华为下一代USG系列统一安全网关技术建议书
于安全区域的隔离模型,每个安全区域可以按照网络的实际组网加入任意的接口,因此统一安全网关的安全管理模型是不会受到网络拓扑的影响。
? 可管理的安全区域
业界很多防火墙一般都提供受信安全区域(trust)、非受信安全区域(untrust)、非军事化区域(DMZ)三个独立的安全区域,这样的保护模型可以适应大部分的组网要求,但是在一些安全策略要求较高的场合,这样的保护模型还是不能满足要求。
华为统一安全网关默认提供四个安全区域:trust、untrust、DMZ、local,在提供三个最常用的安全逻辑区域的基础上还新增加了本地逻辑安全区域,本地安全区域可以定义到统一安全网关本身的报文,保证了统一安全网关本身的安全防护。例如,通过对本地安全区域的报文控制,可以很容易的防止不安全区域对统一安全网关本身的Telnet、ftp等访问。
华为统一安全网关还提供自定义安全区域,可以最大定义16个安全区域,每个安全区域都可以加入独立的接口。
? 基于安全区域的策略控制
华为统一安全网关支持根据不同的安全区域之间的访问设计不同的安全策略组(ACL访问控制列表),每条安全策略组支持若干个独立的规则。这样的规则体系使得统一安全网关的策略十分容易管理,方便用户对各种逻辑安全区域的独立管理。
基于安全区域的策略控制模型,可以清晰的分别定义从trust到untrust、从DMZ到untrust之间的各种访问,这样的策略控制模型使得华为统一安全网关的网络隔离功能具有很好的管理能力。
(2)NAT功能
? 优异的地址转换性能
华为统一安全网关采用基于连接的方式提供地址转换特性,针对每条连接维护一个Session表项,并且在处理的过程中采用优化的算法,保证了地址转换特性的优异性能。在启用NAT的时候,性能下降的非常少,这样就保证了在通过华为统一安全网关提供NAT业务的时候不会成为网络的瓶颈。 ? 灵活的地址转换管理
华为统一安全网关提供了基于安全区域的管理功能,利用“安全区域”的概念把统一安全网关管理的网络按照功能区域、安全要求等因素从逻辑上划分为几个逻辑子网,每个逻辑
2017-3-23
华为机密,未经许可不得扩散
第21页, 共45页
华为下一代USG系列统一安全网关技术建议书
子网称为一个“安全区域”。默认情况,统一安全网关提供了4个默认的安全区域:trust、untrust、DMZ、local,一般情况下,untrust区域是连接Internet的,trust区域是连接内部局域网的,DMZ区域是连接一些内部服务器的,例如放置邮件服务器、FTP服务器等。统一安全网关的地址转换功能是按照安全区域之间的访问进行配置的,这样就可以非常方便的进行网络管理。例如,对于内部服务器的网络如果有足够的IP地址,可以直接使用公网IP地址,在DMZ->untrust区域间不使用地址转换,而内部局域网使用私网地址,在trust->untrust区域间使用地址转换。
同时地址转换可以和ACL配合使用,利用ACL来控制地址转换的范围,因此即使在同一个网络区域,有公网、私网混合组网的情况,统一安全网关依然可以方便的设定地址转换的规则。
? 强大的内部服务器支持
内部服务器就是可以使得外部网络的用户可以访问到内部网络,比如可以对外提供Web服务器。很多统一安全网关实现内部服务器的时候是提供一个“静态映射”,将一个私有地址和一个公有地址绑定,这个方式的最大弱点就是浪费合法的IP地址。
例如有一个内部局域网的主机IP地址是10.110.0.0/24,而该局域网利用专线连接到Internet上,拥有从ISP申请来的合法的IP地址:202.38.160.1。如果该局域网想设置一台WEB服务器,IP地址为10.110.0.1,配置一个静态的映射,将地址202.38.160.1和地址10.110.0.1绑定,Internet如果想访问这台WEB服务器,使用202.38.160.1访问,就会实际访问到主机10.110.0.1,这样虽然可以提供内部服务器了,但是也使得内部网络的其他主机不能访问Internet了,因为该局域网只有一个合法的IP地址。该IP地址被内部服务器占用,因此其他主机就不能访问Internet了,同时该局域网不能再提供任何对外服务了(比如想提供一个DNS或者FTP服务器都是不可能的了)。
静态绑定方式存在如下弱点:
? 这个方式严重浪费IP地址,地址转换技术的最大优势就是节省IP地址,但是通过
这个静态绑定的方式,使得IP地址不能被充分利用,虽然解决了地址转换技术中“反向访问”的问题,但是同时带来了浪费地址的问题。
? 存在比较大的安全隐患,一般对外提供的服务器都是单一用途,例如WEB服务器
就是为了给外部提供Http服务,对于这个机器来说,只需要提供80端口的访问就
2017-3-23
华为机密,未经许可不得扩散
第22页, 共45页
华为下一代USG系列统一安全网关技术建议书
可以了。但是使用了静态绑定的方式提供WEB内部服务器的时候,存在这样的问题:外部网络的用户不但可以访问到内部服务器的80端口,而且可以访问任何的端口。这样就存在安全隐患。例如某个服务器可以通过Telnet进行维护,但是这种维护只能是内部网络本身的机器才可以进行,如果使用了静态绑定的地址转换方式,则外部网络的主机也可以Telnet到这个服务器上了。
? 提供不是标准端口的服务器存在困难。例如用户想提供2个WEB服务器,其中一
个WEB服务器不想使用80端口,而想使用8080端口,使用静态绑定的方式也很难实现。
华为统一安全网关的地址转换功能可以对内部服务器的支持到达端口级。允许用户按照自己的需要配置内部服务器的端口、协议、提供给外部的端口、协议。对于上面的例子使用的地址转换,不仅可以保证202.38.160.1做为WEB服务器的地址,同时可以做为FTP服务器的地址,同时可以使用http://202.38.160.1:8080提供第二台WEB服务器,还可以满足内部用户同时使用202.38.160.1的地址进行访问Internet。
华为统一安全网关提供了基于端口的内部服务器映射,可以使用端口来提供服务,同时也可以提供地址的一对一映射。同时,每台统一安全网关可以提供多达256个内部服务器映射,而且不会影响访问的效率。 ? 强大的业务支撑
地址转换比较难处理的情况是报文载荷中含有地址信息的情况,这种情况的代表协议是FTP。华为统一安全网关的地址转换现在已经非常完善的支持了ICMP重定向、不可达、FTP(支持被动主动两种模式)、H323、NetMeeting、PPTP、L2tp、DNS、NetBIOS、SIP、QQ、MSN等特殊协议。依靠现在支持的各种业务,统一安全网关已经可以提供非常好的业务支撑,可以满足绝大部分的Internet业务,使得地址转换不会成为网络业务的瓶颈。
为了更好的适应网络业务的发展,华为统一安全网关还提供了一种“用户自定义”的ALG功能,对于某些特殊业务应用,通过命令行进行配置就可以支持这种业务的ALG,通过这样的方式更可以保证华为统一安全网关对业务的支撑,达到快速响应的效果。
另外华为统一安全网关在结构上面,充分考虑了地址转换需要支持特殊协议的问题。从结构上保证可以非常快速的支持各种特殊协议,并且对报文加密的情况也做了考虑。因此在应用程序网关方面,统一安全网关在程序设计、结构方面做了很大的努力和考虑,在针对新
2017-3-23
华为机密,未经许可不得扩散
第23页, 共45页
华为下一代USG系列统一安全网关技术建议书
出现的各种特殊协议的开发方面上,华为统一安全网关可以保证会比其他设备提供更快、更好的反应,可以快速的响应支持用户的需求,支持多变的网络业务。 ? 无数目限制的PAT方式转换
华为统一安全网关可以提供PAT(Port Address Translation)方式的地址转换,PAT方式的地址转换使用了TCP/UDP的端口信息,这样在进行地址转换的时候使用的是“地址+端口”来区分内部局域网的主机对外发起的不同连接。这样使用PAT方式的地址转换技术,内部局域网的很多用户可以共享一个IP地址上网了。
因为TCP/UDP的端口范围是1~65535,一般1~1024端口范围是系统保留端口,因此从理论上计算,通过PAT方式的地址转换一个合法的IP地址可以提供大约60000个并发连接。但是华为统一安全网关采用专利技术提供了一种“无限制端口”连接的算法,可以保证使用一个公网IP地址可以提供无限个并发连接,通过这种技术就突破了PAT方式上网的65535个端口的限制,更大的满足了地址转换方式的实际使用,更加节省了公网的IP地址。 ? 多种NAT ALG
华为下一代USG系列防火墙支持多种协议的NAT ALG转换功能,包括:
? ? ? ? ? ? ? ? ? ? ?
支持FTP协议的NAT ALG。
支持NBT(NetBIOS over TCP)协议的NAT ALG。
支持ICMP(Internet Control Message Protocol)协议的NAT ALG。 支持H.323(包括T.120、RAS、Q.931和H.245等)协议的NAT ALG。 支持SIP(Session Initiation Protocol)协议的NAT ALG。 支持RTSP(Real-Time Streaming Protocol)协议的NAT ALG。 支持HWCC(Huawei Conference Control Protocol)协议的NAT ALG。 支持ILS(Internet Locator Service)协议的NAT ALG。
支持PPTP(Point to Point Tunneling Protocol)协议的NAT ALG。 支持对腾讯公司的QQ聊天会话的NAT ALG。
支持Microsoft公司提供的MSN聊天会话的NAT ALG。
(3)安全策略控制
? 灵活的规则设定
华为统一安全网关可以支持灵活的规则设定,可以根据报文的特点方便的设定各种规则。
? 可以依据报文的协议号设定规则
? 可以依据报文的源地址、目的地址设定规则
2017-3-23
华为机密,未经许可不得扩散
第24页, 共45页
华为下一代USG系列统一安全网关技术建议书
? 可以使用通配符设定地址的范围,用来指定某个地址段的主机 ? 针对UDP和TCP还可以指定源端口、目的端口
? 针对目的端口、源端口可以采用大于、等于、介入、不等于等方式设定端口的
范围
? 针对ICMP协议,可以自由的指定ICMP报文的类型和Code号,可以通过规
则针对任何一种ICMP报文
? 可以针对IP报文中的TOS域设定灵活的规则
? 可以将多个报文的地址形成一个组,作为地址本,在定义规则时可以按组来设
定规则,这样规则的配置灵活方便
? 高速策略匹配
通常,防火墙的安全策略都是由很多规则构成的,因此在进行策略匹配的时候会影响防火墙的转发效率。
华为统一安全网关采用了ACL匹配的专门算法,这样就保证了在很多规则的情况下,统一安全网关依然可以保持高效的转发效率,系统在进行上万条ACL规则的查找时,性能基本不受影响,处理速度保持不变,从而确保了ACL查找的高速度,提高了系统整体性能。 ? MAC地址和IP地址绑定
华为统一安全网关根据用户配置,将MAC和IP地址进行绑定从而形成关联关系。对于从该IP地址发来的报文,如果MAC地址不匹配则被丢弃;对于发往该IP地址的报文都被强制发送到指定的MAC地址处,从而有效避免IP地址假冒的攻击行为。 ? 动态策略管理-黑名单技术
华为统一安全网关可以将某些可疑报文的源IP地址记录在黑名单列表中,系统通过丢弃黑名单用户的所有报文,从而有效避免某些恶意主机的攻击行为。
统一安全网关提供如下几种黑名单列表维护方式: ? 手工添加黑名单记录,实现主动防御
? 与攻击防范结合自动添加黑名单记录,起到智能保护
? 可以根据具体情况设定\白名单\,使得即使存在黑名单中的主机,依然可以使用部
分的网络资源。例如,即使某台主机被加入到了黑名单,但是依然可以允许这个用户上网。
2017-3-23
华为机密,未经许可不得扩散
第25页, 共45页
