可伸缩性
防火墙是网段之间存在物理设备,通常在一个路由的设计。他们执行状态检查会议经历从一个部门到另一个。防火墙阻止或允许会话基于配置的安全策略和规则。防火墙已经有限的资源的链接速度、内存和处理器能力。这些因素确定设备的容量和能力的会话可伸缩性和生分组交换性能。
FWLB多个并行防火墙部署时需要克服的吞吐量性能限制,会话,和会话能力。FWLB允许您跨多个防火墙规模由分配流量防火墙保护每个连接的基础上。在一个负载均衡解决方案,所有数据包之间的一对特定会话的IP地址,在任何方向,经过相同的防火墙。然后,防火墙允许或拒绝个人数据包在传输接口。
冗余
FWLB的主要原因之一是高可用性的安全路径提供的防火墙。典型的防火墙,像思科专用网络交换机(沥青)防火墙,提供冗余功能在主动/备份方式。在这些场景中,一个防火墙功能和活跃的,而另一个是在静默模式。防火墙都共享一个接口的IP地址,从而使交通流的延续的设备故障。
FWLB需要下一个级别的防火墙冗余负载均衡流量的一群活跃的和功能的防火墙。防火墙在几秒内检测到故障负载均衡器,以特定的防火墙的旋转。只要一个防火墙负载均衡组内的功能,安全路径保持联系。
可管理性
防火墙规则和政策变化一直是一项艰巨的任务,需要仔细的计划和改变窗口分配。这是因为防火墙提供了安全性和公众之间的安全部分,和一个不适当的改变可以完全阻止用户访问或创建一个绕过安全。同样的困难也适用于防火墙软件升级。
FWLB解决了这一问题,使简单的管理设备。由于防火墙被负载平衡在一个团体,个人防火墙可以旋转的管理目的。这可以确保不中断用户流量防火墙的变化。
防火墙可以旋转通过删除它们从防火墙农场在CSM配置或阻塞发送的探针CSM。通过阻断或减少探测包,防火墙是动态旋转了CSM。
类型的防火墙
正如我们之前讨论的,防火墙是物理设备网段之间实施安全策略。有几种类型的防火墙,即:
基于防火墙
基于应用程序防火墙
应用网关防火墙或代理
2层或隐形防火墙
基于防火墙
基于防火墙是第一代设备,执行政策每个包的基地。他们没有任何会话和没有应用程序层的概念的理解。一种简单的基于防火墙是一种访问控制列表(ACL)在一个路由器。ACL块或允许IP数据包根据源或目标IP地址或两者兼而有之。现在有更复杂的acl路由器能够提供有状态检查。
基于防火墙负载均衡是简单的因为没有保持会话状态防火墙,所以可能相同的TCP连接可以跨多个防火墙负载均衡每个包的基础上。换句话说,非对称流可以在这个环境中。
图5 - 1显示了一个示例的负载平衡分组防火墙。因为这些防火墙是无状态的,TCP SYN特定连接可以通过第一个防火墙而TCP SYN ACK从服务器到客户端穿过第二个防火墙。
负载平衡,基于防火墙
基于应用程序防火墙
基于应用程序防火墙通常可用现在可以提供有状态检查会话和网络地址转换(NAT)的功能。焦油和防火墙服务模块(FWSM) 650000年催化剂是基于应用程序防火墙。类似于基于硬件的负载平衡器,基于应用程序防火墙安装在硬件内存允许的会话信息。这些防火墙不允许其他数据包通过它们比那些属于检查防火墙和安装会议。
基于应用程序的负载平衡防火墙是复杂的,因为它需要一个特定的用户会话发送通过相同的防火墙。换句话说,如果一个客户端TCP SYN通过防火墙发送到服务器,从服务器的TCP SYN ACK客户机还应该通过防火墙。路径对称需要维护,这通常是通过使用一个源或目标地址。源和目的地址的哈希计算保持对称端TCP SYN和服务器的TCP SYN ACK的回应。我们将进一步讨论这个案例研究。
图5 - 2展示了一个负载平衡的例子基于应用程序的有状态的防火墙。注意到一个特定的TCP连接需要通过相同的防火墙。
负载平衡基于应用程序防火墙
应用网关防火墙或代理
应用基于网关的防火墙提供有状态检查会议。他们不仅是会话清楚,但也熟悉创建会话的应用协议;例如,HTTP、SMTP和FTP。应用级网关不只是过滤数据包和会话。它作为一个保护网络和互联网之间的网关。作为网关,它不允许任何数据包在网络间直航和受保护的网络。
应用网关防火墙代理所有用户请求和获取数据来启动一个新连接终端服务器。终端服务器将请求来自于防火墙的IP地址。拼接的防火墙客户端和服务器端TCP连接,客户端从服务器获取数据的基于互联网的终端服务器客户机的IP地址的知识。这个功能类似于NAT但确实是超越,因为防火墙不仅隐藏内部客户端的IP地址;它也是实现基于应用程序安全策略。
应用网关防火墙可以透明地实现,但大多数的实现代理时尚。这就是为什么他们也被称为代理防火墙。
负载平衡代理防火墙需要负载平衡会议只从内部网络到互联网。从互联网到内部网络,数据包总是正确的防火墙,随着目的地IP防火墙的物理IP。因此,动态的对称性会议保障。
图5 - 3显示了一个示例的负载平衡代理防火墙。注意,在这种情况下,防火墙代理客户机请求,然后设置一个单独的连接到服务器。在这种情况下,客户机/服务器会话负载平衡通过相同的防火墙。防火墙代理的客户端连接和问题连接到网络服务器。客户端发送贵宾的初始请求负载平衡器,防火墙和请求翻译IP VLAN 3。
代理防火墙负载均衡
2层或隐形防火墙
2层或隐形防火墙也称为“撞线”防火墙。这些防火墙没有任何IP地址,他们只是交通两段或vlan之间的桥梁。两段或vlan共享同一个IP子网和广播域。换句话说,这些都是无法觉察的层2层设备能够进行转发数据包和会话一起检查。
负载平衡支持的隐形防火墙是相当复杂的,但思科CSM模块。负载平衡隐形防火墙,防火墙连接到独特的vlan在另一面是,公共或私人的一面。公共部分vlan连接到一个特定的CSM一对,和私营或内部vlan连接到另一对CSM。私人和公共之间的防火墙桥梁交通vlan。这意味着,即使它们是不同的vlan,它们是同一广播域。CSM配置vlan与别名IP地址,和他们平衡流量防火墙转发数据包到远程CSM的别名IP地址。换句话说,别名的防火墙服务器农场由IP地址在远程CSM对。隐形防火墙配置,使所有交通朝着两个方向在VLAN穿过防火墙。
图5 - 4展示了一个示例2或隐形防火墙负载均衡层。注意每层2防火墙存在于一个单独的VLAN和子网。一双VLAN(例如,VLAN 2和VLAN 12)用于合并一个广播域,维修子网10.1.2.0/24。
防火墙负载均衡隐形
案例研究:防火墙负载均衡
既然您了解了不同类型的防火墙和FWLB背后的动机,你可以学习如何部署一个相当复杂的FWLB解决方案在多个安全部分。FWLB部署时,关键是了解应用程序流,将防火墙负载均衡,无论他们是出站到互联网或入站DMZ中。需要多个连接的应用程序,也称伙伴关系,如FTP,需要考虑和占设计。对于这些应用程序,您需要确保这两个连接属于同一用户会话的经历相同的防火墙。
在这个案例研究中,我们将研究一个特定的客户部署在CSM用于负载平衡防火墙有三个安全部分,即一个INET, DMZ, LAN网段。下面的案例研究是理解背后的想法不仅概念,实现细节。完全理解示例部署,我们将看看:
服务器和应用程序需求
安全需求
基础设施需求
设计选项
测试和验证
服务器和应用程序需求
这个案例研究服务器和应用程序要求定义如下:
服务器应该直接从管理托管在DMZ中站在局域网段。
服务器还应该能够发起会话的应用软件补丁和驱动程序升级。
服务器的数量在DMZ中大约有300。
的主要应用程序负载平衡在DMZ中是基于HTTP和HTTPS。
持久性是HTTPS-based所需的应用程序。
基于tcp的探测器就可以了。
直接访问局域网的DMZ服务器使用的是长期闲置超时的流至少三个小时。
局域网和DMZ服务器之间使用FTP。
安全需求
这个案例研究的安全要求如下:
负载平衡流的主要要求是防火墙的所有三个部分。
关键是每个网络路径通过防火墙之前验证发送连接在它;局域网的用户流量,应该只被发送到DMZ在非军事区部分界面功能的防火墙。
FTP和其他应用程序与multiconnections应该被发送到相同的防火墙。
高可用性是至关重要的。
防火墙不共享状态表;即,每个防火墙不知道其他的会话状态防火墙。
基础设施需求
第二层和第三层基础设施要求这个案例研究如下:
最小中断内部网关协议(显卡)域
无缝集成的CSM在当前的第二层和第三层的基础设施
健壮故障转移需要在防火墙的情况下失败
在数据中心的设2020欧洲杯预赛计,以满足前面提到的需求,csm配置在桥和路由器模式的结合。图盘中显示了物理拓扑部署。
FWLB设计注意事项
以下是一些关键的方面需要考虑的设计对于一个成功的部署:
使用适当的ICMP探测跟踪所有链接的防火墙。人们很容易下降流量如果所有路径不关注。
配置端口通道催化剂服务器和客户端之间的vlan。这个端口通道应该排除CSM容错(英尺)VLAN。
另一个端口通道配置至少两个快速以太网接口的CSM英尺VLAN。
多层交换功能卡(所有)应该只有第三层出现在客户端或服务器端CSM的VLAN。如在第三章所讨论的,这个限制可以被使用基于策略的路由(PBR)所有。
的物理拓扑Multiple-Segment FWLB设计
所有应该相关流量路由到别名csm的IP。
csm相关流量路由到HSRP集团所有的IP。
将防火墙和服务器在6500年代的催化剂。必须没有单点故障。措施,如port-channeling,必须避免分裂的大脑,这发生在都在一对活动/备用设备变得活跃。
在FWLB,虚拟ip (vip)在虚拟服务器配置作为路线。确保使用正确的子网划分等等。很容易创建路由迴圈。
在虚拟服务器配置VLAN X选项是非常重要的。这是为了确保连接适当的vlan VIP地址。换句话说,这为您提供了更多的控制在提高安全和防止路由迴圈。
图5 - 6显示了逻辑拓扑FWLB设计的考虑。
逻辑拓扑的Multiple-Segment FWLB设计
FWLB探针
为了确保可用的路径通过防火墙,ICMP使用探针。ICMP探针配置了地址命令在探测器来定义哪些地址需要灵感。的地址关键字定义允许CSM把探测器送到地址,而不是真正的IP(防火墙的IP)。CSM使用真实服务器的MAC地址发送探测器在每个防火墙。在接下来的例子中,地址是别名csm的IP地址在DMZ中。CSM确保它发送ICMP回应所有的链接的防火墙。接收CSM发回响应请求的链接上。这种方式,所有的路径都是CSM的监控。
在探针配置,时间间隔,失败的,重试值可以调整,以达到预期的效果。例如,探针的区间值5,重试值为3,和一个失败的价值30每3秒发送一个探测器,和3个探针的失败导致服务器被标记为失败。所以马克一个服务器需要15秒。探测器推迟30秒后再发送回服务器是否在服务。
Cat6500_01 (config-module-csm) #探针DMZ icmp Cat6500_01 (config-slb-probe-icmp) # ?SLB ICMP探针配置地址探测目的IP地址默认设置一个命令其违约退出退出调查submode失败调查失败的服务器之间的时间间隔,以秒为单位之间间隔时间间隔,以秒为单位调查没有否定一个命令或设置默认接受最长时间的秒等待回复从真实服务器重试之前连续的错误标志真实服务器故障Cat6500_01 (config-slb-probe-icmp) # !探针DMZ icmp地址11.8.200.65间隔5 !serverfarm OUT_DMZ nat服务器没有nat客户真正11.8.200.43在职真正11.8.200.44在职真正11.8.200.45在职探针DMZ !
流量防火墙
在防火墙、负载平衡流量的IP地址创建一个服务器群,该群中有防火墙。防火墙必须层2个CSM。的所有必须没有第三层界面上的防火墙VLAN。路由流量穿过防火墙,用户需要创建一个虚拟服务器与VIP定义路线通过防火墙。交通注定要指定贵宾将防火墙组之间进行负载平衡。注意在以下配置示例中,一个VLAN标记10 DMZ配置虚拟服务器。这个配置命令确保只有交通从VLAN 10(客户VLAN)应该考虑的虚拟服务器。这是用于安全目的,也防止路由迴圈。
!serverfarm OUT_DMZ nat服务器没有nat客户真正11.8.200.43在职真正11.8.200.44在职真正11.8.200.45在职探针DMZ !vserver DMZ虚拟173.73.248.0 255.255.248.0任何vlan 10 serverfarm OUT_DMZ复制csrp粘性复制csrp连接持续平衡在职的!
的csrp复制粘命令不需要在上面的配置,如没有粘性组配置。这个命令是用来同步活动和备用csm之间棘手的数据表。
的流量防火墙
CSM不是一个路由器。它不知道如何处理任何IP包,除非使用虚拟服务器或配置静态路由和网关。我们需要以下配置使得交通起源于CSM处理适当的防火墙VLAN (12)。全方位虚拟服务器,说以下几点:predictor-forward任何数据包,在来自VLAN 12我没有流。Predictor-forward意味着路线定义;在这种情况下,它的默认网关。的任何关键字在虚拟配置是指任何IP协议。
!serverfarm OUT_FW_CSM nat服务器没有nat客户预测前进!vserver OUT_FW_CSM虚拟0.0.0.0 0.0.0.0任何vlan 12 serverfarm OUT_FW_CSM复制csrp粘性复制csrp连接持续平衡在职的!
路由器或安全模式
路由器模式(也称为安全模式)是在CSM配置客户端和服务器上有两个不同的子网分别vlan。直接访问服务器从客户端是不允许VLAN路由模式。一个例子可以看到CSM1和CSM2。路由器模式在互联网段用于安全增强。同样,桥模式会工作。
模块ContentSwitchingModule 2 vlan 10客户机ip地址11.8.200.226 255.255.255.224网关11.8.200.230别名11.8.200.225 255.255.255.224 !vlan 12服务器ip地址11.8.200.34 255.255.255.224别名11.8.200.33 255.255.255.224 !
配置显示,别名使用IP 11.8.200.33沥青作为上游默认网关。
桥接模式
桥模式是在CSM配置拥有相同的子网和IP地址在两个客户端和服务器vlan。例子可以看到DMZ CSM和局域网CSM。桥模式使广播交通无缝通过CSM和还允许直接访问服务器的前端。
模块ContentSwitchingModule 2 vlan 14客户机ip地址11.8.200.66 255.255.255.224别名11.8.200.65 255.255.255.224 !vlan 114服务器ip地址11.8.200.66 255.255.255.224路线173.73.248.0 255.255.248.0网关11.8.200.80 !
FWLB算法
上可用任何负载平衡方法可以用于FWLB CSM。通常情况下,默认的平衡方法,循环使用。以来的支持multiconnection协议,如FTP,需要在这个设计中,我们将使用预测IP散列在我们的配置。multiconnection协议,一些连接开放的客户和其他服务器,您需要确保所有属于同一会话的连接通过相同的防火墙,你将不得不使用源IP散列的连接和目的地IP散列外向的,反之亦然。
Cat6500_01 (config-module-csm) # serverfarm OUT_DMZ Cat6500_01 config-slb-sfarm # pre Cat6500_01 (config-slb-sfarm) #预测?基于目的地查找转发转发哈希散列算法ip-hash源IP地址散列算法(请使用哈希地址源)此此leastconns最少连接算法循环循环算法(默认)Cat6500_01 (config-slb-sfarm) #预测ha Cat6500_01 (config-slb-sfarm) #预测散列?IP源地址/桌子地址散列算法url网址哈希算法Cat6500_01 (config-slb-sfarm) #预测散列添加Cat6500_01 (config-slb-sfarm) #预测哈希地址吗?/神经网络或A.B.C.D IP地址哈希散列算法源网络掩码目的地目的地IP地址源IP地址散列算法< cr > Cat6500_01 (config-slb-sfarm) #预测散列地址
INET段的配置细节
以下是详细的INET CSM和催化剂6509配置部分。
CSM配置
下面是完整的CSM配置,用于INET段。这个配置显示了VLAN配置、探针服务器农场,和虚拟服务器。
模块ContentSwitchingModule 2 vlan 10客户机ip地址11.8.200.226 255.255.255.224网关11.8.200.230别名11.8.200.225 255.255.255.224 !vlan 12服务器ip地址11.8.200.34 255.255.255.224别名11.8.200.33 255.255.255.224 !探针DMZ icmp地址11.8.200.65间隔5 !探针局域网icmp地址11.8.200.97间隔5 !serverfarm OUT_DMZ nat服务器没有nat客户预测哈希地址来源真实11.8.200.43在职真正11.8.200.44在职真正11.8.200.45在职探针DMZ !serverfarm OUT_LAN nat服务器没有nat客户预测哈希地址来源真实11.8.200.43在职真正11.8.200.44在职真正11.8.200.45在职探针局域网!serverfarm OUT_FW_CSM nat服务器没有nat客户预测前进!vserver DMZ虚拟173.73.248.0 255.255.248.0任何vlan 10 serverfarm OUT_DMZ复制csrp粘性复制csrp连接持续平衡在职的!vserver DMZ_V2虚拟11.8.200.64 255.255.255.224任何vlan 10 serverfarm OUT_DMZ复制csrp粘性复制csrp连接持续平衡在职的!vserver局域网虚拟11.0.0.0 255.0.0.0任何vlan 10 serverfarm OUT_LAN复制csrp粘性复制csrp连接持续平衡在职的! vserver OUT_FW_CSM virtual 0.0.0.0 0.0.0.0 any vlan 12 serverfarm OUT_FW_CSM replicate csrp sticky replicate csrp connection persistent rebalance inservice !
催化剂6509层3的配置
以下是第三层配置于6509年的催化剂。接口VLAN 10是所有的CSM的链接。VLAN 11连接路由器的所有优势。
!接口Vlan10 ip地址11.8.200.231 255.255.255.224没有ip重定向备用1 ip 11.8.200.230备用1优先级105备用1抢占备用1跟踪Vlan11 !173.73.245.6 255.255.255.0没有ip接口Vlan11 ip地址重定向备用2 ip 173.73.245.10备用2优先105备用2抢占备用2跟踪GigabitEthernet1/1备用2跟踪Vlan10 !ip默认网关173.73.245.1 !ip没有阶级的ip路由0.0.0.0 0.0.0.0 173.73.245.1 ip路由11.0.0.0 255.0.0.0 11.8.200.225 ip路由173.73.0.0 255.255.0.0 11.8.200.225
DMZ配置细节的部分
以下是详细的CSM和催化剂6500配置的DMZ段。
CSM配置
以下是CSM配置用于DMZ段。注意,在这部分中,CSM执行双重任务。server-originated通信负载平衡局域网和INET段穿越防火墙和负载平衡在入站HTTP和HTTPS请求应用程序服务器农场。