如上图所示,接口、安全域、VSwitch和VRouter之间的绑定关系如下:
StoneOS是安全网关运行的系统固件。StoneOS系统中的基本组成部分包括:接口、安全域、VSwitch、VRouter、策略以及VPN。
接口允许流量进出安全域。因此,为使流量能够流入和流出某个安全域,必须将接口绑定到该安全域,并且,如果是三层安全域,还需要为接口配置IP地址。然后,必须配置相应的策略规则,允许流量在不同安全域中的接口之间传输。多个接口可以被绑定到一个安全域,但是一个接口不能被绑定到多个安全域。StoneOS支持多种类型接口,实现不同功能。
安全域将网络划分为不同部分,例如trust(通常为内网等可信任部分)、untrust(通常为因特网等存在安全威胁的不可信任部分)等。将配置的策略规则应用到安全域上后,安全网关就能够对出入安全域的流量进行管理和控制。StoneOS提供8个预定义安全域,分别是:trust、untrust、dmz、L2-trust、L2-untrust、L2-dmz、VPNHub和HA。
VSwitch(Virtual Switch)即虚拟交换机,具有交换机功能。VSwitch工作在二层,将二层安全域绑定到VSwitch上后,绑定到安全域的接口也被绑定到该VSwitch上。StoneOS有一个默认的VSwitch,名为VSwitch1,默认情况下,二层安全域都会被绑定到VSwtich1中。用户可以根据需要创建其它VSwitch,绑定二层安全域到不同VSwitch中。
一个VSwitch就是一个二层转发域,每个VSwitch都有自己独立的MAC地址表,因此设备的二层转发在VSwitch中实现。并且,流量可以通过VSwitch接口,实现二层与三层之间的转发。
VRouter(Virtual Router)即虚拟路由器,在StoneOS系统中简称为VR。VRouter具有路由器功能,不同VR拥有各自独立的路由表。系统中有一个默认VR,名为trust-vr,默认情况下,所有三层安全域都将会自动绑定到trust-vr上。系统支持多VR功能且不同硬件平台支持的最大VR数不同。多VR将设备划分成多个虚拟路由器,每个虚拟路由器使用和维护各自完全独立的路由表,此时一台设备可以充当多台路由器使用。多VR使设备能够实现不同路由域的地址隔离与不同VR间的地址重叠,同时能够在一定程度上避免路由泄露,增加网络的路由安全。下图描述了接口、安全域、VSwitch和VRouter之间的关系:
如上图所示,接口、安全域、VSwitch和VRouter之间的绑定关系如下:
策略实现安全网关保证网络安全的功能。策略通过策略规则决定从一个安全域到另一个安全域的哪些流量该被允许,哪些流量该被拒绝。默认情况下,所有通过安全网关的流量都是被拒绝的,用户可以根据需要,创建策略规则,允许特定的流量在不同安全域之间或者安全域内通过,例如,允许从trust域发起到untrust域的所有类型流量通过,或者只允许从untrust域发起到DMZ域的某种特定应用类型的流量在指定的时间内(时间表功能)通过。
StoneOS支持VPN功能,包括IPSec VPN、基于SSL的远程登录解决方案——Secure Connect VPN(简称为SCVPN)、拨号VPN和PnPVPN。用户可以配置VPN隧道,并且根据不同需求选择以下两种VPN隧道的应用方式:
接口相关信息,请参阅