返回
Hillstone 防火墙技术——StoneOS

Hillstone 防火墙技术——StoneOS

ID:38143893

大小:296.33 KB

页数:5页

时间:2019-05-27

Hillstone 防火墙技术——StoneOS_第1页
Hillstone 防火墙技术——StoneOS_第2页
Hillstone 防火墙技术——StoneOS_第3页
Hillstone 防火墙技术——StoneOS_第4页
Hillstone 防火墙技术——StoneOS_第5页
资源描述:

《Hillstone 防火墙技术——StoneOS》由会员上传分享,免费在线阅读,更多相关内容在行业资料-天天文库

1、Hillstone防火墙技术——StoneOS安全架构1介绍传统防火墙通常可以在两种模式下进行操作:路由/NAT模式和透明模式。路由/NAT模式部署灵活,并且支持防火墙和路由器两种设备的功能。尽管如此,许多希望通过最少的网络中断来实现安全保护的客户却会选择透明模式。随着二层与三层转换的扩展,安全集成到网络中变成一个更加困难的选择。那么,在哪里部署能够控制所有二层和三层的所有类型流量的安全功能呢?Hillstone的StoneOS提供了一个强大的安全平台,它为安全管理者提供了“集成安全控制和网络管理的底层网络结构”。StoneOS通过将网络功能从安

2、全功能中分离出来,扩展了NAT/路由模式。这样,用户就可以在一个完全灵活的环境下使用NAT功能。StoneOS通过引入专有的VirtualSwitch(虚拟交换机)的概念极大地扩展了透明模式。在二层,用户可以定义VLAN域,并且可以将不同的安全策略应用到每一个VLAN。StoneOS还拥有重新标记VLANtag功能,这种功能只有高端的交换机才能实现。StoneOS混合模式将NAT/路由模式与透明模式结合到同一个设备上。根据配置的安全策略,部分数据在二层进行处理,而其它数据进行三层处理。这个强大的功能将路由器和交换机的功能进行完美结合,并且能够降低

3、网络部署的复杂性。2路由/NAT模式路由在路由/NAT模式下,设备被划分为多个三层域。流量会在三层域之间进行转发,并且被转发的流量会被进行安全检查。对于路由模式,IP地址不会被转换。对于NAT模式,IP数据包在不同域间转发的过程中,其IP地址和端口号可以被转换。Hillstone设备将安全管理从网络管理中分离出来。HillstoneNAT策略是网络管理的一部分,用户可以基于特定接口或者五元组(源和目的IP地址、端口号和服务)进行灵活配置,或者将两者相结合。Hillstone设备可以同时工作在路由模式和NAT模式下,即对一些数据做三层转发的同时,为

4、另外一些数据做NAT转换。图1:NAT/路由模式部署2.1源NAT¾接口IP,IP地址池¾NAT和NAPT¾Sticky功能¾特定类型流量,IP五元组匹配(源和目的IP地址、端口号和服务)和出接口2.2目的NAT¾IP地址映射¾IP地址/端口号映射¾IP地址范围转换¾服务器负载均衡¾特定类型流量,IP五元组匹配(源和目的IP地址、端口号和服务),可同时转换源地址、端口以及目的地址、端口3透明模式在透明模式下,安全设备作为一个二层设备工作。IP层数据包头通常不会产生变化。如果得不到数据包的目的地址,设备会将数据包转发到应用了安全策略的所有接口上。S

5、toneOS通过VSwitch概念形成虚拟广播域。StoneOS安全设备能够部署到复杂的VLAN环境中,在执行细粒度安全检查和过滤的同时不改变底层网络的配置和拓扑结构。3.1虚拟交换机(VirtualSwitch)图2:StoneOS透明模式和VSwitch一个VSwitch是一个VLAN广播域。一个VSwitch包含一个或者多个VLAN子接口。子接口通常都使用相同的VLAN标签。例如,在图2中,e1/1的VLAN10和e1/2的VLAN10属于同一个VSwitch。在Zone1和Zone2之间,可以配置策略规则来控制流量的传输和执行流量的安全检

6、查。如果策略允许,标签为10的流量就能够在域之间传输。一个VSwitch中也可以包含具有不同VLAN标签的子接口。在这种情况下,StoneOS除了在域之间传输流量(如果策略允许),还可以对VLAN进行tag的重新标记。图2的VSwitch2显示了VLAN重新标记tag功能。3.2StoneOS透明模式StoneOS的二层转发是在VSwitch中完成的。一个VSwitch中包含了一个或者多个二层域,而这些二层安全域分别包含了不同的接口或子接口。二层域之间定义了策略规则来控制访问和过滤流量。在透明模式下,主接口(无标签)和子接口都没有配置IP地址。S

7、toneOS有一个预定义的VSwitch,即VSwitch1。默认情况下,预定义二层域都被绑定到VSwitch1中,而且,如果策略允许,无标签流量会根据配置在二层域之间和内部进行交换。StoneOS在接口上执行MAC学习,从而降低广播需求。4StoneOS混合模式StoneOS的数据平面将路由/NAT模式以及透明模式无缝结合在一起。单一的路由/NAT模式或透明模式的产生是因为没有另一个模式的操作。在StoneOS中,混合模式(路由/NAT模式与透明模式的联合模式)是天然形成的。图3:StoneOS混合模式在图3的例子中,一个VSwitch中有一个

8、或多个VLAN。标签为100的VLAN有两组用户,分别是Layer2zone1中的“Students”和Layer2zone2中的“Te

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。