【51CTO.com 獨(dú)家特稿】目前，人們在享受網(wǎng)絡(luò)帶給人們工作、生活種種便利的同時，也飽受著各種各樣網(wǎng)絡(luò)安全問題的威脅，例如病毒、蠕蟲、垃圾郵件、網(wǎng)站釣魚和間諜軟件等等。針對這些不安全的因素，我們需要在網(wǎng)絡(luò)中部署不同的設(shè)備去對付它，例如防火墻、IPS、VPN、IDS和漏洞掃描等等。但同時部署這些不能相互通訊的多種網(wǎng)絡(luò)安全產(chǎn)品，不僅提高了網(wǎng)絡(luò)的復(fù)雜性，而且還增加了管理操作成本。這其實(shí)不是最佳的部署模式。

UTM（Unified Threat Management，統(tǒng)一威脅管理）就很好的解決了上面的問題。它是在一個硬件裝置中集成了多種安全特性，帶有防病毒、網(wǎng)絡(luò)入侵監(jiān)測、防垃圾郵件、VPN和Web過濾等功能。所有這些功能不需要一定被啟用，但這些功能都集成在了UTM硬件上，一旦需要使用的話，只需開啟即可。UTM在網(wǎng)絡(luò)中的部署，增強(qiáng)了全面保護(hù)網(wǎng)絡(luò)服務(wù)的靈活性，同時也降低了部署的復(fù)雜度。下面就以兩則實(shí)例介紹UTM在實(shí)際中的應(yīng)用。

一、UTM雙機(jī)熱備部署模式的應(yīng)用

圖1 UTM雙機(jī)熱備模式部署圖

1、UTM雙機(jī)熱備的總體部署情況。

如圖1所示，網(wǎng)絡(luò)的核心層和接入層分別使用了兩臺Cisco 4506和兩臺Cisco 3560交換機(jī)，在Cisco 3560上接入有多個用戶組，根據(jù)用戶組所屬部門的不同把他們劃入到不同的VLAN中。在Cisco 4506和Cisco 3750之間接入了兩臺聯(lián)想Power V UTM。兩臺Cisco 4506之間和兩臺Cisco 3560之間都是Trunk連接。設(shè)備間的連接情況如下所示：

Cisco 4506A GigabitEthernet6/1 <----> UTM-A  Port 1  
Cisco 4506B GigabitEthernet6/1 <----> UTM-B  Port 1  
Cisco 3560A GigabitEthernet1/0/1 <----> UTM-A  Port 2  
Cisco 3560B GigabitEthernet1/0/1 <----> UTM-B  Port 2  
UTM-A  Port 10 <----> UTM-B  Port 10  
 

聯(lián)想Power V UTM設(shè)備支持在路由和透明模式下的主備和主主模式的高可用性配置，但它不支持全冗余的連接模式。在圖1中，UTM工作于路由模式，HA監(jiān)控Port 1和Port 2兩個接口。兩個UTM使用Port 10接口作為HA的心跳線接口。

兩臺Cisco 4506之間使用了思科專有協(xié)議HSRP，這樣當(dāng)任意一臺4506故障，并不會影響網(wǎng)絡(luò)中每個用戶組對網(wǎng)絡(luò)的正常訪問。例如現(xiàn)在圖1中，兩臺Cisco 4506因?yàn)槭褂肏SRP協(xié)議，4506B處于備用狀態(tài)，而4506A處于活動狀態(tài)，也就是說Cisco 4506A具有三層路由功能，而4506B只有二層交換功能，不具備路由功能。

如果Cisco 4506A因?yàn)槟撤N原因發(fā)生故障，整個交換機(jī)宕掉，因?yàn)镠SRP協(xié)議的作用，Cisco 4506B馬上會啟用它自身的三層路由功能，從而接管4506A上的各種功能。若這時處于活動狀態(tài)的UTM是UTM-A，因?yàn)?506A已經(jīng)宕機(jī)，UTM-A就能監(jiān)控到它上面的Port 1端口上已經(jīng)沒有數(shù)據(jù)，又因?yàn)镠A一直監(jiān)控Port 1和Port 2，所以這時HA就會啟用UTM-B，讓它由備用狀態(tài)變?yōu)榛顒訝顟B(tài)，而UTM-A由活動狀態(tài)變?yōu)閭溆脿顟B(tài)。這時連接到3560交換機(jī)上的用戶組，原來訪問核心交換機(jī)的數(shù)據(jù)都是通過UTM-A傳輸?shù)模F(xiàn)在都改成通過UTM-B再傳輸?shù)胶诵慕粨Q機(jī)。所以說圖1中的配置模式，無論是核心交換機(jī)，或是UTM中的任意一臺發(fā)生故障都不會影響到全網(wǎng)用戶對網(wǎng)絡(luò)的正常訪問。Cisco 3560因?yàn)槭墙尤雽咏粨Q機(jī)，所以對它的可靠性要求不是很高，若其中的一臺故障的話只會影響到很少一部分用戶，所以Cisco 3560沒有配置成負(fù)載均衡，或者是雙機(jī)熱備的模式。

在部署UTM雙機(jī)熱備模式時需要注意：雙機(jī)熱備中的UTM，必須是相同型號和相同軟件版本的UTM才可以作雙機(jī)熱備；主主模式（Active-Active）的雙機(jī)熱備，支持對TCP會話的負(fù)載均衡；在雙機(jī)熱備的具體配置中，不要使用主設(shè)備的搶占模式。因?yàn)橹鱑TM往往能搶占成功，但主UTM中的防火墻卻不搶占，所以應(yīng)用主設(shè)備搶占模式往往會導(dǎo)致UTM在功能應(yīng)用上的混亂。

2、UTM雙機(jī)熱備的配置步驟。

（1）網(wǎng)絡(luò)接口配置。因?yàn)樵趫D1的部署模式中，兩臺UTM就相當(dāng)于一臺路由器，所以可以在UTM的WEB管理界面中的"系統(tǒng)管理"--->"網(wǎng)絡(luò)"--->"接口"中，把Port 1和Port 2兩個端口配置到不同的網(wǎng)段中，Port 1的IP地址為172.16.2.1，子網(wǎng)掩碼為255.255.255.0，Port 2的IP地址為172.16.3.1，子網(wǎng)掩碼為255.255.255.0。這時Port 1就位于網(wǎng)絡(luò)172.16.2.0/24中，而Port 2就位于網(wǎng)絡(luò)172.16.3.0/24中。

同時，接入到Cisco 3560上的用戶組IP地址也都可以劃入到網(wǎng)絡(luò)172.16.3.0/24中。這樣只需要在UTM上配置172.16.2.0/24和172.16.3.0/24兩個網(wǎng)絡(luò)可以互相訪問的路由，就可以實(shí)現(xiàn)3560上的用戶組對核心交換機(jī)的正常訪問。Port 10接口作為UTM設(shè)備的心跳線接口，可以不配置IP地址。

圖2 部署UTM的三種模式

（2）HA參數(shù)的具體配置。可以在UTM的WEB管理界面的"系統(tǒng)管理"--->"配置"--->"高可靠性"中對HA參數(shù)進(jìn)行具體的配置。如圖2所示，"高可靠性"的模式可以有三種選擇，"單獨(dú)"、"主動-被動"和"主動-主動"。在本例中選擇"主動-被動"的模式，也就是雙機(jī)熱備的工作模式。其它參數(shù)的配置如圖3所示。

設(shè)備優(yōu)先級：缺省為128，優(yōu)先級的值越高設(shè)備被選擇為主設(shè)備的機(jī)會越大，可以根據(jù)實(shí)際的網(wǎng)絡(luò)環(huán)境確定是否需要確定首選主設(shè)備。圖中還有"虛擬集群"的選項(xiàng)，這也是聯(lián)想Power V UTM上的一種功能，可以把一臺物理UTM設(shè)備虛擬成兩臺獨(dú)立的邏輯UTM設(shè)備來使用，這將在第"二"點(diǎn)中進(jìn)行詳細(xì)介紹。

圖3 UTM雙機(jī)熱備HA參數(shù)的配置

密碼：為HA同步的通訊密碼，兩臺UTM設(shè)備必須設(shè)置相同的密碼。

端口監(jiān)控：為UTM設(shè)備檢測端口，當(dāng)該端口down時，設(shè)備切換。注意在沒有完成雙機(jī)協(xié)商前，不要配置"端口監(jiān)控"。待設(shè)備完成雙機(jī)同步后再配置"端口監(jiān)控"。

心跳線接口：為HA設(shè)備的雙機(jī)熱備接口，填寫數(shù)值的接口表示該接口支持雙機(jī)熱備，數(shù)值大的為主心跳接口。#p#

（3）互連兩臺UTM設(shè)備。用一根直通網(wǎng)線，也就是一根兩端線序一樣的雙絞線，連接兩個UTM設(shè)備的Port 10端口，并要保證雙機(jī)線的暢通。UTM設(shè)備在進(jìn)行雙機(jī)熱備工作時，只有主設(shè)備可以被管理，而且所有的配置均在主設(shè)備上完成，它會把配置自動同步到備用設(shè)備上。

（4）創(chuàng)建安全訪問策略。也就是在UTM的WEB管理界面中的"防火墻"中配置將要在網(wǎng)絡(luò)中應(yīng)用的安全策略。例如，可以在"防火墻"中配置禁止連接在Cisco 3560上的某個VLAN中的用戶訪問核心交換機(jī)上的數(shù)據(jù)。同時，所有在主UTM上配置的策略會自動在兩臺設(shè)備上同步。

（5）雙機(jī)熱備的切換測試。若拔出接在UTM-A設(shè)備Port 1或Port 2上的網(wǎng)線，正常情況下活動的UTM設(shè)備就會切換到UTM-B上。然后重新訪問UTM設(shè)備的管理IP地址，就可以觀察到主、從UTM設(shè)備的切換情況。如果想要管理雙機(jī)熱備中的從UTM設(shè)備，就只能通過CLI，命令行的方式進(jìn)行管理。先要登錄到主設(shè)備上，然后再在主設(shè)備的CLI下對從設(shè)備的UTM進(jìn)行管理。

3、小結(jié)。

（1）UTM HA集群。集群是由兩臺或更多的UTM設(shè)備組成一個HA集群。對于網(wǎng)絡(luò)而言，HA集群可以對外界表現(xiàn)為單個UTM處理網(wǎng)絡(luò)數(shù)據(jù)傳輸并提供常規(guī)的安全服務(wù)，如防火墻功能、VPN、IPS、病毒檢測、web過濾和垃圾郵件過濾服務(wù)。

在HA集群中，單個的UTM設(shè)備稱作為一個群集UTM。這些UTM共享安全策略與配置信息。如果一個群集UTM發(fā)生故障，集群中的其它UTM自動替換故障的UTM，承擔(dān)該UTM所做的工作。群集將繼續(xù)處理網(wǎng)絡(luò)數(shù)據(jù)傳輸，并不間斷提供網(wǎng)絡(luò)安全服務(wù)。HA集群包括一臺主要的群集UTM，也稱為主UTM，與一臺或更多的從屬群集UTM，也稱從屬UTM。主UTM控制著整個群集的操作，根據(jù)群集的操作模式，主UTM發(fā)揮著不同的作用。

HA集群在發(fā)生故障后仍能夠繼續(xù)提供UTM功能的特性稱作故障轉(zhuǎn)移。UTM HA故障轉(zhuǎn)移意味著你的網(wǎng)絡(luò)不需要依賴一臺UTM提供服務(wù)，可以安裝額外的UTM組成一個HA集群。HA集群的另一個功能是負(fù)載均衡，該功能可以提高網(wǎng)絡(luò)的使用效率。UTM群集通過分擔(dān)處理網(wǎng)絡(luò)流量并提供安全服務(wù)增強(qiáng)整個網(wǎng)絡(luò)的性能。在網(wǎng)絡(luò)中，群集可以作為單一UTM，不需要更改網(wǎng)絡(luò)配置便可以增強(qiáng)網(wǎng)絡(luò)的使用效率。

（2）UTM HA模式。聯(lián)想POWER V UTM防火墻能夠配置運(yùn)行于"主動-被動（A-P）"，或"主動-主動（A-A）"模式。"主-主"和"主-被"模式群集都能夠運(yùn)行于UTM的NAT/路由或是透明工作模式。"主動-被動（A-P）"模式集群，是由一臺處理網(wǎng)絡(luò)流量的主UTM以及一臺或多臺從屬UTM組成。從屬UTM，和主UTM連接，但并不處理數(shù)據(jù)傳輸。"主動-主動（A-A）"模式負(fù)載平衡所有群集UTM的網(wǎng)絡(luò)流量。一個主動-主動HA群集由一臺處理數(shù)據(jù)傳輸?shù)闹鱑TM以及一臺或多臺也同樣進(jìn)行數(shù)據(jù)傳輸處理的從屬UTM組成。主UTM使用負(fù)載平衡策略分布并平衡HA群集中所有UTM的流量處理。

二、UTM虛擬域功能的應(yīng)用

圖4 使用UTM虛擬域功能前外網(wǎng)圖示

1、使用UTM虛擬域前的網(wǎng)絡(luò)部署情況。

單位在部署使用UTM虛擬域功能之前，有兩個相互獨(dú)立的網(wǎng)絡(luò)，外網(wǎng)和專用網(wǎng)，網(wǎng)絡(luò)部署圖如圖4和圖5所示。兩個網(wǎng)絡(luò)共使用了三臺聯(lián)想Power V UTM，外網(wǎng)中兩臺，專用網(wǎng)中一臺。

圖5 使用UTM虛擬域功能前專用網(wǎng)圖示

Power V UTM工作模式共有兩種，NAT/路由模式和透明模式，如圖6所示。外網(wǎng)兩臺UTM部署的是雙機(jī)熱備，工作模式是NAT/路由模式，具有路由功能，也就是UTM同時也相當(dāng)于一臺路由器，能學(xué)習(xí)路由，轉(zhuǎn)發(fā)數(shù)據(jù)包，本身作為三層設(shè)備參與到用戶環(huán)境中，可以控制多個VLAN之間的數(shù)據(jù)包流，對收到的數(shù)據(jù)包，能根據(jù)其目的IP地址進(jìn)行轉(zhuǎn)發(fā)。NAT/路由模式還支持UTM設(shè)備與802.1Q交換機(jī)、路由器之間創(chuàng)建VLAN Trunk，提高了用戶對設(shè)備配置的靈活性。在圖4中的UTM1和UTM2之間還有直接相連的心跳線，圖示為了簡潔沒有畫出。心跳線的作用是為了實(shí)現(xiàn)兩臺UTM設(shè)備的雙機(jī)熱備功能。在運(yùn)行中主UTM會將狀態(tài)信息、NAT信息備份到備用UTM中，若發(fā)生切換，備用UTM會保存完整的NAT轉(zhuǎn)換信息，從而不會導(dǎo)致用戶訪問網(wǎng)絡(luò)數(shù)據(jù)的中斷。

圖6 UTM的兩種工作模式

在圖4的邏輯拓?fù)鋱D中，UTM1和UTM2分別與兩臺Cisco 4510的連接，圖中只畫出了一條連接線。在實(shí)際的部署中，每一臺UTM和Cisco 4510的連接都有兩根連接線。例如UTM1的Port 1、Port 2分別和Cisco 4510A的Gi6/1、GI6/2相連，其中Port  1和Gi6/1都是Trunk口，也就是二層端口，端口上都沒有配置IP地址，它們之間屬于Trunk連接。但在Port 1下可以配置多個三層的VLAN子接口，同時在這些子接口上也可以配置相應(yīng)的IP地址。而Port 2是屬于三層端口，它上面也配置了IP地址，Cisco 4510的Gi6/2端口，可以劃入到4510A上的某個VLAN中。這樣配置后，Port 1下面的多個三層VLAN子接口，就可以和Port 2的三層端口之間相互通信，因?yàn)樗鼈兌加蠭P地址，都屬于某個子網(wǎng)，只有它們之間有可達(dá)路由，就可以相互訪問。若不想讓Port 1下面的某個三層VLAN子接口，和Port 2之間進(jìn)行通信，就可以在UTM上配置相應(yīng)的安全策略，從而阻止它們之間的相互訪問。這也就是UTM設(shè)備，以旁路的方式接入到核心路由或交換設(shè)備上，并能實(shí)現(xiàn)UTM設(shè)備的三層路由功能的部署模式。最終通過在UTM設(shè)備的防火墻中配置安全策略，實(shí)現(xiàn)允許/禁止某類用戶對特定數(shù)據(jù)的訪問。#p#

而圖5專用網(wǎng)中UTM的工作模式是透明模式，它是以"橋"模式運(yùn)行的，本身只需要配置一個管理IP地址，不必占用任何其它的IP資源，也不需要改變用戶的拓?fù)洵h(huán)境，設(shè)備的運(yùn)行對用戶來說是"透明"的，在網(wǎng)絡(luò)設(shè)備上進(jìn)行各種命令的配置時，就當(dāng)不存在這個UTM一樣，因?yàn)樗峭该髂Ｊ健Ｋ粚€路上的數(shù)據(jù)作安全檢查，和安全策略上的限制，本身不會影響網(wǎng)絡(luò)的整體架構(gòu)和配置。這種模式在安裝和維護(hù)UTM時，相對路由模式來說要簡單很多。

因?yàn)閱挝辉诎踩矫娴膰?yán)格要求，專用網(wǎng)中必須使用UTM設(shè)備。但是目前專用網(wǎng)中只有一臺UTM，一旦UTM發(fā)生故障后，專用網(wǎng)將面臨無安全防護(hù)的隱患。這種情況下，也可以考慮再購買一臺和專用網(wǎng)中一模一樣的UTM設(shè)備，這樣把兩臺設(shè)備配置為雙機(jī)熱備，或負(fù)載均衡的模式，就是把買來的UTM作為冷備也可以。這樣當(dāng)其中的一臺故障后，另外一臺就可以馬上替換掉有故障的一臺。但一臺UTM設(shè)備，因?yàn)樗厦婕闪硕喾N安全功能，所以在價格方面也非常昂貴，一臺至少也要十多萬人民幣，而單位經(jīng)費(fèi)緊張，所以考慮買UTM設(shè)備的辦法行不通。我們經(jīng)過查閱聯(lián)想U(xiǎn)TM的各種隨機(jī)文檔，發(fā)現(xiàn)它具有"UTM虛擬域"的功能。

其實(shí)，UTM虛擬域功能就是可以把一臺UTM物理設(shè)備劃分為多個虛擬域，每個虛擬域在邏輯上就相當(dāng)于一臺單獨(dú)UTM物理設(shè)備，每個虛擬域也可以單獨(dú)設(shè)置路由、防火墻策略、防病毒策略、IPS策略等。這樣就可以為多個企業(yè)組織部署一個UTM，將其劃分成若干個邏輯設(shè)備分配給不同的企業(yè)組織，并且為其設(shè)置相應(yīng)的邏輯設(shè)備管理權(quán)限，這樣每個被服務(wù)的企業(yè)組織可以單獨(dú)管理安全設(shè)置，并查看相應(yīng)的日志信息。

2、配置UTM虛擬域的具體步驟。

（1）在UTM WEB管理界面中的"系統(tǒng)管理"→"狀態(tài)"界面中，首先要啟用虛擬域功能，當(dāng)然要是不想使用虛擬域的功能，也可在此選擇停用其功能，如圖7所示。圖示中的"虛擬域"功能已經(jīng)啟用，點(diǎn)擊"停用"就中止了UTM的虛擬域功能。

圖7  啟用或停用虛擬域功能

（2）在"系統(tǒng)管理"→"虛擬域"的管理界面中，點(diǎn)擊"新建"的功能按鈕，就能新建一個UTM虛擬域，并填寫虛擬域的名稱為ca，并配置虛擬域ca的"工作模式"為透明模式，如圖8所示。

圖8  新建虛擬域圖示

（3）在"系統(tǒng)管理"→"網(wǎng)絡(luò)"→"接口"的管理界面中，點(diǎn)擊將要放入虛擬域ca的某接口的"編輯"功能按鈕，在"虛擬域"的下拉菜單中選擇虛擬域ca，如圖9所示。

圖9  把端口劃入到相應(yīng)的虛擬域中

（4）在新建的虛擬域中，配置防火墻的安全策略、防病毒功能和入侵檢測功能。

（5）把專用網(wǎng)中，原來連接在專用網(wǎng)中的Cisco 3750和Cisco 2960上的兩根接入到UTM上的網(wǎng)線，連接到UTM2上，新建虛擬域中的相應(yīng)端口上。

圖10 使用UTM虛擬域后網(wǎng)絡(luò)結(jié)構(gòu)圖

3、使用UTM虛擬域后的網(wǎng)絡(luò)部署情況。

改造后的網(wǎng)絡(luò)結(jié)構(gòu)圖如圖10所示。從圖中可以看出，UTM2處于活動狀態(tài)，也就是主UTM，而UTM1處于備用狀態(tài)。因?yàn)樵谥鱑TM上所做的任何配置，都會同步到備用的UTM上，也就是在UTM1上也有一個和在UTM2上一模一樣的虛擬域，此虛擬域也和原來專用網(wǎng)中的UTM功能是一樣的。這樣如果圖10中的UTM2故障的話，因?yàn)殡p機(jī)熱備模式的緣故，UTM1馬上就從備用狀態(tài)轉(zhuǎn)變?yōu)榛顒訝顟B(tài)，接管UTM2的各種業(yè)務(wù)，UTM2的狀態(tài)也就從主UTM變成了備用狀態(tài)。一旦UTM2變成了備用狀態(tài)，在它上面的，替代原來專用網(wǎng)中的UTM的虛擬域也就從活動狀態(tài)變成了備用狀態(tài)，因?yàn)檎麄€UTM2設(shè)備的狀態(tài)都成為備用的了。

所以圖10中，一旦UTM1和UTM2的運(yùn)行狀態(tài)發(fā)生變化后，網(wǎng)絡(luò)工程師一定要盡快把接在專用網(wǎng)中兩個交換機(jī)上的，連接UTM2的兩根網(wǎng)線，接入到UTM1上對應(yīng)的虛擬域的端口上。這樣才能保證專用網(wǎng)再次安全穩(wěn)定的運(yùn)行。啟用UTM虛擬域功能前的，原來專用網(wǎng)中使用的UTM已經(jīng)斷電不再使用。但它可以作為圖10中，UTM1和UTM2的冷備。即使UTM1和UTM2兩個設(shè)備都故障了，可以再把原來專用網(wǎng)中的UTM上電，同樣可以保證專用網(wǎng)的安全正常訪問。

UTM虛擬域功能的使用，在為單位節(jié)省一大筆經(jīng)費(fèi)的同時，也提高了專用網(wǎng)的安全性和可靠性。

4、小結(jié)

雖然UTM設(shè)備功能很強(qiáng)大，幾乎現(xiàn)在所有安全產(chǎn)品的功能，在UTM中都能找到。它增強(qiáng)了網(wǎng)絡(luò)的安全性，避免了網(wǎng)絡(luò)資源的誤用和濫用，在更有效的使用通訊資源的同時，它也不會降低網(wǎng)絡(luò)的性能。UTM也是易于管理的設(shè)備，它的功能包括：應(yīng)用層服務(wù)，例如病毒防護(hù)、入侵檢測、垃圾郵件過濾、網(wǎng)頁內(nèi)容過濾以及IM/P2P過濾服務(wù)；網(wǎng)絡(luò)層服務(wù)，例如防火墻、入侵檢測、IPSec與SSL VPN，以及流量控制；管理服務(wù)，例如用戶認(rèn)證、設(shè)備管理設(shè)置、安全的web與CLI管理訪問，以及SNMP功能。

但是建議在開啟UTM虛擬域功能的同時，不要再使用UTM上的其它功能。因?yàn)樘摂M域功能在邏輯上就相當(dāng)于，在不增加任何UTM硬件資源的情況下，又虛構(gòu)出一個UTM設(shè)備，所以虛擬域功能會占用大量UTM設(shè)備上的CPU、內(nèi)存等資源，這時若再啟用UTM上的其它功能，必定會大大增加UTM的負(fù)荷，這其實(shí)也就給它的使用帶來了不穩(wěn)定因素。因?yàn)樗性O(shè)備在超負(fù)荷的運(yùn)行下，故障率都會大大增加。所以建議在沒有特殊需求的情況下，使用UTM虛擬域功能時，不要過多開啟UTM上的其它功能。

【51CTO.com獨(dú)家特稿，非經(jīng)授權(quán)謝絕轉(zhuǎn)載！合作媒體轉(zhuǎn)載請注明原文出處及出處！】