扫一扫
分享文章到微信
扫一扫
关注官方公众号
至顶头条
在本页阅读全文(共2页)
目前,人们在享受网络带给人们工作、生活种种便利的同时,也饱受着各种各样网络安全问题的威胁,例如病毒、蠕虫、垃圾邮件、网站钓鱼和间谍软件等等。针对这些不安全的因素,我们需要在网络中部署不同的设备去对付它,例如防火墙、IPS、VPN、IDS和漏洞扫描等等。但同时部署这些不能相互通讯的多种网络安全产品,不仅提高了网络的复杂性,而且还增加了管理操作成本。这其实不是最佳的部署模式。
UTM(Unified Threat Management,统一威胁管理)就很好的解决了上面的问题。它是在一个硬件装置中集成了多种安全特性,带有防病毒、网络入侵监测、防垃圾邮件、VPN和Web过滤等功能。所有这些功能不需要一定被启用,但这些功能都集成在了UTM硬件上,一旦需要使用的话,只需开启即可。UTM在网络中的部署,增强了全面保护网络服务的灵活性,同时也降低了部署的复杂度。下面就以两则实例介绍UTM在实际中的应用。
一、UTM双机热备部署模式的应用
图1 UTM双机热备模式部署图
1、UTM双机热备的总体部署情况。
如图1所示,网络的核心层和接入层分别使用了两台Cisco 4506和两台Cisco 3560交换机,在Cisco 3560上接入有多个用户组,根据用户组所属部门的不同把他们划入到不同的VLAN中。在Cisco 4506和Cisco 3750之间接入了两台联想Power V UTM。两台Cisco 4506之间和两台Cisco 3560之间都是Trunk连接。设备间的连接情况如下所示:
Cisco 4506A GigabitEthernet6/1 <----> UTM-A Port 1 Cisco 4506B GigabitEthernet6/1 <----> UTM-B Port 1 Cisco 3560A GigabitEthernet1/0/1 <----> UTM-A Port 2 Cisco 3560B GigabitEthernet1/0/1 <----> UTM-B Port 2 UTM-A Port 10 <----> UTM-B Port 10
联想Power V UTM设备支持在路由和透明模式下的主备和主主模式的高可用性配置,但它不支持全冗余的连接模式。在图1中,UTM工作于路由模式,HA监控Port 1和Port 2两个接口。两个UTM使用Port 10接口作为HA的心跳线接口。
两台Cisco 4506之间使用了思科专有协议HSRP,这样当任意一台4506故障,并不会影响网络中每个用户组对网络的正常访问。例如现在图1中,两台Cisco 4506因为使用HSRP协议,4506B处于备用状态,而4506A处于活动状态,也就是说Cisco 4506A具有三层路由功能,而4506B只有二层交换功能,不具备路由功能。
如果Cisco 4506A因为某种原因发生故障,整个交换机宕掉,因为HSRP协议的作用,Cisco 4506B马上会启用它自身的三层路由功能,从而接管4506A上的各种功能。若这时处于活动状态的UTM是UTM-A,因为4506A已经宕机,UTM-A就能监控到它上面的Port 1端口上已经没有数据,又因为HA一直监控Port 1和Port 2,所以这时HA就会启用UTM-B,让它由备用状态变为活动状态,而UTM-A由活动状态变为备用状态。这时连接到3560交换机上的用户组,原来访问核心交换机的数据都是通过UTM-A传输的,现在都改成通过UTM-B再传输到核心交换机。所以说图1中的配置模式,无论是核心交换机,或是UTM中的任意一台发生故障都不会影响到全网用户对网络的正常访问。Cisco 3560因为是接入层交换机,所以对它的可靠性要求不是很高,若其中的一台故障的话只会影响到很少一部分用户,所以Cisco 3560没有配置成负载均衡,或者是双机热备的模式。
在部署UTM双机热备模式时需要注意:双机热备中的UTM,必须是相同型号和相同软件版本的UTM才可以作双机热备;主主模式(Active-Active)的双机热备,支持对TCP会话的负载均衡;在双机热备的具体配置中,不要使用主设备的抢占模式。因为主UTM往往能抢占成功,但主UTM中的防火墙却不抢占,所以应用主设备抢占模式往往会导致UTM在功能应用上的混乱。
2、UTM双机热备的配置步骤。
(1)网络接口配置。因为在图1的部署模式中,两台UTM就相当于一台路由器,所以可以在UTM的WEB管理界面中的"系统管理"--->"网络"--->"接口"中,把Port 1和Port 2两个端口配置到不同的网段中,Port 1的IP地址为172.16.2.1,子网掩码为255.255.255.0,Port 2的IP地址为172.16.3.1,子网掩码为255.255.255.0。这时Port 1就位于网络172.16.2.0/24中,而Port 2就位于网络172.16.3.0/24中。
同时,接入到Cisco 3560上的用户组IP地址也都可以划入到网络172.16.3.0/24中。这样只需要在UTM上配置172.16.2.0/24和172.16.3.0/24两个网络可以互相访问的路由,就可以实现3560上的用户组对核心交换机的正常访问。Port 10接口作为UTM设备的心跳线接口,可以不配置IP地址。
图2 部署UTM的三种模式
(2)HA参数的具体配置。可以在UTM的WEB管理界面的"系统管理"--->"配置"--->"高可靠性"中对HA参数进行具体的配置。如图2所示,"高可靠性"的模式可以有三种选择,"单独"、"主动-被动"和"主动-主动"。在本例中选择"主动-被动"的模式,也就是双机热备的工作模式。其它参数的配置如图3所示。
设备优先级:缺省为128,优先级的值越高设备被选择为主设备的机会越大,可以根据实际的网络环境确定是否需要确定首选主设备。图中还有"虚拟集群"的选项,这也是联想Power V UTM上的一种功能,可以把一台物理UTM设备虚拟成两台独立的逻辑UTM设备来使用,这将在第"二"点中进行详细介绍。
图3 UTM双机热备HA参数的配置
密码:为HA同步的通讯密码,两台UTM设备必须设置相同的密码。
端口监控:为UTM设备检测端口,当该端口down时,设备切换。注意在没有完成双机协商前,不要配置"端口监控"。待设备完成双机同步后再配置"端口监控"。
心跳线接口:为HA设备的双机热备接口,填写数值的接口表示该接口支持双机热备,数值大的为主心跳接口。
(3)互连两台UTM设备。用一根直通网线,也就是一根两端线序一样的双绞线,连接两个UTM设备的Port 10端口,并要保证双机线的畅通。UTM设备在进行双机热备工作时,只有主设备可以被管理,而且所有的配置均在主设备上完成,它会把配置自动同步到备用设备上。
(4)创建安全访问策略。也就是在UTM的WEB管理界面中的"防火墙"中配置将要在网络中应用的安全策略。例如,可以在"防火墙"中配置禁止连接在Cisco 3560上的某个VLAN中的用户访问核心交换机上的数据。同时,所有在主UTM上配置的策略会自动在两台设备上同步。
(5)双机热备的切换测试。若拔出接在UTM-A设备Port 1或Port 2上的网线,正常情况下活动的UTM设备就会切换到UTM-B上。然后重新访问UTM设备的管理IP地址,就可以观察到主、从UTM设备的切换情况。如果想要管理双机热备中的从UTM设备,就只能通过CLI,命令行的方式进行管理。先要登录到主设备上,然后再在主设备的CLI下对从设备的UTM进行管理。
3、小结。
(1)UTM HA集群。集群是由两台或更多的UTM设备组成一个HA集群。对于网络而言,HA集群可以对外界表现为单个UTM处理网络数据传输并提供常规的安全服务,如防火墙功能、VPN、IPS、病毒检测、web过滤和垃圾邮件过滤服务。
在HA集群中,单个的UTM设备称作为一个群集UTM。这些UTM共享安全策略与配置信息。如果一个群集UTM发生故障,集群中的其它UTM自动替换故障的UTM,承担该UTM所做的工作。群集将继续处理网络数据传输,并不间断提供网络安全服务。HA集群包括一台主要的群集UTM,也称为主UTM,与一台或更多的从属群集UTM,也称从属UTM。主UTM控制着整个群集的操作,根据群集的操作模式,主UTM发挥着不同的作用。
HA集群在发生故障后仍能够继续提供UTM功能的特性称作故障转移。UTM HA故障转移意味着你的网络不需要依赖一台UTM提供服务,可以安装额外的UTM组成一个HA集群。HA集群的另一个功能是负载均衡,该功能可以提高网络的使用效率。UTM群集通过分担处理网络流量并提供安全服务增强整个网络的性能。在网络中,群集可以作为单一UTM,不需要更改网络配置便可以增强网络的使用效率。
(2)UTM HA模式。联想POWER V UTM防火墙能够配置运行于"主动-被动(A-P)",或"主动-主动(A-A)"模式。"主-主"和"主-被"模式群集都能够运行于UTM的NAT/路由或是透明工作模式。"主动-被动(A-P)"模式集群,是由一台处理网络流量的主UTM以及一台或多台从属UTM组成。从属UTM,和主UTM连接,但并不处理数据传输。"主动-主动(A-A)"模式负载平衡所有群集UTM的网络流量。一个主动-主动HA群集由一台处理数据传输的主UTM以及一台或多台也同样进行数据传输处理的从属UTM组成。主UTM使用负载平衡策略分布并平衡HA群集中所有UTM的流量处理。
如果您非常迫切的想了解IT领域最新产品与技术信息,那么订阅至顶网技术邮件将是您的最佳途径之一。