天融信防火墙技术培训教材.
网络安全基础知识培训-天融信
针对网络通讯层的攻击
生产部 工程部 市场部 人事部
DMZ E-Mail File Transfer HTTP
中继 路由
Intranet
调制解调器 企业网络
Internet
通讯 & 服务层
• TCP/IP • IPX • X.25 • Ethernet • FDDI • Router Configurations • Hubs/Switches
• 没有对被保护的系统大量的充分的快速的 部署
没有绝对的安全
• 开放最少服务提供最小权限原则 • 安全需求平衡
– 过分繁杂的安全政策将导致比没有安全 政策还要低效的安全。
– 需要考虑一下安全政策给合法用户带来 的影响在很多情况下如果你的用户所感 受到的不方便大于所产生的安全上的提 高,则执行的安全策略是实际降低了你 公司的安全有效性。
GB/T 18336衍生标准 GB/T 18019 包过滤防火墙安全技术要求 GB/T 18018 路由器安全技术要求 GB/T 18020 应用级防火墙安全技术要求 GB/T 17900 网络代理服务器的安全技术要求 ……
GB 17859衍生标准 GA/T 390 计算机信息系统安全等级保护通用技术要求 GA/T 388 计算机信息系统安全等级保护操作系统技术要求 GA/T 389 计算机信息系统安全等级保护数据库管理系统技术要求 GA/T 387 计算机信息系统安全等级保护网络技术要求 GA/T 391 计算机信息系统安全等级保护管理要求 ……
BS 7799, ISO/IEC 17799 信息安全管理实践准则 其他相关标准、准则
例如:ISO/IEC 15443, COBIT。。。
ISSE 信息系统安全工程
SSE-CMM 系统安全工程能力成熟度模型
售后培训---天融信防火墙(代理商版)
TCP 层
TCP
开始攻击
TCP
开始攻击
TCP 层
IP 层
IP
TCP
1. 2. 3.
开始攻击
不检查IP、TCP报头 不建立连接状态表 网络层保护比较弱
IP
TCP
开始攻击
IP 层
只检查数据
网络接口层
ETH
IP
TCP
开始攻击
ETH
IP
TCP
开始攻击
网络接口层
IP
TCP
开始攻击
101001001001010010000011100111101111011
方便网络的扩展、节约
成本;
IPSec/SSL VPN 多合一网关
保证数据传输的机密性、 完整性以及抗抵懒性等; 根据不同的应用需求选
Internet
IPSec加密隧道 IPSec VPN网关 SSL用户
择不同的VPN接入;
满足及符合等级保护的
建设要求。
L2TP用户
办事处
防火墙系统功能介绍
开始攻击
网络接口层
IP
TCP
开始攻击
1. 2. 3. 4.
不检查数据区 建立连接状态表 前后报文相关 应用层控制很弱
101001001001010010000011100111101111011
001001001010010000011100111101111011
应用代理防火墙的工作原理
应用层 开始攻击 开始攻击 应用层
Hub or Switch
内部网
TSRP (TopSec Redundancy Protocol)
外网或者不信任域
发现出故障,立即接管对方其工作 Eth 0 Eth1 0# 防火墙根据设 置的权重进行 流量分担 Eth2 检测 对方Firewall的状态 Eth2 防火墙并行工作 心跳线 Eth 0 Eth1 1#
天融信防火墙培训文档
天融信防火墙培训文档一、 登录二、 登录后防火墙主界面:三、防火墙基本信息:四,实时监控:+++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++说明: 实时监控的主要作用就是通过定义过滤条件来查看自己希望了解的主机或者网段对外的连接情况.++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++在这里可以设置希望查看的源的主机或者网段五,网络设置:六,工具:设置该区域的名该区域对应的接设置该区域的IP 地址和掩码++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++各项操作说明如下:选中下载的配置,点击导出+++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++七.选项设置:在这里给防火墙取++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++ 相关参数说明:TCP建立连接超时,如果双方在建立连接的时间超过设置时限(如,用户访问某网站,发出请求后始终得不到回应),防火墙将自动切断该连接,TCP建立连接超时的最大值为86400。
1,TCP连接建立后通信超时,如果双方建立连接后通信时间超过设置时限(如,用户通过网络下载,速度非常慢),防火墙自动切断该连接,TCP连接建立后通信超时的最大值为86400。
2,TCP拆除连接的超时,如果双方在终止连接的时间超过设置时限(如,用户要断开与某网站的通信时,长时间无法断开),防火墙自动切断该连接,TCP拆除连接的超时的最大值为86400。
天融信Topsec NGFW系列防火墙培训
猎豹系列, 猎豹系列 TG-5328
•整机吞吐量 整机吞吐量:2.8G 整机吞吐量 •整机小包吞吐量 整机小包吞吐量:2.8G 整机小包吞吐量 •每秒新建连接 每秒新建连接>54000 每秒新建连接 •最大并发连接数 最大并发连接数>1800000 最大并发连接数 •性能:整机小包全线速 性能: 性能
32
百兆高端产品:猎豹 百兆高端产品:猎豹I
TOS操作系统 TOS操作系统 ASIC硬件架构 ASIC硬件架构 8x10/100Base-TX端口+2个千兆COMBO端口+1个HA千兆接口+1 8x10/100Base-TX端口+2个千兆COMBO端口+1个HA千兆接口+1 端口+2个千兆COMBO端口+1 千兆接口 个管理百兆接口 支持IPSEC VPN/VRC、TA/TA-LIC等功能模块 支持IPSEC VPN/VRC、TA/TA-LIC等功能模块 内置专用硬件加速芯片\TAPF加速技术 加速技术 内置专用硬件加速芯片
内置的专用硬件加速芯片\TAPF加速技术
29
猎豹II系列 猎豹 系列, TG-5664 系列
TG-5664
•整机吞吐量 整机吞吐量>8G 整机吞吐量 •整机小包吞吐量 整机小包吞吐量>6G 整机小包吞吐量 •延时 延时<4.5us 延时 •每秒新建连接 每秒新建连接>96000 每秒新建连接 •最大并发连接数 最大并发连接数>2200000 最大并发连接数
3
网络越来越复杂, 网络越来越复杂,薄弱点越来越多
接入网络的设备越来越多。 接入网络的设备越来越多。 分支机构需要访问总部资源。 分支机构需要访问总部资源。
天融信的实验—防火墙
202.99.27.250 /24 ETH0
58.20.51.1 /24 ETH2
192.168.1.254 /24 ETH1
192.168.1.0 /24
192.168.2.0 /24
扩展实验2:
需求 1、用户有两台服务器,同时需 要公网来进行访问,但此时 用户只有一个公网地址。 2、假设172.16.1.100为FTP服 务器,假设192.168.1.254 为WEB服务器 3、通过防火墙映射功能,实现 当202.99.26.2访问202.99. 27.250的FTP端口时,实际 访问的是FTP服务器,而访 问该地址的WWW服务时, 实际访问的是WEB服务器 WEB服务器
202.99.27.0/24
配置案例3(综合模式):
202.99.26.2 /24 防火墙VLAN 防火墙 透明域) 地址 (透明域) IP地址 202.99.27.254 202.99.27.193 ETH0 ETH2 ETH1 192.168.16.254
实验步骤:
1、防火墙ETH0和ETH2为一个透明域 2、内网访问外网和服务器区时,由防 火墙进行NAT转换。 3、防火墙上做访问控制,允许内网和 3 外网访问服务器的应用服务,但不 允许访问未授权的端口。 4、外网不允许访问内网。
192.168.1.254
202.99.26.2 /24
FTP服务器
202.99.27.250 /24 ETH0 ETH2 172.16.1.100 /24
192.168.1.254 /24 ETH1
192.168.1.0 /24
实验步骤:
1、内网和服务器区访问202.99.26.2这台模拟外网机器时,通过防火墙进行 NAT转换访问。 2、内网通过防火墙路由访问服务器区服务器。 3、外网模拟机202.99.26.2访问服务器区172.16.1.100时,通过访问防火墙 映射出来的的虚地址202.99.26.3进行访问 4、服务器上开放一个应用端口,(比如:FTP)防火墙上做访问控制策略, 只允许外网访问该应用端口。 5、内网机器能够通过访问服务器在防火墙上映射的公网地址202.99.26.3访 问服务器 6、开放权限设置,防火墙上所有端口都开放TELNET、WEBUI和PING权限
天融信防火墙安装培训(修改)
互联 网 专网 内网
打开电脑上的IE浏览器,点击帮助关于,查看当前电脑IE浏览器版本。 如果版本是IE6转入步骤D。 如果版本是IE7/8转入步骤E。
转 入 步 骤 E
转入步骤D
在浏览器地址栏里输 入 https://192.168.1.254。 回车或点击转入后会 弹出安全警报对话框, 点击“是”,转入步 骤F。
天融信防火墙 快速安装指南
快速安装指南
互联通电源,前面板“POW”指示灯亮起, 大约5-6分钟以后设备启动完毕,转入步骤B。
使用产品包装内附带网线 连接产品前面板“内网” 接口和H3C交换机网口,并 将电脑连接到交换机的IP 地址配置为192.168.1.200。 转入步骤C。 同时将“互联网”接口连 接“互联网接入设备”。
最后将客运站原有交换机连入防火墙专网网口。
互联 网
专网
内网
ADSL接入 设备
业务网交 换机
办公网交 换机
在浏览器地址栏里输 入 https://192.168.1.254。 回车或点击转入后会 提示“此网站的安全 证书有问题”,点击 “继续浏览此网站 (不推荐)”,转入 步骤F。
1
1
在“用户名”后输入“superman”,在“口令”后输入“talent”,为保 护密码安全,输入的“talent”会以黑色圆点显示。 登陆成功后会看到如下界面
天融信防火墙操作培训
NAT地址转换配置
NAT地址转换配置
其他配置案例实例:
1、流量控制策略配置 2、访问控制策略配置
3、阻断策略配置
4、配置维护管理
流量控制策略配置
Internet互联网
eth2 上载限制定义在外网接口 网关设备 eth1 下载限制定义在内网接口 交换机
内网终端电脑 10.80.64.33
要求:限制主机10.80.64.33下载带宽为50K,限制上传带宽为50K
将eth1接口定义为外网区域
定义区域对象
同样在“名称”中输入自定义名称“内网区域”,
接着在“选择属性”框中将eth2移到“被选属性”框 里,
将eth2接口定义为内网区域
NAT地址转换配置
展开右边“防火墙”菜单,选择“地址转换”,然后在右边的界面中点击“添加
NAT地址转换配置
NAT地址转换配置
点击浏览选择备份的配置文件 然后再点击替换
配置维护管理
点击修改页签
配置维护管理
防火墙网关维护注意事项:
一、防火墙网关系统使用时要注意防雷设施的预防工作,注意供电系统 电压的正常,设备加电前需要做好接地措施. 二、防火墙网关系统的配置由专人负责管理 三、防火墙网关系统的密码更改后一定要牢记,密码若是已经忘记, 设备只能返厂维护重做系统 四、防火墙网关系统不能随自进行升级, 版本是定制版本。 五、如果发现防火墙网关工作不正常时请与相关技术支持人员联系。
防火墙网关配置步骤
输入用户名:superman, 然后输入初始密码:talent
配置各个网口的IP地址
外接口IP地址配置 ( 可选择ETH1口做为外网端口使用 )
点击“网络管理”菜单,然后点击“接口”后在右边的界面中点击“设置”,在 “描述”选项中填入自定义的名称“外网”,最后填入IP地址与子网掩码后 再点击“添加”即可
天融信 防火墙&UTM产品培训讲义-初级
网络卫士防火墙&UTM系统技术工程师讲义(初级)目录1售后技术部分 (3)1.1配置管理 (3)1.2系统时间配置 (5)1.3网络配置 (5)1.3.1物理接口 (5)1.3.2子接口 (6)1.4路由模式基本属性设置 (7)1.5交换模式基本属性设置 (8)1.6ADSL接入方式配置 (9)1.7动态主机配置协议DHCP (11)1.8虚拟线 (12)1.9设置主机资源 (12)1.10防火墙安全规则配置 (13)1.11IP/MAC地址绑定 (13)1.12内容安全配置 (15)1.13地址转换NAT (19)1.14IDS配置 (19)1.15用户认证配置 (20)1.16PKI配置 (21)1.17高可用性 (22)1.17.1接口联动功能 (22)1.17.2双机热备模式 (22)1.17.3服务器负载均衡组 (23)1.18虚拟防火墙 (25)1.19日志和报警 (25)1.19.1日志 (25)1.19.2报警 (26)1.20辅助功能简介 (27)1.20.1设备版本信息 (27)1.20.2设备软件版本升级 (27)1.20.3健康记录 (28)1.20.4设备License (28)1.20.5扩展IP协议支持 (28)1.20.6重要命令行配置 (29)1.21性能测试指标说明 (29)1.22提交外部故障要点 (30)1售后技术部分1.1配置管理系统配置指的是整个防火墙中各个功能模块的配置和文件,包括防火墙配置(包括网络基本配置)、VPN配置、AV配置。
系统配置基本上可以分为三种:∙运行配置,指的是设备当前运行状态下的配置情况,该配置可以随用户的操作而动态调整,当系统重新启动后,该配置失效。
∙存盘配置,指的是用户最后一次手工保存在设备上的配置文件,当系统重新启动后,会自动加载该配置文件。
∙备份配置,指的是用于备份的存盘配置,通常是某一历史时刻的存盘配置。
备份配置只存在于V3.3.006之后的TOS版本。
防火墙培训_1_发展史和技术原理(天融信)
自适应代理防火墙:在每个连接通信的开始仍然需要在应用层接受检测,而后面的包可以经过安全规则由自适应代理程
序自动的选择是使用包过滤还是代理
发送请求
客户端
转发响应
代理 应用进程
转发请求
应用 服务器
TCP报头 数据 应用代理检查信息
请求响应
IP报头
历史与趋势
应用代理防火墙工作流程
应用层 101010101 1、不检查IP报头 101010101 应用层
IP 层
网络接口层
ETH
IP
TCP 101010101
网络接口层
101001001001010010000011100111101111
0010010010100100000111001111011110
历史与趋势
包过滤防火墙优缺点
优点 逻辑简单
对网有较强的透明性
络性能的影响较小 开销较小,设备便宜 缺点
2、不建立连接状态表
TCP 层
只检查数据
TCP 101010101 TCP 层
TCP 101010101
3、网络层保护比较弱
IP 层
IP
TCP 101010101
IP TCP 101010101 ETH
IP
TCP 101010101
IP 层
网络接口层
ETH
IP
TCP 101010101
IP
TCP 101010101
6、策略设置灵活
目录
1 2
防火墙是什么? 历史与趋势
历史与趋势
防火墙的发展史
访问控制机制的演变 1、路由器—>ACL 访问控制列表 2、包过滤防火墙—>根据IP五元组判断能否通过
防火墙TOS3.3培训V3.0
防火墙的TELNET管理方式
通过TELNET方式管理防火墙:
29
防火墙的接口和区域
接口和区域是两个重要的概念
接口:和网络卫士防火墙的物理端口一一对应,如Eth0、Eth1 等。 区域:可以把区域看作是一段具有相似安全属性的网络空间。在区域的划分 上,网络卫士防火墙的区域和接口并不是一一对应的,也就是说一个区域可 以包括多个接口。在安装网络卫士防火墙前,首先要对整个受控网络进行分 析,并根据网络设备,如主机、服务器等所需要的安全保护等级来划分区域。
16
访问控制规则说明
规则列表需要注意的问题:
1、规则作用有顺序
2、访问控制列表遵循第一匹配规则
3、规则的一致性和逻辑性
17
防火墙4000(TOS) 的安装配置
18
防火墙4000(TOS) 的管理方式
19
防火墙配置-管理方式
串口(console)管理方式: 管理员为空,回车后直接输入口令即可,初始口令talent,用 passwd修改管理员密码,请牢记修改后的密码。 WEBUI管理方式: 超级管理员:superman,口令:talent TELNET管理方式: 模拟console管理方式,用户名superman,口令:talent SSH管理方式: 模拟console管理方式,用户名superman,口令:talent
11
综合接入模式的典型应用
两接口在不同网段, 防火墙处于路由模式
202.11.22.1/24 网段
ETH0:202.11.22.2
ETH1:192.168.7.102 ETH2:192.168.7.2 192.168.1.100/24 网段
两接口在不同网段, 防火墙处于路由模式
防火墙培训_2_部署配置规范要求(天融信)
可视化监控
体现各种运行状态及报警 直观、操作方便的可视化监控总览图
可视化监控
高易用性 定制图形报表 集中策略下发
定制图形报表
提供关键数据的统计
级联管理
多级设备管理 多级服务器级联
级联管理 与第三方 协同工作
设备配置文件 的版本管理
设备配置文件的 版本管理
管理各个设备的配置文件 的版本
与第三方协同工作
防火墙配置规范要求
其他安全功能规范及配置
维护部门应定期对防火墙策略进行一次全面审核,频次不低于每 半年一次。
对于临时性防火墙策略,应定期(至少每周一次)将其失效或删 除,并归档留存。
各单位应将防火墙策略作为日常安全检查重点内容,确保策略的 合理性、准确性。
目录
1 2 3
防火墙部署规范要求 防火墙配置规范要求
标识系统的物理边界和逻辑边界
简化边界 利于防护 强化控制 有益管理
整合的内容
系统级
整合的方法
防火墙部署规范要求
防火墙部署原则——等级保护原则
不同保护级别的系统应采取不同的防火墙部署模式进行边界防护。 根据系统划分的等级,高等级的系统应采用防护能力较强的安全设备进行防护。对于等级较低的系统 在视其边界复杂程度,网络路由设备性能等条件下使用访问控制列表或防火墙进行安全防护。 边界整合(网络域) -网络调整、割接(路由、交换调整); -VLAN划分、ACL控制; -防火墙部署(考虑冗余、DMZ、VPN); -增加隔离设备 业务应用整合(计算域) – 服务器整合; – 应用\接口\规范整合 终端整合(用户域) 不同业务的管理员用户、内部用户整合; 第三方用户(厂商、VPN拨号用户等)整合
计算域
信息系统中的数据类型
天融信版本防火墙常用功能配置手册v2教程文件
天融信版本防火墙常用功能配置手册v2天融信3.3版本防火墙常用功能配置手册北京天融信南京分公司2008年5月目录一、前言 (4)二、天融信3.3版本防火墙配置概述 (4)三、天融信防火墙一些基本概念 (5)四、防火墙管理 (6)五、防火墙配置 (7)(1)防火墙路由模式案例配置 (7)1、防火墙接口IP地址配置 (8)2、区域和缺省访问权限配置 (9)3、防火墙管理权限设置(定义希望从哪个区域管理防火墙) (10)4、路由表配置 (11)5、定义对象(包括地址对象、服务对象、时间对象) (12)6、地址转换策略 (16)7、制定访问控制策略 (28)8、配置保存 (33)9、配置文件备份 (34)(2)防火墙透明模式案例配置 (35)1、防火墙接口IP配置 (36)2、区域和缺省访问权限配置 (37)3、防火墙管理权限设置(定义希望从哪个区域管理防火墙) (38)4、路由表配置 (39)5、定义对象(包括地址对象、服务对象、时间对象) (40)6、制定访问控制策略 (44)7、配置保存 (49)8、配置文件备份 (49)一、前言我们制作本安装手册的目的是使工程技术人员在配置天融信网络卫士防火墙(在本安装手册中简称为“天融信防火墙”)时,可以通过此安装手册完成对天融信防火墙基本功能的实现和应用。
二、天融信3.3版本防火墙配置概述天融信防火墙作为专业的网络安全设备,可以支持各种复杂网络环境中的网络安全应用需求。
在配置天融信防火墙之前我们通常需要先了解用户现有网络的规划情况和用户对防火墙配置及实现功能的诸多要求,建议参照以下思路和步骤对天融信防火墙进行配置和管理。
1、根据网络环境考虑防火墙部署模式(路由模式、透明模式、混合模式),根据确定好的防火墙的工作模式给防火墙分配合理的IP地址。
2、防火墙接口IP配置3、区域和缺省访问权限配置4、防火墙管理权限配置5、路由表配置6、定义对象(地址对象、服务对象、时间对象)7、制定地址转换策略(包括四种地址转换策略:源地址转换、目的地址转换、双向转换、不做转换)8、制定访问控制策略9、其他特殊应用配置10、配置保存11、配置文件备份☺提示:每次修改配置前,建议首先备份防火墙再修改配置,避免防火墙配置不当造成网络长时间中断。
02-防火墙产品培训ppt-增加二次防护内容
基本需求
天融信防火墙的接口 Eth0 连接企业内网,内网为 192.168.100.0/24,Eth0 的 IP 地址为 192.168.100.1;Eth1 连接外 网,Eth1 的 IP 地址为 202.10.10.1。企业可用的公网 IP 地址范围为 202.10.10.1-202.10.10.10,网络拓扑结构的示意图如下所示。
天融信防火墙培训 及地调二次防护建议
防火墙使用培训
目 录
1 2
配置维护 地址转换 访问控制
3
4
日志分析
····················
配置维护
系统提供了设备配置维护功能, 用户可以方便地进行诸如查看、 保存和 上传等维护操作。 系统配置分为两种: 保存配置,指的是用户最后一次手工保存在设备上 的配置文件,当系统重新启动后,会自动加载该配置文件。 运行配置, 指的是设备当前运行状态下的配置情况,该配置可以随用户的操作而动 态调整,但当系统重新启动后,该配置失效。运行配置不同于保存配置 ,比如用户添加了某些规则后,该规则立即加入运行配置并生效,但直 至用户手工保存,该规则不会加入到保存配置,重启后该规则便会失效 。 在使用安全设备时,可以随时点击页面右上方的“保存配置”,将当前 的“运行配置”转换为“保存配置”,以避免因电源或其他严重异常造 成的当前系统配置丢失。
地址转换
双向地址转换
基本需求
企业 WEB 服务器(IP:192.168.83.234)通过防火墙 MAP 为 202.99.27.201 对内网用户提供 WEB 服务,网络示意图如下。
地址转换
双向地址转换
如上图所示,管理主机和 WEB 服务器同样处于网段 192.168.83.0/24。正常情况下,管理主机与服务器之间的通信可以 不经过防火墙, 而经过其他路由达成。 但是当管理主机使用公网地 址(或域名)访问服务器时,数据包的源 IP 为管理主机地址,目的 地址为服务器公网地址。 如果防火墙仅作目的 NAT, 则服务器收到 数据包的源 IP 为管理主机地址,目的地址为自身地址。当其回应管 理主机时,发出的数据包会不经过防火墙,而经过其他路由达成。 此情况会导致会话无法建立。因此需要设置双向地址转换规则。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
和制造复杂ASIC一般需要花费12~18个月),研发费用高,也使ASIC很难应对万变的网络新应用
,所以基于ASIC技术,很难快速推出能满足用户需求不断变化的防火墙产品。
12
基于NP技术的防火墙
• • • •
什么是NP技术? NP的理论优点 乐观者如是认为 NP技术发展现实
13
什么是NP?
• •
网络处理器(Network Processor,简称NP)顾名思 义即专为网络数据处理而设计的芯片或芯片组。 能够直接完成网络数据处理的一般性任务,如 TCP/IP数据的校验和计算、包分类、路由查找等,
1
提纲
防火墙概述 防火墙分类 防火墙硬件技术
防火墙软件技术
防火墙设计结构 防火墙构造体系 防火墙功能 防火墙性能 防火墙安全性 防火墙的“胖”与“瘦” 防火墙部署 防火墙管理 防火墙可靠性 防火墙典型应用
防火墙技术发展展望
2
防火墙形态
内网 外网
SSN
接口属性固定
1.
标准1U机箱,节省了宝贵的机柜空间,而且外形美观大方
2.
3. 4. 5. 6. 7.
配置3 个 10/100M 自适应接口,内网、外网、SSN 三个接口固定,不可更改
接口数量、类型不可更改 国内标准220V交流电源输入,不需要额外的电源转换设备 内存=64 M 电源=AC90~260V,47~63Hz,0.15A / 0.25A 主板采用集成化设计,稳定性、可靠性更高
4
防火墙连线图
串口线 直通线 交叉线 交叉线
管理机
内网 外网
SSN 区域
5
提纲
防火墙概述 防火墙分类 防火墙硬件技术
防火墙软件技术
防火墙设计结构 防火墙构造体系 防火墙功能 防火墙性能 防火墙安全性 防火墙的“胖”与“瘦” 防火墙部署 防火墙管理 防火墙可靠性 防火墙典型应用
防火墙技术发展展望
6
3
防火墙定义
两个安全域之间通 信流的唯一通道
Internet
内部网 Source Host A Host B Destination Host C Host C Permit Pass Block Protocol TCP UDP
根据访问控制规则决 定进出网络的行为
一种高级访问控制设备,置于不同网络安全域之间的一系列部件的组合,它是不同 网络安全域间通信流的唯一通道,能根据企业有关的安全政策控制(允许、拒绝、 监视、记录)进出网络的访问行为。
程控制的环境,可以很好地解决硬件加速和软件可扩展的折衷问题。 一方面,网络处理器独立于CPU之外,是专门为进行网络分组处理而开发的,具有优化的体系结构 和指令集,因此它比CPU有着更高的处理性能,能够满足网络高速发展的需求。
•
另一方面,它具有专门的指令集和配套的软件开发系统,具有很强的编程能力,能够很方便地开发
1.
2. 3. 4. 5.
硬件+软件,不用准备额外的OS平台
安全性完全取决于专用的OS 网络适应性强(支持多种接入模式) 稳定性较高 升级、更新不太灵活
操作系统平台 硬件防火墙 软件防火墙 基于精简专用OS 基于庞大通用OS
安全性 高 较高
性能 高 较高
稳定性 较高 高
网络适应性 强 较强
分发 不易 非常容易
界的关注。
国内外的许多公司和大学纷纷投入力量展开了对网络处理器的相关研究,并 将其用于中高端网络设备的研究与开发之中。
各种应用,支持可扩展的服务,从而能够很好地满足网络业务多样化的发展趋势,比ASIC更灵活 地应对日益更新的网络需求。
15
乐观者如是认为
•
网络处理器以其杰出的包处理性能及可编程性成为构筑网络转发引擎不可替 代的核心,它将成为新一代网络设备的核心处理器,是未来网络设备的发展 趋势。
• •
它被认为是推动下一代网络发展的一项核心技术,并开始越来越多地受到业
算并容易开发新的功能。
随着Intel X86CPU性能的快速提高,基于Intel X86架构的防火墙在100Mbps带宽下的性能可以满 足用户的需求。
11
基于ASIC技术的防火墙
•
ASIC:Application Specific Integrated Circuit,特定用途集成电路。
•
•
ASIC专用硬件加速技术主要是部分国外厂商的防火墙产品采用,如NetScreen的高端防火墙。ASIC
同时,硬件体系结构的设计也弥补了传统IA体系的
不足,它们大多采用高速的接口技术和总线规范,具 有较高的I/O能力。
•
基于网络处理器的网络设备的包处理能力得到了很大 提升,很多需要高性能的领域,如千兆交换机、防火 墙、路由器的设计都可以采用网络处理器来实现。
14
NP的理论优点
•
•
网络处理器可以通过良好的体系结构设计和专门针对网络处理优化的部件,为上层提供了一个可编
各种类型的防对 象 分 类
保护整个网络
Internet
Internet
保护单台主机
网络防火墙
单机防火墙
7
硬件防火墙&软件防火墙
软件防火墙
Internet
硬件防火墙
Internet
1. 2. 3. 4. 5.
仅获得Firewall软件,需要准备额外的OS平台 安全性依赖低层的OS 网络适应性弱(主要以路由模式工作) 稳定性高 软件分发、升级比较方便
升级 较容易 容易
成本 Price=firewall+Server Price=Firewall
8
提纲
防火墙概述 防火墙分类 防火墙硬件技术
防火墙软件技术
防火墙设计结构 防火墙构造体系 防火墙功能 防火墙性能 防火墙安全性 防火墙的“胖”与“瘦” 防火墙部署 防火墙管理 防火墙可靠性 防火墙典型应用
防火墙技术发展展望
9
防火墙硬件实现技术
主要有三种:
• Intel X86架构工控机 • ASIC硬件加速技术 • 网络处理器(NP)加速技术
10
基于Intel X86架构的防火墙
• • •
Intel X86架构的硬件以其高灵活性和扩展性一直受到众多国内、国外防火墙厂商的青睐。 X86 CPU由于考虑了各种应用的需要,具有一般化的通用体系结构和指令集,容易支持复杂的运