Hillstone虚拟防火墙技术解决方案白皮书
下一代防火墙_绿盟_下一代防火墙产品白皮书
绿盟下一代防火墙产品白皮书© 2014 绿盟科技■版权声明本文中出现的任何文字叙述、文档格式、插图、照片、方法、过程等内容,除另有特别注明,版权均属绿盟科技所有,受到有关产权及版权法保护。
任何个人、机构未经绿盟科技的书面授权许可,不得以任何方式复制或引用本文的任何片断。
目录一. 当今网络边界安全的新挑战 (1)二. 现有防火墙解决方案的不足 (2)三. 绿盟下一代防火墙产品 (3)3.1客户价值 (3)3.1.1 洞察网络应用,识别安全风险 (3)3.1.2 融合安全功能,保障应用安全 (4)3.1.3 高效安全引擎,实现部署无忧 (4)3.1.4 内网风险预警,安全防患未然 (4)3.1.5 云端高效运维,安全尽在掌握 (5)3.2产品概述 (5)3.3产品架构 (6)3.4主要功能 (7)3.4.1 识别和可视性 (7)3.4.2 一体化策略与控制 (8)3.4.3 应用层防护 (9)3.4.4 内网资产风险识别 (10)3.4.5 安全运维云端接入 (11)3.4.6 基础防火墙特性 (12)3.5产品优势 (13)3.5.1 全面的应用、用户识别能力 (13)3.5.2 细致的应用层控制手段 (15)3.5.3 专业的应用层安全防护能力 (16)3.5.4 卓越的应用层安全处理性能 (18)3.5.5 首创的内网资产风险管理 (18)3.5.6 先进的云端安全管理模式 (18)3.5.7 完全涵盖传统防火墙功能特性 (19)3.6典型部署 (19)四. 总结 (20)插图索引图1 核心理念 (5)图2 整体架构 (6)图3 资产管理 (10)图4 云端接入 (11)图5 应用/用户识别 (13)图6 应用控制 (15)图7 一体化安全引擎 (16)图8 双引擎多核并发 (18)图9 典型部署 (19)一. 当今网络边界安全的新挑战现阶段,随着以Web 2.0为代表的下一代网络技术的迅猛发展,Web化应用呈现出爆发式增长趋势,如今网络有近三分之二的流量都是HTTP和HTTPS应用。
Hillstone 入侵防御白皮书
Hillstone山石网科入侵防御白皮书Hillstone山石网科入侵防御白皮书1. 概述互联网的发展趋势表明:1. 网络攻击正逐渐从简单的网络层攻击向应用层转变,单纯的防火墙功能已经不能满足当下应用安全的需求。
旁路的入侵检测方式又不能满足对攻击源实时屏蔽的需求,与防火墙联动的入侵检测一直没有标准的联动协议来支撑。
入侵检测解决方案正在被入侵防御取代。
2. 安全漏洞、安全隐患的发生似乎是不可避免的,互联网的应用和业务却正在爆炸式的增长。
应用类型在增加,应用特征却更复杂,比如现在有很多应用都是基于HTTP等基础协议,让传统基于端口来识别应用的入侵防御解决方案已经不能适用。
如何识别出这些新的应用,从而去检测防御针对这些应用的攻击,是新一代入侵检测网关需要解决的问题。
3. 网络带宽在增加,应用类型在增加,应用协议在复杂化,攻击类型在增加,攻击方式在隐蔽化。
传统入侵防御设备受限于自身处理能力,已经不能胜任这样的趋势,如何去进行深度应用分析、深度攻击原理分析,也许所有的厂家都知道简单的攻击特征匹配已经不能满足时下用户对入侵防御漏判误判的要求,却受限与设备自身的处理能力,从而误判漏判的行为时有发生。
Hillstone山石网科的入侵防御是基于多核plus® G2架构、全并行的流检测引擎和基于攻击原理的入侵防御检测引擎。
基于多核plus®G2的安全架提供了高性能的入侵防御解决发难,并为入侵防御需要的深度应用分析和攻击原理分析提供了强劲的处理能力。
全并行流检测引擎则使用较少的系统资源,并且在并行扫描会话和开启其他多项应用处理功能提供了高可用性。
基于攻击原理的入侵防御有助于提高攻击检测率和降低攻击误判率。
Hillstone山石网科入侵防御解决方案具有以下特性:●基于深度应用识别,积极防范复杂应用攻击●基于多核Plus® G2构架满足深度应用分析、入侵防御功能的高CPU和高内存资源需求●基于深度应用原理、攻击原理的入侵防御解决方案●支持HTTP、FTP、SMTP、IMAP、POP3、TELNET、TCP、UDP、DNS、RPC、Hillstone山石网科入侵防御白皮书FINGER、MSSQL、ORACLE、NNTP、DHCP、LDAP、VOIP、NETBOIS、TFTP等多种常见的应用和协议的攻击防护。
山石网科 Hillstone山石网科 下一代防火墙 配置指南说明书
Hillstone山石网科下一代防火墙基础配置手册V5.5版本Hillstone Networks Inc.服务热线:400 828 6655内容提交人审核人更新内容日期陈天骄陈天骄初次编写2016/1/14目录1 设备管理 (3)1.1 终端console登录 (3)1.2 网页WebUI登录 (3)1.3 恢复出厂设置 (5)1.3.1 CLI命令行操作 (5)1.3.2 WebUI图形化界面操作 (5)1.3.3 硬件CLR操作 (6)1.4 设备系统(StoneOS)升级 (6)1.4.1 通过sysloader升级 (6)1.4.2 通过CLI升级 (9)1.4.3 通过WebUI升级 (9)1.5 许可证安装 (10)1.5.1 CLI命令行安装 (10)1.5.2 WebUI安装 (11)2 基础上网配置 (11)2.1 接口配置 (11)2.2 路由配置 (13)2.3 策略配置 (14)2.4 源地址转换配置(SNAT) (15)3 常用功能配置 (16)3.1 PPPoE拨号配置 (16)3.2 动态地址分配(DHCP)配置 (17)3.3 IP-MAC地址绑定配置 (20)3.4 端到端IPSec VPN配置 (21)3.4.1 配置第一阶段P1提议 (22)3.4.2 配置ISAKMP网关 (23)3.4.3 配置第二阶段P2提议 (24)3.4.4 配置隧道 (25)3.4.5 配置隧道接口 (26)3.4.6 配置隧道路由和策略 (28)3.4.7 查看VPN状态 (29)3.5 远程接入SCVPN配置 (30)3.6 目的地址转换DNAT配置 (38)3.6.1 IP映射 (39)3.6.2 端口映射 (41)1设备管理安全网关支持本地与远程两种环境配置方法,可以通过CLI 和WebUI 两种方式进行配置。
CLI同时支持Console、Telnet、SSH等主流通信管理协议。
Hillstone网络地址转换技术解决方案白皮书
1.2 隐藏并保护内网主机使用网络地址转换(NAT)后,内网主机使用私网地址,而对外网却显示一个或多个公网地址,内网主机不直接暴露在公网上,避免被扫描探测和直接访问,从而增强网络安全性。
Hillstone网络地址转换基本功能2.1 SNAT(源地址转换)2.2 DNAT (目的地址转换)SNAT 是内网终端访问外网服务时使用的功能。
如图1所示,内网终端使用私网地址访问公网服务,数据包经过网关时,网关将“私网源地址:端口”修改成“公网源地址:端口”,并做下记录,当服务端返回数据包时,再按照之前的记录将“公网目的地址:端口”修改回“私网目的地址:端口”。
Hillstone 安全网关的SNAT 功能支持三种转换模式:① 静态地址静态源地址转换即一对一的转换。
该模式要求被转换到的公网地址条目包含的IP 地址数与流量的私网源地址的地址条目包含的IP 地址数相同。
② 动态地址动态源地址转换即多对多的转换。
该模式将私网源地址转换到指定的公网IP 地址。
每一个私网源地址会被映射到一个唯一的公网IP 地址做转换,直到指定公网地址全部被占用。
③ 动态端口多个私网源地址将被转换成指定公网IP 地址条目中的一个地址。
通常情况下,地址条目中的第一个地址将会首先被使用,当第一个地址的端口资源被用尽,第二个地址将会被使用。
DNAT 是外网终端访问内网服务时使用的功能。
如图2所示,外网终端使用公网地址访问内网服务,数据包经过网关时,网关将“公网目的地址:端口”修改成“私网目的地址:端口”,并做下记录,当服务端返回数据包时,再按照之前的记录将“私网源地址:端口”修改回“公网源地址:端口”。
图1 Hillstone 安全网关SNAT 工作原理图2 Hillstone 安全网关DNAT工作原理2.3 ALG (应用层网关)一些应用在通信过程中使用应用层携带网络地址信息,如SIP 协议;一些应用采用多通道数据传送,控制通道在应用层协商数据通道的网络地址,如FTP 协议。
Hillstone防火墙技术
Hi StoneOS安全模式山石网科通信技术(北京)有限公司Hillstone防火墙技术StoneOS安全模式1. 介绍传统防火墙通常可以在两种模式下进行操作:NAT/路由模式和透明模式。
NAT/路由模式部署灵活,并且支持防火墙和路由器两种设备的功能。
尽管如此,许多希望通过最少的网络中断而实现安全保护的客户却会选择透明模式。
随着二层与三层转换的扩展,安全集成到网络中变成一个更加困难的选择。
那么,在哪里部署能够控制所有二层和三层的所有类型流量的安全功能呢?Hillstone的StoneOS提供了一个强大的安全平台,它为安全管理者提供了“集成安全控制和网络管理的底层网络结构”。
StoneOS通过将网络功能从安全功能中分离出来,扩展了NAT/路由模式。
这样,用户就可以在一个完全灵活的环境下使用NAT功能。
StoneOS通过引入专有的Virtual Switch(虚拟交换机)的概念极大地扩展了透明模式。
在二层,用户可以定义VLAN域,并且可以将不同的安全策略应用到每一个VLAN。
StoneOS还拥有重新标记VLAN tag功能,这种功能只有高端的交换机才能实现。
StoneOS混合模式将NAT/路由模式与透明模式结合到同一个设备上。
根据配置的安全策略,部分数据在二层进行处理,而其它数据进行三层处理。
这个强大的功能将路由器和交换机的功能进行完美结合,并且能够降低网络部署的复杂性。
2. NAT/路由模式路由在NAT/路由模式下,设备被划分为多个三层域。
流量会在三层域之间进行转发,并且被转发的流量会被进行安全检查。
对于路由模式,IP地址不会被转换。
对于NAT模式,IP数据包在不同域间转发的过程中,其IP地址和端口号可以被转换。
Hillstone设备将安全管理从网络管理中分离出来。
Hillstone NAT策略是网络管理的一部分,用户可以基于特定接口或者五元组(IP地址、端口号和服务)进行灵活配置,或者将两者相结合。
Hillstone X系列数据中心防火墙X10800说明书
Hillstone X-SeriesData Center Firewall X10800X10800The Hillstone X10800 Data Center Firewall offers outstanding performance, reliability, andscalability, for high-speed service providers, large enterprises and carrier networks. The product is based on an innovative fully distributed architecture that fully implements firewalls with high throughput, concurrent connections, and new sessions. Hillstone X10800 also supportslarge-capacity virtual firewalls, providing flexible security services for virtualized environments, and features such as application identification, traffic management, intrusion prevention, and attack prevention to fully protect data center network security.FrontRearProduct HighlightHigh Performance based on Elastic Security ArchitectureWith traffic explosively increasing, data center firewalls need powerful capabilities to handle high traffic and massive concurrent user access, as well as the ability to effectively cope with sudden bursts of user activity. Therefore, data center firewalls must not only have high throughput but also extremely high concurrent connections and new session processing capabilities.The Hillstone X10800 Data Center Firewall adopts an inno-vative, fully distributed architecture to implement distributed high-speed processing of service traffic on Service Modules (SSMs) and Interface Modules (IOMs) through intelligent traffic distribution algorithms. Through patented resource management algorithms, it allows for the full potential of dis-tributed multi-core processor platforms, to further increase the performance of firewall concurrent connections, new sessions per second, and achieve a fullly linear expansionof system performance. The X10800 data center firewall can process up to 1 Tbps, up to 10 million new sessionsper second, and up to 480 million concurrent connections. The device can provide up to 44 100GE interfaces, 88 10G interfaces, or 22 40GE interface, 132 10G interface expansion capabilities. Moreover, the packet forwarding delay is less than 10us, which can fully meet a data center’s demand for real-time service forwarding.Carrier Grade ReliabilityThe hardware and software of the X10800 data center fire-wall delivers 99.999% carrier-grade reliability. It can support active/active or active/passive mode redundant deployment solutions to ensure uninterrupted service during single failure. The entire system adopts a modular design, supporting con-trol module redundancy, service module redundancy, inter-face module redundancy and switching module redundancy, and all modules are hot-swappable.The X10800 data center firewall supports multi-mode and single-mode optical port bypass modules. When the device is running under a special condition, such as power off, the system will start in Bypass mode to ensure uninterrupted operation of business. It also provides power redundancy, fan redundancy and other key components to guarantee reliability.Twin-mode HA effectively solves the problem of asymmetric traffic in redundant data centers. The firewall twin-mode isa highly reliable networking mode building on dual-device backup. Two sets of active/passive firewalls in the two data centers are connected via a dedicated data link and control link. The two sets of devices synchronize session information and configuration information with each other.Leading Virtual Firewall TechnologyVirtualization technology is more and more widely used in data centers. The X10800 data center firewall can logically divide a physical firewall into upwards of 1000 virtual fire-walls for the data center’s virtualization needs, providing virtual firewall support capabilities for large data centers. At the same time, users can dynamically set resource for each virtual firewall based on actual business conditions, suchas CPUs, sessions, number of policies, ports, etc., to ensure flexible changes in service traffic in a virtualized environment. Each virtual firewall system of X10800 data center firewalls not only has independent system resources, but also can be individually and granularly managed to provide independent security management planes for different services or users. Granular Application Control and Comprehensive SecurityThe X10800 data center firewall uses advanced in-depth application identification technology to accurately iden-tify thousands of network applications based on protocol features, behavior characteristics, and correlation analysis, including hundreds of mobile applications and encrypted P2P applications. It provides sophisticated and flexible application security controls.The X10800 data center firewall provides intrusion prevention technology based on deep application identification, proto-col detection, and attack principle analysis. It can effectively detect threats such as Trojans, worms, spyware, vulnerability attacks, and escape attacks, and provide users with L2-L7Product Highlight (Continued) FeaturesNetwork Services• Dynamic routing (OSPF, BGP, RIPv2)• Static and Policy routing• Route controlled by application• Built-in DHCP, NTP, DNS Server and DNS proxy • Tap mode – connects to SPAN port• Interface modes: sniffer, port aggregated, loopback, VLANS (802.1Q and Trunking)• L2/L3 switching & routing• Virtual wire (Layer 1) transparent inline deploymentFirewall• Operating modes: NAT/route, transparent (bridge), and mixed mode• Policy objects: predefined, custom, and object grouping• Security policy based on application, role and geo-location• Application Level Gateways and session support: MSRCP, PPTP, RAS, RSH, SIP, FTP, TFTP, HTTP, dcerpc, dns-tcp, dns-udp, H.245 0, H.245 1, H.323 • NAT and ALG support: NAT46, NAT64, NAT444, SNAT, DNAT, PAT, Full Cone NAT, STUN• NAT configuration: per policy and central NAT table• VoIP: SIP/H.323/SCCP NAT traversal, RTP pin holing• Global policy management view• Security policy redundancy inspection, policygroup, policy configuration rollback• Policy Assistant for easy detailed policydeployment• Policy analyzing and invalid policy cleanup• Comprehensive DNS policy• Schedules: one-time and recurringIntrusion Prevention• Protocol anomaly detection, rate-based detection,custom signatures, manual, automatic push orpull signature updates, integrated threat encyclo-pedia• IPS Actions: default, monitor, block, reset(attackers IP or victim IP, incoming interface) withexpiry time• Packet logging option• Filter Based Selection: severity, target, OS, appli-cation or protocol• IP exemption from specific IPS signatures• IDS sniffer mode• IPv4 and IPv6 rate based DoS protection withthreshold settings against TCP Syn flood, TCP/UDP/SCTP port scan, ICMP sweep, TCP/UDP/SCIP/ICMP session flooding (source/destination)• Active bypass with bypass interfaces• Predefined prevention configurationAnti-Virus• Manual, automatic push or pull signature updates• Flow-based Antivirus: protocols include HTTP,SMTP, POP3, IMAP, FTP/SFTP• Compressed file virus scanningAttack Defense• Abnormal protocol attack defense• Anti-DoS/DDoS, including SYN Flood, DNS QueryFlood defense• ARP attack defenseURL Filtering• Abnormal protocol attack defense• Anti-DoS/DDoS, including SYN Flood, DNS QueryFlood defense• ARP attack defense• Flow-based web filtering inspection• Manually defined web filtering based on URL, webcontent and MIME header• Dynamic web filtering with cloud-based real-timecategorization database: over 140 million URLswith 64 categories (8 of which are security related)• Additional web filtering features:- Filter Java Applet, ActiveX or cookie- Block HTTP Post- Log search keywords- Exempt scanning encrypted connections oncertain categories for privacy• Web filtering profile override: allows administratorto temporarily assign different profiles to user/group/IP• Web filter local categories and category ratingoverridenetwork security. Among them, Web protection function can meet the deep security protection requirements of Web server; Botnet filtering function can protect internal hosts from infection.The X10800 data center firewall supports URL filtering for tens of millions of URL signature library. It can help admin-istrators easily implement web browsing access control and avoid threat infiltration of malicious URLs. It also provides Anti-virus feature that can effectively detect and block mal-wares with low latency.The intelligent bandwidth management of X10800 data center firewall is based on deep application identification and user identification. Combined with service application priorities, the X10800 data center firewall can implement fine-grained, two-layer, eight-level traffic control based on policies and provide elastic QoS functions. Used with functions such as session restrictions, policies, routing, link load balancing, and server load balancing, it can provide users with more flexible traffic management solutions.Strong Network AdaptabilityThe X10800 data center firewall fully supports next-genera-tion Internet deployment technologies (including dual-stack, tunnel, DNS64/NAT64 and other transitional technologies). It also has mature NAT444 capabilities to support static mapping of fixed-port block of external network addresses to intranet addresses. It can generate logs based on session and user for easy traceability. Enhanced NAT functions (Full-cone NAT, port multiplexing, etc.) can fully meet the require-ments of current ISP networks and reduce the cost of user network construction.The X10800 data center firewall provides full compliance with standard IPSec VPN capabilities and integrates third-gen-eration SSL VPN to provide users with high-performance, high-capacity, and full-scale VPN solution. At the same time, its unique plug-and-play VPN greatly simplifies configuration and maintenance challenges and provides users with convenient and remote secure access services.IP Reputation• Identify and filter traffic from risky IPs such as botnet hosts, spammers, Tor nodes, breached hosts, and brute force attacks• Logging, dropping packets, or blocking for different types of risky IP traffic• Regular IP reputation signature database upgrade Endpoint Identification and Control• Support to identify endpoint IP, endpoint quantity, on-line time, off-line time, and on-line duration • Support 10 operation systems, including Windows, iOS, Android, etc.• Support query based on IP, endpoint quantity, control policy and status etc.• Support the identification of accessed endpoints quantity across layer 3, logging and interference on overrun IP• Redirect page display after custom interference operation• Supports blocking operations on overrun IP Application Control• Over 3,000 applications that can be filtered by name, category, subcategory, technology and risk • Each application contains a description, risk factors, dependencies, typical ports used, and URLs for additional reference• Actions: block, reset session, monitor, traffic shaping• Identify and control cloud applications in the cloud • Provide multi-dimensional monitoring and statistics for cloud applications, including risk category and characteristicsQuality of Service (QoS)• Max/guaranteed bandwidth tunnels or IP/user basis• Tunnel allocation based on security domain, interface, address, user/user group, server/server group, application/app group, TOS, VLAN• Bandwidth allocated by time, priority, or equal bandwidth sharing• Type of Service (TOS) and Differentiated Services (DiffServ) support• Prioritized allocation of remaining bandwidth • Maximum concurrent connections per IP• Bandwidth allocation based on URL category • Bandwidth limit by delaying access for user or IP • Automatic expiration cleanup and manual cleanup of user used trafficServer Load Balancing• Weighted hashing, weighted least-connection, and weighted round-robin• Session protection, session persistence and session status monitoring• Server health check, session monitoring and session protectionLink Load Balancing• Bi-directional link load balancing• Outbound link load balancing includes policy based routing, ECMP and weighted, embeddedISP routing and dynamic detection• Inbound link load balancing supports SmartDNSand dynamic detection• Automatic link switching based on bandwidth,latency, jitter, connectivity, application etc.• Link health inspection with ARP, PING, and DNSVPN• IPSec VPN- IPSEC Phase 1 mode: aggressive and main IDprotection mode- Peer acceptance options: any ID, specific ID, ID indialup user group- Supports IKEv1 and IKEv2 (RFC 4306)- Authentication method: certificate andpre-shared key- IKE mode configuration support (as server orclient)- DHCP over IPSEC- Configurable IKE encryption key expiry, NATtraversal keep alive frequency- Phase 1/Phase 2 Proposal encryption: DES,3DES, AES128, AES192, AES256- Phase 1/Phase 2 Proposal authentication:MD5, SHA1, SHA256, SHA384,SHA512- Phase 1/Phase 2 Diffie-Hellman support: 1,2,5- XAuth as server mode and for dialup users- Dead peer detection- Replay detection- Autokey keep-alive for Phase 2 SA• IPSEC VPN realm support: allows multiple customSSL VPN logins associated with user groups (URLpaths, design)• IPSEC VPN configuration options: route-based orpolicy based• IPSEC VPN deployment modes: gateway-to-gateway, full mesh, hub-and-spoke, redundanttunnel, VPN termination in transparent mode• One time login prevents concurrent logins with thesame username• SSL portal concurrent users limiting• SSL VPN port forwarding module encrypts clientdata and sends the data to the application server• Supports clients that run iOS, Android, andWindows XP/Vista including 64-bit Windows OS• Host integrity checking and OS checking prior toSSL tunnel connections• MAC host check per portal• Cache cleaning option prior to ending SSL VPNsession• L2TP client and server mode, L2TP over IPSEC,and GRE over IPSEC• View and manage IPSEC and SSL VPN connec-tions• PnPVPNIPv6• Management over IPv6, IPv6 logging and HA• IPv6 tunneling, DNS64/NAT64 etc• IPv6 routing protocols, including static routing,policy routing, ISIS, RIPng, OSPFv3 and BGP4+• IPS, Application identification, URL filtering,Access control, ND attack defense, iQoS• Track address detectionVSYS• System resource allocation to each VSYS• CPU virtualization• Non-root VSYS support firewall, IPSec VPN, SSLVPN, IPS, URL filtering• VSYS monitoring and statisticHigh Availability• Redundant heartbeat interfaces• Active/Active and Active/Passive mode• Standalone session synchronization• HA reserved management interface• Failover:- Port, local & remote link monitoring- Stateful failover- Sub-second failover- Failure notification• Deployment options:- HA with link aggregation- Full mesh HA- Geographically dispersed HATwin-mode HA• High availability mode among multiple devices• Multiple HA deployment modes• Configuration and session synchronization amongmultiple devicesUser and Device Identity• Local user database• Remote user authentication: TACACS+, LDAP,Radius, Active• Single-sign-on: Windows AD• 2-factor authentication: 3rd party support,integrated token server with physical and SMS• User and device-based policies• User group synchronization based on AD andLDAP• Support for 802.1X, SSO Proxy• WebAuth page customization• Interface based Authentication• Agentless ADSSO (AD Polling)• Use authentication synchronization based onSSO-monitor• Support MAC-based user authenticationAdministration• Management access: HTTP/HTTPS, SSH, telnet,console• Central Management: Hillstone Security Manager(HSM), web service APIs• System Integration: SNMP, syslog, alliancepartnerships• Rapid deployment: USB auto-install, local andremote script execution• Dynamic real-time dashboard status and drill-inmonitoring widgets• Language support: EnglishFW Throughput (Maximum) (1)IPSec Throughput (Maximum) (2)IMIX Throughput(3)NGFW Throughput (4)Threat Protection Throughput (5)Concurrent Sessions (Maximum)New Sessions/s(6)IPS Throughput (Maximum) (7)Virtual Systems (Default/Max)I/O ModuleMaximum InterfacesMaximum Power Consumption Power SupplyManagement Interfaces Network Interfaces Expansion Module Slot Dimension (W × D × H)WeightCompliance and CertificateSpecificationsSG-6000-X10800Logs & Reporting• Logging facilities: local memory and storage (if available), multiple syslog servers and multiple Hillstone Security Audit (HSA) platforms • Encrypted logging and log integrity with HSA scheduled batch log uploading• Reliable logging using TCP option (RFC 3195) • Detailed traffic logs: forwarded, violated sessions, local traffic, invalid packets, URL etc.• Comprehensive event logs: system and adminis -trative activity audits, routing & networking, VPN, user authentications, WiFi related events• IP and service port name resolution option • Brief traffic log format option• Three predefined reports: Security, Flow and network reports• User defined reporting• Reports can be exported in PDF , Wordl and HTML via Email and FTPStatistics and Monitoring• Application, URL, threat events statistic and monitoring• Real-time traffic statistic and analytics• System information such as concurrent session, CPU, Memory and temperature• iQOS traffic statistic and monitoring, link status monitoring• Support traffic information collection and forwarding via Netflow (v9.0)Module OptionsDescriptionmodule 100GE, 10GE interface moduleQoS service module Security control moduleNetwork Interface4 QSFP28 100GEinterfaces, 8 SFP+ 10Gbinterfaces, transceiver notincluded N/AN/ASlot expansion slot Occupies 1 universal expansion slot expansion slot Occupies 1 universal expansion slot expansion slot Occupies 1 universal expansion slot Weight12.67 lb (5.75 kg)12.56 lb (5.70 kg)7.6 lb (3.45 kg)NOTES:(1) FW Throughput data is obtained under single-stack UDP traffic with 1518-byte packet size;(2) IPSec throughput data is obtained under Preshare Key AES256+SHA-1 configuration and 1400-byte packet size packet; (3) IMIX throughput data is obtained under UDP traffic mix (68 byte : 512 byte : 1518 byte =5:7:1);(4) NGFW throughput data is obtained under 64 Kbytes HTTP traffic with application control and IPS enabled;(5) Threat protection throughput data is obtained under 64 Kbytes HTTP traffic with application control, IPS, AV and URL filtering enabled; (6) New Sessions/s is obtained under TCP traffic;(7) IPS throughput data is obtained under bi-direction HTTP traffic detection with all IPS rules being turned on;(8) At least 3 AC power modules are required for full load operation with AC power, and at least 4 DC power modules are required for full load operation with DC power.Unless specified otherwise, all performance, capacity and functionality are based on StoneOS5.5R7. Results may vary based on StoneOS ® version and deployment.IOM-P100-300IOM-P40-300SWM-300QSM-300SSM-300SCM-300。
H3C SecPath虚拟防火墙技术白皮书(V1.00)
H3C SecPath虚拟防火墙技术白皮书(V1.00)SecPath虚拟防火墙技术白皮书关键词:虚拟防火墙MPLS VPN摘要:本文介绍了H3C公司虚拟防火墙技术和其应用背景。
描述了虚拟防火墙的功能特色,并介绍了H3C公司具备虚拟防火墙功能的独立防火墙和防火墙插板产品的组网环境应用。
缩略语清单:1 概述1.1 新业务模型产生新需求1.2 新业务模型下的防火墙部署1.2.1 传统防火墙的部署缺陷1.2.2 虚拟防火墙应运而生2 虚拟防火墙技术2.1 技术特点2.2 相关术语2.3 设备处理流程2.3.1 根据入接口数据流2.3.2 根据Vlan ID数据流2.3.3 根据目的地址数据流3 典型组网部署方案3.1 虚拟防火墙在行业专网中的应用3.1.1 MPLS VPN组网的园区中的虚拟防火墙部署一3.1.2 MPLS VPN组网的园区中的虚拟防火墙部署二3.1.3 虚拟防火墙提供对VPE的安全保护3.2 企业园区网应用4 总结1.1 新业务模型产生新需求目前,跨地域的全国性超大企业集团和机构的业务规模和管理复杂度都在急剧的增加,传统的管理运营模式已经不能适应其业务的发展。
企业信息化成为解决目前业务发展的关键,得到了各企业和机构的相当重视。
现今,国内一些超大企业在信息化建设中投入不断增加,部分已经建立了跨地域的企业专网。
有的企业已经达到甚至超过了IT-CMM3的级别,开始向IT-CMM4迈进。
另一方面,随着企业业务规模的不断增大,各业务部门的职能和权责划分也越来越清晰。
各业务部门也初步形成了的相应不同安全级别的安全区域,比如,OA和数据中心等。
由于SOX等法案或行政规定的颁布应用,各企业或机构对网络安全的重视程度也在不断增加。
对企业重点安全区域的防护要求越来越迫切。
因此,对企业信息管理人员来说,如何灵活方便的实现企业各业务部门的安全区域划分和安全区域之间有控制的互访成为其非常关注的问题。
这也对安全区域隔离“利器”――防火墙提出了更高的要求。
深信服下一代防火墙NGAF方案白皮书
深信服科技NGAF 下一代防火墙方案白皮书1.概述 (4)2.深信服下一代防火墙核心价值 (5)2.1.全程保护 (5)2.2.全程可视 (7)3.主要功能介绍 (8)3.1.系统架构设计 (8)3.2.基础防火墙特性 (11)3.3.事前风险预知 (13)3.4.事中安全防护 (18)3.5.事后检测及响应 (31)4.部署模式 (33)4.1.网关模式 (33)4.2.网桥模式 (34)4.3.旁路模式 (36)4.4.双机模式 (37)5.市场表现 (39)5.1.高速增长,年复合增长超70% (39)5.2.众多权威机构一致认可 (40)5.3.为客户需求而持续创新 (40)6.关于深信服 (40)1.概述近几年来,随着互联网+、业务数字化转型的深入推进,各行各业都在加速往互联网化、数字化转型。
业务越来越多的向公众、合作伙伴,第三方机构等开放,在数字化业务带给我们高效和便捷的同时,信息暴露面的增加,网络边界的模糊化以及黑客攻击的产业化使得网络安全事件相较以往成指数级的增加,面对应对层出不穷的新型安全事件如网站被篡改,被挂黑链,0 day 漏洞利用,数据窃取,僵尸网络,勒索病毒等等,传统安全建设模式已经捉襟见肘,面临着巨大的挑战。
问题一:传统信息安全建设,以事中防御为主。
缺乏事前的风险预知,事后的持续检测及响应能力传统意义上的安全建设无论采用的是多安全产品叠加方案还是采用 UTM/NGFW+WAF 的整合类产品解决方案,关注的重点都在于如何防护资产在被攻击过程中不被黑客入侵成功,但是并不具备对于资产的事前风险预知和事后检测响应的能力,从业务风险的生命周期来看,仅仅具备事中的防护是不完整的,如果能在事前做好预防措施以及在时候提高检测和响应的能力,安全事件发生产生的不良影响会大幅度降低,所以未来,融合安全将是安全建设发展的趋势。
问题二:传统安全建设是拼凑的事中防御,缺乏有效的联动分析和防御机制传统安全建设方案,搜集到的都是不同产品碎片化的攻击日志信息,只能简单的统计报表展示,并不能结合业务形成有效的资产安全状态分析。
Hillstone Web攻击防护技术解决方案白皮书
Hillstone Web攻击防护技术解决方案白皮书范围:市场类技术文档,面向售前工程师发布,作为售前工程师向客户传递产品功能原理及使用场景的素材文档,并可向有需要的客户直接提供。
关键词:Web攻击防护,SQL注入,跨站脚本,CC攻击,外链检查,访问控制。
摘要:本文介绍了Web攻击防护的需求背景、主要的Web攻击方法、Hillstone Web攻击防护解决方案的技术原理和特点。
1.Web攻击与危害当今的互联网中90%的应用都架设在Web平台上,网上银行、网络购物、网络游戏,以及企业网站等,成为用户每天都要使用的业务。
因此,Web安全成为继操作系统与业务软件安全之后又一热点,并且持续升温,重大的Web攻击事件层出不穷,网络安全从业者开始跟黑客们在这一焦点领域不断的对抗。
由于Web平台的多样性,以及HTTP协议及数据库语言的灵活性,Web攻击形式也五花八门,主要的攻击方法有SQL注入、跨站脚本(XSS)、CC(Challenge Collapsar)等。
1.1SQL注入攻击SQL注入攻击通常是Web服务器对用户输入的参数未加过滤(或过滤不严格)就直接拼装用于数据库查询的SQL语句造成的,很多Web应用都存在此类型的漏洞。
SQL 注入攻击可能产生如下危害:绕过登录验证;破坏数据库的完整性;利用数据库备份机制种植木马;利用数据库的高级特性直接操作目标操作系统;篡改网页;盗取用户资料。
此类攻击一直被开放式Web应用程序安全项目(OWASP)列为十大最严重的Web威胁之首。
图1 典型SQL注入攻击过程1.2跨站脚本攻击跨站脚本攻击与SQL注入漏洞的原理类似,依然是服务器没有对用户的输入进行足够安全的过滤。
不同的是,跨站脚本攻击注入的是浏览器上执行脚本,作为返回页面的一部分返回给浏览者,是一种客户端的攻击方式,很多Web应用都存在此类型的漏洞。
跨站脚本攻击可能产生如下危害:种植木马;盗取用户身份;隐蔽提交;骗流量、骗点击率;DDoS攻击。
Hillstone山石网科流量管理白皮书要点
Hillstone 山石网科流量管理白皮书Hillstone 山石网科流量管理白皮书1. 概述随着互联网的应用和企事业应用的快速发展,爆发出来种类繁多的新应用正在一点一点的蚕食着用户网络中带宽,你也许会碰到下面的一些问题:●即使把带宽增加了,正常业务访问还是变慢了?● 有没有办法保证重要业务不受到影响?● 有没有办法查看到底是谁在蚕食我的带宽?从根本上来讲,QOS 功能能够为特定类型的流量提供更好的服务,特定类型既可以是针对某个角色,比如老板的流量访问、财务部门的流量,也可以针对某种应用,比如针对企事业重要的正常业务。
从技术实现来看,主要是通过提高这些特定类型的流量优先级和带宽配额或者降低其他流量的优先级和带宽配额来实现,比如降低P2P 下载应用的带宽。
StoneOS ® QoS是一个工具箱,能够保证服务的可用性,能够有效管理带宽资源和区分网络应用的优先级。
同时,StoneOS ® QoS是建立在Hillstone 山石网科多核Plus ® G2安全架构之上,能提供基于深度应用、角色等流量管理。
2. StoneOS® QoS基本结构StoneOS ®的QoS 基于以下基本模块实现:● QoS识别和标记技术。
用于网络元素间从点到点的QoS 协调● 单一网络元素内的QoS(例如:队列、拥塞避免、调度、管制以及流量整形工具● 统计功能。
基于角色、应用的实时流量统计,用于控制和管理流量。
Hillstone 山石网科流量管理白皮书3. Hillstone 山石网科解决方案通过结合以下技术,StoneOS ®用创新的专有的技术实现强大而灵活的QoS 解决方案:● 基于RFC 的DSCP 标记●IP QoS● 角色QOS ● 应用QoS ● 混合QOS ● 应用标记● 弹性QoS3.1 与第三方设备互通QoS 是不同品牌网络设备之间共同努力的结果。
以一个大型企业的网络环境为例,Hillstone 山石网科设备可以被部署为分支办公室的网关设备,它可能与Cisco 的路由器共同工作。
Hillstone山石网科HSM白皮书学习资料
Hillstone山石网科HSM(Hillstone SecurityManagement TM)白皮书概述HSM是为了使企业和服务提供商可以很容易地管理多个设备,最大程度地降低了配置,管理,监控及维护设备的投入成本。
支持企业和服务提供商集中高效地完成和管理多台设备的需求。
结合山石网科上网行为管理,为企业提供了全方位基于用户和应用的审计。
可针对Web访问、论坛发帖、P2P、IM(即时通讯)、游戏等等进行细粒度审计,能够满足公安部82号令要求,提供长期的审计数据保存和维护。
通过集中的对全网设备进行状态监控、流量监控、行为分析,总结出用户网络的安全威胁和安全漏洞,通过保持持续的安全定义和策略的应用提高了系统的安全,最终构成安全闭环,达到动态安全防护。
产品架构HSM系统分为三部分,即HSM代理(Hillstone Security Management Agent)、HSM服务器(Hillstone Security Management Server)和HSM客户端(Hillstone Security Management Client)。
将这三部分合理部署到网络中,并且实现安全连接后,用户可以通过客户端程序,查看被管理安全设备的日志信息、统计信息、设备属性等,监控被管理设备的运行状态和流量信息。
HSM代理HSM系统对Hillstone安全设备进行管理和控制,因此,每台Hillstone安全设备运行的StoneOS都包含HSM代理模块,通过对代理模块的配置,使Hillstone安全设备与服务器相连,从而实现管理和控制。
HSM服务器HSM服务器是网管系统的管理中心,完成信息及数据的存储、分析和转发,实时接收并监控所有被管理设备的运行信息,实时接收安全告警消息,实时接收各种日志消息,且可提供长达半年的日志信息多条件查询和过滤。
HSM客户端HSM客户端是一个安装在Windows 2000/2003/XP操作系统的应用程序,提供简单友好的用户操作界面。
Hillstone QoS 白皮书
Hillstone山石网科流量管理白皮书1. 概述随着互联网的应用和企事业应用的快速发展,爆发出来种类繁多的新应用正在一点一点的蚕食着用户网络中带宽,你也许会碰到下面的一些问题:●即使把带宽增加了,正常业务访问还是变慢了?●有没有办法保证重要业务不受到影响?●有没有办法查看到底是谁在蚕食我的带宽?从根本上来讲,QOS功能能够为特定类型的流量提供更好的服务,特定类型既可以是针对某个角色,比如老板的流量访问、财务部门的流量,也可以针对某种应用,比如针对企事业重要的正常业务。
从技术实现来看,主要是通过提高这些特定类型的流量优先级和带宽配额或者降低其他流量的优先级和带宽配额来实现,比如降低P2P下载应用的带宽。
StoneOS®QoS是一个工具箱,能够保证服务的可用性,能够有效管理带宽资源和区分网络应用的优先级。
同时,StoneOS® QoS是建立在Hillstone 山石网科多核Plus® G2安全架构之上,能提供基于深度应用、角色等流量管理。
2. StoneOS® QoS基本结构StoneOS®的QoS基于以下基本模块实现:●QoS识别和标记技术。
用于网络元素间从点到点的QoS协调●单一网络元素内的QoS(例如:队列、拥塞避免、调度、管制以及流量整形工具)●统计功能。
基于角色、应用的实时流量统计,用于控制和管理流量。
3. Hillstone 山石网科解决方案通过结合以下技术,StoneOS®用创新的专有的技术实现强大而灵活的QoS解决方案:●基于RFC的DSCP标记●IP QoS●角色QOS●应用QoS●混合QOS●应用标记●弹性QoS3.1 与第三方设备互通QoS是不同品牌网络设备之间共同努力的结果。
以一个大型企业的网络环境为例,Hillstone山石网科设备可以被部署为分支办公室的网关设备,它可能与Cisco的路由器共同工作。
为保证整个网络的QoS,两个设备必须使用相同的规则去定义流量优先级。
Hillstone 统一智能防火墙安装手册说明书
Hillstone统一智能防火墙安装手册目录第1章介绍 (1)第2章准备工作 (3)第3章安装与升级 (7)安装统一智能系统软件到虚拟机 (8)升级企业安全网关到指定的系统固件 (10)第4章初始化 (12)初始化 (12)第5章登录统一智能防火墙 (17)第6章高级功能设置 (18)查看统一智能系统接口信息 (18)配置统一智能系统接口 (18)修改统一智能系统登录密码 (18)升级统一智能防火墙 (18)通过WebUI升级 (18)通过CLI升级 (20)升级或回退企业安全网关的系统固件 (20)删除统一智能系统 (21)查看统一智能系统软件的版本及企业安全网关系统固件的版本 (21)配置可信主机 (21)智一能系统与企业安全网关连接通道的加密 (22)关于本手册手册内容该文档介绍统一智能防火墙的安装部署,具体内容包括:♦第1章介绍♦第2章准备工作♦第3章安装与升级♦第4章初始化♦第5章登录统一智能防火墙♦第6章高级功能设置手册约定为方便用户阅读与理解,本手册遵循以下约定:内容约定本手册内容约定如下:♦提示:为用户提供相关参考信息。
♦说明:为用户提供有助于理解内容的说明信息。
♦注意:如果该操作不正确,会导致系统出错。
♦『』:用该方式表示Hillstone设备WebUI界面上的链接、标签或者按钮。
例如,“点击『登录』按钮进入Hillstone设备的主页”。
♦< >:用该方式表示WebUI界面上提供的文本信息,包括单选按钮名称、复选框名称、文本框名称、选项名称以及文字描述。
例如,“改变MTU值,选中<手动>单选按钮,然后在文本框中输入合适的值”。
CLI约定本手册在描述CLI时,遵循以下约定:♦大括弧({ }):指明该内容为必要元素。
♦方括弧([ ]):指明该内容为可选元素。
♦竖线(|):分隔可选择的互相排斥的选项。
♦粗体:粗体部分为命令的关键字,是命令行中不可变部分,用户必须逐字输入。
Hillstone 山石网科UTM Plus白皮书V1
Hillstone 山石网科UTM Plus 技术白皮书1 概述从防火墙到UTM早期的安全设备基本上都是单点串行的接入方式。
安全设备独立运行,管理复杂,单点故障多带来的可靠性极低., 同时,安全状态分析复杂, 并且投资较高,维护成本高,使用的处理的数据在所有的设备上都需要处理以便,对性能的牺牲也是极大的。
从UTM到UTM PlusUTM(统一威胁管理)的出现似乎解决了这以问题,UTM的部署方式不再是单点串行部署,而是将所有的安全引擎都内置在同一安全设备上,从理论上来将,UTM的出现解决了传统防火墙,防病毒,入侵防御等单点式安全产品串行部署带来的一系列如安全管理,投资高,维护成本大,单点故障多的问题。
但是,是不是UTM的出现就能解决所有的问题了呢?●从传统的UTM实现来看,只是将安全功能简单的叠加,导致系统性能急剧下降,系统不可用。
所有安全功能单独运行,仅是简单集成到了一个系统平台上,安全模块没有做到内部互动,安全问题依然存在, 传统UTM越来越成为了概念,离使用越来越远…图1 传统UTM 串行软件处理架构●从当前用户对网络安全需求的角度来看,之前网络安全的管理的重心主要是集中在在外网到内网的攻击防护和阻断,但随着互联网业务的发展,业务带宽被P2P等下载软件蚕食,无序的、不受约束的上网行为导致不良网站访问、“安全门”、“泄密门”等信息泄密事件的产生等。
全网安全管理,而不仅仅是外网攻击防护,已经让传统UTM只能“防外不防内”的解决方案失去了意义。
UTM Plus是什么UTM Plus是建立在传统UTM解决方案之上,能应对当今复杂多变的网络应用,能满足当下用户对安全应用的需求,并且不管从系统架构层面到软件设计,都具备良好的处理能力来支持所有庞大的功能模块正常运行。
●从网络应用的变化角度来看,UTM Plus解决方案必须能识别和处理新型复杂多变的应用,只有可视化的识别这些应用才能针对应用进一步做对应安全引擎处理。
Hillstone山石网科上网行为管理白皮书
Hillstone山石网科上网行为管理白皮书第一篇:Hillstone山石网科上网行为管理白皮书Hillstone山石网科上网行为管理白皮书概述互联网的兴起与普及为人们的工作和生活提供了极大的便利,与此同时,经由内部访问互联网导致的带宽滥用、效率下降、信息泄漏、法律风险、安全隐患等问题日益凸显。
例如,在企业内部,部分员工利用工作时间在线炒股、玩在线游戏、欣赏音乐和视频、通过P2P工具下载、使用即时通讯工具无节制地网络聊天、通过网络外泄公司机密;在网吧等一些公共上网场所,人们可以随意浏览不健康网站、发表不负责任的言论、甚至参与非法网络活动……针对互联网所带来的上述问题,StoneOS提供许可证控制的上网行为管理功能。
该功能通过对用户的网络访问行为进行控制和管理,有效解决因接入互联网而可能引发的各种问题,优化对互联网资源的应用。
产品功能StoneOS上网行为管理功能对网络游戏、在线聊天、在线炒股、P2P下载、网页访问、邮件外发及论坛发帖等各种网络行为进行全面控制管理,并可以根据需要针对不同用户、不同网络行为、不同时间进行灵活的管理策略设置和日志记录,同时能够配合Hillstone山石网科集中网络安全管理系统(HSM)对网络行为日志进行查询统计与审计分析,从而为网络管理者的决策和管理提供重要的数据依据。
上网行为管理策略StoneOS上网行为管理功能主要通过策略机制实现,网络管理者可以针对不同用户制定适合的上网行为管理策略规则,系统则会根据策略规则对网络应用流量进行行为控制和管理。
上网行为管理策略规则共分为三类:网络应用控制策略规则、网页内容控制策略规则和外发信息控制策略规则,每类中又包含若干子控制策略规则。
策略规则名称、优先级、用户、时间表、网络行为以及控制动作构成上网行为管理策略规则的基本元素。
通过WebUI配置上网行为管理策略规则,需要进行下列基本元素的配置:♦策略规则名称–上网行为管理策略规则的名称。
Hillstone高可靠组网解决方案技术白皮书
Hillstone防火墙高可靠组网解决方案技术白皮书关键词:防火墙,单点故障,状态检测,HA组,AP,AA,Hillstone集群管理协议(HCMP),冗余,负载均衡,非HA组,非对称流量,企业网络出口,数据中心网络出口,宽带运营商网络出口,状态机。
摘要:本文介绍了防火墙高可靠组网的需求背景、Hillstone防火墙高可靠组网的工作模式、典型应用场景,以及Hillstone集群管理协议的基本原理。
缩略语:1.防火墙高可靠组网需求背景1.1单机部署存在单点故障风险单台设备部署时,无论其可靠性多高,系统都必然要承受因单点故障而导致网络业务中断的风险。
而且防火墙部署在互联网出口一般主要使用网络地址转换(NAT)功能,因此无法使用Bypass来解决单点故障问题。
图1单机部署存在单点故障风险1.2双活单机部署依然存在问题单点故障问题可通过双活架构组网来规避,但防火墙(不同于路由器)是状态检测设备,如果仍是单机模式,会出现单台设备故障时,靠路由冗余切换过来的TCP流无法通过状态检测而中断。
即使防火墙关闭状态检测,对于需要网络地址转换的流,由于没有NAT会话同步,也会导致中断。
而且流的后续报文可能缺少应用特征关键字,导致流量应用类型识别不准。
图2双活单机部署依然存在问题2.Hillstone防火墙高可靠组网工作模式Hillstone防火墙高可靠组网工作模式目前有三种:“HA组”AP模式、“HA组”AA模式、“非HA组”AA模式。
“HA组”是指两台防火墙通过Hillstone集群管理协议建立互相备份关系(Hillstone集群管理协议的基本原理请参考附文),而“非HA组”则是两台防火墙依赖组网中的路由冗余建立互相备份关系。
2.1“HA组”AP模式两台设备(工作在透明模式或者路由模式)配置成一个“HA组”,一台作为主设备,另一台作为备份设备。
主设备处于活动状态,转发报文,同时将其所有网络和配置信息以及当前会话信息传递给备份设备。
山石网科虚拟云安全解决方案技术白皮书-CN-V1.0
山石网科虚拟云安全解决方案技术白皮书——山石云·格面向虚拟化数据中心的软件定义安全数据中心已经从物理架构演进到大规模虚拟和云的架构。
服务器和存储被虚拟化成为很多数据中心的标准,新兴的网络功能虚拟化(NFV)和软件定义网络(SDN)技术有望通过虚拟化的网络和安全功能完成物理到虚拟的演进。
虚拟数据中心在效率、业务敏捷性,以及快速的产品上市时间上有明显的优势。
然而,应用、服务和边界都是动态的,而不是固定和预定义的,因此实现高效的安全十分具有挑战性。
传统安全解决方案和策略还没有足够的准备和定位来为新型虚拟化数据中心提供高效的安全层,这是有很多原因的。
从南北到东西在传统数据中心里,防火墙、入侵防御,以及防病毒等安全解决方案主要聚焦在内外网之间边界上通过的流量,一般叫做南北向流量或客户端服务器流量。
在今天的虚拟化数据中心里,像南北向流量一样,交互式数据中心服务和分布式应用组件之间产生的东西向流量也对访问控制和深度报文检测有刚性的需求。
多租户云环境也需要租户隔离和向不同的租户应用不同的安全策略,这些租户的虚拟机往往是装在同一台物理服务器里的。
不幸的是,传统安全解决方案是专为物理环境设计的,不能将自己有效地插入东西向流量的环境中,所以它们往往需要东西向流量被重定向到防火墙、深度报文检测、入侵防御,以及防病毒等服务链中去。
这种流量重定向和静态安全服务链的方案对于保护东西向流量是效率很低的,因为它会增加网络的延迟和制造性能瓶颈,从而导致应用响应时间的缓慢和网络掉线。
负载移动性和可扩展性静态安全解决方案在物理静态负载环境中是有效的。
在虚拟化数据中心里,负载移动性和迁移是常态,那就意味着安全解决方案不仅也要具有移动性,还要能够感知负载的移动。
而且它还得保持状态并对安全策略做出实时响应。
要做到这一点,最好的办法就是通过与云管理平台(例如vCenter和OpenStack)紧密集成。
在虚拟化环境里,负载增大、减小和移动,以满足业务和应用的需求,安全解决方案的可扩展性和弹性显得尤为重要。
Hillstone下一代智能防火墙技术白皮书之增强的智能流量管理(iQoS)篇
Hillstone下一代智能防火墙技术白皮书之• 流量的划分不够精细,大部分QoS只能做到基于5元组的流量划分• 缺乏QoS管理手段,缺少直观可视,简单易用的QoS呈现• 优先级的处理效果有限,不能很好的保证关键业务优先调度处理• 剩余带宽不能得到合理有效的利用Hillstone T系列下一代智能防火墙独创的具有专利技术的增强的智能流量管理(iQoS),可以实现两层八级的管道嵌套以及更细粒度的流量控制,满足不同网络层次部署的需要,能够很好的解决传统QoS无法解决的问题。
制总P2P下载带宽30Mbps;这种配置很不灵活,其实是通过分别限制财务总监和普通员工的P2P下载带宽达到限制总P2P下载带宽30Mbps的目的。
iQoS两层流控的做法是:第一层流控基于用户进行控制,即限制财务总监带宽50Mbps、普通财务员工带宽30Mbps,第二层流控基于P2P应用进行控制,即将总的P2P下载速率限制到30Mbps。
这种处理很灵活,不需要分别限制财务总监和普通员工的P2P下载带宽,他们各自P2P的下载带宽不用设置成固定的值,经过第二层流控时很自然会将总的P2P下载速率限制到30Mbps。
两层流控工作流程如下图:第一层流控第二层流控图1 两层流控工作流程示意图2.1.2 单层四级嵌套Hillstone 增强的智能流量管理(iQoS )在每一层流控中,最多支持四级管道的嵌套。
流量会按照匹配条件,逐级匹配管道;未匹配到任何管道的流量,则进入预定义的默认管道。
每一级管道都有各自的匹配条件(rule )和流控动作,满足匹配条件的流量按照该管道配置的流控动作进行相应的流量控制。
匹配条件(rule )包括源安全域、源接口、源地址条目、目的安全域、目的接口、目的地址条目、用户/用户组、服务/服务组、应用/应用组、TOS 、Vlan ,可以根据一种条件来划分流量,如根据源地址条目;也可以根据多种条件组合来划分流量,多种条件之间是”与”的关系,如根据源接口、目的地址条目和应用HTTP ,即从指定的源接口到具体的目的地址的HTTP 流量,这样能够更加精细的划分流量。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
图1 使用虚拟防火墙进行业务灵活扩展
在传统数据中心方案中,业务服务器与防火墙基本上是一对一配比。
因此,当业务增加时,用户需要购置新的防火墙;而当业务减少时,对应的防火墙就闲置下来,导致投资浪费。
虚拟防火墙技术以其灵活可扩展的特性帮助用户保护投资,用户可以随时根据业务增减相应的虚拟防火墙。
同时,通过使用虚拟防火墙的CPU资源虚拟化技术,数据中心还可以为客户定量出租虚拟防火墙,例如,可以向某些客户出租10M吞吐量的虚拟防火墙,而向另一些客户出租100M吞吐量的虚拟防火墙。
Hillstone 的虚拟防火墙功能简称为VSYS ,能够将一台物理防火墙在逻辑上划分成多个虚拟防火墙,每个虚拟防火墙系统都可以被看成是一台完全独立的防火墙设备,拥有独立的系统资源,且能够实现防火墙的大部分功能。
每个虚拟防火墙系统之间相互独立,不可直接相互通信。
不同型号的Hillstone 物理防火墙设备支持的最大VSYS 个数不同,支持License 控制的VSYS 个数的扩展。
数据中心业务类型多种多样,需要使用的防火墙策略也不同。
例如,DNS 服务器需要进行DNS Query Flood 攻击防护,而HTTP 服务器则需要进行HTTP Get Flood 攻击防护。
虚拟防火墙的划分能够实现不同业务的专属防护策略配置。
同时,CPU 资源虚拟化可隔离虚拟防火墙之间的故障,当单个虚拟防火墙受到攻击或资源耗尽时,其它虚拟防火墙不会受到影响,这样就大大提升了各业务的综合可用性。
图2
使用虚拟防火墙进行业务隔离
Hillstone 虚拟防火墙功能包含以下特性:
■ 每个VSYS 拥有独立的管理员
■ 每个VSYS 拥有独立的安全域、地址簿、服务簿等■ 每个VSYS 可以拥有独立的物理接口或者逻辑接口■ 每个VSYS 拥有独立的安全策略■
每个VSYS 拥有独立的日志
1.2 业务隔离,互不影响
3.2 专有对象与共享对象
系统在没有配置任何虚拟防火墙时,只有一个逻辑的防火墙系统,称为根虚拟系统(根VSYS ),所有的系统资源都被根VSYS 所使用(不只是硬件资源)。
从根VSYS 中划分出来的逻辑防火墙,称为非根VSYS 。
非根VSYS 根据事先配置的虚拟防火墙资源配额配置,从根VSYS 中划分系统资源。
虚拟防火墙系统资源分配原则将在3.3
节进
行详细讲解。
图4 专有对象与共享对象原理
图3 根VSYS 与非根VSYS 的关系
上图为Hillstone 虚拟防火墙系统资源虚拟化计算原则,各项中的参数max-num1和max-num2都需要按照图中表格下方公式单独计算,公式中的capacity 参数为系统当前各项指标支持的最大规格,max-vsys-num 参数为系统当前支持VSYS 的最大个数(License 控制)。
针对CPU 资源虚拟化技术,Hillstone 提出了HSCS (HS CPU Score )的概念,即CPU 能够处理1M 小包的能力。
例如,某款产品CPU 处理能力为100M 的小包,那么该款产品CPU 的处理能力是100HSCS 。
虚拟防火墙系统资源配额配置举例,假设Hillstone 某型号防火墙当前系统各项指标大规格(Capacity )如下表所示,且系统当前支持的最大VSYS 数为5:
3.3 虚拟防火墙系统资源虚拟化计算原则
VSYS 中的安全域和接口对象具有专有和共享属性。
具有专有属性的对象称为专有对象;将具有共享属性的对象经过相关配置后即成为共享对象。
专有对象和共享对象有如下特征:
■
专有对象:
专有对象专属于某个VSYS ,不可以被其它VSYS 引用。
根VSYS 和非根VSYS 中均可包含专有对象。
■
共享对象:
共享对象可被多个VSYS 共享。
共享对象只能属于根VSYS ,并且只能在根VSYS 中配置;非根VSYS 只能引用共享对象,不能对其进行配置。
共享对象的名称必须全局唯一,任何一个VSYS 中的对象都不可以与同类共享对象重名。
图5 虚拟防火墙系统资源虚拟化计算原则
4.1 内外网物理接口都专有。
Hillstone 虚拟防火墙典型组网场景
图6 内外网物理接口都专有的组网场景
图7 内网物理接口专有、外网物理接口共享的组网场景
传统数据中心业务服务器与防火墙采用一对一的配比,这种方案通常使用内外网物理接口都专有的组网方案进行过渡,即使用支持虚拟防火墙的高性能单台设备替换原有多台分散的物理防火墙设备。
互联网出口较少或者单一时,比较适合使用的是内网物理接口专有、外网物理接口共享的组网方案,各非根VSYS 专有自己的内网物理接口,防火墙在部署过程中不影响交换机的原有配置。
4.2 内外物理接口专有、外网物理接口共享
图8 内外网物理接口都共享的组网场景
内网接口和互联网出口都单一的组网也是一些用户可能遇到的场景。
虽然防火墙在部署过程中内外网物理接口都公用,但实际上只有外网接口及其所属的安全域是共享对象。
内网接口需要先配置子接口,再将各子接口划分给各非根VSYS 专有。
由于防火墙子接口只能处理带VLAN 标记的报文,这就需要更改交换机与防火墙相连的接口为Trunk 口,同时更改交换机与各服务器相连的接口为Access 口。
这样就相当于通过VLAN 将各业务系统进行隔离,各业务系统又都拥有自己独立的虚拟防火墙系统。
4.3
内外网物理接口都共享。