1安全构架讲解.ppt

VPN的英文名称是 “Virtual Prinvate Network”即“虚拟专用网络”。VPN通过专用加密协议在连接到Internet上的位于不同地方的两个或多个企业内部网之间建立一条专有的通讯线路，就好比是假设了一条专线一样。虚拟专用网可以帮助远程用户、公司分支机构、商业伙伴及供应商同公司的内部网机那里可信的安全连接，并保证数据的安全传输。 QoS(Quality of Service)即“服务质量”。它是指网络为特定流量提供更高优先服务的同时控制抖动和延迟的能力，并能够降低数据传输丢包率。当网络过载或拥塞时，QoS能够确保重要业务流量的正常传输。 访问控制是防火墙的基本功能，防火墙应该可以通过定制策略规则对流经的网络流量进行控制 如上图所示，接口、安全域、Vswitch和VRouter之间的绑定关系如下： ◆接口绑定到安全域。绑定到二层安全域的接口为二层接口，绑定到三层安全域的接口为三层接口。 ◆安全域绑定到Vswitch或者VRouter。二层安全域绑定到Vswitch，三层安全域绑定到VRouter。由此也实现了接口与VSwitch或者VRouter的绑定 接口允许流量进出安全域。因此，为使流量能够进入和流出安全域，必须将即接口绑定到该安全域，并且，如果是三层安全域，还需要为接口配置IP地址。然后必须配置相应的策略规则，允许流量在不同安全域中的接口之间传输。多个接口可以被绑定到一个安全域，但是一个接口不能绑定到的多个安全域。 神州数码多核墙支持混合模式，可以根据需要将接口绑定到二层后者三层安全域。 定义访问策略时，必须定义二层域之间或者三层域之间的访问策略，如需二层域和三层域之间访问，需通过VSwitch实现三层转发，对应策略为VSwitchif所绑定安全域到所访问三层安全域间策略 识别数据包的逻辑入接口，可能是一般无标签接口，也可能是子接口。从而确定数据包的源安全域。 2. DCFOS 对数据包进行合法性检查。如果源安全域配置了攻击防护功能，系统会在这一步同时进行攻击防护功能检查。 3. 会话查询。如果该数据包属于某个已建立会话，则跳过4 到10，直接进行第11 步。 4. 目的NAT（DNAT）操作。如果能够查找到相匹配的DNAT 规则，则为包做DNAT 标记。因为路由查询需要DNAT 转换的IP 地址，所以先进行DNAT 操作。 5. 路由查询。DCFOS 的路由查询顺序从前到后依次为：策略路由（PBR）??源接口路由（SIBR）、源路由（SBR）??目的路由（DBR）??ISP 路由。 此时，系统得到了数据包的逻辑出接口和目的安全域。 6. 源NAT（SNAT）操作。如果能够查找到相匹配的SNAT 规则，则为包做SNAT 标记。 7. 下一跳VR 查询。如果下一跳为VR，则继续查看指定的下一跳VR 是否超出最大VR 数限制（当前版本系统仅允许数据包最多通过3 个VR），如果超过则丢弃数据包，如果未超过， 返回4；如果下一跳不是VR，则继续进行下一步策略查询。 8. 策略查询。系统根据数据包的源安全域、目的安全域、源IP 地址和端口号、目的IP 地址和端口号以及协议，查找策略规则。如果找不到匹配的策略规则，则丢弃数据包；如果找 到匹配的策略规则，则根据规则指定的行为进行处理，分别是： ? 允许（Permit）：允许数据包通过。 ? 拒绝（Deny）：拒绝数据包通过。 ? 隧道（Tunnel）：将数据包转发到指定的隧道。 ? 是否来自隧道（Fromtunnel）：检查数据包是否来自指定的隧道，如果是，则允许通过， 如果不是，则丢弃。 ? Web 认证（WebAuth）：对符合条件的流量进行Web 认证。 9. 第一次应用类型识别。系统根据策略规则中配置的端口号和服务，尝试识别应用类型。 10. 会话建立。 11. 如果需要，进行第二次应用类型识别。根据数据包的内容和流量行为再次对应用类型进 行精确识别。 12. 应用层行为控制。根据确定的应用类型，系统将在此执行配置的Profile 组和ALG 功能。 13. 根据会话中记录的信息，例如NAT 标记等，执行相应的处理操作，并且将数据包转发到出接口。 一些应用程序采用多通道数据传送，如常见的FTP，其控制通道和数据通道是分开的。在严格 安全策略控制条件下的安全网关，就有可能对每种数据通道进行严格限制，例如只允许从内网到外 网的FTP 数据在知名的TCP 21 号端口上进行传输，一旦FTP 主动模式下，在公网上的FTP 服务 器试图主动连接内网主机的随机端口，安全网关就会进行拦截，此时FTP 无法正常工作。这就要求 安全网关足够智能以正确处理严格安全策略下合法应用的随机性。在FTP 的实例中，安全网关通过 分析FTP 控制通道上传送的信息，得知服务器与