移动WAP网关解决方案之防火墙设计

移动WAP网关解决方案之防火墙设计移动WAP背景介绍WAP:WirelessApplicationProtocol无线应用协议WAP业务：专门为无线终端用户提供的Internet代理应用服务。WAP网关：WAP业务接入设备，位于移动终端与Internet应用服务器之间，为用户提供WAP业务。随着手机移动上网业务的发展，尤其是互联网内容提供商提供越来越多的服务，作为中国移动两大终端接入模式之一的CMWAP承载的业务量突飞猛进。对于WAP网关出口防火墙设备的性能有了更高的要求。目前H3C公司S95E+SecBladeII防火墙板卡解决方案就是为满足WAP业务新特点制定，目前已应用到诺西、爱立信等多家厂商的数十个WAP网关项目中。中国移动WAP网关承载流量主要为手机上网流量，主要包括WAP业务流量及Socket流量。其中WAP流量经过防火墙访问内网负载均衡设备，由负载均衡设备将流量分发至WAP服务器，再由WAP服务器代理，经过防火墙NAT后访问Internet。Socket流量则是直接经过防火墙NAT后访问Internet。WAP网关防火墙设计H3C公司提供的防火墙方案，采用vrrp技术，实现双机框高可靠性的部署。同时采用NAT业务单板插卡的方式，实现整机容量的灵活扩容。因整机容量和商务的不同，目前可以选择的机框有S75E、S95E，已95E为主目前可以选择的NAT业务插卡有SecbladeII、SecbladeIII板卡。防火墙采用串接方式接入CMNET，下联WAP内网交换机。1、防火墙与上下行设备物理互联设计H3C防火墙（交换机机框）通过VRRP与上下行设备互联，互相启用VRRP，一般情况下，交换机机框不提供二层链路，需要上下行设备提供中间二层互联链路，为H3C防火墙（交换机机框）提供VRRP心跳线；2、防火墙VPN设计由于进出防火墙流量都需要经过交换机机框，所以需要对于内外网，以及防火墙处理前后流量做隔离，需要配置VPN完成路由隔离功能。WAP网关防火墙流量与C网NAT相比较为简单，所以只需配置两个VPN，区分防火墙内外网流量即可，GRE解封装后的流量直接在public区域即可；3、WAP网关防火墙插卡的冗余设计WAP网关防火墙交换机机框上的防火墙插卡成对使用，每一对防火墙插卡分别插在主框和备框的对应槽位上，采用主备模式，正常情况下只有一块防火墙卡在工作状态；每一对防火墙插卡进行配置同步，正常情况进行防火墙策略维护时，仅需维护主防火墙就可以，备用防火墙配置会自动与主防火墙同步。每一对防火墙插卡还需进行会话状态同步，在主防火墙故障情况下，备用防火墙替代主用防火墙后不需要重新建立会话。直接依据同步过来的会话进行数据报文转发。4、WAP网关防火墙与CE路由设计WAP网关防火墙与CE之间互联启用VRRP，路由互相用静态路由将下一跳设为对方VRRP虚地址，H3C防火墙可配合CE启用BFD联动静态路由，加快CE侧路由倒换速度。5、NAT设计WAP网关防火墙NAT不需NAT444，只需普通NAT即可，需要注意的是主备机框上的防火墙板卡为1:1备份，NAT地址池配置除level有区别之外，其他完全一致；ALG功能：根据现网应用，此种环境下ALG仅需要开启FTPALG、RTSPALG和PPTPALG，其它ALG功能关闭。