传输层 IP层 网络接口层
TCP UDP IP ICMP ARP
以太网，令牌环，FDDI…
49
TOPSEC集中管理器
50
区域的设置
51
工具栏的使用
工具栏的设置
52
选项设置
53
防火墙高可用性配置
54
防火墙的设置
FireWall
Internet 211.95.180.1 DMZ 192.168.2.250 Intranet 192.168.1.250
21
被屏蔽子网
22
六、防火墙功能与原理
基于访问控制技术 基于源IP地址 －基于目的IP地址－基于源端口－基于目的端口 基于时间－基于用户－基于流量－基于文件－基于网址 基于MAC地址
23
服务器负载均衡
根据负载均衡算法 将数据重定位到一 台WWW服务器
负载均衡算法： 顺序选择算法＋权值 根据PING的时间间隔来选择地址＋权值 根据CONNET的时间间隔来选择地址＋权值 根据CONNET来发送请求并得到应答的时间间隔来选择地址＋权值
44
丢包率
定义：在稳定负载下，应由网络设备传输，但由于资源缺乏而被丢弃的帧的百分比。 衡量标准：防火墙的丢包率对其稳定性、可靠性有很大影响。
45
背靠背
定义：比空闲状态开始，以达到传输介质最小合法间隔极限的传输速率发送 相当数量的固定长度的帧，当出现第一个帧丢失时，发送的帧数。 衡量标准：背对背包的测试结果能体现出防火的缓冲容量，网络上经常有一 些应用会产生大量的突发数据包（如：路由更新，备份等），而且这样的数 据包的丢失可能会产生更多的数据包，强大缓冲能力可以减少这种突发对网 络造成的影响。
29
DDoS攻击过程
30
与MAC地址绑定
31
时间策略
在访问中配置某条规则起作用的时间。 如配置了时间策略，防火墙在规则匹配时将跳过那些当前时间 不在策略时间段内的规则 注：这个时间段不是允许访问的时间段，而是规则起作用的时 间段。
32
NAT 地址转换协议
隐藏了内部网络结构 内部网络可以使用私有IP地址 外网地址不足的网络可以使用这种地址复用功能
7
三、防火墙核心技术
简单包过滤防火墙 状态检测包过滤防火墙 应有代理防火墙 包过滤和应有代理复合性防火墙 核检测防火墙
8
3.1 简单包过滤防火墙工作原理 简单包过滤
9
3.2 状态检测包过滤防火墙工作原理 状态检测包过滤
10
3.3 应用代理防火墙工作原理 应用代理
11
3.4 复合型防火墙工作原理 复合型
69
OTP用户管理
70
VPN管理
VPN证书的设置
防火墙作为VPN服务器，即要有自己的服务器证书，也要有客户端用户的所有证书。 VPN客户端要访问VPN服务器,即要有客户端证书，也要有服务器的证书。
71
4
1.3 IT领域防火墙的概念
一种高级访问控制设备，置于不同安全域之间，是不同安全 域之间的唯一通道，能根据企业有关的安全政策执行允许， 拒绝，监视，记录进出网络的行为。
5
1.4 防火墙
防火墙是一个或一组系统，用于管理两个网络直接的访问控制及策略 所有从内部访问外部的数据流和外部访问内部的数据流均必须通过防 火墙；只有在被定义的数据流才可以通过防火墙 防火墙本身必须有很强的免疫力
对象的建立－－主机节点对象
56
对象的建立－－子网对象
57
对象组的建立
58
特殊对象的建立
透明网络的设置
文件资源的设置
59
特殊对象的建立
URL的设置
关键字的设置
60
特殊对象的建立
邮件地址的设置 认证数据库的设置
61
访问策略的建立
访问策略应在目 标区域内设置
62
策略源和策略目的的建立
“策略目的”选项只有当 前策略区域内的对象
33
MAP端口（地址）映射
34
SNMP管理
35
七、防火墙的接入方式 透明模式（网络）
36
路由模式 路由模式
37
透明及路由的混合模式
38
八、防火墙的典型应用
应用一
39
防火墙的典型应用 应用二：
40
防火墙的典型应用
应用三
41
九、防火墙的性能
衡量防火墙的五大性能指标：
吞吐量：该指标直接影响网络的性能，吞吐量。 时延：入口处输入帧最后一个最后一个比特到达至出口处输出帧第一个比特输出所 用的时间间隔。 丢包率：在稳定负载下，应由网络设备传输，但由于资源缺乏而被丢弃的帧的百分 比。 背靠背：比空闲状态开始，以达到传输介质最小合法间隔极限的传输速率发送相当 数量的固定长度的帧，当出现第一个帧丢失时，发送的帧数。 并发连接数：指穿越防火墙的主机之间或主机与防火墙之间能同时建立的连接数。
24
防火墙对TRUCK协议的支持
25
支持第三方认证服务器
1、支持第三方RADIUS服务器认证 2、支持OTP认证服务器
26
与IDS的安全联动
27
与病毒服务器的安全联动
28
防止DoS和DDoS攻击
DoS ( Denial of Service ) 拒绝服务攻击 攻击者利用系统自身陋洞或者协议陋洞，耗尽可用资 源乃至系统崩溃，而无法对合法用户作出响应。 DDoS ( Distributed Denial of Service ) 分布式拒绝服务攻击 攻击者利用因特网成百上千的’Zombie ’(僵尸）－即 被利用攻击主机，对攻击目标发动威力巨大的拒绝服 务攻击。 注：现还没有很好的办法来解决攻击行为，但可以通过一 些网络管理方法来预防这种攻击。
防火墙原理与配置
FireWall
防火墙基本概念 防火墙发展历程 防火墙核心技术 防火墙体系结构 防火墙构造体系 防火墙功能与原理 防火墙接入方式 防火墙典型应用 防火墙性能 防火墙配置
2
1.1 传统防火墙的概念
防火墙被设计用来防止火从大厦的一部份 传播到另一部份
3
1.2 防火墙形态
类似于一台路由器设备，是一台特殊的计算机。
6
二、防火墙的发展历程
防火墙和路由器合为一体，只有过 滤功能，适合安全要求不同的网络
模块化软件包，用户可根据需要构 建防火墙。安全性提高了。
包括分组过滤; 装有专用的代理系 统，监控所有协议的数据和指令。 用户可配置参数，安全性和速度大 为提高。
包括分组过滤，应用网关，电路级 网关。增加了加密，鉴别，审计， NAT. 透明性好。
42
吞吐量
定义：在不丢包的情况下，能够达到的最大速率。 衡量标准：吞吐量作为衡量防火墙的重要性能指标之一，吞吐量小就会造成网 络新的瓶颈，以后影响整个网络的性能。
43
时延
定义：入口处输入帧最后一个最后一个比特到达至出口处输出帧第一个比特输出 所用的时间间隔。 衡量标准：防火墙的时延能够体现它处理数据的速度。
63
策略服务的建立
64
访问控制的设置
65
通信策略的设置---Nat的设置
NAT(地址转换协议）：更改数据包源地址
66
通讯策略的设置－－MAP的设置
MAP,相当于 反向NAT,更 改数据包目 标地址
‘访问目标的源‘与’策略目的‘是指同一个主机。
67
IPSEC的设置
68
路由表的建立
源地址（网段）和目的 地址（网段）均需要满 足访问主机的要求。
202.95.1.58 IP: 192.168.2.50 网关：192.168.2.250 目标一：设置区域之间访问策略
IP:
192.168.
目标二：内网通过NAT访问互联网，过滤特定网页 目标三：外网通过MAP访问企业内部主机
55
46
并发连接数
定义：指穿越防火墙的主机之间或主机与防火墙之间能同时建立的连接数。 衡量标准：并发连接数的测试主要用来测试被测防火墙建立和维持TCP连接 的性能，同时也能通过并发连接数的大小体现被测防火墙对来自于客户端的 TCP连接的响应能力。
47
十、防火墙的配置 需要了解的内容： 1、防火墙的端口 Internet INTERNET 211.95.180.1 交 DMZ 192.168.1.250 机 换 SERVER SERVER SERVER
12
3.5 核检测防火墙工作原理 核检测
13
防火墙核心技术比较
14
四、防火墙体系结构
15
基于内核的会话检测技术
16
基于内核 的会话检测技术
17
五、防火墙构造体系
筛选路由器 多宿主主机 被屏蔽主机 被屏蔽子网
18
筛选路由器
进行包过滤
包过滤器
内部网络
外部网络
19
多宿主主机
20
被屏蔽主机
防火墙
INTRANET 远程网 192.168.1.250 核心交换机 交换机 PC PC PC PC
交换机 PC PC
192.168.1.3
48
TCP/IP协议 OSI/RM模型 TCP/IP协议栈 需要了解的内容： 2、TCP/IP
表示层 会话层 传输层 网络层 数据链接层 物理层
应用层
FTP SMTP HTTP……