山石网科防火墙部署.docx
- 文档编号:26644269
- 上传时间:2023-06-21
- 格式:DOCX
- 页数:19
- 大小:384.96KB
山石网科防火墙部署.docx
《山石网科防火墙部署.docx》由会员分享,可在线阅读,更多相关《山石网科防火墙部署.docx(19页珍藏版)》请在冰豆网上搜索。
山石网科防火墙部署
一、设备工作原理
防火墙作为一种网络安全产品,通过控制进出网络的流量,保护网络的安全。
防火墙的基本原理是通过分析数据包,根据已有的策略规则,允许或阻断数据流量。
除此之外,防火墙也具有连通网络的功能,实现安全可信区域(内部网络)和不信任区域(外部网络)之间的桥接。
StoneOS系统架构
组成StoneOS系统架构的基本元素包括:
∙安全域:
域是一个逻辑实体,将网络划分为不同部分,应用了安全策略的域称为“安全域”。
例如,trust安全域通常为内网等可信任网络,untrust安全域通常为互联网等存在安全威胁的不可信任网络。
∙接口:
接口是流量进出安全域的通道,接口必须绑定到某个安全域才能工作。
默认情况下,接口都不能互相访问,只有通过策略规则,才能允许流量在接口之间传输。
∙虚拟交换机(VSwitch):
具有交换机功能。
VSwitch工作在二层,将二层安全域绑定到VSwitch上后,绑定到安全域的接口也被绑定到该VSwitch上。
一个VSwitch就是一个二层转发域,每个VSwitch都有自己独立的MAC地址表,因此设备的二层转发在VSwitch中实现。
并且,流量可以通过VSwitch接口,实现二层与三层之间的转发。
∙虚拟路由器(VRouter):
简称为VR。
VRouter具有路由器功能,不同VR拥有各自独立的路由表。
系统中有一个默认VR,名为trust-vr,默认情况下,所有三层安全域都将会自动绑定到trust-vr上。
系统支持多VR功能且不同硬件平台支持的最大VR数不同。
多VR将设备划分成多个虚拟路由器,每个虚拟路由器使用和维护各自完全独立的路由表,此时一台设备可以充当多台路由器使用。
多VR使设备能够实现不同路由域的地址隔离与不同VR间的地址重叠,同时能够在一定程度上避免路由泄露,增加网络的路由安全。
∙策略:
策略是设备的基本功能,控制安全域间/不同地址段间的流量转发。
默认情况下,设备会拒绝设备上所有安全域/接口/地址段之间的信息传输。
策略规则(PolicyRule)决定从安全域到另一个安全域,或从一个地址段到另一个地址段的哪些流量该被允许,哪些流量该被拒绝。
StoneOS系统的架构中,安全域、接口、虚拟路由器和虚拟交换机之间具有从属关系,也称为“绑定关系”。
各个元素之间的关系为:
接口绑定到安全域,安全域绑定到VSwitch或VRouter,进而,接口也就绑定到了某个VSwitch或VRouter。
一个接口只能绑定到一个安全域上,一个安全域可以绑定多个接口。
二层安全域只能绑定到VSwitch上,三层安全域只能绑定到VRouter上。
安全策略规则
默认情况下,所有的接口之间的流量都是拒绝的。
不同的安全域之间、相同的安全域之内的接口流量均不能互访。
要实现接口的互访,只有通过创建策略规则,才能将流量放行。
如果既有从源到目的的访问,又有反方向的主动访问,那么就要创建两条策略规则,允许双方向的流量通过;如果只有单方向的主动访问,而反方向只回包即可,那么只需要创建源到目的的一条单方向的策略。
根据接口所属的安全域、VSwtich或VRouter的不同,要创建不同的策略才能允许接口互访,具体的规则如下:
∙属于同一个安全域的两个接口实现互访:
需要创建一条源和目的均为该安全域的策略。
例如,要实现上图中的eth0/0与eth0/1的互访,需要创建从L3-zone1到L3-zone1的允许流量通过的策略;或者,要实现eth0/3与eth0/4的互访,要创建源和目的均为L2-zone2的策略。
∙两个二层接口所在的安全域属于同一VSwitch,实现接口互访:
需要创建两条策略,第一条策略允许从一个安全域到另一个安全域流量放行,第二条策略允许反方向的流量通过。
例如,要实现上图中的eth0/2与eth0/3的互访,需要创建从L2-zone1到L2-zone2的策略和L2-zone2到L2-zone1这两条策略。
∙两个二层接口所在的安全域属于不同的VSwtich的,实现接口互访:
每个VSwtich都具有唯一的一个VSwtich接口(VSwitchIF),该VSwtichIF与某个三层安全域绑定。
要实现互访,需要创建放行策略,源是一个VswichIF所属的三层安全域,目的是另一个VSwtichIF所属的三层安全域。
同时,还需要创建反方向的策略。
∙两个三层接口所在的安全域属于同一VRouter,实现接口互访:
需要创建策略允许从一个安全域到另一个安全域的流量放行。
例如,要实现eth0/0和eth0/5的互访,要创建从L3-zone1到L3-zone2的允许流量通过的策略,然后再创建反方向的策略。
∙两个三层接口所在的安全域从属于不同的VRouter的,实现接口互访:
若要实现接口互访,需要创建策略规则,允许从一个VRouter到另一个VRouter之间的流量放行。
∙同一VRouter下的二层接口和三层接口,实现互访:
创建允许流量通过的策略,策略的源是二层接口的VSwtichIF所绑定的三层安全域,策略的目的是三层接口所属的三层安全域。
然后,再创建反向策略。
例如,要实现eth0/0与eth0/2的互访,需要创建从L3-zone1到L2-zone1的策略,以及反向策略。
数据包处理流程
二层转发域中的转发规则
在一个VSwitch,即一个二层转发域中,StoneOS通过源地址学习建立MAC地址转发表。
每个VSwitch都有自己的MAC地址转发表。
StoneOS根据数据包的类型(IP数据包、ARP包和非IP且非ARP包),分别进行不同的处理。
对于IP数据包,StoneOS遵循以下转发规则:
1.收到数据包。
2.学习源地址,更新MAC地址转发表。
3.如果目的MAC地址是单播地址,则根据目的MAC地址查找出接口。
这时又有以下两种情况:
o如果目的MAC地址为VSwitch接口的MAC地址,并且VSwitch接口有IP地址,则按照路由转发规则进行转发;若VSwitch接口没有IP地址,则丢弃。
o根据目的MAC地址找到出接口。
如果找到的出接口是数据包的源接口,则丢弃该数据报,否则从出接口继续转发数据包。
o如果在MAC地址表中没有找到出接口(未知单播),直接跳到第6步。
4.根据入接口和出接口确定源域和目的安全域。
5.查找策略规则。
如果策略规则允许则转发数据包;如果策略规则不允许,则丢弃数据包。
6.如果在MAC地址转发表中没有找到出接口(未知单播),StoneOS则尝试将数据包发给VSwitch中的所有其它二层接口,此时的操作流程为:
把其它的每一个二层接口做为出接口,二层接口所在的二层安全域作为目的域,查询策略规则,如果策略允许,则在该二层接口转发数据包,如果策略不允许,则丢弃数据包。
概括地说,对未知单播的转发即为策略限制下的广播。
对于广播和多播IP包的处理类似于对未知单播的处理,不同的是广播和多播IP包会被同时拷贝一份进行三层处理。
对于ARP包,广播包和未知单播包转发到VSwitch中的其它所有接口,同时,复制一份由ARP模块进行处理。
三层转发域的转发规则
1.识别数据包的逻辑入接口,可能是一般无标签接口,也可能是子接口。
从而确定数据包的源安全域。
2.StoneOS对数据包进行合法性检查。
如果源安全域配置了攻击防护功能,系统会在这一步同时进行攻击防护功能检查。
3.会话查询。
如果该数据包属于某个已建立会话,则跳过4到10,直接进行第11步。
4.目的NAT(DNAT)操作。
如果能够查找到相匹配的DNAT规则,则为包做DNAT标记。
因为路由查询需要DNAT转换的IP地址,所以先进行DNAT操作。
*说明:
如果系统配置静态一对一BNAT规则,那么先查找匹配的BNAT规则。
数据包匹配了BNAT规则之后,按照BNAT的设定进行处理,不再查找普通的DNAT规则。
5.路由查询。
系统的路由查询顺序从前到后依次为:
策略路由(PBR)>源接口路由(SIBR)>源路由(SBR)>目的路由(DBR)>ISP路由。
此时,系统得到了数据包的逻辑出接口和目的安全域。
6.源NAT(SNAT)操作。
如果能够查找到相匹配的SNAT规则,则为包做SNAT标记。
*说明:
如果系统配置静态一对一BNAT规则,那么先查找匹配的BNAT规则。
数据包匹配了BNAT规则之后,按照BNAT的设定进行处理,不再查找普通的DNAT规则。
7.下一跳VR查询。
如果下一跳为VR,则继续查看指定的下一跳VR是否超出最大VR数限制(当前版本系统仅允许数据包最多通过3个VR),如果超过则丢弃数据包,如果未超过,返回4;如果下一跳不是VR,则继续进行下一步策略查询。
8.策略查询。
系统根据数据包的源安全域、目的安全域、源IP地址和端口号、目的IP地址和端口号以及协议,查找策略规则。
如果找不到匹配的策略规则,则丢弃数据包;如果找到匹配的策略规则,则根据规则指定的行为进行处理,分别是:
o允许(Permit):
允许数据包通过。
o拒绝(Deny):
拒绝数据包通过。
o隧道(Tunnel):
将数据包转发到指定的隧道。
o是否来自隧道(Fromtunnel):
检查数据包是否来自指定的隧道,如果是,则允许通过,如果不是,则丢弃。
oWeb认证(WebAuth):
对符合条件的流量进行Web认证。
1.第一次应用类型识别。
系统根据策略规则中配置的端口号和服务,尝试识别应用类型。
2.会话建立。
3.如果需要,进行第二次应用类型识别。
根据数据包的内容和流量行为再次对应用类型进行精确识别。
4.应用层行为(ALG)控制。
为特定的复杂协议实施自适应处理。
5.根据会话中记录的信息,例如NAT标记等,执行相应的处理操作。
6.将数据包转发到出接口。
二、部署透明模式
透明模式也称为“网桥模式”、“透明桥接模式”。
透明模式适用于原网络中已部署好路由器和交换机,用户不希望更改原有的网络,只需要一台防火墙进行安全防护的场景。
透明模式有以下优点:
∙无需修改受保护网络的IP设置。
∙无需为进入受保护网络的报文创建NAT规则。
一般情况下,透明模式的防火墙部署在原有网络的路由器和交换机之间,或者部署在互联网和路由器之间,内网通过原有的路由器上网,防火墙只做安全控制。
下面以防火墙部署在路由器和交换机之间为例,说明如何使用透明模式。
网络管理员连接管理口eth0/0对防火墙进行配置,使用网线将接口eth0/1与路由器连接,将接口eth0/2与交换机连接,原有内网部署不改变。
配置透明模式的步骤如下:
步骤一:
初始登录防火墙
1.将管理员的PC的IP地址设置为与192.168.1.1/24同网段的IP地址,并且用网线将管理PC与设备的ethernet0/0接口进行连接。
2.在PC的Web浏览器中输入地址“https:
//192.168.1.1”并按回车键,打开登录页面。
3.输入默认用户名和密码。
4.点击“登录”按钮,进入WebUI的主页面。
步骤二:
配置接口和安全域
∙配置eth0/1为外网接口。
1.选择“网络>接口”。
2.双击“ethernet0/1”,打开
3.点击“确定”。
∙配置eth0/2为内网接口。
1.选择“网络>接口”。
2.双击“ethernet0/2”,打开
3.点击“确定”。
步骤三:
配置策略
∙允许内网访问互联网的策略。
1.选择“策略>安全策略>策略”。
2.点击“新建”按钮,选择“策略”,打开<策略配置>页面做如下配置。
3.点击“确定”。
∙允许外网访问内网的策略。
4.选择“策略>安全策略”。
5.点击“新建”按钮,打开<策略配置>页面做如下配置。
6.点击“确定”。
∙其他策略:
以上两条策略保证了透明模式下,内外网之间的互通。
若用户需要禁止某些流量,例如禁止P2P下载,可以继续创建策略,并将策略的位置放置于以上两个策略之前,系统将优先匹配位置靠前的策略。
步骤四(可选):
配置Vswitch接口为管理接口,方便内网PC访问防火墙
使内网任意一台PC均可登录防火墙进行管理,可以将一个VSwtich接口设置为管理接口。
1.选择“网络>接口”。
2.点击“新建>VSwtich接口”,打开
3.点击“确定”。
4.在的一台PC上打开浏览器,输入上述VSwtich接口的IP地址,即可登录StoneOS系统的管理界面。
三、部署路由模式
路由模式常配合NAT功能使用,故也称做“NAT模式”。
在路由模式下,每个接口都有IP地址,属于三层安全域。
在这种配置应用下,设备既具有路由功能,又具有安全策略功能。
并且在路由应用模式下,用户还可以通过配置NAT规则实现地址转换功能。
在路由模式下,通常使用设备作为网关连接内网和互联网。
本节中的示例将基于以下拓扑图,介绍如何连通内网和外部网络。
步骤一:
连接设备
1.将设备的接口(如ethernet0/1)连接到运营商网络中,一般情况下,外网接口选择属于untrust安全域。
将设备另一个接口(如ethernet0/0)连接到内网中,默认情况下,ethernet0/0属于trust安全域。
2.连接电源为设备上电。
3.通过内网接口访问系统WebUI界面,请参阅访问WebUI界面。
步骤二:
配置接口。
1.点击“网络>接口”。
2.双击ethernet0/1接口。
在
3.点击“确定”按钮完成相关配置。
4.默认情况下,内网接口ethernet0/0属于trust安全域,并配有IP地址192.168.1.1/24,无需再配置。
步骤三:
配置源NAT规则,将内网IP转换为出接口IP。
1.点击“策略>NAT>源NAT”。
2.点击“新建”按钮。
在<源NAT配置>页面填写源NAT规则的基本配置信息。
3.点击“确定”按钮。
步骤四:
配置策略规则,允许内网用户访问外网。
1.点击“策略>安全策略>策略”。
2.点击列表左上角的“新建”按钮,选择“策略”。
在<策略配置>页面填写策略规则的基本配置信息。
3.点击“确定”按钮。
步骤五:
配置默认路由。
1.点击“网络>路由>目的路由”。
2.点击“新建”按钮。
在<目的路由配置>页面填写目的路由的基本配置信息。
3.点击“确定”按钮。
四、部署混合模式
如果用户的网络中,既需要防火墙配置二层接口(透明模式),又需要三层接口(路由模式),那么该防火墙处于混合模式。
在配置方法上,用户需要结合路由模式和透明模式两种部署方式对网络进行管理,请参考前两种模式的配置步骤,此处不再赘述。
五、部署旁路(Tap)模式
通常情况下,设备在网络部署上会串联到网络中,以直路的方式对网络流量进行分析、控制以及转发。
但是,如果仅需要使用部分功能,例如IPS、防病毒、监控及网络行为控制等,既可以使防火墙工作在直路模式下,也可以工作在旁路模式下。
设备工作在旁路模式下时,仅对流量进行统计、扫描或者记录,并不对流量进行转发,同时,网络流量也不会受到设备本身故障的影响,所以,对于仅有审计需求的情况,使用旁路模式将会更加有效合理。
旁路模式将物理接口绑定到Tap域(旁路模式功能域)的方式实现。
绑定后,该物理接口就成为旁路接口,此时,设备对从旁路接口收到的流量进行统计、扫描或者记录,即可实现旁路模式。
下图为Hillstone设备旁路模式工作原理示意图。
使用网线将交换机的e0接口与设备的e1接口连接,设备以旁路模式部署在网络中。
e1为设备的旁路接口,e2为设备的旁路控制接口;e0为交换机的镜像接口。
在本设备上配置旁路模式之前,需要在主干网络的交换机上配置,使交换机通过e0接口将网络流量镜像到e1上,从而使设备能够对e1接收到的流量进行统计、扫描和记录。
此处以利用旁路模式,实现IPS监控为例,介绍旁边路模式的操作。
步骤一:
创建Tap安全域,绑定接口
1.选择“网络>安全域”,点击“新建”按钮。
选项
配置值
安全域名称
输入名称“tap-zone”
类型
TAP
绑定接口
在列表中选择接受旁路流量的接口。
(旁路接口只能为物理接口、聚集接口或者冗余接口,不能是子接口。
)
2.点击“确定”。
步骤二:
创建入侵防御规则
1.选择“对象>入侵防御>模板”。
2.点击“新建”按钮,在打开的页面内输入规则名称。
3.在特征集配置部分配置特征集。
4.在协议配置部分配置协议。
5.点击“确定”按钮,完成入侵防御规则配置。
步骤三:
将入侵防御规则添加到Tap安全域
1.选择“网络>安全域”,然后双击打开上面创建的安全域。
2.点击“威胁防护”,展开威胁防护配置项,启用入侵防御功能,并绑定刚刚创建的入侵防御规则。
3.点击“确定”按钮。
(可选)步骤四:
配置控制接口阻断流量
控制接口用于发送控制报文(目前可以发送TCPRST控制报文)。
在旁路设备中配置入侵防御、病毒过滤或者网络行为控制的阻断功能后,如果设备检测到攻击、病毒或者访问受限网站的行为,就会通过旁路控制接口向干路设备发送TCPRST控制报文,重置TCP连接,从而对流量进行阻断。
默认情况下,旁路控制接口为旁路接口本身。
旁路控制接口只能在命令行界面中配置,不能在WebUI界面配置。
在旁路接口配置模式下使用以下命令:
tapcontrol-interface interface-name
∙interface-name –指定接口名称。
在旁路接口配置模式下,使用notapcontrol-interface命令取消旁路控制接口的指定。
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 山石 防火墙 部署