山石网科防火墙安全架构

第二章安全架构Hillstone安全设备部署通过完成此章节课程，您将可以：了解网络安全设备的用途理解StoneOS系统架构理解StoneOS数据包处理流程章节目标议程：安全架构网络安全产品功能需求StoneOS系统架构Hillstone安全网络平台产品网络安全产品需要具备的功能网络安全设备应该具有下列功能:Frame/packet转发Bridging(Layer2)、Routing(Layer3)网络地址转换（NAT）SNAT、DNATVPNIPSecVPNSSLVPNQoS基于IP的流量管理基于应用的流量管理访问控制/攻击防护状态检测：IP,TCP/UDP,应用层攻击防护：防Dos，防网络扫描、防地址欺骗、防ARPLayer2FrameForwarding

(BridgingandSwitching)透明桥接功能:MAC学习功能(通过源MAC)Forward,flood,andfilter(通过目的MAC)Layer2frameforwardingMACAddressTable001d.7294.e5f6 [E0/1] [E0/2]

001d.097f.9ad8DestinationAddressPort001d.7294.e5f6E0/1001d.097f.9ad8E0/2Layer3PacketForwarding(Routing)通过目的IP转发IP数据包维护一张路由表静态路由，默认路由，ISP路由动态路由(RIP,OSPF,BGP)策略路由00[E0/2]/24NetworkInt.Gateway/24E0/1/24E0/2/24E0/2/16E0/3RouteTable[E0/1]/24/24/24[E0/3]/24/24网络地址转换（NAT）NATTrustedUntrustedSRC-IP2DST-IP19527SRC-Port80DST-Port6ProtocolSRC-IP2DST-IP1025SRC-Port80DST-Port6ProtocolInternet2VPN提供穿越Internet的私有安全通道EncapsulationEncryptionAuthenticationIPSecVPNSSLVPNL2TPQoS保证关键业务流量QoS应用前关键业务受到冲击QoS应用后关键业务受到保护访问控制状态检测技术，通过策略过滤数据包IP(sourceaddress,destinationaddress,protocol)TCP/UDP(port#)APPpolicySource-IPDestination-IP21312Source-Port80Destination-Port6Protocolgethttp1.1Data攻击防护提供下列保护:SecureDefenderAntiARPSpoofingDenial-of-service攻击DeepPacketInspectionscanning（Signature-based）URLFilterP2P、IMIPSAnti-virus议程：安全架构网络安全产品功能需求StoneOS系统架构Hillstone安全网络平台产品基本防火墙拓扑通常情况下，一台安全设备有多个物理接口，但防火墙功能隔离了每个接口之间的互通流量。StoneOS系统架构StoneOS系统架构由以下部分组成:InterfacesVirtualSwitchVirtualRouterZonesL2ZoneL3ZonePolicyStoneOS系统架构图图例特点一缺省，接口加入zone之后无法互通特点二如果两个接口属于两个不同的zone，需要通过配置policy策略来放行流量；特点三如果两个接口属于相同的zone，也需要通过配置policy策略放行流量特点四如果一个接口属于zone，一个不属于zone，则不能互通图例特点一缺省，接口加入zone之后无法互通特点二如果两个接口属于两个不同的zone，需要通过配置policy策略来放行流量；特点三如果两个接口属于相同的zone，也需要通过配置policy策略放行流量特点四如果一个接口属于zone，一个不属于zone，则不能互通Zone与Vswitch、Vrouter关系接口、安全域、VS、VR之间严格的等级架构L2-Zones绑定到virtualswitchL3-Zones绑定到virtualrouterInterfaces绑定到securityzone一个接口只能绑定到一个安全域一个安全域可以包含一个或多个接口绑定到L2-Zone的接口为L2-interface绑定到L3-Zone的接口为L3-interface绑定到三层安全域的接口可以配置IP地址及管理服务L3-ZoneVirtualRouterL2-ZoneVirtualSwitchZonesandInterfacesInterfaceZoneL3-ZoneIPL3-InterfaceL2-ZoneMAC(Autoconfig)L2-InterfaceL3-InterfaceL3-ZoneVRouterZone与Interface应用案例L2-Interface4L2-Zone3VSwitch2Vswitchif2L2-Interface2L2-Zone2VSwitch1Vswitchif1L3-Zone2VRouterL3-Zone1L2-Interface1L2-Zone1L2-Interface5L3-Interface3StoneOS包转发FlowUntrustZoneTrustZone/24B/24DMZZone.254/24/24.1 .254.1 .254/24/24PacketFlowExample(1of3)WebServerPacketFlowExample(2of3)SRC-IPDST-IP1025SRC-Port80DST-Port6Protocol1.已经建立会话? NoAddressPair Protocol PortPair (nomatch)SessionTable2.查找路由,目标可达? YesNet Int NHR

/24 E1 (connected)/24 E2 (connected)/24E7 (connected)/24

E1

54/24 E2

54/0

E8

54RoutingTable3.Zone内或Zone间的流量? YesInt Zone E1 trustE2 trustE7 dmzE8 untrustZoneTablePacketFlowExample(3of3)5.策略允许通过? YesFromtrusttountrustSA DA Service Action/16 any FTP permit/16 any HTTP permit/16 any ping permitany any any denyAction:PermitSRC-IPDST-IP1025SRC-Port80DST-Port6Protocol创建会话AddressPair Protocol PortPair

6 102580SessionTable4.源NAT? YesSA DA /16 any转换为出接口IP

状态检测状态检测:基于选定类型检测IP包的内容来决定转发或丢弃包基于IP包中多个字段来保持IP通讯的状态通过检测的新通讯接着添加到状态表中只有在IP包与先前建立的通讯相关联时，非初始包才会被允许比包过滤提供了更高的安全性比应用代理要快得多ApplicationLayerGatewaysALGs特定协议的行为个别的请求/响应“命令动态的端口开放/关闭请求举例：FTPH.323SIPSunRPC ALG用于自动适应复杂协议支持协议定义的多个端口/方向在每会话的基础上开放/关闭“pinholes”ALG举例FTP议程：安全架构网络安全产品功能需求StoneOS系统架构Hillstone安全网络平台产品Hilltone全系列新一代多核安全网关SG-6000-M/G/XSG-6000-X6150HSM/HSA小结在本章中讲述了如下内容:安全网络设备所需具备的功能StoneOS系统架构StoneOS数据包处理流程问题1、Hillstone安全网络设备具备的几大功能？2、StoneOS系统架构由接口、安全域、vswitch和vrouter组成，它们之间的关系？(回顾系统架构图中的问题）1、接口究竟选择什么类型的安全域？2、三层域下面的两个接