山石网科防火墙安全架构.pptxVIP

Hillstone安全设备部署第二章 安全架构通过完成此章节课程，您将可以：了解网络安全设备的用途理解StoneOS系统架构理解StoneOS数据包处理流程章节目标议程：安全架构网络安全产品功能需求StoneOS 系统架构Hillstone安全网络平台产品网络安全设备应该具有下列功能:Frame/packet 转发Bridging (Layer 2)、Routing (Layer 3)网络地址转换（NAT）SNAT、DNATVPNIPSec VPNSSL VPNQoS基于IP的流量管理基于应用的流量管理访问控制/攻击防护状态检测：IP, TCP/UDP, 应用层攻击防护：防Dos，防网络扫描、防地址欺骗、防ARP网络安全产品需要具备的功能001d.7294.e5f6 [E0/1] [E0/2] 001d.097f.9ad8MAC Address TableDestination AddressPort001d.7294.e5f6E0/1001d.097f.9ad8E0/2Layer 2 Frame Forwarding (Bridging and Switching)透明桥接功能:MAC学习功能 (通过源MAC)Forward, flood, and filter (通过目的MAC)Layer 2 frame forwarding/24[E0/3] /24/24[E0/2] /24[E0/1] /2400/24Route TableNetworkInt.Gateway/24E0//24E0//24E0//16E0/3Layer 3 Packet Forwarding (Routing)通过目的IP转发IP数据包维护一张路由表静态路由，默认路由，ISP路由动态路由(RIP, OSPF,BGP)策略路由InternetDST-IPSRC-PortDST-PortProtocontrustedTrusted 2SRC-IPDST-IPProtocolSRC-PortDST-PortSRC-IP261952780NAT网络地址转换（NAT）提供穿越Internet的私有安全通道EncapsulationEncryptionAuthenticationIPSec VPNSSL VPNL2TPVPN保证关键业务流量QoS应用前关键业务受到冲击QoS应用后关键业务受到保护QoSSource-IPDestination-IPProtocolSource-PortDestination-PortData621312get http 1.180访问控制状态检测技术，通过策略过滤数据包IP (source address, destination address, protocol)TCP/UDP (port #) APP policy攻击防护提供下列保护:Secure Defender Anti ARP SpoofingDenial-of-service攻击Deep Packet Inspection scanning（ Signature-based ）URL FilterP2P、IMIPSAnti-virus议程：安全架构网络安全产品功能需求StoneOS 系统架构Hillstone安全网络平台产品通常情况下，一台安全设备有多个物理接口，但防火墙功能隔离了每个接口之间的互通流量。基本防火墙拓扑StoneOS系统架构StoneOS系统架构由以下部分组成:InterfacesVirtual SwitchVirtual RouterZonesL2 ZoneL3 ZonePolicyStoneOS系统架构图特点一缺省，接口加入zone之后无法互通特点二如果两个接口属于两个不同的zone，需要通过配置policy策略来放行流量；特点三如果两个接口属于相同的zone，也需要通过配置policy策略放行流量特点四如果一个接口属于zone，一个不属于zone，则不能互通图例特点一缺省，接口加入zone之后无法互通特点二如果两个接口属于两个不同的zone，需要通过配置policy策略来放行流量；特点三如果两个接口属于相同的zone，也需要通过配置policy策略放行流量特点四如果一个接口属于zone，一个不属于zone，则不能互通图例接口、安全域、VS、VR之间严格的等级架构L2-Zones绑定到virtual switchL3-Zones绑定到virtual routerInterfaces绑定到security zone一个接口只能绑定到一个安全域一个安全域可以包含一个或多个接口绑定到L2-Zone 的接口为L2-interface绑定到L3-Zone 的接口为L3-interface绑定到三层安全域的接口可以配置IP地址