山石網(wǎng)科防火墻安全架構(gòu)_第1頁(yè)
山石網(wǎng)科防火墻安全架構(gòu)_第2頁(yè)
山石網(wǎng)科防火墻安全架構(gòu)_第3頁(yè)
山石網(wǎng)科防火墻安全架構(gòu)_第4頁(yè)
山石網(wǎng)科防火墻安全架構(gòu)_第5頁(yè)
已閱讀5頁(yè),還剩28頁(yè)未讀, 繼續(xù)免費(fèi)閱讀

下載本文檔

版權(quán)說(shuō)明:本文檔由用戶提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請(qǐng)進(jìn)行舉報(bào)或認(rèn)領(lǐng)

文檔簡(jiǎn)介

第二章安全架構(gòu)Hillstone安全設(shè)備部署通過(guò)完成此章節(jié)課程,您將可以:了解網(wǎng)絡(luò)安全設(shè)備的用途理解StoneOS系統(tǒng)架構(gòu)理解StoneOS數(shù)據(jù)包處理流程章節(jié)目標(biāo)議程:安全架構(gòu)網(wǎng)絡(luò)安全產(chǎn)品功能需求StoneOS系統(tǒng)架構(gòu)Hillstone安全網(wǎng)絡(luò)平臺(tái)產(chǎn)品網(wǎng)絡(luò)安全產(chǎn)品需要具備的功能網(wǎng)絡(luò)安全設(shè)備應(yīng)該具有下列功能:Frame/packet轉(zhuǎn)發(fā)Bridging(Layer2)、Routing(Layer3)網(wǎng)絡(luò)地址轉(zhuǎn)換(NAT)SNAT、DNATVPNIPSecVPNSSLVPNQoS基于IP的流量管理基于應(yīng)用的流量管理訪問(wèn)控制/攻擊防護(hù)狀態(tài)檢測(cè):IP,TCP/UDP,應(yīng)用層攻擊防護(hù):防Dos,防網(wǎng)絡(luò)掃描、防地址欺騙、防ARPLayer2FrameForwarding

(BridgingandSwitching)透明橋接功能:MAC學(xué)習(xí)功能(通過(guò)源MAC)Forward,flood,andfilter(通過(guò)目的MAC)Layer2frameforwardingMACAddressTable001d.7294.e5f6 [E0/1] [E0/2]

001d.097f.9ad8DestinationAddressPort001d.7294.e5f6E0/1001d.097f.9ad8E0/2Layer3PacketForwarding(Routing)通過(guò)目的IP轉(zhuǎn)發(fā)IP數(shù)據(jù)包維護(hù)一張路由表靜態(tài)路由,默認(rèn)路由,ISP路由動(dòng)態(tài)路由(RIP,OSPF,BGP)策略路由00[E0/2]/24NetworkInt.Gateway/24E0/1/24E0/2/24E0/2/16E0/3RouteTable[E0/1]/24/24/24[E0/3]/24/24網(wǎng)絡(luò)地址轉(zhuǎn)換(NAT)NATTrustedUntrustedSRC-IP2DST-IP19527SRC-Port80DST-Port6ProtocolSRC-IP2DST-IP1025SRC-Port80DST-Port6ProtocolInternet2VPN提供穿越Internet的私有安全通道EncapsulationEncryptionAuthenticationIPSecVPNSSLVPNL2TPQoS保證關(guān)鍵業(yè)務(wù)流量QoS應(yīng)用前關(guān)鍵業(yè)務(wù)受到?jīng)_擊QoS應(yīng)用后關(guān)鍵業(yè)務(wù)受到保護(hù)訪問(wèn)控制狀態(tài)檢測(cè)技術(shù),通過(guò)策略過(guò)濾數(shù)據(jù)包IP(sourceaddress,destinationaddress,protocol)TCP/UDP(port#)APPpolicySource-IPDestination-IP21312Source-Port80Destination-Port6Protocolgethttp1.1Data攻擊防護(hù)提供下列保護(hù):SecureDefenderAntiARPSpoofingDenial-of-service攻擊DeepPacketInspectionscanning(Signature-based)URLFilterP2P、IMIPSAnti-virus議程:安全架構(gòu)網(wǎng)絡(luò)安全產(chǎn)品功能需求StoneOS系統(tǒng)架構(gòu)Hillstone安全網(wǎng)絡(luò)平臺(tái)產(chǎn)品基本防火墻拓?fù)渫ǔG闆r下,一臺(tái)安全設(shè)備有多個(gè)物理接口,但防火墻功能隔離了每個(gè)接口之間的互通流量。StoneOS系統(tǒng)架構(gòu)StoneOS系統(tǒng)架構(gòu)由以下部分組成:InterfacesVirtualSwitchVirtualRouterZonesL2ZoneL3ZonePolicyStoneOS系統(tǒng)架構(gòu)圖圖例特點(diǎn)一缺省,接口加入zone之后無(wú)法互通特點(diǎn)二如果兩個(gè)接口屬于兩個(gè)不同的zone,需要通過(guò)配置policy策略來(lái)放行流量;特點(diǎn)三如果兩個(gè)接口屬于相同的zone,也需要通過(guò)配置policy策略放行流量特點(diǎn)四如果一個(gè)接口屬于zone,一個(gè)不屬于zone,則不能互通圖例特點(diǎn)一缺省,接口加入zone之后無(wú)法互通特點(diǎn)二如果兩個(gè)接口屬于兩個(gè)不同的zone,需要通過(guò)配置policy策略來(lái)放行流量;特點(diǎn)三如果兩個(gè)接口屬于相同的zone,也需要通過(guò)配置policy策略放行流量特點(diǎn)四如果一個(gè)接口屬于zone,一個(gè)不屬于zone,則不能互通Zone與Vswitch、Vrouter關(guān)系接口、安全域、VS、VR之間嚴(yán)格的等級(jí)架構(gòu)L2-Zones綁定到virtualswitchL3-Zones綁定到virtualrouterInterfaces綁定到securityzone一個(gè)接口只能綁定到一個(gè)安全域一個(gè)安全域可以包含一個(gè)或多個(gè)接口綁定到L2-Zone的接口為L(zhǎng)2-interface綁定到L3-Zone的接口為L(zhǎng)3-interface綁定到三層安全域的接口可以配置IP地址及管理服務(wù)L3-ZoneVirtualRouterL2-ZoneVirtualSwitchZonesandInterfacesInterfaceZoneL3-ZoneIPL3-InterfaceL2-ZoneMAC(Autoconfig)L2-InterfaceL3-InterfaceL3-ZoneVRouterZone與Interface應(yīng)用案例L2-Interface4L2-Zone3VSwitch2Vswitchif2L2-Interface2L2-Zone2VSwitch1Vswitchif1L3-Zone2VRouterL3-Zone1L2-Interface1L2-Zone1L2-Interface5L3-Interface3StoneOS包轉(zhuǎn)發(fā)FlowUntrustZoneTrustZone/24B/24DMZZone.254/24/24.1 .254.1 .254/24/24PacketFlowExample(1of3)WebServerPacketFlowExample(2of3)SRC-IPDST-IP1025SRC-Port80DST-Port6Protocol1.已經(jīng)建立會(huì)話? NoAddressPair Protocol PortPair (nomatch)SessionTable2.查找路由,目標(biāo)可達(dá)? YesNet Int NHR

/24 E1 (connected)/24 E2 (connected)/24E7 (connected)/24

E1

54/24 E2

54/0

E8

54RoutingTable3.Zone內(nèi)或Zone間的流量? YesInt Zone E1 trustE2 trustE7 dmzE8 untrustZoneTablePacketFlowExample(3of3)5.策略允許通過(guò)? YesFromtrusttountrustSA DA Service Action/16 any FTP permit/16 any HTTP permit/16 any ping permitany any any denyAction:PermitSRC-IPDST-IP1025SRC-Port80DST-Port6Protocol創(chuàng)建會(huì)話AddressPair Protocol PortPair

6 102580SessionTable4.源NAT? YesSA DA /16 any轉(zhuǎn)換為出接口IP

狀態(tài)檢測(cè)狀態(tài)檢測(cè):基于選定類型檢測(cè)IP包的內(nèi)容來(lái)決定轉(zhuǎn)發(fā)或丟棄包基于IP包中多個(gè)字段來(lái)保持IP通訊的狀態(tài)通過(guò)檢測(cè)的新通訊接著添加到狀態(tài)表中只有在IP包與先前建立的通訊相關(guān)聯(lián)時(shí),非初始包才會(huì)被允許比包過(guò)濾提供了更高的安全性比應(yīng)用代理要快得多ApplicationLayerGatewaysALGs特定協(xié)議的行為個(gè)別的請(qǐng)求/響應(yīng)“命令動(dòng)態(tài)的端口開(kāi)放/關(guān)閉請(qǐng)求舉例:FTPH.323SIPSunRPC ALG用于自動(dòng)適應(yīng)復(fù)雜協(xié)議支持協(xié)議定義的多個(gè)端口/方向在每會(huì)話的基礎(chǔ)上開(kāi)放/關(guān)閉“pinholes”ALG舉例FTP議程:安全架構(gòu)網(wǎng)絡(luò)安全產(chǎn)品功能需求StoneOS系統(tǒng)架構(gòu)Hillstone安全網(wǎng)絡(luò)平臺(tái)產(chǎn)品Hilltone全系列新一代多核安全網(wǎng)關(guān)SG-6000-M/G/XSG-6000-X6150HSM/HSA小結(jié)在本章中講述了如下內(nèi)容:安全網(wǎng)絡(luò)設(shè)備所需具備的功能StoneOS系統(tǒng)架構(gòu)StoneOS數(shù)據(jù)包處理流程問(wèn)題1、Hillstone安全網(wǎng)絡(luò)設(shè)備具備的幾大功能?2、StoneOS系統(tǒng)架構(gòu)由接口、安全域、vswitch和vrouter組成,它們之間的關(guān)系?(回顧系統(tǒng)架構(gòu)圖中的問(wèn)題)1、接口究竟選擇什么類型的安全域?2、三層域下面的兩個(gè)接

溫馨提示

  • 1. 本站所有資源如無(wú)特殊說(shuō)明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請(qǐng)下載最新的WinRAR軟件解壓。
  • 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請(qǐng)聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶所有。
  • 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁(yè)內(nèi)容里面會(huì)有圖紙預(yù)覽,若沒(méi)有圖紙預(yù)覽就沒(méi)有圖紙。
  • 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
  • 5. 人人文庫(kù)網(wǎng)僅提供信息存儲(chǔ)空間,僅對(duì)用戶上傳內(nèi)容的表現(xiàn)方式做保護(hù)處理,對(duì)用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對(duì)任何下載內(nèi)容負(fù)責(zé)。
  • 6. 下載文件中如有侵權(quán)或不適當(dāng)內(nèi)容,請(qǐng)與我們聯(lián)系,我們立即糾正。
  • 7. 本站不保證下載資源的準(zhǔn)確性、安全性和完整性, 同時(shí)也不承擔(dān)用戶因使用這些下載資源對(duì)自己和他人造成任何形式的傷害或損失。

評(píng)論

0/150

提交評(píng)論