- 产品与解决方案
- 行业解决方案
- 服务
- 支持
- 合作伙伴
- 新华三人才研学中心
- 关于我们
一、客户需求描述
某电力集团客户广域网及业务VPN地址规划比较规范,但部分二级单位内部局域网及业务服务器地址比较混乱,无法直接通过路由连入广域网相应VPN,只能暂时通过在二级单位局域网出口部署NAT服务器实现地址的合法、规范转换。但二级单位内部服务器较多,转换后的地址无法与相应VPN业务规范地址相对应,因此造成三级单位访问二级单位、集团部分平台业务在二级单位部署的应用访问非常不灵活,目前只转换了一类业务即综合管理VPN业务地址,未来需要大概8类VPN业务地址的转换。具体示意图如下:
二、虚拟防火墙技术应用介绍
以上客户需求通过目前的虚拟防火墙技术可以有效解决。首先简单介绍一下虚拟防火墙技术。
为了适应这种业务模式。虚拟防火墙技术应运而生。虚拟防火墙通过在同一台物理设备上划分多个逻辑的防火墙实例来实现对多个业务VPN的独立安全策略部署。也可以利用这种逻辑防火墙的部署的灵活性来来实现企业网络的对新业务的适应性。虚拟防火墙诞生以后,对用户来说其部署模式变为如图所示:
如上图所示,在MPLS网络环境中,在PE与CE之间部署一台物理防火墙。利用逻辑划分的多个防火墙实例来部署多个业务VPN的不同安全策略。这样的组网模式极大的减少了用户拥有成本。随着业务的发展,当用户业务划分发生变化或者产生新的业务部门时,可以通过添加或者减少防火墙实例的方式十分灵活的解决后续网络扩展问题,在一定程度上极大的降低了网络安全部署的复杂度。
虚拟防火墙具有如下技术特点:
• 每个虚拟防火墙维护自己一组安全区域
• 每个虚拟防火墙维护自己的一组资源对象(地址/地址组,服务/服务组等)
• 每个虚拟防火墙维护自己的包过滤策略
• 每个虚拟防火墙维护自己的ASPF策略、NAT策略、ALG策略
• 限制每个虚拟防火墙占用资源数:防火墙Session以及ASPF Session数目
三、H3C解决方案综述
具体部署时可以有两种方式,第一种方式部署独立虚拟防火墙,第二种方式是在路由器中插入虚拟防火墙板卡,以上两种方式完成的功能相同,看客户具体的选择。示意图如下:
内部应用服务器NAT转换绑定具体VPN实现方案:
对于访问内部服务器的数据流,根据数据流的目的地址,防火墙根据Nat server配置把数据流送入所绑定的虚拟防火墙系统。
在访问控制列表的规则rule中配置vpn-instance vpn-instance-name,指明哪个虚拟防火墙需要进行地址转换,即可以实现对虚拟防火墙NAT多实例的支持。示意图如下:
解决方案
售前咨询
售后咨询
人工在线咨询
