实例解读：UTM双机热备和虚拟域功能

　　二、UTM虚拟域功能的应用

　　图4 使用UTM虚拟域功能前外网图示

　　1、使用UTM虚拟域前的网络部署情况。

　　单位在部署使用UTM虚拟域功能之前，有两个相互独立的网络，外网和专用网，网络部署图如图4和图5所示。两个网络共使用了三台联想Power V UTM，外网中两台，专用网中一台。

　　图5 使用UTM虚拟域功能前专用网图示

　　Power V UTM工作模式共有两种，NAT/路由模式和透明模式，如图6所示。外网两台UTM部署的是双机热备，工作模式是NAT/路由模式，具有路由功能，也就是UTM同时也相当于一台路由器，能学习路由，转发数据包，本身作为三层设备参与到用户环境中，可以控制多个VLAN之间的数据包流，对收到的数据包，能根据其目的IP地址进行转发。NAT/路由模式还支持UTM设备与802.1Q交换机、路由器之间创建VLAN Trunk，提高了用户对设备配置的灵活性。在图4中的UTM1和UTM2之间还有直接相连的心跳线，图示为了简洁没有画出。心跳线的作用是为了实现两台UTM设备的双机热备功能。在运行中主UTM会将状态信息、NAT信息备份到备用UTM中，若发生切换，备用UTM会保存完整的NAT转换信息，从而不会导致用户访问网络数据的中断。

　　图6 UTM的两种工作模式

　　在图4的逻辑拓扑图中，UTM1和UTM2分别与两台Cisco 4510的连接，图中只画出了一条连接线。在实际的部署中，每一台UTM和Cisco 4510的连接都有两根连接线。例如UTM1的Port 1、Port 2分别和Cisco 4510A的Gi6/1、GI6/2相连，其中Port 1和Gi6/1都是Trunk口，也就是二层端口，端口上都没有配置IP地址，它们之间属于Trunk连接。但在Port 1下可以配置多个三层的VLAN子接口，同时在这些子接口上也可以配置相应的IP地址。而Port 2是属于三层端口，它上面也配置了IP地址，Cisco 4510的Gi6/2端口，可以划入到4510A上的某个VLAN中。这样配置后，Port 1下面的多个三层VLAN子接口，就可以和Port 2的三层端口之间相互通信，因为它们都有IP地址，都属于某个子网，只有它们之间有可达路由，就可以相互访问。若不想让Port 1下面的某个三层VLAN子接口，和Port 2之间进行通信，就可以在UTM上配置相应的安全策略，从而阻止它们之间的相互访问。这也就是UTM设备，以旁路的方式接入到核心路由或交换设备上，并能实现UTM设备的三层路由功能的部署模式。最终通过在UTM设备的防火墙中配置安全策略，实现允许/禁止某类用户对特定数据的访问。

　　而图5专用网中UTM的工作模式是透明模式，它是以"桥"模式运行的，本身只需要配置一个管理IP地址，不必占用任何其它的IP资源，也不需要改变用户的拓扑环境，设备的运行对用户来说是"透明"的，在网络设备上进行各种命令的配置时，就当不存在这个UTM一样，因为它是透明模式。它只对线路上的数据作安全检查，和安全策略上的限制，本身不会影响网络的整体架构和配置。这种模式在安装和维护UTM时，相对路由模式来说要简单很多。

　　因为单位在安全方面的严格要求，专用网中必须使用UTM设备。但是目前专用网中只有一台UTM，一旦UTM发生故障后，专用网将面临无安全防护的隐患。这种情况下，也可以考虑再购买一台和专用网中一模一样的UTM设备，这样把两台设备配置为双机热备，或负载均衡的模式，就是把买来的UTM作为冷备也可以。这样当其中的一台故障后，另外一台就可以马上替换掉有故障的一台。但一台UTM设备，因为它上面集成了多种安全功能，所以在价格方面也非常昂贵，一台至少也要十多万人民币，而单位经费紧张，所以考虑买UTM设备的办法行不通。我们经过查阅联想UTM的各种随机文档，发现它具有"UTM虚拟域"的功能。

　　其实，UTM虚拟域功能就是可以把一台UTM物理设备划分为多个虚拟域，每个虚拟域在逻辑上就相当于一台单独UTM物理设备，每个虚拟域也可以单独设置路由、防火墙策略、防病毒策略、IPS策略等。这样就可以为多个企业组织部署一个UTM，将其划分成若干个逻辑设备分配给不同的企业组织，并且为其设置相应的逻辑设备管理权限，这样每个被服务的企业组织可以单独管理安全设置，并查看相应的日志信息。

　　2、配置UTM虚拟域的具体步骤。

　　(1)在UTM WEB管理界面中的"系统管理"→"状态"界面中，首先要启用虚拟域功能，当然要是不想使用虚拟域的功能，也可在此选择停用其功能，如图7所示。图示中的"虚拟域"功能已经启用，点击"停用"就中止了UTM的虚拟域功能。

　　图7 启用或停用虚拟域功能

　　(2)在"系统管理"→"虚拟域"的管理界面中，点击"新建"的功能按钮，就能新建一个UTM虚拟域，并填写虚拟域的名称为ca，并配置虚拟域ca的"工作模式"为透明模式，如图8所示。

　　图8 新建虚拟域图示

　　(3)在"系统管理"→"网络"→"接口"的管理界面中，点击将要放入虚拟域ca的某接口的"编辑"功能按钮，在"虚拟域"的下拉菜单中选择虚拟域ca，如图9所示。

　　图9 把端口划入到相应的虚拟域中

　　(4)在新建的虚拟域中，配置防火墙的安全策略、防病毒功能和入侵检测功能。

　　(5)把专用网中，原来连接在专用网中的Cisco 3750和Cisco 2960上的两根接入到UTM上的网线，连接到UTM2上，新建虚拟域中的相应端口上。

　　图10 使用UTM虚拟域后网络结构图

　　3、使用UTM虚拟域后的网络部署情况。

　　改造后的网络结构图如图10所示。从图中可以看出，UTM2处于活动状态，也就是主UTM，而UTM1处于备用状态。因为在主UTM上所做的任何配置，都会同步到备用的UTM上，也就是在UTM1上也有一个和在UTM2上一模一样的虚拟域，此虚拟域也和原来专用网中的UTM功能是一样的。这样如果图10中的UTM2故障的话，因为双机热备模式的缘故，UTM1马上就从备用状态转变为活动状态，接管UTM2的各种业务，UTM2的状态也就从主UTM变成了备用状态。一旦UTM2变成了备用状态，在它上面的，替代原来专用网中的UTM的虚拟域也就从活动状态变成了备用状态，因为整个UTM2设备的状态都成为备用的了。

　　所以图10中，一旦UTM1和UTM2的运行状态发生变化后，网络工程师一定要尽快把接在专用网中两个交换机上的，连接UTM2的两根网线，接入到UTM1上对应的虚拟域的端口上。这样才能保证专用网再次安全稳定的运行。启用UTM虚拟域功能前的，原来专用网中使用的UTM已经断电不再使用。但它可以作为图10中，UTM1和UTM2的冷备。即使UTM1和UTM2两个设备都故障了，可以再把原来专用网中的UTM上电，同样可以保证专用网的安全正常访问。

　　UTM虚拟域功能的使用，在为单位节省一大笔经费的同时，也提高了专用网的安全性和可靠性。

　　4、小结

　　虽然UTM设备功能很强大，几乎现在所有安全产品的功能，在UTM中都能找到。它增强了网络的安全性，避免了网络资源的误用和滥用，在更有效的使用通讯资源的同时，它也不会降低网络的性能。UTM也是易于管理的设备，它的功能包括：应用层服务，例如病毒防护、入侵检测、垃圾邮件过滤、网页内容过滤以及IM/P2P过滤服务;网络层服务，例如防火墙、入侵检测、IPSec与SSL VPN，以及流量控制;管理服务，例如用户认证、设备管理设置、安全的web与CLI管理访问，以及SNMP功能。

　　但是建议在开启UTM虚拟域功能的同时，不要再使用UTM上的其它功能。因为虚拟域功能在逻辑上就相当于，在不增加任何UTM硬件资源的情况下，又虚构出一个UTM设备，所以虚拟域功能会占用大量UTM设备上的CPU、内存等资源，这时若再启用UTM上的其它功能，必定会大大增加UTM的负荷，这其实也就给它的使用带来了不稳定因素。因为所有设备在超负荷的运行下，故障率都会大大增加。所以建议在没有特殊需求的情况下，使用UTM虚拟域功能时，不要过多开启UTM上的其它功能。