手册下载
H3C SecPath系列入侵防御产品
报文转发流程介绍
Copyright © 2022 新华三技术有限公司 版权所有,保留一切权利。
非经本公司书面许可,任何单位和个人不得擅自摘抄、复制本文档内容的部分或全部,并不得以任何形式传播。
除新华三技术有限公司的商标外,本手册中出现的其它公司的商标、产品标识及商品名称,由各自权利人拥有。
本文档中的信息可能变动,恕不另行通知。
如图1-1所示,本文将详细地介绍一个报文从接收到最终被发送,其在设备上所经历的主要处理流程,这些信息将帮助管理员更好地理解设备上各个业务模块的配置逻辑和配置技巧。
设备对流量的处理过程,最终体现为对单个报文的检测、识别、转发、丢弃和改造。设备根据报文的类型和当前所配置的策略,对报文进行相应的处理。
在整个报文转发的流程中,不同类型的报文会根据配置进入不同的分支,被不同的模块处理。因此,
并非所有报文都会经过上述所有模块的处理。整个报文转发流程总体分为两个阶段。
在本阶段,需要进行处理的是解析出报文的帧头部和IP报文头部。然后,根据报文头部信息进行一些基础的安全检测。设备对于不同接口收到的报文,有不同的处理方法,具体如下:
· 三层接口接收的报文:设备会根据报文中的目的地址来查找路由表,来决定报文的出接口。因此,此类报文会在解析和剥离头部信息后,进入后续的处理。
· 二层接口接收的报文:设备首先判断这个二层报文是否需要跨VLAN转发。对于同一VLAN内的报文,设备将根据报文中的目的MAC地址来查询MAC地址转发表,来决定这个报文的出接口。对于需要跨VLAN转发的报文,设备需要获取其VLAN ID,找到对应的子接口或者VLAN接口。子接口和VLAN接口是虚拟的三层接口。所以此时报文就会按照类似三层接口接收一样处理,设备会根据报文中的目的地址来查找路由表,从而决定报文的出接口。
这两类报文在提取到所需的信息后,将被剥离头部,进入后续的处理。
本阶段主要进行处理的模块如表1-1所示:
模块 |
说明 |
VLAN |
VLAN(Virtual Local Area Network,虚拟局域网)技术把一个物理LAN划分成多个逻辑的LAN——VLAN,处于同一VLAN的主机能直接互通,而处于不同VLAN的主机则不能直接互通,从而增强了局域网的安全性 |
本阶段是设备的核心处理环节,主要包括会话建立、会话刷新等过程。根据报文是否匹配会话表项分为如下两种处理方法:
· 首包创建会话流程:设备首先对报文进行状态检测(ASPF),判断该报文是否属于正常的可以建立会话的首包。对于正常的首包,设备将进行一系列的查询和处理过程才能建立会话。
· 后续包快转处理流程:此类流量的首包已经通过了一系列安全检测,并最终建立了会话表项。因此,匹配了会话表项的后续报文就无需再重复一遍首包处理流程,从而提升报文处理和转发的效率。
本阶段主要进行处理的模块如表1-2所示:
模块 |
说明 |
攻击检测与防范 |
攻击检测及防范通过分析经过设备的报文的内容和行为,判断报文是否具有攻击特征,并根据配置对具有攻击特征的报文执行一定的防范措施 |
连接数限制 |
连接数限制通过对设备上建立的连接数进行统计和限制,实现保护内部网络资源(主机或服务器)以及合理分配设备系统资源的目的 |
策略路由 |
策略路由是一种依据用户制定的策略进行路由转发的机制。策略路由可以对于满足一定条件(ACL规则、报文长度等)的报文,执行指定的操作(设置报文的下一跳、出接口、SRv6 TE Policy、缺省下一跳、缺省出接口和缺省SRv6 TE Policy等) |
安全策略 |
安全策略是根据报文的属性信息对报文进行转发控制 |
DPI深度检测 |
DPI深度安全是一种基于应用层信息对经过设备的网络流量进行检测和控制的安全机制 |
状态检查(ASPF) |
ASPF能够为企业内部网络提供更全面的、更符合实际需求的安全策略 |
如果流量匹配的安全策略中配置了DPI深度安全检测业务,则需要对流量进行DPI深度安全检测。DPI深度安全检测涉及一系列处理过程,如图1-2所示。
图1-2 DPI深度检测处理流程图
图1-2仅从功能层面上列出了主要支持的业务模块,其他支持的模块还包括:应用层检测引擎、数据分析中心、IP信誉、DLP、带宽管理。但是每个业务模块在不同产品上的支持情况不同。因此,这些业务模块的支持情况,请以设备支持的实际情况为准。
设备采用高性能的一体化检测引擎,实现了对报文的一体化检测和一体化处理。具体过程如下:
(1) 设备识别流量具体的协议和应用,识别出的应用可供安全策略等使用。
(2) 识别出协议后,设备开始对协议深度解码,比如协议解码、解压缩、正规化等。此阶段一次性解析出后续DPI深度安全检测业所需的字段或内容,极大提高了检测速度。
(3) 协议解析之后,对于协议中传输的文件进行文件类型识别。
(4) 根据识别的文件类型进行不同程度的文件拆解,比如文件解压、文件脱壳等。
(5) 根据用户配置的DPI深度安全检测业务,设备开始进行DPI深度安全一体化检测。对一个报文进行一次检查,即可满足不同业务对报文安全检测的需求,比如防病毒检测文件、URL过滤检测URL、域名信誉检测域名。DPI不同业务模块的处理没有严格的先后顺序,图中仅示意大概的业务分类。
本阶段主要进行处理的模块如表1-3所示。
表1-3 DPI业务详细介绍
DPI业务 |
功能 |
IPS(入侵防御) |
IPS通过分析流经设备的网络流量来实时检测入侵行为,并通过一定的响应动作来阻断入侵行为,实现保护企业信息系统和网络免遭攻击的目的 |
URL过滤 |
URL过滤功能可对用户访问的URL进行控制,即允许或禁止用户访问的Web资源,达到规范用户上网行为的目的 |
数据过滤 |
数据过滤功能可对应用层协议报文中携带的内容进行过滤,阻止企业机密信息泄露和违法、敏感信息的传播 |
文件过滤 |
文件过滤功能可根据文件扩展名信息对经设备传输的文件进行过滤 |
防病毒 |
防病毒功能可经过设备的文件进行病毒检测和处理,确保内部网络安全 |
应用审计和管理 |
应用审计与管理是在APR(Application Recognition,应用层协议识别)的基础上进一步识别出应用的具体行为(比如IM聊天软件的用户登录、发消息等)和行为对象(比如IM聊天软件登录的行为对象是账号信息等),据此对用户的上网行为进行审计和记录 |
WAF |
WAF(Web application firewall,Web应用防火墙)用于阻断Web应用层攻击,保护内网用户和内部Web服务器 |
APT防御 |
APT(Advanced Persistent Threat,高级持续性威胁)攻击,是一种针对特定目标进行长期持续性的网络攻击。目前,沙箱技术是防御APT攻击最有效的方法之一,它用于构造隔离的威胁检测环境 |
终端识别 |
终端识别是建立物联网安全连接的重要前提,只有识别出终端,管理员才能对其进行控制。当终端流量流经设备时,系统可以提取出终端信息进行分析和识别 |
域名信誉 |
域名信誉根据域名信誉特征库中的域名信息对网络流量进行过滤,允许或禁止用户访问某些网站,达到规范用户上网行为的目的 |
IP信誉 |
IP信誉根据IP信誉特征库中的IP地址信息对网络流量进行过滤 |
应用层检测引擎 |
应用层检测引擎服务于DPI业务模块,用于对报文的应用层信息(应用层协议以及应用行为)进行统一识别 |
数据分析中心 |
DAC(Data Analysis Center,数据分析中心)提供了业务日志信息的数据挖掘和可视化展示服务 |
DLP |
DLP(Data Loss Prevention,数据防泄露)是一种针对流经设备的用户敏感文件进行检测和告警的安全技术 |
带宽管理 |
带宽管理对通过设备的流量实现基于SSID(Service Set Identifier,服务集标识符)、User Profile、源/目的安全域、源/目的IP地址、服务、用户/用户组、应用、DSCP优先级和时间段等,实现精细化的管理和控制 |