当前位置 博文首页 > 优质网络系统领域创作者的博客:如何实现思科新一代FPR防火墙零
“思科FPR防火墙目前已广泛部署应用于各大数据中心,承载关键应用的数据转发及4层安全防护;但是其底层物理机系统与虚拟机系统分离的物理设计架构,在面临如软件版本升级等问题时如何确保业务零中断,是防火墙运维人员需要着重考虑的问题;本文发布之日前FPR系列防火墙的软件版本升级还未有先例,因此本文对于即将面临升级问题的广大运维/厂商人员将提供参考指导”
01
—
FRP防火墙物理架构剖析
FirePower系列防火墙是思科的下一代防火墙(Next-Generation Firewalls),Gartner统计截止2019年第四季度FPR处于魔力四象限的领导者位置:
FirePower防火墙相较于传统防火墙而言能够提供部署多种安全平台:
ASA with FirePower service:
NG-IPS(Next-Generation Intrusion Prevention Systems)
AMP(Advanced Malware Protection)
FMC(Firepower Management Center)
FTD(Firepower Threat Defense)
NG-IPS(Next-Generation Intrusion Prevention Systems)
AMP(Advanced Malware Protection)
FMC(Firepower Management Center)
ASA(Adaptive Security Appliance):
Adaptive Security Device manager
Cisco Security manager
Cisco defense Orchestractor
目前各数据中心中已部署的FPR绝大多数都是使用ASA平台,而这些安全平台都是基于FPR物理设备而建立的虚拟机(相当于vmware虚拟机与宿主机的关系);需要注意的是同一台FPR物理机中可以建立多个虚拟机(相同/不同平台),需要在物理机中给不同的虚拟机分配物理资源及license资源。
02
—
FPR防火墙升级需求及面临问题
通常情况下防火墙升级的需求有以下几点:
设备软件版本EOL(end of life)
设备命中已知/未知bug,业务可能面临重大风险
计划内升级(根据厂商推荐升级至更加稳定可靠的版本)
FPR防火墙因为其物理架构设计的特殊性在升级时将要面临更多的问题和需求:
FPR的FXOS和ASA软件版本是否需要同步升级?(思科Nexus交换机的kickstart版本与NXOS版本需要配套一起升级,FPR是否有相同问题)
升级FXOS时是否需要将ASA虚拟机关闭/铲掉
升级FXOS和ASA后license是否需要重新生效
一组设备中备机完成升级后,主备机软件版本不一致,failover是否能正常建立?连接表、ARP表等是否能同步?failover是否能正常切换?
03
—
FPR防火墙升级测试
针对以上升级需求及问题,我们在测试环境中进行了FRP4110防火墙的升级测试:
测试拓扑图:
测试过程及结果
a. 首先对FPR4110-02的FXOS进行升级,不关闭ASA虚拟机
升级结果:FXOS升级后ASA可以正常登录,检查各种状态均为正常
b. 对FRP4110-02上的ASA进行升级
升级结果:ASA升级后可以正常启动
c. 检查主备机failover状态是否正常,备机在新版本下的各种表项是否正常
图片
检查结果:failover可以正常建立
d. 完成主备机failover状态切换操作
检查结果:failover可以正常切换
e. 完成FPR4110-01FXOS软件版本升级操作
升级结果:FXOS升级后ASA可以正常登录,检查各种状态均为正常
f. 完成FPR4110-01ASA软件版本升级操作
升级结果:ASA升级后可以正常启动
g. 完成主备机failover状态回切
回切结果:failover可以正常回切
为了验证整个升级过程中failover状态反复切换及设备重启对现网的业务流量不会产生,整个测试过程中都开启从外对内的长ping操作(策略中放开icmp any any)
04
—
测试小结
根据以上的测试情况记录可得出如下结果:
FPR系列产品底层系统FXOS与上层应用系统ASA的版本是完全无关的,FXOS与ASA的软件版本互相独立
此信息在思科的官网中得到验证:https://www.cisco.com/c/en/us/td/docs/security/firepower/fxos/compatibility/fxos-compatibility.html
FPR系列产品上层ASA软件版本在差异较小的情况下,failover可以正常建立、failover可以正常切换(如果版本差异过大则需要摆渡版本)
验证方法:测试环境中仅通过ping测试进行验证,此验证方法在某种程度上说是无意义的,数据中心的实际业务流是及其复杂多变的,因此在实际实施过程中还有可能遇到未知的故障
cs