智能安全策略技术白皮书-.docxVIP

智能安全策略技术白皮书

i

目录

1概述 1

1.1产生背景 1

1.2技术优点 2

2技术实现 1

2.1安全策略基本概念 1

2.1.1安全策略规则 1

2.1.2过滤条件 1

2.1.3动作 1

2.1.4DPI深度安全检测 1

2.1.5安全策略组 1

2.1.6安全策略加速 1

2.1.7时间段 1

2.2安全策略的报文处理机制 1

2.3安全策略的报文识别原理 2

2.3.1源/目的安全域 2

2.3.2源/目的IP地址 3

2.3.3源MAC地址 3

2.3.4用户/用户组 3

2.3.5应用/应用组 4

2.3.6终端/终端组 5

2.3.7地区/地区组 5

2.3.8URL过滤分类 6

2.3.9VPN实例 6

2.3.10服务 6

3应用场景 1

3.1本设备需被其他设备访问 1

3.2本设备需访问其他设备 2

3.3流量由本设备转发 2

4技术特色 1

4.1策略冗余分析 1

4.2策略命中分析 1

4.3应用风险调优 2

ii

4.4宽泛策略分析 3

5典型组网应用 1

5.1基于应用控制报文组网 1

5.2OSPF组网 2

5.3NAT组网 4

5.3.1NAT源地址转换组网 4

5.3.2NAT目的地址转换组网 4

5.4IPsecVPN组网 5

1

1概述

1.1产生背景

传统的防火墙的包过滤防护策略配置通常都是基于报文入接口、出接口配置，在复杂的组网环境中，基于接口的策略配置方式需要为每一个接口配置防护策略，给网络管理员带来了极大的负担，防护策略的维护工作量成倍增加，从而也增加了因为配置不当引入安全风险的概率。

图1基于接口的包过滤

数据中心

接口下应用包过滤控制报文

Internet

Internet

Device

内网主机

引入安全域的概念之后，安全管理员将安全需求相同的接口或IP地址进行分类（划分到不同的安全域），从而实现策略的分层管理，管理员只需要部署各安全域之间的防护策略即可。如果后续网络变化，只需要调整相关安全域内的接口，而防护策略不需要修改，不但简化了策略的维护复杂度，同时也实现了网络业务和安全业务的分离。

图2安全域的划分

Xb丢弃主动访问的报文

DMZ通过域间策略判断是否放行

DMZ

TrustInternetDeviceTrust内网主机数据中心

Trust

Internet

Device

Trust

内网主机

2

随着网络逐渐复杂，安全域的数量随着不同安全需求的出现越来越多，在每两个安全域间配置防护策略的工作量也变得庞大起来。此时智能安全策略（以下简称安全策略）的出现解决了该问题，它基于全局进行配置并立即生效，不需要再手动应用在某两个安全域间或某个接口上。从全局视角识别报文属性，通过多种维度过滤条件精准匹配报文，精细化全局管控报文转发。从而不仅大大降低了防护策略的配置难度，还可支持识别更多类型的报文属性并可引用DPI业务实现对报文内容的深度检测。

图3基于全局应用的一体化智能安全策略

一体化安全策略

放行丢弃动作 安全策略

放行

丢弃

动作

......目的安全域VRF过滤条件

......

目的安全域

VRF

源安全域

源安全域

用户

......DPI业务

......

入侵防御

入侵防御

防病毒

防病毒

1.2技术优点

与包过滤、对象策略相比，安全策略具有如下优势：

?与包过滤相比，安全策略不仅可以通过五元组对报文进行控制，还可以有效区分协议（如HTTP协议）上承载的不同应用（如基于网页的游戏、视频和购物），使网络管理更加精细和准确。

?与对象策略相比，安全策略可以基于用户、终端、地区、URL过滤分类等属性对报文进行控制，使网络管理更加灵活。

?可以通过在安全策略中引用DPI业务，实现对报文内容的深度检测，有效阻止病毒和黑客的入侵。

?安全策略基于全局配置并生效，无需应用到域间或接口，配置灵活简洁。

?安全策略扩展了丰富的易用性功能，如冗余分析、命中分析、宽泛策略分析等，帮助管理员更快速配置精细、合理的安全策略。

?安全策略支持应用风险调优，对已配置的安全策略进行风险分析并支持一键自动调优消除风险。

1

2技术实现

2.1安全策略