實例解讀:UTM雙機熱備和虛擬域功能
原創【51CTO.com 獨家特稿】目前,人們在享受網絡帶給人們工作、生活種種便利的同時,也飽受著各種各樣網絡安全問題的威脅,例如病毒、蠕蟲、垃圾郵件、網站釣魚和間諜軟件等等。針對這些不安全的因素,我們需要在網絡中部署不同的設備去對付它,例如防火墻、IPS、VPN、IDS和漏洞掃描等等。但同時部署這些不能相互通訊的多種網絡安全產品,不僅提高了網絡的復雜性,而且還增加了管理操作成本。這其實不是最佳的部署模式。
UTM(Unified Threat Management,統一威脅管理)就很好的解決了上面的問題。它是在一個硬件裝置中集成了多種安全特性,帶有防病毒、網絡入侵監測、防垃圾郵件、VPN和Web過濾等功能。所有這些功能不需要一定被啟用,但這些功能都集成在了UTM硬件上,一旦需要使用的話,只需開啟即可。UTM在網絡中的部署,增強了全面保護網絡服務的靈活性,同時也降低了部署的復雜度。下面就以兩則實例介紹UTM在實際中的應用。
一、UTM雙機熱備部署模式的應用
圖1 UTM雙機熱備模式部署圖
1、UTM雙機熱備的總體部署情況。
如圖1所示,網絡的核心層和接入層分別使用了兩臺Cisco 4506和兩臺Cisco 3560交換機,在Cisco 3560上接入有多個用戶組,根據用戶組所屬部門的不同把他們劃入到不同的VLAN中。在Cisco 4506和Cisco 3750之間接入了兩臺聯想Power V UTM。兩臺Cisco 4506之間和兩臺Cisco 3560之間都是Trunk連接。設備間的連接情況如下所示:
- Cisco 4506A GigabitEthernet6/1 <----> UTM-A Port 1
- Cisco 4506B GigabitEthernet6/1 <----> UTM-B Port 1
- Cisco 3560A GigabitEthernet1/0/1 <----> UTM-A Port 2
- Cisco 3560B GigabitEthernet1/0/1 <----> UTM-B Port 2
- UTM-A Port 10 <----> UTM-B Port 10
聯想Power V UTM設備支持在路由和透明模式下的主備和主主模式的高可用性配置,但它不支持全冗余的連接模式。在圖1中,UTM工作于路由模式,HA監控Port 1和Port 2兩個接口。兩個UTM使用Port 10接口作為HA的心跳線接口。
兩臺Cisco 4506之間使用了思科專有協議HSRP,這樣當任意一臺4506故障,并不會影響網絡中每個用戶組對網絡的正常訪問。例如現在圖1中,兩臺Cisco 4506因為使用HSRP協議,4506B處于備用狀態,而4506A處于活動狀態,也就是說Cisco 4506A具有三層路由功能,而4506B只有二層交換功能,不具備路由功能。
如果Cisco 4506A因為某種原因發生故障,整個交換機宕掉,因為HSRP協議的作用,Cisco 4506B馬上會啟用它自身的三層路由功能,從而接管4506A上的各種功能。若這時處于活動狀態的UTM是UTM-A,因為4506A已經宕機,UTM-A就能監控到它上面的Port 1端口上已經沒有數據,又因為HA一直監控Port 1和Port 2,所以這時HA就會啟用UTM-B,讓它由備用狀態變為活動狀態,而UTM-A由活動狀態變為備用狀態。這時連接到3560交換機上的用戶組,原來訪問核心交換機的數據都是通過UTM-A傳輸的,現在都改成通過UTM-B再傳輸到核心交換機。所以說圖1中的配置模式,無論是核心交換機,或是UTM中的任意一臺發生故障都不會影響到全網用戶對網絡的正常訪問。Cisco 3560因為是接入層交換機,所以對它的可靠性要求不是很高,若其中的一臺故障的話只會影響到很少一部分用戶,所以Cisco 3560沒有配置成負載均衡,或者是雙機熱備的模式。
在部署UTM雙機熱備模式時需要注意:雙機熱備中的UTM,必須是相同型號和相同軟件版本的UTM才可以作雙機熱備;主主模式(Active-Active)的雙機熱備,支持對TCP會話的負載均衡;在雙機熱備的具體配置中,不要使用主設備的搶占模式。因為主UTM往往能搶占成功,但主UTM中的防火墻卻不搶占,所以應用主設備搶占模式往往會導致UTM在功能應用上的混亂。
2、UTM雙機熱備的配置步驟。
(1)網絡接口配置。因為在圖1的部署模式中,兩臺UTM就相當于一臺路由器,所以可以在UTM的WEB管理界面中的"系統管理"--->"網絡"--->"接口"中,把Port 1和Port 2兩個端口配置到不同的網段中,Port 1的IP地址為172.16.2.1,子網掩碼為255.255.255.0,Port 2的IP地址為172.16.3.1,子網掩碼為255.255.255.0。這時Port 1就位于網絡172.16.2.0/24中,而Port 2就位于網絡172.16.3.0/24中。
同時,接入到Cisco 3560上的用戶組IP地址也都可以劃入到網絡172.16.3.0/24中。這樣只需要在UTM上配置172.16.2.0/24和172.16.3.0/24兩個網絡可以互相訪問的路由,就可以實現3560上的用戶組對核心交換機的正常訪問。Port 10接口作為UTM設備的心跳線接口,可以不配置IP地址。
圖2 部署UTM的三種模式
(2)HA參數的具體配置。可以在UTM的WEB管理界面的"系統管理"--->"配置"--->"高可靠性"中對HA參數進行具體的配置。如圖2所示,"高可靠性"的模式可以有三種選擇,"單獨"、"主動-被動"和"主動-主動"。在本例中選擇"主動-被動"的模式,也就是雙機熱備的工作模式。其它參數的配置如圖3所示。
設備優先級:缺省為128,優先級的值越高設備被選擇為主設備的機會越大,可以根據實際的網絡環境確定是否需要確定首選主設備。圖中還有"虛擬集群"的選項,這也是聯想Power V UTM上的一種功能,可以把一臺物理UTM設備虛擬成兩臺獨立的邏輯UTM設備來使用,這將在第"二"點中進行詳細介紹。
圖3 UTM雙機熱備HA參數的配置
密碼:為HA同步的通訊密碼,兩臺UTM設備必須設置相同的密碼。
端口監控:為UTM設備檢測端口,當該端口down時,設備切換。注意在沒有完成雙機協商前,不要配置"端口監控"。待設備完成雙機同步后再配置"端口監控"。
心跳線接口:為HA設備的雙機熱備接口,填寫數值的接口表示該接口支持雙機熱備,數值大的為主心跳接口。#p#
(3)互連兩臺UTM設備。用一根直通網線,也就是一根兩端線序一樣的雙絞線,連接兩個UTM設備的Port 10端口,并要保證雙機線的暢通。UTM設備在進行雙機熱備工作時,只有主設備可以被管理,而且所有的配置均在主設備上完成,它會把配置自動同步到備用設備上。
(4)創建安全訪問策略。也就是在UTM的WEB管理界面中的"防火墻"中配置將要在網絡中應用的安全策略。例如,可以在"防火墻"中配置禁止連接在Cisco 3560上的某個VLAN中的用戶訪問核心交換機上的數據。同時,所有在主UTM上配置的策略會自動在兩臺設備上同步。
(5)雙機熱備的切換測試。若拔出接在UTM-A設備Port 1或Port 2上的網線,正常情況下活動的UTM設備就會切換到UTM-B上。然后重新訪問UTM設備的管理IP地址,就可以觀察到主、從UTM設備的切換情況。如果想要管理雙機熱備中的從UTM設備,就只能通過CLI,命令行的方式進行管理。先要登錄到主設備上,然后再在主設備的CLI下對從設備的UTM進行管理。
3、小結。
(1)UTM HA集群。集群是由兩臺或更多的UTM設備組成一個HA集群。對于網絡而言,HA集群可以對外界表現為單個UTM處理網絡數據傳輸并提供常規的安全服務,如防火墻功能、VPN、IPS、病毒檢測、web過濾和垃圾郵件過濾服務。
在HA集群中,單個的UTM設備稱作為一個群集UTM。這些UTM共享安全策略與配置信息。如果一個群集UTM發生故障,集群中的其它UTM自動替換故障的UTM,承擔該UTM所做的工作。群集將繼續處理網絡數據傳輸,并不間斷提供網絡安全服務。HA集群包括一臺主要的群集UTM,也稱為主UTM,與一臺或更多的從屬群集UTM,也稱從屬UTM。主UTM控制著整個群集的操作,根據群集的操作模式,主UTM發揮著不同的作用。
HA集群在發生故障后仍能夠繼續提供UTM功能的特性稱作故障轉移。UTM HA故障轉移意味著你的網絡不需要依賴一臺UTM提供服務,可以安裝額外的UTM組成一個HA集群。HA集群的另一個功能是負載均衡,該功能可以提高網絡的使用效率。UTM群集通過分擔處理網絡流量并提供安全服務增強整個網絡的性能。在網絡中,群集可以作為單一UTM,不需要更改網絡配置便可以增強網絡的使用效率。
(2)UTM HA模式。聯想POWER V UTM防火墻能夠配置運行于"主動-被動(A-P)",或"主動-主動(A-A)"模式。"主-主"和"主-被"模式群集都能夠運行于UTM的NAT/路由或是透明工作模式。"主動-被動(A-P)"模式集群,是由一臺處理網絡流量的主UTM以及一臺或多臺從屬UTM組成。從屬UTM,和主UTM連接,但并不處理數據傳輸。"主動-主動(A-A)"模式負載平衡所有群集UTM的網絡流量。一個主動-主動HA群集由一臺處理數據傳輸的主UTM以及一臺或多臺也同樣進行數據傳輸處理的從屬UTM組成。主UTM使用負載平衡策略分布并平衡HA群集中所有UTM的流量處理。
二、UTM虛擬域功能的應用
圖4 使用UTM虛擬域功能前外網圖示
1、使用UTM虛擬域前的網絡部署情況。
單位在部署使用UTM虛擬域功能之前,有兩個相互獨立的網絡,外網和專用網,網絡部署圖如圖4和圖5所示。兩個網絡共使用了三臺聯想Power V UTM,外網中兩臺,專用網中一臺。
圖5 使用UTM虛擬域功能前專用網圖示
Power V UTM工作模式共有兩種,NAT/路由模式和透明模式,如圖6所示。外網兩臺UTM部署的是雙機熱備,工作模式是NAT/路由模式,具有路由功能,也就是UTM同時也相當于一臺路由器,能學習路由,轉發數據包,本身作為三層設備參與到用戶環境中,可以控制多個VLAN之間的數據包流,對收到的數據包,能根據其目的IP地址進行轉發。NAT/路由模式還支持UTM設備與802.1Q交換機、路由器之間創建VLAN Trunk,提高了用戶對設備配置的靈活性。在圖4中的UTM1和UTM2之間還有直接相連的心跳線,圖示為了簡潔沒有畫出。心跳線的作用是為了實現兩臺UTM設備的雙機熱備功能。在運行中主UTM會將狀態信息、NAT信息備份到備用UTM中,若發生切換,備用UTM會保存完整的NAT轉換信息,從而不會導致用戶訪問網絡數據的中斷。
圖6 UTM的兩種工作模式
在圖4的邏輯拓撲圖中,UTM1和UTM2分別與兩臺Cisco 4510的連接,圖中只畫出了一條連接線。在實際的部署中,每一臺UTM和Cisco 4510的連接都有兩根連接線。例如UTM1的Port 1、Port 2分別和Cisco 4510A的Gi6/1、GI6/2相連,其中Port 1和Gi6/1都是Trunk口,也就是二層端口,端口上都沒有配置IP地址,它們之間屬于Trunk連接。但在Port 1下可以配置多個三層的VLAN子接口,同時在這些子接口上也可以配置相應的IP地址。而Port 2是屬于三層端口,它上面也配置了IP地址,Cisco 4510的Gi6/2端口,可以劃入到4510A上的某個VLAN中。這樣配置后,Port 1下面的多個三層VLAN子接口,就可以和Port 2的三層端口之間相互通信,因為它們都有IP地址,都屬于某個子網,只有它們之間有可達路由,就可以相互訪問。若不想讓Port 1下面的某個三層VLAN子接口,和Port 2之間進行通信,就可以在UTM上配置相應的安全策略,從而阻止它們之間的相互訪問。這也就是UTM設備,以旁路的方式接入到核心路由或交換設備上,并能實現UTM設備的三層路由功能的部署模式。最終通過在UTM設備的防火墻中配置安全策略,實現允許/禁止某類用戶對特定數據的訪問。#p#
而圖5專用網中UTM的工作模式是透明模式,它是以"橋"模式運行的,本身只需要配置一個管理IP地址,不必占用任何其它的IP資源,也不需要改變用戶的拓撲環境,設備的運行對用戶來說是"透明"的,在網絡設備上進行各種命令的配置時,就當不存在這個UTM一樣,因為它是透明模式。它只對線路上的數據作安全檢查,和安全策略上的限制,本身不會影響網絡的整體架構和配置。這種模式在安裝和維護UTM時,相對路由模式來說要簡單很多。
因為單位在安全方面的嚴格要求,專用網中必須使用UTM設備。但是目前專用網中只有一臺UTM,一旦UTM發生故障后,專用網將面臨無安全防護的隱患。這種情況下,也可以考慮再購買一臺和專用網中一模一樣的UTM設備,這樣把兩臺設備配置為雙機熱備,或負載均衡的模式,就是把買來的UTM作為冷備也可以。這樣當其中的一臺故障后,另外一臺就可以馬上替換掉有故障的一臺。但一臺UTM設備,因為它上面集成了多種安全功能,所以在價格方面也非常昂貴,一臺至少也要十多萬人民幣,而單位經費緊張,所以考慮買UTM設備的辦法行不通。我們經過查閱聯想UTM的各種隨機文檔,發現它具有"UTM虛擬域"的功能。
其實,UTM虛擬域功能就是可以把一臺UTM物理設備劃分為多個虛擬域,每個虛擬域在邏輯上就相當于一臺單獨UTM物理設備,每個虛擬域也可以單獨設置路由、防火墻策略、防病毒策略、IPS策略等。這樣就可以為多個企業組織部署一個UTM,將其劃分成若干個邏輯設備分配給不同的企業組織,并且為其設置相應的邏輯設備管理權限,這樣每個被服務的企業組織可以單獨管理安全設置,并查看相應的日志信息。
2、配置UTM虛擬域的具體步驟。
(1)在UTM WEB管理界面中的"系統管理"→"狀態"界面中,首先要啟用虛擬域功能,當然要是不想使用虛擬域的功能,也可在此選擇停用其功能,如圖7所示。圖示中的"虛擬域"功能已經啟用,點擊"停用"就中止了UTM的虛擬域功能。
圖7 啟用或停用虛擬域功能
(2)在"系統管理"→"虛擬域"的管理界面中,點擊"新建"的功能按鈕,就能新建一個UTM虛擬域,并填寫虛擬域的名稱為ca,并配置虛擬域ca的"工作模式"為透明模式,如圖8所示。
圖8 新建虛擬域圖示
(3)在"系統管理"→"網絡"→"接口"的管理界面中,點擊將要放入虛擬域ca的某接口的"編輯"功能按鈕,在"虛擬域"的下拉菜單中選擇虛擬域ca,如圖9所示。
圖9 把端口劃入到相應的虛擬域中
(4)在新建的虛擬域中,配置防火墻的安全策略、防病毒功能和入侵檢測功能。
(5)把專用網中,原來連接在專用網中的Cisco 3750和Cisco 2960上的兩根接入到UTM上的網線,連接到UTM2上,新建虛擬域中的相應端口上。
圖10 使用UTM虛擬域后網絡結構圖
3、使用UTM虛擬域后的網絡部署情況。
改造后的網絡結構圖如圖10所示。從圖中可以看出,UTM2處于活動狀態,也就是主UTM,而UTM1處于備用狀態。因為在主UTM上所做的任何配置,都會同步到備用的UTM上,也就是在UTM1上也有一個和在UTM2上一模一樣的虛擬域,此虛擬域也和原來專用網中的UTM功能是一樣的。這樣如果圖10中的UTM2故障的話,因為雙機熱備模式的緣故,UTM1馬上就從備用狀態轉變為活動狀態,接管UTM2的各種業務,UTM2的狀態也就從主UTM變成了備用狀態。一旦UTM2變成了備用狀態,在它上面的,替代原來專用網中的UTM的虛擬域也就從活動狀態變成了備用狀態,因為整個UTM2設備的狀態都成為備用的了。
所以圖10中,一旦UTM1和UTM2的運行狀態發生變化后,網絡工程師一定要盡快把接在專用網中兩個交換機上的,連接UTM2的兩根網線,接入到UTM1上對應的虛擬域的端口上。這樣才能保證專用網再次安全穩定的運行。啟用UTM虛擬域功能前的,原來專用網中使用的UTM已經斷電不再使用。但它可以作為圖10中,UTM1和UTM2的冷備。即使UTM1和UTM2兩個設備都故障了,可以再把原來專用網中的UTM上電,同樣可以保證專用網的安全正常訪問。
UTM虛擬域功能的使用,在為單位節省一大筆經費的同時,也提高了專用網的安全性和可靠性。
4、小結
雖然UTM設備功能很強大,幾乎現在所有安全產品的功能,在UTM中都能找到。它增強了網絡的安全性,避免了網絡資源的誤用和濫用,在更有效的使用通訊資源的同時,它也不會降低網絡的性能。UTM也是易于管理的設備,它的功能包括:應用層服務,例如病毒防護、入侵檢測、垃圾郵件過濾、網頁內容過濾以及IM/P2P過濾服務;網絡層服務,例如防火墻、入侵檢測、IPSec與SSL VPN,以及流量控制;管理服務,例如用戶認證、設備管理設置、安全的web與CLI管理訪問,以及SNMP功能。
但是建議在開啟UTM虛擬域功能的同時,不要再使用UTM上的其它功能。因為虛擬域功能在邏輯上就相當于,在不增加任何UTM硬件資源的情況下,又虛構出一個UTM設備,所以虛擬域功能會占用大量UTM設備上的CPU、內存等資源,這時若再啟用UTM上的其它功能,必定會大大增加UTM的負荷,這其實也就給它的使用帶來了不穩定因素。因為所有設備在超負荷的運行下,故障率都會大大增加。所以建議在沒有特殊需求的情況下,使用UTM虛擬域功能時,不要過多開啟UTM上的其它功能。
【51CTO.com獨家特稿,非經授權謝絕轉載!合作媒體轉載請注明原文出處及出處!】
