信息安全基礎知識筆記06防火牆雙機熱備技術(上)
本筆記主要介紹防火牆雙機熱備,分為上下兩個部分。上部分要求掌握雙機熱備技術的基本原理,包括介紹VRRP,VGMP和HRP多個協議的基本概念和原理,以及介紹雙機熱備的備份方式。
雙機熱備技術產生的原因
傳統的組網方式如圖所示,內部用戶和外部用戶的交互報文全部通過防火牆A。如果防火牆A出現故障,內部網絡中所有以防火牆A作為默認網關的主機與外部網絡之間的通訊將中斷,通訊可靠性無法保證。
雙機熱備技術的出現改變了可靠性難以保證的尷尬狀態,通過在網絡出口位置部署兩台防火牆,保證了內部網絡與外部網絡之間的通訊暢通。
防火牆作為安全設備,一般會部署在需要保護的網絡和不受保護的網絡之間,即位於業務接口點上。在這種業務點上,如果僅僅使用一台防火牆設備,無論其可靠性多高,系統都可能會承受因為單點故障而導致網絡中斷的風險。為了防止一台設備出現意外故障而導致網絡業務中斷,可以采用兩台防火牆形成雙機備份。
虛擬路由冗余協議(VRRP)簡述
(1)路由冗余部署方案
路由器組網中通過VRRP協議(虛擬路由冗余協議)實現設備冗余。
為了避免路由器傳統組網所引起的單點故障的發生,通常情況可以采用多條鏈路的保護機制,依靠動態路由協議進行鏈路切換。但這種路由協議來進行切換保護的方式存在一定的局限性,當不能使用動態路由協議時,仍然會導致鏈路中斷的問題,因此推出了另一種保護機制VRRP(虛擬路由冗余協議)來進行。采用VRRP的鏈路保護機制比依賴動態路由協議的廣播報文來進行鏈路切換的時間更短,同時彌補了不能使用動態路由情況下的鏈路保護。
VRRP(Virtual Router Redundancy Protocol)是一種基本的容錯協議。
以下為雙機熱備常用的基本概念:
① 備份組:同一個廣播域的一組路由器組織成一個虛擬路由器,備份組中的所有路由器一起,共同提供一個虛擬IP地址,作為內部網絡的網關地址。
② 主(Master)路由器:在同一個備份組中的多個路由器中,只有一台處於活動狀態,只有主路由器能轉發以虛擬IP地址作為下一跳的報文。
③ 備份(Backup)路由器:在同一個備份組中的多個路由器中,除主路由器外,其他路由器均為備份路由器,處於備份狀態。
主路由器通過組播方式定期向備份路由器發送通告報文(HELLO),備份路由器則負責監聽通告報文,以此來確定其狀態。由於VRRP HELLO報文為組播報文,所以要求備份組中的各路由器通過二層設備相連,即啟用VRRP時上下行設備必須具有二層交換功能,否則備份路由器無法收到主路由器發送的HELLO報文。如果組網條件不滿足,則不能使用VRRP。
Tips:
VRRP協議是數通(Routing & Switching)中的一個考點內容,以后會對該協議作進一步詳細介紹其實現原理,路由器配置方法,排錯思路等,在這里先留一個坑,擇日再填。
(2)VRRP在多區域防火牆組網中存在的缺陷
為防火牆上多個區域提供雙機備份功能時,需要在每一台防火牆上配置多個VRRP備份組。
若企業使用的是狀態檢測防火牆,它要求報文的來回路徑通過同一台防火牆。為了滿足這個限制條件,就要求在同一台防火牆上的所有VRRP備份組狀態保持一致,即需要保證在主防火牆上所有VRRP備份組都是主狀態,這樣所有報文都將從此防火牆上通過,而另外一台防火牆則充當備份設備。
而就是因為這樣的制約條件,導致了傳統VRRP在實現防火牆雙機熱備上出現了缺陷:
傳統VRRP方式無法實現主、備用防火牆狀態的一致性。
如上圖所示:
① 假設USG(防火牆)A和USG(防火牆) B的VRRP狀態一致,即USG A的所有接口均為主用狀態,USG B的所有接口均為備用狀態。
此時,Trust區域的PC1訪問Untrust區域的PC2,報文的轉發路線為(1)-(2)-(3)-(4)。USG A轉發訪問報文時,動態生成會話表項。當PC2的返回報文經過(4)-(3)到達USG A時,由於能夠命中會話表項,才能再經過(2)-(1)到達PC1,順利返回。同理,當PC2和DMZ區域的Server也能互訪。
② 假設USG(防火牆)A和USG(防火牆)B的VRRP狀態不一致,例如當USG B與Trust區域相連的接口為備用狀態,但與Untrust區域的接口為主用狀態。
此時,PC1的報文通過USG A設備到達PC2后,在USG A上動態生成會話表項。PC2的返回報文通過路線(4)-(9)返回。此時由於USG B上沒有相應數據流的會話表項,在沒有其他報文過濾規則允許通過的情況下,USG B將丟棄該報文,導致會話中斷。
分析問題產生的原因:路由器與防火牆的報文轉發機制不同。
對於路由器:每個報文都需經過查詢路由表,當匹配上后才進行轉發。當鏈路切換后,后續報文不會受到影響,繼續進行轉發。
對於狀態檢測防火牆:如果首包允許通過后,會建立一條五元組的會話連接(會話表項)。只有命中該會話表項的后續報文(包括返回報文)才能夠通過防火牆;如果鏈路切換后,后續報文找不到正確的表項,會導致業務中斷。
Tips:
當路由器配置NAT后也會存在同樣的問題,因為在進行NAT后會形成一個NAT轉換后的表項。
(3)VRRP用於防火牆多區域備份時的改進與擴展
為了保證所有VRRP備份組切換的一致性,在VRRP的基礎上進行了擴展。
推出了VGMP(VRRP Group Management Protocol)來彌補此局限。
VRRP在防火牆中應用的要求:
① VRRP狀態的一致性
② 會話表狀態備份
VGMP提出VRRP管理組的概念,將同一台防火牆上的多個VRRP備份組都加入到一個VRRP管理組,由管理組統一管理所有VRRP備份組。通過統一控制各VRRP備份組狀態的切換,來保證管理組內的所有VRRP備份組狀態都是一致的。
VGMP(虛擬路由冗余組管理協議)簡述
(1)VGMP基本原理
通過指定VGMP組的狀態來決定誰將成為主用防火牆或備用防火牆。
當防火牆上的VGMP為Active/Standby狀態時,組內所有VRRP備份組狀態統一為Active/Standby狀態。VGMP狀態為Active時,所有報文都將從該防火牆上通過,該防火牆成為主用防火牆。此時另外的防火牆上對應的VGMP為備狀態,該防火牆成為備用防火牆。
① VGMP的狀態保持(Hello報文)
VGMP中狀態為Active的端會定期向對端發送HELLO報文,通知Standby端本身的運行狀態(包括優先級、VRRP成員狀態等)。
與VRRP不同的是,Standby端收到HELLO報文后,會回應一個ACK消息,該消息中也會攜帶本身的優先級、VRRP成員狀態等。
VGMP HELLO報文發送周期缺省為1秒。當Standby端經過三個HELLO報文周期沒有收到對端發送的HELLO報文時,會認為對端出現故障,從而將自己切換到Active狀態。
② VGMP的優先級
防火牆的VGMP優先級有一個初始優先級,當防火牆的接口或者單板等出現故障時,會在初始優先級基礎上減去一定的降低值。
VGMP的優先級會根據組內的成員的狀態動態調整,以此完成兩台防火牆的主備倒換。
Tips:華為系統防火牆USG6000和NGFW Module的初始優先級為45000。USG9500的VGMP組的初始優先級與LPU板(接口板)上的插卡個數和SPU板(業務板)上的CPU個數有關。
(2)VGMP組管理方式
① 狀態一致性管理
VGMP管理組控制所有的VRRP備份組統一切換。
各備份組的主/備狀態變化都需要通知其所屬的VGMP管理組,由VGMP管理組決定是否允許VRRP備份組進行主/備狀態切換。如果需要切換,則VGMP管理組控制所有的VRRP備份組統一切換。VRRP備份組加入到管理組后,狀態不能自行單獨切換。
② 搶占管理
當原來出現故障的主設備故障恢復時,其優先級也會恢復,此時可以重新將自己的狀態搶占為主。
VRRP備份組本身具有搶占功能。即當原來出現故障的主設備故障恢復時,其優先級也會恢復,此時可以重新將自己的狀態搶占為主。
VGMP管理組的搶占功能和VRRP備份組類似,當管理組中出現故障的備份組故障恢復時,管理組的優先級也將恢復。此時VGMP可以決定是否需要重新搶占稱為主設備。
當VRRP備份組加入到VGMP管理組后,備份組上原來的搶占功能將失效,搶占行為發生與否必須由VGMP管理組統一決定。
華為冗余協議HRP簡述
(1)HRP基本概念
HRP(Huawei Redundancy Protocol)協議,用來實現防火牆雙機之間動態狀態數據和關鍵配置命令的備份。
在雙機熱備組網中,當主防火牆出現故障時,所有流量都將切換到備防火牆。因為USG防火牆是狀態防火牆,如果備防火牆上沒有原來主防火牆上的會話表等連接狀態數據,則切換到備防火牆的流量將無法通過防火牆,造成現有的連接中斷,此時用戶必須重新發起連接。
HRP模塊提供了基礎的數據備份機制和傳輸功能。各個應用模塊收集本模塊需要備份的數據,提交給HRP模塊,HRP模塊負責將數據發送到對端防火牆的對應模塊,應用模塊需要再將HRP模塊提交上來的數據進行解析,並加入到防火牆的動態運行數據池中。
① 備份內容:要備份的連接狀態數據包括TCP/UDP的會話表、ServerMap表項、動態黑名單、NO-PAT表項、ARP表項等。
② 備份方向: 防火牆上有狀態為主的VGMP管理組,向對端備份。
③ 備份通道:一般情況下,在兩台設備上直連的端口作為備份通道,有時也稱為“心跳線”(VGMP也通過該通道進行通信)。
(2)HRP心跳接口
兩台FW之間備份的數據是通過心跳口發送和接收的,是通過心跳鏈路(備份通道)傳輸的。
心跳口必須是狀態獨立且具有IP地址的接口,可以是一個物理接口(GE接口),也可以是為了增加帶寬,由多個物理接口捆綁而成的一個邏輯接口Eth-Trunk。
通常情況下,備份數據流量約為業務流量的20%~30%,請根據備份數據量的大小選擇捆綁物理接口的數量。
(3)HRP心跳接口狀態
HRP心跳接口共有五種狀態:invalid,down,peerdown,ready,running
HRP心跳接口共有五種狀態:
① invalid:當本端FW上的心跳口配置錯誤時顯示此狀態(物理狀態up,協議狀態down),例如指定的心跳口為二層接口或未配置心跳接口的IP地址。
② down:當本端FW上的心跳口的物理與協議狀態均為down時,則會顯示此狀態。
③ peerdown:當本端FW上的心跳口的物理與協議狀態均為up時,則心跳口會向對端對應的心跳口發送心跳鏈路探測報文。如果收不到對端響應的報文,那么FW會設置心跳接口狀態為peerdown。但是心跳口還會不斷發送心跳鏈路探測報文,以便當對端的對應心跳口up后,該心跳鏈路能處於連通狀態。
④ ready:當本端FW上的心跳口的物理與協議狀態均為up時,則心跳口會向對端對應的心跳口發送心跳鏈路探測報文。如果對端心跳口能夠響應此報文(也發送心跳鏈路探測報文),那么FW會設置本端心跳接口狀態為ready,隨時准備發送和接受心跳報文。這時心跳口依舊會不斷發送心跳鏈路探測報文,以保證心跳鏈路的狀態正常。
⑤ running:當本端FW有多個處於ready狀態的心跳口時,FW會選擇最先配置的心跳口形成心跳鏈路,並設置此心跳口的狀態為running。如果只有一個處於ready狀態的心跳口,那么它自然會成為狀態為running的心跳口。狀態為running的接口負責發送HRP心跳報文、HRP數據報文、HRP鏈路探測報文、VGMP報文和一致性檢查報文。
這時其余處於ready狀態的心跳口處於備份狀態,當處於running狀態的心跳口或心跳鏈路故障時,其余處於ready狀態的心跳口依次(按配置先后順序)接替當前心跳口處理業務。
綜上所述,心跳鏈路探測報文的作用是檢測對端設備的心跳口能否正常接收本端設備的報文,以確定心跳鏈路是否可用的。只要本端心跳接口的物理和協議狀態up就會向對端心跳口發送心跳鏈路探測報文進行探測。
而我們在前面講到的HRP心跳報文是用於探測和感知對端設備(VGMP組)是否正常工作的。HRP心跳報文只有主用設備的VGMP組通過狀態為running的心跳口發出。
雙機熱備的備份方式
(1) 自動備份
自動備份功能缺省為開啟狀態,能夠自動實時備份配置命令和周期性地備份狀態信息,適用於各種雙機熱備組網。
啟用自動備份功能后,在一台FW上每執行一條可以備份的命令時,此配置命令就會被立即同步備份到另一台FW上。
啟用自動備份功能后,主用設備會周期性地將可以備份的狀態信息備份到備用設備上。即主用設備的狀態信息建立后不會立即備份,而是在建立一段時間(10秒左右)之后才會備份到備用設備。
自動備份不會備份以下類型的會話:
① 到防火牆自身的會話,例如管理員登錄防火牆時產生的會話。
② 未完成3次握手的TCP半連接會話(快速備份支持備份此會話)。
③ 只為UDP首包創建,而不被后續包匹配的會話(快速備份支持備份此會話)。
(2) 手工批量備份
手工批量備份需要管理員手工觸發,每執行一次手工批量備份命令,主用設備就會立即同步一次配置命令和狀態信息到備用設備。因此手工批量備份主要適用於主備設備之間配置不同步,需要手工同步的場景。
執行手工批量備份命令后,主用(配置主)設備會立即同步一次可以備份的配置命令和狀態信息到備用(配置備)設備。而不必等到自動備份周期的到來。
(3) 會話快速備份
會話快速備份功能,適用於負載分擔的工作方式,以應對報文來回路徑不一致的場景。
負載分擔組網下,由於兩台防火牆都是主用設備,都能轉發報文,所以可能存在報文的來回路徑不一致的情況,即來回兩個方向的報文分別從不同的防火牆經過。這時如果兩台防火牆的會話沒有及時相互備份,則回程報文會因為沒有匹配到會話表項而被丟棄,從而導致業務中斷。所以為防止上述現象發生,需要在負載分擔組網下配置會話快速備份功能,使兩台防火牆能夠實時的相互備份會話,使回程報文能夠查找到相應的會話表項,從而保證內外部用戶的業務不中斷。
啟用會話快速備份功能后,主用設備會實時地將可以備份的會話(包括上面提到的自動備份不支持的會話)都同步到備用設備上。即在主用設備會話建立的時候立即將其實時備份到備用設備。
(4) 設備重啟后主備FW的配置自動同步
雙機熱備組網中,如果一台FW重啟,重啟期間業務都是由另一台FW承載。在此期間,承載業務的FW上可能會新增、刪除或修改配置。為了保證主備FW配置一致,在FW重啟完成后,會自動從當前承載業務的FW上進行一次配置同步。
配置同步僅會同步支持備份的配置,如安全策略、NAT策略等。不支持備份的配置,如OSPF、BGP等,還繼續沿用原有的配置。
配置同步需要一定的時間。同步的時間與配置量有關,配置量越大同步配置所需時間也越長,最長可能需要1個小時左右。在配置同步期間,FW上無法執行支持備份的配置命令。