全国统一服务热线
0512-62792126

相关资讯

咨询热线:

0512-62792126

邮箱:rex@wehand.cn

地址:苏州工业园区葑亭大道666号天翔智能产业园4栋7楼

利用虚拟防火墙技术解决NAT多实例应用问题

某电力集团客户广域网及业务VPN地址规划比较规范,但部分二级单位内部局域网及业务服务器地址比较混乱,无法直接通过路由连入广域网相应VPN,只能暂时通过在二级单位局域网出口部署NAT服务器实现地址的合法、规范转换。但二级单位内部服务器较多,转换后的地址无法与相应VPN业务规范地址相对应,因此造成三级单位访问二级单位、集团部分平台业务在二级单位部署的应用访问非常不灵活,目前只转换了一类业务即综合管理VPN业务地址,未来需要大概8类VPN业务地址的转换。具体示意图如下:
http://www.h3c.com/cn/res/201309/06/20130906_1666843_image001_699920_30004_0.png
二、虚拟防火墙技术应用介绍
以上客户需求通过目前的虚拟防火墙技术可以有效解决。首先简单介绍一下虚拟防火墙技术。
为了适应这种业务模式。虚拟防火墙技术应运而生。虚拟防火墙通过在同一台物理设备上划分多个逻辑的防火墙实例来实现对多个业务VPN的独立安全策略部署。也可以利用这种逻辑防火墙的部署的灵活性来来实现企业网络的对新业务的适应性。虚拟防火墙诞生以后,对用户来说其部署模式变为如图所示:
http://www.h3c.com/cn/res/201309/06/20130906_1666844_image002_699920_30004_0.png
如上图所示,在MPLS网络环境中,在PE与CE之间部署一台物理防火墙。利用逻辑划分的多个防火墙实例来部署多个业务VPN的不同安全策略。这样的组网模式极大的减少了用户拥有成本。随着业务的发展,当用户业务划分发生变化或者产生新的业务部门时,可以通过添加或者减少防火墙实例的方式十分灵活的解决后续网络扩展问题,在一定程度
上极大的降低了网络安全部署的复杂度。
虚拟防火墙具有如下技术特点:
• 每个虚拟防火墙维护自己一组安全区域
• 每个虚拟防火墙维护自己的一组资源对象(地址/地址组,服务/服务组等)
• 每个虚拟防火墙维护自己的包过滤策略
• 每个虚拟防火墙维护自己的ASPF策略、NAT策略、ALG策略
• 限制每个虚拟防火墙占用资源数:防火墙Session以及ASPF Session数目
 

访问量:
此文关键词:利用,虚拟,技术,解决,应用