狀態(tài)統(tǒng)一切換，來保證管理組內(nèi)的所有VRRP組狀態(tài)都是一致的。

4 心跳線

在防火墻雙機(jī)熱備組網(wǎng)中，主防火墻或直連鏈路出現(xiàn)故障，所有流量將切換到備防火墻。USG防火墻是狀態(tài)防火墻，如果備防火墻上沒有原來主防火墻上會話表等連接狀態(tài)數(shù)據(jù)，則備防火墻流量將無法通過防火墻，造成現(xiàn)有網(wǎng)絡(luò)的連接中斷。華為冗余協(xié)議（HRP）能夠通過心跳線將主防火墻關(guān)鍵配置和連接狀態(tài)傳遞給備用防火墻，真正實現(xiàn)雙機(jī)熱備。

5 防火墻安全策略

防火墻通過一定的規(guī)則設(shè)置，來控制數(shù)據(jù)流轉(zhuǎn)發(fā)和數(shù)據(jù)流安全監(jiān)測的策略，實現(xiàn)區(qū)域之間、區(qū)域內(nèi)部和接口包過濾相關(guān)的控制。

HRP_M[FW1]policy interzone trust untrust outbound從信任安全區(qū)域到非信任安全區(qū)域做策略

HRP_M[FW1-policy-interzone-trust-untrust-outbound]policy 1策略名稱為1

HRP_M[FW1-policy-interzone-trust-untrust-outbound-1]policy source 10.1.1.0 0.0.0.255 源IP地址為10.1.1.0網(wǎng)段

HRP_M[FW1-policy-interzone-trust-untrust-outbound-1]policy destination any目標(biāo)地址為任意網(wǎng)絡(luò)

HRP_M[FW1-policy-interzone-trust-untrust-outbound-1]action permit動作為允許訪問

FW2為備用防火墻，通過心跳線會同步到FW1的策略。

此時從路由器R1能夠ping通路由器R2，主防火墻FW1負(fù)責(zé)轉(zhuǎn)發(fā)，當(dāng)防火墻FW1或直連鏈路出現(xiàn)故障，備用防火墻FW2會成為主防火墻，保證鏈路的正常通信。

6 結(jié)語

防火墻雙機(jī)熱備組網(wǎng)技術(shù)，有效解決了單臺防火墻因設(shè)備或直連鏈路故障，造成內(nèi)外網(wǎng)絡(luò)通信中斷，網(wǎng)絡(luò)不可靠等問題。防火墻雙機(jī)熱備技術(shù)，保證網(wǎng)絡(luò)可靠性的同時，能夠起到設(shè)備和鏈路冗余目的，數(shù)據(jù)流量快速切換作用，保證了業(yè)務(wù)的不間斷運行。

參考文獻(xiàn)

[1]徐慧洋.華為防火墻技術(shù)漫談[M].人民郵電出版社，2015.

[2]華為技術(shù)有限公司.HCNP路由交換實驗指南[M].人民郵電出版社，2014.

[3]王達(dá).華為交換機(jī)學(xué)習(xí)指南[M].人民郵電出版社，2014.

作者單位

德州科技職業(yè)學(xué)院 山東省德州市 251200