扫一扫
分享文章到微信
扫一扫
关注官方公众号
至顶头条
在本页阅读全文(共2页)
二、UTM虚拟域功能的应用
图4 使用UTM虚拟域功能前外网图示
1、使用UTM虚拟域前的网络部署情况。
单位在部署使用UTM虚拟域功能之前,有两个相互独立的网络,外网和专用网,网络部署图如图4和图5所示。两个网络共使用了三台联想Power V UTM,外网中两台,专用网中一台。
图5 使用UTM虚拟域功能前专用网图示
Power V UTM工作模式共有两种,NAT/路由模式和透明模式,如图6所示。外网两台UTM部署的是双机热备,工作模式是NAT/路由模式,具有路由功能,也就是UTM同时也相当于一台路由器,能学习路由,转发数据包,本身作为三层设备参与到用户环境中,可以控制多个VLAN之间的数据包流,对收到的数据包,能根据其目的IP地址进行转发。NAT/路由模式还支持UTM设备与802.1Q交换机、路由器之间创建VLAN Trunk,提高了用户对设备配置的灵活性。在图4中的UTM1和UTM2之间还有直接相连的心跳线,图示为了简洁没有画出。心跳线的作用是为了实现两台UTM设备的双机热备功能。在运行中主UTM会将状态信息、NAT信息备份到备用UTM中,若发生切换,备用UTM会保存完整的NAT转换信息,从而不会导致用户访问网络数据的中断。
图6 UTM的两种工作模式
在图4的逻辑拓扑图中,UTM1和UTM2分别与两台Cisco 4510的连接,图中只画出了一条连接线。在实际的部署中,每一台UTM和Cisco 4510的连接都有两根连接线。例如UTM1的Port 1、Port 2分别和Cisco 4510A的Gi6/1、GI6/2相连,其中Port 1和Gi6/1都是Trunk口,也就是二层端口,端口上都没有配置IP地址,它们之间属于Trunk连接。但在Port 1下可以配置多个三层的VLAN子接口,同时在这些子接口上也可以配置相应的IP地址。而Port 2是属于三层端口,它上面也配置了IP地址,Cisco 4510的Gi6/2端口,可以划入到4510A上的某个VLAN中。这样配置后,Port 1下面的多个三层VLAN子接口,就可以和Port 2的三层端口之间相互通信,因为它们都有IP地址,都属于某个子网,只有它们之间有可达路由,就可以相互访问。若不想让Port 1下面的某个三层VLAN子接口,和Port 2之间进行通信,就可以在UTM上配置相应的安全策略,从而阻止它们之间的相互访问。这也就是UTM设备,以旁路的方式接入到核心路由或交换设备上,并能实现UTM设备的三层路由功能的部署模式。最终通过在UTM设备的防火墙中配置安全策略,实现允许/禁止某类用户对特定数据的访问。
而图5专用网中UTM的工作模式是透明模式,它是以"桥"模式运行的,本身只需要配置一个管理IP地址,不必占用任何其它的IP资源,也不需要改变用户的拓扑环境,设备的运行对用户来说是"透明"的,在网络设备上进行各种命令的配置时,就当不存在这个UTM一样,因为它是透明模式。它只对线路上的数据作安全检查,和安全策略上的限制,本身不会影响网络的整体架构和配置。这种模式在安装和维护UTM时,相对路由模式来说要简单很多。
因为单位在安全方面的严格要求,专用网中必须使用UTM设备。但是目前专用网中只有一台UTM,一旦UTM发生故障后,专用网将面临无安全防护的隐患。这种情况下,也可以考虑再购买一台和专用网中一模一样的UTM设备,这样把两台设备配置为双机热备,或负载均衡的模式,就是把买来的UTM作为冷备也可以。这样当其中的一台故障后,另外一台就可以马上替换掉有故障的一台。但一台UTM设备,因为它上面集成了多种安全功能,所以在价格方面也非常昂贵,一台至少也要十多万人民币,而单位经费紧张,所以考虑买UTM设备的办法行不通。我们经过查阅联想UTM的各种随机文档,发现它具有"UTM虚拟域"的功能。
其实,UTM虚拟域功能就是可以把一台UTM物理设备划分为多个虚拟域,每个虚拟域在逻辑上就相当于一台单独UTM物理设备,每个虚拟域也可以单独设置路由、防火墙策略、防病毒策略、IPS策略等。这样就可以为多个企业组织部署一个UTM,将其划分成若干个逻辑设备分配给不同的企业组织,并且为其设置相应的逻辑设备管理权限,这样每个被服务的企业组织可以单独管理安全设置,并查看相应的日志信息。
2、配置UTM虚拟域的具体步骤。
(1)在UTM WEB管理界面中的"系统管理"→"状态"界面中,首先要启用虚拟域功能,当然要是不想使用虚拟域的功能,也可在此选择停用其功能,如图7所示。图示中的"虚拟域"功能已经启用,点击"停用"就中止了UTM的虚拟域功能。
图7 启用或停用虚拟域功能
(2)在"系统管理"→"虚拟域"的管理界面中,点击"新建"的功能按钮,就能新建一个UTM虚拟域,并填写虚拟域的名称为ca,并配置虚拟域ca的"工作模式"为透明模式,如图8所示。
图8 新建虚拟域图示
(3)在"系统管理"→"网络"→"接口"的管理界面中,点击将要放入虚拟域ca的某接口的"编辑"功能按钮,在"虚拟域"的下拉菜单中选择虚拟域ca,如图9所示。
图9 把端口划入到相应的虚拟域中
(4)在新建的虚拟域中,配置防火墙的安全策略、防病毒功能和入侵检测功能。
(5)把专用网中,原来连接在专用网中的Cisco 3750和Cisco 2960上的两根接入到UTM上的网线,连接到UTM2上,新建虚拟域中的相应端口上。
图10 使用UTM虚拟域后网络结构图
3、使用UTM虚拟域后的网络部署情况。
改造后的网络结构图如图10所示。从图中可以看出,UTM2处于活动状态,也就是主UTM,而UTM1处于备用状态。因为在主UTM上所做的任何配置,都会同步到备用的UTM上,也就是在UTM1上也有一个和在UTM2上一模一样的虚拟域,此虚拟域也和原来专用网中的UTM功能是一样的。这样如果图10中的UTM2故障的话,因为双机热备模式的缘故,UTM1马上就从备用状态转变为活动状态,接管UTM2的各种业务,UTM2的状态也就从主UTM变成了备用状态。一旦UTM2变成了备用状态,在它上面的,替代原来专用网中的UTM的虚拟域也就从活动状态变成了备用状态,因为整个UTM2设备的状态都成为备用的了。
所以图10中,一旦UTM1和UTM2的运行状态发生变化后,网络工程师一定要尽快把接在专用网中两个交换机上的,连接UTM2的两根网线,接入到UTM1上对应的虚拟域的端口上。这样才能保证专用网再次安全稳定的运行。启用UTM虚拟域功能前的,原来专用网中使用的UTM已经断电不再使用。但它可以作为图10中,UTM1和UTM2的冷备。即使UTM1和UTM2两个设备都故障了,可以再把原来专用网中的UTM上电,同样可以保证专用网的安全正常访问。
UTM虚拟域功能的使用,在为单位节省一大笔经费的同时,也提高了专用网的安全性和可靠性。
4、小结
虽然UTM设备功能很强大,几乎现在所有安全产品的功能,在UTM中都能找到。它增强了网络的安全性,避免了网络资源的误用和滥用,在更有效的使用通讯资源的同时,它也不会降低网络的性能。UTM也是易于管理的设备,它的功能包括:应用层服务,例如病毒防护、入侵检测、垃圾邮件过滤、网页内容过滤以及IM/P2P过滤服务;网络层服务,例如防火墙、入侵检测、IPSec与SSL VPN,以及流量控制;管理服务,例如用户认证、设备管理设置、安全的web与CLI管理访问,以及SNMP功能。
但是建议在开启UTM虚拟域功能的同时,不要再使用UTM上的其它功能。因为虚拟域功能在逻辑上就相当于,在不增加任何UTM硬件资源的情况下,又虚构出一个UTM设备,所以虚拟域功能会占用大量UTM设备上的CPU、内存等资源,这时若再启用UTM上的其它功能,必定会大大增加UTM的负荷,这其实也就给它的使用带来了不稳定因素。因为所有设备在超负荷的运行下,故障率都会大大增加。所以建议在没有特殊需求的情况下,使用UTM虚拟域功能时,不要过多开启UTM上的其它功能。
如果您非常迫切的想了解IT领域最新产品与技术信息,那么订阅至顶网技术邮件将是您的最佳途径之一。