防火墙培训ppt课件.ppt

上传人:牧羊曲112 文档编号:1449794 上传时间:2022-11-26 格式:PPT 页数:63 大小:4.23MB
返回 下载 相关 举报
防火墙培训ppt课件.ppt_第1页
第1页 / 共63页
防火墙培训ppt课件.ppt_第2页
第2页 / 共63页
防火墙培训ppt课件.ppt_第3页
第3页 / 共63页
防火墙培训ppt课件.ppt_第4页
第4页 / 共63页
防火墙培训ppt课件.ppt_第5页
第5页 / 共63页
点击查看更多>>
资源描述

《防火墙培训ppt课件.ppt》由会员分享,可在线阅读,更多相关《防火墙培训ppt课件.ppt(63页珍藏版)》请在三一办公上搜索。

1、网神信息技术(北京)股份有限公司员工技术培训课程,防火墙技术培训,2013-002,培训讲师:郭辰,课程目标,防火墙的基本概念网神防火墙产品线、产品特点网神防火墙工作原理、产品技术网神防火墙的典型应用、标准部署方案,一、防火墙概述,目录,二、网神防火墙,三、典型应用、部署方案,一、防火墙概述,目录,防火墙概念,1,防火墙作用,3,相关知识与常见述语,4,技术发展,2,防火墙概念,防火墙 Firewall,在安全需求不同的网络区域之间,通过即定原则对网络通信强制实施访问控制的安全设备。,边界防护,防火墙概念,防火墙是一款具备安全防护功能网络设备,路由、交换,攻击防护,日志记录,冗余设计,访问控制

2、,虚拟专网,防火墙作用,对数据包的安全处理禁止允许其他附加功能,路由器功能NAT动、静态路由,日志,防火墙作用-2,错误或不当的配置,容易引发灾难性的网络后果。,对不经过自身的网络数据无法控制,由其是内部网络之间。,典型边界防护设备,策略配置相对复杂、专业,局限性,防火墙特点,防火墙的多功能与性能成反比,防火墙的安全性与性能成反比,防火墙的安全性与易操作成反比,相关知识与术语-术语,吞吐量定 义:在不丢包的情况下能够达到的最大速率。衡量标准:吞吐量作为衡量防火墙性能的重要指标。 百分比越大,速率越大证明设备的性能越高。参数单位:线速百分比 或 流量速率。,海量数据,通过的数据,以最大速率发包,

3、直到出现丢包时的取最大值,100M,60M,极限值,测试仪,测试仪,相关知识与术语-术语,并发连接数,定 义:指在同一时间点上,防火墙所能维护的最大网络连接数。衡量标准:防火墙建立和维持网络连接的性能,并发连接数越大的防火 墙适应大流量的网络的能力就越强。参数单位:个,CLIENT,SERVER,持续最大,相关知识与术语-术语,包过滤 根据预调置的包过滤规则,对穿越自身的网络数据包采取允许通过或禁止丢弃的功能。 规则的检查项目以源地址、目的地址、源端口、目的端口、协议这五项被称之为五元组的要素组成,有时还会附加源、目的MAC、时间、进出接口等要素。,相关知识与术语-术语,透明模式 透明模式部署

4、是一种修改网络拓扑比较小的部署方式,这种部署方式,不需要对原有网络设备进行配置上的变更,就可以新增部署防火墙。能够适应这种部署方式的防火墙配置方法称之为透明模式。 在这种工作模式下,防火墙不对数据包做任何三层(路由)转发工作。但是会做二层(交换)转发工作。,相关知识与术语-术语,HA “高可用性”(High Availability)通常指一个系统通过专门的设计与技术,减少或消除因单一故障导致整个系统无法使用的情况,保障整体系统的可用性。 是网络环境中消除单点故障的主要手段之一。 在防火墙产品来说,HA通常都是指双机或多机备份、集群。在同一网络节点部署配置“相同”的多台防火墙,避免因为一台设备

5、故障导致断网。,相关知识与术语-动态服务,动态服务 特指TCP应用中,在客户端通过一个固定端口登录服务器端,并与服务器协商出一个新的随机通讯端口,随后使用通迅端口传输后续数据。 常见动态服务有 FTP被动模式、SQL-NET、PPTP(GRE-VPN)、H.323、SIP等,1.1.1.1:1024,10.10.10.10:80,小结,防火墙概念,1,防火墙作用,3,相关知识与常见述语,4,技术发展,2,10%,二、网神防火墙,目录,防火墙产品线,1,防火墙核心技术,3,防火墙应用技术,4,防火墙工作原理,2,防火墙产品线,防火墙,访问控制,线速防火墙,千兆高端,千兆 中端,百兆高端,百兆低端

6、,G60系列,G30系列,F10系列,G7系列,F6系列,F3系列,F1系列,万兆,X系列,G40系列,新命名防火墙产品线,A1500系列,企业级防火墙,网络处理能力800M到2G。并发连接发大于等于140万,1U机箱,单电源(不可扩展),标配4到6个10/100/1000M自适应电口。,A3000系列,多核处理器架构,网络处理能力5G-8G。并发连接发大于等于220万到260万不等,2U机箱,冗余电源(个别型号),标配4到6个10/100/1000M自适应电口。4个SFP插槽。,新命名防火墙产品线,A5000系列,多核处理器架构,网络处理能力6G-10G,并发连接数大于260万或大于等于30

7、0万。2U机箱,冗余电源(个别型号),6个十百千自适应电口,4个SFP插槽。支持液晶屏显示。,A9000系列,电信级高端千兆线速防火墙,多核+二维矩阵ASIC架构,网络处理能力8G-12G,64G小包王10G线速,并发连接大于等于360万,2U机箱,冗余双电源,10个十百千自适应电口,10个SFP插槽。,新命名防火墙产品线,A10000系列,万兆核心级防火墙,多核+ASCI处理架构,网络处理能力40G,并发连接数400万,标准2U机箱,冗余电源,标准配置8个万兆SFP+插槽,10个千兆SFP插槽,2个十百千自适应电口。,核心技术-多核AC架构,核心技术-高适用性,防火墙工作原理-简,安全功能,

8、网络功能,安全功能抗攻击 蠕虫过滤安全规则 P2P/IM限制带宽管理 连接限制用户认证 ,网络功能二层转发 三层转发链路探测 HA+VRRPADSL接入 IP与MAC绑定网口联动 ,防火墙工作原理-OSI与防火墙,应用层Application,网络层Internet,传输层Transport,链路层Link,IM/P2P限制、URL过滤、URL重定向、代理规则与定义,电源、物理连线、接口工作模式、速率协商、VLAN标记与TRUNK、 MAC地址表、桥转发表、端口联动、透明桥。,MAC与IP绑定、对象定义-地址、接口IP、路由(静态、动态)、DHCP等,安全规则、对象定义-服务(动态服务)、抗攻

9、击、蠕虫过滤、安全助手、链路探测,防火墙工作原理-1,丢弃,网卡,抗攻击,IP/MAC绑定,防火墙工作原理-2,VPN判断,本地服务,协议判断,VPN解密,本地处理,特殊模块处理,是,否,否,是,IP协议,非TCP/IP协议,防火墙工作原理-3A,状态表,匹配,3B,否,安全规则高级选项,路由表,否,是,路由VPN,VPN加密,丢弃,是,否,转发,转发,防火墙工作原理-3B,状态表,否,3A,匹配,VPN加密,否,是,路由表,加密VPN,丢弃,转发,转发,安全规则,丢弃,匹配,创建状态表,路由表,是,否,否,路由VPN,VPN加密,转发,应用技术-状态包过滤,A:C,B :D,应用技术-状态包

10、过滤,安全规则$%*&()(%*&*)(%*&*)(%*&*)(%*&*)(%*&*)(%*&*)(%*&*)(%*&*)(%*&*)(%*&%(&()*LJBVG)(%*&*)(%*&*RTY%$%(*%$($%:LJHL*(&)*LHKJ%(&()*LJBVGJ$%GHLJJ)(%*&*)(%*&*)(%*&*)(%*&*)(%*&%(&()*LJBVG)(%*&*)(%*&*RTY%$%(*%$($%:LJHL*(&)*LHKJ%(&()*LJBVGJ$%GHLJJ)(%*&*)(%*&*)(%*&*)(%*&*)(%*&%(&()*LJBVG)(%*&*)(%*&*RTY%$%(*%$

11、($%:LJHL*(&)*LHKJ%(&()*LJBVGJ$%GHLJJ)(%*&*)(%*&*)(%*&*)(%*&*)(%*&%(&()*LJBVG)(%*&*)(%*&*RTY%$%(*%$($%:LJHL*(&)*LHKJ%(&()*LJBVGJ$%GHLJJ)(%*&*)(%*&*)(%*&*)(%*&*)(%*&%(&()*LJBVG)(%*&*)(%*&*RTY%$%(*%$($%:LJHL*(&)*LHKJ%(&()*LJBVGJ$%GHLJJ)(%*&*)(%*&*)(%*&*)(%*&*)(%*&%(&()*LJBVG)(%*&*)(%*&*RTY%$%(*%$($%:LJ

12、HL*(&)*LHKJ%(&()*LJBVGJ$%GHLJJ,状态表五元组等,高性能,高安全性,易配置,32,可编辑,应用技术-HA,保障网络可用,不改变逻辑拓扑,应用技术-HA,应用技术-HA,从,主,HA基本功能-状态同步 处于HA群组中的任何一台防火墙状态表发生任何变化时,都会从HA接口发送广播报文。报文中包含状态表的变化,包括某条状态表项的建立、变更、删除)。 其他防火墙接收到广播报文后,根据报文内容,同步修改自身的状态表。,应用技术-HA,从,主,VRRP功能-网络节点互备 所有启动了VRRP功能的设备,都会从自己的通讯接口发送组播报文(224.0.0.18),通过互相对比接到到的组

13、播报文中的优先级。除了优先级数字最小的一台 认定自己为master继续发送组播报文,其他设备均停止发送组播报文,进入监听状态。 处于VRRP-master状态的防火墙将接管所有的虚拟IP。(接管之初,会以自身接口实际MC,连续发送5次免费ARP,以帮助周边网络设备更新MAC表),应用技术-多出口,多出口应用根据常见的用户需求,多出口环境下一般分为链路冗余、定向选路等具体部署情况。,应用技术-多出口,多出口应用 根据常见的用户需求,多出口环境下一般分为链路冗余、定向选路等具体部署情况。 通过路由负载+链路探测实现链路冗余需求。 通过源路由+指定目的的NAT规则 实现定向选路功能。,定向选路与链路

14、冗余不可共存,小结,15%,防火墙产品线,1,防火墙核心技术,3,防火墙应用技术,4,防火墙工作原理,2,目录,三、典型应用、部署方案,基础环境,1,HA,2,基础环境,Vlan1领导办公区,Vlan2办公楼,VLAN3 DMZ-服务器区,核心交换,在哪些位置可以部署防火墙?,边界路由器,基础环境,A,B,边界透明接入优点:1、网络环境改动少,逻辑拓扑无变化。2、防火墙易于配置。3、故障维护方法简易。缺点:1、增加一个网络故障点2、部分安全功能不支持透明模式,基础环境,A,B,边界透明接入配置的步骤:1、两个接口混合模式2、配置对象定义3、配置安全规则可选:1、配置带外管理IP、管理主机IP2

15、、配置跨网段管理用的缺省路由3、其他安全功能,基础环境,C,D,内部透明接入优点:1、安全区域边界明确。2、控制力度强。3、故障定位简单。缺点:1、用户投资大2、用户的安全需求未必会要求如此明细的控制。,E,基础环境,F,边界路由接入替换路由器的优点:1、不新增网络故障点。2、排查问题易定位。缺点:1、防火墙配置相对复杂2、不一定能兼容所有原路由器的功能,基础环境,F,实施方案的推荐顺序1、F或B 根据用户实际应用决定是路由、透明2、C、D、E 根据用户内网实际安全需求决定3、A 因为可能涉及到ISP接入设备,最后考虑A位置 。,C,D,E,A,B,基础环境,F,边界路由接入配置步骤:1、配置

16、内、外口的IP地址2、配置缺省路由及对内网回指路由3、配置对象定义、安全规则、NAT规则。可选步骤:4、配置远程管理主机。5、配置其他安全功能。,实际环境,HA 小术语,主备模式 (Active-Standby)是指两台防火墙中,只有主墙处于工作状态。备墙处于准备状态,除非主墙发生故障时,备墙才会接管主墙的工作。,核心交换 主,边界路由器 备,边界路由器 主,核心交换 备,防火墙 主,防火墙 备,双活 /双主(Active-Active)是指两台防火墙同时工作,同时处理数据。也同时互为备份。,HA 小术语,日字型连接 是指由2台边阶路由器、两台防火墙、两台核心交换机组成的一组冗余网络拓扑的形状

17、。 部分环境还会在墙与路由器之间的、或是核心交换与墙之间的串连其他安全设备,如流控、IPS、防毒墙等。(形成目字型或) 我们把单台防火墙向同一个方向,只连接一台周边设备的拓扑,都可以叫做日字型连接。,HA,核心交换 主,边界路由器 备,全连接 我们把单台防火墙向同一个方向,连接所有周边周边设备的拓扑,都可以叫做全连接型拓扑,边界路由器 主,核心交换 备,最高可用性保障,HA 小术语,二层冗余 使用生成树等二层协议,进行链路选择,,核心交换 主,边界路由器 备,边界路由器 主,核心交换 备,防火墙 主,防火墙 备,HA,核心交换 主,边界路由器 备,透明模式 每台墙用两个接口配置为混合模式并绑定

18、透明桥,接入用户网络中。 使用HA基本功能实现配置与状态的同步。 优点:1、网络改动较小、逻辑拓扑不变2、防火墙易配置3、维护简单 4、网络环境适应性强。,边界路由器 主,核心交换 备,A,A,透明模式为双活,不分主备。,HA,核心交换 主,边界路由器 备,边界路由器 主,核心交换 备,A,A,配置步骤A:主墙1、两个网口配置为混合模式2、绑定这两个网口为透明桥3、为一个接口配置IP地址,用于做HA心跳线。4、配置HA基本功能,其中选中 “主控节点”5、添加同步配置的规则。(服务为secgate_ha_conf的ANY-to-ANY规则)A:备墙第3步 HA接口IP,同段但不能相同。第4步 选

19、中“自动同步配置” 其余相同。,HA,核心交换 主,边界路由器 备,透明模式-2 全连接 每台墙用4个接口配置为混合模式并绑定成2对透明桥,成两进两出状态,接入用户网络中。 使用HA基本功能实现配置与状态的同步。 优点:全冗余结构,可用性最高。 缺点:结构过于复杂,维护困难。,边界路由器 主,核心交换 备,B,B,适用于已经启用OSPF网络,HA,核心交换 主,边界路由器 备,路由模式 启用VRRP用于浮动虚似IP,保障网络切换功能,使用HA基础功能实现状态同步与配置同步。 这种部署模式,分单活与双活两种。 在配置为单活主备模式时,只有VRRP关联状态为MASTER的主墙处理数据。 在配置为双

20、活时,每台防火墙分别有一个关联为MASTER状态,并处理转发给自身的数据。,边界路由器 主,核心交换 备,C,C,HA,核心交换 主,边界路由器 备,边界路由器 主,核心交换 备,C,C,配置步骤 主墙1、内、外、HA三个网口配置各自为路由模式,并配置实IP2、配置2个VRRP实例,为实例绑定一个网口,并为每个实例配置虚IP。3、配置VRRP关联,绑定内外口实例,设置一个优先级。4、配置缺省路由及回指路由5、配置HA基本功能,其中选中 “主控节点”6、添加同步配置的规则。(服务为secgate_ha_conf的ANY-to-ANY规则)7、添加VRRP规则。(服务为VRRP的ANY-to-AN

21、Y),HA,核心交换 主,边界路由器 备,边界路由器 主,核心交换 备,C,C,配置步骤 备墙1、内、外、HA三个网口配置各自为路由模式,并配置实IP(与主墙不同)2、配置2个VRRP实例,为实例绑定一个网口,并配置虚拟IP。(VRID需与主墙相应接口相同)3、配置VRRP关联,绑定内外口的实例,设置一个优先级。(优先级需比主墙数字大)4、配置HA基本功能,其中选中 “自动配置同步”“自动状态同步”5、添加同步配置的规则。6、添加VRRP规则。,HA,核心交换 主,边界路由器 备,路由模式 全连接 启用VRRP用于浮动虚似IP,保障网络切换功能,使用HA基础功能实现状态同步与配置同步。 在路由模式下进行全连接部署,如果需要双活模式,将使防火墙的配置达到最复杂的程度,相当于日字型连接单活的4倍以上,极易出错。在讨论方案、实际操作过程中,应尽一切可能避免采用此方案。,边界路由器 主,核心交换 备,D,D,小节,基础环境,1,HA,2,总结,防火墙概念,防火墙作用,相关知识与常见述语,基础环境,谢 谢!,63,可编辑,

展开阅读全文
相关资源
猜你喜欢
相关搜索
资源标签

当前位置:首页 > 生活休闲 > 在线阅读


备案号:宁ICP备20000045号-2

经营许可证:宁B2-20210002

宁公网安备 64010402000987号