H3C 防火墙双机热备虚拟防火墙

防火墙概述
流与会话
流（Flow），是一个单方向的概念，根据 报文所携带的三元组或者五元组唯一标识
会话（Session），是一个双向的概念，一 个会话通常关联两个方向的流，一个为会 话发起方（Initiator），另外一个为会话 响应方（Responder）。通过会话所属的任 一方向的流特征都可以唯一确定该会话以 及方向
Baidu Nhomakorabea
防火墙概述
其他安全特性
• 域间策略（包过滤策略，对象策略） • ASPF（Advanced StatefulPacket Filter，高级状态包过滤） • ALG • 攻击检测与防范（Smurf单包攻击，SYN flood攻击等）
目录
防火墙概述
虚拟防火墙
防火墙双机热备
对网络可靠性的要求越来越高,保证网络的不 间断传输，在这些业务点上如果只使用一台设备， 无论其可靠性多高，系统都必然要承受因单点故障 而导致网络业务中断的风险
防火墙双机热备
v5平台双机热备
使能双机热备功能 配置VRRP或动态路由
防火墙双机热备
v7平台双机热备
配置IRF与BFD 配置冗余接口、冗余组 配置会话同步
目录
防火墙概述 防火墙双机热备
虚拟防火墙
虚拟防火墙是一个逻辑概念，可以在一个单一的硬件平台上提供 多个防火墙实体，即，将一台防火墙设备在逻辑上划分成多台虚拟防 火墙，每台虚拟防火墙都可以被看成是一台完全独立的防火墙设备， 可拥有独立的管理员、安全策略、用户认证数据库等。每个虚拟防火 墙能够实现防火墙的大部分特性。每个虚拟防火墙之间相互独立，一 般情况下不允许相互通信。
虚拟防火墙
v5平台虚拟防火墙
创建vd，并加入成员接口 创建vd内的安全域并配置域间策略 配置VPN 实例与接口关联 配置VRF 路由转发表
虚拟防火墙
v7平台虚拟防火墙
创建context，并加入成员接口 启动并登陆context 配置安全域及域间策略 配置互联地址及路由
防火墙双机热备和虚墙
目录
防火墙概述 防火墙双机热备 虚拟防火墙
目录
防火墙双机热备 虚拟防火墙
防火墙概述
安全区域
安全区域是防火墙区别于普通网络设备的基本特征 之一。以接口为边界，按照安全级别不同将业务分 成若干区域，防火墙的策略（如域间策略、攻击防 范等）在区域或者区域之间下发
接口只有加入了业务安全区域后才会转发数据