在线工博会

思科FWSM模块的网络虚拟化应用
数据中心虚拟化,以及云计算概念的提出,是未来数据中心的发展方向,尤其在有限的物理环境里,能够满足不同环境及需求的应用部署。更加体现了虚拟化逻辑划分的重要性。这里提出一个新的改进方案.利用思科FWSM防火墙模块设计在多环境需求下的虚拟化数据中心网络。
1、Cisco FWSM防火墙模块功能及相关技术介绍
Cisco FWSM防火墙是一种高速的集成化的防火墙,可以提供业界最快的防火墙数据传输速率:5 Gb的吞吐量,100000 C/S,以及1000000个并发连接。在一个设备中最多可以安装4个FWSM防火墙模块,因而每个设备最高可以提供高达20Gb的吞吐量。作为世界领先的Cisco PIX防火墙系列的一部分,FWSM可以为大型企业和服务供应商提供无以伦比的安全性、可靠性和性能”。
FWSM采用了Cisco PIX技术,并且运行Ciseo PIX操作系统(OS)——一个实时的牢固的嵌入式系统。可以消除安全漏洞,防止各种可能导致性能降低的损耗。这个系统的核心是一种基于自适应安全算法(ASA)的保护机制,它可以提供面向连接的全状态防火墙功能。利用ASA,FWSM可以根据源地址和目的地址,随机的TCP序列号、端口号,以及其他TCP标志,为一个会话流创建一个连接表条目。FWSM可以通过对这些连接表条目实施安全策略,控制所有输入和输出的流量。
FWSM防火墙服务模块安装在Cisco Catalyst 6500系列交换机或者Cisco 7600互联网路由器的内部,Cat6K的任何端口都可以充当防火墙端口,并且在网络基础设施中集成了状态防火墙安全。对于那些机架空间非常有限的系统来说.这种功能非常重要。Cisco Catalyst 6500真正成为了那咎需要各种智能化服务(例如防火墙接人、人侵检测和虚拟专用网(VPN))和多层LAN、WAN与MAN交换功能的客户的首选IP服务交换机。
FWSM可以支持5Gb的吞吐量。因而可以提供无以伦比的性能.让用户无须对系统进行彻底的升级,就可以满足未来的要求。在Catalyst 6500中最多可以添加到4个FWSM,以满足用户不断发展的需求。
FWSM防火墙模块建立在Cisco PIX技术的基础之上。并使用了同一个经过时间检验的Cisco PIX操作系统--个安全的实时的操作系统。FWSM可以利用行之有效的Cisco PIX技术检测分组,从而可以在同一个平台上提供性能和安全的独特组合。FWSM可以提供所有防火墙中最佳的性能价格比。由于FWSM防火墙模块是基于Cisco PIX防火墙的。所以培训和管理成本都很低,而且由于它是集成在Cat6K设备内部的。所以大大减少了需要管理的设备的数量。Ciscm PIX设备管理器的直观的图形化用户界面(GUD可以用于管理和配置FWSM”。
FWSM高端防火墙部署在企业园区的数据中心的网络拓扑中。今天的企业不仅仅需要周边安全.还需要连接业务伙伴和提供圃区安全区域。为企业中的各个部门提供安全服务。FWSM防火墙可以通过让用户和管理员以不同的策略在企业中设立安全域,提供一种灵活、经济及基于性能的解决方案。
利用FWSM高端防火墙.用户可以为不同的VLAN制定相应的策略。以此来分割不同环境在数据中心中的作用。起到逻辑域的概念。数据中心也需要用状态防火墙安全解决方案来保护数据,并以尽可能低的成本提供千兆位的性能。FWSM防火墙可以通过在防火墙中提供最佳的性能价格比,最大限度地提高资本投资效率,让客户可以放弃过去那些需要另购防火墙负载均衡设备的、价格昂贵的防火墙产品。同时.它由于直接可以作为Cisco 6K系列交换机的一部分,共享背板的带宽,而不需要旁路接入.大大增强了数据吞吐量及使用便利性.也不会造成路由配置的复杂化”。
2、设计网络拓扑
10台Cisco 6509交换机构成了数据中心的主题网络,主题架构为三层架构,即核心层、汇聚层和接人层。三层路由终结在汇聚层交换机。接入则是二层交换接入。
物理上,生产区与预生产区分开.有效地隔开了相互之问的硬件和软件影响。但是在一般多环境的数据中心。在应用开发的标准中会有基本的开发(Dev)、系统集成(SIT)、用户验收(UAT)和生产(PROD)区域。所以在多环境的部署上,需要网络进行逻辑上的划分,有效地隔离各个环境的独立和稳定性,同时又能够节约有限的资源。在这一节,将会详细描述在FWSM模块的功能上。建立逻辑的Context,满足多环境部署的数据中心虚拟化的要求。
3、基于FwSM模块的多环境虚拟化设计
FWSM的配置比较灵活,有许多可以选择的配置方案,比如支持路由模式和透明模式。
路由模式下可以运行Passive RIPv1/v2和OSPF动态路由协议;2个FWSM模块可以配置Stateful Failover结构,不需要Licerme;另外,FWSM有虚拟防火墙的概念.即通过配置(配置Secruity Context),一个FWSM模块可以做成多个相互独立的防火墙(Security Context)使用,但需要有License。在没有License的情况下,一个FWSM可以配置成2个Security Context。在License支持下,最多可以配置100个security context。
在实际业务环境中,网络系统的二层结构中包含了许多应用环境,每种应用环境下,有一些VLAN与之对应。VLAN的总数取决于应用环境的数量。考虑到在数据中心网络环境中。应用环境相对较多,同时对各个环境之间访问控制要求更加精细,而在注重安全性的同时又需要保证整体数据中心网络运行可靠性。因此,采用多独立防火墙(Multiple Security Context)加透明防火墙模式来完成该区域网络安全的控制需求。每个应用环境属于一个虚拟防火墙(Security Context),根据每个应用环境VLAN数量的多少,分别在对应的虚拟防火墙内配置相同数量的桥组(Bridge Group)。一个桥组负责处理一个VLAN的数据流。
此外,应用环境物理上分为2个区域:生产区和预生产区。生产区包含诸如Infrastructure、Telephony、Map Supplier、Global Production和Local Production;预生产区包含诸如DEV、SIT和UAT,生产区域有PROD环境。分布在生产区和预生产区的网络设备环境为这些环境提供了基础连接.如Catalyst 6500上的防火墙模块、CCS及交换机上的IP地址搭建起所有VLAN内部和外部间的通信。在每个应用环境中,VLAN的定义如下:
Data Vlan:用于数据通信,独立于每种环境。
Backup Vlan:用于备用,独立于每种环境。
Management/Monitoring Vlan:用于管理和监控,独立于每种环境。
Heartbeat Vlan:用于服务器cluster,分布层交换机不分配此VLAN的网关。因此不会在网络中路由。
上面列出的应用环境的VLAN在FWSM中分别对应一组inside和outside VLAN。FWSM工作在透明模式,要求数据流量透过2个不同的VLAN。Production DATA vlan配置:
Firewall transparent
hostname CT01
enable password 8By2YjIyt7RRXU24 entrypted
names!
interface Vlan200
nameif data-inside
bridge-group 1
security-level 100!
interface Vlan250
nameif data-outside
bridge-group 1
Becurity-level 0!
Interface BVI1
description Global Production Data Vlan
FWSM策略通过2条ACL表分别应用在INSIDE端口和OUTSIDE端口上。配置举例:
access-list portal-in extended permit ip any any
access-list portal-out extended permit ip any any!
access-group portal-in in interface data-outside
access-group portal-out in interface data-inside!
由于FWSM为透明模式,相当于两层交换机。因此需要允许BPDU包,保证整个VTP域的STP收敛与两层防环路。配置如下.
access-list BPDU ethertype permit bpdu
access-group BPDU in interface data-outside
access-group BPDU in interface data-inside!
在CISCO防火墙中.为了保证安全,无法从OUTSIDE端口通过TELNET协议来远程登录和管理防火墙模块。因此需要采用SSH协议来完成远程管理工作。配置如下:
domnin-name onstar.com
crypto ca generate rsa key 1024
crypto ca save all
ssh 0.0.0.0.0.0.0.0 outside
ssh timeout 60
4、结语
随着IT业得爆炸性增长,硬件和软件性能不断提升,基于IT的行业解决方案将会被越来越多的企业所接受。所以数据中心的建设理念要求将会越来越苛刻,尤其是在多环境多业务的前提条件下,在有限的资金成本和物理设备采购下,虚拟化将带来非常好的数据中心解决方案,逻辑上的划分有效的解决了各个环境的相对独立性以及安全性。这里用Cisco FWSM模块进行了每个环境里部署相应的安全策略及基本路由配置,实现了一个企业级多环境部署的虚拟化数据中心模型。 9/19/2011


电脑版 客户端 关于我们
佳工机电网 - 机电行业首选网站