L3-Zone
Zone与Interface应用案例
L2-Interface1
L2-Zone1 VSwitch1
L2-Interface2
L2-Zone2
Vswitchif1
L3-Zone1
VRouter
L3-Interface3
L2-Interface4
L2-Zone3 VSwitch2
L2-Interface5
Layer 2 Frame Forwarding (Bridging and Switching)
• 透明桥接功能: MAC学习功能 (通过源MAC) Forward, flood, and filter (通过目的MAC) Layer 2 frame forwarding
001d.7294.e5f6
1025
80
Address Pair 10.1.20.5 200.5.5.5
Protocol 6
Port Pair 1025 80
状态检测
状态检测:
• 基于选定类型检测IP包的内容来决定转发或丢弃包 • 基于IP包中多个字段来保持IP通讯的状态 – 通过检测的新通讯接着添加到状态表中 – 只有在IP包与先前建立的通讯相关联时，非初始包才会被 允许 • 比包过滤提供了更高的安全性 • 比应用代理要快得多
3、介绍StoneOS处理包的Flow过程？
Q/A
| Hillstone Confidential
[E0/1]
[E0/2]
001d.097f.9ad8
MAC Address Table Destination Address
001d.7294.e5f6
Port
E0/1
001d.097f.9ad8
E0/2
Layer 3 Packet Forwarding (Routing)
• 通过目的IP转发IP数据包 维护一张路由表 • 静态路由，默认路由，ISP路由 • 动态路由(RIP, OSPF,BGP) • 策略路由
Application Layer Gateways
• ALGs 特定协议的行为 • 个别的请求/响应 “命令 • 动态的端口开放/关闭请求 • 举例： – FTP – H.323 – SIP – Sun RPC ALG 用于自动适应复杂协议 • 支持协议定义的多个端口/方向 • 在每会话的基础上开放/关闭 “pinholes”
L2-Zone
Virtual Switch
L3-Zone
Virtual Router
Zones and Interfaces
Interface
Zone
(Auto config)
MAC
L2-Interface
L2-Zone
L3-Interface
L3-Zone VRouter
IP
L3-Interface
接口、安全域、VS、VR之间严格的等级 架构 L2-Zones绑定到virtual switch L3-Zones绑定到virtual router Interfaces绑定到security zone • 一个接口只能绑定到一个安全 域 • 一个安全域可以包含一个或多 个接口 • 绑定到L2-Zone 的接口为L2interface • 绑定到L3-Zone 的接口为L3interface 绑定到三层安全域的接口可以配置 IP地址及管理服务
图例
特点一 缺省，接口加入zone之后无法互通 特点二 如果两个接口属于两个不同的zone， 需要通过配置policy策略来放行流量； 特点三 如果两个接口属于相同的zone，也 需要通过配置policy策略放行流量 特点四 如果一个接口属于zone，一个不属 于zone，则不能互通
Zone 与 Vswitch、Vrouter 关系
Vswitchif2
L3-Zone2
StoneOS 包转发Flow
Packet Flow Example (1 of 3)
10.1.10.0/24
.1 .254
Trust Zone
10.1.1.0/24
Untrust Zone
.254
Web Server
10.1.10.5
200.5.5.5
202.1.1.0/24
Source-IP
Destination-IP
Protocol
Source-Port
Destination-Port
Data
10.2.1.2
203.1.2.3
6
21312
80
get http 1.1
攻击防护
• 提供下列保护: • Secure Defender – Anti ARP Spoofing • Denial-of-service攻击 • Deep Packet Inspection scanning（ Signaturebased ） – URL Filter – P2P、IM – IPS – Anti-virus
6
1025
80 Session Table
1. 已经建立会话? No
2. 查找路由,目标可达? Yes
Address Pair (no match)
Protocol Port Pair
Routing Table Net Int 10.1.1.0/24 E1 10.1.2.0/24 E2 172.16.1.0/24 E7 10.1.10.0/24 E1 10.1.20.0/24 E2 0.0.0.0/0 E8 Int E1 E2 E7 E8 Zone trust trust dmz untrust NHR (connected) (connected) (connected) 10.1.1.254 10.1.2.254 202.1.1.254
第二章 安全架构
章节目标
• 通过完成此章节课程，您将可以：
– 了解网络安全设备的用途 – 理解StoneOS系统架构 – 理解StoneOS数据包处理流程
议程：安全架构
网络安全产品功能需求 • StoneOS 系统架构 • Hillstone安全网络平台产品
网络安全产品需要具备的功能
• 网络安全设备应该具有下列功能: Frame/packet 转发 • Bridging (Layer 2)、Routing (Layer 3) 网络地址转换（NAT） • SNAT、DNAT VPN • IPSec VPN • SSL VPN QoS • 基于IP的流量管理 • 基于应用的流量管理 访问控制/攻击防护 • 状态检测：IP, TCP/UDP, 应用层 • 攻击防护：防Dos，防网络扫描、防地址欺骗、防ARP
QoS
• 保证关键业务流量
QoS应用前关键 业务受到冲击
QoS应用后关 键业务受到保 护
访问控制
• 状态检测技术，通过策略过滤数据包 IP (source address, destination address, protocol) TCP/UDP (port #) APP policy
StoneOS系统架构图
图例
特点一 缺省，接口加入zone之后无法互通 特点二 如果两个接口属于两个不同的zone， 需要通过配置policy策略来放行流量； 特点三 如果两个接口属于相同的zone，也 需要通过配置policy策略放行流量 特点四 如果一个接口属于zone，一个不属 于zone，则不能互通
10.1.20.0/24
10.1.2.0/24
172.16.1.0/24
.1
.254
10.1.20.5
DMZ Zone
172.16.1.5
B
Packet Flow Example (2 of 3)
SRC-IP DST-IP Protocol SRC-Port DST-Port
10.1.20.5
200.5.5.5
SRC-IP DST-IP
DA any any any any
Service FTP HTTP ping any
Action permit permit permit deny
DST-Port
Action: Permit 创建会话
Protocol
SRC-Port
10.1.20.5
200.5.5.5
6 Session Table
小结
在本章中讲述了如下内容 : 安全网络设备所需具备的功能 StoneOS系统架构 StoneOS数据包处理流程
问题
1、Hillstone安全网络设备具备的几大功能？ 2、StoneOS 系统架构由接口、安全域、vswitch和 vrouter组成，它们之间的关系？ (回顾系统架构图中的问题）
Int.
E0/1 E0/2 E0/2 E0/3
Gateway
0.0.0.0 0.0.0.0 10.2.2.2 10.3.3.3
网络地址转换（NAT）
Untrusted 201.1net
202.108.33.32
SRC-IP DST-IP Protocol SRC-Port DST-Port SRC-IP DST-IP Protocol SRC-Port DST-Port
3. Zone内或Zone间的流量? Yes
Zone Table
Packet Flow Example (3 of 3)
4. 源NAT ? Yes
SA 10.1.0.0/16 DA any 转换为 出接口IP
5. 策略允许通过? Yes
From trust to untrust SA 10.1.0.0/16 10.1.0.0/16 10.1.0.0/16 any
10.1.1.5
202.108.33.32