手册下载
H3C SecPath系列防火墙产品 报文转发流程介绍(V7)-6W103-整本手册.pdf (355.75 KB)
H3C SecPath系列防火墙产品
报文转发流程介绍
Copyright © 2022 新华三技术有限公司 版权所有,保留一切权利。
非经本公司书面许可,任何单位和个人不得擅自摘抄、复制本文档内容的部分或全部,并不得以任何形式传播。
除新华三技术有限公司的商标外,本手册中出现的其它公司的商标、产品标识及商品名称,由各自权利人拥有。
本文档中的信息可能变动,恕不另行通知。
目 录
如图1-1所示,本文将详细地介绍一个报文从接收到最终被发送,其在设备上所经历的主要处理流程,这些信息将帮助管理员更好地理解设备上各个业务模块的配置逻辑和配置技巧。
设备对流量的处理过程,最终体现为对单个报文的检测、识别、转发、丢弃和改造。设备根据报文的类型和当前所配置的策略,对报文进行相应的处理。
在整个报文转发的流程中,不同类型的报文会根据配置进入不同的分支,被不同的模块处理。因此,并非所有报文都会经过上述所有模块的处理。整个报文转发流程总体分为三个阶段。
在本阶段,需要进行处理的是解析出报文的帧头部和IP报文头部。然后,根据报文头部信息进行一些基础的安全检测。设备对于不同接口收到的报文,有不同的处理方法,具体如下:
· 三层接口接收的报文:设备会根据报文中的目的地址来查找路由表,来决定报文的出接口。
· 二层接口接收的报文:设备首先判断这个二层报文是否需要跨VLAN转发。对于同一VLAN内的报文,设备将根据报文中的目的MAC地址来查询MAC地址转发表,来决定这个报文的出接口。对于需要跨VLAN转发的报文,设备需要获取其VLAN ID,找到对应的子接口或者VLAN接口。子接口和VLAN接口是虚拟的三层接口。所以此时报文就会按照类似三层接口接收一样处理,设备会根据报文中的目的地址来查找路由表,从而决定报文的出接口。
这两类报文在提取到所需的信息后,将被剥离头部,进入后续的处理。
本阶段主要进行处理的模块如表1-1所示:
模块 |
说明 |
VLAN |
VLAN(Virtual Local Area Network,虚拟局域网)技术把一个物理LAN划分成多个逻辑的LAN——VLAN,处于同一VLAN的主机能直接互通,而处于不同VLAN的主机则不能直接互通,从而增强了局域网的安全性 |
本阶段是设备的核心处理环节,主要包括会话建立、会话刷新等过程。根据报文是否匹配会话表项分为如下两种处理方法:
· 首包创建会话流程:设备首先对报文进行状态检测(ASPF),判断该报文是否属于正常的可以建立会话的首包。对于正常的首包,设备将进行一系列的查询和处理过程才能建立会话。
· 后续包快转处理流程:此类流量的首包已经通过了一系列安全检测,并最终建立了会话表项。因此,匹配了会话表项的后续报文就无需再重复一遍首包处理流程,从而提升报文处理和转发的效率。
本阶段主要进行处理的模块如表1-2所示:
模块 |
说明 |
IPsec |
IPsec(IP Security,IP安全)是IETF制定的三层隧道加密协议,可为互联网上传输的数据提供了高质量的、基于密码学的安全保证 |
攻击检测与防范 |
攻击检测及防范通过分析经过设备的报文的内容和行为,判断报文是否具有攻击特征,并根据配置对具有攻击特征的报文执行一定的防范措施 |
连接数限制 |
连接数限制通过对设备上建立的连接数进行统计和限制,实现保护内部网络资源(主机或服务器)以及合理分配设备系统资源的目的 |
NAT |
NAT是将IP数据报文头中的IP地址转换为另一个IP地址的过程 |
负载均衡 |
LB(Load Balance,负载均衡)是一种集群技术,它将特定的业务(网络服务、网络流量等)分担给多台网络设备(包括服务器、防火墙等)或多条链路,从而提高了业务处理能力,保证了业务的高可靠性 负载均衡业务点包括:服务器负载均衡、入链路负载均衡、出链路负载均衡、DNS透明代理和IAM可信访问控制 |
QoS限速 |
QoS限速可以实现流量的速率限制。与流量监管和流量整形相比,限速能够限制所有报文。所以,当用户只需要对所有报文进行限速时,使用限速比较简单 |
QoS流量重定向 |
QoS流量重定向是指将符合流分类的流重定向到其他地方进行处理 |
策略路由 |
策略路由是一种依据用户制定的策略进行路由转发的机制。策略路由可以对于满足一定条件(ACL规则、报文长度等)的报文,执行指定的操作(设置报文的下一跳、出接口、SRv6 TE Policy、缺省下一跳、缺省出接口和缺省SRv6 TE Policy等) |
安全策略 |
安全策略是根据报文的属性信息对报文进行转发控制 |
DPI深度检测 |
DPI深度安全是一种基于应用层信息对经过设备的网络流量进行检测和控制的安全机制 |
状态检查(ASPF) |
ASPF能够为企业内部网络提供更全面的、更符合实际需求的安全策略 |
SSL VPN |
SSL VPN可以为移动用户或者外部客户提供访问内部资源的服务并保证安全性 |
SDP零信任 |
SDP(Software Defined Perimeter,软件定义边界)零信任功能是指设备作为SDP网关与SDP控制器联动,对访问指定应用或API的用户进行身份认证和鉴权,以实现对用户身份和访问权限的集中控制,防止非法用户访问 |
这个阶段的主要目的是对流量进行最后处理,包括VPN和QoS出口限速处理,保证报文被正确发送,根据VPN的配置将进行如下处理:
· 对于接收的VPN报文,即设备为隧道终点,设备将对该报文进行解封装,报文解封装后需要重新走一遍转发流程。
· 对于准备进入VPN隧道的报文,即设备为隧道起点,设备将对报文进行VPN封装,并发送报文。
如果流量匹配的安全策略中配置了DPI深度安全检测业务,则需要对流量进行DPI深度安全检测。DPI深度安全检测涉及一系列处理过程,如图1-2所示。
图1-2 DPI深度检测处理流程图
图1-2仅从功能层面上列出了主要支持的业务模块,其他支持的模块还包括:应用层检测引擎、数据分析中心、代理策略、IP信誉、DLP、内容风险检测、网络资产扫描、DGA域名检测、智能业务平台、带宽管理、共享上网管理。但是每个业务模块在不同产品上的支持情况不同。因此,这些业务模块的支持情况,请以设备支持的实际情况为准。
设备采用高性能的一体化检测引擎,实现了对报文的一体化检测和一体化处理。具体过程如下:
(1) 如果流量是SSL加密流量,设备需要先解密才能进行DPI深度安全检测。
(2) 设备识别流量具体的协议和应用,识别出的应用可供安全策略等使用。
(3) 识别出协议后,设备开始对协议深度解码,比如协议解码、解压缩、正规化等。此阶段一次性解析出后续DPI深度安全检测业所需的字段或内容,极大提高了检测速度。
(4) 协议解析之后,对于协议中传输的文件进行文件类型识别。
(5) 根据识别的文件类型进行不同程度的文件拆解,比如文件解压、文件脱壳等。
(6) 根据用户配置的DPI深度安全检测业务,设备开始进行DPI深度安全一体化检测。对一个报文进行一次检查,即可满足不同业务对报文安全检测的需求,比如防病毒检测文件、URL过滤检测URL、DNS安全检测域名。DPI不同业务模块的处理没有严格的先后顺序,图中仅示意大概的业务分类。
(7) 对于解密的SSL流量,设备进行DPI深度安全检测后,需要重新对报文进行SSL加密,最后再发送报文。
本阶段主要进行处理的模块如表1-3所示。
表1-3 DPI业务详细介绍
DPI业务 |
功能 |
IPS(入侵防御) |
IPS通过分析流经设备的网络流量来实时检测入侵行为,并通过一定的响应动作来阻断入侵行为,实现保护企业信息系统和网络免遭攻击的目的 |
URL过滤 |
URL过滤功能可对用户访问的URL进行控制,即允许或禁止用户访问的Web资源,达到规范用户上网行为的目的 |
数据过滤 |
数据过滤功能可对应用层协议报文中携带的内容进行过滤,阻止企业机密信息泄露和违法、敏感信息的传播 |
文件过滤 |
文件过滤功能可根据文件扩展名信息对经设备传输的文件进行过滤 |
防病毒 |
防病毒功能可经过设备的文件进行病毒检测和处理,确保内部网络安全 |
应用审计和管理 |
应用审计与管理是在APR(Application Recognition,应用层协议识别)的基础上进一步识别出应用的具体行为(比如IM聊天软件的用户登录、发消息等)和行为对象(比如IM聊天软件登录的行为对象是账号信息等),据此对用户的上网行为进行审计和记录 |
WAF |
WAF(Web application firewall,Web应用防火墙)用于阻断Web应用层攻击,保护内网用户和内部Web服务器 |
APT防御 |
APT(Advanced Persistent Threat,高级持续性威胁)攻击,是一种针对特定目标进行长期持续性的网络攻击。目前,沙箱技术是防御APT攻击最有效的方法之一,它用于构造隔离的威胁检测环境 |
终端识别 |
终端识别是建立物联网安全连接的重要前提,只有识别出终端,管理员才能对其进行控制。当终端流量流经设备时,系统可以提取出终端信息进行分析和识别 |
域名信誉 |
域名信誉根据域名信誉特征库中的域名信息对网络流量进行过滤,允许或禁止用户访问某些网站,达到规范用户上网行为的目的 |
IP信誉 |
IP信誉根据IP信誉特征库中的IP地址信息对网络流量进行过滤 |
应用层检测引擎 |
应用层检测引擎服务于DPI业务模块,用于对报文的应用层信息(应用层协议以及应用行为)进行统一识别 |
数据分析中心 |
DAC(Data Analysis Center,数据分析中心)提供了业务日志信息的数据挖掘和可视化展示服务 |
代理策略 |
代理策略是一种安全防护策略,通过对客户端和服务器之间的连接进行代理,实现由设备对通过的流量进行检测和控制,避免由于直接访问而出现安全问题 |
DLP |
DLP(Data Loss Prevention,数据防泄露)是一种针对流经设备的用户敏感文件进行检测和告警的安全技术 |
内容风险检测 |
内容风险检测是一种针对网络文件传输中的敏感内容进行智能检测和识别的技术 |
网络资产扫描 |
网络资产扫描是一种用于识别和审计指定网络中的主机、服务器、设备等网络资产的技术 |
DGA域名检测 |
DGA域名检测功能基于深度学习算法,能高效检测出DNS请求报文中可能包含的DGA域名,及时封堵内网僵尸主机与C&C服务器(Command and Control Server,用于向恶意软件下达攻击指令的服务器)的通信流量,使管理员能够精确定位内网僵尸主机 |
智能业务平台 |
智能业务平台是面向安全应用的综合业务部署平台 |
带宽管理 |
带宽管理对通过设备的流量实现基于SSID(Service Set Identifier,服务集标识符)、User Profile、源/目的安全域、源/目的IP地址、服务、用户/用户组、应用、DSCP优先级和时间段等,实现精细化的管理和控制 |
共享上网管理 |
共享上网是指多个终端通过NAT或代理等技术使用同一个IP地址进行网络访问。共享上网管理功能可对共享上网行为进行检测和管理 |
由于在报文处理的过程中,某些特性可能会修改报文的某些字段。例如,设备在处理NAT业务时会修改IP报文中的源IP地址或者目的IP地址,而安全策略和路由需要根据IP地址进行规则匹配。因此,当设备存在NAT业务时,安全策略和路由的配置需要注意如下要点:
如图1-3所示,在源NAT使用场景中,内部主机(IP地址为192.168.1.2)需要访问位于公网的外部服务器(IP地址为3.3.3.1)。此时,安全策略过滤条件的配置方法如下:
· 源IP地址需要配置为源NAT转换前的IP地址,即192.168.1.2。
· 目的IP地址需要配置为位于公网的外部服务器地址,即3.3.3.1。
路由配置方法如下:
· 去程路由
¡ 保证目的IP地址为3.3.3.1的报文可以被转发至NAT设备。
¡ 保证NAT设备与外部服务器路由可达。
· 回程路由
¡ 保证目的IP地址为源NAT转换后的IP地址(如2.2.2.2)的报文可以被转发至NAT设备。
¡ 保证NAT设备与内部主机路由可达。
图1-3 源NAT使用场景组网图
如图1-4所示,在目的NAT使用场景中,外部主机(IP地址为3.3.3.1)需要访问位于私网的内部服务器(IP地址为192.168.1.2)。此时,安全策略过滤条件的配置方法如下:
· 源IP地址需要配置为位于公网的外部主机地址,即3.3.3.1。
· 目的IP地址需要配置为目的NAT转换后的IP地址,即192.168.1.2。
路由配置方法如下:
· 去程路由
¡ 保证目的IP地址为内部服务器的公网IP地址的报文可以被转发至NAT设备。
¡ 保证NAT设备与内部服务器路由可达。
· 回程路由
¡ 保证目的IP地址为3.3.3.1的报文可以被转发至NAT设备。
¡ 保证NAT设备与外部主机路由可达。
图1-4 目的NAT使用场景组网图
如图1-5所示,在源NAT和目的NAT同时使用的场景中,外部主机(IP地址为3.3.3.1)需要访问位于私网的内部服务器(IP地址为192.168.1.2),且要求报文经过NAT设备时,同时转换报文的源IP地址和目的IP地址。此时,安全策略过滤条件的配置方法如下:
· 源IP地址需要配置为位于公网的外部主机地址,即3.3.3.1。
· 目的IP地址需要配置为目的NAT转换后的IP地址,即192.168.1.2。
路由配置方法如下:
· 去程路由
¡ 保证目的IP地址为内部服务器的公网IP地址的报文可以被转发至NAT设备。
¡ 保证NAT设备与内部服务器路由可达。
· 回程路由
¡ 保证目的IP地址为源NAT转换后的IP地址(如192.168.1.10)的报文可以被转发至NAT设备。
¡ 保证NAT设备与外部主机路由可达。
图1-5 源NAT和目的NAT同时使用的场景组网图
在IPsec使用场景中,由于IPsec隧道建立过程中,IPsec网关之间需要进行IKE协商,IKE协商成功后,才会建立IPsec隧道,并对私网报文进行保护。因此,在配置安全策略过滤条件时,不仅要配置放通私网报文的安全策略规则,还需要配置放通IKE协商报文和IPsec封装报文的安全策略规则。
如图1-6所示,在Device A和Device B之间建立一条IPsec隧道,对Host A所在的子网(10.1.1.0/24)与Host B所在的子网(10.1.2.0/24)之间的数据流进行安全保护。在该场景中,安全策略过滤条件的配置方法如下:
· 配置放通IKE协商报文和IPsec封装报文的安全策略规则
¡ Local到Untrust安全域的安全策略规则
- 源IP地址为Device A设备的公网IP地址,即2.2.2.1。
- 目的IP地址为Device B设备的公网IP地址,即2.2.3.1。
¡ Untrust到Local安全域的安全策略规则
- 源IP地址为Device B设备的公网IP地址,即2.2.3.1。
- 目的IP地址为Device A设备的公网IP地址,即2.2.2.1。
· 配置放通IPsec所保护的私网报文的安全策略规则
¡ Trust到Untrust安全域的安全策略规则
- 源IP地址为Host A主机的私网IP地址,即10.1.1.2。
- 目的IP地址为Host B主机的私网IP地址,即10.1.2.2。
¡ Untrust到Trust安全域的安全策略规则
- 源IP地址为Host B主机的私网IP地址,即10.1.2.2。
- 目的IP地址为Host A主机的私网IP地址,即10.1.1.2。
图1-6 保护IPv4报文的IPsec配置组网图
由于在报文处理的过程中,某些特性可能会修改报文的某些字段。例如,设备在处理NAT业务时会修改IP报文中的源IP地址或者目的IP地址,而QoS限速策略需要根据IP地址进行规则匹配。因此,当设备存在NAT业务时,QoS限速策略的配置需要注意如下要点:
如图1-7所示,在源NAT使用场景中,内部主机(IP地址为192.168.1.2)需要访问位于公网的外部服务器(IP地址为3.3.3.1)。在接口出方向应用QoS出口限速策略,对流量进行限速。此时,QoS限速策略规则的配置方法如下:
接口出方向配置QoS出口限速(基于源地址进行QoS出口限速):
· 源IP地址需要配置为源NAT转换前的IP地址,即192.168.1.2。
接口出方向配置QoS出口限速(基于目的地址进行QoS出口限速):
· 目的IP地址需要配置为位于公网的外部服务器地址,即3.3.3.1。
图1-7 源NAT场景中使用QoS出口限速组网图
如图1-8所示,在目的NAT使用场景中,外部主机(IP地址为3.3.3.1)需要访问位于私网的内部服务器(IP地址为192.168.1.2)。在接口入方向应用QoS入口限速策略,对流量进行限速。此时,QoS限速策略的配置方法如下:
接口入方向配置QoS入口限速(基于源地址进行QoS入口限速):
· 源IP地址需要配置为位于公网的外部主机地址,即3.3.3.1。
接口入方向配置QoS入口限速(基于目的地址进行QoS入口限速):
· 目的IP地址需要配置为目的NAT转换后的IP地址,即192.168.1.2。
图1-8 目的NAT场景中使用QoS入口限速组网图
如图1-9所示,在源NAT和目的NAT同时使用的场景中,外部主机(IP地址为3.3.3.1)需要访问位于私网的内部服务器(IP地址为192.168.1.2),且要求报文经过NAT设备时,同时转换报文的源IP地址和目的IP地址。在接口入方向应用QoS出口限速策略,对流量进行限速。此时,QoS限速策略的配置方法如下:
接口入方向配置QoS入口限速(基于源地址进行QoS入口限速):
· 源IP地址需要配置为位于公网的外部主机地址,即源NAT转换前地址3.3.3.1。
接口入方向配置QoS入口限速(基于目的地址进行QoS入口限速):
· 目的IP地址需要配置为目的NAT转换后的IP地址,即192.168.1.2。
图1-9 源NAT和目的NAT同时使用的场景中使用QoS入口限速组网图