企業(yè)防火墻雙機(jī)試驗(yàn)淺析

摘要:作為企業(yè)網(wǎng)絡(luò)安全中的一個(gè)重要的角色，防火墻已是目前企業(yè)隔離網(wǎng)絡(luò)的重要安全設(shè)備之一。隨著信息安全技術(shù)的發(fā)展和革新，越來(lái)越多的安全產(chǎn)品也不斷的問(wèn)世，但硬件防火墻仍然對(duì)企業(yè)網(wǎng)絡(luò)的安全防御、區(qū)域劃分和網(wǎng)絡(luò)映射起著重要的作用。該文通過(guò)對(duì)目前國(guó)內(nèi)較普遍的防火墻在設(shè)計(jì)的不同網(wǎng)絡(luò)結(jié)構(gòu)中可靠性實(shí)驗(yàn)的部署和測(cè)試，分析了目前主流的基于狀態(tài)檢測(cè)的硬件防火墻在不同網(wǎng)絡(luò)結(jié)構(gòu)中的應(yīng)用及故障情況。通過(guò)對(duì)實(shí)驗(yàn)測(cè)試結(jié)果的分析，初步了解各種防火墻的基本特性、工作模式以及在實(shí)驗(yàn)設(shè)計(jì)的網(wǎng)絡(luò)結(jié)構(gòu)中存在的故障問(wèn)題，并通過(guò)不同的方案對(duì)故障進(jìn)行解決。另外了解和分析了不同廠商設(shè)備的雙機(jī)故障檢測(cè)方法及切換機(jī)制的不一致導(dǎo)致在故障檢測(cè)和切換時(shí)間上的差異，從而導(dǎo)致在 設(shè)備互連的網(wǎng)絡(luò)結(jié)構(gòu)中存在網(wǎng)絡(luò)中斷的故障現(xiàn)象。因此在企業(yè)設(shè)計(jì)出一個(gè)合理的網(wǎng)絡(luò)結(jié)構(gòu)是非常重要的，這不僅能夠讓企業(yè)用戶在一個(gè)安全的網(wǎng)絡(luò)環(huán)境中使用網(wǎng)絡(luò)服務(wù)，也能夠因企業(yè)壯大使得基礎(chǔ)網(wǎng)絡(luò)快速容易的進(jìn)行擴(kuò)容;同樣對(duì)于不同安全設(shè)備設(shè)計(jì)出合理統(tǒng)一的標(biāo)準(zhǔn)故障檢測(cè)切換算法的協(xié)議對(duì)改善不同廠商設(shè)備的互連網(wǎng)絡(luò)中運(yùn)行的協(xié)調(diào)和穩(wěn)定性具有一定的意義。該文的實(shí)驗(yàn)和研究對(duì)企業(yè)安全受控網(wǎng)絡(luò)區(qū)域的網(wǎng)絡(luò)參考部署具有有效的實(shí)驗(yàn)和應(yīng)用價(jià)值。

關(guān)鍵詞:防火墻;雙機(jī);狀態(tài)檢測(cè);VRRP

中圖分類號(hào):TP393文獻(xiàn)標(biāo)識(shí)碼:A文章編號(hào):1009-3044(2009)36-10454-03

隨著互聯(lián)網(wǎng)以及現(xiàn)代通訊技術(shù)的發(fā)展，以及用戶對(duì)服務(wù)品質(zhì)的需求，高可用性網(wǎng)絡(luò)已經(jīng)越來(lái)越成為Internet組網(wǎng)設(shè)計(jì)的目標(biāo)。因網(wǎng)絡(luò)中斷給用戶帶來(lái)的損失以及潛在損失已經(jīng)十分巨大，有研究表明，網(wǎng)絡(luò)停運(yùn)帶來(lái)的損失已經(jīng)高達(dá)幾百萬(wàn)美元/每小時(shí)，而由此帶來(lái)的隱性損失則更是難以估量。

在防火墻的可靠性試驗(yàn)之前，先了解目前防火墻的技術(shù)以及該技術(shù)特點(diǎn)對(duì)防火墻可靠性的影響，目前各類型的防火墻從其實(shí)現(xiàn)原理上來(lái)說(shuō)基于以下三大類:

1) 基于逐包轉(zhuǎn)發(fā)過(guò)濾的包過(guò)濾;

2) 通過(guò)檢測(cè)會(huì)話狀態(tài)基于會(huì)話流的狀態(tài);

3) 基于應(yīng)用代理方式的全代理。

這三種防火墻技術(shù)的優(yōu)缺點(diǎn)不作詳細(xì)討論，對(duì)于第一種逐包轉(zhuǎn)發(fā)過(guò)濾的包過(guò)濾防火墻因?yàn)槠洳荒芎芎玫膮^(qū)分和保護(hù)不同的區(qū)域，在運(yùn)行內(nèi)部網(wǎng)絡(luò)訪問(wèn)外部網(wǎng)絡(luò)的同時(shí)也提供了外部網(wǎng)絡(luò)訪問(wèn)內(nèi)部網(wǎng)絡(luò)的安全漏洞，因此這種防火墻技術(shù)在近年來(lái)屬于逐步被淘汰的技術(shù)，但是就可靠性而言，因?yàn)樵摷夹g(shù)采用逐包轉(zhuǎn)發(fā)過(guò)濾，對(duì)會(huì)話流的來(lái)回路徑不敏感，因此在不做Nat的時(shí)候，其冗余設(shè)備的備份可以做到平滑過(guò)渡，不過(guò)在啟動(dòng)了Nat功能的情況下，由于不同的設(shè)備很難做到對(duì)同一會(huì)話進(jìn)行相同的地址轉(zhuǎn)換，導(dǎo)致包過(guò)濾防火墻在Nat的應(yīng)用中也出現(xiàn)問(wèn)題。

對(duì)于基于應(yīng)用代理方式的全代理防火墻，由于其隔離了與外部網(wǎng)絡(luò)和內(nèi)部網(wǎng)絡(luò)的連接，它能給內(nèi)部網(wǎng)絡(luò)提供很好的保護(hù)，但是他的優(yōu)點(diǎn)同時(shí)也是最大的缺點(diǎn)，由于采用的是應(yīng)用代理的方式，對(duì)于應(yīng)用程序而言就不透明了，需要應(yīng)用程序?yàn)檫@種連接進(jìn)行適配;并且由于采用了全代理方式，其處理的性能要明顯低于其它兩種類型的防火墻。就可靠性而言，要做到雙機(jī)熱備的話，不僅要求會(huì)話的來(lái)回路徑一致，而且因?yàn)樗侨恚@要求每一個(gè)報(bào)文都需要適時(shí)地備份到備機(jī)上去，這種特性使得全代理方式的防火墻的雙機(jī)熱備實(shí)現(xiàn)起來(lái)很困難，在實(shí)際應(yīng)用中也很少見(jiàn)這種防火墻的備份方案。

下面我們將通過(guò)兩組實(shí)驗(yàn)討論基于會(huì)話流的狀態(tài)防火墻的可靠性問(wèn)題，所謂狀態(tài)防火墻是指用戶通過(guò)防火墻訪問(wèn)外部網(wǎng)絡(luò)時(shí)，會(huì)在防火墻上創(chuàng)建一個(gè)會(huì)話表項(xiàng)(該會(huì)話表項(xiàng)通常情況下會(huì)包含該會(huì)話的五元組信息——源/目的IP地址、源/目的端口、協(xié)議類型)，這樣從外面回應(yīng)的報(bào)文如果能匹配該五元組就能順利通過(guò)防火墻到達(dá)用戶，而從外面主動(dòng)發(fā)起的會(huì)話請(qǐng)求因?yàn)椴荒芷ヅ淙魏螘?huì)話表項(xiàng)，而被ACL規(guī)則過(guò)濾掉。這樣就可以提供給用戶不同級(jí)別的保護(hù)，從而有效地保護(hù)用戶的內(nèi)部網(wǎng)絡(luò)。目前大部分防火墻產(chǎn)品都是屬于這種技術(shù)的防火墻。由于這種基于會(huì)話流的防火墻要求每個(gè)會(huì)話的來(lái)回路徑一致，因此在做雙機(jī)熱備的時(shí)候?qū)M網(wǎng)有特殊的要求，以下將通過(guò)實(shí)驗(yàn)了解防火墻可靠性技術(shù)，以及實(shí)驗(yàn)過(guò)程中出現(xiàn)的問(wèn)題并提出的解決方案。

1 防火墻雙機(jī)試驗(yàn)組網(wǎng)及配置

單組防火墻雙機(jī)可靠性實(shí)驗(yàn)中采用設(shè)備有TOPsec NGFW4000 、JUNIPER SSG 520、 H3C Secblade III、H3C 9500系列及華為Quidway 6500系列交換機(jī)， sinfor互聯(lián)網(wǎng)安全控制產(chǎn)品。根據(jù)可靠性要求將網(wǎng)絡(luò)安全設(shè)備和交換設(shè)備進(jìn)行如下組網(wǎng)設(shè)計(jì)和部署，通過(guò)實(shí)驗(yàn)測(cè)試防火墻HA情況下不同安全區(qū)域的數(shù)據(jù)過(guò)濾及交換情況以及在該種模式和網(wǎng)絡(luò)結(jié)構(gòu)中存在的故障現(xiàn)象。

首先我們做單組防火墻雙機(jī)的實(shí)驗(yàn)，其網(wǎng)絡(luò)結(jié)構(gòu)如圖1所示。

該結(jié)構(gòu)使用H3C系列高端網(wǎng)絡(luò)及安全設(shè)備組網(wǎng)，適用于大中型企業(yè)核心網(wǎng)絡(luò)安全控制區(qū)域的網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)。通過(guò)這種網(wǎng)絡(luò)結(jié)構(gòu)的部署可以有效的防御外部網(wǎng)絡(luò)及企業(yè)內(nèi)部網(wǎng)絡(luò)對(duì)重要服務(wù)器的安全攻擊、漏洞掃描、木馬入侵等等，進(jìn)而有效地對(duì)企業(yè)的研發(fā)、生產(chǎn)、商業(yè)、財(cái)務(wù)等機(jī)密數(shù)據(jù)進(jìn)行保護(hù)和可控授權(quán)訪問(wèn)。本實(shí)驗(yàn)中將主要針對(duì)這種結(jié)構(gòu)下所使用設(shè)備部署完成后出現(xiàn)的故障進(jìn)行分析和討論。

單組防火墻雙機(jī)實(shí)驗(yàn)采用H3C9512高端交換作為企業(yè)的核心交換，H3C9508作為企業(yè)應(yīng)用服務(wù)器區(qū)域的核心交換。在4臺(tái)9500系列的交換上分別配置萬(wàn)兆光纖交換單板，在9508上加H3C的SecBlade III防火墻業(yè)務(wù)單板，防火墻單板通過(guò)9508內(nèi)置的萬(wàn)兆接口與9508互連。兩臺(tái)9500系列交換通過(guò)萬(wàn)兆光纖接口卡進(jìn)行交叉互連，設(shè)備互連接口地址均使用30位掩碼。9508交換作為二層交換使用，服務(wù)器區(qū)域的三層網(wǎng)關(guān)地址全部配置在SecBlade防火墻與9508互連的萬(wàn)兆接口的邏輯子接口上，并且這些VLAN都配置為VRRP模式，可根據(jù)需要將其中一臺(tái)防火墻或者其中一部分VLAN配置為master vlan，另外一臺(tái)或者另外一部分VLAN配置為slaver vlan。在防火墻和9512上都啟用ospf協(xié)議，將互連及三層VLAN地址段發(fā)布到ospf中。因該防火墻可將不同的VLAN劃分在不同的安全區(qū)域內(nèi)，所以我們?cè)诜阑饓ι吓渲?個(gè)不同的安全域，并將配置好的邏輯子接口劃分到不同的安全域中，這樣就形成了不同的安全區(qū)域，安全區(qū)域的默認(rèn)訪問(wèn)規(guī)則為單向，也就是高優(yōu)先級(jí)區(qū)域默認(rèn)可訪問(wèn)低優(yōu)先級(jí)區(qū)域。然后在9508上增加與防火墻三層接口相同的VLAN，在將千兆物理接口添加到不同安全區(qū)域級(jí)別的VLAN中。最后啟用防火墻的雙機(jī)熱備功能，并選擇防火墻業(yè)務(wù)板上的一個(gè)接口作為心跳接口，服務(wù)器(unix系統(tǒng)，需要雙網(wǎng)卡)通過(guò)EtherChannel IEEE802.3ad配置成網(wǎng)卡冷備的模式，為了能模擬出各種情況，我們特意將server1的主網(wǎng)卡放在9508-A上，將server2的主網(wǎng)卡放在9508-B上。為避免因靜態(tài)路由帶來(lái)的不能檢測(cè)設(shè)備故障的情況，該組網(wǎng)采用了動(dòng)態(tài)路由協(xié)議，在防火墻和交換上都啟用ospf協(xié)議。

串聯(lián)多組防火墻雙機(jī)試驗(yàn)設(shè)備采用了Juniper及Topsec防火墻、H3c9512交換機(jī)、深信服行為控制設(shè)備、Radware的LinkProof鏈路負(fù)載均衡及2條不同ISP互聯(lián)網(wǎng)線路。這些設(shè)備都是我們選用的支持雙機(jī)的網(wǎng)絡(luò)及安全設(shè)備進(jìn)行串聯(lián)，進(jìn)行Intranet和internet互訪、Intranet與DMZ、Internet與DMZ區(qū)域之間數(shù)據(jù)通訊測(cè)試。由于實(shí)驗(yàn)1已經(jīng)介紹了單組防火墻雙機(jī)的實(shí)驗(yàn)情形，故這里只介紹軍事化區(qū)域至互聯(lián)網(wǎng)區(qū)域數(shù)據(jù)通訊的實(shí)驗(yàn)情況，該實(shí)驗(yàn)的網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)如圖2所示。

該網(wǎng)絡(luò)結(jié)構(gòu)使用雙重防火墻及上網(wǎng)行為控制設(shè)備對(duì)企業(yè)軍事化區(qū)域和互聯(lián)網(wǎng)區(qū)域進(jìn)行了嚴(yán)格的數(shù)據(jù)過(guò)濾和行為控制，是企業(yè)軍事化區(qū)域、半軍事化區(qū)域及互聯(lián)網(wǎng)區(qū)域之間數(shù)據(jù)互訪受控的一種常用網(wǎng)絡(luò)結(jié)構(gòu)，適用于大中型企業(yè)對(duì)內(nèi)外部數(shù)據(jù)交換須進(jìn)行嚴(yán)格控制、審計(jì)、授權(quán)訪問(wèn)等操作，或網(wǎng)絡(luò)運(yùn)營(yíng)服務(wù)商對(duì)外部用戶提供高可靠和安全性互聯(lián)網(wǎng)服務(wù)在互聯(lián)網(wǎng)出口部分至企業(yè)核心交換層的網(wǎng)絡(luò)部署。通過(guò)本網(wǎng)絡(luò)可以有效對(duì)內(nèi)外部上至應(yīng)用層下至物理層數(shù)據(jù)的交換有效的控制、阻斷、審計(jì)。

同樣先簡(jiǎn)單介紹該組網(wǎng)拓?fù)浣Y(jié)構(gòu)及設(shè)備配置的基本信息。我們同樣使用9512作為核心交換，雙機(jī)之間通過(guò)TRUNK接口互聯(lián)，上行與SSG520防火墻相連的接口配置VRRP與其互聯(lián)。SSG通過(guò)廠商的NSRP協(xié)議配置HA，并將其配置為橋接路由模式。SINFOR設(shè)備通過(guò)串口心跳配置好HA，并將其配置為透明橋接模式。Topsec防火墻通過(guò)CISCO 的HSRP和浮動(dòng)靜態(tài)路由技術(shù)來(lái)配置冗余備份雙機(jī)結(jié)構(gòu)，并將其配置為NAT模式。負(fù)載設(shè)備LinkProof采用標(biāo)準(zhǔn)VRRP配置為冗余雙機(jī)(由于本次實(shí)驗(yàn)設(shè)備限制，只做單機(jī))。為防止動(dòng)態(tài)路由的動(dòng)蕩引起鏈路路由切換，兩組防火墻的路由都采用靜態(tài)路由的方式進(jìn)行配置。

2 防火墻雙機(jī)試驗(yàn)故障現(xiàn)象

對(duì)于實(shí)驗(yàn)1我們做如下的數(shù)據(jù)訪問(wèn)測(cè)試:在9512A上和9512B上分別做一個(gè)用戶VLAN并接入兩臺(tái)pc，兩臺(tái)服務(wù)器(可使用普通pc代替)分別接入到9508上的，使用同一個(gè)網(wǎng)段的地址。我們通過(guò)pc使用ICMP包對(duì)pc至server端的鏈路進(jìn)行檢測(cè)，從pc1和pc2分別發(fā)至server1和server2的檢測(cè)包結(jié)果顯示:pc1至server1和pc2至server2的包正常;而pc1至server2和pc2至server1的包則出現(xiàn)丟包或者不通的現(xiàn)象。查看路由得知pc至server 都有三條下一跳路由，跟蹤路由發(fā)現(xiàn)pc1跟蹤server2的路由到SecBlade-A后出現(xiàn)中斷，pc2至server1的路由到SecBladeB出現(xiàn)中斷。之后我們將交叉鏈路去除后再次做上面同樣的測(cè)試發(fā)現(xiàn)故障依舊，根據(jù)路由情況得知基于會(huì)話狀態(tài)的防火墻在特殊的網(wǎng)絡(luò)結(jié)構(gòu)中存在來(lái)回路徑不一致而導(dǎo)致的中斷現(xiàn)象發(fā)生。

對(duì)于實(shí)驗(yàn)2做了如下數(shù)據(jù)訪問(wèn)測(cè)試:首先現(xiàn)在沒(méi)有任何設(shè)備、接口、線路故障的情況下，三組雙機(jī)設(shè)備都是主機(jī)在工作的，此時(shí)PC至互聯(lián)網(wǎng)server的訪問(wèn)數(shù)據(jù)會(huì)通過(guò)所有雙機(jī)的主設(shè)備;我們手動(dòng)的將SSG520主機(jī)的外網(wǎng)接口shutdown后會(huì)自動(dòng)切換到備機(jī)工作，sinfor發(fā)現(xiàn)與其lan口相連的接口down了也會(huì)自動(dòng)的切換到備機(jī)， topsec主機(jī)發(fā)現(xiàn)與其互聯(lián)的sinfor主機(jī)故障切換了，topsec主機(jī)也會(huì)切換到備機(jī)工作，這種情況并未發(fā)生中斷現(xiàn)象。但當(dāng)我們將剛才shutdown的接口還原時(shí)，我們發(fā)現(xiàn)此時(shí)出現(xiàn)的故障情況為PC至server的數(shù)據(jù)會(huì)出現(xiàn)中斷現(xiàn)象。將SSG520手動(dòng)down的接口還原后的情況發(fā)現(xiàn)三組冗余雙機(jī)設(shè)備開(kāi)始在不斷的進(jìn)行主備的切換，無(wú)法達(dá)到一致?tīng)顟B(tài)。這時(shí)情況是三組雙機(jī)因?yàn)榍袚Q的時(shí)間和檢測(cè)的故障的。根據(jù)各種設(shè)備切故障檢測(cè)和切換機(jī)制分析得知:目前大部分的冗余雙機(jī)故障檢測(cè)基本上為互聯(lián)接口物理up/down和IP跟蹤兩種檢測(cè)方式，由于各不同廠商設(shè)備主備切換的時(shí)間存在差異，導(dǎo)致其他兩組設(shè)備切換卻得不到一致和同步切換的效果，而在故障檢測(cè)中增加IP跟蹤的檢測(cè)機(jī)制只能對(duì)存在接口地址的雙機(jī)設(shè)備有效，而在設(shè)備互連接口不存在IP地址作為透明模式使用時(shí)依然無(wú)法進(jìn)行更有效的補(bǔ)充，這種情況下三組設(shè)備很難達(dá)到同步切換的狀態(tài)，因此導(dǎo)致故障現(xiàn)象的發(fā)生。

3 試驗(yàn)故障分析及解決方案

針對(duì)以上三組實(shí)驗(yàn)的故障情況我們分別作了簡(jiǎn)單的分析并給出了不同的解決方案。對(duì)于實(shí)驗(yàn)1中防火墻可靠性實(shí)驗(yàn)中，出現(xiàn)的故障情況后對(duì)PC至server的路由分別進(jìn)行了跟蹤和分析。本次的整個(gè)網(wǎng)絡(luò)結(jié)構(gòu)中全部使用ospf協(xié)議，并將路由都發(fā)布在AREA0區(qū)中。根據(jù)我國(guó)有關(guān)部門的提出的規(guī)范在默認(rèn)不改變各條路由開(kāi)銷(cost)值的情況下，所有設(shè)備直連的路由開(kāi)銷值都相同，在兩臺(tái)防火墻上都發(fā)布了10.10.10.0/24的路由信息，因而在9512A和9512B上到這兩個(gè)網(wǎng)段的路由是通過(guò)ospf分別從SecBladeA和SecBladeB上發(fā)布的路由表中學(xué)到的，這樣從pc1至server2的路由就會(huì)從secblade-A走，而server2至pc1的路由則會(huì)從secblade-B走，這是就出現(xiàn)了來(lái)回的路徑不一致，同理pc2與server1的互訪路徑也會(huì)出項(xiàng)這種情況。針對(duì)實(shí)驗(yàn)中因會(huì)話來(lái)回路由不一致所遇到的問(wèn)題，就此故障現(xiàn)象，我們可將9512與防火墻之間的交叉鏈路去除，并更改各條鏈路的cost值，保證其來(lái)回的路徑在一條路由上。這種情況下當(dāng)其中一臺(tái)交換或者防火墻出現(xiàn)故障后可通過(guò)VRRP保證master和slaver vlan之間切換，從而使PC至server的數(shù)據(jù)不會(huì)出現(xiàn)中斷現(xiàn)象，這種改造的弊端在于不能做到雙機(jī)負(fù)載也就是雙A狀態(tài)的運(yùn)行模式。因此另一種解決方案將SecBlade 防火墻的會(huì)話通過(guò)心跳進(jìn)行同步，保證主防火墻和備防火墻實(shí)時(shí)的去同步授權(quán)允許的會(huì)話列表，這樣一來(lái)，既解決了會(huì)話流來(lái)回路徑不一致的現(xiàn)象，同時(shí)也將該組網(wǎng)結(jié)構(gòu)中的兩臺(tái)防火墻形成了雙A狀態(tài)，分擔(dān)了負(fù)載。特別說(shuō)明該實(shí)驗(yàn)中根據(jù)設(shè)備的特性使用心跳線來(lái)代替實(shí)驗(yàn)1中的防火墻的三層互聯(lián)即可。

對(duì)于在第二個(gè)實(shí)驗(yàn)中出現(xiàn)的故障現(xiàn)象，由于現(xiàn)網(wǎng)中使用的各廠商設(shè)備的故障檢測(cè)機(jī)制的不一致性，如要統(tǒng)一算法需要將研究制定統(tǒng)一的故障檢測(cè)方法和切換機(jī)制。因此分析了實(shí)際情況后，我們可根據(jù)故障現(xiàn)象和原因?qū)W(wǎng)絡(luò)結(jié)構(gòu)進(jìn)行整改和優(yōu)化后解決做實(shí)驗(yàn)2中一組冗余雙機(jī)出現(xiàn)主備切換時(shí)導(dǎo)致網(wǎng)絡(luò)中斷的問(wèn)題。我們可在該網(wǎng)絡(luò)結(jié)構(gòu)中增加一組交換，在該組交換上分別配置兩個(gè)Vlan，我們這里配置Vlan100和Vlan200，然后將Sinfor的wan口和Topsec的Intratnat接口直接接在新增交換機(jī)的兩個(gè)接口上，并把這兩個(gè)接口配置到Vlan200中，同樣將Sinfor的lan口和SSG520的Internet接口也接入到與這臺(tái)交換機(jī)上的兩個(gè)接口上，并將這兩個(gè)接口配置到Vlan100中。另外一組設(shè)備以同樣的連接和配置方式與另外一臺(tái)交換機(jī)互聯(lián)。兩臺(tái)交換機(jī)通過(guò)TRUNK口互聯(lián)并允許Vlan 100和Vlan 200 通過(guò)。其實(shí)這里新增加的兩臺(tái)交換是用作半軍事化區(qū)域的核心交換使用的，這樣內(nèi)網(wǎng)與外網(wǎng)同時(shí)可以接入到這兩臺(tái)交換上，可以節(jié)省硬件資源。我們?cè)谶M(jìn)行同樣的實(shí)驗(yàn)，將三組冗余設(shè)備在任何一組設(shè)備中任何一個(gè)模擬故障現(xiàn)象都不會(huì)導(dǎo)致其它兩組設(shè)備的主備切換，即使我們?cè)O(shè)備的故障檢測(cè)是包含Track IP的方式也不會(huì)導(dǎo)致另外三組冗余設(shè)備的因存在故障切換時(shí)間的差異而造成網(wǎng)絡(luò)中斷的現(xiàn)象發(fā)生。即各種故障或者切換都不會(huì)導(dǎo)致PC至server鏈路的中斷。具體的網(wǎng)絡(luò)整改拓?fù)鋱D如圖3所示。

從實(shí)驗(yàn)3的網(wǎng)絡(luò)拓?fù)渲锌梢郧宄目吹?，無(wú)論三組設(shè)備的故障切換是否能夠同步進(jìn)行，PC至server的鏈路都會(huì)有一條通暢的路存在。這是本實(shí)驗(yàn)中解決故障問(wèn)題的較實(shí)用的方案。對(duì)于該實(shí)驗(yàn)中存在的故障原因還存在另外一種解決方案，但有待于研究討論及權(quán)威機(jī)構(gòu)的統(tǒng)一和制定，研究和制定出一套通用的雙機(jī)故障檢測(cè)及切換算法或者制定一種新的雙機(jī)故障同步切換通訊協(xié)議類型。使該算法或協(xié)議能夠支持端口檢測(cè)、會(huì)話同步、IP跟蹤等多種故障檢測(cè)機(jī)制和統(tǒng)一的切換算法，使雙機(jī)設(shè)備都能通過(guò)該算法或協(xié)議在各種不同的故障情形下進(jìn)行快速有效統(tǒng)一地故障同步切換也是解決該問(wèn)題的重要方法，也是統(tǒng)一網(wǎng)絡(luò)設(shè)備冗余雙機(jī)故障檢測(cè)及切換機(jī)制的研究方向。目前huawei研究的VGMP和HRP協(xié)議已經(jīng)將huawei的防火墻進(jìn)行了較好的狀態(tài)一致檢測(cè)和會(huì)話同步的管理。

4 總結(jié)

在整個(gè)網(wǎng)絡(luò)結(jié)構(gòu)設(shè)計(jì)和實(shí)施過(guò)程中詳細(xì)分析和說(shuō)明了三組雙機(jī)實(shí)驗(yàn)的網(wǎng)絡(luò)結(jié)構(gòu)在企業(yè)不同安全區(qū)域部署的目的、作用和效果，同時(shí)對(duì)在部署過(guò)程中出現(xiàn)的問(wèn)題進(jìn)行了分析和研究，在網(wǎng)絡(luò)結(jié)構(gòu)的基礎(chǔ)上給出問(wèn)題解決方案，并對(duì)其進(jìn)行網(wǎng)絡(luò)改造和優(yōu)化，用來(lái)滿足用戶信息安全的需求和目的。第一組實(shí)驗(yàn)部署在企業(yè)的核心數(shù)據(jù)受控區(qū)域，為嚴(yán)格控制各應(yīng)用服務(wù)器之間以及用戶與服務(wù)器之間的數(shù)據(jù)訪問(wèn)，采用可自定義多區(qū)域的防火墻能夠很好的實(shí)現(xiàn)企業(yè)對(duì)不同敏感數(shù)據(jù)的安全控制需求。但在基于會(huì)話狀態(tài)的理想全冗余交叉的網(wǎng)絡(luò)連接中存在的來(lái)回路徑不一致的故障情形，因此解決方案為將主備防火墻置于雙A的工作狀態(tài)，并將全部的會(huì)話狀態(tài)進(jìn)行較好的同步，這樣不僅解決了路由不一致的問(wèn)題，也使主備設(shè)備都得到了充分的利用，減輕和降低了單設(shè)備的負(fù)載和單點(diǎn)故障引起切換帶來(lái)的業(yè)務(wù)中斷。第二組實(shí)驗(yàn)部署在企業(yè)互聯(lián)網(wǎng)出口的網(wǎng)絡(luò)結(jié)構(gòu)中，將軍事化、半軍事化及非軍事化控制區(qū)域的數(shù)據(jù)進(jìn)行了嚴(yán)格的區(qū)域控劃分和數(shù)據(jù)控制，并通過(guò)行為控制審計(jì)設(shè)備嚴(yán)格地對(duì)軍事化區(qū)域數(shù)據(jù)交換進(jìn)行控制、審計(jì)及記錄。安全與性能本來(lái)存在對(duì)立的一面，因此實(shí)驗(yàn)二雖然在給企業(yè)的信息安全帶來(lái)高可靠的保障和受控手段，但同時(shí)這種高安全的網(wǎng)絡(luò)結(jié)構(gòu)勢(shì)必會(huì)對(duì)企業(yè)網(wǎng)絡(luò)性能造成一定的負(fù)面影響，企業(yè)可根據(jù)實(shí)際情況選擇網(wǎng)絡(luò)安全的程度。實(shí)驗(yàn)二中針對(duì)該實(shí)驗(yàn)中由于故障引起的雙機(jī)設(shè)備主備切換不一致導(dǎo)致鏈路中斷的現(xiàn)象進(jìn)行了網(wǎng)絡(luò)結(jié)構(gòu)改造后形成了實(shí)驗(yàn)三的網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)，實(shí)驗(yàn)三的網(wǎng)絡(luò)結(jié)構(gòu)不僅解決了實(shí)驗(yàn)二切換的故障問(wèn)題，同時(shí)也將多組雙機(jī)網(wǎng)絡(luò)結(jié)構(gòu)的故障率降為最低，設(shè)備切換帶來(lái)的業(yè)務(wù)中斷時(shí)間降為最少。實(shí)驗(yàn)三的網(wǎng)絡(luò)拓?fù)浞桨高m用于目前多數(shù)企業(yè)的互聯(lián)網(wǎng)出口結(jié)構(gòu)。本文為企業(yè)網(wǎng)絡(luò)架構(gòu)的設(shè)計(jì)及安全部署，網(wǎng)絡(luò)故障處理提供了一定的實(shí)踐依據(jù)和說(shuō)明。

本文通過(guò)三組實(shí)驗(yàn)的網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)的設(shè)計(jì)實(shí)現(xiàn)、故障測(cè)試分析及解決，對(duì)幾款目前國(guó)內(nèi)較流行的狀態(tài)防火墻和安全設(shè)備的雙機(jī)基本配置、工作模式、安全防范、故障檢測(cè)切換機(jī)制都有了基本的了解和認(rèn)識(shí)，并給企業(yè)用戶在企業(yè)安全區(qū)域網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)的設(shè)計(jì)方面提供了較好的理論應(yīng)用和實(shí)踐基礎(chǔ)。在故障測(cè)試過(guò)程中通過(guò)對(duì)故障分析和處理，提出的解決方案和處理思想對(duì)企業(yè)安全網(wǎng)絡(luò)的合理設(shè)計(jì)提供的實(shí)踐證明，也為功能全面防火墻的設(shè)計(jì)和實(shí)現(xiàn)提供了重要的研究方向和思想依據(jù)。

參考文獻(xiàn):

[1] 蔡立軍.計(jì)算機(jī)網(wǎng)絡(luò)安全技術(shù)[M].北京:中國(guó)水利水電出版社，2002.

[2] 胡道元，閡京華.網(wǎng)絡(luò)安全[M].北京:清華大學(xué)出版社，2004:22-26

[3] 柯宏力.Intranet信息網(wǎng)絡(luò)技術(shù)與企業(yè)信息化[M].北京:北京郵電學(xué)院出版社，2000，24-32，71-82，150-176.

[4] 林曉東，楊義先.網(wǎng)絡(luò)防火墻技術(shù)[J].電信科學(xué)，1997，13(3):41-43.

[5] 雷震甲，馬建峰.Internet安全和防火墻技術(shù)安全體系結(jié)構(gòu)[J].通信保密，1998(2).

[6] 劉曉輝.網(wǎng)管從業(yè)寶典——交換機(jī)路·由器·防火墻.重慶:重慶大學(xué)出版社， 2008-5-9，81-86， 117-185，270-275，371-400.

[7] 吳昕，李之棠.并行防火墻研究[J].計(jì)算機(jī)工程與科學(xué)，2000，22(2):54-57.

[8] 林曉東，楊義先.網(wǎng)絡(luò)防火墻技術(shù)[J].電信科學(xué)，1997，13(3):41-43.

[9] 張?jiān)迄i.網(wǎng)絡(luò)安全與防護(hù)技術(shù)的研究及應(yīng)用[D].中國(guó)優(yōu)秀博碩士學(xué)位論文全文數(shù)據(jù)庫(kù)，2006(6).

[10] 黃世權(quán).防火墻集群系統(tǒng)的架構(gòu)與實(shí)現(xiàn)研究[J].計(jì)算機(jī)應(yīng)用與軟件.2006(6).

[11] 崔偉，齊競(jìng)艷，黃皓.全狀態(tài)防火墻雙機(jī)熱備份的設(shè)計(jì)與實(shí)現(xiàn)[J].計(jì)算機(jī)應(yīng)用研究，2004，21(12).