思科下一代防火墙集群技术

防火墙集群,简单说就是将多台防火墙捆绑使用,可以按照需要新增或减少防火墙以调整防火墙集群整体性能。

在网络建设初期,防火墙设备选型是个非常头痛的问题。我们必须明确现有网络中的业务流量模型以及未来可能出现的数据流增长,这样才能够准确定位需要购买防火墙的性能指标。

对于当前业务流量,我们可以通过网管及流量分析软件来获取相关信息,但是对于未来业务增长带来的流量变化,往往很难预测。谁都不愿意买台防火墙,结果发现半年由于业务增长而无法使用了。那么如何解决呢?传统的解决办法通常是预估性能时就高不就低,提前购买较为高端的设备。这样必然会导致长时间设备资源的浪费,增大了初期投资。“思科下一代防火墙集群”技术正好能够非常好的解决这个问题。用户无需购买昂贵的高端设备,只需照顾到现有业务及短期增长来选择购买,初期投入非常低。如果业务流量后期没有太大的变化,那么完全没有浪费。如果业务增长了,并达到设备性能瓶颈。那么只需再购买设备加入集群,提高集群的处理能力即可。实现了非常好的投资保护。

防火墙集群在业界很早就有这种说法,那为什么叫思科“下一代”防火墙集群?

我们来看一下传统防火墙的集群,通常有以下几种方式。

1. 通过负载均衡器来对多台防火墙进行负载均担。

在前些年,这种集群方式还比较普遍。通常是由负载均衡器对多台防火墙进行负载均衡,通过这种方式来解决单台防火墙瓶颈。这种方式的好处是,能够通过多台防火墙同时工作来提高性能。缺点是加入了负载均衡器,导致额外的设备管理及故障点,同时增加了投资。另外多台防火墙没有统一管理界面,需要独立管理,独立监控统计,独立的排障。

近些年,随着防火墙性能的提升,防火墙的性能已经达到甚至超过了负载均衡器。如果仍然采用这个方案,可能负载均衡器就成为了性能瓶颈,根本无法起到性能扩展的作用。

2. 无需负载均衡器防火墙直接集群。

之前有些厂家提供了无需负载均衡器,仅仅通过防火墙来组成的集群方案。但这些方案里,往往在流量负载均衡上存在着缺陷。通常是集群里选择一台防火墙作为负载均衡器使用(这点借用了防火墙负载均衡的思路)或者是通过组播方式将流量复制到集群内所有防火墙上,然后由各自防火墙进行选择性处理。这类集群方式,虽然有一定的性能扩展能力,但是不可避免的存在负载均衡性能瓶颈点或者扩展能力很低的问题。

为了解决传统防火墙集群方式出现的问题,思科推出了下一代防火墙集群。思科的下一代防火墙集群有以下特点:

更经济的线性弹性性能扩展

思科的下一代防火墙集群通过“无状态负载均衡”的方式来实现集群内防火墙的流量负载均担。

什么是无状态负载均衡?传统的负载均衡器是要记录会话表的,所以是状态负载均衡。而路由器及路由交换机的等价路由或者策略路由、链路捆绑都可以实现多链路的流量负载均衡,我们称这种链路负载均衡的方式为无状态的。很明显,这种流量分担的方式的优点是转发速度快,在单链路出现故障时流量切换快。

如下图,防火墙集群部署在两台路由设备中间。流量通过等价路由,策略路由或者链路捆绑方式分担到防火墙。当需要性能扩展时,并联新的防火墙在网络中即可。性能扩展非常方便。

 

在此方案中数据流的均衡,依靠对端交换机或路由器的链路捆绑算法或者等价路由、策略路由算法来完成。当出现链路故障出现流量异步时,思科下一代集群利用自有的防火墙寻回算法,自动将流量送回有对应会话的火墙进行处理。同时,如果对端路由设备链路负载均担算法不够均匀(当然通常可以通过调整无状态负载均担的算法避免这个问题的出现)。群内防火墙也可以按照设定,自动负载均衡到其他防火墙,解决了负载均衡不均的问题,使方案近乎完美。

整个方案使用无状态负载均衡的方式,分担流量到集群内每台防火墙,没有负载均衡性能瓶颈。集群处理性能随着加入防火墙的数量实现了线性增长。

更灵活的防火墙多活冗余

为了避免在防火墙出现故障时造成的业务影响,通常我们都会选择冗余部署。传统的防火墙冗余方式使用两台防火墙主备冗余或者双活方式。思科的“下一代防火墙集群”可以很容易将原来的两台防火墙的双活模式扩展为三活、四活到最大8台设备同时工作在主用状态。

我们以8台举例,群内每台防火墙都是主用状态,防火墙之间使用8备8方式。任何1台防火墙的会话,均匀的备份到其他防火墙上。如果这台防火墙出现故障,7台防火墙同时帮忙处理这台防火墙的业务流量,能够实现无缝切换,不会有业务影响。

在添加火墙到集群或者从集群剔除过程中,同样业务没有影响。并且可以实现无缝防火墙软件升级。

借鉴思科成熟的VPC技术,“思科下一代防火墙集群”技术实现了集群内多个防火墙的多链路捆绑,我们称之为“跨机箱链路捆绑”技术(scEC: span-clustering EC)。它能够把集群内多个防火墙的链路捆绑在一个Ethernet Channel,通过这种方式防火墙集群可以与对端路由交换机的VPC或者VSS对接,实现数据流全路的“设备及链路多虚一”,从而避免了生成树影响。

下图是下一代防火墙集群与思科数据中心交换机Nexus的VPC互联的方案:

 

更完备的单点管理方式

当多台防火墙部署集群时,为了方便管理,通常维护人员都希望能够通过一个管理界面统一管理群内所有防火墙。“思科下一代防火墙集群”非常好的实现了统一管理。这其中包括了单点配置、单点查看各种统计信息、日志。另外,能够实现基于群的故障查询,例如,群内抓取数据包,查看群内数据包处理流程,会话查询等等。完全像管理一个防火墙一样方便。

“思科下一代防火墙集群”能够对防火墙的吞吐、新建会话、并发连接、NAT连接进行性能扩展。能够提供更高的多活冗余方式,实现单台设备故障的无缝切换。同时能够提供非常完美的统一管理。

集群适用于大部分防火墙部署场景,包括当前的热点“双活数据中心”的安全部署,能够通过集群对多个数据中心统一提供安全保护。

利用“思科下一代防火墙集群技术”,我们在初期采购时,可以按照现有业务需求,采购两台防火墙,将两台组成集群。在享受到集群给部署带来的统一管理,快速无缝切换的好处的同时。还能够在后期业务增长,现有防火墙性能不够时,通过购买新的防火墙动态加入集群,提高防火墙集群的扩展能力。降低了TCO的同时也极大提高了ROI,是非常好的防火墙部署方式的选择。