SecPath虚拟防火墙技术白皮书
Symantec SEP5.1技术白皮书
Symantec Sygate Enterprise Protetion 5.1技术白皮书北京赛门铁克信息技术有限公司目录1.端点安全现状 (4)2.SYMANTEC SYGATE ENTERPRISE PROTECTION介绍 (6)3.什么是网络准入控制(NAC)? (8)4.SYMANTEC SEP 系统架构 (11)S YMANTEC S YGATE E NTERPRISE P ROTECTION系统组成 (11)5.产品部署模式 (13)6.SYMANTEC SEP 各模块功能 (14)6.1.S YMANTEC S YGATE P OLICY M ANAGER的功能 (14)6.1.1 策略升级和分发 (14)6.1.2 设置Symantec Protection Agent用户控制模式 (15)6.1.3 策略复制 (15)6.1.4 事件日志转发 (16)6.2.S YMANTEC S YGATE P ROTECTION A GENT的功能 (16)6.2.1 以应用程序为中心的个人防火墙(Personal Firewall) (17)6.2.2 主机入侵预防系统(HIDS) (17)6.2.3 操作系统保护(OS Protection) (19)6.2.4 自适应保护(Adaptive Protection) (19)6.2.5 自动修复(Automatic Remediation) (20)6.3.S YMANTEC S YGATE U NIVERSAL E NFORCEMENT的功能 (20)6.3.1 Symantec Gateway Enforcer :Symantec Gateway NAC (21)6.3.2 Symantec LAN Enforcer :Sygate 802.1x-Based NAC for LAN and Wireless (21)6.3.3 Symantec DHCP Enforcer :Symantec DHCP-Based NAC (22)6.3.4 Symantec On-Demand NAC (24)6.3.5 Endpoint Enforcement (Symantec Protection Agent): (24)6.3.6 Symantec Universal Enforcement API (25)6.3.7 Symantec NAC 方法回顾 (25)6.4.S YMANTEC S YGATE U NIVERSAL E NFORCEMENT所支持的网络基础架构厂商 (25)7.SYMANTEC SEP 系统功能介绍 (27)7.1.多层次的病毒、蠕虫防护 (27)7.2.终端用户透明、自动化的补丁管理,安全配置 (30)7.3.全面的网络准入控制 (30)7.4.全面的入侵防范 (33)7.5.终端设备安全完整性保证 (33)7.6.移动用户的自适应防护 (34)7.7.统一、有效的安全策略管理 (35)8.产品主要性能指标参数 (37)8.1S YMANTEC SEP5.1使用服务列表 (37)8.2S YMANTEC SEP5.1使用端口列表 (37)9.SEP终端安全解决方案硬件需求 (39)9.1SEP运行要求(单独安装最小配置要求) (39)9.2SEP系统硬件配置建议 (41)1.端点安全现状今天,员工对系统的滥用、错误配置以及恶意访问导致企业业务面临很多现实的安全威胁。
SecPath SysScan系统漏洞扫描产品白皮书
H3C SecPath SysScan 系统漏洞扫描系统产品概述H3C SecPath SysScan 系统漏洞扫描产品是由新华三技术有限公司(以下简称 H3C 公司)在多年的安全研究沉淀和服务实践经验的基础上,自主研发的一款用于评估网络运行环境安全风险的产品,可以对各类服务器、网络设备、安全设备等操作系统环境、数据库环境、WEB 应用等进行综合漏洞扫描检测。
该产品主要用于分析和指出存在的相关安全漏洞及被测系统的薄弱环节,给出详细的检测报告,在业务环境受到危害之前为安全管理员提供专业、有效的安全分析和修补建议,该产品已经成为安全管理员的主流使用工具。
该产品广泛应用于政府、公安、教育、卫生、电力、金融等行业,帮助用户解决目前所面临的各类常见及最新的安全问题,同时满足如等级保护、行业规范等政策法规的安全建设要求。
H3C SecPath SysScan 系统漏洞扫描系统产品外观图产品特点融合多种漏洞检查能力为一体H3C SecPath SysScan 系统漏洞扫描系统能够全方位检测 IT 系统存在的脆弱性,发现信息系统安全漏洞,检查系统存在的弱口令,收集系统不必要开放的账号、服务、端口,形成整体安全风险报告,帮助安全管理人员先于攻击者发现安全问题,及时进行修补。
产品彩页12领先的扫描技术产品采用 B/S 设计架构,运用高效稳定的核心扫描引擎,综合多种端口检测技术、智能服务识别、授权登陆扫描、安全优化扫描、知识键依赖检测等先进技术,通过脚本预加载方式,提高脚本调度效率和执行效率。
WEB 漏洞扫描采用智能页面爬取和手动页面抓取相结合实现立体式页面抓取、资源动态调节、代理缓存机制和实时任务调度等领先技术,实现了对大规模网站的快速、稳定的扫描。
全面、深度、准确地检测网络中潜在的各种应用弱点,有助于提高主动防御能力。
先进的引擎管理为了保证漏洞扫描的可靠性和稳定性,产品运用多引擎分离技术,各引擎相互独立,采用通讯方式实现引擎间交互,引擎包括(任务调度引擎、业务调度引擎、系统漏扫引擎、数据库扫描引擎、爬虫引擎和 WEB 漏洞检测引擎)。
2009051705-45-Symantec Client Security 3.0技术白皮书
Symantec Client Security 3.0技术白皮书北京赛门铁克信息技术有限公司目录1、产品定位和功能描述 (3)1.1产品定位 (3)1.2主要功能 (3)2、产品工作原理、部署和管理方式 (5)2.1产品结构和工作原理 (5)2.2产品部署模式 (5)2.3产品管理模式 (7)3、产品的主要技术特点 (9)3.1产品的技术特点 (9)3.2集成管理和可扩展性 (10)3.3集中的升级方式 (10)3.4客户端安全策略强制部署 (11)4、产品主要性能指标参数 (12)5、系统最低硬件配置要求 (14)1、产品定位和功能描述1.1产品定位当前,企业网络面临的威胁已经由传统的病毒威胁转化为现在的还包括了蠕虫、木马、间谍软件、广告软件和恶意代码等与传统病毒截然不同的新类型。
这些新类型的威胁业界称之为混合型威胁。
混合型病毒将传统病毒原理和黑客攻击原理巧妙的结合在一起,将病毒复制、蠕虫蔓延、漏洞扫描、漏洞攻击、DDOS攻击、遗留后门等等攻击技术综合在一起。
其传播速度非常快,造成的破坏程度也要比以前的计算机病毒所造成的破坏大得多,混合型病毒的出现使人们意识必须设计一个有效的主动式保护战略来在病毒爆发之前进行遏制。
Symantec Client Security将网络和远程客户端的安全功能集成在一个解决方案中。
它不存在互操作性问题,通过集成赛门铁克的防病毒、防火墙和入侵防护等技术为客户提供更强的攻击防护能力,对混合型威胁、蠕虫病毒的攻击具有强大的防护功能。
赛门铁克客户端安全解决方案具备简单安装套件、集中的中央管理系统、单次即可完成三大安全及时更新响应机制,可降低企业整体拥有成本,并提升企业安全的管理效率,从而为企业客户端提供更佳的保护并降低整体建设和维护的成本。
1.2主要功能通过采用一个厂商的集成化技术实现集中管理和响应,增加了防护能力,降低了管理和支持成本。
通过单一管理、简单安装等机制。
也方便实现企业内信息安全政策的贯彻实施。
H3C SecPath 防火墙培训 ppt课件
AAA 认证
终端日志
SNMP v3
ARP 命令行授权
8
高速、丰富的NAT转换
支持多种常用转换(一对多、多对一、NAPT、Easy IP等)
支持多种地址转换应用层网关(解决特殊协议穿越NAT问题)
NAT 限制最大TCP 连接数(解决内网病毒主机发起大量NAT会话)
电信
电信
14
高可用性—电信级硬件平台
✓关键部件均冗余设计 ✓高达35万小时的 (MTBF) ✓支持接口模块热插拔 ✓支持温度自动检测及告警 ✓双电源冗余备份
端 到
业务可靠
端
可
网络可靠
靠
网
设备可靠
络
15
日志管理及告警
✓Syslog文本日志 ✓二进制日志 ✓丰富日志信息:
Proposals
IKE 2
IPsec 隧道
10
网络深度融合能力
专业网络厂商的丰富路由及QoS特性:
✓静态/RIPv1/2/OSPF/B拥塞检测及避免/流量整形
✓MPLS/多播/虚拟防火墙 丢弃
入接口
拥塞管理
接收报文
ACL
源地址 目的地址 源端口 CA 目的端口R 协议类型
7
防火墙软件架构
VPN
网络集成解决方案
Firewall IDS
管理业务
用户管理
安全层面
IPsec
ACL
动态 VPN
IP服务层面 GRE、L2TP
Firewall
AAA
SSH
路由协议
入侵检测 NAT
VOIP
SSL PKI、 VRRP
多播
智能蠕虫病毒防范技术白皮书(wsb)
智能蠕虫病毒防范技术白皮书Huawei Technologies Co., Ltd.华为技术有限公司All rights reserved版权所有侵权必究Catalog 目录1概述 (4)2蠕虫病毒的特点 (4)3现在的防范方法 (4)4智能蠕虫病毒的防范方法 (5)4.1基本原理 (5)4.2实现蠕虫病毒防范对设备的基本要求 (5)4.2.1强大的处理能力 (5)4.2.2具有扫描攻击防范的功能 (6)4.2.3具有针对性的策略 (6)5SecPath防火墙智能蠕虫病毒的防范方法 (6)5.1强大的处理能力 (6)5.2扫描防范功能 (6)5.3后续的策略防范 (7)5.4总结 (7)智能蠕虫病毒防范技术白皮书Keywords 关键词:防火墙、蠕虫病毒、地址扫描、DosAbstract 摘要:本文描述了通过SecPath系列防火墙如何可以有效的防范蠕虫病毒传播的一种安全技术。
List of abbreviations 缩略语清单:1 概述现在网络环境中,面临着诸多不安全因素。
其中,以蠕虫为代表的病毒传播也是现在网络中面临的一个非常让人头疼的问题。
比如前不久泛滥的振荡波病毒就是一种典型的蠕虫病毒。
本文介绍了蠕虫病毒的特点,以及如何有效的防范蠕虫病毒的传播。
同时介绍了华为公司的SecPath系列防火墙如何可以做到智能的防范蠕虫病毒。
2 蠕虫病毒的特点下面首先简单介绍一下蠕虫病毒的特点:蠕虫病毒主要由三部分构成:1、病毒传播。
蠕虫病毒具有自动利用网络传播的特点,正是由于这个特点导致蠕虫病毒成为了现在网络中面临的一个巨大的问题。
在病毒的传播的同时,也造成了带宽的极大浪费,严重的情况可能会造成网络的瘫痪。
2、病毒隐藏。
病毒隐藏是所有病毒的基本特征,通过在主机上隐藏,使得用户不容易发现病毒的存在。
3、控制模块,该模块通过后台运行,进一步感染其他主机或者打开系统的某些后面,以达到控制主机的功能。
按照蠕虫病毒的构成特点,在网络中应该重点关注病毒传播部分,因为只要在网络中隔断了病毒的传播,就可以很大程度上抑制了病毒的泛滥,有效的保证了网络的安全运行。
Symantec Web Security技术白皮书
目录一、Symantec Web Security产品定位和功能描述 (2)二、Symantec Web Security工作原理、部署和管理方式 (2)1、产品结构和工作原理 (2)2、产品部署模式 (5)3、Symantec Web Security管理模式 (8)三、Symantec Web Security的主要技术特点 (9)1、Symantec Web Security技术特点 (9)2、Symantec Web Security管理方式 (10)3、病毒定义码、扫描引擎和软件修正的升级方式 (11)4、集成管理(可扩展性) (13)5、Symantec Web Security的技术特点和竞争优势 (16)四、产品主要性能指标参数 (18)五、系统最低硬件配置要求 (20)Symantec Web Security技术白皮书一、Symantec Web Security产品定位和功能描述Symantec Web Security是Symantec在网关保护方面提供的高性能内容过滤和HTTP/FTP网关病毒防护产品。
现在,从公司到教育机构,越来越多的机构采用互联网来支持合作、加速信息交换、有效的提高教学和提供在线商业服务。
但是互联网也提供了一个病毒攻击的渠道,从而也带来了危害网络带宽、雇员工作效率、学生学习、公司信誉和网络安全的可能性。
混合性威胁——比如最近的尼姆达蠕虫病毒,它利用了网页作为传输渠道,给企业和教育机构这样的组织带来了新的威胁。
Symantec web security保护机构的HTTP/FTP 网关以防止病毒和其它威胁的攻击来促进安全、有效的连接互联网。
通过使用赛门铁克开发和支持的可升级、集成的防病毒和内容过滤技术,Symantec web security 同时扫描病毒以及网页内容。
这种有效的多协议解决方案提高了雇员的工作效率、最大化学习效率、通过管理和分析互联网的使用来减少了对企业负债的暴露。
H3C SecPath系列防火墙维护指导书(V2.0)
H3C SecPath系列防火墙维护指导书(V2.0)杭州华三通信技术有限公司修订记录Revision Records目录1.日常维护建议总则 (7)1.1.日常维护建议 (7)1.2.维护记录表格和维护操作指导书的使用说明 (8)2.安装操作指导 (9)3.维护操作指导 (10)3.1.H3C S EC P ATH防火墙设备现场巡检 (10)3.2.设备日常维护操作指导 (11)3.3.设备季度维护操作指导 (12)3.4.H3C设备年度维护操作指导 (12)4.入门维护 (13)4.1.基本概念 (13)4.2.产品FAQ (19)5.常见故障处理 (25)5.1.S EC P ATH防火墙故障诊断流程 (25)5.2.H3C S EC P ATH防火墙系统维护 (25)5.3.S EC P ATH防火墙连通性 (27)5.4.N AT故障处理 (28)5.5.攻击防范故障处理 (29)6.常见问题及FAQ (30)6.1.N AT专题篇FAQ (30)6.2.攻击防范篇FAQ (31)6.3.高可靠性篇FAQ (33)6.4.运行模式篇FAQ (34)7.附录 (37)7.1.维护记录表格 (37)7.2.H3C公司资源和求助途径 (43)H3C SecPath系列防火墙维护指导书关键词:SecPath防火墙、维护指导、常见问题、摘要:此文档用于指导日常维护H3C 防火墙产品及解决常见故障参考使用,主要描述用户维护部门周期性(每天、每季、每年)对H3C SecPath系列防火墙设备进行健康性检查的相关事项。
适用对象:本文档适用于H3C SecPath系列防火墙产品的日常操作和维护工程师。
缩略语清单:H3C版权所有,未经许可不得扩散第4页, 共43页产品简介伴随着因特网的蓬勃发展,网络协议的开发性注定了给入侵者留下了众多的入侵机会,安全的网络也跟着提升到一个全新的高度。
安全的,即是私有的,在internet日益发达的年代,在公用网络上构建安全、可靠、能够满足特定业务QoS需求的私有专用网络,已经成为一种潮流,即可以利用internet的普及互连,经济,又可以构建一个与internet完全隔离的网络,满足金融行业信息保密的要求。
Hillstone虚拟防火墙技术解决方案白皮书
图1 使用虚拟防火墙进行业务灵活扩展在传统数据中心方案中,业务服务器与防火墙基本上是一对一配比。
因此,当业务增加时,用户需要购置新的防火墙;而当业务减少时,对应的防火墙就闲置下来,导致投资浪费。
虚拟防火墙技术以其灵活可扩展的特性帮助用户保护投资,用户可以随时根据业务增减相应的虚拟防火墙。
同时,通过使用虚拟防火墙的CPU资源虚拟化技术,数据中心还可以为客户定量出租虚拟防火墙,例如,可以向某些客户出租10M吞吐量的虚拟防火墙,而向另一些客户出租100M吞吐量的虚拟防火墙。
Hillstone 的虚拟防火墙功能简称为VSYS ,能够将一台物理防火墙在逻辑上划分成多个虚拟防火墙,每个虚拟防火墙系统都可以被看成是一台完全独立的防火墙设备,拥有独立的系统资源,且能够实现防火墙的大部分功能。
每个虚拟防火墙系统之间相互独立,不可直接相互通信。
不同型号的Hillstone 物理防火墙设备支持的最大VSYS 个数不同,支持License 控制的VSYS 个数的扩展。
数据中心业务类型多种多样,需要使用的防火墙策略也不同。
例如,DNS 服务器需要进行DNS Query Flood 攻击防护,而HTTP 服务器则需要进行HTTP Get Flood 攻击防护。
虚拟防火墙的划分能够实现不同业务的专属防护策略配置。
同时,CPU 资源虚拟化可隔离虚拟防火墙之间的故障,当单个虚拟防火墙受到攻击或资源耗尽时,其它虚拟防火墙不会受到影响,这样就大大提升了各业务的综合可用性。
图2使用虚拟防火墙进行业务隔离Hillstone 虚拟防火墙功能包含以下特性:■ 每个VSYS 拥有独立的管理员■ 每个VSYS 拥有独立的安全域、地址簿、服务簿等■ 每个VSYS 可以拥有独立的物理接口或者逻辑接口■ 每个VSYS 拥有独立的安全策略■每个VSYS 拥有独立的日志1.2 业务隔离,互不影响3.2 专有对象与共享对象系统在没有配置任何虚拟防火墙时,只有一个逻辑的防火墙系统,称为根虚拟系统(根VSYS ),所有的系统资源都被根VSYS 所使用(不只是硬件资源)。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
SecPath 虚拟防火墙技术白皮书关键词:虚拟防火墙MPLS VPN摘要:本文介绍了H3C 公司虚拟防火墙技术和其应用背景。
描述了虚拟防火墙的功能特色,并介绍了H3C 公司具备虚拟防火墙功能的独立防火墙和防火墙插板产品的组网环境应用。
缩略语清单:目录1 概述 (3)1.1 新业务模型产生新需求 (3)1.2 新业务模型下的防火墙部署 (3)1.2.1 传统防火墙的部署缺陷 (3)1.2.2 虚拟防火墙应运而生 (4)2 虚拟防火墙技术 (5)2.1 技术特点 (5)2.2 相关术语 (6)2.3 设备处理流程 (7)2.3.1 根据入接口数据流 (7)2.3.2 根据Vlan ID数据流 (7)2.3.3 根据目的地址数据流 (8)3 典型组网部署方案 (8)3.1 虚拟防火墙在行业专网中的应用 (8)3.1.1 MPLS VPN组网的园区中的虚拟防火墙部署一 (9)3.1.2 MPLS VPN组网的园区中的虚拟防火墙部署二 (10)3.1.3 虚拟防火墙提供对VPE的安全保护 (10)3.2 企业园区网应用 (11)4 总结 (12)1 概述1.1 新业务模型产生新需求目前,跨地域的全国性超大企业集团和机构的业务规模和管理复杂度都在急剧的增加,传统的管理运营模式已经不能适应其业务的发展。
企业信息化成为解决目前业务发展的关键,得到了各企业和机构的相当重视。
现今,国内一些超大企业在信息化建设中投入不断增加,部分已经建立了跨地域的企业专网。
有的企业已经达到甚至超过了IT-CMM3 的级别,开始向IT-CMM4 迈进。
另一方面,随着企业业务规模的不断增大,各业务部门的职能和权责划分也越来越清晰。
各业务部门也初步形成了的相应不同安全级别的安全区域,比如,OA 和数据中心等。
由于SOX 等法案或行政规定的颁布应用,各企业或机构对网络安全的重视程度也在不断增加。
对企业重点安全区域的防护要求越来越迫切。
因此,对企业信息管理人员来说,如何灵活方便的实现企业各业务部门的安全区域划分和安全区域之间有控制的互访成为其非常关注的问题。
这也对安全区域隔离“利器”――防火墙提出了更高的要求。
1.2 新业务模型下的防火墙部署目前许多企业已经建设起自己的MPLS VPN 专网,例如电力和政务网。
下面我们以MPLS VPN 组网为例介绍在新的业务模型下防火墙的如何实现对各相互独立的业务部门进行各自独立的安全策略部署呢?1.2.1 传统防火墙的部署缺陷面对上述需求,业界通行的做法是在园区各业务VPN 前部署防火墙来完成对各部门的安全策略部署实现对部门网络的访问控制。
一般部署模式如下图所示:图1-1 传统防火墙部署方式然而,由于企业业务VPN 数量众多,而且企业业务发展迅速。
显而易见的,这种传统的部署模式已经不太适应现有的应用环境,存在着如下的不足:•为数较多的部门划分,导致企业要部署管理多台独立防火墙,导致拥有和维护成本较高•集中放置的多个独立防火墙将占用较多的机架空间,并且给综合布线带来额外的复杂度•由于用户业务的发展,VPN 的划分可能会发生新的变化。
MPLS VPN 以逻辑形式的实现,仅仅改动配置即可方便满足该需求。
而传统防火墙需要发生物理上的变化,对用户后期备件以及管理造成很大的困难•物理防火墙的增加意味着网络中需要管理的网元设备的增多。
势必增加网络管理的复杂度1.2.2 虚拟防火墙应运而生为了适应这种业务模式。
虚拟防火墙技术应运而生。
虚拟防火墙通过在同一台物理设备上划分多个逻辑的防火墙实例来实现对多个业务VPN 的独立安全策略部署。
也可以利用这种逻辑防火墙的部署的灵活性来来实现企业网络的对新业务的适应性。
虚拟防火墙诞生以后,对用户来说其部署模式变为如图所示:图1-2 虚拟防火墙部署模型如上图所示,在MPLS 网络环境中,在PE 与CE 之间部署一台物理防火墙。
利用逻辑划分的多个防火墙实例来部署多个业务VPN 的不同安全策略。
这样的组网模式极大的减少了用户拥有成本。
随着业务的发展,当用户业务划分发生变化或者产生新的业务部门时,可以通过添加或者减少防火墙实例的方式十分灵活的解决后续网络扩展问题,在一定程度上极大的降低了网络安全部署的复杂度。
另一方面,由于以逻辑的形式取代了网络中的多个物理防火墙。
极大的减少了企业运维中需要管理维护的网络设备。
简化了网络管理的复杂度,减少了误操作的可能性。
2 虚拟防火墙技术2.1 技术特点为了解决传统防火墙部署方式存在的不足,H3C 公司推出了虚拟防火墙特性,旨在解决复杂组网环境中大量VPN 的独立安全策略需求所带来的网络拓扑复杂、网络结构扩展性差、管理复杂,用户安全拥有成本高等几大问题。
虚拟防火墙是一个逻辑概念,可以在一个单一的硬件平台上提供多个防火墙实体,即,将一台防火墙设备在逻辑上划分成多台虚拟防火墙,每台虚拟防火墙都可以被看成是一台完全独立的防火墙设备,可拥有独立的管理员、安全策略、用户认证数据库等。
每个虚拟防火墙能够实现防火墙的大部分特性。
每个虚拟防火墙之间相互独立,一般情况下不允许相互通信。
SecPath/SecBlade 虚拟防火墙具有如下技术特点:每个虚拟防火墙维护自己一组安全区域•每个虚拟防火墙维护自己的一组资源对象(地址/地址组,服务/服务组等)•每个虚拟防火墙维护自己的包过滤策略•每个虚拟防火墙维护自己的ASPF 策略、NAT 策略、ALG 策略•限制每个虚拟防火墙占用资源数:防火墙Session 以及ASPF Session 数目2.2 相关术语(1) 安全区域防火墙使用安全区域的概念来表示与其相连接的网络。
防火墙预先定义了四个安全区域,这些安全区域也称为系统安全区域,分别为Local 区域、Trust 区域、Untrust区域和DMZ 区域。
这些区域分别代表了不同的安全级别,安全级别由高到低依次为Local、Trust、DMZ、Untrust。
(2) 专有接口、共享接口与公共接口专有接口:防火墙采用专有接口表示只属于某个特定虚拟防火墙的接口。
该接口必须通过ip binding vpn-instance 命令完成绑定到一个指定的vpn 实例。
共享接口:防火墙采用共享接口表示可被多个指定的虚拟防火墙共同享有的接口。
该接口必须通过nat server vpn-instance 命令或nat outbound static 命令关联到一个或多个指定的vpn 实例。
公共接口:特指区别于专有接口和共享接口的其他接口。
(3) NAT 多实例在访问控制列表的规则rule 中配置vpn-instance vpn-instance-name,指明哪个虚拟防火墙需要进行地址转换,即可以实现对虚拟防火墙NAT 多实例的支持。
(4) ASPF 多实例在接口下引用ASPF 中配置vpn-instance vpn-instance-name,指明哪个虚拟防火墙需要ASPF 的处理,即可实现虚拟防火墙ASPF 多实例的支持。
(5) 包过滤多实例在ACL 配置子规则时增加vpn-instance vpn-instance-name,指明此规则对哪个虚拟防火墙生效,即可实现虚拟防火墙包过滤多实例的支持。
(6) 资源限制防火墙使用资源限制的可完成各个虚拟防火墙的Session 限制。
可根据不同的流量背景,对对应的虚拟防火墙在vpn 视图下通过firewall session limit 以及aspf sessionlimit 等进行限制。
2.3 设备处理流程虚拟防火墙是一个逻辑上的概念,每个虚拟防火墙都是VPN 实例和安全实例的综合体,能够为虚拟防火墙用户提供私有的路由转发业务和安全服务。
每个虚拟防火墙中可以包含三层接口、二层物理接口、二层VLAN 子接口和二层Trunk 接口+VLAN。
默认情况下,所有的接口都属于根防火墙实例(Root),如果希望将部分接口划分到不同的虚拟防火墙,必须创建虚拟防火墙实例,并且将接口加入虚拟防火墙中。
根虚拟防火墙不需要创建,默认存在。
VPN 实例与虚拟防火墙是一一对应的,它为虚拟防火墙提供相互隔离的VPN 路由,与虚拟防火墙相关的信息主要包括:VPN 路由以及与VPN 实例绑定的接口。
VPN路由将为转发来自与VPN 实例绑定的接口的报文提供路由支持。
安全实例为虚拟防火墙提供相互隔离的安全服务,同样与虚拟防火墙一一对应。
安全实例具备私有的ACL 规则组和NAT 地址池;安全实例能够为虚拟防火墙提供地址转换、包过滤、ASPF 和NAT ALG 等私有的安全服务。
虚拟防火墙的引入一方面是为了解决业务多实例的问题,更主要的是为了将一个物理防火墙划分为多个逻辑防火墙来用。
多个逻辑防火墙可以分别配置单独不同的安全策略,同时默认情况下,不同的虚拟防火墙之间是默认隔离的。
对于防火墙系统接收到的数据流,系统根据数据的Vlan ID、入接口、源地址确定数据流所属的系统。
在各个虚拟防火墙系统中,数据流将根据各自系统的路由完成转发。
2.3.1 根据入接口数据流根据数据流的的入接口信息,防火墙系统根据所绑定的VPN 实例信息从而把数据流送入所绑定的虚拟防火墙系统。
如图3 所示。
图2-1 防火墙根据入接口识别数据流所属虚拟防火墙2.3.2 根据Vlan ID 数据流根据数据流的Vlan ID 信息,防火墙系统将会识别出所对应的Vlan 子接口从而把数据流送入所绑定的虚拟防火墙系统。
如图4 所示。
图2-2 防火墙根据Vlan ID 识别数据流所属虚拟防火墙2.3.3 根据目的地址数据流对于访问内部服务器的数据流,根据数据流的目的地址,防火墙根据Nat server 配置把数据流送入所绑定的虚拟防火墙系统。
如图5 所示。
图2-3 防火墙根据目的地址识别数据流所属虚拟防火墙3 典型组网部署方案3.1 虚拟防火墙在行业专网中的应用目前一些超大型企业(比如:政府,电力)利用MPLS VPN 实现跨地域的部门的连通和相关业务部门之间有控制的安全互访。
虽然这些企业的业务和背景都有很大差异,但归纳起来,这些企业主要提出了两个需求:•如何实现各业务VPN 的独立安全策略,进而能够对相关部门的互访进行有效控制•移动办公用户以及分支机构如何通过公网低成本的安全接入到企业MPLS VPN 核心网络中在MPLS VPN 网络中,虚拟防火墙可以部署在PE 和MCE 之间实现对各业务VPN独立的安全策略的部署,从而很好的满足上述需求。
详见如下组网模型图。
图3-1 虚拟防火墙在MPLS VPN 网络中的部署模式3.1.1 MPLS VPN 组网的园区中的虚拟防火墙部署一对大中型的企业MPLS VPN 专网,我们主推SecBlade 防火墙插板在中、高端交换机上进行部署。