山石网科防火墙安全架构技术分析.pptxVIP

第二章 安全架构 Hillstone安全设备部署 通过完成此章节课程，您将可以： 了解网络安全设备的用途 理解StoneOS系统架构 理解StoneOS数据包处理流程 章节目标 议程：安全架构 网络安全产品功能需求 StoneOS 系统架构 Hillstone安全网络平台产品 网络安全产品需要具备的功能 网络安全设备应该具有下列功能: Frame/packet 转发 Bridging (Layer 2)、Routing (Layer 3) 网络地址转换（NAT） SNAT、DNAT VPN IPSec VPN SSL VPN QoS 基于IP的流量管理 基于应用的流量管理 访问控制/攻击防护 状态检测：IP, TCP/UDP, 应用层 攻击防护：防Dos，防网络扫描、防地址欺骗、防ARP Layer 2 Frame Forwarding (Bridging and Switching) 透明桥接功能: MAC学习功能 (通过源MAC) Forward, flood, and filter (通过目的MAC) Layer 2 frame forwarding MAC Address Table 001d.7294.e5f6 [E0/1] [E0/2] 001d.097f.9ad8 Destination Address Port 001d.7294.e5f6 E0/1 001d.097f.9ad8 E0/2 Layer 3 Packet Forwarding (Routing) 通过目的IP转发IP数据包 维护一张路由表 静态路由，默认路由，ISP路由 动态路由(RIP, OSPF,BGP) 策略路由 0 0 [E0/2] /24 Network Int. Gateway /24 E0/1 /24 E0/2 /24 E0/2 /16 E0/3 Route Table [E0/1] /24 /24 /24 [E0/3] /24 /24 网络地址转换（NAT） NAT Trusted Untrusted SRC-IP 2 DST-IP 19527 SRC-Port 80 DST-Port 6 Protocol SRC-IP 2 VPN 提供穿越Internet的私有安全通道 Encapsulation Encryption Authentication IPSec VPN SSL VPN L2TP QoS 保证关键业务流量 QoS应用前关键业务受到冲击 QoS应用后关键业务受到保护 访问控制 状态检测技术，通过策略过滤数据包 IP (source address, destination address, protocol) TCP/UDP (port #) APP policy 攻击防护 提供下列保护: Secure Defender Anti ARP Spoofing Denial-of-service攻击 Deep Packet Inspection scanning（ Signature-based ） URL Filter P2P、IM IPS Anti-virus 议程：安全架构 网络安全产品功能需求 StoneOS 系统架构 Hillstone安全网络平台产品 基本防火墙拓扑 通常情况下，一台安全设备有多个物理接口，但防火墙功能隔离了每个接口之间的互通流量。 StoneOS系统架构 StoneOS系统架构由以下部分组成: Interfaces Virtual Switch Virtual Router Zones L2 Zone L3 Zone Policy StoneOS系统架构图 图例 特点一 缺省，接口加入zone之后无法互通 特点二 如果两个接口属于两个不同的zone，需要通过配置policy策略来放行流量； 特点三 如果两个接口属于相同的zone，也需要通过配置policy策略放行流量 特点四 如果一个接口属于zone，一个不属于zone，则不能互通 图例 特点一 缺省，接口加入zone之后无法互通 特点二 如果两个接口属于两个不同的zone，需要通过配置policy策略来放行流量； 特点三 如果两个接口属于相同的zone，也需要通过配置policy策略放行流量 特点四 如果一个接口属于zone，一个不属于zone，则不能互通 Zone 与 Vswitch、Vrouter 关系 接口、安全域、VS、VR之间严格的等级架构 L2-Zones绑定到virtual switch L3-Zones绑定到virtual router Interfaces绑定到security zone 一个接口只能绑定到一个安全域 一个安全域可以包含一个或多个接口 绑定到L2-Zone 的接口为L2-inte