在数据网络业界拥有近15年的行业工作经验。 曾和朋友一起创建公司,并担任CTO,负责在技术方面制定公司整体技术发展方向和规划,组建技术团队,并配合销售团队一同完成公司年度计划指标。
全部博文(39)
分类: 网络与安全
2011-06-17 23:25:43
Cisco ASA 5500 系列 Adaptive Security Appliances 在一台设备中组合了先进的状态化防火墙和 VPN 集中器功能。该设备包括众多先进功能,例如多重安全性上下文(类似于虚拟防火墙)、透明(第 2 层)防火墙或路由(第 3 层)防火墙操作、高级检测引擎、入侵防御、IPsec 和 WebVPN 支持等等。
数据中心
这一部分中将讨论与在数据中心中部署防火墙相关的业务需求,以及所建议解决方案的要求。另外还将介绍集成到解决方案中的各种 ASA 技术。
业务需求:在数据中心中布置防火墙
对于企业而言,数据中心比以往更为重要。数据中心中的数据服务密度的上升,导致对高性能和可扩展网络安全性需求的相应上升。为了解决这一需求,Cisco 引入了 ASA 5580,这是一套能够满足园区和数据中心的 5 Gbps 和 10 Gbps 需求的设备。Cisco 现在进一步拓宽了 ASA 产品组合:下一代 ASA 5585-X 设备扩展了 ASA 5500 系列的性能范围,能够提供从 2 Gbps 到 20 Gbps 的真实 HTTP 通信以及 35 Gbps 的大数据包通信。Cisco ASA 5585-X 最高支持每秒 35 万个连接,在初始版本中最高支持两百万个并发连接,后续发行版中进一步增加到支持八百万个并发连接。
Web 2.0 应用程序的出现带来了新型设备的显著增长和复杂内容的广泛使用,这对现有安全基础结构施加了很大的压力。现在的安全系统通常无法满足这些环境中所需的高事务处理速度或安全策略的深度。因此,信息技术员工通常会疲于提供基本安全服务和跟踪由这些系统生成的海量安全事件以用于必要的监视、审计和法规遵从用途。
Cisco ASA 5585-X 设备设计用于为企业数据中心的丰富格式媒体、高事务性和注重延迟的应用程序提供保护。ASA 5585-X 提供了市场领先的吞吐量、业内最高的连接速度、大量的策略配置以及极低的延迟,极适用于具有高需求应用程序(如语音、视频、数据备份、科研或电网计算以及金融交易系统)的组织的安全需求。
解决方案要求
Cisco ASA 5585-X 设备提供了具备成本效率优势的灵活解决方案,从性能出发,使得用户和管理员可以在组织内采用不同策略建立安全域。用户需要具备为不同 VLAN 设置合适策略的能力。数据中心需要状态化防火墙安全解决方案来过滤恶意通信以及保护隔离区 (DMZ) 和企业外部网服务器场中的数据,同时以尽可能低的成本提供数千兆位的性能。
Cisco ASA 5585-X 设备能够以活动/活动或活动/备用拓扑结构部署,并可以使用接口冗余等附加功能来增强弹性。也可将单独链路用于容错和状态链路。
Cisco ASA 5585-X 设备可以为大型企业、数据中心和服务提供商网络提供数千兆位的安全服务。该设备适用于高密度铜缆和光纤接口,具备从快速以太网扩展到 10 Gb 以太网的扩展能力,提供无与伦比的安全性和部署灵活性。在安全性虚拟化的过程中,这种高密度设计仍能保持托管安全性和基础设施合并应用中所需的物理分段。
范围
本文针对在数据中心中使用 Cisco ASA 5585-X 设备部署防火墙服务,提供有关设计注意事项和实施指南的信息。
Cisco ASA 技术概念
安全策略
防火墙可以保护内部网络免受外部网络中未经授权用户的访问。防火墙同时也可在内部网络之间提供保护,例如,使人力资源网络与用户网络分开。Cisco ASA 设备包括多种高级功能,如多重安全性上下文、透明(第 2 层)防火墙或路由(第 3 层)防火墙操作、数以百计的接口等等。介绍连接到防火墙的网络时,外部网络处于防火前的前端,内部网络受防火墙保护,位于其后端。安全策略确定允许通过防火墙以访问其他网络的通信种类,并且,通常情况下,除非安全策略明确允许,否则不允许任何通信通过防火墙。
Cisco 入侵防御服务
Cisco 高级检测和预防安全服务处理器 (AIP SSP) 将内嵌的入侵防御服务与创新技术结合在一起以提高精确度。部署在 Cisco ASA 5585-X 设备中时,SSP 通过与其他网络安全资源协作,为 IPv6 和 IPv4 网络提供全面保护,实现了主动网络保护方法。
Cisco AIP SSP 具备下列功能,可帮助您充满信心地防御威胁:
● 广范围的 IPS 功能:Cisco AIP SSP 提供了 Cisco IPS 4200 系列传感器上具备的所有 IPS 功能,可以内嵌部署在通信通路中,或以混杂模式部署。
● 全球相关:Cisco AIP SSP 增加了信誉分析,减少威胁暴露的时间窗口并提供连续反馈,针对在您工作环境之外的全球威胁环境,提供实时更新。
● 全面和及时的攻击保护:Cisco AIP SSP 使用专用 IPS 检测引擎和数千个签名,针对上万个已知漏洞以及更多的潜在的未知漏洞提供保护。
● 零日攻击保护:Cisco 的异常检测可以学习网络中的普通行为,并在察觉到网络中的异常活动时发出警报,这有助于提供面对新威胁的保护,甚至是在有签名可用之前。
将 IPS 部署到 ASA 设备中的通信流中后,这些流将自动继承设备的所有冗余功能。
高可用性
Cisco ASA 安全设备提供的解决方案,是业内最具弹性和全面的高可用性解决方案之一。使用诸如次秒级故障转移和接口冗余等功能,客户可以实施非常高级的高可用性部署,这包括全网式活动/备用和活动/活动故障转移配置。
这可以向客户提供针对网络攻击的连续保护并确保连接性,以满足当前业务的需求。
使用活动/活动故障转移,所有的单元都可以传递网络通信。这使得您还可以在网络上配置通信共享。活动/活动故障转移仅当单元运行在"多重"上下文模式中时可用。使用"活动/备用"故障转移,单个单元传递通信,而其他单元则处于备用状态。活动/备用故障转移在单元运行在"单重"或"多重"上下文模式中时均可用。两种故障转移配置都支持有状态和无状态故障转移。
如果出现以下事件之一,则单元可能失败:
即使启用了有状态故障转移,设备到设备的故障转移也可能导致部分服务中断。下面为部分示例:
活动/备用故障转移
活动/备用故障转移使您可以利用备用安全设备来接管失败单元的功能。活动单元失败时,其状态将更改为备用,同时备用单元状态更改为活动。成为活动的单元将采用故障单元的 IP 地址(对于透明防火墙,则采用管理 IP 地址)和 MAC 地址,然后开始传递通信。现在处于备用状态的单元则采用备用 IP 地址和 MAC 地址。由于网络设备未看到 MAC 到 IP 地址对的更改,网络中没有位置会出现地址解析协议 (ARP) 条目更改或超时。
在活动/备用故障转移中,故障转移基于物理单元进行,而不会基于多重上下文模式中的上下文。活动/备用故障转移是 ASA 平台上最常见的高可用性部署方法。
活动/活动故障转移
活动/活动故障转移对于"多重"上下文模式下的安全设备可用。两个安全设备均可同时传递网络通信,并能够以处理不对称数据流的方式部署。在安全设备上,可以将安全上下文划分到故障转移组中。一个故障转移组是一个或多个安全上下文的逻辑组。安全设备上最多可以创建两个故障转移组。
故障转移组构成了活动/活动故障转移中的故障转移基本单元。接口故障监视、故障转移和活动/备用状态都是故障转移组而非物理单元的属性。活动故障转移组失败时,其状态将更改为备用,同时备用故障转移组状态更改为活动。成为活动的故障转移组中的接口采用失败的故障转移组中接口的 MAC 和 IP 地址。现在处于备用状态的故障转移组中的接口采用备用 MAC 和 IP 地址。这与物理活动/备用故障转移中的行为类似。
冗余接口
接口级别的冗余围绕着一个逻辑接口(称为冗余接口)在 ASA 设备上可以配置到两个物理接口的概念。此功能在 Cisco ASA 软件发行版 8.0 中引入。
一个成员接口将用作负责传递通信的活动接口。另一个接口仍保持在备用状态。活动接口失败时,所有通信将故障转移到备用接口。此功能的主要优点是故障转移将在同一个物理设备内发生,这可以防止出现不必要的设备级故障转移。冗余接口在配置之后,将视为物理接口。
活动设备上的链路故障将导致设备级的故障转移,而冗余接口则不会。在数据中心环境中,以下为使用冗余接口创建全网拓扑的优点:
● 未完成的 TCP 三向握手在出现接口级故障转移时不必重新启动。
● 如果 ASA 设备上使用了动态路由协议,则不必重新建立/重新学习路由邻接。
● 接口级故障转移时,大部分检测引擎状态不会丢失,但在设备级故障转移时并非如此。
对于最终用户而言,其影响较小,因为 ASA 有状态故障转移不复制一个会话的所有数据。例如,不会复制部分语音协议(例如多媒体网关控制协议 [MGCP])控制会话,故障转移会中断这些会话。
使用接口冗余功能,(冗余)接口只有在所有底层物理接口均失败时才视为处于故障状态。
接口级冗余的主要优点是:
● 减少故障转移环境中出现设备级故障转移的概率,从而提高网络/防火墙可用性,并消除不必要的服务/网络中断。
● 实现全网防火墙架构以提高吞吐量和可用性。
图 1 说明了 ASA 设备的简单部署方案,其中启用了接口冗余,并且没有设备级(A/S 或 A/A)故障转移。
在此方案中,出现 ASA 接口故障时,因为将采用冗余接口的备用物理接口作为活动接口,安全设备将继续传递通信。
单重上下文模式、多重上下文模式、路由防火墙模式和透明防火墙模式中均支持这种设计。
图 1. 本图描绘的是使用冗余接口前后的图片,其中引入了物理接口故障,
未引入任何冗余接口故障。
Cisco ASA 5585-X 设备适合接入标准数据中心设计中,如图 2 所示。VLAN 从物理交换机扩展到外部 ASA 设备,并使用专用冗余故障转移和状态链路连接到单独交换机。之前部分中说明的技术结合起来,即可创建高度冗余的网络设计。其中将使用 ASA 设备上的三个关键功能:
● 冗余接口
● 活动/活动故障转移
● 透明模式
您可以将单个 ASA 设备分区到多个虚拟设备中,这种方法称为安全性上下文。在"多重"上下文模式中,ASA 设备包括用于各个上下文的配置,其中确定安全策略、接口以及几乎所有在独立设备中可以配置的选项。系统配置确定 ASA 的基本设置,但不包括自身的任何网络接口或网络设置。"管理"上下文与所有其他上下文相似,但有一点不同:用户登录到"管理"上下文时,该用户具有系统管理员权限,可以访问"系统"和所有其他上下文。
体系结构概述
图 2. 标准数据中心体系结构
IPS 服务可以集成到设计中的各个 ASA 设备,也可以应用单独的独立 IPS/IDS。在 ASA 设备中实施 IPS 服务的优点在于,您可以使用细粒度控制对由 IPS 服务检测的通信分类。
ASA 5585-X 与承载要通过防火墙的 VLAN 的骨干端口相连接,集成到聚集层的体系结构中。冗余链路也可以配置到聚集层,以在需要时提供额外的可用性级别(图 3)。活动设备上的链路故障将导致设备级的故障转移,而冗余接口则不会。
图 3. 冗余链路连接
透明或路由防火墙模式
Cisco ASA 5585-X 支持两种不同的防火墙模式:路由和透明。在路由防火墙模式中,将 ASA 设备视为网络中的路由器跳转。在透明防火墙模式中,该设备用作"隐藏防火墙",不被视为路由器跳转。ASA 设备连接到其内部和外部接口上的相同网络。如果希望防火墙对攻击者不可见,则透明模式非常有用。数据中心设计使用透明模式来支持 ASA 设备上的活动/活动体系结构。
表 1 显示了这两种部署类型的功能。
表 1. 路由和透明防火墙模式的比较
路由 | 透明 |
所有 NAT"特色"均可用 路由数据通信 不传递组播通信 可以在上下文之间共享接口 | 每个上下文两个接口 透明模式的 NAT 支持桥接数据通信 传递组播通信 无共享接口 |
在透明模式下,Cisco ASA 5585-X 设备不是路由器跳转。ASA 设备的内部和外部端口连接到相同的网络,但每个端口必须位于不同的 VLAN。ASA 设备上无需任何动态路由协议或 NAT。数据中心中透明模式的其他优点如图 4 所示。
图 4. 数据中心中的透明防火墙模式
● 路由器可以通过防火墙建立路由协议邻接。
● 热备份路由器协议 (HSRP)、虚拟路由冗余协议 (VRRP) 和网关负载平衡协议 (GLBP) 可以穿透防火墙。组播流也可穿过防火墙。
● 可以允许非 IP 通信(预配置类型为 IPX、MPLS 和 BPDU),但必须使用 Ethernet V2/DIX 封装:无检测,只进行桥接。
性能和可扩展性
到目前为止,防火墙性能的主要决定因素是吞吐量 (Mbps)。但是,应用程序的需求更大,如今的应用程序要么保持较长时间的连接打开(文件共享或多媒体中使用的持久连接),要么打开多个短时间连接(通常在 Facebook 等普通网站上使用)。
虽然吞吐量仍然很重要,但处理新应用程序的能力也具有等同重要性,这些应用程序对并行连接容量以及提供快速打开新连接的能力有较高要求。Cisco ASA 5585-X 扩展了这些功能,但在提供优异的每秒连接速度性能和并行连接总数上予以了特别关注。Cisco ASA 5585-X 利用具有极低延迟和并行 CPU 体系结构的高速交换底板满足了性能要求。
总结
本文介绍了如何在数据中心设计中使用 Cisco ASA 5585-X 设备,综合考虑了常用数据中心的需求。ASA 5585-X 已经在数据中心中部署,通过 ASA 5585-X 具备的高度冗余的网络设计和高可用性功能,实现了对设计影响最小的安装方式。
了解更多信息
如需了解关于 Cisco ASA 5500 系列设备的更多信息,请访问 或与当地 Cisco 客户代表联系。
有关 Cisco 终止使用政策的更多信息,请访问:
