| 出版日期:2004-11-22 总期号:1366 本年期号:87 |
|
 |
网络配置无需动
——天融信防火墙在全冗余交叉环境中实现无缝接入 高山 目前,如何将防火墙无缝切入到既有的网络环境中,而又尽可能不改动网络配置,保证业务的稳定运行,特别是在全交叉冗余环境中如何无缝接入防火墙,是每个工程师和用户所面临的难题。 天融信充分考虑了企业业务的联系性,在全冗余交叉环境中实现了防火墙的无缝接入,通过这种接入方式,客户不需要更改任何既有网络设备的配置,减小了网络调整对业务产生的影响。 首先假设有如图1所示的全冗余交叉的网络拓扑。所谓全交叉冗余,指的是每个上联设备与每个下联设备都有物理连线,每个下联设备与每个上联设备都有物理连线。图1中的连线情况为: C1———A1;C2———B2;D1———A2;D2———B2。 
图1 如果在图1的每条连线中都添加一台防火墙,拓扑图如图2所示。如果此时是包过滤类型的防火墙并工作在透明方式下,此拓扑结构仍然工作稳定。现在我们考虑将两台防火墙合并为一台防火墙,这样从4台防火墙就可以降低到2台防火墙,此时有两种情况。 
图2 第一种情况,F1和F2合并为一台,F3和F4合并为一台。拓扑图如图3所示,圆圈中的两个接口为一个透明组,从左到右可当作上图的F1,F2,F3,F4。我们可以看到,下面的A路由器只上联了一台防火墙,不符合最初定义的全冗余交叉,此拓扑结构被排除。 
图3 第二种情况,F1和F4合并为一台,F2和F3合并为一台。拓扑图如图4所示,圆圈中的两个接口为一个透明组,右边两个可看作F1、F4,左边红圈可看作F3, 蓝圈可看作F2。图4中,每个上联设备与每个下联设备都有物理连线,每个下联设备与每个上联设备都有物理连线,符合最初定义的全冗余交叉。再看连线情况: C1——圈3——A1 C2——圈2——B2 D1——圈1——A2 D2——圈4——B2 
图4 连线情况与文中开始给出的全交叉冗余拓扑连线保持一致,也就是说:上图中,只要包过滤的防火墙支持两个独立的透明组,防火墙就可以无缝接入,并且不改变任何的网络配置,只需要将防火墙配置好后,跳好线即可。 现在将图4拓扑中的包过滤防火墙改为状态检测的防火墙,为了保证两台防火墙的状态表同步,其间必须添加状态同步STP线。拓扑图如图5所示: 
图5 此时,只要防火墙支持两个独立的纯透明组和状态表同步(STP)即可。天融信建议再增加一个接口用于管理。客户只需要采购两台天融信NGFW4000 扩展到6个接口,即可实现全交叉冗余环境中的无缝接入。为了方便管理和编写访问控制策略,最好还支持全局区域(Globle区域)。 该方案的本质就是将防火墙当作安全交换机来考虑,所以不建议在防火墙上再启用NAT、MAP、IPSEC等通讯策略。防火墙上要做的工作就是,将最后一个接口用于STP状态传输,其它接口放入不同的透明组。然后只启用访问策略,防火墙只做安全访问控制即可。 |
||||||||||||||||||||||||||||
