Hillstone 防火墙工作原

理
HCSA-NGFW 2020
Contents 1 功能介绍

2 系统架构

3 工作模式

4 数据转发分析
Hillstone NGFW 功
能
下一代防火墙产品功能 - 威胁防护功
能 攻击防护 数据安全，基于文件、内容过滤

04 01
入侵防御 02 02 僵尸网络防护
CC

病毒过滤 06 03 IP 信誉
库

05 04
云沙箱 网页访问控制， URL 过
滤
4 www.hillstonenet.com
下一代防火墙产品功能
应用识别

用户认证 SSL 解密
WEB 认证、 AD 认证、本地认证、 支持 https 加密流量的应用识别、入
radius 认证。 侵 防御、防病毒、 URL 过滤等。

带宽管理 链路负载均衡
两层八级管道基于用户、 IP 、应 基于动态探测实现多链路带宽合理

应用
用、 URL 等进行最大带宽、最小带 分 配。
宽
限制。

流量配额 服务器负载均衡
支持对用户限制指定时间内 支持基于加权哈希、轮询、最小会
流量总额。 话 数等算法进行服务器负载均衡。

终端接入监控
5 www.hillstonenet.com
下一代防火墙产品功能

VPN 高可用 HA
支持 支持主备、主主，配置、
IPSECVPN 、 SSLVPN 、 会话同步
L2TPVPN

基础功能 虚拟系统
路由交换网络、会话管理、安
全策略
网络 一台防火墙通过虚拟化技术，
逻辑分成多个防火墙使用

IPV6 监控统计
支持 IPv6/IPv4 双栈技
术 监控设备状态、流量等信
息

6 www.hillstonenet.com
Layer 2 Frame 转
发
• 透明桥接功能 :
- MAC 学习功能 ( 通过源 MAC)
- Forward, flood, and filter ( 通过目的
MAC)
- Layer 2 frame forwarding

001d.7294.e5f6 [E0/1] [E0/2] 001d.097f.9ad8

MAC Address
Table
Destination Address Port
001d.7294.e5f6 E0/1
001d.097f.9ad8 E0/2
7 www.hillstonenet.com
Layer 3 Packet 转
发
• 通过目的 IP 转发 IP 数据包，维护一张路由
表
- 静态路由，默认路由， ISP 路由
- 动态路由 (RIP ， OSPF ， BGP ， IS-IS)
- 策略路由
10.3.3.2/24 10.3.3.1/24
[E0/3] 10.4.4.1/24

[E0/1] [E0/2]
10.1.1.10 10.4.4.10
10.1.1.1/24 10.2.2.2/24 10.2.2.1/24
Route Table
Network Int. Gateway
10.1.1.0/24 E0/1 0.0.0.0
10.2.2.0/24 E0/2 0.0.0.0
10.4.4.0/24 E0/2 10.2.2.1
10.4.0.0/16 E0/3 10.3.3.1
8 www.hillstonenet.com
状态检测防火墙
数据包外出建立会话（源地址、源端口、目标地址、目标端口、连接时间等）；数据包返回
时， 进行会话比较，匹配，就直接允许数据包通过，不匹配，数据包就会被丢弃。

session: id 2, proto 6, flag 0, flag1 8100000, created 702509, life 1794, policy 1,app(FTP) flag 0x0, auth_user_id
0, reverse_auth_user_id 0
flow0(13(ethernet0/1)/40c00a10): 192.168.1.2:64867->100.1.1.1:21
flow1(14(ethernet0/2)/a00a10): 100.1.1.1:21->192.168.1.2:64867
www.hillstonenet.com
 StoneOS 系统架
构

10
防火墙工作原理
• 防火墙作为一种网络安全产品，通过控制进出网络的流量，保护网络的安全。

• 防火墙的基本原理是通过分析数据包，根据已有的策略规则，允许或阻断数据流量。除此
之 外，防火墙也具有连通网络的功能，实现安全可信区域（内部网络）和不信任区域（外
部网 络）之间的桥接。

www.hillstonenet.com
StoneOS 系统架
构
•StoneOS 系统架构由以下部分组
成:
• Zones
- L2 Zone
- L3 Zone
• Interfaces
• Virtual Switch
• Virtual Router
• Policy

12 www.hillstonenet.com
接口

13 www.hillstonenet.com
安全域
Zone

www.hillstonenet.com
虚拟交换机
vSwitch

15 www.hillstonenet.com
虚拟路由器
vRouter

16 www.hillstonenet.com
StoneOS 系统架构
图

17 www.hillstonenet.com
Zone 与 vSwitch 、 vRouter
关系
接口、安全域、 VS 、 VR 之间严格的等级架
构
• L2-Zones 绑定到虚拟交换机（ vswitch ）
L2-Zone Virtual Switch
Interfaces绑定到虚拟路由器（
• L3-Zones 绑定到安全域 vrouter ）
• 一个接口只能绑定到一个安全域
• 一个安全域可以包含一个或多个接口
• 绑定到 L2-Zone 的接口为 L2-interface
• 绑定到 L3-Zone 的接口为 L3-interface
• 绑定到三层安全域的接口可以配置 IP 地址及管理服
务 L3-Zone Virtual Router

www.hillstonenet.com
StoneOS 数据包处理流
程

www.hillstonene t.com
 工作模式

20
防火墙经典区域划分
域分为二层安全域和三层安全域

Trust Untrust
Zone Zone

Internet
E0/4
200.0.0.0/24

192.168.10.0/24 192.168.20.0/24

DMZ
Zone
192.168.10.2 192.168.20.2

www.hillstonenet.com
路由模式
E0/4
untrust

E0/1 E0/2
trust dmz

192.168.10.0/24 192.168.20.0/24
www.hillstonenet.com
透明模式

GW: 192.168.10.1/24
E0/2
L2-untrust

E0/1
L2-trust

192.168.10.2/24
www.hillstonenet.com
旁路模式

GW: 192.168.10.1/24

mirror

TAP Zone 接
口

192.168.10.2/24

www.hillstonenet.com
混合模式
E0/3
untrust

E0/1
vswitchif E0/2
L2-trust
1 trust L2-dmz

192.168.10.0/24 192.168.10.0/24
www.hillstonenet.com
 数据转发分析

26
数据转发实例 (1 of
4)

Trust Untrust
Zone Zone

E0/1 Internet 200.5.5.5

10.1.1.5 10.1.1.0/24 .254
E0/4
200.1.1.0/24

E0/2
10.1.2.0/24 172.16.1.0/24

DMZ
Zone
10.1.2.5 172.16.1.5

www.hillstonenet.com
实例需求 (2 of
4)
• 为了达到上网访问 Internet 的需求：
- 接口：如何配置？
- 路由：配置哪一种类型的路由？
- NAT ：需要什么类型的 NAT ？为什么？
- 策略：需要做什么样的策略才可以使流量通过防火墙？

28 www.hillstonenet.com
实例配置 (3 of
4)
接口：
interface ethernet0/2 interface ethernet0/4
zone trust zone untrust
ip address 10.1.2.1/24 ip address
exit 202.1.1.1/24

路由： exit

ip route 0.0.0.0/0 201.1.1.254

SNAT
snatrule from any to any service any eif e0/4 trans-to eif-ip mode dynamicport
策略：
policy-global
rule from any to any from-zone trust to-zone untrust service any permit
exit

29 www.hillstonenet.com
数据转发分析 (4 of
4) SRC-IP DST-IP Protocol SRC-Port DST-
Port
10.1.2.5 200.5.5.5 6 1025 80

1. 已经建立会 Address Pair

Session Table
ProtocolPort Pair
话 ? No (no match)

2. 查找路由 , 目标可 Routing Table

达 ? Yes
Net Int NHR
10.1.1.0/24 E1
(connected) 10.1.2.0/24
E2 (connected)
172.16.1.0/24 E3
(connected) 0.0.0.0/0
E4 202.1.1.254

3. Zone 内或 Zone 间的流 Zone Table

量 ? Yes
Int Zone
E1
trust
E2 trust
E3 dmz
www.hillstonenet.com
E4
数据转发分析 (4 of
4) 4. 源 SA DA
NAT ? 转换为 出接口
10.1.0.0/16 any IP
Yes

5. 策略允许通 From trust to untrust

过? SA DA Service Action
10.1.0.0/16 any FTP permit
Yes 10.1.0.0/16 any HTTP permit
10.1.0.0/16 any ping permit
any any any deny

SRC-IP DST-IP Protocol SRC-Port DST-

Action: Permit Port
10.1.2.5 200.5.5.5 6 6 80

Session Table
创建会话 Address Pair Protocol Port
Pair 10.1.2.5 200.5.5.5 6
55908 80 www.hillstonenet.com
问题
1. StoneOS 系统架构由接口、安全域、 vswitch 和 vrouter 组成，它们之间
的关 系？
A. ( 回顾系统架构图中的问题）
B. 接口究竟选择什么类型的安全域？
C. 三层域下面的两个接口之间互访，需要哪两个安全域做放行规则？例如接口 e0/0 和
e0/5
D. 二层域下面的两个接口之间互访，需要哪两个安全域做放行规则？例如接口 e0/2 和
e0/3
E. 同一个安全域下的两个接口之间互访，需要什么安全规则？例如接口 e0/0 和
e0/1 ， e0/3 和 e0/4
F. 不同层次类型的接口之间相互访问，需要什么安全规则？例如 e0/2 和 e0/1

2. 介绍 StoneOS 处理包的 Flow 过程？

www.hillstonenet.com
 Thanks

33