防火墙培训ppt课件.ppt

《防火墙培训ppt课件.ppt》由会员分享，可在线阅读，更多相关《防火墙培训ppt课件.ppt（63页珍藏版）》请在三一办公上搜索。

1、网神信息技术（北京）股份有限公司员工技术培训课程,防火墙技术培训,2013-002,培训讲师：郭辰,课程目标,防火墙的基本概念网神防火墙产品线、产品特点网神防火墙工作原理、产品技术网神防火墙的典型应用、标准部署方案,一、防火墙概述,目录,二、网神防火墙,三、典型应用、部署方案,一、防火墙概述,目录,防火墙概念,1,防火墙作用,3,相关知识与常见述语,4,技术发展,2,防火墙概念,防火墙 Firewall,在安全需求不同的网络区域之间，通过即定原则对网络通信强制实施访问控制的安全设备。,边界防护,防火墙概念,防火墙是一款具备安全防护功能网络设备,路由、交换,攻击防护,日志记录,冗余设计,访问控制

2、,虚拟专网,防火墙作用,对数据包的安全处理禁止允许其他附加功能,路由器功能NAT动、静态路由,日志,防火墙作用-2,错误或不当的配置，容易引发灾难性的网络后果。,对不经过自身的网络数据无法控制，由其是内部网络之间。,典型边界防护设备,策略配置相对复杂、专业,局限性,防火墙特点,防火墙的多功能与性能成反比,防火墙的安全性与性能成反比,防火墙的安全性与易操作成反比,相关知识与术语-术语,吞吐量定 义：在不丢包的情况下能够达到的最大速率。衡量标准：吞吐量作为衡量防火墙性能的重要指标。 百分比越大，速率越大证明设备的性能越高。参数单位：线速百分比 或 流量速率。,海量数据,通过的数据,以最大速率发包,

3、直到出现丢包时的取最大值,100M,60M,极限值,测试仪,测试仪,相关知识与术语-术语,并发连接数,定 义：指在同一时间点上，防火墙所能维护的最大网络连接数。衡量标准：防火墙建立和维持网络连接的性能，并发连接数越大的防火 墙适应大流量的网络的能力就越强。参数单位：个,CLIENT,SERVER,持续最大,相关知识与术语-术语,包过滤 根据预调置的包过滤规则，对穿越自身的网络数据包采取允许通过或禁止丢弃的功能。 规则的检查项目以源地址、目的地址、源端口、目的端口、协议这五项被称之为五元组的要素组成，有时还会附加源、目的MAC、时间、进出接口等要素。,相关知识与术语-术语,透明模式 透明模式部署

4、是一种修改网络拓扑比较小的部署方式，这种部署方式，不需要对原有网络设备进行配置上的变更，就可以新增部署防火墙。能够适应这种部署方式的防火墙配置方法称之为透明模式。 在这种工作模式下，防火墙不对数据包做任何三层（路由）转发工作。但是会做二层（交换）转发工作。,相关知识与术语-术语,HA “高可用性”（High Availability）通常指一个系统通过专门的设计与技术，减少或消除因单一故障导致整个系统无法使用的情况，保障整体系统的可用性。 是网络环境中消除单点故障的主要手段之一。 在防火墙产品来说，HA通常都是指双机或多机备份、集群。在同一网络节点部署配置“相同”的多台防火墙，避免因为一台设备

5、故障导致断网。,相关知识与术语-动态服务,动态服务 特指TCP应用中，在客户端通过一个固定端口登录服务器端，并与服务器协商出一个新的随机通讯端口，随后使用通迅端口传输后续数据。 常见动态服务有 FTP被动模式、SQL-NET、PPTP（GRE-VPN）、H.323、SIP等,1.1.1.1：1024,10.10.10.10:80,小结,防火墙概念,1,防火墙作用,3,相关知识与常见述语,4,技术发展,2,10%,二、网神防火墙,目录,防火墙产品线,1,防火墙核心技术,3,防火墙应用技术,4,防火墙工作原理,2,防火墙产品线,防火墙,访问控制,线速防火墙,千兆高端,千兆 中端,百兆高端,百兆低端

6、,G60系列,G30系列,F10系列,G7系列,F6系列,F3系列,F1系列,万兆,X系列,G40系列,新命名防火墙产品线,A1500系列,企业级防火墙，网络处理能力800M到2G。并发连接发大于等于140万，1U机箱，单电源（不可扩展），标配4到6个10/100/1000M自适应电口。,A3000系列,多核处理器架构，网络处理能力5G-8G。并发连接发大于等于220万到260万不等，2U机箱，冗余电源（个别型号），标配4到6个10/100/1000M自适应电口。4个SFP插槽。,新命名防火墙产品线,A5000系列,多核处理器架构，网络处理能力6G-10G，并发连接数大于260万或大于等于30

7、0万。2U机箱，冗余电源（个别型号），6个十百千自适应电口，4个SFP插槽。支持液晶屏显示。,A9000系列,电信级高端千兆线速防火墙，多核+二维矩阵ASIC架构，网络处理能力8G-12G，64G小包王10G线速，并发连接大于等于360万，2U机箱，冗余双电源，10个十百千自适应电口，10个SFP插槽。,新命名防火墙产品线,A10000系列,万兆核心级防火墙，多核+ASCI处理架构，网络处理能力40G,并发连接数400万，标准2U机箱，冗余电源，标准配置8个万兆SFP+插槽，10个千兆SFP插槽，2个十百千自适应电口。,核心技术-多核AC架构,核心技术-高适用性,防火墙工作原理-简,安全功能,

8、网络功能,安全功能抗攻击 蠕虫过滤安全规则 P2P/IM限制带宽管理 连接限制用户认证 ,网络功能二层转发 三层转发链路探测 HA+VRRPADSL接入 IP与MAC绑定网口联动 ,防火墙工作原理-OSI与防火墙,应用层Application,网络层Internet,传输层Transport,链路层Link,IM/P2P限制、URL过滤、URL重定向、代理规则与定义,电源、物理连线、接口工作模式、速率协商、VLAN标记与TRUNK、 MAC地址表、桥转发表、端口联动、透明桥。,MAC与IP绑定、对象定义-地址、接口IP、路由（静态、动态）、DHCP等,安全规则、对象定义-服务（动态服务）、抗攻

9、击、蠕虫过滤、安全助手、链路探测,防火墙工作原理-1,丢弃,网卡,抗攻击,IP/MAC绑定,防火墙工作原理-2,VPN判断,本地服务,协议判断,VPN解密,本地处理,特殊模块处理,是,否,否,是,IP协议,非TCP/IP协议,防火墙工作原理-3A,状态表,匹配,3B,否,安全规则高级选项,路由表,否,是,路由VPN,VPN加密,丢弃,是,否,转发,转发,防火墙工作原理-3B,状态表,否,3A,匹配,VPN加密,否,是,路由表,加密VPN,丢弃,转发,转发,安全规则,丢弃,匹配,创建状态表,路由表,是,否,否,路由VPN,VPN加密,转发,应用技术-状态包过滤,A：C,B ：D,应用技术-状态包

10、过滤,安全规则$%*&()(%*&*)(%*&*)(%*&*)(%*&*)(%*&*)(%*&*)(%*&*)(%*&*)(%*&*)(%*&%(&()*LJBVG)(%*&*)(%*&*RTY%$%(*%$($%:LJHL*(&)*LHKJ%(&()*LJBVGJ$%GHLJJ)(%*&*)(%*&*)(%*&*)(%*&*)(%*&%(&()*LJBVG)(%*&*)(%*&*RTY%$%(*%$($%:LJHL*(&)*LHKJ%(&()*LJBVGJ$%GHLJJ)(%*&*)(%*&*)(%*&*)(%*&*)(%*&%(&()*LJBVG)(%*&*)(%*&*RTY%$%(*%$

11、($%:LJHL*(&)*LHKJ%(&()*LJBVGJ$%GHLJJ)(%*&*)(%*&*)(%*&*)(%*&*)(%*&%(&()*LJBVG)(%*&*)(%*&*RTY%$%(*%$($%:LJHL*(&)*LHKJ%(&()*LJBVGJ$%GHLJJ)(%*&*)(%*&*)(%*&*)(%*&*)(%*&%(&()*LJBVG)(%*&*)(%*&*RTY%$%(*%$($%:LJHL*(&)*LHKJ%(&()*LJBVGJ$%GHLJJ)(%*&*)(%*&*)(%*&*)(%*&*)(%*&%(&()*LJBVG)(%*&*)(%*&*RTY%$%(*%$($%:LJ

12、HL*(&)*LHKJ%(&()*LJBVGJ$%GHLJJ,状态表五元组等,高性能,高安全性,易配置,32,可编辑,应用技术-HA,保障网络可用,不改变逻辑拓扑,应用技术-HA,应用技术-HA,从,主,HA基本功能-状态同步 处于HA群组中的任何一台防火墙状态表发生任何变化时，都会从HA接口发送广播报文。报文中包含状态表的变化，包括某条状态表项的建立、变更、删除）。 其他防火墙接收到广播报文后，根据报文内容，同步修改自身的状态表。,应用技术-HA,从,主,VRRP功能-网络节点互备 所有启动了VRRP功能的设备，都会从自己的通讯接口发送组播报文（224.0.0.18），通过互相对比接到到的组

13、播报文中的优先级。除了优先级数字最小的一台 认定自己为master继续发送组播报文，其他设备均停止发送组播报文，进入监听状态。 处于VRRP-master状态的防火墙将接管所有的虚拟IP。（接管之初，会以自身接口实际MC，连续发送5次免费ARP，以帮助周边网络设备更新MAC表）,应用技术-多出口,多出口应用根据常见的用户需求，多出口环境下一般分为链路冗余、定向选路等具体部署情况。,应用技术-多出口,多出口应用 根据常见的用户需求，多出口环境下一般分为链路冗余、定向选路等具体部署情况。 通过路由负载+链路探测实现链路冗余需求。 通过源路由+指定目的的NAT规则 实现定向选路功能。,定向选路与链路

14、冗余不可共存,小结,15%,防火墙产品线,1,防火墙核心技术,3,防火墙应用技术,4,防火墙工作原理,2,目录,三、典型应用、部署方案,基础环境,1,HA,2,基础环境,Vlan1领导办公区,Vlan2办公楼,VLAN3 DMZ-服务器区,核心交换,在哪些位置可以部署防火墙？,边界路由器,基础环境,A,B,边界透明接入优点：1、网络环境改动少，逻辑拓扑无变化。2、防火墙易于配置。3、故障维护方法简易。缺点：1、增加一个网络故障点2、部分安全功能不支持透明模式,基础环境,A,B,边界透明接入配置的步骤：1、两个接口混合模式2、配置对象定义3、配置安全规则可选：1、配置带外管理IP、管理主机IP2

15、、配置跨网段管理用的缺省路由3、其他安全功能,基础环境,C,D,内部透明接入优点：1、安全区域边界明确。2、控制力度强。3、故障定位简单。缺点：1、用户投资大2、用户的安全需求未必会要求如此明细的控制。,E,基础环境,F,边界路由接入替换路由器的优点：1、不新增网络故障点。2、排查问题易定位。缺点：1、防火墙配置相对复杂2、不一定能兼容所有原路由器的功能,基础环境,F,实施方案的推荐顺序1、F或B 根据用户实际应用决定是路由、透明2、C、D、E 根据用户内网实际安全需求决定3、A 因为可能涉及到ISP接入设备，最后考虑A位置 。,C,D,E,A,B,基础环境,F,边界路由接入配置步骤：1、配置

16、内、外口的IP地址2、配置缺省路由及对内网回指路由3、配置对象定义、安全规则、NAT规则。可选步骤：4、配置远程管理主机。5、配置其他安全功能。,实际环境,HA 小术语,主备模式 (Active-Standby)是指两台防火墙中，只有主墙处于工作状态。备墙处于准备状态，除非主墙发生故障时，备墙才会接管主墙的工作。,核心交换 主,边界路由器 备,边界路由器 主,核心交换 备,防火墙 主,防火墙 备,双活 /双主(Active-Active)是指两台防火墙同时工作，同时处理数据。也同时互为备份。,HA 小术语,日字型连接 是指由2台边阶路由器、两台防火墙、两台核心交换机组成的一组冗余网络拓扑的形状

17、。 部分环境还会在墙与路由器之间的、或是核心交换与墙之间的串连其他安全设备，如流控、IPS、防毒墙等。（形成目字型或） 我们把单台防火墙向同一个方向，只连接一台周边设备的拓扑，都可以叫做日字型连接。,HA,核心交换 主,边界路由器 备,全连接 我们把单台防火墙向同一个方向，连接所有周边周边设备的拓扑，都可以叫做全连接型拓扑,边界路由器 主,核心交换 备,最高可用性保障,HA 小术语,二层冗余 使用生成树等二层协议，进行链路选择，,核心交换 主,边界路由器 备,边界路由器 主,核心交换 备,防火墙 主,防火墙 备,HA,核心交换 主,边界路由器 备,透明模式 每台墙用两个接口配置为混合模式并绑定

18、透明桥，接入用户网络中。 使用HA基本功能实现配置与状态的同步。 优点：1、网络改动较小、逻辑拓扑不变2、防火墙易配置3、维护简单 4、网络环境适应性强。,边界路由器 主,核心交换 备,A,A,透明模式为双活，不分主备。,HA,核心交换 主,边界路由器 备,边界路由器 主,核心交换 备,A,A,配置步骤A：主墙1、两个网口配置为混合模式2、绑定这两个网口为透明桥3、为一个接口配置IP地址，用于做HA心跳线。4、配置HA基本功能，其中选中 “主控节点”5、添加同步配置的规则。（服务为secgate_ha_conf的ANY-to-ANY规则）A:备墙第3步 HA接口IP，同段但不能相同。第4步 选

19、中“自动同步配置” 其余相同。,HA,核心交换 主,边界路由器 备,透明模式-2 全连接 每台墙用4个接口配置为混合模式并绑定成2对透明桥，成两进两出状态，接入用户网络中。 使用HA基本功能实现配置与状态的同步。 优点：全冗余结构，可用性最高。 缺点：结构过于复杂，维护困难。,边界路由器 主,核心交换 备,B,B,适用于已经启用OSPF网络,HA,核心交换 主,边界路由器 备,路由模式 启用VRRP用于浮动虚似IP，保障网络切换功能,使用HA基础功能实现状态同步与配置同步。 这种部署模式，分单活与双活两种。 在配置为单活主备模式时，只有VRRP关联状态为MASTER的主墙处理数据。 在配置为双

20、活时，每台防火墙分别有一个关联为MASTER状态，并处理转发给自身的数据。,边界路由器 主,核心交换 备,C,C,HA,核心交换 主,边界路由器 备,边界路由器 主,核心交换 备,C,C,配置步骤 主墙1、内、外、HA三个网口配置各自为路由模式，并配置实IP2、配置2个VRRP实例，为实例绑定一个网口，并为每个实例配置虚IP。3、配置VRRP关联，绑定内外口实例，设置一个优先级。4、配置缺省路由及回指路由5、配置HA基本功能，其中选中 “主控节点”6、添加同步配置的规则。（服务为secgate_ha_conf的ANY-to-ANY规则）7、添加VRRP规则。（服务为VRRP的ANY-to-AN

21、Y）,HA,核心交换 主,边界路由器 备,边界路由器 主,核心交换 备,C,C,配置步骤 备墙1、内、外、HA三个网口配置各自为路由模式，并配置实IP(与主墙不同)2、配置2个VRRP实例，为实例绑定一个网口，并配置虚拟IP。(VRID需与主墙相应接口相同)3、配置VRRP关联，绑定内外口的实例，设置一个优先级。(优先级需比主墙数字大)4、配置HA基本功能，其中选中 “自动配置同步”“自动状态同步”5、添加同步配置的规则。6、添加VRRP规则。,HA,核心交换 主,边界路由器 备,路由模式 全连接 启用VRRP用于浮动虚似IP，保障网络切换功能,使用HA基础功能实现状态同步与配置同步。 在路由模式下进行全连接部署，如果需要双活模式，将使防火墙的配置达到最复杂的程度，相当于日字型连接单活的4倍以上，极易出错。在讨论方案、实际操作过程中，应尽一切可能避免采用此方案。,边界路由器 主,核心交换 备,D,D,小节,基础环境,1,HA,2,总结,防火墙概念,防火墙作用,相关知识与常见述语,基础环境,谢 谢！,63,可编辑,