防火墙安全架构.ppt

接口允许流量进出安全域。因此，为使流量能够进入和流出安全域，必须将即接口绑定到该安全域，并且，如果是三层安全域，还需要为接口配置IP地址。然后必须配置相应的策略规则，允许流量在不同安全域中的接口之间传输。多个接口可以被绑定到一个安全域，但是一个接口不能绑定到的多个安全域。 神州数码多核墙支持混合模式，可以根据需要将接口绑定到二层后者三层安全域。 定义访问策略时，必须定义二层域之间或者三层域之间的访问策略，如需二层域和三层域之间访问，需通过VSwitch实现三层转发，对应策略为VSwitchif所绑定安全域到所访问三层安全域间策略 识别数据包的逻辑入接口，可能是一般无标签接口，也可能是子接口。从而确定数据包的源安全域。 2. DCFOS 对数据包进行合法性检查。如果源安全域配置了攻击防护功能，系统会在这一步同时进行攻击防护功能检查。 3. 会话查询。如果该数据包属于某个已建立会话，则跳过4 到10，直接进行第11 步。 4. 目的NAT（DNAT）操作。如果能够查找到相匹配的DNAT 规则，则为包做DNAT 标记。因为路由查询需要DNAT 转换的IP 地址，所以先进行DNAT 操作。 5. 路由查询。DCFOS 的路由查询顺序从前到后依次为：策略路由（PBR）??源接口路由（SIBR）、源路由（SBR）??目的路由（DBR）??ISP 路由。 此时，系统得到了数据包的逻辑出接口和目的安全域。 6. 源NAT（SNAT）操作。如果能够查找到相匹配的SNAT 规则，则为包做SNAT 标记。 7. 下一跳VR 查询。如果下一跳为VR，则继续查看指定的下一跳VR 是否超出最大VR 数限制（当前版本系统仅允许数据包最多通过3 个VR），如果超过则丢弃数据包，如果未超过， 返回4；如果下一跳不是VR，则继续进行下一步策略查询。 8. 策略查询。系统根据数据包的源安全域、目的安全域、源IP 地址和端口号、目的IP 地址和端口号以及协议，查找策略规则。如果找不到匹配的策略规则，则丢弃数据包；如果找 到匹配的策略规则，则根据规则指定的行为进行处理，分别是： ? 允许（Permit）：允许数据包通过。 ? 拒绝（Deny）：拒绝数据包通过。 ? 隧道（Tunnel）：将数据包转发到指定的隧道。 ? 是否来自隧道（Fromtunnel）：检查数据包是否来自指定的隧道，如果是，则允许通过， 如果不是，则丢弃。 ? Web 认证（WebAuth）：对符合条件的流量进行Web 认证。 9. 第一次应用类型识别。系统根据策略规则中配置的端口号和服务，尝试识别应用类型。 10. 会话建立。 11. 如果需要，进行第二次应用类型识别。根据数据包的内容和流量行为再次对应用类型进 行精确识别。 12. 应用层行为控制。根据确定的应用类型，系统将在此执行配置的Profile 组和ALG 功能。 13. 根据会话中记录的信息，例如NAT 标记等，执行相应的处理操作，并且将数据包转发到出接口。 防火墙安全架构 讲解人：卞昌军 章节目标 通过完成此章节课程，您将可以： -了解网络安全设备的用途 -理解DCFOS的架构 -DCFOS处理数据包的Flow -根据网络环境选择基于DCFOS的安全网络设备 安全网络产品的需求 DCFOS系统架构 神州数码多核防火墙产品 议程：架构、特性及适应平台 安全网络产品需要具备的功能 安全网络设备应该具有下列功能： ■ Frame/packet转发 ● Bridging（Layer2）、Routing（Layer3） ■ 网络地址转换（NAT） ● SNAT、DNAT ■ VPN ● IPSEC VPN、SSL VPN、L2TP ■ QoS ● 基于IP的流量管理 ● 基于应用的流量管理 ■ 访问控制/攻击防护 ● 状态检测：IP,TCP/UDP,应用层 ● 攻击防护：防Dos，防网络扫描、防地址欺骗、防ARP 透明桥接功能: MAC学习功能 (通过源MAC) Forward, flood, and filter (通过目的MAC) Layer 2 frame forwarding MAC Address Table Destination Address Port 0010.540b.5120 E0/1 0010.540b.cd10 E0/2 Layer 2 Frame Forwarding (Bridging and Switching) 0010.540b.5120 [E0/1]