硬件防火墙的安装及参数介绍
合集下载
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
(1)安全性,防火墙也是网络上的主机之一,也 可能存在安全问题,防火墙如果不能确保自身安 全,则防火墙的控制功能再强,也终究不能完全 保护内部网络。 (2)高效性,一个好的防火墙不但应该具备包括 检查、认证、警告、记录的功能,并且能够为使 用者可能遇到的困境,事先提出解决方案,如IP 用者可能遇到的困境,事先提出解决方案,如IP 不足形成的IP转换的问题,信息加密/ 不足形成的IP转换的问题,信息加密/解密的问题, 大企业要求能够透过Internet集中管理的问题等, 大企业要求能够透过Internet集中管理的问题等, 这也是选择防火墙时必须考虑的问题。
相关知识
自学教材第5 自学教材第5章,上网查询以下概念: AAA认证 AAA认证 DOS VPN IPSec SSL 双机热备份 以作业形式提交
重点了解
Cisco Pix525 天融信安全卫士
硬件防火墙的选购
实验 考查校园,依据校园规模及环境, 选购一款合适的防火墙(考虑到性价 比),说明选购理由。
硬件防火墙的选购要点
(5)可扩展性,对于一个好的防火墙系统而言, 它的规模和功能应该能够适应网络规模和安全策 略的变化。理想的防火墙系统应该是一个可随意 伸缩的模块化解决方案,包括从最基本的包过滤 器到带加密功能的VPN型包过滤器,直至一个独 器到带加密功能的VPN型包过滤器,直至一个独 立的应用网关,使用户有充分的余地构建自己所 需要的防火墙体系。目前的防火墙一般标配三个 网络接口,分别连接外部网、内部网和DMZ。用 网络接口,分别连接外部网、内部网和DMZ。用 户在购买防火墙时必须弄清楚是否可以增加网络 接口,因为有些防火墙无法扩展。
硬件防火墙参数介绍
用户数和并发连接数是完全不同的两 个概念,并发连接数是指防火墙的最大会 话数(或进程),每个用户可以在一个时 间里产生很多的连接。
硬件防火墙的分类
基于通用操作系统的防火墙——运行一些经过裁 基于通用操作系统的防火墙——运行一些经过裁 剪和简化的操作系统,最常用的有老版本的Unix、 剪和简化的操作系统,最常用的有老版本的Unix、 Linux和FreeBSD系统。 Linux和FreeBSD系统。 此类防火墙采用的依然是 别人的内核,因此依然会受到OS(操作系统) 别人的内核,因此依然会受到OS(操作系统)本身 的安全性影响。一般称作硬件防火墙。 基于专用操作系统,也叫芯片级防火墙——专用 基于专用操作系统,也叫芯片级防火墙——专用 OS(操作系统) OS(操作系统),防火墙本身的漏洞比较少 ,专有 的ASIC(专用集成电路)芯片使它们比基于通用 ASIC(专用集成电路)芯片使它们比基于通用 os的防火墙速度更快,处理能力更强,性能更高、 os的防火墙速度更快,处理能力更强,性能更高、 安全性也更高
硬件防火墙外观图
硬件防火墙参数介绍
防火墙的主要参数
并发连接数:是指防火墙或代理服务器对其业 务信息流的处理能力,是防火墙能够同时处理 的点对点连接的最大数目,它反映出防火墙设 备对多个连接的访问控制能力和连接状态跟踪 能力,这个参数的大小直接影响到防火墙所能 支持的最大信息点数。
并发连接数是衡量防火墙性能的一个重要指标。
硬件防火墙参数介绍
吞吐量:网络中的数据是由一个个数据包组成,防火墙对 每个数据包的处理要耗费资源。吞吐量是指在不丢包的情 况下单位时间内通过防火墙的数据包数量。这是测量防火 墙性能的重要指标。 吞吐量的大小主要由防火墙内网卡,及程序算法的效 率决定,尤其是程序算法,会使防火墙系统进行大量运算, 通信量大打折扣。因此,大多数防火墙虽号称100M防火墙, 通信量大打折扣。因此,大多数防火墙虽号称100M防火墙, 由于其算法依靠软件实现,通信量远远没有达到100M,实 由于其算法依靠软件实现,通信量远远没有达到100M,实 际只有10M-20M。纯硬件防火墙,由于采用硬件进行运算, 际只有10M-20M。纯硬件防火墙,由于采用硬件进行运算, 因此吞吐量可以达到线性90-95M,是真正的100M防火墙。 因此吞吐量可以达到线性90-95M,是真正的100M防火墙。 对于中小型企业来讲,选择吞吐量为百兆级的防火墙 即可满足需要,而对于电信、金融、保险等大公司大企业 部门就需要采用吞吐量千兆级的防火墙产品。
硬件防火墙的选购要点
(3)配置便利性,即防火墙是否支持串口终端管 理。如果防火墙没有终端管理方式,就不容易确 定故障所在。对于国内用户来说,防火墙最好是 具有中文界面,既能支持命令行方式管理,又能 支持GUI和集中式管理。 支持GUI和集中式管理。 (4)可靠性,对于防火墙来说,其可靠性直接影 响受控网络的可用性,它在重要行业及关键业务 系统中的重要作用是显而易见的。提高防火墙的 可靠性通常是在设计中采取措施,具体措施是提 高部件的强健性、个典型的硬件防火墙参数表 以下是watchguard 以下是watchguard FB X2500参数 X2500参数
硬件防火墙参数介绍
基本参数 产品型号 FB X2500 产品类型 硬件,VPN防火墙,百兆级防火墙,中小型企业防火 墙
最大吞吐 275Mbps 量 安全过滤 75Mbps 带宽 外形尺寸 240×426×45mm 4.39Kg 重量 硬件参数 CPU:1.26GHz;Flash:64M,RAM: 硬件参数 256M,3*10/100BASE-TX
硬件防火墙介绍
第3单元
Deploying ASA5505
安装(接线、进入CLI配置环境) 安装(接线、进入CLI配置环境) 装管理软件 ASDM( ASDM(adaptive security device manager) manager) FactoryFactory-default configuration
硬件防火墙参数介绍
其它参数
电源电压 90-250VAC,50Hz
其它
控制端口:Console口
硬件防火墙的选购要点
应该客观地认识到,没有一个防火墙的设 计能够适用于所有的环境,因此应根据站 点的实际情况来选择合适的防火墙,不过, 在选购一款防火墙时大多应考虑以下几个 因素:
硬件防火墙的选购要点
硬件防火墙参数介绍
安全过滤带宽 安全过滤带宽是指防火墙在某种加密算 法标准下,如DES(56位 3DES(168位) 法标准下,如DES(56位)或3DES(168位) 下的整体过滤性能。它是相对于明文带宽 提出的。一般来说,防火墙总的吞吐量越 大,其对应的安全过滤带宽越高
硬件防火墙参数介绍
用户数限制 即同时穿过防火墙的机器数 用户数限制的判断有的防火墙是根据 MAC地址的数量或者IP地址数进行判断。 MAC地址的数量或者IP地址数进行判断。 防火墙的用户数限制分为固定限制用户 数和无用户数限制两种
vlan1 port1-7 ip 192.168.1.1 name “inside” port1inside” Vlan2 port0 dhcp动态IP dhcp动态IP name “outside” outside”
Deploying ASA5505
管理主机的连接
ASA的内网口接入switch,管理主机接入同样的 ASA的内网口接入switch,管理主机接入同样的 switch,或管理主机直接接入内网口,内网口需 switch,或管理主机直接接入内网口,内网口需 为自动协商的半双工模式,不能为全双工。 配置管理主机为用DHCP方式获取IP地址或 配置管理主机为用DHCP方式获取IP地址或 192.168.1.0网段的静态地址 192.168.1.0网段的静态地址 在管理主机上打开浏览器,在地址栏中输入 https://192.168.1.1/admin Install ADSM Lancher 从管理主机的桌面 run ASDM(leave username and password empty)
硬件防火墙参数介绍
固定接口 Console口 网络与软件 网络管理 支持SNMP管理 用户数限 制 并发连接 数 VPN 入侵检测 认证标准 功能特点 无用户数限制用户 500000并发连接数 支持,支持VPN Dos ICSA Firewall,VPNC IPSec 基于JAVA的安全管理,高速ASIC处理器,可扩展 至多达2000条VPN隧道,千兆位光纤接口
硬件防火墙的选购要点
6.合适的性能 防火墙一般部署在网络边界上, 也就是说,网络中的所有流量都要经过防火墙的 过滤,因引,防火墙极容易造成网络带宽的瓶颈。 所以在选购时,一定要考虑吞吐量、安全过滤带 宽、延时等相关参数。 7.其它考虑要素 企业安全政策中往往有些特殊 需求(如网络地址转换(NAT)、双重DNS 需求(如网络地址转换(NAT)、双重DNS 、病毒 扫描、协议的优先级、VPN等功能)不是每一个 扫描、协议的优先级、VPN等功能)不是每一个 防火墙都会提供的,这方面常会成为选择防火墙 的考虑因素之一。
相关知识
自学教材第5 自学教材第5章,上网查询以下概念: AAA认证 AAA认证 DOS VPN IPSec SSL 双机热备份 以作业形式提交
重点了解
Cisco Pix525 天融信安全卫士
硬件防火墙的选购
实验 考查校园,依据校园规模及环境, 选购一款合适的防火墙(考虑到性价 比),说明选购理由。
硬件防火墙的选购要点
(5)可扩展性,对于一个好的防火墙系统而言, 它的规模和功能应该能够适应网络规模和安全策 略的变化。理想的防火墙系统应该是一个可随意 伸缩的模块化解决方案,包括从最基本的包过滤 器到带加密功能的VPN型包过滤器,直至一个独 器到带加密功能的VPN型包过滤器,直至一个独 立的应用网关,使用户有充分的余地构建自己所 需要的防火墙体系。目前的防火墙一般标配三个 网络接口,分别连接外部网、内部网和DMZ。用 网络接口,分别连接外部网、内部网和DMZ。用 户在购买防火墙时必须弄清楚是否可以增加网络 接口,因为有些防火墙无法扩展。
硬件防火墙参数介绍
用户数和并发连接数是完全不同的两 个概念,并发连接数是指防火墙的最大会 话数(或进程),每个用户可以在一个时 间里产生很多的连接。
硬件防火墙的分类
基于通用操作系统的防火墙——运行一些经过裁 基于通用操作系统的防火墙——运行一些经过裁 剪和简化的操作系统,最常用的有老版本的Unix、 剪和简化的操作系统,最常用的有老版本的Unix、 Linux和FreeBSD系统。 Linux和FreeBSD系统。 此类防火墙采用的依然是 别人的内核,因此依然会受到OS(操作系统) 别人的内核,因此依然会受到OS(操作系统)本身 的安全性影响。一般称作硬件防火墙。 基于专用操作系统,也叫芯片级防火墙——专用 基于专用操作系统,也叫芯片级防火墙——专用 OS(操作系统) OS(操作系统),防火墙本身的漏洞比较少 ,专有 的ASIC(专用集成电路)芯片使它们比基于通用 ASIC(专用集成电路)芯片使它们比基于通用 os的防火墙速度更快,处理能力更强,性能更高、 os的防火墙速度更快,处理能力更强,性能更高、 安全性也更高
硬件防火墙外观图
硬件防火墙参数介绍
防火墙的主要参数
并发连接数:是指防火墙或代理服务器对其业 务信息流的处理能力,是防火墙能够同时处理 的点对点连接的最大数目,它反映出防火墙设 备对多个连接的访问控制能力和连接状态跟踪 能力,这个参数的大小直接影响到防火墙所能 支持的最大信息点数。
并发连接数是衡量防火墙性能的一个重要指标。
硬件防火墙参数介绍
吞吐量:网络中的数据是由一个个数据包组成,防火墙对 每个数据包的处理要耗费资源。吞吐量是指在不丢包的情 况下单位时间内通过防火墙的数据包数量。这是测量防火 墙性能的重要指标。 吞吐量的大小主要由防火墙内网卡,及程序算法的效 率决定,尤其是程序算法,会使防火墙系统进行大量运算, 通信量大打折扣。因此,大多数防火墙虽号称100M防火墙, 通信量大打折扣。因此,大多数防火墙虽号称100M防火墙, 由于其算法依靠软件实现,通信量远远没有达到100M,实 由于其算法依靠软件实现,通信量远远没有达到100M,实 际只有10M-20M。纯硬件防火墙,由于采用硬件进行运算, 际只有10M-20M。纯硬件防火墙,由于采用硬件进行运算, 因此吞吐量可以达到线性90-95M,是真正的100M防火墙。 因此吞吐量可以达到线性90-95M,是真正的100M防火墙。 对于中小型企业来讲,选择吞吐量为百兆级的防火墙 即可满足需要,而对于电信、金融、保险等大公司大企业 部门就需要采用吞吐量千兆级的防火墙产品。
硬件防火墙的选购要点
(3)配置便利性,即防火墙是否支持串口终端管 理。如果防火墙没有终端管理方式,就不容易确 定故障所在。对于国内用户来说,防火墙最好是 具有中文界面,既能支持命令行方式管理,又能 支持GUI和集中式管理。 支持GUI和集中式管理。 (4)可靠性,对于防火墙来说,其可靠性直接影 响受控网络的可用性,它在重要行业及关键业务 系统中的重要作用是显而易见的。提高防火墙的 可靠性通常是在设计中采取措施,具体措施是提 高部件的强健性、个典型的硬件防火墙参数表 以下是watchguard 以下是watchguard FB X2500参数 X2500参数
硬件防火墙参数介绍
基本参数 产品型号 FB X2500 产品类型 硬件,VPN防火墙,百兆级防火墙,中小型企业防火 墙
最大吞吐 275Mbps 量 安全过滤 75Mbps 带宽 外形尺寸 240×426×45mm 4.39Kg 重量 硬件参数 CPU:1.26GHz;Flash:64M,RAM: 硬件参数 256M,3*10/100BASE-TX
硬件防火墙介绍
第3单元
Deploying ASA5505
安装(接线、进入CLI配置环境) 安装(接线、进入CLI配置环境) 装管理软件 ASDM( ASDM(adaptive security device manager) manager) FactoryFactory-default configuration
硬件防火墙参数介绍
其它参数
电源电压 90-250VAC,50Hz
其它
控制端口:Console口
硬件防火墙的选购要点
应该客观地认识到,没有一个防火墙的设 计能够适用于所有的环境,因此应根据站 点的实际情况来选择合适的防火墙,不过, 在选购一款防火墙时大多应考虑以下几个 因素:
硬件防火墙的选购要点
硬件防火墙参数介绍
安全过滤带宽 安全过滤带宽是指防火墙在某种加密算 法标准下,如DES(56位 3DES(168位) 法标准下,如DES(56位)或3DES(168位) 下的整体过滤性能。它是相对于明文带宽 提出的。一般来说,防火墙总的吞吐量越 大,其对应的安全过滤带宽越高
硬件防火墙参数介绍
用户数限制 即同时穿过防火墙的机器数 用户数限制的判断有的防火墙是根据 MAC地址的数量或者IP地址数进行判断。 MAC地址的数量或者IP地址数进行判断。 防火墙的用户数限制分为固定限制用户 数和无用户数限制两种
vlan1 port1-7 ip 192.168.1.1 name “inside” port1inside” Vlan2 port0 dhcp动态IP dhcp动态IP name “outside” outside”
Deploying ASA5505
管理主机的连接
ASA的内网口接入switch,管理主机接入同样的 ASA的内网口接入switch,管理主机接入同样的 switch,或管理主机直接接入内网口,内网口需 switch,或管理主机直接接入内网口,内网口需 为自动协商的半双工模式,不能为全双工。 配置管理主机为用DHCP方式获取IP地址或 配置管理主机为用DHCP方式获取IP地址或 192.168.1.0网段的静态地址 192.168.1.0网段的静态地址 在管理主机上打开浏览器,在地址栏中输入 https://192.168.1.1/admin Install ADSM Lancher 从管理主机的桌面 run ASDM(leave username and password empty)
硬件防火墙参数介绍
固定接口 Console口 网络与软件 网络管理 支持SNMP管理 用户数限 制 并发连接 数 VPN 入侵检测 认证标准 功能特点 无用户数限制用户 500000并发连接数 支持,支持VPN Dos ICSA Firewall,VPNC IPSec 基于JAVA的安全管理,高速ASIC处理器,可扩展 至多达2000条VPN隧道,千兆位光纤接口
硬件防火墙的选购要点
6.合适的性能 防火墙一般部署在网络边界上, 也就是说,网络中的所有流量都要经过防火墙的 过滤,因引,防火墙极容易造成网络带宽的瓶颈。 所以在选购时,一定要考虑吞吐量、安全过滤带 宽、延时等相关参数。 7.其它考虑要素 企业安全政策中往往有些特殊 需求(如网络地址转换(NAT)、双重DNS 需求(如网络地址转换(NAT)、双重DNS 、病毒 扫描、协议的优先级、VPN等功能)不是每一个 扫描、协议的优先级、VPN等功能)不是每一个 防火墙都会提供的,这方面常会成为选择防火墙 的考虑因素之一。