资源预览内容
第1页 / 共94页
第2页 / 共94页
第3页 / 共94页
第4页 / 共94页
第5页 / 共94页
第6页 / 共94页
第7页 / 共94页
第8页 / 共94页
第9页 / 共94页
第10页 / 共94页
亲,该文档总共94页,到这儿已超出免费预览范围,如果喜欢就下载吧!
资源描述
防火墙产品与维护,ISSUE 1.0,Page 1,学习完本课程,您应该能够: 了解Eudemon产品工作原理 了解Eudemon产品规格和特性 掌握Eudemon产品典型组网及配置 掌握Eudemon产品维护方法,学习目标,Page 2,内容介绍,第一章 防火墙技术简介 第二章 防火墙体系结构 第三章 防火墙原理与特性 第四章 防火墙升级指导 第五章 防火墙故障处理指导,Page 3,防火墙概述,网络安全问题成为近年来网络问题的焦点 网络安全包括基础设施安全、边界安全和管理安全等全方位策略 防火墙的主要作用是划分边界安全,实现关键系统与外部环境的安全隔离,保护内部网络免受外部攻击 与路由器相比,防火墙提供了更丰富的安全防御策略,提高了安全策略下数据报转发速率 由于防火墙用于边界安全,因此往往兼备NAT、VPN等功能 我司防火墙:Eudemon系列(英文含义守护神),一夫当关,万夫莫开,Page 4,防火墙的分类(一),包过滤防火墙 代理防火墙 状态防火墙,包过滤防火墙,代理防火墙,状态防火墙,Page 5,防火墙的分类(二),按照防火墙实现的方式,一般把防火墙分为如下几类: 包过滤防火墙(Packet Filtering)包过滤利用定义的特定规则过滤数据包,防火墙直接获得数据包的IP源地址、目的地址、TCP/ UDP的源端口、和TCP/UDP的目的端口。包过滤防火墙简单,但是缺乏灵活性,对一些动态协商端口没有办法设置规则。另外包过滤防火墙每包需要都进行策略检查,策略过多会导致性能急剧下降。 代理型防火墙(application gateway)代理型防火墙使得防火墙做为一个访问的中间节点,对Client来说防火墙是一个Server,对Server来说防火墙是一个Client。代理型防火墙安全性较高,但是开发代价很大。对每一种应用开发一个对应的代理服务是很难做到的,因此代理型防火墙不能支持很丰富的业务,只能针对某些应用提供代理支持。 状态检测防火墙状态检测是一种高级通信过滤。它检查应用层协议信息并且监控基于连接的应用层协议状态。对于所有连接,每一个连接状态信息都将被维护并用于动态地决定数据包是否被允许通过防火墙或丢弃。,现在防火墙的主流产品都为状态检测防火墙:高性能和高安全的完美结合。,Page 6,防火墙技术发展方向,软件防火墙。一般是直接安装在PC上的一套软件,基于PC提供基本的安全防护,此时防火墙基本上就是一个应用软件。代表产品有CheckPoint公司的防火墙产品。 工控机类型防火墙。采用PC硬件结构,基于linux等开发源代码的操作系统内核,开发了安全防护的一些基本特性构成硬件防火墙产品形态。从外观上面看,该种防火墙是一个硬件防火墙产品,但是其软件、硬件和第一种防火墙产品从硬件上面说没有本质区别。国内大多数防火墙是采用这种技术。 电信级硬件防火墙。采用独立设计的硬件结构,在CPU、电源、风扇、PCI总线设计、扩展插卡等方面优化结构,保证防火墙产品可以得到最优的处理性能和高可靠性。代表产品有华为公司的Eudemon 200产品、NetScreen 204等防火墙产品。 基于NP电信级防火墙。由于纯软件设计的防火墙产品在流量很大的地方逐步成为瓶颈,基于网络处理器(NP)的业务加速模式的防火墙产品开始出现。通过网络处理器的高性能,使得防火墙产品可以达到1G线速的处理能力。代表产品有华为公司的Eudemon 500/1000产品。,软件防火墙= 工控机类型防火墙=电信级硬件防火墙=基于NP电信级防火墙,Page 7,基于改进的状态检测安全技术(一),改进的状态防火墙: Eudemon系列防火墙即采用的这种技术,这是华为特有的ASPF技术(Application specific packet filter),它结合了代理型防火墙安全性高、状态防火墙速度快的优点,因此安全性高,处理能力强。,动态创建和删除过滤规则,监视通信过程中的报文,Page 8,基于改进的状态检测安全技术(二),ASPF(Application Specific Packet Filter)增强VRP平台上的防火墙功能,提供针对应用层的报文过滤功能。 ASPF是一种高级通信过滤。它检查应用层协议信息并且监控基于连接的应用层协议状态。对于所有连接,每一个连接状态信息都将被ASPF维护并用于动态地决定数据包是否被允许通过防火墙或丢弃。 ASPF不仅能够根据连接的状态对报文进行过滤还能够对应用层报文的内容加以检测,以对一部分攻击加以检测和防范。,Page 9,基于改进的状态检测安全技术(三),状态防火墙通过检测基于TCP/UDP连接的连接状态,来动态的决定报文是否可以通过防火墙。在状态防火墙中,会维护着一个Session表项,通过Session表项就可以决定哪些连接是合法访问,哪些是非法访问。,Page 10,DoS攻击的防范 对所有处于半开(TCP SYN or UDP)状态的连接进行数目统计和速度采样。,基于改进的状态检测安全技术(四),FTP是File Transfer Protocol(文件传输协议)要用到两个TCP连接,一个是控制通道,用来在FTP客户端与服务器之间传递命令;另一个是数据通道,用来上传或下载数据。 检查接口上的外发IP报文,确认为基于TCP的FTP报文。 检查端口号确认连接为控制连接, 建立返回报文的临时ACL和状态表。 检查FTP控制连接报文,解析FTP 指令,根据指令更新状态表,如果包含数据通道建立指令,则创建另外的数据连接的临时ACL,对于数据连接,不进行状态检测。 对返回报文作根据协议类型做相应匹配检查,检查将根据相应协议的状态表和临时ACL决定报文是否允许通过。,Page 11,主要防火墙性能衡量指标,吞吐量其中吞吐量业界一般都是使用1K1.5K的大包衡量防火墙对报文的处理能力的。因网络流量大部分是200字节报文,因此需要考察防火墙小包转发下性能。因防火墙需要配置ACL规则,因此需要考察防火墙支持大量规则下转发性能。 每秒建立连接速度指的是每秒钟可以通过防火墙建立起来的完整TCP连接。由于防火墙的连接是动态连接的,是根据当前通信双方状态而动态建立的表项。每个会话在数据交换之前,在防火墙上都必须建立连接。如果防火墙建立连接速率较慢,在客户端反映是每次通信有较大延迟。因此支持的指标越大,转发速率越高。在受到攻击时,这个指标越大,抗攻击能力越强。这个指标越大,状态备份能力越强。 并发连接数目由于防火墙是针对连接进行处理报文的,并发连接数目是指的防火墙可以同时容纳的最大的连接数目,一个连接就是一个TCP/UDP的访问,Page 12,内容介绍,第一章 防火墙技术简介 第二章 防火墙体系结构 第三章 防火墙原理与特性 第四章 防火墙升级指导 第五章 防火墙故障处理指导,Page 13,Eudemon系列防火墙外观,华为公司系列电信级硬件防火墙产品,涵盖了从低端数兆到高端千兆级别,卓越的性能和先进的安全体系架构为用户提供了强大的安全保障。,Eudemon 200,Eudemon 100,Eudemon 500,Eudemon 1000,Page 14,Eudemon系列防火墙性能,Eudemon系列防火墙业界领先每秒新建连接能力保证了防火墙性能充分发挥。,Page 15,Eudemon 200:高效可靠的体系结构双总线,精心设计的体系架构保证了防火墙即使是在64字节报文下依旧保持优异转发性能,高速ACL技术保证了配置大量规则下,性能不受影响。,双通道设计 总线冲突减少,总带宽提升 双通道收发互不影响,接口卡1,接口卡2,PCI-0,PCI-1,高速内部交换,P C I 0,P C I 1,CPU,Page 16,Eudemon 500/1000:基于NP的集中式多业务路由器,Eudemon 500/1000 :基于NP逻辑结构,全模块化、基于NP硬件集中式转发、电信级可靠性; TCP、UDP首包都是NP进行处理,保证了每秒新建连接100,000条/秒,充分保证网络安全性。NP转发方式保证了Eudemon 500和1000在64字节报文下分别超过1G和2G; 基于硬件ACL保证了配置大量规则情况,性能不受影响。,NP,高速交换转 发,2G PCI共享数据总线,2G D_bus交换总线,Page 17,先进的体系架构,Eudemon防火墙完全自主开发。软件采用专有操作系统,安全/高性能并重。 Eudemon 500/1000防火墙采用网络处理器技术,高性能、可扩展性兼顾。,CPU功能灵活,可不断升级,弱点是性能低。,ASIC性能高,弱点是过于固化,无法升级,NP,CPU,ASIC,基于软件的CPU的灵活性和基于ASIC的高速转发的结合NP(网络处理器),Page 18,防火墙的基本工作流程,传统包过滤防火墙(路由器),Page 19,E200状态防火墙,Page 20,与工控机类型防火墙技术对比,Page 21,千兆防火墙技术对比,Page 22,内容介绍,第一章 防火墙技术简介 第二章 防火墙体系结构 第三章 防火墙原理与特性 第四章 防火墙升级指导 第五章 防火墙故障处理指导,Page 23,第三章 防火墙原理与特性 第1节 安全区域 第2节 工作模式 第3节 安全防范 第4节 VRRP & HRP,内容介绍,Page 24,防火墙的安全区域(一),防火墙的内部划分为多个区域,所有的转发接口都唯一的属于某个区域,Page 25,防火墙的安全区域(二),路由器的安全规则定义在接口上,而防火墙的安全规则定义在安全区域之间,不允许来自10.0.0.1 的数据报从这个接口出去,禁止所有从DMZ区域的数据报 转发到UnTrust区域,Page 26,防火墙的安全区域(三),Eudemon防火墙上保留四个安全区域: 非受信区(Untrust):低级的安全区域,其安全优先级为5。 非军事化区(DMZ):中度级别的安全区域,其安全优先级为50。 受信区(Trust):较高级别的安全区域,其安全优先级为85。 本地区域(Local):最高级别的安全区域,其安全优先级为100。 此外,如认为有必要,用户还可以自行设置新的安全区域并定义其安全优先级别。最多16个安全区域。,Page 27,防火墙的安全区域(四),域间的数据流分两个方向: 入方向(inbound):数据由低级别的安全区域向高级别的安全区域传输的方向; 出方向(outbound):数据由高级别的安全区域向低级别的安全区域传输的方向。,Page 28,防火墙的安全区域(五),本域内不同接口间不过滤直接转发 进、出接口相同的报文被丢弃(EU200-VRP3.20-0314.01版本后支持) 接口没有加入域之前不能转发包文,Page 29,防火墙的安全区域(六),Page 30,第三章 防火墙原理与特性 第1节 安全区域 第2节 工作模式 第3节 安全防范 第4节 VRRP & HRP,内容介绍,Page 31,防火墙的三种工作模式(一),路由模式 透明模式 混合模式,Page 32,防火墙的三种工作模式(二),可以把路由模式理解为象路由器那样工作。防火墙每个接口连接一个网络,防火墙的接口就是所连接子网的网关。报文在防火墙内首先通过入接口信息找到进入域信息,然后通过查找转发表,根据出接口找到出口域,再根据这两个域确定域间关系,然后使用配置在这个域间关系上的安全策略进行各种操作。,Page 33,防火墙的三种工作模式(三),透明模式的防火墙简单理解可以被看作一台以太网交换机。防火墙的接口不能配IP地址,整个设备出于现有的子网内部,对于网络中的其他设备,防火墙是透明的。报文转发的出接口,是通过查找桥接的转发表得到的。在确定域间之后,安全模块的内部仍然使用报文的IP地址进行各种安全策略的匹配。 Eudemon防火墙与网桥存在不同,Eudemon防火墙中IP报文还需要送到上层进行相关过滤等处理,通过检查会话表或ACL规则以确定是否允许该报文通过。此外,还要完成其它防攻击检查。透明模式的防火墙支持ACL规则检查、ASPF状态过滤、防攻击检查、流量监控等功能。 透明模式可以配置系统IP。,
网站客服QQ:2055934822
金锄头文库版权所有
经营许可证:蜀ICP备13022795号 | 川公网安备 51140202000112号