华赛Secospace USG 2000系列统一安全网关技术白皮书 内部公开
2.5.3 内部服务器支持
内部服务器就是可以使得位于Internet的用户可以访问到内部网络,比如可以对外提供Web服务器。很多防火墙实现内部服务器的时候是提供一个“静态映射”,将一个私有地址和一个公有地址绑定,这个方式的最大弱点就是浪费合法的IP地址。
例如有一个内部局域网的主机IP地址是10.110.0.0/24,而该局域网利用专线连接到Internet上,拥有从ISP申请来的合法的IP地址:202.38.160.1。如果该局域网想设置一台WEB服务器,IP地址为10.110.0.1,配置一个静态的映射,将地址202.38.160.1和地址10.110.0.1绑定,Internet如果想访问这台WEB服务器,使用202.38.160.1访问,就会实际访问到主机10.110.0.1,这样虽然可以提供内部服务器了,但是也使得内部网络的其他主机不能访问Internet了,因为该局域网只有一个合法的IP地址。该IP地址被内部服务器占用,因此其他主机就不能访问Internet了,同时该局域网不能再提供任何对外服务了(比如想提供一个DNS或者FTP服务器都是不可能的了)。
静态绑定方式存在如下弱点:
1、这个方式严重浪费IP地址,地址转换技术的最大优势就是节省IP地址,但是通过这个静态绑定的方式,使得IP地址不能被充分利用,虽然解决了地址转换技术中“反相访问”的问题,但是同时带来了浪费地址的问题。
2、存在比较大的安全隐患,一般对外提供的服务器都是单一用途,例如WEB服务器就是为了给外部提供Http服务,对于这个机器来说,只需要提供80端口的访问就可以了。但是使用了静态绑定的方式提供WEB内部服务器的时候,存在这样的问题:外部网络的用户不但可以访问到内部服务器的80端口,而且可以访问任何的端口。这样就存在安全隐患。例如某个服务器可以通过Telnet进行维护,但是这种维护只能是内部网络本身的机器才可以进行,如果使用了静态绑定的地址转换方式,则外部网络的主机也可以Telnet到这个服务器上了。
3、提供不是标准端口的服务器存在困难。例如用户想提供2个WEB服务器,其中一个WEB服务器不想使用80端口,而想使用8080端口,使用静态绑定的方式也很难实现。
USG 2000系列统一安全网关的地址转换功能可以对内部服务器的支持到达端口级。允许用户按照自己的需要配置内部服务器的端口、协议、提供给外部的端口、协议。
对于上面的例子使用USG 2000系列统一安全网关的地址转换服务,不仅可以保证202.38.160.1作为WEB服务器的地址,同时可以作为FTP服务器的地址,同时可以使用http://202.38.160.1:8080提供第二台WEB服务器,还可以满足内部用户同时使用202.38.160.1
2013-7-4
华为机密,未经许可不得扩散
第16页, 共31页
华赛Secospace USG 2000系列统一安全网关技术白皮书 内部公开
的地址进行访问Internet。
2.5.4 全面的业务支撑
地址转换比较难处理的情况是报文载荷中含有地址信息的情况,这种情况的代表协议是FTP。USG 2000系列统一安全网关的地址转换现在已经非常完善的支持了ICMP重定向、不可达、FTP(支持被动主动两种模式)、H.323、NetMeeting、PPTP、L2tp、DNS、NetBIOS、SIP、QQ、MSN等特殊协议。依靠现在支持的各种业务,USG 2000系列统一安全网关已经可以提供非常好的业务支撑,可以满足绝大部分的Internet业务,使得地址转换不会成为网络业务的瓶颈。
为了更好的适应网络业务的发展,USG 2000系列统一安全网关还提供了一种“用户自定义”的ALG功能。有些业务应用采用“不对称”方式提供点到点的业务模型。例如,tftp应用,tftp采用UDP协议提供文件传输,但是在tftp业务中,Server端发送数据报文的端口和接收信令的端口不是使用同一个端口,由于发送数据的端口没有被防火墙记录,这样防火墙就会认为这个数据连接是一个非法连接而不让通过防火墙,的NAT服务也不能支持这种应用,而USG 2000系列统一安全网关可以通过“用户自定义”的ALG功能,定义对TFTP的报文进行监控,自然就支持TFTP业务了。
类似TFTP这样的业务在实际使用中还可以会遇到,USG 2000系列统一安全网关针对这样的特殊业务应用,通过命令行进行配置就可以支持这种业务的ALG,通过这样的方式更可以保证USG 2000系列统一安全网关对业务的支撑,达到快速响应的效果。
另外USG 2000系列统一安全网关在结构上面,充分考虑了地址转换需要支持特殊协议的问题。从结构上保证可以非常快速的支持各种特殊协议,并且对报文加密的情况也做了考虑。因此在应用程序网关方面,USG 2000系列统一安全网关在程序设计、结构方面做了很大的努力和考虑,在针对新出现的各种特殊协议的开发方面上,USG 2000系列统一安全网关可以保证会比其他设备提供更快、更好的反应,可以快速的响应支持用户的需求,支持多变的网络业务。
2.5.5 对注册服务支持良好
注册方式的协议,主要包括NetMeeting、NetBIOS等。参考下图:
2013-7-4
华为机密,未经许可不得扩散 第17页, 共31页
华赛Secospace USG 2000系列统一安全网关技术白皮书 内部公开
NetMeeting NetMeeting Internet USG 2000 提供NAT服务
图1 Netmeeting组网示意图
参考图1,是一个网络视频会议使用的示意图。其中一个视频会议客户Client在内部网络。为了和外部的视频会议客户端通信,一般都需要连接在Internet上的目录服务器,这样其他用户就可以通过目录服务器知道相应的IP地址,从而进行视频、聊天等应用。这种服务最常见于微软公司提供的Netmeeting软件。
由于在目录服务器上登录,一定得为内部网络中的主机临时分配一个合法的IP地址,否则外部网络的用户是无法访问到内部网络的。我们称为这种在目录服务器上登录的情况称为“注册服务”,USG 2000系列统一安全网关可以很好的支持这样的业务。
个别防火墙也支持NetMeeting注册,都是为内部网络的客户端临时分配一个合法的IP地址。有些网络设备实现的是这样的:如果一旦进行了注册,那么通过注册在目录服务器上的IP地址,可以访问NetMeeting客户端的任何资源,不但可以进行正常的NetMeeting会议,还可以ping通Client,还可以Telnet它....。相当于,这个临时分配的IP地址被内部网络的客户端独占,其他主机再也不能使用这个IP地址了。对于内部网络来说,这是一个比较严重的安全隐患,如果内部网络的用户使用了NetMeeting,就意味着和外部网络是实际联通的了。
USG 2000系列统一安全网关不但实现了“注册功能”,而且很好的处理了上述情况,为什么服务注册,那么只能使用这个IP地址进行做这个服务允许的事。例如通过NetMeeting的目录服务器注册,只能进行正常的NetMeeting服务,ping、Telnet等其他任何的访问都是不可能的。而且被临时使用的合法IP地址,依然同时可以提供给其他的内部网络用户上网使用,大大节约了IP地址,同时提供了内部网络的安全性。
2.5.6 无数目限制的PAT方式转换
USG 2000系列统一安全网关可以提供PAT(Port Address Translation)方式的地址转换,PAT方式的地址转换使用了TCP/UDP的端口信息,这样在进行地址转换的时候使用的是“地
2013-7-4
华为机密,未经许可不得扩散
第18页, 共31页
华赛Secospace USG 2000系列统一安全网关技术白皮书 内部公开
址+端口”来区分内部局域网的主机对外发起的不同连接。这样使用PAT方式的地址转换技术,内部局域网的很多用户可以共享一个IP地址上网了。
因为TCP/UDP的端口范围是1~65535,一般1~1024端口范围是系统保留端口,因此从理论上计算,通过PAT方式的地址转换一个合法的IP地址可以提供大约60000个并发连接。但是USG 2000系列统一安全网关采用专利技术提供了一种“无限制端口”连接的算法,可以保证使用一个公网IP地址可以提供无限个并发连接,通过这种技术就突破了PAT方式上网的65535个端口的限制,更大的满足了地址转换方式的实际使用,更加节省了公网的IP地址。
2.6 攻击防范能力
USG2000专门设计的防火墙平台,具有自主知识产权的安全操作系统;报文处理和操作系统完全分开,这种无依赖性大大提高了系统安全性。保证了各种非法攻击漏洞等不会侵害到防火墙本身。
2.6.1 丰富的Dos防御手段
USG 2000系列统一安全网关产品根据数据报文的特征,以及Dos攻击的不同手段,可以针对ICMP Flood、SYN Flood、UDP Flood等各种Dos攻击手段进行Dos攻击的防御。
同时,USG 2000系列统一安全网关可以主动识别出数十种常见的攻击种类,很多种攻击种类造成的后果就是Dos形式的攻击,USG 2000系列统一安全网关可以主动发现并隔断这些非法攻击,消除了内部网络遭受攻击的可能。通过对各种攻击的防御手段,利用USG 2000系列统一安全网关可以组建一个安全的防御体系,保证网络不遭受Dos攻击的侵害。
针对不同的攻击特点,USG 2000系列统一安全网关采用了一些不同的防御技术,这样保证USG 2000系列统一安全网关在抵御Dos攻击的时候更有针对性,使得整个USG 2000系列统一安全网关的抵御特性更加完整。
USG 2000系列统一安全网关不但在攻击手段上面进行了详细考虑,同时也在使用方式和网络适应性方面做了周全的考虑,攻击防范既可以针对一台特定的主机也可以针对一个安全区域的所有主机进行保护。
2.6.2 高级的TCP代理防御体系
USG 2000系列统一安全网关支持使用TCP代理方式来防止SYN Flood类的Dos攻击,这种攻击可以很快的消耗服务器资源,导致服务器崩溃。在一般的Dos防范技术中,在攻击发生的时候不能准确的识别哪些是合法用户,哪些是攻击报文。USG 2000系列统一安全网关
2013-7-4
华为机密,未经许可不得扩散
第19页, 共31页
