当前位置:文档之家› 网络安全架构

网络安全架构


Hillstone Networks Inc.
第二章 第 9 页
9
安全架构
QoS(Quality of Service)即“服务质量”。它是指网络为特定流量提供更高 优先服务的同时控制抖动和延迟的能力,并且能够降低数据传输丢包率。当 网络过载或拥塞时,QoS 能够确保重要业务流量的正常传输。
第二章 第 10 页
第二章 第 14 页
Hillstone Networks Inc.
14
安全架构
Hillstone Networks Inc.
第二章 第 15 页
安全架构
Hillstone安全网关支持混合模式,可以根据需要将接口绑定到二层或三层安全域。
定义访问策略时,必须定义二层域之间或三层域之间的访问策略,如需二层域和三层域之间访问,需通过 VSwitchif实现三层转发,对应策略为VSwitchif所绑定安全域到所访问三层安全域间策略。
第二章 第 20 页
Hillstone Networks Inc.
20
安全架构
Hillstone Networks Inc.
第二章 第 21 页
安全架构
第二章 第 22 页
Hillstone Networks Inc.
安全架构
Hillstone Networks Inc.
第二章 第 23 页
安全架构
♦ 安全域绑定到VSwitch或者VRouter。二层安全域绑定到VSwitch,三层安全 域绑定到VRouter。由此,也实现了接口与VSwitch 或者VRouter 的绑定。
Hillstone Networks Inc.
第二章 第 13 页
13
安全架构
接口允许流量进出安全域。因此,为使流量能够流入和流出某个安全域,必 须将接口绑定到该安全域,并且,如果是三层安全域,还需要为接口配置IP 地址。然后,必须配置相应的策略规则,允许流量在不同安全域中的接口之 间传输。多个接口可以被绑定到一个安全域,但是一个接口不能被绑定到多 个安全域。
第二章 第 6 页
Hillstone Networks Inc.
6
安全架构
访问控制是防火墙的基本功能,防火墙应该可以通过定制策略规则对流经的网络流量进行控制。
Hillstone Networks Inc.
第二章 第 7 页
7
安全架构
网络地址转换(Network Address Translation)简称为NAT,是将IP 数据包包 头中的IP 地址转换为另一个IP 地址。当IP 数据包通过路由器或者安全网关时 ,路由器或者安全网关会把IP 数据包的源IP 地址和/或者目的IP 地址进行转 换。在实际应用中,NAT 主要用于私有网络访问外部网络或外部网络访问私 有网络的情况。
一个在线式安全产品必须能转发收到的流量。SA安全网关在每个端口上跟踪MAC地址,以便做出智能的转发 。
地址
Hillstone Networks Inc.
第二章 第 5 页
5
安全架构
三层包转发模式下,数据包通过路由表进行转发,Hillstone安全网关支持静态路由、RIP、OSPF以及BGP。
第二章 第 8 页
Hillstone Networks Inc.
8
安全架构
VPN的英文全称是“Virtual Private Network”,即“虚拟专用网络”。VPN通过专用加密协议在连 接到Internet上的位于不同地方的两个或多个企业内部网之间建立一条专有 的通讯线路,就好比是架设了一条专线一样。虚拟专用网可以帮助远程用户 、公司分支机构、商业伙伴及供应商同公司的内部网建立可信的安全连接, 并保证数据的安全传输。
♦ 保证VoIP 应用,如SIP 和H.323 等,在NAT 模式下的正常工作,并能够根据 安全策略要求,进行监控和过滤。
第二章 第 18 页
Hillstone Networks Inc.
18
安全架构
Hillstone Networks Inc.
第二章 第 19 页
安全架构
1. 识别数据包的逻辑入接口,可能是一般无标签接口,也可能是子接口。从而确定数据包的源安全 域。 2. StoneOS 对数据包进行合法性检查。如果源安全域配置了攻击防护功能,系统会在这一步同时进 行攻击防护功能检查。 3. 会话查询。如果该数据包属于某个已建立会话,则跳过4 到9,直接进行第10 步。 4. 目的NAT(DNAT)操作。如果能够查找到相匹配的DNAT 规则,则为包做DNAT 标记。因为路由查 询需要DNAT 转换的IP 地址,所以先进行DNAT操作。 5. 路由查询。StoneOS 的路由查询顺序从前到后依次为:源接口路由(SIBR)>源路由(SBR)>目的 路由(DBR)>ISP 路由。 此时,系统得到了数据包的逻辑出接口和目的安全域。 6. 策略查询。系统根据数据包的源安全域、目的安全域、源IP 地址和端口号、目的IP 地址和端口号 以及协议,查找策略规则。如果找不到匹配的策略规则,则丢弃数据包;如果找到匹配的策略规则 ,则根据规则指定的行为进行 处理,分别是: • 允许(Permit):允许数据包通过。 • 拒绝(Deny):拒绝数据包通过。 • 隧道(Tunnel):将数据包转发到指定的隧道。 • 是否来自隧道(Fromtunnel):检查数据包是否来自指定的隧道,如果是,则允许通过,如果不 是,则丢弃。 7. 第一次应用类型识别。系统根据策略规则中配置的端口号和服务,尝试识别应用类型。 8. 源NAT(SNAT)操作。如果能够查找到相匹配的SNAT 规则,则为包做SNAT 标记。 9. 会话建立。 10. 如果需要,进行第二次应用类型识别。根据数据包的内容和流量行为再次对应用类型进行精确 识别。 11. 应用层行为控制。根据确定的应用类型,系统将在此执行配置的Profile 组和ALG 功能。 12. 根据会话中记录的信息,例如NAT 标记等,执行相应的处理操作,并且将数据包转发到出接口 。
第二章 第 16 页
Hillstone Networks Inc.
16
安全架构
Hillstone Networks Inc.
第二章 第 17 页
17
安全架构
一些应用程序采用多通道数据传送,如常见的FTP,其控制通道和数据通道 是分开的。在严格安全策略控制条件下的安全网关,就有可能对每种数据通 道进行严格限制,例如只允许从内网到外网的FTP 数据在知名的TCP 21 号端 口上进行传输,一旦FTP 主动模式下,在公网上的FTP 服务器试图主动连接 内网主机的随机端口,安全网关就会进行拦截,此时FTP 无法正常工作。这 就要求安全网关足够智能以正确处理严格安全策略下合法应用的随机性。在 FTP 的实例中,安全网关通过分析FTP控制通道上传送的信息,得知服务器与 客户端达成一致,服务器将主动连接客户端的某端口,安全网关就能临时的 打开一条通道,使FTP 正常工作。
Hillstone Networks Inc.
10
安全架构
Hillstone Networks Inc.
第二章 第 11 页
安全架构
第二章 第 12 页
Hillstone Networks Inc.
安全架构
如上图所示,接口、安全域、VSwitch 和VRouter 之间的绑定关系如下:
♦ 接口绑定到安全域。绑定到二层安全域的接口为二层接口,绑定到三层安 全域的接口为三层接口。
StoneOS 采用最严格的NAT 模式。一些VoIP 应用在进行NAT 穿越时,由于IP 地址和端口号的改变可能导致VoIP 无法正常工作,ALG 技术在此时将保证 NAT地址转换后,VoIP 应用能够正常通信。因此,应用层网关提供以下功能 :
♦ 在严格的安全策略规则下,利用应用层网关ALG 技术,保证多通道应用程 序正常的通信,如FTP、TFTP、PPTP、RTSP、RSH、MSRPC、SUNRPC和 SQLNET。
第二章 第 24 页
Hillstone Networks Inc.
安全架构
Hillstone Networks Inc.
第二章 第 25 页
安全架构
第二章 第 26 页
Hillstone Networks Inc.
安全架构
Hillstone Networks Inc.
第二章 第 27 页
安全架构
第二章 第 28 页
Hillstone Networks Inc.
安全架构
Hillstone Networks Inc.
第二章 第 29 页
安全架构
第二章 第 30 页
Hillstone Networks Inc.
安全架构
Hillstone Networks Inc.
第二章 第 1 页
安全架构
第二章 第 2 页
Hillstone Networks Inc.
安全架构
Hillstone Networks Inc.
第二章 第 3 页
安全架构
第二章 第 4 页
Hillstone Networks Inc.
安全架构
相关主题