6.4 超越数据平面—虚拟防火墙
Cisco防火墙
前面两节对VLAN和VRF技术实现(2层及3层)数据平面虚拟化的方式进行了概述。尽管这些方法已经为当今的网络和安全设计带来了巨大的利好,但必须在这里说明的是,设备的配置文件是在所有虚拟成份之间共享的。
本节将会对虚拟防火墙的概念进行介绍,尤其会(尽可能直白地)介绍虚拟设备的工作方式。对于ASA和FWSM等设备,每个虚拟防火墙都有拥有多个接口、一个路由表、多个安全策略(ACL、NAT规则及监控策略)及管理设置(配置文件、管理用户等)。
ASA和FWSM包含了一种根虚拟防火墙,称为系统执行空间(System Execution Space)或系统分区,其作用是定义所有其他的虚拟防火墙。这种特殊的分区是与一个称为admin-context的实体紧紧绑定在一起的。这个admin-context(默认名称为admin)的功能包括向这个保留的系统分区提供网络接口。
可以访问admin-context的用户便可以访问其他所有的虚拟防火墙。因此,要尽可能避免将admin虚拟防火墙作为一个普通的(非admin)虚拟防火墙使用。
图6-4显示了在一台专用的Cisco防火墙(FWSM或ASA)上,如何在系统执行空间中创建admin-context和另外两个普通虚拟防火墙。该图也显示了各个虚拟防火墙的关键信息,以及admin虚拟防火墙的一些特征。
例6-7演示了如何查看Cisco专用防火墙的操作模式。该案例同样显示了single mode(单防火墙模式)的防火墙没有虚拟防火墙的概念。
例6-8所示为在FWSM上将单防火墙模式转换为多防火墙模式的过程。下述几点值得特别关注。
例6-8 启用多防火墙模式
在执行所有确认后,模块会重启。
设备会自动创建admin虚拟防火墙,并将其命名为admin,并且将所有单防火墙模式下所有可用的接口分配给它。命令show context显示出了admin是最初唯一的虚拟防火墙。
admin虚拟防火墙的配置文件会保存在名为admin.cfg的文件中。
例6-9添加了更多与转换过程相关的具体信息。命令show startup-config显示出了设备中目前存在admin虚拟防火墙(也显示出了分配给它的接口及config-url),命令more disk:/admin.cfg可以显示出系统分区中admin虚拟防火墙的配置信息。其中,有以下几点值得注意。
接口的初始状态是administratively down(或只是down)。
系统分区会显示出整个物理模块的可用接口,在Catalyst 6500中,管理员可以使用防火墙模块命令vlan-group来分配接口。
大多数在单防火墙模式下可以使用的命令(如ip address、security-level、nameif、class-map、policy map等)现在也出现在了admin虚拟防火墙的配置中。
例6-9 与转换过程有关的更多细节
例6-10对虚拟防火墙的管理任务进行了总结。
该示例显示了当防火墙从单防火墙模式转换成多防火墙模式时,如何移除那些自动分配给admin-context的接口。
该示例演示了如何创建一个虚拟防火墙(本例中创建的虚拟防火墙名为CT1),并为其分配所需的接口,以及为其定义config-url(用以保存配置文件)。
读者可以看到,虽然管理员指定了config-url(并且可以通过命令show context显示出来),但是它并没有出现在dir命令的输出信息中。
命令changeto context CT1用来访问刚刚定义的虚拟防火墙。不难发现在输入该命令后,设备的提示符变成了FWSM/CT1#(该名称的组成为“该系统分区的主机名/虚拟防火墙名称”)。
命令show firewall显示出虚拟防火墙的默认操作模式为路由模式。在本例中,管理员将操作模式修改为了透明模式。
在通过命令write memory保存了虚拟防火墙CT1的配置后,管理员使用changeto system回到了系统分区,命令dir的输出信息中显示出了CT1.cfg文件。
命令show context显示出了管理员配置的虚拟防火墙、为其分配的接口,以及相应的config-url。该命令也会显示出虚拟防火墙的操作模式(透明模式还是路由模式)。
注释 FWSM支持其中的虚拟防火墙同时使用透明模式和路由模式。但ASA设备则不能实现这个功能。在设计ASA的虚拟化技术时,最重要的决定就是要在一开始就确定所有虚拟防火墙的操作模式,即全部为路由模式还是全部为透明模式。
例6-10 基本的虚拟防火墙管理任务
图6-5运用了例6-10中的虚拟防火墙CT1,显示了FWSM透明模式的典型工作方式。在CT1中,管理员创建了两个网桥组。
网桥组1:连接VLAN 1261与VLAN 1461。出于管理需要,逻辑接口BVI 1向这个网桥组分配了IP地址172.18.1.5/24。
网桥组2:连接VLAN 1262与VLAN 1462。出于管理需要,逻辑接口BVI 2向这个网桥组分配了IP地址172.19.1.5/24。
这个设置的具体配置如例6-11所示,在示例中包含了属于bridge-group 1的接口信息。虽然IP地址是配置在接口BVI 1上的,但是该地址会显示在成员接口上(VLAN 1261和VLAN 1461)。
例6-12显示了图6-5所示拓扑的路由配置方式。
管理员在6500B的VRF EXT1(VLAN 1261)和R2的VRF INT1(VLAN 1461)上建立了OSPF邻接关系。由于FWSM上存在隐式拒绝规则,因此在初始状态下,邻接关系并不会建立起来(请参考接口inside1和outside1上的deny protocol 89消息)。在配置了相应的放行条款之后,6500B与R2就成为了OSPF邻居。
管理员分别在6500B路由器和R2的VRF EXT2(VLAN 1262)和INT2(VLAN 1462)上配置了EIGRP 1402。但透明模式下的隐式拒绝规则会阻塞EIGRP邻居关系的建立。在管理员配置了相应的ACL之后,邻接关系就建立起来了。
读者可以在例6-11和例6-12中看到,通过透明模式和通过路由模式建立连接的过程基本是相同的(唯一的区别是,透明模式可以让IGP连接穿越防火墙建立起来)。
例6-11 使用透明虚拟防火墙的方案示例(1)
例6-12 使用透明虚拟防火墙的方案示例(2)
例6-13所示为一台ASA设备的系统分区,这是为了显示出ASA与FWSM的下列区别。
例6-13 ASA上的接口分配
FWSM只能从Catalyst 6500上现有的可用VLAN中选择VLAN接口使用。而ASA则既可以使用物理接口,也可以使用逻辑接口。
ASA上为Dot1Q子接口分配VLAN的工作是在系统执行空间里实现的。换言之,管理员不能在虚拟防火墙中分配VLAN。
该例也显示出在ASA的虚拟防火墙中,分配物理接口与分配逻辑接口的过程是完全相同。