HCNA-Security PPT HCNA安全第2章 防火墙基础技术V2.0

Βιβλιοθήκη Baidu防火墙
内网
路由器
未经防火墙流量可防护吗？
防火墙分类
按照形态分为
硬件防火墙 软件防火墙
按照保护对象分为
单机防火墙 网络防火墙
按照访问控制方式分为
包过滤防火墙 代理防火墙 状态检测防火墙
防火墙分类 — 包过滤防火墙
TCP层
1.无法关联数据包之间关系 2.无法适应多通道协议 3.通常不检查应用层数据
识别报头标识， 给出执行措施
MAC
IP TCP 策略
数据载荷
主机A
访
问
访问控制操作
控
制
服务器
防火墙基本功能—深度检测技术
基于特征字的识别技术 基于应用层网关识别技术 基于行为模式识别技术
SACG联动技术
分支机构 Agent Agent
Agent Agent
Agent
VPN 访问
SACG
认证后域 UCL：帐号ACL
向Server发送报文A’ 向防火墙发送回应报文B
防火墙分类 — 状态检测防火墙
Host 10.0.0.1
Server 20.0.0.1
1100.0.0.0.0.1.1 20.02.00..01.0.1 TCP SYNTTCPPSSYYNN`
20.0.0.1 10.0.0.1
状态错误，丢弃
安全策略检查 记录会话信息
UTM
• WiFi • 802.11bg • PPP • PPPoE
WLAN/WWAN • ADSL2+
• HDLC • 3G
安全
• ACL • NAT • VPN:L2TP/GRE/IPSe
c/SSL/ MPLS • P2P/IM
UTM
• AV • IPS • 反垃圾邮件 • URL过滤
防火墙主要功能 — 访问控制
1.处理后续包速度快 2.安全性高
TCP ACK TCP SYN`
防火墙硬件平台分类
Intel X86
适用于百兆网络 ，受CPU处理能力 和PCI总线速度的 限制
NP
ASIC
硬件集成电路，它 把指令或计算逻辑固 化到硬件中，获得高 处理能力，提升防火 墙性能
网络处理器是专门 为处理数据包而设计 的可编程处理器，是 X86与ASIC之间的折 衷方案
Trust
用户终端
企业内网
财务服务器
ERP数据服务器 OA服务器
Trust
防火墙安全区域与接口关系
安全区域与接口关系
防火墙是否存在两个具有完全相同安全级别的安全区域？ 防火墙是否允许同一物理接口分属于两个不同的安全区域？ 防火墙的不同接口是否可以属于同一个安全区域？
Internet
G0/0/2DMZ区域
IP层 数据链路层
只检测报头
IP TCP APP
TCP层 IP层
数据链路层
防火墙分类 — 代理防火墙
外网终端
发送连接请求
代理防火墙
1.处理速度慢 2.升级困难
内网Server
对请求进行安全检查， 不通过则阻断连接
通过检查后与Client建立连接
通过检查后与Server建立连接
向防火墙发送报文A 向终端发送回应报文B’
G0/0/3Untrust区域
G0/0/0Trust区域
G0/0/1Trust区域
防火墙安全区域的方向
Inbound与Outbound定义
什么是Inbound? 什么是Outbound？
高 Trust区域
安 全 级 别
企业内网
Outbound Inbound
低
安
Internet
全
级
Untrust 区域 别
第二章 防火墙基础技术
目标
学完本课程后，您将能够:
了解防火墙的定义和分类 理解防火墙的主要功能和技术 掌握防火墙设备管理的方法 掌握防火墙的基本配置
目录
1. 防火墙概述 2. 防火墙功能特性 3. 防火墙设备管理 4. 防火墙基本配置
防火墙特征
逻辑区域过滤器 隐藏内网网络结构 自身安全保障 主动防御攻击
支持更多安全特性 对网络拓扑有所影响
Internet
192.168.10.1/30
Untrust
192.168.10.129/30
192.168.10.5/30
Trust
192.168.10.133/30
什么是安全区域？
安全区域（Security Zone），或者简称为区域（Zone）。
Zone是本地逻辑安全区域的概念。 Zone是一个或多个接口所连接的网络。
多核
新一代的硬件平台。 多核方案，更高的集 成度、更高效的核间 通信和管理机制。
防火墙组网方式——二层以太网接口
组网特点
对网络拓扑透明 不需要更改组网
Internet
Untrust
192.168.10.1/30
Trust
192.168.10.2/30
防火墙组网方式——三层以太网接口
组网特点
拥塞监管
拥塞管理
带宽保证
提供业务质量保障 提高客户服务满意程度
保证资源利用最大化，全面提升服务质量
内部网络 10.110.1.0/24
备防火墙
UNTRUST域 服务器
外部网络 202. 10.0.0/24
IP Link技术
运营商A X
运营商B
IP-Link自动侦测的侦测结果可以被其他特性所引用，主要应用 包括：
应用在静态路由中 应用在双机热备份中
QoS技术
端到端的流量控制
接收报文
分类与标记
目录
1. 防火墙概述
2. 防火墙功能特性 3. 防火墙设备管理 4. 防火墙基本配置
防火墙多业务功能
路由
• 静态路由 • 策略路由 • RIPv2 • OSPFv2 • BGPv4
交换
• FE, GE • VLAN • Trunk,802.1ad
统一管理
• SNMPv2v3 • RMON • TR069 • Telnet/SSL/HTTP(s) • FTP/TFTP • SYSLOG
DMZ区域
Trust区域
Untrust区域
Internet
防火墙安全区域分类
缺省安全区域
非受信区域Untrust 非军事化区域DMZ
ISP A
受信区域Trust
邮件服务器
本地区域Local
用户自定义安全区域 Web服务器 DMZ
Untrust
ISP B
Local区域呢？
User Zone 1 User Zone 2
Agent：客户端代理 SACG：安全接入控制网关 SM: 管理服务器 SC: 控制服务器
SM SC
SRS SPS
域管理
防病毒服务器
服务器
补丁服务器
认证前域
安全审计员 安全管理员
双机热备技术
提供冗余备份功能 统一设备上所有接口的主备状态 同步防火墙之间会话信息即配置信息
主防火墙
TRUST域 PC