防火墙培训

防火墙特点
防火墙的多功能与性能成反比 防火墙的安全性与性能成反比 防火墙的安全性与易操作成反比
相关知识与术语--- 术语
吞吐量
定
义：在不丢包的情况下能够达到的最大速率。
衡量标准：吞吐量作为衡量防火墙性能的重要指标。
极限值
百分比越大，速率越大证明设备的性能越高。
参数单位：线速百分比 或 流量速率。
防火墙工作原理- 简
安全功能
网络功能
安全功能
抗攻击 安全规则 带宽管理 用户认证
禁止 允许 其他附加功能
路由器功能
NAT 动、静态路由
日志
防火墙作用-2
典型边界防护设备
对不经过自身的网络数据无法控制，由其是内部网络之间。
局限性
策略配置相对复杂、专业
错误或不当的配置，容易引发灾难性的网络后果。
L2~4 过滤设备
1、无法解决 TCP/IP 协议洞导到的安全威胁。 2、很难解决应用层的安全威胁。 3、数据包的深层分析严重影响性能。
海量数据 以最大速率发包
通过的数据 直到出现丢包时的取最大值
测试仪
100M
测试仪 60M
相关知识与术语--- 术语
并发连接数
定
义：指在同一时间点上，防火墙所能维护的最大网络连接数。
衡量标准：防火墙建立和维持网络连接的性能，并发连接数越大的防火
墙适应大流量的网络的能力就越强。
参数单位：个
持续最大
CLIENT
核心技术- 多核AC架构
核心技术- 高适用性
多种接入模式：支持透明、路由、混合模式 多纯透明子桥和接口联动（唯一） 多条 ADSL（最多支持 3条）同时拨号和自动负载均衡方式（唯一） 支持基于应用（ ARP/PING/TCP/HTTP ）的链路探测（唯一） 多出口（最多支持 6条）的路由自动负载均衡和故障线路切换设计（唯一） 支持DNS 中继及自动寻找上级 DNS服务器功能（唯一） 支持源 /目的地址路由、支持基于协议的策略路由、 MERIC 路由、动态路由 OSPF、RIP协议 支持 3G 网络安全接入 支持MPLS 网络接入
2013-002
防火墙技术培训
培训讲师：郭辰
网神信息技术（北京）股份有限公司 员工技术培训课程
课程目标
?防火墙的基本概念 ?网神防火墙产品线、产品特点 ?网神防火墙工作原理、产品技术 ?网神防火墙的典型应用、标准部署方案
目录
一、防火墙概述 二、网神防火墙 三、典型应用、部署方案
目录
一、防火墙概述
常见动态服务有 FTP被动模式、SQL-NET、PPTP（GRE-VPN）、H.323、 SIP 等
小结
1
防火墙概念
2
技术发展
10%
3
防火墙作用
4
相关知识与常见述语
目录
二、网神防火墙
1 wk.baidu.com 3 4
防火墙产品线 防火墙工作原理 防火墙核心技术 防火墙应用技术
防火墙产品线
访问控制
万兆 千兆 高端
千兆 中端
1 2 3 4
防火墙概念 技术发展
防火墙作用 相关知识与常见述语
防火墙概念
防火墙 Firewall
在安全需求不同的网络区域之间，通过即定原则对网络通信强制实 施访问控制的安全设备。
信任网络
边界防护
非信任网络
防火墙概念
防火墙是一款具备安全防护功能网络设备
路由、交换
冗余设计
防火墙作用
对数据包的 安全处理
多核处理器架构，网络处理能力
5G-8G。并发连接发大于等于 220 万到 260 万不等， 2U机箱，冗余电 源（个别型号），标配 4到6个 10/100/1000M自适应电口。 4个 SFP 插槽。
新命名防火墙产品线
A5000系列
A9000系列
多核处理器架构，网络处理能力
6G-10G，并发连接数大于260万或 大于等于300万。2U机箱，冗余电 源（个别型号），6个十百千自适 应电口，4个SFP插槽。支持液晶 屏显示。
HA
“高可用性”（High Availability ）通常指一个系统通过专门的设 计与技术，减少或消除因单一故障导致整个系统无法使用的情况，保障整
体系统的可用性。 是网络环境中消除单点故障的主要手段之一。 在防火墙产品来说，HA通常都是指双机或多机备份、集群。在同一
网络节点部署配置“相同”的多台防火墙，避免因为一台设备故障导致断 网。
电信级高端千兆线速防火墙，多核+二
维矩阵ASIC 架构，网络处理能力8G-12G， 64G小包王10G线速，并发连接大于等于
360万，2U机箱，冗余双电源，10个十 百千自适应电口，10个SFP插槽。
新命名防火墙产品线
A10000系列
万兆核心级防火墙，多核+ASCI 处理架构，网络处理能力 40G,并发连接数400万，标准2U机箱，冗余电源，标准配 置8个万兆SFP+插槽，10个千兆SFP插槽，2个十百千自适 应电口。
SERVER
相关知识与术语--- 术语
包过滤
根据预调置的包过滤规则，对穿越自身的网络数据包采取允许通过或 禁止丢弃的功能。
规则的检查项目以源地址、目的地址、源端口、目的端口、协议这五 项被称之为五元组的要素组成，有时还会附加源、目的MAC、时间、进出
接口等要素。
相关知识与术语--- 术语
透明模式
百兆 高端
百兆 低端
防火墙
G30系列
F3系列 F1系列
G60系列
G7系列 F10系列 F6系列
G40系列
线速防火墙
X系列
新命名防火墙产品线
A1500系列
A3000系列
企业级防火墙，网络处理能力
800M到2G。并发连接发大于等 于140 万， 1U机箱，单电源 （不可扩展），标配 4到6个 10/100/1000M自适应电口。
相关知识与术语--- 动态服务
数据
目地端口:
80
源端口: 目的IP: 源IP:
1024 10.10.10.10 1.1.1.1
1.1.1.1 ： 1024
源IP: 目的IP:
10.10.10.10 1.1.1.1
目地端口:
1024
源端口:
80
数据
10.10.10.10:80
动态服务
特指TCP应用中，在客户端通过一个固定端口登录服务器端，并与 服务器协商出一个新的随机通讯端口，随后使用通迅端口传输后续数据。
透明模式部署是一种修改网络拓扑比较小的部署方式，这种部署方式， 不需要对原有网络设备进行配置上的变更，就可以新增部署防火墙。能够 适应这种部署方式的防火墙配置方法称之为透明模式。
在这种工作模式下，防火墙不对数据包做任何三层（路由）转发工作。 但是会做二层（交换）转发工作。
相关知识与术语--- 术语