防火墙与交换机一体化安全保护

1.防火墙与交换机一体化安全保护目前在安全领域流行着将安全与网络基础设备融合的趋势，一种是在网络设备的功能基础上增加基于软件的安全功能，另一种是在网络设备上直接增加安全模块，包括防火墙模块，VPN模块,IPS入侵防御模块等，并逐渐得到广大用户的认可，从而网络设计达到了一个新的阶段，不再是在网络的基础上增加安全的设计，而是网络设计的初始阶段就是安全的网络设计，安全和网络自然的融为一体。最初的网络中防火墙设计经历了串联模式，单臂模式，发展到现在流行的融合模式，如下图所示111融合之美的发展Core单臂模式高速防火墙网络逻辑结构复杂，有时需要PBR支持，难支持FailOver，多设备难管理CoreCAT6K融合模式网络结构清晰,逻辑结构简单，易管理，部署，交换机所有端口可用,服务质量保证，带宽控制等Core串行模式独立防火墙串接结构，网络瓶颈，部署不灵活SwitchFWSM防火墙模块Switch独立防火墙独立防火墙高速防火墙§防火墙串接模式o单链路所有流量均需要通过防火墙，使之成为了网络瓶颈o部署不灵活，需要部署多个防火墙o管理困难o性价比差§防火墙单臂模式，为串接模式的改进型。o解决了瓶颈和部署不灵活的问题，提高了性价比o但网络逻辑结构变得复杂，一般都是采用路由的方式将流量导到不同的防火墙端口PDFcreatedwithpdfFactoryProtrialversion，端口定义很复杂、模糊，o必要时还需要交换机支持PBR策略路由来控制流量，从而在动态环境下，会存在无法支持热备份等问题o不同厂商的交换机和防火墙之间的互联互通有时会出现连接问题o难于管理§防火墙与交换机融合模式o网络逻辑结构清晰，交换机的每个端口均可作为防火墙的端口，相当于将防火墙的端口延伸到交换机上，端口定义可以非常清晰，可以支持众多防火墙端口o通过防火墙的流量控制很灵活，既可以通过路由来控制，也可以直接用VLAN来控制o容易管理和部署，防火墙和交换机为一体，由统一的软件CVDM进行管理，o交换机上的所有功能和防火墙融为一体，相当于增强了防火墙的功能，如服务质量保证，流量控制等，可以完全满足用户的各种需要o最高的性价比，实现对用户的投资保护1.1思科防火墙与交换机的融合安全硬件设备和网络设备的融合以思科的Catalyst6500交换机上提供防火墙模块为典型代表。思科Catalyst6500交换机通常作为网络的核心交换机，承载了绝大部分的网络流量，可谓是网络系统中的关键环节。在思科Catalyst6500交换机中可以应用多种安全服务模块，可以有效地保证用户网络系统与流量的安全，并且此时无须分别管理不同设备，可以大大提高针对安全事件的响应能力，提高系统的可管理性和整个安全系统的性价比。在骨干网络中使用安全服务模块可以有效降低网络拓扑的复杂程度，提高网络的运行以及管理的效率，使我们对网络的控制程度达到了一个新的境界。PDFcreatedwithpdfFactoryProtrialversion，这样就可以突破物理端口的限制，即使本机箱当中没有足够的物理端口，也可以利于VLANTrunk方式将二级交换机纳入防护体系当中。例如图1中所示，在防火墙的接口设置中，设计具有相当大的灵活性。一旦用户的需求发生变化时，只需要更改交换机的内部VLAN设置即可，不需要进行物理接口的变动。PDFcreatedwithpdfFactoryProtrialversion交换机高端防火墙可以采用虚拟防火墙以及透明防火墙的技术，从而更加有效地支持用户的安全需求。利用虚拟防火墙的特性，将一个或者多个互联网的接入线路直接终结在C6500交换机上，利用一个或两个以上的虚拟防火墙分别完成线路接入、路由处理以及地址翻译等工作，姑且将这一类虚拟防火墙称为外部防火墙。在这些外部防火墙的设置中，我们通常采用两端口或三端口的方式，后者主要考虑到对外服务器群的DMZ区域连接的问题，如图2所示。同时外部防火墙的内部端口分别与C6500的MSFC进行L3的连接，在路由处理方面可以采用静态路由的方式即可，简单有效。PDFcreatedwithpdfFactoryProtrialversion在处理好外部接入与防护问题之后，可以有选择性地保护一些内部资源，例如关键性服务器资源以及重要的用户群等，这样可以利用虚拟防火墙去分别连接此类资源，不同的是这些内部防火墙是用外部接口与MSFC分别互连，这样它们所保护的对象就处于防火墙的内部网段了，如图3所示。思科Catalyst6500交换机作为网络的核心设备，MSFC是一个中心的L3对象。以此为中心，对外可以通过外部防火墙进行外部的互连，此时整个网络均作为被保护对象处于外部防火墙的内部网段；同时，在面对内部需要保护的对象时，FWSM防火墙模块可以通过VLAN的灵活划分，利用内部防火墙有选择性地加以保护，此时的保护连接可以是L2，也可以是L3方式。比如说，普通的汇聚层交换机此时仍然可以通过L3的方式与C6500的MSFC进行连接，双方可以完成动态路由的交换，这样普通用户可以不受限制的接入，与传统网络设计没有什么区别。但是，如果认为某一台汇聚交换机所接入的用户安全等级比较高，此时就可以在MSFC与该汇聚交换机之间加入一个虚拟防火墙，只是此时防火墙的内部端口接的是汇聚交换机，外部端口接的是MSFC而矣。此时，该用户群就可以得到专门的防火墙保护了，任何针对该用户群的攻击都必须首先突破防火墙的防御，这样就可以有效提高内部的安全防护等级。当然，如果说保护的是一些关键性服务器等对象，也是可以采用内部防火墙的防护的，只是此时防火墙内部端口可以通过VLAN或VLANTrunk方式连接，只要将服务器的网关设为防火墙内部端口的IP地址就可以了。PDFcreatedwithpdfFactoryProtrialversion交换机高端防火墙时，可以通过FWSM的VFW功能，提供针对每个用户的安全保护增值服务，例如图4所示，我们可以在PE-CE之间加入VFW的保护，具体的安全策略可以由各个用户自行制定，也可以由电信运营商代理。PDFcreatedwithpdfFactoryProtrialversion