SecPath 虚拟防火墙技术白皮书关键词：虚拟防火墙MPLS VPN摘要：本文介绍了H3C 公司虚拟防火墙技术和其应用背景。

描述了虚拟防火墙的功能特色，并介绍了H3C 公司具备虚拟防火墙功能的独立防火墙和防火墙插板产品的组网环境应用。

缩略语清单：目录1 概述 (3)1.1 新业务模型产生新需求 (3)1.2 新业务模型下的防火墙部署 (3)1.2.1 传统防火墙的部署缺陷 (3)1.2.2 虚拟防火墙应运而生 (4)2 虚拟防火墙技术 (5)2.1 技术特点 (5)2.2 相关术语 (6)2.3 设备处理流程 (7)2.3.1 根据入接口数据流 (7)2.3.2 根据Vlan ID数据流 (7)2.3.3 根据目的地址数据流 (8)3 典型组网部署方案 (8)3.1 虚拟防火墙在行业专网中的应用 (8)3.1.1 MPLS VPN组网的园区中的虚拟防火墙部署一 (9)3.1.2 MPLS VPN组网的园区中的虚拟防火墙部署二 (10)3.1.3 虚拟防火墙提供对VPE的安全保护 (10)3.2 企业园区网应用 (11)4 总结 (12)1 概述1.1 新业务模型产生新需求目前，跨地域的全国性超大企业集团和机构的业务规模和管理复杂度都在急剧的增加，传统的管理运营模式已经不能适应其业务的发展。

企业信息化成为解决目前业务发展的关键，得到了各企业和机构的相当重视。

现今，国内一些超大企业在信息化建设中投入不断增加，部分已经建立了跨地域的企业专网。

有的企业已经达到甚至超过了IT-CMM3 的级别，开始向IT-CMM4 迈进。

另一方面，随着企业业务规模的不断增大，各业务部门的职能和权责划分也越来越清晰。

各业务部门也初步形成了的相应不同安全级别的安全区域，比如，OA 和数据中心等。

由于SOX 等法案或行政规定的颁布应用，各企业或机构对网络安全的重视程度也在不断增加。

对企业重点安全区域的防护要求越来越迫切。

因此，对企业信息管理人员来说，如何灵活方便的实现企业各业务部门的安全区域划分和安全区域之间有控制的互访成为其非常关注的问题。

这也对安全区域隔离“利器”――防火墙提出了更高的要求。

1.2 新业务模型下的防火墙部署目前许多企业已经建设起自己的MPLS VPN 专网，例如电力和政务网。

下面我们以MPLS VPN 组网为例介绍在新的业务模型下防火墙的如何实现对各相互独立的业务部门进行各自独立的安全策略部署呢？1.2.1 传统防火墙的部署缺陷面对上述需求，业界通行的做法是在园区各业务VPN 前部署防火墙来完成对各部门的安全策略部署实现对部门网络的访问控制。

一般部署模式如下图所示：图1-1 传统防火墙部署方式然而，由于企业业务VPN 数量众多，而且企业业务发展迅速。

显而易见的，这种传统的部署模式已经不太适应现有的应用环境，存在着如下的不足：•为数较多的部门划分，导致企业要部署管理多台独立防火墙，导致拥有和维护成本较高•集中放置的多个独立防火墙将占用较多的机架空间，并且给综合布线带来额外的复杂度•由于用户业务的发展，VPN 的划分可能会发生新的变化。

MPLS VPN 以逻辑形式的实现，仅仅改动配置即可方便满足该需求。

而传统防火墙需要发生物理上的变化，对用户后期备件以及管理造成很大的困难•物理防火墙的增加意味着网络中需要管理的网元设备的增多。

势必增加网络管理的复杂度1.2.2 虚拟防火墙应运而生为了适应这种业务模式。

虚拟防火墙技术应运而生。

虚拟防火墙通过在同一台物理设备上划分多个逻辑的防火墙实例来实现对多个业务VPN 的独立安全策略部署。

也可以利用这种逻辑防火墙的部署的灵活性来来实现企业网络的对新业务的适应性。

虚拟防火墙诞生以后，对用户来说其部署模式变为如图所示：图1-2 虚拟防火墙部署模型如上图所示，在MPLS 网络环境中，在PE 与CE 之间部署一台物理防火墙。

利用逻辑划分的多个防火墙实例来部署多个业务VPN 的不同安全策略。

这样的组网模式极大的减少了用户拥有成本。

随着业务的发展，当用户业务划分发生变化或者产生新的业务部门时，可以通过添加或者减少防火墙实例的方式十分灵活的解决后续网络扩展问题，在一定程度上极大的降低了网络安全部署的复杂度。

另一方面，由于以逻辑的形式取代了网络中的多个物理防火墙。

极大的减少了企业运维中需要管理维护的网络设备。

简化了网络管理的复杂度，减少了误操作的可能性。

2 虚拟防火墙技术2.1 技术特点为了解决传统防火墙部署方式存在的不足，H3C 公司推出了虚拟防火墙特性，旨在解决复杂组网环境中大量VPN 的独立安全策略需求所带来的网络拓扑复杂、网络结构扩展性差、管理复杂，用户安全拥有成本高等几大问题。

虚拟防火墙是一个逻辑概念，可以在一个单一的硬件平台上提供多个防火墙实体，即，将一台防火墙设备在逻辑上划分成多台虚拟防火墙，每台虚拟防火墙都可以被看成是一台完全独立的防火墙设备，可拥有独立的管理员、安全策略、用户认证数据库等。

每个虚拟防火墙能够实现防火墙的大部分特性。

每个虚拟防火墙之间相互独立，一般情况下不允许相互通信。

SecPath/SecBlade 虚拟防火墙具有如下技术特点：每个虚拟防火墙维护自己一组安全区域•每个虚拟防火墙维护自己的一组资源对象（地址/地址组，服务/服务组等）•每个虚拟防火墙维护自己的包过滤策略•每个虚拟防火墙维护自己的ASPF 策略、NAT 策略、ALG 策略•限制每个虚拟防火墙占用资源数：防火墙Session 以及ASPF Session 数目2.2 相关术语(1) 安全区域防火墙使用安全区域的概念来表示与其相连接的网络。

防火墙预先定义了四个安全区域，这些安全区域也称为系统安全区域，分别为Local 区域、Trust 区域、Untrust区域和DMZ 区域。

这些区域分别代表了不同的安全级别，安全级别由高到低依次为Local、Trust、DMZ、Untrust。

(2) 专有接口、共享接口与公共接口专有接口：防火墙采用专有接口表示只属于某个特定虚拟防火墙的接口。

该接口必须通过ip binding vpn-instance 命令完成绑定到一个指定的vpn 实例。

共享接口：防火墙采用共享接口表示可被多个指定的虚拟防火墙共同享有的接口。

该接口必须通过nat server vpn-instance 命令或nat outbound static 命令关联到一个或多个指定的vpn 实例。

公共接口：特指区别于专有接口和共享接口的其他接口。

(3) NAT 多实例在访问控制列表的规则rule 中配置vpn-instance vpn-instance-name，指明哪个虚拟防火墙需要进行地址转换，即可以实现对虚拟防火墙NAT 多实例的支持。

(4) ASPF 多实例在接口下引用ASPF 中配置vpn-instance vpn-instance-name，指明哪个虚拟防火墙需要ASPF 的处理，即可实现虚拟防火墙ASPF 多实例的支持。

(5) 包过滤多实例在ACL 配置子规则时增加vpn-instance vpn-instance-name，指明此规则对哪个虚拟防火墙生效，即可实现虚拟防火墙包过滤多实例的支持。

(6) 资源限制防火墙使用资源限制的可完成各个虚拟防火墙的Session 限制。

可根据不同的流量背景，对对应的虚拟防火墙在vpn 视图下通过firewall session limit 以及aspf sessionlimit 等进行限制。

2.3 设备处理流程虚拟防火墙是一个逻辑上的概念，每个虚拟防火墙都是VPN 实例和安全实例的综合体，能够为虚拟防火墙用户提供私有的路由转发业务和安全服务。

每个虚拟防火墙中可以包含三层接口、二层物理接口、二层VLAN 子接口和二层Trunk 接口+VLAN。

默认情况下，所有的接口都属于根防火墙实例（Root），如果希望将部分接口划分到不同的虚拟防火墙，必须创建虚拟防火墙实例，并且将接口加入虚拟防火墙中。

根虚拟防火墙不需要创建，默认存在。

VPN 实例与虚拟防火墙是一一对应的，它为虚拟防火墙提供相互隔离的VPN 路由，与虚拟防火墙相关的信息主要包括：VPN 路由以及与VPN 实例绑定的接口。

VPN路由将为转发来自与VPN 实例绑定的接口的报文提供路由支持。

安全实例为虚拟防火墙提供相互隔离的安全服务，同样与虚拟防火墙一一对应。

安全实例具备私有的ACL 规则组和NAT 地址池；安全实例能够为虚拟防火墙提供地址转换、包过滤、ASPF 和NAT ALG 等私有的安全服务。

虚拟防火墙的引入一方面是为了解决业务多实例的问题，更主要的是为了将一个物理防火墙划分为多个逻辑防火墙来用。

多个逻辑防火墙可以分别配置单独不同的安全策略，同时默认情况下，不同的虚拟防火墙之间是默认隔离的。

对于防火墙系统接收到的数据流，系统根据数据的Vlan ID、入接口、源地址确定数据流所属的系统。

在各个虚拟防火墙系统中，数据流将根据各自系统的路由完成转发。

2.3.1 根据入接口数据流根据数据流的的入接口信息，防火墙系统根据所绑定的VPN 实例信息从而把数据流送入所绑定的虚拟防火墙系统。

如图3 所示。

图2-1 防火墙根据入接口识别数据流所属虚拟防火墙2.3.2 根据Vlan ID 数据流根据数据流的Vlan ID 信息，防火墙系统将会识别出所对应的Vlan 子接口从而把数据流送入所绑定的虚拟防火墙系统。

如图4 所示。

图2-2 防火墙根据Vlan ID 识别数据流所属虚拟防火墙2.3.3 根据目的地址数据流对于访问内部服务器的数据流，根据数据流的目的地址，防火墙根据Nat server 配置把数据流送入所绑定的虚拟防火墙系统。

如图5 所示。

图2-3 防火墙根据目的地址识别数据流所属虚拟防火墙3 典型组网部署方案3.1 虚拟防火墙在行业专网中的应用目前一些超大型企业（比如：政府，电力）利用MPLS VPN 实现跨地域的部门的连通和相关业务部门之间有控制的安全互访。

虽然这些企业的业务和背景都有很大差异，但归纳起来，这些企业主要提出了两个需求：•如何实现各业务VPN 的独立安全策略，进而能够对相关部门的互访进行有效控制•移动办公用户以及分支机构如何通过公网低成本的安全接入到企业MPLS VPN 核心网络中在MPLS VPN 网络中，虚拟防火墙可以部署在PE 和MCE 之间实现对各业务VPN独立的安全策略的部署，从而很好的满足上述需求。

详见如下组网模型图。

图3-1 虚拟防火墙在MPLS VPN 网络中的部署模式3.1.1 MPLS VPN 组网的园区中的虚拟防火墙部署一对大中型的企业MPLS VPN 专网，我们主推SecBlade 防火墙插板在中、高端交换机上进行部署。