《双链路网络安全解决方案》由会员分享,可在线阅读,更多相关《双链路网络安全解决方案(7页珍藏版)》请在金锄头文库上搜索。
1、双链路网络安全解决方案一、需求分析:为业务提供所承诺的7/24的可靠服务是至关重要的。一个提供Internet接入和网站访问的服务商不仅需要保证链路和网站内所有的WEB服务器、应用服务器和数据库服务器的高可用性,还必须保证链路和站点本身的高可用性。保证Internet接入的稳定性对丁 Internet服务商来说是非常重要的。现在的服务商采用一 条Internet接入,也就是说使用一个ISP的链路。显然,一个ISP无法保证它提供的Internet 链路的持续可用性,从而可能导致 Internet访问和网站 WAN接入的中断,而Internet接入的 中断则意味着局额的损失。一个企业可以采用多链路
2、(Multi-Homing )和集群HA的解决方案来避免Internet接入中 断所造成的损失。在这里所提及的Multi-Homing通常指同时使用不同ISP提供的多条Internet 接入链路;”集群HA ”是指在接入点利用同品牌通型号的两个或者多个防火墙形成互为备份/冗余的功能。由丁多链路解决方案能够提供更好的可用性和性能,它正在被越来越多的 Internet服务商和企业所采用。可用性的提高来自丁多条链路的使用,而性能提高则是因为同 时使用多条链路增加了带宽,而加入集群的同时更加保护网络不受因单点故障而导致网络中 断的风险。二、方案描述多链路冗余起到在多个运营商之间故障的转移,但是防火墙作
3、为内外网的接入点,当设备出现故障便会导致内外网之间的网络业务的全部中断 ,引起单点故障,影响业务正常运行。因 此在网络接入点部署多台设备形成备份/冗余是非常必要的,其中一台设备发生故障时,数据 便会切换到另外一台设备上继续传输,而且还可以做设备性能的叠加增强。下面是网络拓扑图:三、功能实现3.1双链路功能3.1.1对丁外向型连接多重连接将以速度为目标对外向型互联网连接进行优化。多重连接使用来自丁各个ISP的源IP地址检测与服务器的连接情况。反馈速度最快的连接可以继续进行工作。因此,每个 连接都必定是速度最快的连接,其结果是,综合数据吞吐率将远远超过一个服务性能不稳定 的单个连接。经过累加,暂时
4、性工作性能高峰将为整个系统的工作带来优势,还可以避免延 迟现象的发生。3.1.2对丁内向型连接多重连接技术中将对内向型连接进行负载均衡,并以获得最高水平的可用性为目标而进 行优化,因此,用户在访问您的站点时将不会出现延迟现象或服务中断。通过对服务器使用 特殊IP地址,多重连接技术将可以实现这一目标;此时,服务器上将被配置多个IP地址,而这些IP地址来自丁由多个ISP所分配的IP地址范围当中。3.1.3线路负载均衡原理通过 Watchguard卓越有效的Link Load Balancing功能为总部多条ISP多条链路无缝实现 链路负载均衡。目前Watchguard可实现多种负载均衡方式:Rou
5、ting table:本方式通常用来解决南电信北网通互通难的问题,从而实现访问 电信线路出去访问电信网络,反之通过网通线路出去。Failover:线路备份,Watchguard提供备份优先级,并可指定那些预留线路不参与 线路备份,保证关键业务的持续有效。Round-robin:真正的负载均衡实现多条链路的叠加,Watchguard也可以指定预留 线路不参与负载均衡。对不同质量的线路也可以加权处理。Interface Overflow :通过这种负载均衡的方式可以保证每条链路的带宽都能充分 利用从而实现投资最大化。3.1.4线路切换机制通过配置多链路事件的粘滞连接、故障回复来实现线路之间的相互切
6、换。粘滞连接:在规定的时间段内持续使用同一个 WAN接口的连接。在为多WAN使 用“循环法”或“接口溢出”选项时,可以设置粘滞连接参数。粘滞特性可确保: 当数据包通过某个外部接口发送出去时,在指定时间段内,源 IP地址和目标IP 地址对之间的所有未来的数据包都使用同一个外部接口。默认情况下,粘滞连接 会在3分钟内使用同一个接口。故障回复:当发生故障转移事件时希望 WatchGuard设备执行的操作,使主外部 接口重新处丁活动状态。发生此情况后,所有新连接将立即故障回复到主外部接 口。可以选择在发生故障回复时为正在处理的连接使用此方法。3.2集群功能3.2.1触发故障转移的事件群集主控设备的被监
7、控接口出现链路故障如果群集主控设备的被监控接口无法发送或接收流量,将触发故障转移。您可以在Policy Manager的FireCluster配置中查看被监控接口的歹U表。群集主控设备没有完全正常运转如果在群集主控设备中检测到软件故障或硬件故障,或群集主控设备上的关键进程失败,将触发故障转移。群集收到来自丁 Firebox System Manager的“故障转移主设备”命令主控设备故障转移到备份主控设备。3.2.2发生故障转移当群集主控设备发生故障转移之后,备份主控设备将成为群集主控设备。原来的群集主 控设备将重启,并作为备份主控设备重新加入群集。群集将故障转移,并保持所有数据包筛 选器连接
8、、BOVPN隧道和用户会话。对丁主动/主动和主动/被动,执行的效果相同。在主动 /主动群集中,如果备份主控设备出现故障,群集将故障转移,并保持所有数据包筛选器连接、 BOVPN隧道和用户会话。代理连接和 Mobile VPN连接可能中断,在主动/被动群集中,如 果备份主控设备出现故障,将不会中断连接或会话,因为备份主控设备未被分配任何任务。3.2.3故障转移期间监视群集在Firebox System Manager的“前面板”选项卡中,在成员名称之后会显示群集中每个 设备的角色。如果您在群集主控设备故障转移期间查看“前面板”选项卡,可以看到群集主 控设备的角色从一个设备转移到另一个设备。在故障
9、转移期间,您可以看到:1)原来的备份主控设备的角色从“备份主控设备”变为“主控设备”。2)原来的群集主控设备重启时,其角色先变为“非活动”,然后乂变为“闲置”。3)原来的群集主控设备重启后,其角色变为“备份主控设备”。四、WatchGuard产品技术性能4.1 WatchGuard 公司美国WatchGuard公司是世界领先的高效率和全系歹U Internet安全方案供应商,是全球 排名前五位的专门生产防火墙的公司之一。WatchGuard公司1996年成立丁美国的华盛顿西 雅图,并在北美、南美和业洲等地设有办事处,全球员工总数约300多名。1999年7月30日在纳斯达克上市(纳斯达克股票代号
10、: WGRD )。WatchGuard是全球领先的高效率、全方位Internet方案供应商,宗旨是保护那些通过Internet开展电子商务的企业,并确保其通信 安全。公司以生产即插即用Internet安全设备“Firebox ”和相应的服务器安全软件而闻名丁 世。通过公司具有创新意义的LiveSecurity Service ,单位与用户能保持其安全系统总是处丁 最新状态。WatchGuard公司全球首创了专用安全系统,在 1997年首家将应用层安全运用到系统, 并在2004年全球首创可全面升级的整合安全网关。2005年WatchGuard公司推出了基丁全新技术的FirewarePro安全系统
11、和Firebox Peak高端安全设备,为市场提供了更安全、更全 面、更强大的安全设备。WatchGuard公司是生产即插即用Internet安全设备的先锋,为不同规模的用户提供解 决方案,从跨国大型企业和远程工作人员,一直到使用单个宽带连接的家庭办公室。WatchGuard公司的智能分层安全防御机制提供了健壮的、可信赖的网络安全方案,可调节 安全防御的深度,以满足不同规模用户的特殊要求。WatchGuard公司在2004年先后建立了上海、北京办事处。由2002年至今已经为3000+ 用户提供超过总计1万台WatchGuard产品,并且在金融保险、制造、交通、通信等行业以 及众多的跨国公司和政
12、府单位成功的实施应用。4.2 “预防御”保护WatchGuard ?通过其 WatchGuard 统一威胁管理(Unified Threat Management )平台的 智能分层安全(Intelligent Layered Security )技术提供了 “预防御” (Zero Day)保护,能 够有效地阻止新的和未知的攻击,同时不需要攻击特征的支持。4.2.1 什么是“预防御”在网络安全的领域,人们对“预防御”攻击保护有多种不同的说法。但是,厂商们真正 提供的防护服务却截然不同。零天威胁(Zero Day threats )是指新的或未知的攻击,它们出 现的时候,还没有写好相应的补丁程序
13、或者攻击特征。预防御保护( Zero Day protection ) 是指在发现漏洞,以及在建立和发起真正的攻击之前,就阻止新的或未知的威胁4.2.2 WatchGuard 架构中集成了真正的预防御保护WatchGuard的智能分层安全(Intelligent LayeredSecurity )技术构架合并了关键的安全功能来防范攻击大类,以及防范即使是当时未知的变种。其中一些功能包括:协议异常检测一一阻止与协议标准不符的恶意通信。模式匹配通过全面检查整个数据包,在系统中标记并移除高风险文件,比如.exe和 脚本文件、病蠹、间谍软件和木马。行为分析识别并阻止来自主机的可疑通信,其中包括DoS和
14、DDoS攻击、端口扫描和地址扫描。4.2.3漏洞空窗期基丁攻击特征的方案只能阻止已经识别出来的威胁。在分析出攻击特征,开发好补丁程 序,并实际部署之前,您的网络对丁新的溢出漏洞仍然没有任何免疫力。考虑一下当今的各 式网络攻击的频率和破坏力,即使失去一分钟保护,都可能带来灾难性的后果。事实上,在 分析出攻击特征或开发出补丁,并进行实际部署之前,用户需要的是几小时、几天甚至几周 的等待时间。这个网络漏洞的空窗期是每一个 IT管理者的噩梦。WatchGuard能在漏洞空窗期为您提供保护“预防御.保护漏洞时间国4.2.4强大的保护层协同工作和市面上的许多UTM产品不同,通过Firebox X中的ILS构架,安全层能够协同工作 来加强总体安全性。软件功能相互协调,各个组件均对整体安全结构提供支持。如:当入侵 预防服务发现攻击时,可通知防火墙如何进行处理。层与层之间的合作通信减轻并协调了安 全功能要求执行的计算和处理。结果是您获得了保证安全所需的保护,同时优化了性能。
