Netscreen防火墙部署日志一例
由ITAA gotolab作在一个实际运行的网络中,部署防火墙的考虑步骤,以及遇到的实际问题如下:
[b][size=3]一、接口模式选择[/size][/b]
常规的部署分2种模式:路由模式和透明(桥接)模式。采用路由模式需做IP地址的规划和路由的修改(静态、动态),在一个已运行的网络中,采用透明模式的部署速度明显更快。但是在实际的环境中运用透明模式,[b][size=3][color=#ff0000]我们发现存在以下问题:[/color][/size][/b]
A、Netscreen只能将接口放到不同的2层Zone,而不能在相同桥接组里面划分多个zone。也就是说,所以2层接口之间的关系犹如在同一个交换机上,所有广播会被泛洪道所有接口。最严重的一点,如果生成树控制不好的话,各个区域的交换机互相串通,对区域实施策略造成麻烦。
[img=960,720]http://www.one-tom.com/bbs/uploads/20070823_002630_ns21.gif[/img]
[img=960,720]http://www.one-tom.com/bbs/uploads/20070823_002703_ns22.gif[/img]
B、如下联的各个交换机划分不同的VLAN,并且控制生成树的开销,可以实现和上图相近的逻辑,但要注意对native VLAN的控制,要么就采用不同的Native VLAN,使之处于生成树Broken破坏状态。 很明显,这增加了维护的负担,恐怕也不利于扩展。
C、Netsceen支持虚拟防火墙,可能可以实现上图逻辑,但目前采用的系统并没有vsys的授权,无法测试。
D、实际运行中,发生Native VLAN不稳定状况,因事关生产网络,所以将防火墙剥离出网络后,即恢复正常。进一步准备部署采用接口路由模式。
[b][size=3]二、路由方式选择[/size][/b]
因接口已决定采用路由方式,进一步考虑穿过防火墙的路由可用静态或动态方式;如动态则和现网一致的OSPF,经测试运行正常。但是有以下问题注意:
A、动态路由在负载均衡状态下,对等成本路径的使用是不确定,即可能发生往返路径不对称的情况。若区域下联只有单条路径,则不存在这个问题。如采用静态路由,控制也方便。经测试,在单个区域内有多条下联链路,即使不对等路径产生,防火墙仍能正常识别报文和工作,这证明防火墙本身已经考虑了这种运行情况的问题。
跨不同区域的不对称流量,经实际运行效果来看,仍然是有问题的。
B、因原设计存在上联不同区域的节点,因此只有将不同区域合并解决。
[b][size=3]三、HA模式选择[/size][/b]
防火墙之间的冗余有2种方式,1种是HA,即1主1备,1种是AA,即2台负载均衡。这2种方式均可行,但大部分采用的是HA。
因为路由为动态OSPF方式实现,因此HA的切换步骤为:1、监测端口down---〉2、HA切换----〉3、接口启用----〉4、形成新的OSPF邻居-----〉5、同步数据库,建立路由表。
在静态路由模式下,切换过程只丢1个报文,而在这种情况,在网络不稳定情况下,经测试要丢8-10个报文。但是我们也观察到,在OSPF稳定一段时间之后,再进行切换,只丢了1-2个报文,甚至没有任何丢失。这证明较新版本的OS通过HA线,在2台防火墙之间提前同步了OSPF数据库。
[b][size=3]四、应用及服务连接设置[/size][/b]
1、长连接问题
某些应用需要长时间的连接,即使没有活动,仍要保持连接的状态,而防火墙是基于状态的,一旦会话超时即拆除该会话。这需要收集端口,手动定义建立长连接服务。否则应用不稳定。
2、短连接问题
某些应用频繁发起连接,如果不缩短其会话保持时间,则会使防火墙的会话数爆涨,进而拖垮防火墙,本次采用的防火墙可支撑50万个会话,但在实际中,1台短连接的服务器不到1天时间就将其拖垮了。收集短连接的端口,设置为1分钟保持超时(这是netscreen支持最短时间)。
[b][size=3]五、运行中的问题排查[/size][/b]
上线后,我们遇到以下问题:
1、数据库连接
oracle部分连接不正常,9i和unix版本的均正常;较低的8.1.7的windows版本一旦穿过防火墙即无法建立连接,据查这需要打补丁,但明显不切实际,维护人员实现不了。厂家支持无法解决,后经测试通过设置防火墙的ALG解决。
如有需要请联系我:
QQ:401466262
更多精华帖请见: [url]www.onetom.com/bbs[/url]
页:
[1]