【51CTO.com 独家特稿】目前,人们在享受网络带给人们工作、生活种种便利的同时,也饱受着各种各样网络安全问题的威胁,例如病毒、蠕虫、垃圾邮件、网站钓鱼和间谍软件等等。针对这些不安全的因素,我们需要在网络中部署不同的设备去对付它,例如防火墙、IPS、VPN、IDS和漏洞扫描等等。但同时部署这些不能相互通讯的多种网络安全产品,不仅提高了网络的复杂性,而且还增加了管理操作成本。这其实不是最佳的部署模式。
UTM(Unified Threat Management,统一威胁管理)就很好的解决了上面的问题。它是在一个硬件装置中集成了多种安全特性,带有防病毒、网络入侵监测、防垃圾邮件、VPN和Web过滤等功能。所有这些功能不需要一定被启用,但这些功能都集成在了UTM硬件上,一旦需要使用的话,只需开启即可。UTM在网络中的部署,增强了全面保护网络服务的灵活性,同时也降低了部署的复杂度。下面就以两则实例介绍UTM在实际中的应用。
一、UTM双机热备部署模式的应用
图1 UTM双机热备模式部署图
1、UTM双机热备的总体部署情况。
如图1所示,网络的核心层和接入层分别使用了两台Cisco 4506和两台Cisco 3560交换机,在Cisco 3560上接入有多个用户组,根据用户组所属部门的不同把他们划入到不同的VLAN中。在Cisco 4506和Cisco 3750之间接入了两台联想Power V UTM。两台Cisco 4506之间和两台Cisco 3560之间都是Trunk连接。设备间的连接情况如下所示:
- Cisco 4506A GigabitEthernet6/1 <----> UTM-A Port 1
- Cisco 4506B GigabitEthernet6/1 <----> UTM-B Port 1
- Cisco 3560A GigabitEthernet1/0/1 <----> UTM-A Port 2
- Cisco 3560B GigabitEthernet1/0/1 <----> UTM-B Port 2
- UTM-A Port 10 <----> UTM-B Port 10
联想Power V UTM设备支持在路由和透明模式下的主备和主主模式的高可用性配置,但它不支持全冗余的连接模式。在图1中,UTM工作于路由模式,HA监控Port 1和Port 2两个接口。两个UTM使用Port 10接口作为HA的心跳线接口。
两台Cisco 4506之间使用了思科专有协议HSRP,这样当任意一台4506故障,并不会影响网络中每个用户组对网络的正常访问。例如现在图1中,两台Cisco 4506因为使用HSRP协议,4506B处于备用状态,而4506A处于活动状态,也就是说Cisco 4506A具有三层路由功能,而4506B只有二层交换功能,不具备路由功能。
如果Cisco 4506A因为某种原因发生故障,整个交换机宕掉,因为HSRP协议的作用,Cisco 4506B马上会启用它自身的三层路由功能,从而接管4506A上的各种功能。若这时处于活动状态的UTM是UTM-A,因为4506A已经宕机,UTM-A就能监控到它上面的Port 1端口上已经没有数据,又因为HA一直监控Port 1和Port 2,所以这时HA就会启用UTM-B,让它由备用状态变为活动状态,而UTM-A由活动状态变为备用状态。这时连接到3560交换机上的用户组,原来访问核心交换机的数据都是通过UTM-A传输的,现在都改成通过UTM-B再传输到核心交换机。所以说图1中的配置模式,无论是核心交换机,或是UTM中的任意一台发生故障都不会影响到全网用户对网络的正常访问。Cisco 3560因为是接入层交换机,所以对它的可靠性要求不是很高,若其中的一台故障的话只会影响到很少一部分用户,所以Cisco 3560没有配置成负载均衡,或者是双机热备的模式。
在部署UTM双机热备模式时需要注意:双机热备中的UTM,必须是相同型号和相同软件版本的UTM才可以作双机热备;主主模式(Active-Active)的双机热备,支持对TCP会话的负载均衡;在双机热备的具体配置中,不要使用主设备的抢占模式。因为主UTM往往能抢占成功,但主UTM中的防火墙却不抢占,所以应用主设备抢占模式往往会导致UTM在功能应用上的混乱。
2、UTM双机热备的配置步骤。
(1)网络接口配置。因为在图1的部署模式中,两台UTM就相当于一台路由器,所以可以在UTM的WEB管理界面中的"系统管理"--->"网络"--->"接口"中,把Port 1和Port 2两个端口配置到不同的网段中,Port 1的IP地址为172.16.2.1,子网掩码为255.255.255.0,Port 2的IP地址为172.16.3.1,子网掩码为255.255.255.0。这时Port 1就位于网络172.16.2.0/24中,而Port 2就位于网络172.16.3.0/24中。
同时,接入到Cisco 3560上的用户组IP地址也都可以划入到网络172.16.3.0/24中。这样只需要在UTM上配置172.16.2.0/24和172.16.3.0/24两个网络可以互相访问的路由,就可以实现3560上的用户组对核心交换机的正常访问。Port 10接口作为UTM设备的心跳线接口,可以不配置IP地址。
图2 部署UTM的三种模式
(2)HA参数的具体配置。可以在UTM的WEB管理界面的"系统管理"--->"配置"--->"高可靠性"中对HA参数进行具体的配置。如图2所示,"高可靠性"的模式可以有三种选择,"单独"、"主动-被动"和"主动-主动"。在本例中选择"主动-被动"的模式,也就是双机热备的工作模式。其它参数的配置如图3所示。
设备优先级:缺省为128,优先级的值越高设备被选择为主设备的机会越大,可以根据实际的网络环境确定是否需要确定首选主设备。图中还有"虚拟集群"的选项,这也是联想Power V UTM上的一种功能,可以把一台物理UTM设备虚拟成两台独立的逻辑UTM设备来使用,这将在第"二"点中进行详细介绍。
图3 UTM双机热备HA参数的配置
密码:为HA同步的通讯密码,两台UTM设备必须设置相同的密码。
端口监控:为UTM设备检测端口,当该端口down时,设备切换。注意在没有完成双机协商前,不要配置"端口监控"。待设备完成双机同步后再配置"端口监控"。
心跳线接口:为HA设备的双机热备接口,填写数值的接口表示该接口支持双机热备,数值大的为主心跳接口。#p#
(3)互连两台UTM设备。用一根直通网线,也就是一根两端线序一样的双绞线,连接两个UTM设备的Port 10端口,并要保证双机线的畅通。UTM设备在进行双机热备工作时,只有主设备可以被管理,而且所有的配置均在主设备上完成,它会把配置自动同步到备用设备上。
(4)创建安全访问策略。也就是在UTM的WEB管理界面中的"防火墙"中配置将要在网络中应用的安全策略。例如,可以在"防火墙"中配置禁止连接在Cisco 3560上的某个VLAN中的用户访问核心交换机上的数据。同时,所有在主UTM上配置的策略会自动在两台设备上同步。
(5)双机热备的切换测试。若拔出接在UTM-A设备Port 1或Port 2上的网线,正常情况下活动的UTM设备就会切换到UTM-B上。然后重新访问UTM设备的管理IP地址,就可以观察到主、从UTM设备的切换情况。如果想要管理双机热备中的从UTM设备,就只能通过CLI,命令行的方式进行管理。先要登录到主设备上,然后再在主设备的CLI下对从设备的UTM进行管理。
3、小结。
(1)UTM HA集群。集群是由两台或更多的UTM设备组成一个HA集群。对于网络而言,HA集群可以对外界表现为单个UTM处理网络数据传输并提供常规的安全服务,如防火墙功能、VPN、IPS、病毒检测、web过滤和垃圾邮件过滤服务。
在HA集群中,单个的UTM设备称作为一个群集UTM。这些UTM共享安全策略与配置信息。如果一个群集UTM发生故障,集群中的其它UTM自动替换故障的UTM,承担该UTM所做的工作。群集将继续处理网络数据传输,并不间断提供网络安全服务。HA集群包括一台主要的群集UTM,也称为主UTM,与一台或更多的从属群集UTM,也称从属UTM。主UTM控制着整个群集的操作,根据群集的操作模式,主UTM发挥着不同的作用。
HA集群在发生故障后仍能够继续提供UTM功能的特性称作故障转移。UTM HA故障转移意味着你的网络不需要依赖一台UTM提供服务,可以安装额外的UTM组成一个HA集群。HA集群的另一个功能是负载均衡,该功能可以提高网络的使用效率。UTM群集通过分担处理网络流量并提供安全服务增强整个网络的性能。在网络中,群集可以作为单一UTM,不需要更改网络配置便可以增强网络的使用效率。
(2)UTM HA模式。联想POWER V UTM防火墙能够配置运行于"主动-被动(A-P)",或"主动-主动(A-A)"模式。"主-主"和"主-被"模式群集都能够运行于UTM的NAT/路由或是透明工作模式。"主动-被动(A-P)"模式集群,是由一台处理网络流量的主UTM以及一台或多台从属UTM组成。从属UTM,和主UTM连接,但并不处理数据传输。"主动-主动(A-A)"模式负载平衡所有群集UTM的网络流量。一个主动-主动HA群集由一台处理数据传输的主UTM以及一台或多台也同样进行数据传输处理的从属UTM组成。主UTM使用负载平衡策略分布并平衡HA群集中所有UTM的流量处理。
二、UTM虚拟域功能的应用
图4 使用UTM虚拟域功能前外网图示
1、使用UTM虚拟域前的网络部署情况。
单位在部署使用UTM虚拟域功能之前,有两个相互独立的网络,外网和专用网,网络部署图如图4和图5所示。两个网络共使用了三台联想Power V UTM,外网中两台,专用网中一台。
图5 使用UTM虚拟域功能前专用网图示
Power V UTM工作模式共有两种,NAT/路由模式和透明模式,如图6所示。外网两台UTM部署的是双机热备,工作模式是NAT/路由模式,具有路由功能,也就是UTM同时也相当于一台路由器,能学习路由,转发数据包,本身作为三层设备参与到用户环境中,可以控制多个VLAN之间的数据包流,对收到的数据包,能根据其目的IP地址进行转发。NAT/路由模式还支持UTM设备与802.1Q交换机、路由器之间创建VLAN Trunk,提高了用户对设备配置的灵活性。在图4中的UTM1和UTM2之间还有直接相连的心跳线,图示为了简洁没有画出。心跳线的作用是为了实现两台UTM设备的双机热备功能。在运行中主UTM会将状态信息、NAT信息备份到备用UTM中,若发生切换,备用UTM会保存完整的NAT转换信息,从而不会导致用户访问网络数据的中断。
图6 UTM的两种工作模式
在图4的逻辑拓扑图中,UTM1和UTM2分别与两台Cisco 4510的连接,图中只画出了一条连接线。在实际的部署中,每一台UTM和Cisco 4510的连接都有两根连接线。例如UTM1的Port 1、Port 2分别和Cisco 4510A的Gi6/1、GI6/2相连,其中Port 1和Gi6/1都是Trunk口,也就是二层端口,端口上都没有配置IP地址,它们之间属于Trunk连接。但在Port 1下可以配置多个三层的VLAN子接口,同时在这些子接口上也可以配置相应的IP地址。而Port 2是属于三层端口,它上面也配置了IP地址,Cisco 4510的Gi6/2端口,可以划入到4510A上的某个VLAN中。这样配置后,Port 1下面的多个三层VLAN子接口,就可以和Port 2的三层端口之间相互通信,因为它们都有IP地址,都属于某个子网,只有它们之间有可达路由,就可以相互访问。若不想让Port 1下面的某个三层VLAN子接口,和Port 2之间进行通信,就可以在UTM上配置相应的安全策略,从而阻止它们之间的相互访问。这也就是UTM设备,以旁路的方式接入到核心路由或交换设备上,并能实现UTM设备的三层路由功能的部署模式。最终通过在UTM设备的防火墙中配置安全策略,实现允许/禁止某类用户对特定数据的访问。#p#
而图5专用网中UTM的工作模式是透明模式,它是以"桥"模式运行的,本身只需要配置一个管理IP地址,不必占用任何其它的IP资源,也不需要改变用户的拓扑环境,设备的运行对用户来说是"透明"的,在网络设备上进行各种命令的配置时,就当不存在这个UTM一样,因为它是透明模式。它只对线路上的数据作安全检查,和安全策略上的限制,本身不会影响网络的整体架构和配置。这种模式在安装和维护UTM时,相对路由模式来说要简单很多。
因为单位在安全方面的严格要求,专用网中必须使用UTM设备。但是目前专用网中只有一台UTM,一旦UTM发生故障后,专用网将面临无安全防护的隐患。这种情况下,也可以考虑再购买一台和专用网中一模一样的UTM设备,这样把两台设备配置为双机热备,或负载均衡的模式,就是把买来的UTM作为冷备也可以。这样当其中的一台故障后,另外一台就可以马上替换掉有故障的一台。但一台UTM设备,因为它上面集成了多种安全功能,所以在价格方面也非常昂贵,一台至少也要十多万人民币,而单位经费紧张,所以考虑买UTM设备的办法行不通。我们经过查阅联想UTM的各种随机文档,发现它具有"UTM虚拟域"的功能。
其实,UTM虚拟域功能就是可以把一台UTM物理设备划分为多个虚拟域,每个虚拟域在逻辑上就相当于一台单独UTM物理设备,每个虚拟域也可以单独设置路由、防火墙策略、防病毒策略、IPS策略等。这样就可以为多个企业组织部署一个UTM,将其划分成若干个逻辑设备分配给不同的企业组织,并且为其设置相应的逻辑设备管理权限,这样每个被服务的企业组织可以单独管理安全设置,并查看相应的日志信息。
2、配置UTM虚拟域的具体步骤。
(1)在UTM WEB管理界面中的"系统管理"→"状态"界面中,首先要启用虚拟域功能,当然要是不想使用虚拟域的功能,也可在此选择停用其功能,如图7所示。图示中的"虚拟域"功能已经启用,点击"停用"就中止了UTM的虚拟域功能。
图7 启用或停用虚拟域功能
(2)在"系统管理"→"虚拟域"的管理界面中,点击"新建"的功能按钮,就能新建一个UTM虚拟域,并填写虚拟域的名称为ca,并配置虚拟域ca的"工作模式"为透明模式,如图8所示。
图8 新建虚拟域图示
(3)在"系统管理"→"网络"→"接口"的管理界面中,点击将要放入虚拟域ca的某接口的"编辑"功能按钮,在"虚拟域"的下拉菜单中选择虚拟域ca,如图9所示。
图9 把端口划入到相应的虚拟域中
(4)在新建的虚拟域中,配置防火墙的安全策略、防病毒功能和入侵检测功能。
(5)把专用网中,原来连接在专用网中的Cisco 3750和Cisco 2960上的两根接入到UTM上的网线,连接到UTM2上,新建虚拟域中的相应端口上。
图10 使用UTM虚拟域后网络结构图
3、使用UTM虚拟域后的网络部署情况。
改造后的网络结构图如图10所示。从图中可以看出,UTM2处于活动状态,也就是主UTM,而UTM1处于备用状态。因为在主UTM上所做的任何配置,都会同步到备用的UTM上,也就是在UTM1上也有一个和在UTM2上一模一样的虚拟域,此虚拟域也和原来专用网中的UTM功能是一样的。这样如果图10中的UTM2故障的话,因为双机热备模式的缘故,UTM1马上就从备用状态转变为活动状态,接管UTM2的各种业务,UTM2的状态也就从主UTM变成了备用状态。一旦UTM2变成了备用状态,在它上面的,替代原来专用网中的UTM的虚拟域也就从活动状态变成了备用状态,因为整个UTM2设备的状态都成为备用的了。
所以图10中,一旦UTM1和UTM2的运行状态发生变化后,网络工程师一定要尽快把接在专用网中两个交换机上的,连接UTM2的两根网线,接入到UTM1上对应的虚拟域的端口上。这样才能保证专用网再次安全稳定的运行。启用UTM虚拟域功能前的,原来专用网中使用的UTM已经断电不再使用。但它可以作为图10中,UTM1和UTM2的冷备。即使UTM1和UTM2两个设备都故障了,可以再把原来专用网中的UTM上电,同样可以保证专用网的安全正常访问。
UTM虚拟域功能的使用,在为单位节省一大笔经费的同时,也提高了专用网的安全性和可靠性。
4、小结
虽然UTM设备功能很强大,几乎现在所有安全产品的功能,在UTM中都能找到。它增强了网络的安全性,避免了网络资源的误用和滥用,在更有效的使用通讯资源的同时,它也不会降低网络的性能。UTM也是易于管理的设备,它的功能包括:应用层服务,例如病毒防护、入侵检测、垃圾邮件过滤、网页内容过滤以及IM/P2P过滤服务;网络层服务,例如防火墙、入侵检测、IPSec与SSL VPN,以及流量控制;管理服务,例如用户认证、设备管理设置、安全的web与CLI管理访问,以及SNMP功能。
但是建议在开启UTM虚拟域功能的同时,不要再使用UTM上的其它功能。因为虚拟域功能在逻辑上就相当于,在不增加任何UTM硬件资源的情况下,又虚构出一个UTM设备,所以虚拟域功能会占用大量UTM设备上的CPU、内存等资源,这时若再启用UTM上的其它功能,必定会大大增加UTM的负荷,这其实也就给它的使用带来了不稳定因素。因为所有设备在超负荷的运行下,故障率都会大大增加。所以建议在没有特殊需求的情况下,使用UTM虚拟域功能时,不要过多开启UTM上的其它功能。
【51CTO.com独家特稿,非经授权谢绝转载!合作媒体转载请注明原文出处及出处!】
