实例解读：UTM双机热备和虚拟域功能

　　目前，人们在享受网络带给人们工作、生活种种便利的同时，也饱受着各种各样网络安全问题的威胁，例如病毒、蠕虫、垃圾邮件、网站钓鱼和间谍软件等等。针对这些不安全的因素，我们需要在网络中部署不同的设备去对付它，例如防火墙、IPS、VPN、IDS和漏洞扫描等等。但同时部署这些不能相互通讯的多种网络安全产品，不仅提高了网络的复杂性，而且还增加了管理操作成本。这其实不是最佳的部署模式。

　　UTM(Unified Threat Management，统一威胁管理)就很好的解决了上面的问题。它是在一个硬件装置中集成了多种安全特性，带有防病毒、网络入侵监测、防垃圾邮件、VPN和Web过滤等功能。所有这些功能不需要一定被启用，但这些功能都集成在了UTM硬件上，一旦需要使用的话，只需开启即可。UTM在网络中的部署，增强了全面保护网络服务的灵活性，同时也降低了部署的复杂度。下面就以两则实例介绍UTM在实际中的应用。

　　一、UTM双机热备部署模式的应用

　　图1 UTM双机热备模式部署图

　　1、UTM双机热备的总体部署情况。

　　如图1所示，网络的核心层和接入层分别使用了两台Cisco 4506和两台Cisco 3560交换机，在Cisco 3560上接入有多个用户组，根据用户组所属部门的不同把他们划入到不同的VLAN中。在Cisco 4506和Cisco 3750之间接入了两台联想Power V UTM。两台Cisco 4506之间和两台Cisco 3560之间都是Trunk连接。设备间的连接情况如下所示：

　　Cisco 4506A GigabitEthernet6/1 <----> UTM-A Port 1 Cisco 4506B GigabitEthernet6/1 <----> UTM-B Port 1 Cisco 3560A GigabitEthernet1/0/1 <----> UTM-A Port 2 Cisco 3560B GigabitEthernet1/0/1 <----> UTM-B Port 2 UTM-A Port 10 <----> UTM-B Port 10

　　联想Power V UTM设备支持在路由和透明模式下的主备和主主模式的高可用性配置，但它不支持全冗余的连接模式。在图1中，UTM工作于路由模式，HA监控Port 1和Port 2两个接口。两个UTM使用Port 10接口作为HA的心跳线接口。

　　两台Cisco 4506之间使用了思科专有协议HSRP，这样当任意一台4506故障，并不会影响网络中每个用户组对网络的正常访问。例如现在图1中，两台Cisco 4506因为使用HSRP协议，4506B处于备用状态，而4506A处于活动状态，也就是说Cisco 4506A具有三层路由功能，而4506B只有二层交换功能，不具备路由功能。

　　如果Cisco 4506A因为某种原因发生故障，整个交换机宕掉，因为HSRP协议的作用，Cisco 4506B马上会启用它自身的三层路由功能，从而接管4506A上的各种功能。若这时处于活动状态的UTM是UTM-A，因为4506A已经宕机，UTM-A就能监控到它上面的Port 1端口上已经没有数据，又因为HA一直监控Port 1和Port 2，所以这时HA就会启用UTM-B，让它由备用状态变为活动状态，而UTM-A由活动状态变为备用状态。这时连接到3560交换机上的用户组，原来访问核心交换机的数据都是通过UTM-A传输的，现在都改成通过UTM-B再传输到核心交换机。所以说图1中的配置模式，无论是核心交换机，或是UTM中的任意一台发生故障都不会影响到全网用户对网络的正常访问。Cisco 3560因为是接入层交换机，所以对它的可靠性要求不是很高，若其中的一台故障的话只会影响到很少一部分用户，所以Cisco 3560没有配置成负载均衡，或者是双机热备的模式。

　　在部署UTM双机热备模式时需要注意：双机热备中的UTM，必须是相同型号和相同软件版本的UTM才可以作双机热备;主主模式(Active-Active)的双机热备，支持对TCP会话的负载均衡;在双机热备的具体配置中，不要使用主设备的抢占模式。因为主UTM往往能抢占成功，但主UTM中的防火墙却不抢占，所以应用主设备抢占模式往往会导致UTM在功能应用上的混乱。

　　2、UTM双机热备的配置步骤。

　　(1)网络接口配置。因为在图1的部署模式中，两台UTM就相当于一台路由器，所以可以在UTM的WEB管理界面中的"系统管理"--->"网络"--->"接口"中，把Port 1和Port 2两个端口配置到不同的网段中，Port 1的IP地址为172.16.2.1，子网掩码为255.255.255.0，Port 2的IP地址为172.16.3.1，子网掩码为255.255.255.0。这时Port 1就位于网络172.16.2.0/24中，而Port 2就位于网络172.16.3.0/24中。

　　同时，接入到Cisco 3560上的用户组IP地址也都可以划入到网络172.16.3.0/24中。这样只需要在UTM上配置172.16.2.0/24和172.16.3.0/24两个网络可以互相访问的路由，就可以实现3560上的用户组对核心交换机的正常访问。Port 10接口作为UTM设备的心跳线接口，可以不配置IP地址。

　　图2 部署UTM的三种模式

　　(2)HA参数的具体配置。可以在UTM的WEB管理界面的"系统管理"--->"配置"--->"高可靠性"中对HA参数进行具体的配置。如图2所示，"高可靠性"的模式可以有三种选择，"单独"、"主动-被动"和"主动-主动"。在本例中选择"主动-被动"的模式，也就是双机热备的工作模式。其它参数的配置如图3所示。

　　设备优先级：缺省为128，优先级的值越高设备被选择为主设备的机会越大，可以根据实际的网络环境确定是否需要确定首选主设备。图中还有"虚拟集群"的选项，这也是联想Power V UTM上的一种功能，可以把一台物理UTM设备虚拟成两台独立的逻辑UTM设备来使用，这将在第"二"点中进行详细介绍。

　　图3 UTM双机热备HA参数的配置

　　密码：为HA同步的通讯密码，两台UTM设备必须设置相同的密码。

　　端口监控：为UTM设备检测端口，当该端口down时，设备切换。注意在没有完成双机协商前，不要配置"端口监控"。待设备完成双机同步后再配置"端口监控"。

　　心跳线接口：为HA设备的双机热备接口，填写数值的接口表示该接口支持双机热备，数值大的为主心跳接口。

　　(3)互连两台UTM设备。用一根直通网线，也就是一根两端线序一样的双绞线，连接两个UTM设备的Port 10端口，并要保证双机线的畅通。UTM设备在进行双机热备工作时，只有主设备可以被管理，而且所有的配置均在主设备上完成，它会把配置自动同步到备用设备上。

　　(4)创建安全访问策略。也就是在UTM的WEB管理界面中的"防火墙"中配置将要在网络中应用的安全策略。例如，可以在"防火墙"中配置禁止连接在Cisco 3560上的某个VLAN中的用户访问核心交换机上的数据。同时，所有在主UTM上配置的策略会自动在两台设备上同步。

　　(5)双机热备的切换测试。若拔出接在UTM-A设备Port 1或Port 2上的网线，正常情况下活动的UTM设备就会切换到UTM-B上。然后重新访问UTM设备的管理IP地址，就可以观察到主、从UTM设备的切换情况。如果想要管理双机热备中的从UTM设备，就只能通过CLI，命令行的方式进行管理。先要登录到主设备上，然后再在主设备的CLI下对从设备的UTM进行管理。

　　3、小结。

　　(1)UTM HA集群。集群是由两台或更多的UTM设备组成一个HA集群。对于网络而言，HA集群可以对外界表现为单个UTM处理网络数据传输并提供常规的安全服务，如防火墙功能、VPN、IPS、病毒检测、web过滤和垃圾邮件过滤服务。

　　在HA集群中，单个的UTM设备称作为一个群集UTM。这些UTM共享安全策略与配置信息。如果一个群集UTM发生故障，集群中的其它UTM自动替换故障的UTM，承担该UTM所做的工作。群集将继续处理网络数据传输，并不间断提供网络安全服务。HA集群包括一台主要的群集UTM，也称为主UTM，与一台或更多的从属群集UTM，也称从属UTM。主UTM控制着整个群集的操作，根据群集的操作模式，主UTM发挥着不同的作用。

　　HA集群在发生故障后仍能够继续提供UTM功能的特性称作故障转移。UTM HA故障转移意味着你的网络不需要依赖一台UTM提供服务，可以安装额外的UTM组成一个HA集群。HA集群的另一个功能是负载均衡，该功能可以提高网络的使用效率。UTM群集通过分担处理网络流量并提供安全服务增强整个网络的性能。在网络中，群集可以作为单一UTM，不需要更改网络配置便可以增强网络的使用效率。

　　(2)UTM HA模式。联想POWER V UTM防火墙能够配置运行于"主动-被动(A-P)"，或"主动-主动(A-A)"模式。"主-主"和"主-被"模式群集都能够运行于UTM的NAT/路由或是透明工作模式。"主动-被动(A-P)"模式集群，是由一台处理网络流量的主UTM以及一台或多台从属UTM组成。从属UTM，和主UTM连接，但并不处理数据传输。"主动-主动(A-A)"模式负载平衡所有群集UTM的网络流量。一个主动-主动HA群集由一台处理数据传输的主UTM以及一台或多台也同样进行数据传输处理的从属UTM组成。主UTM使用负载平衡策略分布并平衡HA群集中所有UTM的流量处理。