防火墙培训PPT
透明模式部署是一种修改网络拓扑比较小的部署方式,这种部署方式, 不需要对原有网络设备进行配置上的变更,就可以新增部署防火墙。能够 适应这种部署方式的防火墙配置方法称之为透明模式。 在这种工作模式下,防火墙不对数据包做任何三层(路由)转发工作。
但是会做二层(交换)转发工作。
相关知识与术语
---术语
HA
数据
应用技术-状态包过滤
安全规则
$%^*&()(%^*&*)(%^*&* )(%^*&*)(%^*&*)(%^*&* )(%^*&*)(%^*&*)(%^*&* )(%^*&*)(%^*&%^(&()*LJBVG )(%^*&*)(%^*&*RTY%^$% (*%$^($%:LJHL*^(&)*LHKJ %^(&()*LJBVGJ$$%GHLJJ )(%^*&*)(%^*&*)(%^*&* )(%^*&*)(%^*&%^(&()*LJBVG )(%^*&*)(%^*&*RTY%^$% (*%$^($%:LJHL*^(&)*LHKJ %^(&()*LJBVGJ$$%GHLJJ )(%^*&*)(%^*&*)(%^*&* )(%^*&*)(%^*&%^(&()*LJBVG )(%^*&*)(%^*&*RTY%^$% (*%$^($%:LJHL*^(&)*LHKJ %^(&()*LJBVGJ$$%GHLJJ )(%^*&*)(%^*&*)(%^*&* )(%^*&*)(%^*&%^(&()*LJBVG )(%^*&*)(%^*&*RTY%^$% (*%$^($%:LJHL*^(&)*LHKJ %^(&()*LJBVGJ$$%GHLJJ )(%^*&*)(%^*&*)(%^*&* )(%^*&*)(%^*&%^(&()*LJBVG )(%^*&*)(%^*&*RTY%^$% (*%$^($%:LJHL*^(&)*LHKJ %^(&()*LJBVGJ$$%GHLJJ )(%^*&*)(%^*&*)(%^*&* )(%^*&*)(%^*&%^(&()*LJBVG )(%^*&*)(%^*&*RTY%^$% (*%$^($%:LJHL*^(&)*LHKJ %^(&()*LJBVGJ$$%GHLJJ
括某条状态表项的建立、变更、 删除)。
其他防火墙接收到广播报文 后,根据报文内容,同步修改 自身的状态表。
主
从
应用技术-HA
VRRP功能-网络节点互备
所有启动了VRRP功能的设 备,都会从自己的通讯接口发 送组播报文(224.0.0.18), 通过互相对比接到到的组播报 文中的优先级。除了优先级数 字最小的一台 认定自己为 master继续发送组播报文,其 他设备均停止发送组播报文, 进入监听状态。 处于VRRP-master状态的防 火墙将接管所有的虚拟IP。(接
高性能
状态表
五元组等„„
易配置
高安全性
应用技术-HA
保障网络可用
不改变逻辑拓扑
应用技术-HA
HA基本功能
VRRP
1、同步配置 2、同步状态表 3、选举同步主机
1、网络层互备 2、选举网络层主机
应用技术-HA
HA基本功能-状态同步
处于HA群组中的任何一台 防火墙状态表发生任何变化时, 都会从HA接口发送广播报文。 报文中包含状态表的变化,包
电信级高端千兆线速防火墙,多核+二维 矩阵ASIC架构,网络处理能力8G-12G, 64G小包王10G线速,并发连接大于等 于360万,2U机箱,冗余双电源,10个 十百千自适应电口,10个SFP插槽。
新命名防火墙产品线
A10000系列
万兆核心级防火墙,多核+ASCI处理架构,网络处理能 力40G,并发连接数400万,标准2U机箱,冗余电源,标 准配置8个万兆SFP+插槽,10个千兆SFP插槽,2个十百 千自适应电口。
路由器功能
日志
NAT
动、静态路由
防火墙作用-2
典型边界防护设备
对不经过自身的网络数据无法控制,由其是内部网络之间。
局限性
策略配置相对复杂、专业
错误或不当的配置,容易引发灾难性的网络后果。
L2~4 过滤设备
1、无法解决 TCP/IP 协议洞导到的安全威胁。 2、很难解决应用层的安全威胁。 3、数据包的深层分析严重影响性能。
万兆 千兆 高端 千兆 中端 百兆 高端 百兆 低端
F1系列 F3系列 G60系列
X系列
G40系列
G30系列
G7系列 F10系列 F6系列
新命名防火墙产品线
A1500系列
A3000系列
企业级防火墙,网络处理能力 800M到2G。并发连接发大于 等于140万,1U机箱,单电源 (不可扩展),标配4到6个 10/100/1000M自适应电口。
否
丢弃
否
转发
转发
防火墙工作原理-3B
状态表
否 匹配
3A
匹配
安全 规则
否
丢弃
否
创建状态表
是
加密VPN
VPN 加密
否
路由 表
丢弃
路由表
是
VPN加密
路由 VPN
转发
转发
转发
应用技术-状态包过滤
数据 目地端口:D 源端口:C 目的IP:B 源IP:A
A:C
B :D
源IP:A
目的IP:B 目地端口:D 源端口:C
Vlan2
办公楼2
VLAN3 DMZ-服务器区
基础环境
内部透明接入
优点:
边界路由器
Vlan1
办公楼1
C
D
Vlan2
核心交换
E
1、安全区域边界明确。 2、控制力度强。 3、故障定位简单。 缺点: 1、用户投资大 2、用户的安全需求未必 会要求如此明细的控制。
办公楼2
VLAN3 DMZ-服务器区
基础环境
支持3G网络安全接入
支持MPLS网络接入
防火墙工作原理-简
安全功能
网络功能
安全功能
抗攻击 安全规则 带宽管理 蠕虫过滤 P2P/IM限制 连接限制
网络功能
二层转发 链路探测 ADSL接入 三层转发 HA+VRRP IP与MAC绑定
用户认证
„„
网口联动
„„
防火墙工作原理-OSI与防火墙
应用层
Application IM/P2P限制、URL过滤、URL重定向、代理规则 与定义 安全规则、对象定义-服务(动态服务)、抗攻击、 蠕虫过滤、安全助手、链路探测 MAC与IP绑定、对象定义-地址、接口IP、路由 (静态、动态)、DHCP等 电源、物理连线、接口工作模式、速率协商、 VLAN标记与TRUNK、 MAC地址表、桥转发表、 端口联动、透明桥。
相关知识与术语
数据
---动态服务
目地端口:
80
源端口:
1024
目的IP:
10.10.10.10
源IP:
1.1.1.1
源IP:
1.1.1.1:1024
目的IP:
1.1.1.1
目地端口:
1024
源端口:
80
10.10.10.10
数据
10.10.10.10:80
动态服务
特指TCP应用中,在客户端通过一个固定端口登录服务器端,并与服 务器协商出一个新的随机通讯端口,随后使用通迅端口传输后续数据。
多核处理器架构,网络处理能力 5G-8G。并发连接发大于等于220 万到260万不等,2U机箱,冗余 电源(个别型号),标配4到6个 10/100/1000M自适应电口。4个 SFP插槽。
新命名防火墙产品线
A5000系列
A9000系列
多核处理器架构,网络处理能力 6G-10G,并发连接数大于260万 或大于等于300万。2U机箱,冗 余电源(个别型号),6个十百千 自适应电口,4个SFP插槽。支持 液晶屏显示。
“高可用性”(High Availability)通常指一个系统通过专门的设计与技 术,减少或消除因单一故障导致整个系统无法使用的情况,保障整体系统 的可用性。 是网络环境中消除单点故障的主要手段之一。
在防火墙产品来说,HA通常都是指双机或多机备份、集群。在同一网
络节点部署配置“相同”的多台防火墙,避免因为一台设备故障导致断网。
防火墙特点
防火墙的多功能与性能成反比
防火墙的安全性与性能成反比
防火墙的安全性与易操作成反比
相关知识与术语
吞吐量
---术语
定 义:在不丢包的情况下能够达到的最大速率。 衡量标准:吞吐量作为衡量防火墙性能的重要指标。
极限值
百分比越大,速率越大证明设备的性能越高。
参数单位:线速百分比 或 流量速率。
海量数据
边界路由接入
边界路由器
Vlan1
替换路由器的优点:
办公楼1
F
1、不新增网络故障点。 2、排查问题易定位。 缺点: 1、防火墙配置相对复杂 2、不一定能兼容所有原 路由器的功能
以最大速率发包
通过的数据
直到出现丢包时的取最大值
测试仪 100M
测试仪
60M
相关知识与术语
并发连接数
---术语
定 义:指在同一时间点上,防火墙所能维护的最大网络连接数。 衡量标准:防火墙建立和维持网络连接的性能,并发连接数越大的防火