可管理性
防火墙规则和策略更改一直是一项艰巨的任务,需要仔细规划和更改窗口分配。这是因为防火墙在公共和安全段之间提供安全性,并且更改的更改可以完全阻止用户访问或创建安全性。同样的困难也适用于防火墙软件升级。
FWLB解决了这一问题,方便了设备的管理。由于防火墙是在一个组中进行负载平衡的,因此出于管理目的,可以将单独的防火墙去掉。这确保了用户流量不会被防火墙的变化中断。
防火墙可以通过从在CSM或通过阻断由CSM发送的探测配置防火墙农场去除它们可采取旋转出来。通过阻断或丢弃探测包,防火墙由CSM取出旋转动态。
防火墙的类型
正如我们前面讨论的那样,防火墙是实施网络段之间的安全策略的物理设备。有几种类型的防火墙,即:
基于数据包的防火墙
基于应用程序防火墙
应用程序网关或代理防火墙
第2层或隐形防火墙
基于防火墙
基于数据包的防火墙是第一代设备,用于在每包基础上强制执行策略。他们没有任何会话概念,没有应用层的理解。基于数据包的防火墙的简单形式是路由器上的访问控制列表(ACL)。ACL块或允许基于源或目标IP地址或两者允许的IP数据包。现在可以在可以提供有状态检查的路由器上提供更复杂的ACL。
基于包的防火墙的负载均衡很简单,因为会话状态不是在防火墙上维护的,所以可以在多个防火墙上基于每个包对相同的TCP连接进行负载均衡。换句话说,不对称流在此环境中是允许的。
图5-1.显示基于包的负载平衡防火墙的示例。由于这些防火墙是无状态的,特定连接的TCP SYN可以通过第一个防火墙,而从服务器到客户端的TCP SYN ACK可以通过第二个防火墙。
基于分组的负载均衡,防火墙
基于应用程序的防火墙
常用的基于应用程序的防火墙现在可以提供对话的状态检查以及网络地址转换(NAT)功能。Catalyst 650000上的PIX和防火墙服务模块(FWSM)是基于应用的防火墙。类似于基于硬件的负载均衡器,基于应用程序的防火墙在硬件存储器中安装允许的会话信息。这些防火墙不允许除了属于防火墙中的受管和已安装的会话之外的任何数据包。
的基于应用程序的防火墙的负载平衡是复杂的,因为它要求通过相同的防火墙发送的特定用户会话。换句话说,如果客户机TCP SYN通过防火墙A发送到达服务器,从服务器到客户端的TCP SYN ACK应该通过防火墙也。路径对称性需要维护,并且这通常通过使用一个源或目标地址来完成。源和目的地地址的哈希计算,以保持对所述客户端的TCP SYN和服务器的TCP SYN ACK响应的对称性。我们将在案例研究中进一步讨论这个问题。
图5-2显示负载平衡基于应用程序的状态防火墙的示例。请注意,在这种情况下,特定的TCP连接需要通过相同的防火墙。
负载平衡基于应用程序防火墙
应用网关或代理防火墙
基于应用网关的防火墙提供了会话的状态检查。它们不仅是会话意识,还熟悉创建会话的应用程序协议;例如,http,smtp和ftp。应用程序级网关不仅仅是过滤数据包和会话。它充当受保护的网络与互联网之间的网关。作为网关,它不允许任何数据包直接在互联网和受保护网络之间行进。
应用程序网关防火墙代理所有用户请求,并通过初始化到终端服务器的新连接来获取数据。终端服务器看到来自防火墙IP地址的请求。防火墙连接客户端和服务器端TCP连接,这样客户端从端服务器获取数据,而基于internet的端服务器不知道客户端的IP地址。这个功能看起来类似于NAT,但实际上是超越的,因为防火墙不只是隐藏内部客户的IP地址;它还实现基于应用程序的安全策略。
应用网关防火墙可以透明地实现,但大多数都在实施代理人时尚。这就是为什么他们也被称为代理防火墙。
负载平衡的代理防火墙需要从内部网络的会话负载平衡到仅限互联网。从Internet到内部网络,数据包始终将其交给正确的防火墙,因为目的IP是防火墙的物理IP。因此,确保了会话的动态对称性。
图5-3显示了负载平衡的代理防火墙的示例。请注意,在这种情况下,防火墙代理客户端请求,然后设置与结束服务器的单独连接。在这种情况下,客户端/服务器会话是通过相同防火墙的负载平衡。防火墙代理客户端连接并发出与Internet服务器的连接。客户端向负载均衡器上的VIP发送初始请求,并将请求转换为VLAN 3上的防火墙IP。
负载平衡代理防火墙
第2层或隐形防火墙
层2或隐形防火墙也被称为“凸块上的线”防火墙。这些防火墙没有任何IP地址,他们根本桥两段或VLAN之间的通信。这两个领域或VLAN共享同一个IP子网和广播域。换句话说,这些是可以与分组和会话检查一起执行第2层转发不可检测的第2级的设备。
负载平衡隐形防火墙相当复杂,但Cisco CSM模块支持。对于负载平衡隐形防火墙,防火墙在任何一侧都连接到唯一的VLAN - 即公共或私人侧。公共侧VLAN连接到特定的CSM对,私有或内部VLAN连接到另一个CSM对。防火墙桥接私人和公共VLAN之间的流量。这意味着,即使它们是不同的VLAN,它们也是相同的广播域。CSMS配置了所有VLAN上的别名IP地址,并且它们通过将数据包转发到远程CSM的别名IP地址来平衡防火墙的流量。换句话说,防火墙服务器Farm包含远程CSM对上的别名IP地址。配置隐形防火墙,使得所有流量在该VLAN的两个方向上移动通过防火墙。
图5 - 4显示负载平衡第2层或隐藏防火墙的示例。注意,每一个二层防火墙存在于一个单独的VLAN对和子网中。VLAN对(如VLAN 2和VLAN 12)用于合并广播域,业务子网为10.1.2.0/24。
负载平衡隐形防火墙
案例研究:防火墙负载均衡
既然您了解不同类型的防火墙和FWLB背后的动机,您可以了解如何通过多个安全段部署相当复杂的FWLB解决方案。部署FWLB时,了解对防火墙的负载平衡的应用程序的流程是至关重要的,无论它们是否都在互联网上或入站到DMZ。需要多个连接的应用程序,也称为伙伴关系,例如FTP,需要在设计中考虑和考虑。对于这些应用程序,您需要确保属于同一用户会话的两个连接都经过同一防火墙。
在本案例研究中,我们将研究一个特定的客户部署,其中CSM用于负载平衡防火墙,具有三个安全段,即一个INET、一个DMZ和一个LAN段。下面的案例研究背后的思想不仅是理解概念,而且是理解实现细节。为了充分理解示例部署,我们将查看:
服务器和应用程序需求
安全需求
基础设施需求
设计选项
测试和验证
服务器和应用程序要求
本案研究的服务器和应用要求定义如下:
应该在LAN段的管理站中直接在DMZ中直接管理。
服务器也应能启动应用软件补丁和驱动程序升级会话。
DMZ中的服务器数量约为300台。
在DMZ中负载的主要应用程序是基于HTTP和HTTPS。
持久性是需要基于HTTPS的应用程序。
基于tcp的探针是可以的。
从LAN直接访问DMZ服务器使用的是长期存在的流,至少有三个小时的空闲超时。
FTP协议用于LAN段和DMZ段服务器之间。
安全要求
本案研究的安全要求如下:
主要需求是将来自所有三个部分的流负载平衡到防火墙。
首先关键于通过防火墙在发送连接之前验证的每个网络路径;也就是说,LAN的用户流量只能通过具有其DMZ段接口功能的防火墙向DMZ发送。
FTP和其他具有多连接的应用程序应在同一防火墙上发送。
高可用性至关重要。
防火墙不共享状态表;也就是说,每个防火墙都不知道其他防火墙的会话状态。
基础设施需求
本案例研究的第二层和第三层基础设施需求如下:
最小化对内部网关协议(IGP)域的破坏
在当前的第2层和第3层基础设施中无缝集成CSM
在防火墙出现故障时,需要健壮的故障转移
在数据中心设计雷竞技电脑网站中,为了满足先前提到的要求,CSMS配置在桥接和路由器模式的组合中。图盘中显示正在部署的物理拓扑。
FWLB设计考虑因素
以下是您需要考虑成功部署的设计的一些关键方面:
使用适当的ICMP探测来跟踪防火墙的所有链接。如果所有的道路都不被监视,就很容易减少交通。
为服务器和客户端vlan配置催化剂之间的端口通道。该端口-通道应排除CSM容错(FT) VLAN。
配置另一个端口通道,其中包含至少两个CSM FT VLAN的快速以太网接口。
多层交换特性卡(MSFC)应该只在CSM的客户端或服务器端VLAN上有第三层存在。如第3章所述,可以通过在MSFC上使用基于策略的路由(PBR)来消除这一限制。
多段FWLB设计的物理拓扑
MSFC应该将相关流量路由到csm的别名IP。
csm需要将相关流量路由到MSFC的HSRP组IP。
将防火墙和服务器分布到两个Catalyst 6500s上。一定不能有单点故障。需要采取端口通道等措施来避免脑裂,当主备设备都成为活动设备时,就会发生脑裂。
在FWLB中,虚拟服务器配置中的虚拟ip (vip)作为路由。确保使用适当的子网等等。创建路由循环非常容易。
虚拟服务器配置中的VLAN X选项非常重要。这是为了确保来自适当vlan的连接能够命中VIP地址。换句话说,这在增强安全性和防止路由循环方面为您提供了更多的控制。
图5 - 6显示考虑FWLB设计的逻辑拓扑。
多段FWLB设计的逻辑拓扑
FWLB探针
为了确保通过防火墙的路径可用,使用ICMP探针。ICMP探针配置了地址命令用于定义需要ping的地址。这地址关键字使CSM发送探针到定义的地址,而不是真实的IP(防火墙的IP)。CSM使用实服务器的MAC地址发送探针穿越每个防火墙。下面以DMZ段csm的别名为例进行说明。CSM确保它通过防火墙的所有链接发送ICMP回送。接收请求的CSM返回接收请求的链接上的响应。这样,所有路径都由CSM监控。
在探测配置中,间隔那失败的,重新审可以调整值以达到所需的效果。例如,一个间隔值为5的探针,重试值为3,并且失败的值为30每3秒发送探针,并且3个连续探针的故障导致服务器被标记为失败或向下。因此,将服务器关闭需要15秒钟。在延迟30秒后再次发送探针,看看服务器是否已备份服务。
Cat6500_01(Config-Module-CSM)#probe DMZ ICMP Cat6500_01(Config-SLB-Probe-ICMP)#?SLB ICMP Probe Config地址探测目的地IP地址默认设置命令将命令设置为其默认值退出退出探测探测器失败的时间失败的时间在探测之间的失败服务器间隔时间内的失败服务器间隔时间内的ops ops ops oders ob oder and命令或设置其默认值在秒内接收最长时间的最长时间对于Real Server的回复重试,在标记Real Server Failed Cat6500_01(Config-SLB-Probe-ICMP)#之前,在标记Real Server Failes之前重试次数的次数探测DMZ ICMP地址11.8.200.65间隔5!serverfarm out_dmz没有nat服务器没有nat client real 11.8.200.43 Inservice Real 11.8.200.44 Inservice Real 11.8.200.45 Inservice探测器DMZ!
防火墙的流量
要在防火墙上加载余额流量,请使用防火墙的IP地址创建服务器场。防火墙必须是第2层 - 与CSM相邻。MSFC.必须防火墙VLAN中没有三层接口。为了让流量通过防火墙路由,用户需要创建一个虚拟服务器,该虚拟服务器有一个VIP,该VIP定义了通过防火墙的路由。发送到指定VIP的流量将在防火墙组之间进行负载平衡。请注意,在下面的配置示例中,在虚拟服务器DMZ上配置了一个VLAN标记10。此配置命令确保虚拟服务器只考虑VLAN 10(客户端VLAN)的流量。这用于安全目的,也可以防止路由循环。
!serverfarm out_dmz没有nat服务器没有nat client real 11.8.200.43 Inservice Real 11.8.200.44 Inservice Real 11.8.200.45 Inservice探测器DMZ!虚拟服务器DMZ虚拟173.73.248.0 255.255.248.0任何VLAN 10服务器农场OUT_DMZ重复CSRP粘复制CSRP连接持续再平衡在职!
这csrp复制粘在上面的配置中不需要命令,因为没有配置粘性组。此命令用于在主动和备用CSM之间同步粘性数据表。
来自防火墙的流量
CSM不是路由器。它不知道如何处理任何IP数据包,除非使用虚拟服务器或静态路由和网关进行配置。我们需要以下配置以使CSM适当地处理来自防火墙VLAN(12)的流量。这是一个全能的虚拟服务器,它说:预测转发任何来自VLAN 12的没有流的数据包。预测-前进是指定义的路线;在本例中,它是默认网关。这任何虚拟配置中的关键字是指任何IP协议。
!serverfarm OUT_FW_CSM no nat server no nat client predictor forward !vserver OUT_FW_CSM virtual 0.0.0.0 0.0.0.0 any vlan 12 serverfarm OUT_FW_CSM replicate csrp sticky replicate csrp connection persistent rebalance inservice !
路由器或安全模式
路由器模式(也称为安全模式)形成在CSM配置为通过分别具有在客户端和服务器的VLAN两个不同的子网。从客户端VLAN中的服务器直接访问未在路由器模式允许的。一个例子可以看出上CSM1和CSM2。路由器模式在互联网细分为增强安全性使用。同样,桥接模式会工作为好。
module ContentSwitchingModule 2 vlan 10 client ip address 11.8.200.226 255.255.255.224 gateway 11.8.200.230 alias 11.8.200.225 255.255.255.224 !VLAN 12服务器IP地址11.8.200.34 255.255.255.224别名11.8.200.33 255.255.255.224!
该配置显示,别名IP 11.8.200.33使用由PIXS作为其上游默认网关。
桥接模式
在CSM上配置网桥模式,即客户端vlan和服务器vlan的子网和IP地址相同。在DMZ CSM和LAN CSM中都可以看到示例。网桥模式可以使广播流量无缝地通过CSM,也可以从前端直接访问服务器。
module ContentSwitchingModule 2 vlan 14 client ip address 11.8.200.66 255.255.255.224 alias 11.8.200.65 255.255.255.224 !Vlan 114服务器IP地址11.8.200.66 255.255.255.224 route 173.73.248.0 255.255.248.0 gateway 11.8.200.80 !
FWLB算法
在CSM可用的任何负载平衡方法可以用于FWLB。通常,默认平衡方法,循环赛,被使用。由于支持multiconnection协议,如FTP,在本设计是必需的,我们将在我们的配置中使用的预测IP哈希值。对于multiconnection协议,其中的一些连接客户端和其他服务器所开放的,你需要确保所有通过相同的防火墙属于同一个会话去连接,你将不得不使用源IP哈希用于传入连接和目的地IP哈希传出,或反之亦然。
Cat6500_01(config-slb-sfarm)#pre Cat6500_01(config-slb-sfarm)#predictor ?IP -hash源IP地址哈希算法(请使用哈希地址源)leastconns最小连接算法roundrobin roundrobin算法(默认)Cat6500_01(config-slb-sfarm)#predictor ha Cat6500_01(config-slb-sfarm)#predictor哈希?Cat6500_01(config-slb-sfarm)#predictor哈希add Cat6500_01(config-slb-sfarm)#predictor哈希地址?/nn or A.B.C.D IP地址哈希网络掩码destination目的IP地址哈希算法source源IP地址哈希算法Cat6500_01(config-slb-sfarm)#预测哈希地址
INET段的配置详细信息
下面是INET段CSM和Catalyst 6509的详细配置。
CSM配置
以下是完整的CSM配置,用于在INET段中使用。此配置显示VLAN配置,探测器,服务器场和虚拟服务器。
module ContentSwitchingModule 2 vlan 10 client ip address 11.8.200.226 255.255.255.224 gateway 11.8.200.230 alias 11.8.200.225 255.255.255.224 !VLAN 12服务器IP地址11.8.200.34 255.255.255.224别名11.8.200.33 255.255.255.224!探测DMZ ICMP地址11.8.200.65间隔5!探测LAN ICMP地址11.8.200.97间隔5!serverfarm out_dmz没有nat服务器没有NAT客户端预测器哈希地址源Real 11.8.200.43 Inservice Real 11.8.200.44 Inservice Real 11.8.200.45 Inservice Probe DMZ!serverfarm out_lan没有nat服务器没有NAT客户端预测器哈希地址源Real 11.8.200.43 Inservice Real 11.8.200.44 Inservice Real 11.8.200.45 Inservice Probe Lan!serverfarm OUT_FW_CSM no nat server no nat client predictor forward !虚拟服务器DMZ虚拟173.73.248.0 255.255.248.0任何VLAN 10服务器农场OUT_DMZ重复CSRP粘复制CSRP连接持续再平衡在职!VServer DMZ_V2 Virtual 11.8.200.64 255.255.255.224任何VLAN 10 ServerFarm Out_dmz复制CSRP粘滞复制CSRP连接持久重新平衡enservice!vserver lan virtual 11.0.0.0 255.0.0.0任何VLAN 10 ServerFarm Out_Lan复制CSRP粘滞复制CSRP连接持久重新平衡Inservice! vserver OUT_FW_CSM virtual 0.0.0.0 0.0.0.0 any vlan 12 serverfarm OUT_FW_CSM replicate csrp sticky replicate csrp connection persistent rebalance inservice !
催化剂6509层3配置
下面是Catalyst 6509上的Layer 3配置。CSM与MSFC连接的接口VLAN 10。VLAN 11用于连接MSFC和边缘路由器。
!接口VLAN10的IP地址11.8.200.231 255.255.255.224没有IP重定向待机1个IP 11.8.200.230待机1优先级105待机1待机抢占跟踪1 VLAN11!接口VLAN11的IP地址173.73.245.6 255.255.255.0没有IP重定向待机2个IP 173.73.245.10待机2优先级105待机2待机抢占跟踪2端口GigabitEthernet1 / 1待机2轨VLAN10!IP缺省网关173.73.245.1!IP无类IP路由0.0.0.0 0.0.0.0 173.73.245.1 IP路由11.0.0.0 255.0.0.0 11.8.200.225 IP路由173.73.0.0 255.255.0.0 11.8.200.225
DMZ网段的配置详细信息
以下是详细的CSM和Catalyst DMZ网段的6500点的配置。
CSM配置
以下是在DMZ段使用的CSM配置。在这一领域的注意,CSM执行双重任务。IT负载平衡服务器发起的业务跨越防火墙的LAN和INET段,同时装入入境跨应用服务器群HTTP和HTTPS请求余额。