本帖最后由 山东_朱文鑫 于 2022-9-23 22:50 编辑
大家好,我是大白,正所谓立志欲坚不欲锐,成功在久不在速。优质的帖子也在尽力中提供,也希望各位道友多多支持,让我引劫渡劫成功哈哈哈。
大白队口号就是:砸锅卖铁我最行,拼死拼活就要赢!!!!!!!!!!!!
今天不做部署案例分享了,按照这几天发的新深信服防火墙新架构的帖子,好多人问的就是虚拟机系统的使用以及新老架构之前除了虚拟系统这些东西还有什么区别,什么是新架构,新架构到底是怎样等等这些问题,在不断的私信我,原本打算晚些进行分享一下,既然这样方便大家尽快的学习使用,我今天就分享一下深信服防火墙的新老架构的变更原因差异吧。
新架构的被提出的原因:
1.网关类产品升级更新慢 各产品线使用单独的OS系统,没有统一的OS平台,很多产品能力无法复用;各产品线研发做重复的OS级别的开发工作,产品开发效率低
2.老OS可靠性相对较低 因老OS架构内核调试难度高,产品稳定性提升有限;因老OS架构内核调试难度高,产品扩展能力不足
3.产品特定功能不支持 AF产品因为老OS架构的原因不支持硬件一虚多,部分项目无法参与;AF产品因为老OS架构的原因不支持BFD协议,双机稳定性无法达到业内领先水平;AF产品因为老OS内核原因,“业务口+管理口”最多支持32个,部分项目无法参与
新架构介绍:
Sangfor OS
Sangfor OS 是深信服创新研究院、中央平台部及网关类产品线联合打造,为网关类产品研发的安全操作系统。 Sangfor OS基于多核并行处理和DPDK转发技术研发,保障深信服下一代防火墙在开启多种安全功能情况下始终保持强劲的威胁处理性能。 Sangfor OS安全操作系统实现安全检测平面和网络转发平面独立运行,构建分层、异步并发处理流程体系,实现深信服下一代防火墙产品自身高可靠性,保证生产网络的高可用。
新架构的"BUFF"加成有哪些:
AF采用卓越的Sangfor OS操作系统,基于多核并行处理架构和DPDK技术,在复杂网络流量下开启多种安全功能后始终保持高处理性能。同时,Sangfor OS操作系统实现安全检测平面和网络转发平面的独立运行,确保AF产品在极端特殊应用场景下依然保证稳定可靠。
1.补齐业内部分通用产品功能(AF应用应用Sangfor OS后,老架构不支持的硬件一虚多、双机BFD、带外管理、部分IPv6功能均可以实现) 2.提供统一共用的底层平台(公司中台部门负责通用OS系统的开发和维护,AF产品线专注产品个性化业务功能开发,提高产品演进和硬件适配效率) 3.产品性能提升(AF应用Sangfor OS后,网络层小包吞吐量、新建连接数、IPSec VPN等性能提升明显,可降低商务成本适配更多特殊应用场景) 4.产品可靠性更高(Sangfor OS采用架构解耦和平面分离设计,并提供核心进程热备和产品过载保护,大幅提升产品可靠性)
主要功能区别:
老架构默认优先级是: SSLVPN路由 > VPN路由 > 静态路由 、直连路由 > 动态路由 > 策略路由 > 默认路由。 老架构开启与专线互备后的优先级是: SSLVPN路由 > 静态路由 、直连路由 > 动态路由 > 策略路由 > VPN路由 > 默认路由。
路由优先级-新架构 新架构默认优先级是:直连路由 > 策略路由 > SSLVPN路由 > VPN路由 > 目的路由(静态路由 、动态路由)> 默认路由。去除了开启与专线互备后的开关,并且增加了自定义模式,策略路由分成两个策略路由表,可以调整两个 策略路由表的优先级,实现与VPN专线互备的功能。 配置路径:【系统】-【通用配置】-【网络参数】
源进源出-老架构(老架构的源进源出与接口、策略路由有关系)
源进源出-新架构 新架构的 源进源出 只与接口有关。在接口上配置逆向路由,则保持数据包源进源出,与其他配置无关,在外网有多条线路需要做端口映射时,对应接口必须勾选逆向路由。
等价路由-新架构 新架构新增支持到目的网络度量值一样的等价路由,根据源目IP哈希算法进行路由选路。
版本升级-新架构 新架构版本升级不再支持升级客户端升级,仅支持web页面进行升级,升级包为.bin格式包,升级完成后不会自动重启,可在合适的时候在页面进行手动重启进入升级完成的版本。 配置路径:【系统】-【系统维护】-【系统升级】
版本回滚-新架构 新架构版本支持版本回滚,可以回滚到升级完成前的上一个版本。 配置路径:【系统】-【系统维护】-【系统升级】
补丁更新-新架构 新架构SP补丁包和KB包也是.bin格式包,同样是通过界面来进行补丁更新,也支持针对更新的补丁进行回滚操作。 配置路径:【系统】-【系统维护】-【补丁更新】
命令行工具-老架构 老架构页面命令行工具只支持部分命令。
命令行控制台-新架构 WEB页面命令行控制台可在Web页面使用SFCLI对设备进行配置操作、配置查看等操作,使用方式完全同通过SSH登录SFCLI,需要执行“login 管理员名”之后进行后续配置、查看等操作(需要先在管理员账号中勾选对应管理员命令行权限);离开页面后将退出登录,再次进入页面需重新登录。 配置路径:【系统】-【排障】-【命令行控制台】(支持大部分设备配置命令)
IPv6支持-老架构
老架构如需支持IPv6,需要在网络参数中勾选“启用IPV4/IPV6双协议栈”功能,然后才能进行对应接口及其他配置。
IPv6支持-新架构 新架构已经全面支持IPv6,无需单独开启,可直接在接口配置中进行设置。 配置路径:【网络】-【接口】
IPv6支持-新架构
VPN权限放通-新架构 新架构需要给vpntun口划分区域,并进行对应的应用控制策略权限放通才能够访问vpn资源,sslvpn如果启用了L3vpn资源,也需要针对sslvpntun口划分区域并放通对应权限。
目的地址转换-新架构 老架构DNAT的目的IP需要配置在接口上才能生效,不然不回复arp请求。 新架构DNAT的与老架构最大区别,在于DNAT的目的IP不需要配置在接口上,在DNAT里面已经是一个资源池,会进行自动进行arp代理,回复在DNAT段IP的arp请求。
高可用性-新架构
新架构的心跳口分为控制链路和数据链路:控制链路用于双机之间心跳保活报文发送。如果没有配置数据链路,则该链路也用于同步配置和会话;数据链路通常只用于双机之间进行配置同步和会话同步,在配置了控制链路且控制链路故障的情况下,也承担双机之间心跳保活报文发送的工作。(只有心跳接口时,心跳和同步的流量均走控制链路,有数据链路和控制链路时,心跳流量走控制链路,同步流量走数据链路。如果任何一类链路发生故障,则其功能会切换到另一类链路上承担)。
新架构在高可用性中开启“镜像模式”和老架构一样是将所有的配置包括接口同步给备控(老架构可以通过接口地址添加-HA来不同步该地址,新架构不支持,只有带外管理口的IP和心跳IP(控制链路和数据链路)不同步,其他IP配置均同步)。
新架构在没有启用“镜像模式”时接口配置不会进行同步,需要在双机热备配置中新增虚IP来进行通信,设备接口上配置的实际IP地址也是可以正常使用的,而虚IP是浮动在主机设备上,在双机切换时跟随主机切换。
新架构通过“管理对端设备”去管理双机的对端设备时,是通过控制链路口登录的对端,所以需要在对端控制链路接口上开启WEBUI管理功能。
OSPF-老架构 老架构OSPF动态路由里v2和v3是在一起配置,重发布支持直连路由、RIP路由、静态路由和默认路由。
OSPF-新架构
新架构OSPF动态路由里v2和v3需要分别进行配置,同时分为基础配置和高级配置。
OSPFv2路由重发布支持直连路由、静态路由、默认路由、BGP、RIP和VPN路由。
OSPFv3路由重发布支持直连路由、静态路由、默认路由、BGP
OSPFV2
OSPFV3
新增功能项:
域名对象
在应用控制策略中对域名对象进行引用,针对域名来进行应用控制。
配置路径:【策略】-【访问控制】-【应用控制策略】
虚拟系统
新增虚拟系统,从逻辑上将一台AF设备划分为多个虚拟系统。每个虚拟系统相当于一台真实的设备,有自己的接口、基础对象、路由表项以及策略,并可通过虚拟系统管理员进行独立配置和管理。
配置路径:【系统】-【虚拟系统】-【虚拟系统管理】
虚拟系统支持列表:
带外管理:
新架构新增带外管理,带外管理可以很好的将客户的业务网络与管理网络进行路由隔离,并配置指定的流量匹配指定的路由进行转发,当前新架构的带外管理只能在eth0口上,在eth0口填写下一跳地址后,就会产生默认路由。
带外管理是利用内核ip rule特性,定义两条路由表策略250和251,经过内核管理口的打上fwmark 0x1000的标记就去查询250路由表,这样就可以把管理口与业务口的路由隔离,不再冲突,将报文打上fwmark的过程是利用iptables规则,在查路由前会打上标记,同时查路由之后发包又会去除标记,保证了源进源出。
带外管理对接:
对于管理口收包方向的报文,有iptables与ip rule规则来保证源进源出,但对于管理口发包方向的报文就没有机制来保障了,因此利用fwmark标记,将需要走管理口发包的模块报文打上fwmark 0x1000标记查找250路由表,需要走业务口发包的模块报文打上fwmark 0x1001标记查询251路由表(默认“自动”不打标记先查询251路由表再查询250路由表,也就是默认优先走业务口)。
SDWAN选路
新增SDWAN选路功能,可以根据配置的选路模式和线路质量,自动为Sangforvpn的应用选择最合适的线路。
配置路径:【网络】-【Sangfor/IPSecVPN】-【SDWAN配置】-【SDWAN选路模板】
SOFAST优化设置
新增SOFAST优化设置,SOFAST优化致力于降低业务应用丢包率,提高传输类应用的传输速度,从而提升业务体验,使得普通线路承载的应用的体验能媲美专线,减少企业运维成本。
配置路径:【网络】-【Sangfor/IPSecVPN】-【SDWAN配置】-【SOFAST优化设置】
应用分类:
新增应用分类,定义相关业务应用,用于在SDWAN选路时进行引用。
配置路径:【网络】-【Sangfor/IPSecVPN】-【SDWAN配置】-【应用分类】
IPSEC支持SM2/SM3/SM4算法
IPSec VPN中证书认证算法支持SM2,加密算法支持SM3和SM4。
配置路径:【网络】-【Sangfor/IPSecVPN】-【通用配置】-【证书请求】/【网络】-【Sangfor/IPSecVPN】-【IPSec VPN配置】
链路探测:
新增链路探测菜单页面,可对接口进行链路探测配置,同时新增支持BFD链路探测方式。
配置路径:【对象】-【链路探测】
新架构:
老架构:
BDF链路探测
BFD链路探测主要应用于静态路由、动态路由以及双机组建等需要进行链路检测的功能模块中,启用动态路由中BFD功能直接启用后就能使用链路探测中对应接口配置好的BFD功能。
本地环回接口
新增本地环回接口,是一个普通虚拟三层口,永不会down掉。
配置路径:【网络】-【接口】-【本地环回接口】
NTP密钥
新增NTP密钥功能,可以配置时间同步服务器NTP密钥。
配置路径:【系统】-【通用设置】-【NTP密钥】
系统时间
新增和多个时间服务器同步功能,并支持选择NTP密钥。
配置路径:【系统】-【通用设置】-【系统时间】
本机数据流分析
新增本机数据流分析功能,对于目的地址是本机的流量,单独有一个本机数据流分析模式,专门用于本机的入向流量分析。
配置路径:【系统】-【排障】-【故障排查】-【本机数据流分析】
抓包工具
新增支持循环抓包,需要配置保存文件的个数和每个文件保存的抓包数。抓包文件数超过设置的文件数时会覆盖掉最前面的文件,最终只保留设置的文件个数,常用于排查偶现的网络问题。最长运行24小时,如果没有手动停止,超过24小时会自动停止该任务。
配置路径:【系统】-【排障】-【分析工具】-【抓包工具】 暂不支持功能:
主动诱捕:
新架构
老架构
蜜罐联动防护
新架构
老架构
光BYPASS口
新架构:
老架构:
永久删除功能
老架构:
业务模型学习监督
老架构:
服务器访问认证
老架构:
风险分析
老架构:
网站防篡改
老架构:
数据泄密防护
老架构:
信任的证书颁发机构
老架构:
升级日志
老架构:
以上就是本次的深信服防火墙新老架构差异化分享说明,感谢大佬们的参阅,此贴先到这里后续会带上更加实用的帖子,感谢大家!
励志分享超清壁纸语句~~:
好的今天就到这里,老样子,感谢各位大神的参阅,孩子为了挣豆子不容易,孩子家里穷没豆子吃饭了!!!  | 
楼主
发表于 2022-9-28 15:43
技术研究员3级 
