上海XX数据中心场景-山石防火墙替换

一、项目背景挑战

1.客户现状

现阶段数据中心防火墙性能瓶颈使用防火墙，当前主要存在两个问题

①每周末公司都会固定执行漏扫检查，在大规模漏扫下，防火墙性能成为瓶颈。

②因为医疗企业特性，日常业务中最重要的为HIS开发业务，业务特征为大SMB流量传输，防火墙造成业务访问问题，到了需要客户研发经常手动重置HIS开发业务才能恢复。

2.客户核心JOB

①墙性能满足业务需求（设计80Gbps，实际峰值53.76Gbps）

②墙业务稳定及高可用（HA明确指标，双机切换下丢包数小于10个）

③墙升级后，覆盖原有防火墙核心功能、策略策略成功迁移（ACL策略条目2400+ ）；

④满足日常运维需求，融入现有监控和网络排障（zabbix对接和ACL日志存储溯源）

二、网络架构建设思路

2.1 建设思路

3.2网络架构设计

三、实战过程与攻克难点

3.1网络架构的调整

• 设备高可用部署
  
  

防火墙采用主备模式部署，确保在主设备出现故障时，备设备可快速切换接管业务，有效避免单点故障导致的服务中断。

• 链路高可用配置
  
  

核心交换机与防火墙之间，通过百G光口采用交叉聚合的方式实现互联。提升链路的整体带宽，更能在单条链路发生故障时，借助聚合机制保障数据传输不中断，增强链路层面的稳定性。

• 部署高可靠保障
  
  

流量精准引流：核心交换机与防火墙之间通过子接口进行通信，每个子接口对应特定业务区域的流量。同时，部署 OSPF 路由协议，实现对各区域流量的精准引导，确保业务流量按预期路径通过防火墙，满足安全防护与流量管控需求。

故障应急兜底：若防火墙出现全部故障的极端情况，通过路由调整、将自动切换至默认路由转发流量。通过这一应急机制，可在防火墙不可用期间保障核心业务的连续性，降低故障对业务的影响。

3.2配置翻译

  通过配置翻译工具对山石的防火墙配置进行翻译，针对网络对象、服务、ACL配置进行翻译，山石8w+行配置翻译加核对时间5天，ACL策略2400+

• 替换中遇到问题1：在ACL翻译中、友商原本配置中存在部分ACL中存在部分策略是通过应用方式识别的 【不同厂商对应用的定义不同，识别的准确度也不同】
• 解决方案：
  
  

         第一步：手动核对，针对友商中存在的服务名称，人工判断在深信服侧对应的服务，

         第二步：针对人工无法拿准的应用，根据友商设备策略的五元组，抓包在设备上回访，确认应用的类型；

• 替换中遇到问题2：配置中存在超过网络对象数量限制的ip对象，
• 解决方案：
  
  

         第一步：针对配置报错内容，手动调整网络对象，将友商的网络对象创建多个地址对象，再创建地址组ACL策略引用；

         第二步：使用CIDR 聚合工具在线工具 将网络对象中左右的地址放入做合并 能聚合的写网段实现

四、替换心得

     通过配置翻译工具，可以大幅度提成配置翻译的效率，但是需要有以下几项需要人工确认，保障尽可能一次上线成功

• 抽样人工校验：变更前需要人工对每一类配置进行抽样核对，确保每一类随机抽样的不能有任何错误；
• 策略模拟匹配：针对替换做策略抽样的模拟匹配，确保抽样的模拟匹配和现在运行的防火墙匹配预期一致；
• 业务验证明细：替换前梳理需要验证的业务，变更前后验证业务状态的变化，变更前后验证结果保持一致；