下载文档原格式
网络安全领域中双重防火墙体系的构建一、网络安全领域双重防火墙体系概述网络安全是现代社会中一个至关重要的领域,随着互联网技术的飞速发展,网络攻击和数据泄露事件频繁发生,给个人、企业乃至国家带来了巨大的损失。
为了有效应对这些安全威胁,构建一个强大的网络安全防护体系显得尤为重要。
双重防火墙体系作为一种先进的网络安全防护技术,通过在网络中设置两道防线,可以有效提升网络的安全性和稳定性。
本文将探讨双重防火墙体系的构建、重要性、挑战以及实现途径。
1.1 双重防火墙体系的核心特性双重防火墙体系的核心特性主要体现在以下几个方面:- 高效防护:通过设置两道防火墙,可以有效拦截和过滤网络攻击,保护网络内部的安全。
- 灵活性:双重防火墙可以根据不同的安全需求,灵活调整防护策略,适应不同的网络环境。
- 可扩展性:随着网络规模的扩大,双重防火墙体系可以方便地进行扩展,满足不断增长的安全需求。
- 可靠性:双重防火墙体系通过冗余设计,提高了系统的稳定性和可靠性,确保网络在遭受攻击时仍能正常运行。
1.2 双重防火墙体系的应用场景双重防火墙体系的应用场景非常广泛,包括但不限于以下几个方面:- 企业网络:企业网络中存储着大量的敏感数据和商业机密,通过双重防火墙体系可以有效保护这些数据的安全。
- 政府机构:政府机构的网络安全直接关系到国家的安全,双重防火墙体系可以为政府网络提供强有力的安全保障。
- 金融机构:金融机构的网络安全关系到经济的稳定和金融的安全,双重防火墙体系可以为金融机构提供全面的安全防护。
- 教育机构:教育机构的网络安全关系到教育数据的安全和学生的个人信息,双重防火墙体系可以为教育机构提供可靠的安全保护。
二、双重防火墙体系的构建构建一个有效的双重防火墙体系是一个复杂而漫长的过程,需要从多个方面进行考虑和设计。
以下是构建双重防火墙体系的关键步骤和方法。
2.1 需求分析需求分析是构建双重防火墙体系的第一步,需要对网络的安全需求进行全面的分析和评估。
网络安全整体构建的思路与方法引言网络安全对于任何企业和组织来说都至关重要。
随着信息技术的快速发展,网络安全威胁也在不断增加。
因此,构建一个强大的网络安全体系变得尤为重要。
本文将探讨网络安全整体构建的思路与方法。
思路构建网络安全体系的思路可以分为以下几个方面:1. 网络风险评估:首先,我们需要对网络进行全面的风险评估。
这包括评估网络设备、应用程序和数据的安全漏洞,以及识别潜在的威胁和攻击者。
通过评估风险,我们可以更好地了解网络安全的薄弱环节,并采取相应的措施加以强化。
2. 安全策略制定:在评估风险的基础上,我们需要制定一套完善的安全策略。
安全策略应涵盖网络设备、应用程序和数据的安全保护措施,包括防火墙、入侵检测系统、访问控制和加密技术等。
安全策略的制定应充分考虑企业的业务需求和安全要求,确保网络安全体系与企业的整体战略相一致。
3. 技术实施和配置:一旦确定了安全策略,就需要进行相应的技术实施和配置。
这包括建立安全基础设施、配置防御系统和安全设备,以及加强对网络的监控和日志记录等。
同时,还应加强对员工的安全培训和意识提高,以确保他们能够正确地使用网络和应用程序,并及时报告任何安全问题。
4. 定期评估和更新:网络安全是一个不断演变的领域,新的威胁和漏洞不断出现。
因此,我们应定期评估网络的安全性并及时更新安全措施。
这包括对网络设备和应用程序的漏洞扫描、安全补丁的安装和更新,以及对安全策略的定期审查和更新。
方法在实施网络安全整体构建时,我们可以采用以下方法:1. 多层次防御:构建多层次的安全防御体系,包括网络层、主机层和应用层的安全防护措施。
这样可以提高安全性,使得攻击者更加困难地入侵和攻击网络。
2. 强化身份认证:实施强化的身份认证机制,包括双因素认证和单点登录等。
这可以有效减少身份伪造和恶意访问,增加网络的安全性。
3. 定期备份和恢复:定期备份重要数据,并建立完善的数据恢复机制。
这可以在遭受攻击或数据丢失时,迅速恢复业务运作,减少损失。
网络安全的设计步骤网络安全的设计步骤网络安全的设计是指针对网络系统和网络环境的各种威胁和风险,制定和实施相应的安全措施,以保护网络和其中的信息资源不受损害和侵犯。
下面是一个网络安全设计的基本步骤。
第一步:风险评估风险评估是网络安全设计的第一步,通过对网络系统和环境进行评估,找出潜在的威胁和风险。
评估包括了对网络系统的脆弱性评估、威胁分析和风险评估等。
通过对网络系统进行全面的评估,可以确定潜在的威胁和风险,并为后续的安全措施和策略制定提供基础。
第二步:安全需求定义在风险评估的基础上,制定网络安全的需求和目标。
根据风险评估的结果,确定需要保护的网络系统、资源和信息等。
同时,也需要考虑到组织的需求和业务流程,制定相应的安全需求和目标,确保网络安全的设计与组织的业务需求相匹配。
第三步:安全策略制定根据安全需求和目标,制定相应的安全策略。
安全策略包括了对网络系统和环境的访问控制、身份验证、数据加密、漏洞管理、事件响应和恢复等方面的规则和措施。
在制定安全策略时,需要综合考虑组织的实际情况和网络环境的特点,确保策略的可行性和有效性。
第四步:技术实现在安全策略制定完成后,需要进行具体的技术实现。
技术实现包括了网络硬件和软件的配置和安装等。
在配置和安装过程中,需要详细考虑安全策略的要求和网络环境的特点,确保安全策略能够得到有效的落地。
第五步:安全培训和意识教育安全培训和意识教育是网络安全设计过程中一个重要的环节。
只有用户具备了一定的安全意识和知识,才能更好的使用网络系统并遵守安全策略。
因此,需要对组织内的员工进行网络安全培训和意识教育,提高他们的安全意识和安全素养。
第六步:安全监控和管理安全监控和管理是网络安全设计的最后一步。
通过安全监控和管理,可以及时发现和解决潜在的安全威胁和风险。
安全监控和管理包括了对网络系统的实时监控、日志记录和分析、漏洞扫描和修复、事件响应和恢复等方面的活动。
通过安全监控和管理,可以提高网络安全的水平,并及时应对各种安全事件和威胁。
网络安全规划设计方案网络安全规划设计方案一、背景介绍随着互联网的普及和发展,网络安全已经成为了一个全球关注的焦点。
在这个数字化时代,企业和个人的信息安全越来越受到威胁。
因此,有必要制定一套科学合理的网络安全规划设计方案,以保护企业和个人的信息安全。
二、目标1. 提升网络安全意识:加强员工对网络安全的培训和教育,提升他们对网络安全威胁的意识,增强信息安全防范意识。
2. 建立安全监控系统:通过建立有效的安全监控系统,对网络流量进行实时监控和分析,及时发现和阻止任何异常活动。
3. 加强网络设备安全管理:针对网络设备,实施严格的访问控制策略,以及定期的安全漏洞扫描和安全补丁更新。
4. 强化数据安全保护:通过加密和备份等方式,保护重要数据的安全,防止因数据泄露或丢失导致的损失。
5. 提高网络应急响应能力:建立健全的网络应急响应机制,及时处理网络安全事件,最大限度减小损失。
三、具体措施1. 员工培训与教育:- 开展定期的网络安全培训,提高员工对网络安全的认识和意识。
- 发放网络安全手册和宣传资料,加强员工对网络安全知识的了解和掌握。
- 组织模拟网络攻击演练,提高员工对网络攻击的防范能力。
2. 安全监控系统:- 部署入侵检测和防御系统,对网络流量进行实时监控和分析,发现和阻止任何异常活动。
- 设置安全事件响应机制,及时处理和报告网络安全事件。
3. 网络设备安全管理:- 制定严格的访问控制策略,对网络设备进行用户身份认证和访问授权。
- 定期进行安全漏洞扫描和安全补丁更新,及时修复网络设备的安全漏洞。
4. 数据安全保护:- 对重要数据进行加密存储和传输,防止数据泄露风险。
- 定期进行数据备份,确保数据的可恢复性和完整性。
5. 网络应急响应:- 建立网络安全事件的快速响应机制,及时处理和报告网络安全事件。
- 成立专业的网络应急响应团队,提供专业的网络安全技术支持和应急响应服务。
四、实施计划1. 第一阶段(3个月):开展网络安全培训和教育,建立安全监控系统。
华三交换机做运用IRF2技术做虚拟化案例分析H3C IRF配置典型案例l进入系统模式l切换IRF模式l配置成员编号l配置成员优先级l配置IRF端口l使能BFD MAD检测l使能LACP MAD检测l配置保留端口l手动恢复处于Recovery 状态的设备l重定向到指定的Slave 设备l IRF 显示和维护l配置举例(BFD/LACP MAD)1.进入系统模式2.切换IRF模式3.配置成员编号注:配置完成员编号后需要重启该设备。
4.配置成员优先级IRF2配置前应该将接口手工SHUT(没连线都不行);12500系统默认都是SHUT的,95E以下必须手工SHUT5.配置IRF端口IRF2端口配置后应该将接口手工undo shutdown;然后关闭电源,连接IRF线缆,重启,IRF 形成。
6.使能BFD MAD检测注:此项与弟7项LACP MAD检测只能二选一,一般情况下使用BFD MAD检测。
7.使能LACP MAD检测8.配置保留端口9.手动恢复处于Recovery 状态的设备注:缺省状态下设备会自动恢复,只有Master设备产生故障且无法自动恢复时才进行手动恢复,正常配置中无须配置此项。
10.重定向到指定的Slave 设备注:此命令用于配置备用主控板,如: “<系统名-Slave#成员编号/槽位号>”,例如“”,正常配置中无须配置此项。
11.IRF 显示和维护12.配置举例一.IRF典型配置举例(BFD MAD检测方式)1. 组网需求由于网络规模迅速扩大,当前中心交换机(Device A)转发能力已经不能满足需求,现需要在保护现有投资的基础上将网络转发能力提高一倍,并要求网络易管理、易维护。
2. 组网图图1-1IRF典型配置组网图(BFD MAD检测方式)3. 配置思路为了减少IRF形成过程中系统重启的次数,可以在独立运行模式下预配置IRF端口、成员编号、以及成员优先级,配置保存后切换运行模式到IRF模式,可直接与其它设备形成IRF。
电力二次系统网络信息安全防护的设计与实现摘要:近些年,随着信息化进程的加快和信息技术的不断普及,网络中的计算机黑客群体变得愈发猖獗。
而为人民提供电力服务的相关企业正逐渐成为黑客肆虐的重灾区,因此,做好电力二次系统网络信息安全防护变得越发重要。
本文从相关工作的意义着手,全面分析了在当前电力系统安全防护中存在的问题,并提出了具体的设计策略,以期为我国的网络作息安全工作提供参考。
关键词:电力二次系统;网络信息安全;实现路径做好电力二次系统的网络信息安全防护能有效地阻止不法分子和黑客的入侵。
因为一旦电力系统由于二次系统的网络安全问题而出现故障,就会对城市电网的运行产生较大影响,进而导致巨大的经济损失。
所以,做好电力二次系统网络信息安全防护的设计,能够实现对电网的有效管理,并能及时发现和处理可能存在的安全问题。
因此,对电力二次系统进行网络信息保护,为电网的安全运行提供保障。
1.进行电力二次系统网络信息安全防护设计的意义电力是国民经济和正常生活的根本,保证电网的稳定、安全运行,关系到我国社会生产的正常运行。
随着我国工业化、现代化建设的迅速推进,人们对供电系统的安全性、可靠性提出了更高的要求。
中国是世界上最大的经济体,也是人口最多的国家,到2021年,全国GDP达到17.7万亿美元。
在人口密集的东部地区,电力负荷每年都在增长。
《“十三五”规划》并未明确规定未来五年全国GDP目标,但根据多个省份公布的统计数字,其总量至少翻了一倍。
经济的高速发展必然会对供电安全带来新的考验和挑战,一旦出现大范围的断电,就会对经济发展和人民的正常生活造成巨大影响。
因此,就二次系统的安全保护问题进行深入的研究与探讨,对于促进我国经济社会全面健康发展具有重大意义。
2.现阶段我国电力二次系统网络信息安全中存在的隐患问题2.1安全防护力度匮乏到目前为止,我国大部分地区供电局已将二次系统分为两大类,即管理信息和生产控制。
其中,按照企业的性质,可以将管理信息区分为办公管理区和生产管理区。
电力二次系统网络信息安全防护的设计与实现计算机技术在当下发展十分迅速,在智能化电力系统的构建中和电力管理的过程中扮演了十分重要的角色。
传统的人工控制法已在发展中被淘汰,取而代之的是更为复杂的自动化控制系统,但其在发展过程中也遇到较多安全隐患问题。
因此,需做好电力监控系统防护、二次防护,以保障电力系统工作稳定、安全。
标签:电力二次系统;网络信息安全防护;控制系统引言:电力二次系统发生大面积瘫痪,这样在一定程度上会为城市电网带来严重的影响,从而造成大量的经济损失。
对电力二次系统网络信息安全防护进行有效的设计,可以在一定程度上对电力系统进行实时监控,从而可以及时发现潜在安全隐患并进行解决。
所以对电力系统网络信息防护在可以为电力系统安全运作提供保障,具有促进作用。
1电力二次系统网络信息安全防护的意义电力二次系统网络信息安全是电力系统最重要的一部分工作。
自动化信息电力系统控制中,由于计算机技术的漏洞和系统设计的相关问题,使其具有一定不安全性,易受到不法分子和黑客的攻击,导致电力系统的控制问题,严重影响人们的正常生产和生活。
因此,需做好电力二次系统网络信息安全防护工作,对一次电力控制系统进行相应补充和辅助,使电力系统得到更为全面、安全地调控、监管。
2 现阶段我国电力二次系统网络信息安全存在的隐患问题2.1数据备份方式单一结合实践经验来看,电力系统在数据备份的选择方面上,主要呈现出单一化特点。
倘若数据备份方式过于单一,黑客以及不法分子很容易获取电力系统的相关数据,造成的后果是不可估量的。
与此同时,数据备份方式过于单一也很容易导致电力系统数据资源出现漏失情况,或者工作人员往往不确定某项数据资源是否存在,无法进行有效地核对工作,久而久之,电力系统很容易出现运行隐患问题。
2.2防病毒系统不合理目前,电力系统的防病毒系统存在不合理问题,多集中体现在管理人员忽略了病毒的传播途径是多种、多方式的。
举例而言,病毒可以通过远程控制通道或者其他移动介质潜入电力系统当中,对电力二次系统,如生产控制大区等造成严重破坏。
企业园区IRF2网络技术应用(一) -电脑资料企业园区一般是企业总部机关、生产、研发等重要机构的汇集区域,在网络建设中有较大的规模,企业园区IRF2网络技术应用(一)。
园区内部终端数量庞大、种类丰富,对网络业务的支持与变化一般要求有较大的灵活性;同时由于园区内人员集中,网络承载业务密集,一旦出现故障会产生较大影响面,因此要求园区网具有简洁架构、快速故障恢复能力、高可用性等特质。
1IRF2在园区应用的价值园区网络一般是大型交换网络,在这样一个交换平台上快速提供IT服务、保证业务被可靠访问是关键。
IRF2作为新一代交换机的核心特质,对提升整个园区网络的业务能力有很强的支撑作用。
IRF2能够在很大程度上实现对园区网络的逻辑改造:消除网络环路,极大简化网络运行和支撑业务设计。
IRF2本身的弹性能力更便于园区网络扩展,IRF2与交换特性的融合更便于园区PoE、WLAN、IP语音等网络应用的部署。
2基于IRF2虚拟化的园区网络设计2.1传统园区网络结构及挑战传统园区网络在组网设计上一般会遵循模块化设计思想,以企业内部部门、楼宇建筑为网络的模块组件,如图1所示。
图1 传统园区结构这种经典的设计方式将网络按接入、汇聚、核心规划成多层结构:为便于用户的扩展,一般将接入层网络设计为二层接入,并将用户端的三层网关设置在汇聚层设备上;同时为保证网关的HA能力,汇聚层采用双节点冗余组网;核心层也采用双节点组网以提升性能和冗余能力。
此种网络的汇聚与核心层结构清晰、运行持续稳定。
但是在网络接入层,受实际因素影响,部署时会产生纷繁复杂的拓扑结构,如图2所示。
图2 多业务复杂接入网络企业内部机构的灵活快速组合变化是支撑核心业务调整的基本要求,这种要求带来了基础网络随着IT发展的适应性调整。
当内部业务发生变化时,机构接入的网络结构也在不断变化,从而带来了接入网络结构的多样性和复杂性,并对接入层网络的快速、灵活扩展不断提出新的要求。
网络安全规划设计方案1. 前言随着互联网和信息化技术的快速发展,网络安全面临着越来越多的威胁。
网络攻击的手段不断升级和变化,给企业和个人的信息安全带来了严峻的挑战。
为了保障企业网络安全和信息安全,本文提出了一份网络安全规划设计方案。
2. 概述企业网络安全规划设计方案是指,企业在网络安全方面的规划布局和设计的方案,包括了系统的硬件配置、网络的拓扑结构、通信协议、防火墙、VPN、入侵检测、数据备份等多方面的内容。
本文将着重探讨网络安全规划设计方案的内容和要点,希望为企业的网络安全提供一些借鉴和参考。
3. 网络安全规划设计方案3.1 系统硬件配置在网络安全规划设计方案中,系统硬件配置是非常重要的一个方面。
企业需要根据自身的实际情况,选择适合自己的系统硬件配置。
在硬件配置方面,应该考虑网络的带宽、并发用户数、系统响应速度等多方面。
同时,在选择硬件供应商时,需要选择有信誉和有保障的厂商。
3.2 网络拓扑结构网络拓扑结构是指企业网络中,各种网络设备的连接方式及其排布结构。
在网络安全规划设计方案中,网络拓扑结构要考虑网络层级、网络拓扑结构的复杂度、故障恢复的时间等多个因素。
网络拓扑结构的设计应该减小故障影响,提高网络可靠性和可用性。
3.3 通信协议通信协议是指在企业网络中,实现各种数据交换的方式和协议。
在网络安全规划设计方案中,应该注重通信协议的选择。
通信协议应该具备高度的安全性,保证数据在网络中传输的安全性和稳定性。
3.4 防火墙防火墙是企业网络安全的第一道防线,它可以防止网络攻击和黑客入侵。
在网络安全规划设计方案中,防火墙是非常重要的组成部分,应该选择高度安全、易于管理和可靠的防火墙设备。
在防火墙的配置和维护中,应该注重防火墙规则的设置、防火墙日志的监控和备份等方面。
3.5 VPNVPN是虚拟专用网络的缩写,可以实现跨物理区域的网络连接。
在网络安全规划设计方案中,VPN是保证远程用户安全接入企业网络的重要手段。
随着企业对IT安全重视程度逐步增加,安全产品逐渐融合进企业总体基础架构基本规划中,网络产品(交换机、路由器)与安全产品(防火墙、IPS)成为支撑企业IT系统的基本构件。
H3C基于总体网络安全提供集成化最佳实践设计,目标是向企业客户提供在实际部署中的详细指导。
1IRF2对网络安全设计的提升
大多企业对于安全与网络在规划、设计、部署过程中的一体化结合存在着问题,如重视架构却不重视实践,重视组件齐全却忽略了网络与安全的配合对接。
而在一般安全设计过程中,考虑到网络设备、安全设备冗余性等高可靠性能,会出现多种复杂的设计拓扑,这些对实现安全目标提出了挑战。
当前H3C提出了全网IRF2架构,达到简化网络结构、简化网络规划设计、简化部署实施、简化运行管理,同时极大简化网络设备与安全设备之间的对接设计,进一步提升有效安全、可靠性安全。
2IRF2交换网络&防火墙组合设计
2.1IRF2交换网络与独立防火墙组合设计思路
当前,在的防火墙部署方案中,设计人员越来越倾向于使用更简单的组网结构来简化总体安全策略设计,使得在出现网络故障时更易于快速定位问题,或是安全事件发生时能够基于简单拓扑进行快速判定。
如图1所示,左图是一种常见的防火墙与交换机组网,右图采用IRF2技术后,网络拓扑并没有改变,但在设计上有了不同的考虑。
图1 防火墙交换机基本组网结构
H3C的防火墙都具备会话同步的热备份功能,使用专用的一条或两条带外线缆(双机热备专线)进行两台防火墙的会话信息进行同步,配合交换网络流量切换,可保证单台防火墙故障时应用流量不会中断。
经典的设计方式有路由模式和透明模式,双机冗余下均支持Active-Active
和Active-Standby方式。
如图2所示为防火墙双机热备工作在透明模式下,与IRF2交换机组的两种组网方式。
、
图2 双活透明防火墙+交换IRF2
左图的方式:两组IRF2与两台防火墙的互联接口配置两组连接网段,交换机对防火墙的端口均采用untagged方式,因此,可以保证两台防火墙在VLAN的配置上也达到一致,防火墙同时启动流路径非对称能力。
两组IRF2交换系统之间可以运行动态路由协议(防火墙允许相应的协议数据通过),所有数据流通过等价路由分担到两台防火墙所在的链路上,由于防火墙支持路径非对称功能,因此当某条数据流下行经过一台防火墙而上行经过另一台防火墙时,双机的状态会话仍能同步保持。
右图采用了一种更简单的方式进行组网:利用防火墙inline转发方式,即防火墙端口配对转发而不进行MAC地址查表转发,将交换机IRF2系统中不同成员的端口与两台防火墙分别连接,只在交换机IRF2系统端进行两条链路的LACP捆绑,这样将网络流量分担到不同防火墙,而在交换机IRF2系统不需要使用等价路由。
防火墙允许LACP协议报文通过,从而保证聚合链路的可靠性连接。
数据流在防火墙往返路径不一致的情况仍由路径非对称功能解决。
独立防火墙路由模式与交换机IRF2的组网基本也有两种方式,如图3所示。
无论哪种方式下,防火墙之间的带外状态同步专线需要可靠连接。
图3 防火墙路由模式+交换网络IRF2
左图方案:双机防火墙对上游、下游交换机IRF2系统均配置VRRP备份组,交换机组对防火墙只需要一个VLAN三层接口,防火墙备份组接口成员以Active/Standby方式运行,需在两台防
火墙上配置相同的对外静态路由下一跳分别指向交换机接口(10.1.1.1或10.2.1.1),而在每组IRF2交换机则只需配置一个三层接口和一条静态路由。
右图方案:各防火墙作为独立路由运行节点与IRF2交换系统组成动态路由区域,完全由路由协议控制数据流经的防火墙,两台防火墙之间相互同步会话状态信息,支持非对称流量安全检测。
2.2IRF2交换网络集成防火墙插卡设计思路
当前在交换机中集成防火墙等安全业务线卡已经成为数据中心基础安全实施的一个主流方向,这种架构促进了数据中心网络安全的快速部署、简捷运行。
早期的基本网络都是按照双机冗余结构进行设计与部署的,那么,在交换系统IRF2虚拟化环境下,防火墙等安全线卡与两台交换机的关系有所变化。
如图4所示,在双机冗余设备中插入多块防火墙(左图),通过IRF2对交换机进行了虚拟化整合,则这多块防火墙本质上如同插在一台交换机上(右图)。
图4 IRF2集成多块安全线卡
不同交换机集成安全功能变为一台交换机集成安全功能,安全线卡只面对一台虚拟交换机,一个网络交换单元,给设计上带来了更为方便的地方。
如图5所示服务器接入组网,IRF2集成防火墙,本设计采用了类似图3左图的基本结构。
图5 交换机IRF2集成防火墙路由A-S模式
本方案中,服务器群的网关设置在防火墙上,防火墙通过VRRP提供冗余,冗余备份组通过静态路由下一跳指向IRF2交换机三层接口,交换机之间通过IRF2消除了二层接入环路。
在集成防火墙路由模式下,还可以将防火墙进行虚拟化,逻辑分割成多个虚拟防火墙实例提供网络安全服务,如图6所示,在与图5相似的结构下,对每块防火墙线卡划分了多个逻辑实例,每一对虚拟防火墙工作在A-S方式,可选择Active实例分布在两块物理线卡上,从而达到负载分担和冗余备份的能力。
图6 交换机IRF2集成虚拟防火墙路由模式
在有些网络中,将防火墙运行在透明模式,目的是为了降低安全设备参与网络路由计算的压力.因此,通常情况下的双机集成安全透明模式都会引入网络环路,为消除环路影响,一般需要
启用生成树协议避免广播风暴。
同样,在IRF2交换结构下的防火墙透明模式,在逻辑结构下也存在二层网络环路,如图7左图所示;为消除环路的影响,提升整体网络可靠性和可用性能,图7右图所示,在防火墙线卡使能inline转发方式和状态同步非对称特性,将两台交换机与防火墙固联的两个万兆端口进行端口捆绑,基于目的IP和源IP的HASH算法进行流量分担达到对防火墙的负载分担效果。
此种方案下,从交换机进入防火墙的流量被聚合端口分担转发到防火墙,防火墙进行安全检测后将数据流从另一个VLAN二层返回交换机的万兆聚合端口,从交换机聚合端口进入的流量是不能又从这些端口再次出去的(包括广播和组播),因此有效防止了二层环路,同时防火墙自身解决流量往返路径不一致问题,使得此方案具备更简单和易用。
图7 交换机IRF2集成防火墙双机透明模式
3IRF2交换网络&IPS设计
3.1IRF2交换网络与独立IPS组合设计思路
由于数据深度处理性能消耗,独立IPS盒式设备一般情况下难以提供双机热备的组网方案。
图8 提供了两种在IRF2方式下的典型组网模式。
图8 独立IPS与交换机IRF2组网
图8左图使用IPS单机方式,将IPS四个端口进行同段划分,保证IRF2两条链路双向流量路径不一致时也能够维持应用的状态。
图8右图采用了IPS双机结构,但是为维持应用的状态会话在一台IPS设备上,在两层IRF2之间的链路上针对动态路由cost值进行了区分设置100和500,IRF2在网络上作为一个逻辑节点,选路的结果是优先采用cost值为100的链路,而cost值为500的链路动态作为备份链路。
3.2IRF2交换网络集成IPS插卡设计思路
IPS作为线卡集成到交换机,安全检测流量是预先定义并重定向到IPS上的,在一般的双机条件下,两台交换机之间是一种完全松耦合的路由关系,针对不同设备上的IPS无法起到相互备份和负载分担的作用。
但是在IRF2架构下集成多块IPS后,各IPS在整个IRF2结构上均被整合,即IPS所在物理端口在IRF2全局可见、可被访问控制流规则所引用,因此,多块IPS线卡集成后,可在方案设计上将其性能叠加起来,如图9所示,多块IPS线卡如同多台IPS独立设备可并行使用。
图9 IPS线卡在IRF2上可并行使用
如图10所示为两块IPS线卡与IRF2交换系统的配合关系,以一条流(一种应用服务)为例,对于进入IRF2系统的下行流量,基于目的地址网段进行流分类配置两条业务重定向规则,如将目的网段为10.2.0.0/16的数据流以高优先级重定向到IPS-B线卡进行检测,另一条重定向到IPS-A的规则优先级低,入方向数据重定向到IPS并经过深度检测后返回交换机IRF2系统进行正常交换转发到目的端口,对于返回的流量,则针对源IP网段进行类似的数据优先重定向到IPS-B(IPS-A作为备份),这样使得往返数据流在同一块IPS线卡。
图10 交换机IRF2集成IPS双线卡
此方案基于不同的IPS所在交换机端口进行了业务分流负载分担,同时,当其中一块IPS
线卡被拔出交换机,交换机与IPS之间的联动协议将检测到IPS不在位,并取消针对此IPS的ACL高优先级策略,而使得低优先级策略得到下发,从而提供了IPS之间的冗余能力,当所有IPS 不在位,ACL策略全部失效,数据流通过IRF2交换机正常转发,不中断业务流量。
对于不匹配ACL重定向规则的流量,只经过交换机转发,不通过IPS检测,因此,此种方案更适合对企业重要应用系统和网络区域的深度防护。
IRF2技术本身是针对交换网络的简化和优化技术,但在当前网络安全集成一体化的趋势下,以IRF2架构来进一步简化网络安全服务的部署,是H3C当前提供可用的最佳实践指导的基本内容。
