H3C安全插卡部署.ppt

,概述数据中心基础网络架构数据中心基础网络设计总结,目录,结构化、标准化、模块化思路Intranet server farm设计外联平台设计安全与优化设计容灾网络设计基于IRF的虚拟化设计不同规模和类型的数据中心数据中心结构化布线简介,数据中心高性能业务集成架构,高性能安全与优化模块的工作模式：主机路由模式FW、SLB、LLB、SSL VPN重定向模式IPS、ACG镜像模式NetStream,防火墙设计IPS设计LB设计SSL VPN设计组合设计,数据中心安全与优化设计,独立防火墙双机设计,DMZ,DMZ,SRV,出口单层FW,出口双层,Server farm 单层,Server farm 多层,SRV,SRV,防火墙双机热备,批量备份：先运行的防火墙会将已经存在的会话及业务表项一次性同步到新加入的设备实时备份：防火墙在产生新表项后会及时备份到另一台设备,双机热备同步数据信息：会话、NAT、ALG、ASPF、黑名单、H.323、SIP、ILS、RTSP、NBT、SQLNET等,FW通过VRRP组实现主备或负载分担 根据VRRP组状态进行切换FW同侧接口需二层可达FW组对上对下部署静态路由,VRRP-1,VRRP-2,OSPF,动态路由完成选路切换交换、路由设备进行路径选择FW所有业务接口使能动态路由,1,2,防火墙SecBlade、SecPath部署比较,Secblade接入chassis交换机,独立防火墙旁挂chassis交换机,独立防火墙inline,心跳线,心跳线,心跳线,不论采用何种部署方案，网络数据流的逻辑设计是相同的所有结构本质上都是inline方式，只是外在表现不同。,汇聚交换机,汇聚交换机,FW_1,FW_2,L3,L3,L2,L2,DB_VLAN,APP_VLAN,WEB_VLAN,WEB,APP,DB,运行MSTP,防火墙SecPath旁挂：路由模式 1,L2,L2,物理链路,心跳互联,所有服务器网关在防火墙上WEB/APP/DB间访问策略由FW控制接入交换机、汇聚层面向服务器侧二层接口运行MSTPFW对服务器运行VRRP，对外可运行动态路由或配VRRP,核心交换机,汇聚交换机,汇聚交换机,FW_1,FW_2,L3,L3,L2,L2,DB_VLAN,APP_VLAN,WEB_VLAN,WEB,APP,DB,运行MSTP,防火墙SecBlade：路由模式1,L2,L2,物理链路,心跳互联,所有服务器网关在防火墙上WEB/APP/DB间访问策略由FW控制接入交换机、汇聚层面向服务器侧二层接口运行MSTPFW对服务器运行VRRP，对外可运行动态路由,SecBlade 10G通道,核心交换机,汇聚交换机,汇聚交换机,L2,L2,L3,L3,WEB,APP,DB,运行MSTP,防火墙SecPath旁挂：路由模式 2,L2,L2,心跳互联,所有服务器网关在汇聚交换机上，相应接口运行VRRPWEB/APP/DB间访问策略由交换机控制，具有较高性能接入交换机、汇聚层面向服务器侧二层接口运行MSTPFW可运行动态路由 FW远离服务器侧接口与核心交换机建立路由邻居 FW近服务器侧接口与汇聚交换机建立路由邻居,DB_VLAN,APP_VLAN,WEB_VLAN,物理链路,FW_1,FW_2,核心交换机,Core Switch_1,Core Switch_2,FW_1,FW_2,L2,L2,L3,L3,WEB,APP,DB,运行MSTP,防火墙SecBlade：路由模式2,L2,L2,心跳互联,所有服务器网关在汇聚交换机上，相应接口运行VRRPWEB/APP/DB间访问策略由交换机控制，具有较高性能接入交换机、汇聚层面向服务器侧二层接口运行MSTPFW可运行动态路由 FW远离服务器侧接口与核心交换机建立路由邻居 FW近服务器侧接口与汇聚交换机建立路由邻居,DB_VLAN,APP_VLAN,WEB_VLAN,物理链路,SecBlade 10G通道,汇聚交换机,汇聚交换机,FW_1,FW_2,L3,L3,L2,L2,WEB,APP,DB,运行MSTP,L2,L2,防火墙SecBlade：透明模式1,L2,L2,所有服务器网关在汇聚交换机上，相应接口运行VRRPWEB/APP/DB间访问策略由FW控制接入交换机、汇聚层面向服务器侧二层接口运行MSTP,核心交换机,DB_VLAN,APP_VLAN,WEB_VLAN,物理链路,SecBlade 10G通道,汇聚交换机,汇聚交换机,FW_2,L2,L2,L3,L3,WEB,APP,DB,运行MSTP,L2,L2,防火墙SecBlade：透明模式2,L2,L2,所有服务器网关在汇聚交换机上，相应接口运行VRRPWEB/APP/DB间访问策略由ACL控制接入交换机、汇聚层面向服务器侧二层接口运行MSTPFW透明部署,核心交换机,DB_VLAN,APP_VLAN,WEB_VLAN,物理链路,FW_1,SecBlade 10G通道,FW虚拟化实例,交换机三层路由接口,物理链路,L2,L2,L3,L3,Outside VLAN,Inside VLAN,虚拟防火墙设计1-实例化,WEB,APP,DB,WEB,APP,DB,防火墙设计IPS设计LB设计SSL VPN设计组合设计,数据中心安全与优化设计,IPS部署比较,IPS插卡接入chassis交换机,独立IPS旁挂chassis交换机,独立IPS在线部署,心跳线,心跳线,心跳线,对于独立IPS设备不论采用何种部署方案，网络数据流的逻辑设计是相同的所有结构本质上都是inline方式，只是外在表现不同。,交换机对数据进行重定向到IPSIPS处理“嵌入”在交换机转发中,VLAN-1,VLAN-2,IPS插卡的工作机制,C-S方向流量在交换机入口进行流量识别将识别的流量重定向到IPS所在交换机端口IPS处理完毕后又从该端口返回交换机继续正常的二三层转发,Client,Server,Client,Server,Ingress入口重定向,Ingress入口重定向,S-C方向流量在交换机入口进行流量识别将识别的流量重定向到IPS所在交换机端口IPS处理完毕后又从该端口返回交换机继续正常的二三层转发,IPS与FW的位置关系,Server farm,外联出口服务器网络FW位于IPS更靠外的网络起到一定保护IPS作用FW用于隔离内外网IPS用于更深度防护,内部服务器网络FW与IPS可根据网络拓扑调整位置关系FW主要用于服务器安全访问策略IPS用于深度防护关键应用系统,FW,FW,IPS,IPS,防火墙设计IPS设计LB设计SSL VPN设计组合设计,数据中心安全与优化设计,我司LB的两种组网设计,NAT方式的负载均衡LB设备使用NAT技术对报文的源、目的地址进行转换，使得客户端和真实服务器之间能通信。,DR方式负载均衡 LB设备与服务器群在同一VLAN，服务器除了本身的IP地址，还需要配置VIP（虚拟IP，用于接收由LB设备分发来的服务请求）,LB部署比较,LB插卡接入chassis交换机,独立ASE旁挂chassis交换机,心跳线,LB设计模式类似FW路由模式可参考FW路由模式设计方法,VLAN-1,VLAN-2,VLAN-2,VLAN-3,VLAN interface,VLAN-2,VLAN-2,VLAN-3,VLAN-3,VLAN-3,VLAN-2,L2,L2,LB网络拓扑一,Client,Server Farm,SWITCH,以太网端口只是LB的扩展端口,L2,L2,LB网络拓扑二,Client,Server Farm,SWITCH,VLAN-2,VLAN-3,VLAN interface,VLAN-1,VLAN-2,L3,VLAN-3,L3,VLAN-3,VLAN-3,VLAN-1,L2,L2,LB网络拓扑三,Client,Server Farm,SWITCH,VLAN-1,VLAN-2,VLAN interface,VLAN-1,VLAN-2,L3,L2,VLAN-3,L2,L3,VLAN-3,LB网络拓扑四,Client,Server Farm,单臂模式,SWITCH,VLAN-2,VLAN interface,VLAN-1,VLAN-2,L3,VLAN-3,L3,VLAN-3,VLAN-1,LB网络拓扑五,VLAN interface,VLAN-1,VLAN-2,L3,L3,VLAN-2,VLAN-1,防火墙设计IPS设计LB设计SSL VPN设计(略)组合设计,数据中心安全与优化设计,设计方式与FW/LB近似,防火墙设计IPS设计LB设计SSL VPN设计组合设计,数据中心安全与优化设计,FW+LB最佳实践配置,部署：核心交换机(Switch9500)汇聚交换机(Switch9500/75E)集成业务板卡核心、汇聚交换机之间配置OSPF协议FW（防火墙板卡）作为Server的网关。FW配置静态路由，缺省网关指向汇聚交换机。两个FW之间运行VRRP，保证HA或是负载均衡LB（负载均衡板卡）单臂旁挂，配置静态路由，缺省网关指向汇聚交换机。两个LB之间运营VRRP，保证HA或是负载均衡接入交换机做二层接入,优点：结构简单FW保证服务器之间的安全隔离,缺点：LB没有安全保护，容易受到安全冲击,服务器网关,WEB VLAN,APP VLAN,DB VLAN,LB单臂+FW路由,FW+LB最佳实践流量路径,V1000,V300,V400,1.1.1.1,2.2.2.1,2.2.2.2,4.4.4.2,3.3.3.1,V100,V200,V300,V400,V500,FW,LB,L3接口,3.3.3.2,C-S方向（紫色流量）1、数据流从核心交换机经过V1000进入汇聚交换机2、汇聚交换机根据目的(LB的VIP)将数据通过V100转发到LB3、LB作为代理终结报文。替换源地址(2.2.2.1)和目的地(4.4.4.2)之后通过V300返回汇聚交换机，下一跳是汇聚交换机(2.2.2.2)4、汇聚交换机继续进行三层转发到FW5、FW转发报文到V400的服务器(4.4.4.2)S-C方向1、服务器返回流量到FW（网关）2、FW转发数据到汇聚交换机(V300)3、汇聚交换机继续进行三层转发4、LB作为代理终结报文。替换源地址(1.1.1.2)和目的地(客户端地址)之后通过V100返回汇聚交换机5、汇聚交换机三层转发,V500,5.5.5.2,4.4.4.1,5.5.5.1,S-S方向（蓝色流量）1、数据流从接入、汇聚交换机二层转发(V500)进入FW2、FW过滤流量并三层转发3、数据流从FW经过汇聚、接入交换机二层转发(V400)到达服务器,V200,V100,V1000,1.1.1.2,FW+LB最佳实践HA,V1000,V300,V400,FW,LB,V500,V300,FW,LB,V500,V400,V100,V200,V300,V400,V500,L3接口,VRRP1,VRRP2,Trunk,部署：核心与汇聚交换机之间采用OSPF组网。当任一节点整机故障或链路故障时，整网依靠OSPF进行故障收敛。通过调整OSPF的hello timer可以控制流量中断时间。两个LB之间运行VRRP，保证HA或是负载均衡。汇聚交换机上将去往服务器的下一跳指向LB的VRRP虚地址，当LB主路径板卡故障时，通过VRRP可以切换到备卡上恢复流量，切换时间可控。两个FW之间运行VRRP，保证HA或是负载均衡。当主路径板卡故障时，通过VRRP可以切换到备卡上恢复流量。切换时间也可控。汇聚交换机之间需要Trunk V100/V400/V500,注意事项：为保证HA，使用了NQA、VRRP与OSPF等技术。这些协议收敛时间均可通过配置来调整。过短的收敛时间配置会导致网络中的大量协议报文消耗设备与带宽资源，并且会在流量较大或链路振荡时出现流量路径反复切换，从而引起整网振荡甚至风暴。建议此处配置收敛时间尽量考虑周全，根据实际组网环境多方面权衡。,限制：LB要做源地址转换，使服务器得不到访问客户的源地址,V1000,V1000,VLAN interface,VLAN-3,VLAN-3,L2,FW+LB最佳实践配置,L2,VLAN-5,VLAN-8,VLAN-2,L3,FW,LB,VLAN interface,VLAN-3,VLAN-3,L2,L3,VLAN-5,VLAN-8,VLAN-2,L3,LB,FW,VLAN-4,FW+SSL VPN最佳实践配置,部署：汇聚交换机(Switch75E)集成业务板卡汇聚交换机作为Server的网关，配置静态路由，缺省网关指向FW。两个汇聚交换机之间运行VRRP，保证HA或是负载均衡SSL VPN（SSL VPN板卡）在线部署，配置静态路由，缺省网关指向FW。两个SSL VPN之间运行VRRP，保证HA或是负载均衡接入交换机做二层接入,服务器网关,WEB VLAN,APP VLAN,DB VLAN,SSL VPN在线+FW路由,FW+SSL VPN最佳实践流量路径,C-S方向（紫色流量）1、数据流从核心交换机经过V1000进入汇聚交换机并转发到FW（防火墙板卡）2、FW过滤数据后根据目的(SSL VPN的VIP)将数据通过V100转发到SSL VPN3、SSL VPN作为代理终结报文。替换源地址(2.2.2.1)和目的地(4.4.4.2)之后通过V200返回汇聚交换机，下一跳是汇聚交换机(2.2.2.2)4、汇聚交换机转发报文到V400的服务器(4.4.4.2)S-C方向1、服务器返回流量到汇聚交换机（网关）2、汇聚交换机转发数据到SSL VPN(V200)3、SSL VPN作为代理终结报文。替换源地址(1.1.1.2)和目的地(客户端地址)之后通过V100返回FW5、FW通过汇聚交换机转发数据,S-S方向（蓝色流量）1、数据流从接入、汇聚交换机二层转发(V500)进入汇聚交换机2、汇聚交换机三层转发3、数据流经过汇聚、接入交换机二层转发(V400)到达服务器,V100,V200,V300,V400,V500,L3接口,V1000,V100,10.1.1.1,2.2.2.1,5.5.5.1,FW,SSL VPN,V200,V300,3.3.3.2,V400,4.4.4.2,4.4.4.1,V1000,1.1.1.1,1.1.1.2,2.2.2.2,3.3.3.1,3.3.3.2,5.5.5.2,V500,FW+SSL VPN最佳实践HA,部署：核心与汇聚交换机之间采用OSPF组网。当任一节点整机故障或链路故障时，整网依靠OSPF进行故障收敛。通过调整OSPF的hello timer可以控制流量中断时间。两个SSL VPN之间运行VRRP，保证HA或是负载均衡。汇聚交换机上将去往服务器的下一跳指向SSL VPN的VRRP虚地址；汇聚交换机将SSL VPN直连网段路由向外发布。当SSL VPN主路径板卡故障时，通过VRRP可以切换到备卡上恢复流量，切换时间可控。两个FW之间运行VRRP，保证HA或是负载均衡。当主路径板卡故障时，通过VRRP可以切换到备卡上恢复流量。切换时间也可控。,注意事项：过短的收敛时间配置会导致网络中的大量协议报文消耗设备与带宽资源，并且会在流量较大或链路振荡时出现流量路径反复切换，从而引起整网振荡甚至风暴。建议此处配置收敛时间尽量考虑周全，根据实际组网环境多方面权衡。,V100,V200,V300,V400,V500,L3接口,Trunk,V1000,FW,IPS,FW,IPS,VRRP,V300,V100,V200,V200,V100,V1000,V1000,V300,V400,V400,V500,V500,S75E+FW+IPS最佳实践1配置,部署：核心交换机(Switch9500)汇聚交换机(Switch9500/75E)集成业务板卡核心、汇聚交换机之间配置OSPF协议FW（防火墙板卡）作为Server的网关。FW配置静态路由，缺省网关指向汇聚交换机。两个FW之间运行VRRP，保证HA或是负载均衡IPS（入侵防御板卡）单臂旁挂，策略引流接入交换机(S55EI)做二层接入,优点：FW保证服务器之间的安全隔离FW、IPS双重安全保护，安全系数高,服务器网关,WEB VLAN,APP VLAN,DB VLAN,FW路由,S75E+FW+IPS最佳实践1流量路径,V300,V400,4.4.4.2,V300,V400,V500,FW,IPS,L3接口,3.3.3.2,C-S方向（紫色流量）1、数据流从核心交换机经过V100进入汇聚交换机，下一跳是汇聚交换机（1.1.1.1）2、在汇聚交换机入端口根据ACL策略将数据重定向到IPS（入侵防御板卡）3、IPS过滤数据后通过V100将数据返回汇聚交换机4、汇聚交换机继续进行三层转发到FW5、FW转发报文到V400的服务器(4.4.4.2)S-C方向（红色流量）1、服务器返回流量到FW（网关）2、FW转发数据到汇聚交换机(V300)3、在FW与汇聚交换机的入端口根据ACL策略将数据重定向到IPS（入侵防御板卡）4、IPS过滤数据后通过V300将数据返回汇聚交换机5、汇聚交换机根据路由三层转发,V500,5.5.5.2,4.4.4.1,5.5.5.1,S-S方向（蓝色流量）1、数据流从接入、汇聚交换机二层转发(V500)进入FW2、FW过滤流量并三层转发3、数据流从FW经过汇聚、接入交换机二层转发(V400)到达服务器,V100,V100,3.3.3.1,1.1.1.1,S75E+FW+IPS最佳实践1HA,V300,V400,FW,IPS,V500,V300,FW,IPS,V500,V400,V300,V400,V500,L3接口,VRRP2,Trunk,部署：核心与汇聚交换机之间采用OSPF组网。当任一节点整机故障或链路故障时，整网依靠OSPF进行故障收敛。通过调整OSPF的hello timer可以控制流量中断时间。IPS板卡采用OAA方式，当板卡CPU过高等故障时，采用二层回退方式直接转发流量，当板卡拔出或重启时，OAA会通知75E流量重定向策略失效，在75E交换机上直接转发。此两种故障导致流量中断时间均在1s左右。两个FW之间运行VRRP，保证HA或是负载均衡。当主路径板卡故障时，通过VRRP可以切换到备卡上恢复流量。切换时间也可控。,限制：IPS产品不能支持双机备份功能，当一块拔出后只能流量透明转发，无法转移到另外一块板卡进行业务处理；IPS板卡启动攻击策略防护后，在高新建低并发网络环境中性能下降较为明显；,注意事项：过短的收敛时间配置会导致网络中的大量协议报文消耗设备与带宽资源，并且会在流量较大或链路振荡时出现流量路径反复切换，从而引起整网振荡甚至风暴。建议此处配置收敛时间尽量考虑周全，根据实际组网环境多方面权衡。,V100,V100,V100,S75E+FW+IPS最佳实践2配置,部署：汇聚交换机(Switch9500/75E)集成业务板卡核心交换机、FW和汇聚交换机之间配置OSPF协议IPS（入侵防御板卡）单臂旁挂，策略引流汇聚交换机是服务器的网关。两个汇聚交换机之间运行VRRP，保证HA或是负载均衡接入交换机(S55EI)做二层接入,优点：结构简单，部署方便FW、IPS双重安全保护，安全系数高,服务器网关,WEB VLAN,APP VLAN,DB VLAN,FW路由,S75E+FW+IPS最佳实践2流量路径,V300,V400,V200,L3接口,S-S方向（蓝色流量）1、数据流从V300进入汇聚交换机，在入端口根据ACL策略重定向到IPS2、IPS过滤流量并转发给汇聚交换机（V300）3、汇聚交换机三层转发数据流(V400)到达服务器,C-S方向（紫色流量）1、数据流从核心交换机经过V100进入汇聚交换机，2、汇聚交换机将数据通过V100二层转发到FW3、FW根据路由转发数据，通过V200返回汇聚交换机，下一跳是汇聚交换机(2.2.2.2)4、在汇聚交换机连接FW的入端口处根据策略将数据重定向到IPS上5、IPS过滤数据后通过V200将数据返回汇聚交换机4、汇聚交换机进行三层转发到V300的服务器(3.3.3.2)S-C方向（红色流量）1、服务器返回流量到汇聚交换机（网关）2、在汇聚交换机连接服务器的入端口处根据策略将数据重定向到IPS上3、IPS过滤数据后通过V300将数据返回汇聚交换机4、汇聚交换机转发数据到FW(V200)3、FW将数据中通过汇聚交换机转发出去,V100,1.1.1.1,2.2.2.1,2.2.2.2,3.3.3.1,FW,IPS,V200,V300,3.3.3.2,V400,4.4.4.2,4.4.4.1,V100,S75E+FW+IPS最佳实践2HA,L3接口,Trunk,部署：核心、汇聚交换机和FW之间采用OSPF组网。当任一节点整机故障或链路故障时，整网依靠OSPF进行故障收敛。通过调整OSPF的hello timer可以控制流量中断时间。IPS板卡采用OAA方式，当板卡CPU过高等故障时，采用二层回退方式直接转发流量，当板卡拔出或重启时，OAA会通知75E流量重定向策略失效，在75E交换机上直接转发。此两种故障导致流量中断时间均在1s左右。两个汇聚交换机之间运行VRRP，保证HA或是负载均衡。当主路径板卡故障时，通过VRRP可以切换到备卡上恢复流量。切换时间也可控。,注意事项：过短的收敛时间配置会导致网络中的大量协议报文消耗设备与带宽资源，并且会在流量较大或链路振荡时出现流量路径反复切换，从而引起整网振荡甚至风暴。建议此处配置收敛时间尽量考虑周全，根据实际组网环境多方面权衡。,V300,V400,V200,V100,FW,IPS,FW,IPS,VRRP,V300,V300,V400,V400,V100,V100,V200,V200,限制：IPS产品不能支持双机备份功能，当一块拔出后只能流量透明转发，无法转移到另外一块板卡进行业务处理；IPS板卡启动攻击策略防护后，在高新建低并发网络环境中性能下降较为明显；IPS板卡目前采用接口、VLAN及IP的全遍历方式下发ACL引流，导致ACL资源被极大浪费，实际应用服务器数量有限；,