防火墙在云计算安全方案中的应用(一)

01

云计算网络简介

随着云计算的迅猛发展，企业可以便捷地接入云计算网络，获取服务器、存储、应用等资源，减少构建IT基础设施的投资成本，大大加快了信息化进程。

如图1-1所示，某个“工业云”为企业用户提供云计算服务，网络中的业务包括如下几种：

• 企业用户访问虚拟机来获取定制化的资源。

• 企业用户访问Portal系统来进行帐号申请和虚拟机空间管理等操作。

• 云计算网络中的管理组件对虚拟机、Portal系统以及网络设备进行管理。

图1-1 云计算网络示意图

02

防火墙在云计算网络中的应用

如图1-2所示，防火墙旁挂在云计算网络中的核心交换机上，将虚拟机和Portal系统发布出去供企业用户访问，并且对企业用户访问虚拟机的业务进行隔离。

图1-2 防火墙在云计算网络中的应用示意图

在云计算网络中，主要用到了防火墙的如下功能：

双机热备

两台防火墙之间形成主备备份方式的双机热备状态，提高业务可靠性。

NAT Server

通过NAT Server将虚拟机和Portal系统的公网地址发布出去，供Internet上的企业用户访问。

虚拟系统

为每一个虚拟机划分一个虚拟系统，隔离企业用户访问虚拟机的业务；同时还可以在虚拟系统中配置安全策略，实现访问控制。

03

方案一：防火墙作为网关

3.1 典型组网

该云计算网络中，核心交换机使用CE12800、接入交换机使用CE6800、防火墙使用USG9500，本案例重点关注防火墙上的配置，整体的组网环境如图1-3所示。

图1-3 云计算网络组网图

云计算网络中主要有如下几个需求：

• 不同的外网企业用户访问虚拟机时，相互之间不能影响，业务必须隔离。同时，每个虚拟机业务可使用的带宽资源也要限制在一定范围内，避免占用大量资源。

• 内部网络中的虚拟机和Portal系统都配置私网地址，要求对外发布两者的公网地址，使外网企业用户能够通过公网地址访问虚拟机和Portal系统。

• 对外网企业用户访问虚拟机和Portal系统的行为进行控制，仅允许访问业务的流量通过。

• 提高设备的可靠性，不能因为一台设备出现故障而导致业务中断。

防火墙旁挂在核心交换机CE12800上，使用如下特性来满足上述需求：

• 使用虚拟系统隔离外网企业用户访问虚拟机的业务，每一个虚拟机都属于一个虚拟系统，每个虚拟系统中都限制了最大带宽资源。

• 使用子接口与CE12800相连，将子接口划分到虚拟系统和根系统中，虚拟系统中的子接口用来传输虚拟机业务，根系统中的子接口用来传输Portal系统业务。

• Server对外发布虚拟机和Portal系统的公网地址，在每个虚拟系统中配置针对虚拟机的NAT Server，在根系统中配置针对Portal系统的NAT Server。

• 使用安全策略对虚拟机和Portal系统的业务进行访问控制，在每个虚拟系统中配置针对虚拟机业务的安全策略，在根系统中配置针对Portal系统业务的安全策略。

• 使用双机热备提高可靠性，两台防火墙形成主备备份状态的双机热备，当主用防火墙出现故障时，备用防火墙接替其工作，业务不会中断。

3.2 业务规划

如图1-4所示，FW旁挂在CE12800上，工作在三层转发模式。CE12800从逻辑上分为上行、下行两个部分，上行部分工作在三层转发（L3）模式，下行部分工作在二层转发（L2）模式。FW与CE12800的上行部分之间运行OSPF，与CE12800的下行部分之间运行VRRP，FW上VRRP的虚拟IP地址作为虚拟机和Portal系统的网关。外网企业用户访问虚拟机和Portal系统的流量经过CE12800的上行部分转发至FW处理后，再经过CE12800的下行部分转发至虚拟机和Portal；回程流量则经过CE12800的下行部分转发至FW处理后，再经过CE12800的上行部分发送出去。

图1-4 FW旁挂连接示意图

接口和安全区域

下面以FW_A和CE12800_A为例，介绍两者之间的连接情况。

如图1-5所示，FW_A上的GE1/0/1接口与CE12800_A上的10GE1/1/0/1接口相连，详细的连接情况如下：

• FW_A上的GE1/0/1接口划分了多个子接口（此处仅以三个子接口为例进行说明），每个子接口上都配置了IP地址。其中多数的子接口都属于不同的虚拟系统，划分到虚拟系统的Untrust区域中；一个子接口属于根系统，划分到根系统的Untrust区域中。

• CE12800_A上的10GE1/1/0/1接口为Trunk口，允许多个VLAN的报文通过，在每个Vlanif接口上都配置IP地址，逻辑上与FW_A上相应的子接口连接。

图1-5 FW_A上的GE1/0/1接口连接示意图

如图1-6所示，FW_A上的GE1/0/2接口与CE12800_A上的10GE1/1/0/2接口相连，详细的连接情况如下：

• FW_A上的GE1/0/2接口划分了两个子接口（也可以根据Portal系统的实际网络情况划分多个子接口），每个子接口上都配置了IP地址，每个子接口都划分到根系统的DMZ区域中。

• CE12800_A上的10GE1/1/0/2接口为Trunk口，允许多个VLAN的报文通过。

• FW_A上子接口的VRRP虚拟IP地址作为Portal系统的网关，终结VLAN，CE12800_A的作用是二层透传报文。

图1-6 FW_A上的GE1/0/2接口连接示意图

如图1-7所示，FW_A上的GE1/0/3接口与CE12800_A上的10GE1/1/0/3接口相连，详细的连接情况如下：

• FW_A上的GE1/0/3接口划分了多个子接口（此处仅以两个子接口为例进行说明），每个子接口上都配置了IP地址。每个子接口都属于不同的虚拟系统，划分到虚拟系统的Trust区域中。

• CE12800_A上的10GE1/1/0/3接口为Trunk口，允许多个VLAN的报文通过。

• FW_A上子接口的VRRP虚拟IP地址作为虚拟机的网关，终结VLAN，CE12800_A的作用是二层透传报文。

图1-7 FW_A上的GE1/0/3接口连接示意图

FW_B和CE12800_B之间的连接情况与上面的内容相同，此处不再赘述。

FW上的接口和安全区域的数据规划如表1-1所示。

表1-1 接口和安全区域数据规划

虚拟系统

虚拟系统用来承载虚拟机业务，每个虚拟系统都对应一个虚拟机。虚拟系统中接口的划分情况在上面的接口和安全区域中已经介绍过了，除此之外，为了限制每个虚拟系统可使用的带宽，还需要为虚拟系统配置资源类。

FW上的虚拟系统数据规划如表1-2所示。此处仅以两个虚拟系统为例进行介绍，实际使用时请根据虚拟机的数量创建多个虚拟系统。

表1-2 虚拟系统数据规划

路由

路由分为根系统中的路由和虚拟系统中的路由两部分，都配置缺省路由、黑洞路由和OSPF路由，其中OSPF路由运行于FW与CE12800相连的上行子接口上，如图1-8所示。

图1-8 FW_A上的OSPF路由示意图

具体分析如下：

• 根系统配置缺省路由，下一跳为CE12800_A上相应的Vlanif接口的IP地址；每个虚拟系统中均配置缺省路由，下一跳为CE12800_A上相应的Vlanif接口的IP地址。

• 根系统中配置目的地址是Portal系统的公网地址的黑洞路由，引入到根系统的OSPF中发布给CE12800；每个虚拟系统中配置目的地址是虚拟机公网地址的黑洞路由，引入到虚拟系统的OSPF中发布给CE12800_A。

• 根系统和虚拟系统中都运行OSPF路由协议，虚拟系统中的OSPF是通过在根系统中绑定虚拟系统对应的VPN实例来实现的。

CE12800_A上也运行OSPF协议，将每个Vlanif接口所属的网段都发布出去。

FW上的路由数据规划如表1-3所示。

表1-3 路由数据规划

双机热备

对于双机热备来说，整个组网的逻辑图就可以理解为经典的防火墙上行连接三层设备，下行连接二层设备的双机热备组网。外网企业用户访问虚拟机的业务，其组网逻辑图如图1-9所示。

图1-9 虚拟机业务的逻辑组网图

外网企业用户访问Portal系统的业务，其组网逻辑图如图1-10所示。

图1-10 Portal系统业务的逻辑组网图

双机热备状态形成后，FW_A作为主用防火墙，FW_B作为备用防火墙。如图1-11所示，在网络正常的情况下，FW_A正常对外发布路由，FW_B发布的路由Cost值增加65500（缺省值，可调整）。Router_A和Router_B在转发外网企业用户访问虚拟机或Portal系统的流量时，会选择开销（Cost值）更小的路径，因此流量通过FW_A转发。

对于虚拟机或Portal系统回应给外网企业用户的返程流量，当虚拟机或Portal系统请求网关的MAC地址时，只有主用设备FW_A才会应答，将虚MAC地址回应给虚拟机和Portal系统。而CE6800则会记录虚MAC和端口的对应关系，返程流量经过CE6800被转发至FW_A。

图1-11 正常情况下的流量走向

当FW_A或者FW_A连接的链路出现故障时，双机主备倒换，这时FW_B正常对外发布路由，FW_A发布的路由Cost值增加65500。路由重新收敛后，流量都经过FW_B来转发，如图1-12所示。

对于虚拟机或Portal系统回应给外网企业用户的返程流量，双机主备倒换后，FW_B会对外发送免费ARP报文，使CE6800更新虚MAC和端口的对应关系，返程流量经过CE6800被转发至FW_B。

图1-12 出现故障时的流量走向

安全策略

安全策略分为根系统中的安全策略和虚拟系统中的安全策略两部分，根系统中安全策略的作用是允许外网企业用户访问Portal系统的报文通过，以及允许根系统与CE12800之间交互的OSPF报文通过；虚拟系统中安全策略的作用是允许外网企业用户访问虚拟机的报文通过，以及允许虚拟系统与CE12800之间交互的OSPF报文通过。

同时，可以在安全策略上引用反病毒、入侵防御的配置文件，防范各种病毒、蠕虫、木马和僵尸网络攻击。一般情况下，使用缺省的反病毒和入侵防御配置文件default，即可满足防范各种病毒、蠕虫、木马和僵尸网络攻击的需求。

FW上的安全策略数据规划如表1-4所示。

表1-4 安全策略数据规划

NAT Server

NAT Server分为根系统中的NAT Server和虚拟系统中的NAT Server两部分，根系统中NAT Server的作用是将Portal系统映射成公网地址，供外网企业用户访问；虚拟系统中NAT Server的作用是将虚拟机映射成公网地址，供外网企业用户访问。

为了使外网的企业用户可以访问Portal系统和虚拟机，需要为Portal系统和每一个虚拟机申请公网地址。此处假设为Portal系统申请的公网地址为117.1.1.1和117.1.1.2，为虚拟机申请的公网地址为118.1.1.1和118.1.1.2。FW上的NAT Server数据规划如表1-5所示。

表1-5 NAT Server数据规划