第五章产品介绍和部署

第五章

云格产品介绍和部署HCSA-V培训2016/7云格产品介绍“山石云·格”架构简介HS

vSSM提供防火墙、IPS,APPID等安全功能HSvSCM对vSSM的统一管理和配置UserVM客户的应用虚机HSvSOM与第三方云管平台通讯，管理服务生命周期第三方云管平台第三方云管平台虚拟安全管理模块(vSOM)虚拟安全控制模块(vSCM)虚拟安全业务模块(vSSM)云格三剑客：vSSM：一体化2-7层防护vSCM：主控及可视化管理vSOM：支持vCenter、OpenStackSSMSSMIOMIOMSCM(M)SCM(B)SX系列全分布式硬件防火墙SX系列正面SX系列反面部署模式旁路部署：关注虚机层面的应用／流量／威胁的可视性，不做控制透明串接：在可视的基础上做控制和威胁隔离一次部署，两种模式可任意切换；用户可以先旁路，然后根据需要选择是否透明串接HypervisorHypervisorHypervisorHypervisorHypervisorHypervisor旁路部署对用户业务完全无影响旁路部署对用户业务完全无影响HypervisorHypervisorHypervisorHypervisorHypervisorHypervisor透明串接不改变用户网络结构透明串接不改变用户网络结构“山石云•格”阻断威胁的横向扩展“山石云•格”可以保护占数据中心东西向流量，阻止攻击在内部横向蔓延；防止感染主机从内部向外发起攻击?

?

Internet南北向流量?东西向流量“山石云•格”支持的安全功能应用识别全新一代基于应用特征、行为和关联信息的应用识别支持应用类别、风险等级等多维度的应用定义多达几千种的应用特征库应用特征库支持网络实时更新可视化支持虚拟机资产发现、支持对流量、应用、威胁的统计支持对接入服务的虚拟机进行全方位的网络监控支持会话日志、威胁日志、系统日志等以逻辑拓扑图的方式展示可视化效果防火墙基于深度应用识别的访问控制支持ALG支持会话限制攻击防护多种畸形报文攻击防护SYN

Flood、DNS

Query

Flood等多种DoS/DDoS攻击防护支持ARP攻击防护入侵防御基于状态、精准的高性能攻击检测和防御实时攻击源阻断、IP屏蔽、攻击事件记录支持针对HTTP、SMTP、IMAP、POP3、VOIP、NETBIOS等20余种协议和应用的攻击检测和防御支持缓冲区溢出、SQL注入和跨站脚本攻击的检测和防护支持自定义入侵防御特征提供预定义防御配置模板特征库支持网络实时更新支持专业的Web

Server防护功能，含CC攻击防护和外链防护等部署模式支持透明串接和旁路模式部署、无需改变现有的虚拟机配置和网络结构通过vSSM提供安全服务、服务容量可随用户需求增长而扩展用户的虚拟机可被随时加入或者移出安全服务统一系统管理高可用性（HA）支持双主控管理平面（vSOM）、控制平面（vSCM）、安全服务平面（vSSM）完全分离，保障业务稳定运行单块vSSM出现故障后对整机无影响、接入该vSSM的虚拟机业务自动脱离自动化适应支持虚拟机的vMotion支持动态地址簿，实现基于虚拟机的提供7000多种特征的攻击检测和防御，访问策略虚拟化平台支持Vmware性能参数基础配置（2个vSSM）单个vSSM扩展能力（1个vSSM）最高配置（200个vSSM）防火墙吞吐10Gbps5Gbps1Tbps最大并发连接340万170万3.4亿每秒新建（HTTP）6万3万600万IPS吞吐2Gbps1Gbps200Gbps云格产品特性网络侧微隔离技术L2-L7的集成安全防护，NGFW、IPS、WAF二层部署，拓扑零打扰资产、流量、应用、威胁可视化全分布式系统，一个设备、一个界面、一套策略、一个会话表虚拟化环境自感知、自动化部署、动态迁移防护业务二次包装二次消费灵活的销售方式网络侧微隔离产品形态：独立业务虚机之外的软件实体系统级完全虚机每个组件都需要一个虚机资源安装Virtual

SwitchvSSMvSCMvSOMVM3物理服务器用户价值：可视：资产发现可视，东西向流量/应用/威胁，应用链业务链安全：阻断东西向南北向威胁适配性强：，与业务虚机的操作系统无关影响小：部署安装对业务虚机影响小殉难机率低：业务虚机被攻陷，云格仍旧正常工作抗抵赖：在业务虚机上可擦除非法操作，但无法擦除留在云格上的痕迹！Virtual

SwitchvSSMVM1VM2VM3物理服务器L2-L7集成式防护用户价值：一次引流，全面防控减少故障点：引流次数少拓扑简单Virtual

SwitchvSSMVM1VM2VM3物理服务器All

in

ONE应用识别访问控制IPSWAF阻断木马、蠕虫病毒等恶意代码传播二层部署，拓扑零打扰传统防火墙和竞品VLAN2/24VM1VM3VM2VLAN1/24三层部署。VLAN内、广播域内不能隔离部署过程要断网需改虚机默认网关VM1VM3VM2V1LAN1/16VLAN1/16Default

gateway：防护前防护后Default

gateway：防护前Default

gateway：防护后Default

gateway：二层部署。VLAN内、广播域内能隔离。部署过程引发不断网无需改虚机默认网关One

World

One

Cloud

Hive一个设备、一个策略、一个会话表vSSMVMavSSMvSSMVMcVMbMvSCMvSO

vSCM管理域其他方案VMbVMc管理域配置vma、c不能互访安装安装N次！安装1次！物理机VM1a物理机n物理机1物理机n不考虑迁移，先找物理机1或n、再配置！•保证迁移，在所有物理机上配置N次！只在vSCM上基于vm进行配置，一次！只在vSCM上基于vm进行配置，一次！透明的设备，安全的安全设计思路VMaVMcVMb生产域听说设备新来了安全，在哪里呢？vSSMvSSMvSSMvSCMvSOM

vSCM管理域二层部署vSSM无IP地址子模块无IP地址整个设备仅有单一管理IP地址管理访问全加密透明部署不可见所有组件唯一管理地址，生产域不可见访问全加密，更安全“山石云·格”让云内部流量看得见，管得到！App_NetDB_NetWeb_NetExternal_NetUser_NetVM

1VM

2VM

3VM

4VM

5VM

6当用户虚机迁移的时候源服务器源服务器目的服务器目的服务器vMotion/在线切换策略下发服务准备保护迁移统一的策略部署保证虚机安全功能的一致性动态的会话同步保证应用不受干扰安全策略随虚机迁移无需人工介入1安装vSOM2自动发现主机3自动安装4自动发现虚机5制定保护策略云格环境自感知、自动化部署第三方云管平台虚拟安全管理模块(vSOM)虚拟安全控制模块(vSCM)虚拟安全业务模块(vSSM)①③②⑤③

④产品特性优势小结品类：分布式、网络侧、微隔离产品多模合一：分布式架构，多个模块如一人工作多能合一：集成多种功能、一次引流入口唯一：一点登陆、掌控全局全局唯一：虚机策略唯一、会话表唯一只要一种API：只要管理API，不需要vMSafe和NSX即可实现安全功能问题一．云·格由哪几类组件组成？分别是什么？二．云·格部署方式有几种？请列举三．在vMware环境下安装是否需要NSX组件？

四．虚机迁移策略是否能够随动？业务是否中断？五．云·格产品属于什么品类？云格产品模块介绍模块介绍23vSOM：负责云格的管理vSCM：云格的大脑，业务核心模块

vSSM：1.云格业务处理模块2.虚机的接口卡韩继1幻灯片23韩继1韩继,2016/5/16系统架构24韩继1幻灯片24韩继1韩继,2016/5/16云格产品—vSOM安装安装过程介绍VESA支持security和tapping安装模式。以security模式为例，流程如下：//通过OVA文件部署//配置vSOM的管理地址//vSOM对vCenter的认证//创建云格引流所虚拟交换机//上传STONE

OS至VMware存储//生成vSCM、vSSM虚拟机模板vSOM模板部署配置地址认证创建网络文件上传到数据存储模板虚拟机生成板卡虚拟机写入板卡虚拟机环境变量配置vSOM的NAT重新启动adapter26部署vSOM

OVA文件图形化：仅需在vSOM控制台下做一条命令行配置云格产品—云格安装安装图形化，自适配、少出错、四步完成安装网络检测功能启动云格系统安装vSSM安全服务透视镜升级就两步图形化小结可以做到只用一次命令行，只用一个命令（配置IP、网关和NDS）只有两个图形化入口，常用只一个同一IP地址，不同端口号vSOM安装一个界面1%使用概率配置都在vSCM上99%使用概率安全登录控制全部Https访问分布式架构优势之在线升级vSSM不中断客户价值原地升级不需备机原地升级不需再购vSSM升级不丢防护升级不中断业务Virtual

SwitchVM1VM2VM3物理服务器vSCM（S）vSCM（A）2同步3引流4升级vSSM（old）1新增vSSM（new）5释放问题一．云格产品安装需要几步？二．升级包括几种方式？请列举三．ISSU是什么？四．云格升级业务是否中断？五．图形化采用什么协议进行登录管理？云格产品配置目录123云格实现原理添加保护对象配置安全策略4攻击防护5IPS6VMotion7特征库升级云格实现原理介绍12云格保护模式云格旁路模式云格保护部署模式Hillstone

vSSMHillstone

vSSMVM01VM02VM03VM04VM05VM06VM..VM..将虚N拟E在T机0每1V加M个入0物2保的理护保机之护上中移除将1个虚“将命拟山虚用机令石拟户V行云机M网0实·0络格14和/和现”0V5虚安虚/M0拟全60机所2机服加加处准务入保的备虚保用护拟护户！机中网部络署保护策略虚交换机端口组主机虚机VM10Vlan

10VM20Vlan

20E0/0.10E0/1.20E0/0.10E0/1.20vswitch1vswitch1TrunkTAG

10TrunkTAG

20云格保护模式实现原理保护后保护前云格旁路部署模式Hillstone

vSSMHillstone

vSSMVM01VM02VM03VM04VM05VM06VM..VM..“山石云用·格户”网安络全和服虚务拟虚机拟准机备部署1个命令在行每实个物现理云机格上旁路部署！云格旁路模式实现原理旁旁路路后前添加保护对象123添加保护对象删除保护对象显示保护对象4添加例外对象5删除例外对象添加保护对象所有的保护对象的添加可以直接在云格WEBUI下进行操作。默认配置下所有的虚拟机都是未在云格的保护下。根据资源的类型，在云格中为虚拟机、vSphere标准交换机端口组、

vSphere分布式交换机的端口组添加保护。保护对象类型虚拟机：指定虚拟机网络：所连接标准交换机、分布式交换机的虚拟机添加保护对象添加“虚拟机”类型保护对象添加保护对象添加“网络”类型保护对象删除保护对象根据资源的类型，在云格中停止为虚拟机类型对象、网络类型对象进行保护。配置安全策略123安全策略基础配置安全策略配置对象安全策略基础配置安全策略配置对象策略规则策略规则分为两部分：过滤条件和行为流量的源安全域/源地址、目的安全域/目的地址、服务和应用类型、角色用户、时间表构成策略规则的过滤条件。行为，包括允许（Permit）、拒绝（Deny）两个行为。策略匹配顺序：从列表由上至下（不是按照ID号大小匹配）根据流量的过滤条件进行匹配，系统会对流量按照找到的第一条与过滤条件相匹配的策略规则进行处理。系统缺省的策略是拒绝所有流量。注:理解策略的匹配顺序非常重要安全策略基础配置安全策略配置对象议程：安全策略配置策略规则（WebUI）策略点击『新建』创建访问控制策略过滤条件动作行为配置策略规则（CLI）进入策略配置模式，在全局配置模式下使用以下命令：policy-global：进入策略配置模式后，执行以下命令创建策略规则：rule[id

id][top

|

before

id|

after

id]

[role

{UNKNOWN

|role-name}

|user

aaa-server-name

user-name

|

user-group

aaa-server-nameuser-group-name]

from

src-addr

to

dst-addr

service

service-name{permit

|denyid

id

–指定策略规则的ID。系统可以自动分配一个IDtop

|

before

id

|

after

id

–指定策略规则的位置默认情况下，系统会将新创建的策略规则放到所有规则的末尾from

src-addr

–指定策略规则的源地址to

dst-addr

–指定策略规则的目的地址service

service-name

–指定策略规则的服务名称permit

|deny

指定策略规则的行为show

policy

[id

id]

[from

src-zone]

[to

dst-zone]id

id

–显示指定ID规则的详细信息from

src-zone

–显示源安全域为指定域的规则的详细信息to

dst-zone

–显示目标安全域为指定域的规则的详细信息检查/移动策略规则移动策略规则位置，在策略配置模式下：moveid

{top

|

bottom

|

before

id

|

after

id}策略>安全策略此策略想禁止对FTP的访问是否可以？安全策略基础配置安全策略配置对象议程：安全策略对象对象模块包括以下信息：地址薄服务薄应用薄时间表用户、AAA服务器及角色监控对象以下介绍前四项配置地址簿（WebUI）对象

>地址簿

点击『新建』按钮创建地址簿服务薄对象>服务簿用户可以查看系统预定义服务CLI：show

service

predefined自定义服务薄（WebUI）对象

>服务簿

点击『新建』按钮应用薄对象>应用簿用户可以查看系统预定义应用，预定义应用可以自动在线升级。CLI：show

application

predefined时间表包含绝对计划和周期计划。（注：较正设备时钟）时间表功能可以使策略规则在指定的时间生效，也可以控制

PPPoE接口与因特网的连接时间、或在QoS流量控制中调用。时间表创建时间表对象>

时间表

点击『新建』创建时间表应用时间表到策略策略点击『新建』创建时间表范围内允许trust到untrust访问的策略调用时间表的策略只在时间范围内生效查看调用时间表的策略已调用时间表的策略，只在时间表范围内生效CLI:

show

policy攻击防护123攻击防护介绍攻击防护配置常用攻击介绍攻击防护介绍网络中存在多种防不胜防的攻击，如侵入或破坏网络上的服务器、盗取服务器的敏感数据、破坏服务器对外提供的服务，或者直接破坏网络设备导致网络服务异常甚至中断。作为网络安全设备的安全网关，必须具备攻击防护功能来检测各种类型的网络攻击，从而采取相应的措施保护内部网络免受恶意攻击，以保证内部网络及系统正常运行。提供基于域或者端口组的攻击防护功能。攻击防护配置对象>攻击防护攻击防护配置常用攻击介绍攻击防护配置（续）配置>安全>攻击防护IPS配置12入侵防御（IPS）介绍入侵防御（IPS）配置基于深度应用识别支持针对HTTP、FTP、SMTP、IMAP、POP3、TELNET、TCP、UDP、DNS、RPC、FINGER、MSSQL、ORACLE、NNTP、DHCP、LDAP、VOIP、NETBIOS、TFTP等多种协议和应用的攻击检测和防御基于深度攻击检测，高精准基于深度应用状态、精准的高性能攻击检测和防御实时攻击源阻断、IP屏蔽、攻击事件记录攻击迅速响应防御最新攻击支持超过7,000种的攻击检测和防御安全专家，安全专员分析，积极应对新攻击支持攻击特征库离线在线更新，定期自动更新入侵防御（IPS）入侵防御系统（Intrusion

Prevention

System）简称IPS，能够实时监控多种网络攻击并根据配置对网络攻击进行阻断等操作。StoneOS的IPS功能在协议分析过程中提取感兴趣的协议元素交给引擎进行准确和快速的特征匹配检测，发现与特征库中特征相匹配的数据包后，系统根据配置处理数据包（记录日志、重置），并产生日志信息报告给管理员。入侵防御（IPS）基于深度攻击检测，高精准基于攻击特征SQL注入缓冲区溢出原理基于跨站原理分析协议完整性分析检查协议异常检查服务器身份隐藏防止权限暴力破解基于应用原理基于攻击特征基于攻击原理入侵防御（IPS）入侵防御（IPS）配置配置IPS功能防护您的网络，需要按照以下步骤进行操作：1.安装IPS许可证，然后重启设备。2.升级IPS攻击特征库。3.创建IPS

Profile。4.将IPS

Profile绑定到安全策略。创建IPS策略对象>入侵防御点击『新建』创建入侵防御策略创建IPS策略（续）策略>安全策略>【新建】或【编辑】点击『高级配置』绑定IPS策略修改IPS协议配置StoneOS提供对每种协议的单独配置，可以根据需要细化协议具体检测。查看IPS攻击日志监控>威胁日志VMotion12vMotion功能云格vMotion工作原理vMotion功能在不停机的情况下将整个正在运行的虚拟机从一台物理服务器迁移到另一台物理服务器。虚拟机会保留其网络标识和连接，它实现了零停机时间和保障了业务连续性，从而确保实现无缝的迁移过程。vMotion工作原理vMotion–在两台ESXi主机上进行在线热迁移云格vMotion过程Hillstone

vSSMHillstone

vSSMVM01VM04VM05VM..VM02VM03VM..VM01vMotion原理vMotion前vMotion后特征库升级12特征库升级原理特征库升级配置特征库升级原理云格由于目前只支持二层或是旁路模式部署，进行东西向流量的防护，因为云格本身不具备三层IP地址，所以云格无法直接通过网络或是Internet进行特征库的升级，这样就导致APP、IPS无法进行特征库的升级。代理方式实现特征库的升级STONE

OSProxy

Serverv