防火墙培训PPT

网神信息技术（北京）股份有限公司员工技术培训课程防火墙技术培训2013-002培训讲师：郭辰课程目标防火墙的基本概念网神防火墙产品线、产品特点网神防火墙工作原理、产品技术网神防火墙的典型应用、标准部署方案一、防火墙概述目录二、网神防火墙三、典型应用、部署方案一、防火墙概述目录防火墙概念1防火墙作用3相关知识与常见述语4技术发展2防火墙概念防火墙Firewall在安全需求不同的网络区域之间，通过即定原则对网络通信强制实施访问控制的安全设备。边界防护信任网络非信任网络防火墙概念防火墙是一款具备安全防护功能网络设备路由、交换冗余设计防火墙作用对数据包的安全处理禁止允许其他附加功能路由器功能NAT动、静态路由日志防火墙作用-2错误或不当的配置，容易引发灾难性的网络后果。对不经过自身的网络数据无法控制，由其是内部网络之间。典型边界防护设备策略配置相对复杂、专业1、无法解决TCP/IP协议洞导到的安全威胁。2、很难解决应用层的安全威胁。3、数据包的深层分析严重影响性能。L2~4过滤设备局限性防火墙特点防火墙的多功能与性能成反比防火墙的安全性与性能成反比防火墙的安全性与易操作成反比相关知识与术语---术语吞吐量定义：在不丢包的情况下能够达到的最大速率。衡量标准：吞吐量作为衡量防火墙性能的重要指标。百分比越大，速率越大证明设备的性能越高。参数单位：线速百分比或流量速率。海量数据通过的数据以最大速率发包直到出现丢包时的取最大值100M60M极限值测试仪测试仪相关知识与术语---术语并发连接数定义：指在同一时间点上，防火墙所能维护的最大网络连接数。衡量标准：防火墙建立和维持网络连接的性能，并发连接数越大的防火墙适应大流量的网络的能力就越强。参数单位：个CLIENTSERVER持续最大相关知识与术语---术语包过滤根据预调置的包过滤规则，对穿越自身的网络数据包采取允许通过或禁止丢弃的功能。规则的检查项目以源地址、目的地址、源端口、目的端口、协议这五项被称之为五元组的要素组成，有时还会附加源、目的MAC、时间、进出接口等要素。相关知识与术语---术语透明模式透明模式部署是一种修改网络拓扑比较小的部署方式，这种部署方式，不需要对原有网络设备进行配置上的变更，就可以新增部署防火墙。能够适应这种部署方式的防火墙配置方法称之为透明模式。在这种工作模式下，防火墙不对数据包做任何三层（路由）转发工作。但是会做二层（交换）转发工作。相关知识与术语---术语HA“高可用性”（HighAvailability）通常指一个系统通过专门的设计与技术，减少或消除因单一故障导致整个系统无法使用的情况，保障整体系统的可用性。是网络环境中消除单点故障的主要手段之一。在防火墙产品来说，HA通常都是指双机或多机备份、集群。在同一网络节点部署配置“相同”的多台防火墙，避免因为一台设备故障导致断网。相关知识与术语---动态服务动态服务特指TCP应用中，在客户端通过一个固定端口登录服务器端，并与服务器协商出一个新的随机通讯端口，随后使用通迅端口传输后续数据。常见动态服务有FTP被动模式、SQL-NET、PPTP（GRE-VPN）、H.323、SIP等源IP:1.1.1.1目的IP:10.10.10.10源端口:1024目地端口:80数据源IP:10.10.10.10目的IP:1.1.1.1源端口:80目地端口:1024数据1.1.1.1：102410.10.10.10:80小结防火墙概念1防火墙作用3相关知识与常见述语4技术发展210%二、网神防火墙目录防火墙产品线1防火墙核心技术3防火墙应用技术4防火墙工作原理2防火墙产品线防火墙访问控制线速防火墙千兆高端千兆中端百兆高端百兆低端G60系列G30系列F10系列G7系列F6系列F3系列F1系列万兆X系列G40系列新命名防火墙产品线A1500系列企业级防火墙，网络处理能力800M到2G。并发连接发大于等于140万，1U机箱，单电源（不可扩展），标配4到6个10/100/1000M自适应电口。A3000系列多核处理器架构，网络处理能力5G-8G。并发连接发大于等于220万到260万不等，2U机箱，冗余电源（个别型号），标配4到6个10/100/1000M自适应电口。4个SFP插槽。新命名防火墙产品线A5000系列多核处理器架构，网络处理能力6G-10G，并发连接数大于260万或大于等于300万。2U机箱，冗余电源（个别型号），6个十百千自适应电口，4个SFP插槽。支持液晶屏显示。A9000系列电信级高端千兆线速防火墙，多核+二维矩阵ASIC架构，网络处理能力8G-12G，64G小包王10G线速，并发连接大于等于360万，2U机箱，冗余双电源，10个十百千自适应电口，10个SFP插槽。新命名防火墙产品线A10000系列万兆核心级防火墙，多核+ASCI处理架构，网络处理能力40G,并发连接数400万，标准2U机箱，冗余电源，标准配置8个万兆SFP+插槽，10个千兆SFP插槽，2个十百千自适应电口。核心技术-多核AC架构核心技术-高适用性多种接入模式：支持透明、路由、混合模式多纯透明子桥和接口联动（唯一）多条ADSL（最多支持3条）同时拨号和自动负载均衡方式（唯一）支持基于应用（ARP/PING/TCP/HTTP）的链路探测（唯一）多出口（最多支持6条）的路由自动负载均衡和故障线路切换设计（唯一）支持DNS中继及自动寻找上级DNS服务器功能（唯一）支持源/目的地址路由、支持基于协议的策略路由、MERIC路由、动态路由OSPF、RIP协议支持3G网络安全接入支持MPLS网络接入防火墙工作原理-简安全功能网络功能安全功能抗攻击蠕虫过滤安全规则P2P/IM限制带宽管理连接限制用户认证……网络功能二层转发三层转发链路探测HA+VRRPADSL接入IP与MAC绑定网口联动……防火墙工作原理-OSI与防火墙应用层Application网络层Internet传输层Transport链路层LinkIM/P2P限制、URL过滤、URL重定向、代理规则与定义电源、物理连线、接口工作模式、速率协商、VLAN标记与TRUNK、MAC地址表、桥转发表、端口联动、透明桥。MAC与IP绑定、对象定义-地址、接口IP、路由（静态、动态）、DHCP等安全规则、对象定义-服务（动态服务）、抗攻击、蠕虫过滤、安全助手、链路探测防火墙工作原理-1丢弃网卡抗攻击IP/MAC绑定防火墙工作原理-2VPN判断本地服务协议判断VPN解密本地处理特殊模块处理是否否是IP协议非TCP/IP协议防火墙工作原理-3A状态表匹配3B否安全规则高级选项路由表否是路由VPNVPN加密丢弃是否转发转发防火墙工作原理-3B状态表否3A匹配VPN加密否是路由表加密VPN丢弃转发转发安全规则丢弃匹配创建状态表路由表是否否路由VPNVPN加密转发应用技术-状态包过滤源IP：A目的IP：B源端口：C目地端口：D数据源IP：A目的IP：B源端口：C目地端口：D数据A：CB：D应用技术-状态包过滤安全规则$%^*&()(%^*&*)(%^*&*)(%^*&*)(%^*&*)(%^*&*)(%^*&*)(%^*&*)(%^*&*)(%^*&*)(%^*&%^(&()*LJBVG)(%^*&*)(%^*&*RTY%^$%(*%$^($%:LJHL*^(&)*LHKJ%^(&()*LJBVGJ$$%GHLJJ)(%^*&*)(%^*&*)(%^*&*)(%^*&*)(%^*&%^(&()*LJBVG)(%^*&*)(%^*&*RTY%^$%(*%$^($%:LJHL*^(&)*LHKJ%^(&()*LJBVGJ$$%GHLJJ)(%^*&*)(%^*&*)(%^*&*)(%^*&*)(%^*&%^(&()*LJBVG)(%^*&*)(%^*&*RTY%^$%(*%$^($%:LJHL*^(&)*LHKJ%^(&()*LJBVGJ$$%GHLJJ)(%^*&*)(%^*&*)(%^*&*)(%^*&*)(%^*&%^(&()*LJBVG)(%^*&*)(%^*&*RTY%^$%(*%$^($%:LJHL*^(&)*LHKJ%^(&()*LJBVGJ$$%GHLJJ)(%^*&*)(%^*&*)(%^*&*)(%^*&*)(%^*&%^(&()*LJBVG)(%^*&*)(%^*&*RTY%^$%(*%$^($%:LJHL*^(&)*LHKJ%^(&()*LJBVGJ$$%GHLJJ)(%^*&*)(%^*&*)(%^*&*)(%^*&*)(%^*&%^(&()*LJBVG)(%^*&*)(%^*&*RTY%^$%(*%$^($%:LJHL*^(&)*LHKJ%^(&()*LJBVGJ$$%GHLJJ状态表五元组等……高性能高安全性易配置32可编辑应用技术-HA保障网络可用不改变逻辑拓扑应用技术-HAVRRP1、网络层互备2、选举网络层主机HA基本功能1、同步配置2、同步状态表3、选举同步主机应用技术-HA从主HA基本功能-状态同步处于HA群组中的任何一台防火墙状态表发生任何变化时，都会从HA接口发送广播报文。报文中包含状态表的变化，包括某条状态表项的建立、变更、删除）。其他防火墙接收到广播报文后，根据报文内容，同步修改自身的状态表。应用技术-HA从主VRRP功能-网络节点互备所有启动了VRRP功能的设备，都会从自己的通讯接口发送组播报文（224.0.0.18），通过互相对比接到到的组播报文中的优先级。除了优先级数字最小的一台认定自己为master继续发送组播报文，其他设备均停止发送组播报文，进入监听状态。处于VRRP-master状态的防火墙将接管所有的虚拟IP。（接管之初，会以自身接口实际MC，连续发送5次免费ARP，以帮助周边网络设备更新MAC表）应用技术-多出口多出口应用根据常见的用户需求，多出口环境下一般分为链路冗余、定向选路等具体部署情况。应用技术-多出口多出口应用根据常见的用户需求，多出口环境下一般分为链路冗余、定向选路等具体部署情况。通过路由负载+链路探测实现链路冗余需求。通过源路由+指定目的的NAT规则实现定向选路功能。定向选路与链路冗余不可共存小结15%防火墙产品线1防火墙核心技术3防火墙应用技术4防火墙工作原理2目录三、典型应用、部署方案基础环境1HA2基础环境Vlan1领导办公区Vlan2办公楼VLAN3DMZ-服务器区核心交换在哪些位置可以部署防火墙？边界路由器基础环境Vlan1办公楼1Vlan2办公楼2VLAN3DMZ-服务器区核心交换边界路由器AB边界透明接入优点：1、网络环境改动少，逻辑拓扑无变化。2、防火墙易于配置。3、故障维护方法简易。缺点：1、增加一个网络故障点2、部分安全功能不支持透明模式基础环境Vlan1办公楼1Vlan2办公楼2VLAN3DMZ-服务器区核心交换边界路由器AB边界透明接入配置的步骤：1、两个接口混合模式2、配置对象定义3、配置安全规则可选：1、配置带外管理IP、管理主机IP2、配置跨网段管理用的缺省路由3、其他安全功能基础环境Vlan1办公楼1Vlan2办公楼2VLAN3DMZ-服务器区核心交换边界路由器CD内部透明接入优点：1、安全区域边界明确。2、控制力度强。3、故障定位简单。缺点：1、用户投资大2、用户的安全需求未必会要求如此明细的控制。E基础环境Vlan1办公楼1Vlan2办公楼2VLAN3DMZ-服务器区核心交换边界路由器F边界路由接入替换路由器的优点：1、不新增网络故障点。2、排查问题易定位。缺点：1、防火墙配置相对复杂2、不一定能兼容所有原路由器的功能基础环境Vlan1办公楼1Vlan2办公楼2VLAN3DMZ-服务器区核心交换边界路由器F实施方案的推荐顺序1、F或B根据用户实际应用决定是路由、透明2、C、D、E根据用户内网实际安全需求决定3、A因为可能涉及到ISP接入设备，最后考虑A位置。CDEAB基础环境Vlan1办公楼1Vlan2办公楼2VLAN3DMZ-服务器区核心交换边界路由器F边界路由接入配置步骤：1、配置内、外口的IP地址2