欢迎来到天天文库
浏览记录
ID:52931973
大小:6.42 MB
页数:30页
时间:2020-04-02
《网络安全架构.pdf》由会员上传分享,免费在线阅读,更多相关内容在行业资料-天天文库。
1、安全架构HillstoneNetworksInc.第二章第1页安全架构第二章第2页HillstoneNetworksInc.安全架构HillstoneNetworksInc.第二章第3页安全架构第二章第4页HillstoneNetworksInc.安全架构一个在线式安全产品必须能转发收到的流量。SA安全网关在每个端口上跟踪MAC地址,以便做出智能的转发。地址学习:在帧通过设备时,把源MAC地址与入站端口相关联。HillstoneNetworksInc.第二章第5页5安全架构三层包转发模式下,数据包通过路由表进行转发,Hillstone安全网关支持静
2、态路由、RIP、OSPF以及BGP。第二章第6页HillstoneNetworksInc.6安全架构访问控制是防火墙的基本功能,防火墙应该可以通过定制策略规则对流经的网络流量进行控制。HillstoneNetworksInc.第二章第7页7安全架构网络地址转换(NetworkAddressTranslation)简称为NAT,是将IP数据包包头中的IP地址转换为另一个IP地址。当IP数据包通过路由器或者安全网关时,路由器或者安全网关会把IP数据包的源IP地址和/或者目的IP地址进行转换。在实际应用中,NAT主要用于私有网络访问外部网络或外部网络访问
3、私有网络的情况。第二章第8页HillstoneNetworksInc.8安全架构VPN的英文全称是“VirtualPrivateNetwork”,即“虚拟专用网络”。VPN通过专用加密协议在连接到Internet上的位于不同地方的两个或多个企业上的位于不同地方的两个或多个企业内部网之间建立内部网之间建立一条专有的通讯线路,就好比是架设了一条专线一样。虚拟专用网可以帮助远程用户、公司分支机构、商业伙伴及供应商同公司的内部网建立可信的安全连接,并保证数据的安全传输。HillstoneNetworksInc.第二章第9页9安全架构QoS(Qualityo
4、fService)即“服务质量”。它是指网络为特定流量提供更高优先服务的同时控制抖动和延迟的能力,并且能够降低数据传输丢包率。当网络过载或拥塞时,QoS能够确保重要业务流量的正常传输。第二章第10页HillstoneNetworksInc.10安全架构HillstoneNetworksInc.第二章第11页安全架构第二章第12页HillstoneNetworksInc.安全架构如上图所示,接口、安全域、VSwitch和VRouter之间的绑定关系如下:♦接口绑定到安全域。绑定到二层安全域的接口为二层接口,绑定到三层安全域的接口为三层接口。♦安全域绑
5、定到VSwitch或者VRouter。二层安全域绑定到VSwitch,三层安全域绑定到VRouter。由此,也实现了接口与VSwitch或者VRouter的绑定。HillstoneNetworksInc.第二章第13页13安全架构接口允许流量进出安全域。因此,为使流量能够流入和流出某个安全域,必须将接口绑定到该安全域,并且,如果是三层安全域,还需要为接口配置IP地址。然后,必须配置相应的策略规则,允许流量在不同安全域中的接口之间传输。多个接口可以被绑定到一个安全域,但是一个接口不能被绑定到多个安全域。第二章第14页HillstoneNetworks
6、Inc.14安全架构HillstoneNetworksInc.第二章第15页安全架构Hillstone安全网关支持混合模式,可以根据需要将接口绑定到二层或三层安全域。定义访问策略时,必须定义二层域之间或三层域之间的访问策略,如需二层域和三层域之间访问,需通过VSwitchif实现三层转发,对应策略为VSwitchif所绑定安全域到所访问三层安全域间策略。第二章第16页HillstoneNetworksInc.16安全架构HillstoneNetworksInc.第二章第17页17安全架构一些应用程序采用多通道数据传送,如常见的FTP,其控制通道和数
7、据通道是分开的。在严格安全策略控制条件下的安全网关,就有可能对每种数据通道进行严格限制,例如只允许从内网到外网的FTP数据在知名的TCP21号端口上进行传输,一旦FTP主动模式下,在公网上的FTP服务器试图主动连接内网主机的随机端口,安全网关就会进行拦截,此时FTP无法正常工作。这就要求安全网关足够智能以正确处理严格安全策略下合法应用的随机性。在FTP的实例中,安全网关通过分析FTP控制通道上传送的信息,得知服务器与客户端达成一致,服务器将主动连接客户端的某端口,安全网关就能临时的打开一条通道,使FTP正常工作。StoneOS采用最严格的NAT模式
8、。一些VoIP应用在进行NAT穿越时,由于IP地址和端口号的改变可能导致VoIP无法正常工作,ALG技术在此时将保证NAT
此文档下载收益归作者所有