NAT也称为IP地址伪装,可以用来将在一个网络(内部网络)中使用的IP地址转换成在另一个网络(外部网络)中使用的IP地址。NAT技术主要用于隐藏内部网络的IP地址(使用RFC 1918私有地址)。这种伪装技术可以用来隐藏真实的网络身份,因此可以视为一种安全技术。
NAT设备会执行以下两个进程。
1.用一个映射的地址取代一个真实的地址,这个映射地址是在目的网络中可路由的地址。
2.为返回流量执行反向地址转换。
防火墙状态化监控会通过维护一个转换表来跟踪所有穿越安全设备的连接,同时通过这个列表,设备可以查找到数据包先前出站请求时的源地址,以此来验证入站数据包的目的地址并将它转发过去。
6.16.1 NAT控制(NAT Control)
防火墙始终是最应支持NAT的设备,因为它要最大程度地保障网络的灵活性和安全性。在最新版本的安全设备上,它可以实现NAT控制功能。
当外部通信需要用到地址转换规则的时候,NAT控制功能会接管防火墙,并且确保地址转换行为与7.0之前的版本是一致的。
NAT控制特性按照如下方式工作。
如果禁用NAT控制功能,防火墙在没有配置NAT规则的情况下会转发所有从较高安全级别接口(如内部接口)去往较低安全级别接口(如外部接口)的流量。当流量从较低安全级别接口去往较高安全级别接口时,防火墙只会放行那些能够与访问列表匹配的流量。在这种模式下,不需要配置NAT规则。
如果启用NAT控制功能,设备会使用NAT(这种情况下必须配置NAT)来匹配需求。当NAT控制功能启用时,从较高安全级别接口(如内部接口)去往较低安全级别接口(如外部接口)的数据包也必须匹配某条NAT规则,否则这个数据包就会被丢弃(把nat命令与global或static命令结合使用)。从较低安全级别接口去往较高安全级别接口的流量也需要进行NAT转换,而访问列表中有匹配项的流量可以通过防火墙并得到转发。
设备在默认情况下的配置为no nat-control(即NAT控制禁用模式)。在7.0及后续版本中,这个配置可以根据需要进行修改。
若打算启用NAT控制功能,要在全局配置模式下输入nat-control,如下所示。
hostname(config)# nat-control
注释:路由防火墙模式的单模和多模两种模式都支持nat-control命令。
当启用了nat-control时,每个内部地址都必须具有一个相应的内部NAT规则。同样,如果在一个接口上启用了外部动态NAT,那么每个外部地址也必须要有一个相应的外部NAT规则才能通过防火墙。
在默认情况下,NAT控制功能是禁用的(命令为no nat-control)。命令no nat-control可使内部主机在防火墙上没有NAT规则的情况下就可以与外部网络通信。从本质上讲,安全设备在NAT功能被禁用的情况下不会对任何数据包执行地址转换功能。要在全局禁用NAT控制,可以在全局配置模式下使用命令no nat-control。
hostname(config)# no nat-control
no nat-control和nat 0(identity NAT)这两条命令是有区别的。identity NAT需要流量始发于高安全级别的接口。而命令no nat-control则没有这方面的要求,而且也不需要使用static命令放行来自低安全级别接口(从外部接口到内部接口)的流量;它只需要配置一条访问策略--例如,放行能够与ACL匹配且存在相应路由条目的流量。
下面进行一下总结,流量从较高安全级别的接口去往较低安全级别的接口。
被标识为出站流量。
防火墙会放行所有IP流量,除非访问列表、认证或授权对该流量进行了限制。
至少需要使用以下命令之一。
--nat、nat 0、global、static。
流量从较低安全级别的接口去往较高安全级别的接口
被标识为入站流量。
从外部到内部的连接。
需要进行入站流量的放行。
防火墙会丢弃所有数据包,除非在其到达的接口下应用了access-list,并明确要求放行该数据包。如果使用了认证和授权,则还会有进一步的流量限制。
至少需要使用以下命令之一。
--加载ACL的nat 0、static和入站接口入站方向的access-list。
6.16.2 NAT的类型
NAT有很多类型,安全设备上可以配置的有以下类型。
动态NAT。
动态端口地址转换(PAT)。
静态NAT。
静态PAT。
6.16.2.1 动态NAT
动态NAT可以将一组真实(私有)地址转换成公网地址,这些公网地址都是从一个注册(公网)地址的地址池中取出来的,所有公网地址都是在目标网络上可路由的。当主机向特定目的发起连接时,安全设备会根据NAT规则映射的地址池转换主机源地址。在连接没有断开之前,设备会一直维护这个地址转换,当会话终止时,这个地址转换才会被清除。当同一台主机发起了另一个连接,不能保证它还能从地址池中获得相同的地址。地址池地址的分配遵循先到先得的原则。所以,鉴于转换后的地址会发生变化,当使用动态NAT时,目的网络的用户就无法发起入站连接。动态NAT和PAT都只能用于单向连接。图6-10所示为动态NAT的工作方式。
 |
6.16.2.2 动态PAT
动态PAT会把一组真实(私有)地址转换入一个单一的IP地址,方法是使用这个映射的IP地址和源端口号的组合,从而产生一个唯一的会话。因此,每个会话都有着不同源端口号,而所有这些端口号不同的数据包使用的都是同一个IP地址。安全设备会把源地址和源端口号(第3层信息与第4层信息的组合)转换成映射的地址和一个大于1024的唯一端口号。
每个连接所进行的转换都是不同的,因为这些连接的源端口号各不相同。在连接没有断开之前,设备会一直维护这个地址转换,当会话终止时,这个地址转换才会被清除。但端口转换会在闲置时间超过30秒之后超时(超时时间无法进行配置)。PAT可以使用单一的映射地址实现转换,因此能够节省可路由的地址资源。安全设备的接口IP地址也可以作为PAT地址。与动态NAT相似的是,当使用动态PAT时,目的网络的用户也无法发起入站连接。图6-11所示为动态PAT的工作方式。
|
注释:对于一些数据流与控制路径不同的多媒体应用,PAT不能与之配合使用。
动态NAT和PAT可以一起使用。在这种情况下,会首先把全局地址池中所有的地址都分配出去,当地址池中没有地址可用时,就会使用PAT转换,如图6-12所示。
6.16.2.3 配置动态NAT和PAT
配置动态NAT和PAT要执行以下步骤。
步骤1 在给定接口下用nat命令定义需要转换的真实(私有)地址。
步骤2 配置相应的global命令来为出站接口指定映射地址池(在使用PAT时,这里使用一个地址)。
上述每一条命令中用都会使用NAT ID,这个数字可以将nat命令同global命令建立映射关系。也就是说,NAT ID用来关联nat命令和global命令。读者可以回到图6-10和图6-11的例子中查看相关的配置。
当用到了多个接口时,NAT ID可以用来将多个NAT规则关联到一起。比如,NAT ID 1用来配置内部接口和DMZ接口的nat。再用同样的ID 1配置外部接口的global命令。这样,来自内部接口和DMZ接口的流量在流出外部接口时,会共享同一个映射地址池或同一个PAT地址。例6-14对以上案例进行了演示。
例6-14 为内部接口和DMZ接口配置同样的NAT ID
NAT ID也可以为现有接口关联多个global命令。比如,外部接口和DMZ接口的global命令都使用NAT ID 1,再用同样的ID 1配置内部接口的nat命令来指定哪些内部流量在去往外部接口和DMZ接口时需要转换。类似地,NAT ID 1可以用在DMZ接口上,而用在外部接口的global命令也用在DMZ流量上。
例6-15 为多条Global命令配置同样的NAT ID
6.16.2.4 静态NAT
静态NAT生成的是一个固定不变的(一对一)转换,将真实(私有)地址映射成公网地址。每个连续的连接通过静态NAT都可以拥有一个固定的转换规则(映射的地址是一样的)。由于映射的地址不变,所以目的网络的用户可以向被转换主机发起连接。使用static命令可以为一个较高安全级别接口上的主机地址和一个较低安全级别接口上的主机地址建立一个永久性的关联。静态NAT和PAT都可以用于双向连接。图6-13所示为一个静态NAT的例子。
配置地址转换有很多方法,下面的例子中所示为其中的一些配置方案。
例6-16所示为如何为一个内部IP地址(10.1.1.1)到一个外部IP地址(209.165.200.1)配置静态NAT转换(固定转换)。
例6-16 配置内部NAT(一对一)静态转换
 |
例6-17所示为如何用静态映射为外部地址(209.165.200.15)到内部地址(209.165.200.6)配置一个外部NAT转换(固定转换)。
例6-17 配置外部NAT(一对一)静态转换
 |
例6-18所示为如何为一个有24位子网掩码的子网(一对一,主机对主机)配置一个静态的映射(固定转换)。
例6-18 配置内部NAT为整个子网执行(一对一)静态转换
 |
6.16.2.5 静态端口地址转换(PAT)
静态PAT与静态NAT有些相似,它们的区别在于静态PAT可以为私有地址和转换后的地址指定第4层的端口信息。
当TFTP、HTTP和SMTP服务可以在本地网络的不同服务器上获得时,如果想要为公网用户提供单一的地址去访问这些服务,使用PAT是非常合适的。为所有服务器定义多个静态语句,将这些服务器各自的真正IP地址映射到同一公有IP地址和不同端口的组合。
real_ip_A / public_ip_A / TFTP
real_ip_B / public_ip_A / HTTP
real_ip_C / public_ip_A / SMTP
图6-14所示为如何为映射进同样的公有IP地址的多种服务配置静态PAT语句。
|
6.16.3.1 Identity NAT(nat 0命令)
前文中已经提到过,在启用了NAT控制的情况下,每个发起的连接都需要有相应的NAT规则。以下三种方法之一可以在启用了NAT控制的情况下,使特定主机能够绕过网络地址转换。
Identity NAT。
静态Identity NAT。
NAT免除(NAT Exemption)。
6.16.3.1 Identity NAT(nat 0命令)
Identity NAT与动态NAT有些类似,但Identity NAT的真实与映射后的IP地址相同,因此无需配置映射的全局地址池。只有"被转换的"主机可以实现NAT转换,返回流量可以放行。Identity NAT只能实现单向通信,即使映射后的地址和真实地址一模一样,由外部发起的连接也不能进入内部网络。
图6-15所示为配置Identity NAT的方法,NAT不会为地址在209.165.201.0/27网络内部的主机进行地址转换,这些源地址在从防火墙出去的时候不会变化。在使用公网可路由地址的内部网络不需要进行地址转换的情况下,也可以使用这种方法。
6.16.3.2 静态Identity NAT(static 命令)
静态Identity NAT与静态NAT类似,静态Identity NAT会为真实地址生成一个固定的(一对一)转换,但转换后的地址与转换之前是相同的。静态Identity NAT可以用于双向通信。
图6-16所示为配置静态Identity NAT的方法,NAT不会为地址在10.1.1.0/24网络内部的主机进行地址转换,这些源地址在从防火墙出去的时候不会变化。如果这个地址是一个公网可路由地址,外部用户就可以对这个地址发起入站连接。
例6-19所示为配置外部静态Identity NAT的方法。根据例子中的配置方法,当内部网络访问外部主机209.165.201.15时,NAT不会为其执行地址转换。
例6-19 配置外部静态Identity NAT
 |
6.16.3.3 NAT免除(加载ACL的nat 0)
6.16.3.3 NAT免除(加载ACL的nat 0)
NAT免除(nat 0 access-list)与Identity NAT类似,它们之间最大的区别是NAT免除可以实现双向通信,即NAT免除允许被转换的主机和远程主机发起连接。
图6-17所示为如何配置NAT免除,NAT不会为地址在209.165.201.0/27网络内部的主机进行地址转换,因为这些地址会从设备的另一个接口出去。外部网络(目的端)用户也可以向网络209.165.201.0/27中的主机发起连接。
6.16.4 策略NAT
6.16.4 策略NAT
策略NAT与静态NAT类似。不过策略NAT可以定义一个条件,这个条件会检查源地址和目的地址,并以此决定如何执行地址转换。使用了这个特性,对源地址执行的转换可以根据目的地址的不同而变化,如
主机A与服务器A通信→转换为Public_IP_A。
主机A与服务器B通信→转换为Public_IP_B。
策略NAT要使用访问列表指定源和目的地址(端口)的组合,并通过这个列表决定如何为本地流量执行地址转换。普通的NAT只使用源地址/端口,而策略NAT则不仅使用源地址/端口,还会使用目的地址/端口来定义真实地址的转换方式。
图6-18所示为如何使用nat/global命令配置策略NAT免除。地址转换会根据源目的地址对来执行。在这个例子中,当内部网络10.1.1.0/24中的主机要向网络172.16.1.0/24中的主机发起连接时,源地址会被转换为209.165.202.1-10。
而当同样的内部网络10.1.1.0/24中的主机要向网络192.168.1.0/24中的主机发起连接时,源地址则会转换为209.165.202.130-140。当使用nat/global命令时,通信是单向的;而当使用static命令时,则可以实现双向通信
6.16.5 NAT的处理顺序
如果在防火墙上配置了很多类型的地址转换,就有可能出现一些重叠。这时,防火墙会将真实(私有)地址与NAT规则按照以下的NAT处理循序依次尝试匹配,直至发现第一个匹配项为止。
1.NAT免除(使用nat 0 access-list命令)。
2.策略NAT(使用加载了access-list的static命令)。
3.静态NAT(使用static命令)。
4.静态PAT(使用static命令)。
5.策略NAT(使用加载了access-list的nat命令)。
6.动态NAT(使用nat命令)。
7.动态PAT(使用nat命令)。
6.17 控制流量与网络访问
防火墙安全策略在很大程度上就是执行严格的访问控制策略。网络的访问控制可通过在安全设备上配置访问列表来实现,而访问列表可以对穿越防火墙的流量实施有选择的过滤。
6.17.1 ACL概述及其在安全设备上的应用
访问列表可以为数据包制订一个规则,即通过数据包的协议、源、目的IP地址或网络地址,也可以选择源、目的端口号,以判断是放行还是阻塞这个数据包。关于如何通过访问列表实现流量过滤的具体内容,读者可以参照本书第2章的内容。
在安全设备上,访问列表有很多应用,可以实现多种功能,具体的功能罗列如下,第一条是最为重要的。
控制穿越安全设备的数据流量和网络访问。
为NAT免除或策略NAT定义地址。
为AAA规则定义流量。
为用于MPF的class map定义流量。
控制路由重分发。
定义IPSec ×××加密流量。
为实现URL过滤定义Web类ACL。
ACL既可以应用于路由模式的防火墙下,也可以用于透明模式的防火墙下来控制传输流量。在安全设备生成的虚拟防火墙中,入站ACL和出站ACL是有区别的。接下来的内容将会介绍这两种ACL的区别以及如何使用它们来控制通过安全设备的网络访问。
注释:透明模式支持两种类型的访问列表:用于过滤三层流量的扩展ACL和用于过滤二层流量的以太类型ACL。
6.17.2 使用访问列表控制通过安全设备的出入站流量
使用入站ACL可以过滤进入安全设备的流量,使用出站ACL可以过滤离开安全设备的流量,使用这两种ACL可以对一个接口双向的流量进行检查。以下内容可以帮助读者理解如何在安全设备上应用访问列表。
对于从较低安全级别的接口流往较高安全级别接口的流量,必须在该较低安全级别接口上应用入站ACL来指定哪些流量可以放行(或哪些流量需要丢弃)。还可以另外在较高安全级别接口上配置一个出站ACL,但这个配置是可选的,如图6-19所示。
对于从较高安全级别的接口流往较低安全级别接口的流量,不必应用任何访问列表,因为这种流量默认就会被防火墙放行。这对于从较高安全级别的接口流往较低安全级别接口的返回流量也同样适用,即这种流量也会被自动放行。也可以在较高安全级别接口上配置一个入站ACL及在较低安全级别接口上配置一个出站ACL,但这个配置是可选的,如图6-19所示。
默认情况下,流量可以从安全设备的任何一个接口离开,除非用出站ACL对这个流量作了限制,因此出站ACL可以作为对入站ACL的一种补充,对流量实现更精确的控制。
安全设备的访问控制列表的体系结构与IOS ACL是很类似的。
要在安全设备上启用访问列表来控制网络访问,要执行以下两个步骤,配置方法与在Cisco IOS上配置访问列表相似。
6.17.2.1 第一步--定义访问列表
在全局配置模式下使用access-list命令可以定义某个主机、网络、协议或端口的访问控制条目(ACE)。在安全设备上定义ACL时,不能使用IOS设备上的反掩码,而应使用普通的子网掩码。安全设备上的ACL有一点和IOS上的访问列表类似,那就是它们在访问列表的最后都有一个隐式的拒绝。
6.17.2.2 第二步--在接口上应用访问列表
使用命令access-group {name | number} {in | out} interface interface_name可以将访问列表应用到一个接口的入站或出站方向。各类型(扩展和以太类型)的访问列表都可以被应用在接口的出和入两个方向上。
如果需要放行所有从较低安全级别(外部接口)通过防火墙去往较高安全级别(内部接口)网络中一台Web服务器的网络访问,而这台服务器的IP地址为209.165.201.1,例6-20演示了如何在防火墙上访问列表来实现这个需求。
例6-20 外部接口上的入站ACL
例6-21演示了如何配置一个出站ACL,来更精确地控制从较高安全级别(内部接口)通过防火墙去往较低安全级别(外部接口)的网络访问。按照例子中的配置,位于网络10.1.1.0/24上的主机将无法访问外部网络209.165.202.128/27,而所有其他的流量都被明确放行。在例子中,访问列表被应用在了外部接口的出站方向上(在目的接口上对出站数据包实施过滤)。同样的访问列表也可以应用在内部接口的入站方向上(在源接口上对入站数据包实施过滤),这两种方法可以起到相同的效果。
例6-21 外部接口上的出站ACL
注释:要记住,配置出站ACL是可选的,即并非一定要配置出站ACL,如图6-19所示。
6.17.3 用对象组简化访问列表
在大中型企业中,访问列表的数量有可能会非常庞大,不利于管理和维护。在这种情况下,配置ACL也会因此变成一种重复性劳动,而且当网络出现问题时,排错会变得非常艰难。有一种简单高效的方法可以解决这个问题,那就是将它们按照对象进行分组,然后再在ACL中调用这些组。因此,对象分组可以简化建立和维护访问列表的工作。
以下为4种类型的对象组。
协议:协议类型的对象组可以定义协议(如ICMP、TCP和UDP)。使用object-group protocol grp_id命令,并在对象组子模式下使用protocol-object {protocol}命令来定义协议。其中,protocol是特定IP协议的数字标识(1~254)或关键字标识(如TCP、UDP)。要想包含所有的IP协议,关键字要使用IP。
网络:要添加网络组,可以使用命令object-group network grp_id实现,并在对象组子模式下使用命令network-object {host host_addr |net_addr mask}来定义主机或网络。
服务:要添加服务组,可使用命令object-group service grp_id {tcp | udp |tcp-udp}实现。要添加指定的服务(端口)协议,可以使用关键字tcp、udp或tcp-udp。如果用到的某个协议同时使用了相同端口号的TCP和UDP协议,就要输入关键字tcp-udp,比如DNS协议(53端口)。在对象组子模式下使用关键字port-object可以定义端口号或端口号的范围。
ICMP类型:要添加一个ICMP类型组,可以使用命令object-group icmp-type grp_id。在对象组子模式下使用命令icmp-object icmp_type(echo或echo-reply)可以定义ICMP类型。
要在访问列表中使用对象组,可以用object-group grp-id参数替换正常的协议(protocol)、网络(source_address mask等)、服务(operator port)、或ICMP类型(icmp_type)参数。
并不是必须在访问列表中用对象组指定所有的参数。比如,可以用对象组代替源地址参数,来指定所有需要调用的主机/网络,也可以用服务对象组代替服务字段的参数等。对象组可以简化配置,让管理员能够在日后更加方便地添加、更新和删除配置。
为了说清使用对象组的优势,请看例6-22中的访问列表101,该访问列表为了过滤从特定主机去往Web服务器的流量,用了10行拒绝语句,其中有很多重复的条目是可以写在一个组中的。例6-23只创建了两个对象组就涵盖了例6-22中的所有10个条目,在调用这些对象组时,则只使用了一条访问列表的语句,从而极大程度地缩减了配置量,如例6-24所示。
例6-22 没有使用对象组的普通ACL
在例6-23中,创建了两个网络类型的对象组,对象组denyhosts包含了原本由源地址参数位置定义的主机和网络地址,而对象组webserver则定义了原本由目的地址参数位置定义的两个Web服务器。
例6-23 配置对象组
使用命令how object-group [protocol | network | service | icmp-type | id grp_id]可以查看当前配置的对象组列表。
6.18 组件策略框架(MPF,Modular Policy Framework)
防火墙操作系统提供了一种可适应和可扩展的组件策略框架,它可以用一种类似于Cisco IOS QoS CLI(也称为MQC)的方式配置安全设备特性。对于要穿越防火墙的流量,建立基于流量的策略是为实现一切以管理为目的定义的过滤规则,然后再将这种规则应用到一系列的安全服务中,如防火墙策略、监控策略、QoS策略和×××策略,这可以对每个特定的传输流量实现更精确,也更具扩展性的监控。
组件策略框架(MPF)支持以下特性。
TCP和一般连接设置。
协议监控服务。
***防御服务。
QoS服务。
管制(速率限制)。
6配置MPF
要使用MPF来实现安全特性,需要遵循一些配置步骤,下文将以配置MPF来识别HTTP流量,并限制TCP半开连接的数量为例,介绍这些步骤。
步骤1--定义传输流量
流量类是指可以通过数据包负载进行识别的一系列流量。比如,TCP 80端口上的流量被分类为HTTP流量。流量的定义需要通过在全局配置模式下使用命令class-map来实现。在class-map中,可以通过match命令来匹配各种规则,而每个class-map中可以包含多个匹配规则。当数据包与某个规则相匹配,这个数据包就会被设备执行相应的动作,比如应用监控或限制速率。而哪个规则都不匹配的数据包则会被分配进默认流量类中。比如,可以创建一个访问控制列表来匹配TCP 80端口的HTTP流量,然后将这个访问列表定义在一个流量class-map中,如例6-25所示。
例6-25 配置Class Map识别流量(使用ACL)
也可以不使用ACL而通过port命令指定默认的HTTP端口(如例6-26所示)来实现同样的功能。
例6-26 配置Class Map识别流量(使用端口号匹配的方法)
步骤2--创建Policy Map
在全局配置模式下使用命令policy-map可以创建一个policy map,它可以与步骤1中创建的class-map相互关联,当有流量与class-map中的匹配项相匹配时,它可以执行一个或多个动作,这些动作有的可以保护信息或资源,有的则可以实现QoS功能,如指定最大的并发连接数、启用监控功能或者对数据包进行限速,总之可以有很多不同类型的动作。例6-27显示了如何在全局配置模式下创建一个名为mypolicy的policy-map,如何在policy-map中调用上文中生成的名为identify_http_packets的class-map,及如何在policy-map中制定一个行为,即将最大的TCP半开连接数设置为1000。
例6-27 配置Policy Map并为其分配Class-Map
步骤3--应用Policy
在全局配置模式下使用命令service-policy可以将定义好的策略应用到全局的所有接口下或某个特定的接口。将policy map同接口进行关联就可以激活相应的策略。例6-28所示为如何将例6-27创建的服务策略mypolicy应用到外部接口。
例6-28 将Policy Map分配给接口
|
也可以将同样的服务策略应用到全局的所有接口中,如例6-29所示。
例6-29 将Policy Map分配给全局的所有接口
|
下面通过另一个例子介绍如何使用MPF实现TCP标准协议检测特性。本书在前面的章节中已经对TCP规范检测作了介绍,它是一个增强型的特性,可以对基于TCP的连接中TCP数据包头部进行检查,从而判断这个数据包是否异常,并丢弃异常的数据包。TCP规范检测特性的一部分是,只要数据包超过了对端设定的最大分片长度(MSS)值,那么就丢弃这个数据包。如果想要禁用这个特性并放行这一类的数据包,就需要创建一个TCP map并把它和MPF联用,以此来实现这个目的。在例6-30所示的例子中,管理员创建了一个TCP map,并且在它的高级TCP连接设置中设定了一个MSS数据包允许行为,最后将其应用于MPF来放行所有匹配的TCP数据包。这个策略应用于所有进入外部接口的数据包。
例6-30 通过组件策略框架配置TCP规范检测
使用命令show service-policy可以查看配置的策略及其相关的设置。
6.19 Cisco AnyConnect ×××客户端
安全设备自8.0操作系统开始,首次对Cisco AnyConnect ×××客户端连接提供支持。Cisco AnyConnect ×××客户端属于下一代×××客户端,它可以使远程用户通过SSL ×××安全地连接到Cisco ASA 5500设备上。
Cisco AnyConnect ×××客户端具备了Cisco SSL ×××客户端的一切优势,除此之外,它还可以提供无客户端、基于浏览器的SSL ×××连接所无法实现的应用和功能。
Cisco AnyConnect ×××客户端另外还有一个优势,那就是它也可以在IPv4网络的基础上对IPv6提供支持
注释:Windows Vista、Windows XP、Windows 2000、Mac OS X和Linux平台都可以对Cisco AnyConnect ×××客户端提供支持。
注意:Cisco PIX和Cisco ××× 3000集中器系列都不支持Cisco AnyConnect ×××客户端;只有Cisco ASA 5500系列设备可以支持这个功能。另外,PIX无法实现SSL ×××连接,即无论是无客户端的还是AnyConnect都不支持。
提示:欲了解更多关于Cisco AnyConnect ×××客户端的具体信息,可参见以下URL文档。
http://www.cisco.com/en/US/products/ps8411/tsd_products_support_series_home.html。
6.20 冗余备份与负载分担
要实现高可用性和负载分担功能,网络中的设备必须可以实现冗余,这样才能建立一种设备失效时的快速复原机制。安全设备可以支持高可用性和负载分担特性,并为此提供了容错的解决方案,该解决方案可以保障设备的最大运行时间,并且在最大程度上确保资源的可用性。冗余就是确保网络强健可靠的关键要素之一。
安全设备具有故障切换(failover)功能,这个功能可以在某个设备单元发生故障时提供一种保护机制。当一个设备单元失效,另一个设备单元会立刻代替它开始工作。安全设备提供了以下两种故障切换的装配模式,这两种模式都支持状态化和无状态故障切换功能。
主用/备用(A/S)故障切换模式(冗余备份):在这种模式下,只有一个设备单元可以通过流量,而另一个设备单元则处于备用状态。单模和多模虚拟防火墙都可以支持A/S故障切换模式。
主用/主用(A/A)故障切换模式(负载分担):在这种模式下,两台设备都可以传输流量,流量在通过时会共享两台设备的资源。A/A模式提供了负载分担功能,可使网络在快速复原和高可用性方面得到提升。但只有多模虚拟防火墙能够支持A/A故障切换模式。
6.20.1 故障切换需求
配置了故障切换的两台设备必须是相同的,而且它们之间必须通过专用的故障切换链路(接口)互连。另外,可以选择使用状态链路(state link)接口来连接这两台设备。要在安全设备上启用故障切换特性,必需满足以下的条件(注意这两台设备的软硬件配置必须相同)。
型号相同。
拥有接口的数量和类型相同。
Flash和RAM的容量相同。
处于同样的操作模式下(路由模式防火墙或透明模式防火墙,单模或多模防火墙)。
有同样的主(第1位数)次(第2位数)操作系统版本:以版本8.0(3)为例,对于括号中的数字3,两台设备可以不同,但8.0必须相同。
6.20.2 故障切换链路
故障切换链路接口用来在故障切换模式下监控每个设备单元的健康状况和操作状态。在PIX 500系列平台上,故障切换链路既可以是基于LAN的链路,也可以是一条专用的故障切换串行线缆。而在ASA 5500系列平台上,故障切换链路则只能是基于LAN的链路。
6.20.3 状态链路(State Link)
安全设备支持两种类型的故障切换:一般类型和状态化类型。在一般类型的故障切换模式中(非状态化),当新的主用设备取代原来的设备时,所有主用设备的连接都会被丢弃,客户端需要重新建立连接,因为新的主用设备并不知道之前建立了什么连接及这些连接的建立情况。而在状态化故障切换环境中,故障切换以后就无需重新向主用设备建立连接。例如,客户端有一条连接正在通过FTP协议传输文件,这时发生了故障切换,那么文件拷贝的过程会自动通过信息的备用设备完成,而不会发生任何间断。
状态链路接口用来向备用设备传输主用设备已建立连接的状态。在状态化类型的故障切换中,备用设备单元可以接收到以下信息。
NAT转换表。
TCP连接状态。
UDP连接状态。
ARP条目。
在透明模式防火墙下运行时的二层桥接表。
HTTP连接状态(如启用HTTP复制(HTTP replication))。
ISAKMP(Internet安全关联和密钥管理协议)IPSec的SA列表。
GPRS隧道协议(GTP)PDP(分组数据协议)的连接数据库。
在状态化类型的故障切换模式下,不会被传送到备用单元的信息如下。
HTTP连接表(除非启用HTTP复制)。
用户认证(uauth)列表。
路由表。
组播流量信息。
安全服务卡(Security Service Card)的状态信息。
配置故障恢复时,配置状态链路有以下3种选择。
1.使用安全设备上没有用到的接口作为专用状态链路接口。
2.使用基于LAN的故障切换时,用故障切换链路作为状态链路(同一个以太接口实现双重功能)。
3.用普通的数据以太网接口作为状态链路;这并不是推荐做法,但是这样做也是可以的。状态链路接口不是一般的网络传输接口,也不能实现一般的接口操作。它专门用于实现状态化故障切换的通信,当状态链路和故障切换链路共享同一个接口时,它也可以实现故障切换的通信。可以用专用的集线器/交换机连接状态链路,可以将两台设备划分在一个没有其他设备的VLAN中,也可以用以太网反转线把两个设备单元直接连接在一起。
6.20.4 故障切换的实施
在安全设备上实施故障切换可以用两种方式部署:串行线缆故障切换连接模式和基于LAN的故障切换连接模式。
6.20.4.1 串行线缆故障切换连接(只用于PIX 500)
串行故障切换线缆,也称基于线缆的故障切换,只能应用在PIX 500系列平台上。当两台设备间的相互距离在6英尺以内时,推荐用这种方式部署故障切换。这种部署方式的优势在于它使用了专用的串行线缆,所以可以更快地实现收敛。安全设备可以检测到另一台设备单元的电量消失了,并能够马上区分此时的电量消失并不是由于线缆松落造成的。这种部署的主要缺陷是它存在距离上的限制(两台设备的距离不能超过6英尺)。两个设备单元之间的线缆是一个6英尺长的标准RS-232串行线缆,它可以用117760bit/s(115Kbit/s)的速率传输数据。线缆有"Primary"标记的一端和主用单元相连,另一端有"Secondary"标记的一端则和备用单元相连。图6-20所示为一个配置实例。
6.20.4.2 基于LAN的故障切换链路
与串行线缆故障切换不同,基于LAN的故障切换优势在于两台物理设备之间的距离可以超过6英尺,而且对于配置的响应速度比较快。缺点则是收敛速度较慢;即安全设备无法迅速检测到对端电量消失了,因此故障切换需要的时间相对比较长。
作为取代了先前串行线缆故障切换的部署方式,基于LAN的故障切换使用以太网接口为故障切换提供连接。该接口也可以完成一般的接口操作,也可以选择它连接状态链路。故障切换链路应该通过专用的交换机来进行连接,或把它们划进一个没有其他设备的VLAN,或者把它们通过以太网反转线相连。在多虚拟防火墙模式下,故障切换链路需要连接在系统虚拟防火墙上(admin虚拟防火墙)。图6-21所示为一个配置实例。
注释:欲了解更多故障切换的配置实例,如基于LAN的A/A模式,请参见Cisco文档: