资源预览内容
第1页 / 共48页
第2页 / 共48页
第3页 / 共48页
第4页 / 共48页
第5页 / 共48页
第6页 / 共48页
第7页 / 共48页
第8页 / 共48页
第9页 / 共48页
第10页 / 共48页
亲,该文档总共48页,到这儿已超出免费预览范围,如果喜欢就下载吧!
资源描述
防火墙相关概念及技术介绍 一 、防火墙应用场景 二 、防火墙基本概念 三 、防火墙工作原理 二 、防火墙基本概念 1、防火墙和路由器的区别 2、防火墙的分类 3、防火墙的功能、性能指标 4、防火墙基本概念安全区域(Zone ) 5、防火墙工作模式 A的报文如何能最快的到B? 网络A如何和网络B互联互通?过来一个报文立刻转发一个报文。 网络A网络B 交流路由信息 这个访问是否允许到B?这个TCP连接是合法连接吗?这个访问是否是一个攻击行为? 路由器的特点: 保证互联互通。 按照最长匹配算法逐包转发。 路由协议是核心特性。 防火墙的特点: 逻辑子网之间的访问控制,关注边界安全 基于连接的转发特性。 安全防范是防火墙的核心特性。 由于防火墙具有基于连接监控的特性,因此防火墙对业务支持具有非常强 的优势。而路由器基于逐包转发的特点,因此路由器设备不适合做非常复杂 的业务,复杂的业务对路由器的性能消耗比较大。防火墙支持的接口不如路 由器丰富,支持的路由协议不如路由器丰富,因此防火墙不适合做为互联互 通的转发设备。防火墙适合做为企业、内部局域网的出口设备,支持高速、 安全、丰富的业务特性。 1、防火墙和路由器的区别 按照防火墙实现的方式,一般把防火墙分为如下几类: 包过滤防火墙(Packet Filtering) 包过滤利用定义的特定规则过滤数据包,防火墙直接获得数据包的IP源地址、目的地址、TCP/ UDP的源端口、和TCP/UDP的目的端口。 包过滤防火墙简单,但是缺乏灵活性,对一些动态协商端口没有办法设置规则。另外包过滤 防火墙每包需要都进行策略检查,策略过多会导致性能急剧下降。 代理型防火墙(application gateway) 代理型防火墙使得防火墙做为一个访问的中间节点,对Client来说防火墙是一个Server,对 Server来说防火墙是一个Client。 代理型防火墙安全性较高,但是开发代价很大。对每一种应用开发一个对应的代理服务是很难 做到的,因此代理型防火墙不能支持很丰富的业务,只能针对某些应用提供代理支持。 状态检测防火墙 状态检测是一种高级通信过滤。它检查应用层协议信息并且监控基于连接的应用层协议状态。 对于所有连接,每一个连接状态信息都将被维护并用于动态地决定数据包是否被允许通过防火墙或丢 弃。 按硬件结构: x86、NP网络处理器(Network Processor)和ASIC专用集成电路(ASIC)电信 级硬件防火墙 2、防火墙的分类 3、防火墙的功能、性能指标 功能指标 1、访问控制:根据数据包的源/目的IP地址、源/目的端口、协 议、流量、时间等参数对数据包进行访问控制。 2、地址转换:源地址转换(SNAT)、目的地址转换(DNAT)、双向 地址转换(IP映射)。 3、静态路由/策略路由: 静态路由:给予目的地址的路由选择。 策略路由:基于源地址和目的地址的策略路由选择。 4、工作模式:路由模式、网桥模式(交换/透明模式)、混杂模 式(路由+网桥模式并存) 5、接入支持:防火墙接口类型一般有GBIC、以太网接口等;接 入支持静态IP设置、DHCP、PPOE(比如ADSL接入)等。 6、VPN:分为点到端传输模式(PPTP协议)和端到端隧道模式(IPSec、IPIP、 GRE隧道),支持DES、3DE、Blowfish、AES、Cast128、Twofish等加密算法, 支持MD5、SHA-1认证算法;VPN功能支持NAT穿越。 7、IP/MAC绑定:IP地址与MAC地址绑定,防止IP盗用,防止内网机器有意/ 无意抢占关键服务器IP。 8、DHCP:内置DHCP Server 为网络中计算机动态分配IP地址;DHCP Relay的 支持能为防火墙不同端口的DHCP Server和计算机之间动态分配IP地址。 9、虚拟防火墙:在一台物理防火墙设备上提供多个逻辑上完全独立的虚拟 防火墙,每个虚拟防火墙为一个特定的用户群提供安全服务。 10、应用代理:HTTP、FTP、SMTP等协议应用代理,大多数内容过滤通过应 用代理实现。 11、流量控制:流量控制,流量优先级,带宽允许条件下的优先保障关键 业务带宽。 12、防攻击:防止各类TCP、UDP端口扫描,源路由攻击,IP碎片包攻击, DOS、DDOS攻击,蠕虫病毒以及其他网络攻击行为。 13、内置IDS:内置IDS模块,加强防火墙的防攻击能力。 14、内置防病毒模块:内置防病毒模块,在网关级进行病毒防护。 15、内置安全评估模块:内置安全评估模块,对网络中的计算机、网络设备等进 行漏洞扫描,做出安全评估分析,提供安全建议,计时弥补网络中存在的安全隐 患。 16、安全产品联动:防火墙与其他安全产品比如IDS、Scanner、防病毒等的联动功 能。 17、链路备份/双机热备:在可靠性要求高的环境中,防火墙的多端口的链路备份 以及双机热备功能提供了一个较好的解决方案。 18、配置文件上传/下载:配置文件的备份/恢复功能。 19、SNMP:支持SNMP协议,方便网络管理员对防火墙状态进行监控管理。 20、负载均衡:分为链路负载均衡和服务器负载均衡。 21、日志审计:日志存储、备份、查询、过滤、分析统计报表等。 22、入侵响应:日志记录、消息框报警、邮件报警、声音报警、发送SNMP Trap信 息、手机短信报警。 性能指标 吞吐量 并发连接数 最大连接速率:即每秒新建连接数 延迟:延迟是指防火墙转发数据包的延迟时间 丢包率 平均无故障时间 1、吞吐量:吞吐量是指防火墙在不丢包的情况下能够达到的最大 包转发速率。吞吐量越大,说明防火墙数据处理能力越强。其测试 方法是:在测试中以一定速率发送一定数量的帧,并计算待测设备 传输的帧,如果发送的帧与接收的帧数量相等,那么就将发送速率 提高并重新测试;如果接收帧少于发送帧则降低发送速率重新测试 ,直至得出最终结果。吞吐量测试结果以比特/秒或字节/秒表示。 2、并发连接数:并发连接数是防火墙能够同时处理的点对点连接 的最大数目,它反映出防火墙设备对多个连接的访问控制能力和连 接状态跟踪能力,这个参数的大小直接影响到防火墙所能支持的最 大信息点数。影响并发连接数条目的主要因素是内存容量,其次是 CPU频率及其他硬件。 1) 以每个并发连接表项占用300B计算,1000个并发连接将占用 300B10008bit/B2.3Mb内存空间,10000个并发连接将占用23Mb内存空间, 100000个并发连接将占用230Mb内存空间,而如果真的试图实现1000000个并 发连接的话 2)并发连接数的增大应当充分考虑CPU的处理能 力,CPU的主要任务是把网络上的流量从一个网 段尽可能快速地转发到另外一个网段上,并且在 转发过程中对此流量按照一定的访问控制策略进 行许可检查、流量统计和访问审计等操作,这都 要求防火墙对并发连接表中的相应表项进行不断 的更新读写操作。如果不顾CPU的实际处理能力 而贸然增大系统的并发连接表,势必影响防火墙 对连接请求的处理延迟,造成某些连接超时,让 更多的连接报文被重发,进而导致更多的连接超 时,最后形成雪崩效应,致使整个防火墙系统崩 溃。那么,这个产品就需要提供2.24Gb内存空间 ! 3) 在实际中选型的时候要考虑终端用户的数量,以便计 算出所需要的最大连接数。以每个用户需要10.5个并发 连接来计算,一个中小型企业网络(1000个信息点以下 ,容纳4个C类地址空间)大概需要10.51000=10500个 并发连接,因此支持2000030000最大并发连接的防火 墙设备便可以满足需求;大型的企事业单位网络(比如 信息点数在100010000之间)大概会需要105000个并 发连接,所以支持100000120000最大并发连接的防火 墙就可以满足企业的实际需要; 而对于大型电信运营商 和ISP来说,电信级的千兆防火墙(支持120000200000 个并发连接)则是恰当的选择。为较低需求而采用高端 的防火墙设备将造成用户投资的浪费,同样为较高的客 户需求而采用低端设备将无法达到预计的性能指标。 3、最大连接速率:即每秒新建连接数,是指在指定时 间(比如1秒)内防火墙能成功建立的最大连接数目(主要 和CPU的处理性能有直接关系,其他硬件其次)。 4、延迟:延迟是指防火墙转发数据包的延迟时间,延 迟越低,防火墙数据处理速度越快。 5、丢包率:丢包率是指在正常稳定网络状态下,应该 被转发由于缺少资源而没有被转发的数据包占全部数据 包的百分比。较低的丢包率,意味着防火墙在强大的负 载压力下,能够稳定地工作,以适应各种网络的复杂应 用和较大数据流量对处理性能的高要求。 6、平均无故障时间:平均无故障时间(MTBF)是指防火 墙连续无故障正常运行的平均时间。 Cisco Firewall What is It? Adaptive Security Appliance (ASA自适应安全设备) hardened firewall appliance, proprietary OS, may have expansion slots for service modules, or may be integrated into main board. Ethernet and fiber ports on box. does not run IOS but has a similar look and feel FireWall Services Module (FWSM) line card in Catalyst 6500 that provides firewall services (EoS/EoL Announced Feb 2012) ASA SM Next Gen line card for Catalyst 6500, no physical interfaces, runs ASA code image (unlike FWSM above) ASA1000V Virtual/Cloud Firewall Virtualization-edge ASA that runs with Nexus1000v and a standard ASA code base discussed but not detailed in this session IOS Device running a firewall feature set in software (IOS-FW) configuration is in IOS - not covered in this session 参数Cisco ASA 5510Cisco ASA 5520Cisco ASA 5540 用户数/节点数无限制无限制无限制 带宽吞吐率高达300 Mbps高达450 Mbps高达650 Mbps 3DES/AES IPSec VPN吞吐率(安全 过滤带宽) 高达170 Mbps高达225 Mbps高达325 Mbps IPSec VPN 对50 / 150*300 / 750*500 / 2,000* / 5,000* WebVPN 对50 / 150*300 / 750*500 / 1,250* / 2,500* 最大连接数量32,000 / 64,000*130,000280,000 最大连接数量/秒6,0009,00020,000 集成单元3 + 1 个快速以太 网口 4 个千兆以太网口4 个千兆以太网口 高可用性支援主用/备用*主用/主用和主用/备用主用/主用和主用/备用 SSM 扩展插槽1个1个1个 ASA5500 系列性能参数 HUAWEI TECHNOLOGIES CO., LTD. Page 16 华为安全网关产品系列 Eudemon 200 Eudemon 100E Eudemon 500 Eudemon 1000
网站客服QQ:2055934822
金锄头文库版权所有
经营许可证:蜀ICP备13022795号 | 川公网安备 51140202000112号