天融信防火墙技术培训教材

1、防火墙技术(jsh)原理防火墙技术培训专用(zhunyng)材料共一百一十五页 防火墙概述 防火墙分类 防火墙硬件技术 防火墙软件技术 防火墙设计结构 防火墙构造(guzo)体系 防火墙功能 防火墙性能 防火墙安全性 防火墙的“胖”与“瘦” 防火墙部署 防火墙管理 防火墙可靠性 防火墙典型应用 防火墙技术发展展望提 纲 共一百一十五页防火墙形态(xngti)标准1U机箱，节省了宝贵的机柜空间，而且外形美观大方配置3 个 10/100M 自适应接口，内网、外网、SSN 三个接口固定，不可更改接口数量、类型不可更改国内标准220V交流电源输入(shr)，不需要额外的电源转换设备内存=64 M电源=

2、AC90260V，4763Hz，0.15A / 0.25A主板采用集成化设计，稳定性、可靠性更高接口属性固定内 网外 网SSN共一百一十五页Internet一种高级(goj)访问控制设备，置于不同网络安全域之间的一系列部件的组合，它是不同网络安全域间通信流的唯一通道，能根据企业有关的安全政策控制（允许、拒绝、监视、记录）进出网络的访问行为。两个(lin )安全域之间通信流的唯一通道UDPBlockHost CHost BTCPPassHost CHost ADestinationProtocolPermitSource根据访问控制规则决定进出网络的行为防火墙定义内部网共一百一十五页防火墙连线(

3、lin xin)图直通线交叉(jioch)线交叉线串口线管理机SSN 区域外网内网共一百一十五页 防火墙概述 防火墙分类 防火墙硬件技术(jsh) 防火墙软件技术 防火墙设计结构 防火墙构造体系 防火墙功能 防火墙性能 防火墙安全性 防火墙的“胖”与“瘦” 防火墙部署 防火墙管理 防火墙可靠性 防火墙典型应用 防火墙技术发展展望提 纲 共一百一十五页Internet软件(run jin)防火墙硬件(yn jin)防火墙按形态分类按保护对象分类Internet各种类型的防火墙保护整个网络保护单台主机网络防火墙单机防火墙共一百一十五页Internet硬件(yn jin)防火墙&软件防火墙Inter

4、net硬件(yn jin)防火墙软件防火墙操作系统平台安全性性能稳定性网络适应性分发升级成本硬件防火墙基于精简专用OS高高较高强不易较容易Price=firewall+Server软件防火墙基于庞大通用OS较高较高高较强非常容易容易Price=Firewall仅获得Firewall软件，需要准备额外的OS平台安全性依赖低层的OS网络适应性弱（主要以路由模式工作）稳定性高软件分发、升级比较方便硬件+软件，不用准备额外的OS平台安全性完全取决于专用的OS网络适应性强（支持多种接入模式）稳定性较高升级、更新不太灵活共一百一十五页 防火墙概述 防火墙分类 防火墙硬件技术 防火墙软件技术 防火墙设计(s

5、hj)结构 防火墙构造体系 防火墙功能 防火墙性能 防火墙安全性 防火墙的“胖”与“瘦” 防火墙部署 防火墙管理 防火墙可靠性 防火墙典型应用 防火墙技术发展展望提 纲 共一百一十五页主要(zhyo)有三种：Intel X86架构工控机ASIC硬件加速技术网络处理器（NP）加速技术防火墙硬件(yn jin)实现技术共一百一十五页基于(jy)Intel X86架构的防火墙 Intel X86架构的硬件以其高灵活性和扩展性一直(yzh)受到众多国内、国外防火墙厂商的青睐。 X86 CPU由于考虑了各种应用的需要，具有一般化的通用体系结构和指令集，容易支持复杂的运算并容易开发新的功能。随着Intel

6、 X86CPU性能的快速提高，基于Intel X86架构的防火墙在100Mbps带宽下的性能可以满足用户的需求。共一百一十五页基于(jy)ASIC技术的防火墙 ASIC：Application Specific Integrated Circuit，特定用途集成电路。ASIC专用硬件加速技术主要是部分国外厂商的防火墙产品采用，如NetScreen的高端防火墙。ASIC作为硬件集成电路，它把指令或计算逻辑(lu j)固化到硬件中，获得高处理能力，提升防火墙性能。ASIC最大缺点是缺乏灵活性，支持有限的应用和服务。一旦指令或计算逻辑固化到硬件中，就很难修改升级、增加新的功能或提高性能，使得资源重用

7、率很低。而且，ASIC设计和制造周期长（设计和制造复杂ASIC一般需要花费1218个月），研发费用高，也使ASIC很难应对万变的网络新应用，所以基于ASIC技术，很难快速推出能满足用户需求不断变化的防火墙产品。 共一百一十五页基于(jy)NP技术的防火墙什么是NP技术？NP的理论优点乐观(lgun)者如是认为NP技术发展现实共一百一十五页什么(shn me)是NP？网络处理器（Network Processor，简称NP）顾名思义即专为网络数据处理而设计的芯片或芯片组。能够直接完成网络数据处理的一般性任务，如TCP/IP数据的校验和计算、包分类、路由查找等，同时，硬件体系结构的设计也弥补了传统

8、IA体系的不足，它们大多采用高速的接口技术和总线规范，具有较高的I/O能力。基于网络处理(chl)器的网络设备的包处理(chl)能力得到了很大提升，很多需要高性能的领域，如千兆交换机、防火墙、路由器的设计都可以采用网络处理(chl)器来实现。 共一百一十五页NP的理论(lln)优点网络处理器可以通过良好的体系结构设计和专门针对网络处理优化的部件，为上层提供了一个可编程控制的环境，可以很好地解决硬件加速和软件可扩展的折衷问题。 一方面，网络处理器独立于CPU之外，是专门为进行网络分组处理而开发的，具有优化的体系结构和指令集，因此它比CPU有着更高的处理性能(xngnng)，能够满足网络高速发展的

9、需求。另一方面，它具有专门的指令集和配套的软件开发系统，具有很强的编程能力，能够很方便地开发各种应用，支持可扩展的服务，从而能够很好地满足网络业务多样化的发展趋势，比ASIC更灵活地应对日益更新的网络需求。 共一百一十五页乐观者如是(r sh)认为网络处理器以其杰出的包处理性能及可编程性成为构筑网络转发引擎不可替代的核心，它将成为新一代网络设备的核心处理器，是未来网络设备的发展趋势。它被认为是推动下一代网络发展的一项核心技术，并开始越来越多地受到业界的关注。 国内外的许多(xdu)公司和大学纷纷投入力量展开了对网络处理器的相关研究，并将其用于中高端网络设备的研究与开发之中。 共一百一十五页NP

10、技术(jsh)发展现实一网络处理器都是由国外厂商设计制造的。 根据网络处理器权威分析机构Linley Group Inc.的报告，2002年网络处理器（NPU）的全球市场份额为6500万美元，各主要产品提供商的市场份额按销售额排列如下：1AMCC38%2IBM19%3Motorola 15%4Intel11%5Agere9%2002年，为应对NPU市场竞争，各个主要厂商平均投入约5000万美元。在该类产品上，目前(mqin)全部厂商均处于亏损状态。目前(mqin)大小厂商共几十家，有些已经逐渐退出或被收购，如Vitesse等，但仍有新厂商不断加入。 共一百一十五页NP技术发展(fzhn)现实二

11、NP产品远未成熟，包括Terago公司倒闭（10Gbit/sNP）NP不少，产品接口却不统一，无法完成无缝的整合；NPU论坛(lntn)（网络处理器论坛(lntn)（NPF）正在推动相关标准的制定，但还很不完善；NP防火墙产品的测试标准并没有推出，有关测试方法的Benchmark都还没有制定出来对复杂应用数据， NP的表现就不令人满意。例如分片数据包的重组和加密的处理。目前在网络数据厂商中，采用NP技术的数量非常有限。共一百一十五页基于NP技术(jsh)的防火墙的发展NP技术与产品的成熟与大规模应用还需要相当长时间基于NP技术开发稳定、高性能的防火墙还有相当距离无疑，NP技术的出现为国内防火墙

12、厂商(chngshng)提供了一个机会共一百一十五页 防火墙概述 防火墙分类 防火墙硬件技术 防火墙软件技术 防火墙设计结构 防火墙构造(guzo)体系 防火墙功能 防火墙性能 防火墙安全性 防火墙的“胖”与“瘦” 防火墙部署 防火墙管理 防火墙可靠性 防火墙典型应用 防火墙技术发展展望提 纲 共一百一十五页现有(xin yu)的防火墙核心技术简单包过滤防火墙状态(zhungti)检测包过滤防火墙应用代理防火墙包过滤与应用代理复合型防火墙 核检测防火墙共一百一十五页应用层表示层会话层传输层网络层链路层物理层应用层表示层会话层传输层网络层链路层物理层网络层链路层物理层优点： 速度(sd)快，性能

13、高 对应用程序透明缺点(qudin)： 安全性低 不能根据状态信息进行控制 不能处理网络层以上的信息 伸缩性差 维护不直观简单包过滤技术介绍共一百一十五页应用层TCP 层IP 层网络接口层TCP101010101IP101010101TCPTCP101010101IPETH101010101TCP101010101IP应用层TCP 层IP 层网络接口层TCP101010101IP101010101TCPTCP101010101IPETH101010101只检查(jinch)报头10100100100101001000001110011110111101100100100101001000001

14、1100111101111011简单包过滤 防火墙的工作(gngzu)原理简单包过滤防火墙不检查数据区简单包过滤防火墙不建立连接状态表前后报文无关应用层控制很弱共一百一十五页应用层表示层会话层传输层网络层链路层物理层应用层表示层会话层传输层网络层链路层物理层状态检测技术(jsh)介绍应用层表示层会话层传输层网络层链路层物理层安全性高能够检测所有进入防火墙网关的数据包根据通信和应用程序状态确定是否允许包的通行性能高在数据包进入防火墙时就进行识别(shbi)和判断伸缩性好可以识别不同的数据包已经支持160多种应用，包括Internet应用、数据库应用、多媒体应用等用户可方便添加新应用对用户、应用程

15、序透明抽取各层的状态信息建立动态状态表共一百一十五页应用层TCP 层IP 层网络接口层TCP101010101IP101010101TCPTCP101010101IPETH101010101TCP101010101IP应用层TCP 层IP 层网络接口层TCP101010101IP101010101TCPTCP101010101IPETH101010101只检查(jinch)报头101001001001010010000011100111101111011001001001010010000011100111101111011状态(zhungti)检测包过滤 防火墙的工作原理不检查数据区建立连接

16、状态表前后报文相关应用层控制很弱建立连接状态表共一百一十五页应用层表示层会话层传输层网络层链路层物理层应用层表示层会话层传输层网络层链路层物理层应用(yngyng)代理技术介绍应用层表示层会话层传输层网络层链路层物理层优点(yudin)： 安全性高 提供应用层的安全缺点： 性能差 伸缩性差 只支持有限的应用 不透明FTPHTTPSMTP共一百一十五页应用层TCP 层IP 层网络接口层TCP101010101IP101010101TCPTCP101010101IPETH101010101TCP101010101IP应用层TCP 层IP 层网络接口层TCP101010101IP101010101T

17、CPTCP101010101IPETH101010101只检查数据101001001001010010000011100111101111011001001001010010000011100111101111011应用代理 防火墙的工作(gngzu)原理不检查IP、TCP报头不建立连接(linji)状态表网络层保护比较弱共一百一十五页应用层TCP 层IP 层网络接口层TCP101010101IP101010101TCPTCP101010101IPETH101010101TCP101010101IP应用层TCP 层IP 层网络接口层TCP101010101IP101010101TCPTCP10

18、1010101IPETH101010101检查整个(zhngg)报文内容101001001001010010000011100111101111011001001001010010000011100111101111011复合型 防火墙的工作(gngzu)原理可以检查整个数据包内容根据需要建立连接状态表网络层保护强应用层控制细会话控制较弱建立连接状态表共一百一十五页应用层TCP 层IP 层网络接口层TCP开始攻击IP开始(kish)攻击TCPTCP开始攻击IPETH开始(kish)攻击 主服务器 硬盘数据TCP开始攻击IP应用层TCP 层IP 层网络接口层TCP开始攻击IP开始攻击TCPTCP

19、开始攻击IPETH开始攻击 主服务器 硬盘数据检查多个报文组成的会话101001001001010010000011100111101111011001001001010010000011100111101111011核检测 防火墙的工作原理建立连接状态表TCP主服务器IPTCP硬盘数据IP开始攻击重写会话主服务器硬盘数据报文1报文2报文3网络层保护强应用层保护戗会话保护很强上下文相关前后报文有联系共一百一十五页防火墙核心技术比较(bjio)综合安全性网络层保护应用层保护应用层透明整体性能处理对象简单包过滤防火墙状态检测包过滤防火墙应用代理防火墙复合型防火墙核检测防火墙单个包报头(botu)单

20、个包报头单个包数据单个包全部一次会话1001001001TCPIP1001001001TCPIP共一百一十五页 防火墙概述 防火墙分类 防火墙硬件技术 防火墙软件技术 防火墙设计(shj)结构 防火墙构造体系 防火墙功能 防火墙性能 防火墙安全性 防火墙的“胖”与“瘦” 防火墙部署 防火墙管理 防火墙可靠性 防火墙典型应用 防火墙技术发展展望提 纲 共一百一十五页软件防火墙设计(shj)结构应用层表示层会话层传输层网络层链路层物理层IPTCPSessionApplicationLog/AlertPacket Matches Rule?Nest RuleDrop the PacketSend N

21、ACKPass the Rule?YESYESNONONO状态检测技术(jsh)防火墙设计结构示例，仅供参考共一百一十五页软硬结合防火墙设计(shj)结构路由模块(m kui)透明模块规则检查还原模块FTP 还原HTTP 还原SMTP 还原POP3 还原日志守护进程病毒守护进程应用层日志病毒应用层过滤KernelApplication 001010101010101111001010100111101010101011连接表在操作系统内核完成应用协议的还原，极大的提高了系统的整体性能共一百一十五页基于内核(ni h)的会话检测技术Clint697001010100101000011111000

22、0010010101001010010010110010010协议(xiy)还原模块协议还原模块输入队列输入队列底层驱动010101001010000111110000010010101001010010010110010010符合安全策略？符合安全策略？防火墙逻辑图010100101001010010010100101001010010010100101001010010010100101001010010010100010101发起请求响应请求虚拟客户端虚拟服务器端在操作系统内核模拟出典型的应用层协议，在内核实现对应用层协议的过滤，从而得到极高的性能共一百一十五页1010010101110

23、00010101000011101001010111000010101000011110100000001100000001111100100100010010000100111110001101001001001001001010010进行规则匹配、应用层过滤频繁(pnfn)在系统核心和应用层之间切换消耗掉大量的系统资源生成大量的进程影响防火墙的性能应用层系统核心101001010111000010101000011101001010111000010101000011100100010010000100111110001101001001001001001010010直接在系统核心进行应用

24、层过滤不需要频繁在系统核心和应用层之间切换在大量并发情况下不会(b hu)生成大量进程，有效的保护系统资源大大提高会话检测的效率应用层系统核心基于内核 的会话检测技术共一百一十五页 防火墙概述 防火墙分类 防火墙硬件技术 防火墙软件技术 防火墙设计结构 防火墙构造体系 防火墙功能 防火墙性能 防火墙安全性 防火墙的“胖”与“瘦” 防火墙部署 防火墙管理 防火墙可靠性 防火墙典型应用 防火墙技术发展(fzhn)展望提 纲 共一百一十五页 筛选(shixun)路由器 多宿主主机 被屏蔽主机 被屏蔽子网防火墙构造(guzo)体系共一百一十五页内部网络外部网络包过滤器进行(jnxng)包过滤筛选(sh

25、ixun)路由器共一百一十五页内部网络外部网络 禁止(jnzh)内外网络之间直接通信双宿主(szh)主机 通过应用代理 通过登陆到双宿主主机上获得服务缺点：如何保护双宿主主机本身的安全 所有的通信必须经过双宿主主机多宿主主机共一百一十五页堡垒(boli)主机进行(jnxng)规则配置，只允许外部主机与堡垒主机通讯互联网对内部其他主机的访问必须经过堡垒主机缺点： 堡垒主机与其他主机在同一个子网 一旦堡垒主机被攻破或被越过，整个内网和 堡垒主机之间就再也没有任何阻挡。不允许外部主机直接访问除堡垒主机之外的其他主机过滤器被屏蔽主机共一百一十五页内部网络外部网络堡垒(boli)主机内部筛选路由器外部筛

26、选路由器禁止内外(niwi)网络直接进行通讯内外部网络之间的通信都经过堡垒主机内部网络外部网络堡垒主机被屏蔽子网共一百一十五页 防火墙概述 防火墙分类 防火墙硬件技术 防火墙软件技术 防火墙设计结构 防火墙构造体系 防火墙功能(gngnng) 防火墙性能 防火墙安全性 防火墙的“胖”与“瘦” 防火墙部署 防火墙管理 防火墙可靠性 防火墙典型应用 防火墙技术发展展望提 纲 共一百一十五页Host C Host D 基本(jbn)的访问控制技术Access list to Access nat to any pass Access to blockAccess default pass101001

27、0101规则匹配(ppi)成功 基于源IP地址 基于目的IP地址 基于源端口 基于目的端口 基于时间基于用户 基于流量 基于文件 基于网址 基于MAC地址共一百一十五页WWW 1WWW 2WWW 3服务器负载(fzi)均衡负载均衡算法：顺序选择地址+权值根据PING的时间间隔(jin g)来选择地址+权值根据Connect的时间间隔来选择地址+权值根据Connect然后发送请求并得到应答的时间间隔来选择地址+权值根据负载均衡算法将数据重定位到一台WWW服务器服务器阵列响应请求共一百一十五页 支持(zhch)第三方认证服务器Internet RADIUS服务器OTP 认证(rnzhng)服务器c

28、henaifeng12354876防火墙将认证信息传给真正的RADIUS服务器进行认证将认证结果传给防火墙支持第三方RADIUS服务器认证支持OTP认证服务器支持TACAS及TACAS+服务器支持S/KEY认证服务器根据认证结果决定用户对资源的访问权限共一百一十五页 分级(fn j)带宽管理Internet WWW MailDNS 财务部子网采购部子网出口(ch ku)带宽 512KDMZ 区保留 256K分配 70K 带宽分配 90K 带宽分配 96K 带宽DMZ 区域内部网络总带宽512 K内网256 KDMZ 256 K70 K90 K96 K+财务子网采购子网生产子网生产部子网共一百一

29、十五页 日志(rzh)分析不做日志做通信日志：即传统日志通信源地址、目的地址、源目端口、通信时间、通信协议、字节数、是否允许通过做应用层命令日志：在通信日志的基础之上，记录下各个应用层命令及其参数。例如HTTP请求及其要取的网页名。做访问日志：即在通信日志的基础之上，记录下用户对网络资源的访问。它和应用层命令日志的区别(qbi)是：应用层命令日志可以记录下大量的数据，有些用户可能不需要，如协商通信参数过程等。例如针对FTP协议，访问日志只记录下读、写文件的动作 做内容日志：即在应用层命令日志的基础之上，还记录下用户传输的内容。如用户发送的邮件，用户取下的网页等。但因为这个功能涉及到隐私问题，所

30、以在普通的防火墙中没有包含 Firewall 5G 对所有的应用层协议都可以进行通信日志，而命令日志、访问日志、内容日志目前支持HTTP、FTP、SMTP、POP3、TELNET、RSH、RLOGIN等协议 提供日志分析工具自动产生各种报表，智能化的指出网络可能的安全漏洞共一百一十五页Clint响应(xingyng)请求发送(f sn)请求通信日志通信日志通信信息6970 做通信日志共一百一十五页Clint响应(xingyng)请求发送(f sn)请求命令日志命令日志6970 做应用层命令日志命令信息共一百一十五页Clint响应(xingyng)请求发送(f sn)请求访问日志访问日志6970

31、 做访问日志访问信息共一百一十五页Clint响应(xingyng)请求发送(f sn)请求内容日志内容日志6970 做内容日志内容信息共一百一十五页Host C Host D Host B Host A 受保护(boh)网络InternetIDS黑客(hi k)发起攻击发送通知报文验证报文并采取措施发送响应报文识别出攻击行为阻断连接或者报警等与 IDS 的安全联动共一百一十五页与病毒(bngd)服务器的安全联动Internet110010101病毒(bngd)服务器100010101000010101待发数据1100101011000101010000101011100101011000101

32、01000010101passpass无病毒转发最后一个报文，如带有病毒则丢弃最后一个报文协议还原 检查病毒没有发现病毒可以放过最后一个报文接收数据接收数据共一百一十五页与内容(nirng)服务器的安全联动Internet内容(nirng)安全服务器来自外部的数据101010011010111011010001进行访问控制提交给内容安全服务器进行处理进行病毒、恶意JAVA或ActiveX程度的过滤利用提供的安全产品协作平台实现（ICSP协议的典型应用）ICSP协议是用来实现NGFW与信息内容检查系统之间的有机联动共一百一十五页与URL服务器的安全(nqun)联动内部(nib)网络Interne

33、tURL 服务器可以访问 吗？Ok!通过T-SCP安全产品协作平台实现防火墙与URL服务器的互动，从而控制对外部WEB站点的访问共一百一十五页 双地址(dzh)路由功能中国教育网InternetHost A：Host B：Host C：内网根据源、目地址(dzh)来进行路由主机B直接连接Internet主机A通过教育网上Internet共一百一十五页InternetHost A Host BHost CHost D00-50-04-BB-71-A600-50-04-BB-71-BCBIND To 00-50-04-BB-71-A6BIND To 00-50-04-BB-71-BCIP与MAC地

34、址绑定后，不允许(ynx)Host B假冒Host A的IP地址上网防火墙允许(ynx)Host A上网跨路由器IP与MAC（用户）的绑定共一百一十五页对DHCP应用环境的支持(zhch)InternetDHCP服务器Host AHost BHost CHost DHost EHost F没有(mi yu)固定IP地址只允许Host B上网设定Host B的MAC地址设定Host B的IP地址为空根据Host B的MAC地址进行访问控制共一百一十五页客户机建立连接(linji)并维持连接(linji)状态直到查询结束对长连接(linji)应用的支持FR数据库查询一般需要比较长的时间，这些通讯连

35、接建立成功后可能暂时没有数据通过（空连接），需要在防火墙里面维护这个连接状态，直到查询结束，普通防火墙在连接建立一段时间后如果没有数据通讯会自动切断连接，导致业务不能正常运行需要较长的查询时间共一百一十五页Internet 公开服务器可以使用(shyng)私有地址 隐藏内部网络的结构WWW FTP MAIL DNS MAP ：80 TO ：80MAP ：21 TO ：21MAP ：53 TO ：53MAP ：25 TO ：25MAP (端口映射)共一百一十五页Internet4Host A受保护网络Host C Host D 15防火墙Eth2：3Eth0：数据IP报头数据IP报头源地址：1目

36、地址(dzh)：4源地址：目地址(dzh)：4 隐藏了内部网络的结构 内部网络可以使用私有IP地址 公开地址不足的网络可以使用这种方式提供IP复用功能NAT (地址转换)共一百一十五页Host C Host D Host B Host A 受保护(boh)网络日志(rzh)服务器InternetInternet 本机保存日志：将日志输给日志服务器日志分析信息审计事后追踪日志容错MySql数据库安装一个软件不需要FTP服务共一百一十五页时间(shjin)策略在访问(fngwn)策略中配置某条规则起作用的时间假如配置了时间策略，防火墙在规则匹配时将跳过那些当前时间不在策略时间段内的规则注意：这个时

37、间段不是允许访问的时间段，而是指规则起作用的时间段Host C Host D 在防火墙上制定基于时间的访问控制策略上班时间不允许访问Internet上班时间可以访问公司的网络Internet共一百一十五页对OSPF路由协议(xiy)的支持对RIP、RIP2协议的支持对NETBEUI、VOD协议的支持支持 802.1q 和 Cisco 的 ISL 协议 等VLAN专用协议 支持DHCP、BOOTP协议多协议(xiy)支持共一百一十五页 防火墙概述 防火墙分类 防火墙硬件技术 防火墙软件技术 防火墙设计结构 防火墙构造体系 防火墙功能 防火墙性能(xngnng) 防火墙安全性 防火墙的“胖”与“瘦

38、” 防火墙部署 防火墙管理 防火墙可靠性 防火墙典型应用 防火墙技术发展展望提 纲 共一百一十五页 常见(chn jin)防火墙性能指标最大位转发率吞吐量延时丢包率背靠背最大并发连接数最大并发连接(linji)建立速率最大策略数平均无故障间隔时间支持的最大用户数共一百一十五页最大位转发(zhun f)率定义：防火墙的位转发率指在特定负载下每秒钟防火墙将允许的数据流转发至正确的目的接口的位数。最大位转发率指在不同的负载下反复(fnf)测量得出的位转发率数值中的最大值 100100100100100010101Smartbits 6000B 测试仪1011001010000111110010100

39、10001001000在特定负载下防火墙正确转发的数据流位数备注：将测试结果乘以帧长就是位转发率共一百一十五页 吞吐量定义：在不丢包的情况下能够达到的最大速率衡量标准：吞吐量作为衡量防 火墙(huqing)性能的重要指标之一,吞吐量小就会造成网络新的瓶颈，以至影响到整个网络的性能 ;%#*$&*&#*(&Smartbits 6000B 测试仪101100101000011111001010010001001000以最大速率(sl)发包直到出现丢包时的最大值防火墙吞吐量小就会成为网络的瓶颈100M60M共一百一十五页 吞吐量测试(csh)结果共一百一十五页数据包首先排队(pi du)待防火墙检查

40、后转发延时定义：入口处输入帧最后1个比特到达(dod)至出口处输出帧的第一个比特输出所用的时间间隔衡量标准：防火墙的时延能够体现它处理数据的速度 10101001001001001010Smartbits 6000B 测试仪101100101000011111001010010001001000最后1个比特到达第一个比特输出时间间隔101010011100111010101001110011101010010010100100010100010101010100100100100100100010造成数据包延迟到达目标地共一百一十五页延时测试(csh)结果共一百一十五页丢包率定义(dngy)：

41、在连续负载的情况下，防火墙设备由于资源不足应转发但却未转发的帧百分比 衡量标准：防火墙的丢包率对其稳定性、可靠性有很大的影响 Smartbits 6000B 测试仪发送(f sn)了1000个包防火墙由于资源不足只转发了800个包丢包率=（1000-800）/1000=20%1001010100101001000100100110010101001010010001001001共一百一十五页丢包率测试(csh)结果共一百一十五页背靠背定义：从空闲状态开始，以达到传输介质最小合法间隔极限的传输速率发送相当数量的固定长度的帧，当出现第一个帧丢失时，发送的帧数。衡量标准：背对背包的测试结果能体现出被

42、测防火墙的缓冲容量 ,网络上经常有一些应用会产生大量的突发数据包（例如：NFS,备份，路由更新等），而且这样的数据包的丢失可能(knng)会产生更多的数据包，强大缓冲能力可以减小这种突发对网络造成的影响Smartbits 6000B 测试仪时间(shjin)（t）包数量（n）少量包包增多峰值包减少没有数据背靠背指标体现防火墙对突发数据的处理能力共一百一十五页背靠背测试(csh)结果共一百一十五页 防火墙概述 防火墙分类 防火墙硬件技术 防火墙软件技术 防火墙设计结构 防火墙构造体系 防火墙功能 防火墙性能 防火墙安全性 防火墙的“胖”与“瘦” 防火墙部署 防火墙管理 防火墙可靠性 防火墙典型(

43、dinxng)应用 防火墙技术发展展望提 纲 共一百一十五页Intranet DOS/DDOS攻击(gngj)遭受(zoshu)拒绝服务攻击产生的后果：服务器计算资源被耗尽网络带宽资源被耗尽防火墙如何在抗DOS/DDOS攻击中发挥作用？共一百一十五页抗DOS/DDOS攻击(gngj)-SYN代理Syn-Cookie（主机）/Syn-Gate（网关） 在服务器和外部网络之间部署(b sh)代理服务器通过代理服务器发送Syn/Ack报文，在收到客户端的Syn包后，防火墙代替服务器向客户端发送Syn/Ack包，如果客户端在一段时间内没有应答或中间的网络设备发回了ICMP错误消息，防火墙则丢弃此状态信

44、息如果客户端的Ack到达，防火墙代替客户端向服务器发送Syn包，并完成后续的握手最终建立客户端到服务器的连接。通过这种Syn-Cookie技术，保证每个Syn包源的真实有效性，确保服务器不被虚假请求浪费资源，从而彻底防范对服务器的Syn-Flood攻击。 SYNSYN/ACKACKSYNSYN/ACKACKSYNSYN/ACKACKClientServer 共一百一十五页 防火墙概述(i sh) 防火墙分类 防火墙硬件技术 防火墙软件技术 防火墙设计结构 防火墙构造体系 防火墙功能 防火墙性能 防火墙安全性 防火墙的“胖”与“瘦” 防火墙部署 防火墙管理 防火墙可靠性 防火墙典型应用 防火墙技

45、术发展展望提 纲 共一百一十五页防火墙的“胖”与“瘦” 由于防火墙在网络中所处的重要(zhngyo)位置，因此，人们对防火墙可以说是寄予厚望。现在防火墙正在不断增加各种各样的新功能，因此防火墙正在急剧“长胖”。共一百一十五页“胖”防火墙是指功能大而全的防火墙，它力图将安全功能尽可能多地包含在内，从而成为用户网络的一个安全平台；“瘦”防火墙是指功能少而精的防火墙，它只作访问控制的专职工作，对于综合安全解决方案，则采用多家安全厂商(chngshng)联盟的方式来实现。 “胖”、“瘦”防火墙的定义(dngy)共一百一十五页胖防火墙的优势(yush)首先是功能全其次是控制力度(ld)细第三是协作能力强

46、降低采购和管理成本共一百一十五页胖防火墙的不足(bz)主要表现在性能降低(jingd)其次是自身安全性差还有专业性不强，表现为功能模块的拼凑第四是稳定性差，系统越大，BUG越多最后是配置复杂，不合理的配置会带来更大的安全隐患。 共一百一十五页瘦防火墙的优势(yush)首先是性能高其次是注重核心功能，专业性强第三是整体安全性更高最后一点是配置简单，简化(jinhu)对管理员的专业要求。 共一百一十五页瘦防火墙的不足(bz)首先(shuxin)是功能单一其次是整体防护能力较弱共一百一十五页胖瘦防火墙之争一种观点认为，要采取分工协作，防火墙应该做得精瘦，只做防火墙的专职工作，可采取多家安全(nqun

47、)厂商联盟的方式来解决；另一种观点认为，把防火墙做得尽量的胖，把所有安全功能尽可能多地附加在防火墙上，成为一个集成化的网络安全平台。 共一百一十五页用户(yngh)的价值取向一 “胖”防火墙追求的是一站式服务，目前它只适应中小型企业，尤其(yuq)是低端用户。他们出于经济上的考虑以及管理上的成本，更主要的是出于安全的实际需求，希望一个设备可以为这种小型网络实现整体安全防护，所以对这种大而全的“胖”东西非常感兴趣。 共一百一十五页用户的价值(jizh)取向二 大型用户倾向使用独立安全设备，发挥每种产品(chnpn)最大效果。安全需求广泛，专业性要求强，安全投入较大，自身安全管理能力较高。针对这类

48、用户，为了要满足多种安全需求，在设计安全解决方案时，通常会考虑以安全管理为核心，以多种安全产品的联动为基础，如防火墙与IDS和防病毒全面互动形成动态防御体系。共一百一十五页防火墙：胖瘦总相宜(xingy) 随着安全需求的细化、硬件计算能力的增加，胖防火墙和瘦防火墙之间的界限(jixin)也会逐步走向统一。一方面硬件处理能力的大幅度提高（ASIS芯片、NP等）使得防火墙可以集成更多的功能模块成为可能；另一方面安全标准技术的推进，使得不同安全产品之间的联动变得更加容易，这样推出功能更简单性能更高且支持标准联动协议的专业防火墙更为适应市场的需要。以后更多的趋势是考虑现有成熟安全产品之间如何通过标准的

49、协议和接口进行更好的互动，从而构建一个相当于“胖防火墙”作用的整体防御体系，这个体系将更加灵活、方便、易于构建，而且会具有更大的可扩展性。共一百一十五页构建联动(lin dn)一体的安全体系 无论是“胖”防火墙的集成，还是“瘦”防火墙的联动，安全产品正在朝着体系化的结构发展，所谓“胖瘦”不过是这种体系结构的两种表现方式，“胖”将这种体系表现在一个产品中，而“瘦”将这种体系表现在一组产品或是说一个方案中。同时，这种体系化的结构需要完善的安全管理，也就是说，通过安全管理中心产品，整合系列安全产品，构架成联动一体的产品体系，实现对用户、资源和策略(cl)的统一管理，确保整体解决方案的安全一致性，是构

50、建网络安全系统的大趋势。 共一百一十五页 防火墙概述(i sh) 防火墙分类 防火墙硬件技术 防火墙软件技术 防火墙设计结构 防火墙构造体系 防火墙功能 防火墙性能 防火墙安全性 防火墙的“胖”与“瘦” 防火墙部署 防火墙管理 防火墙可靠性 防火墙典型应用 防火墙技术发展展望提 纲 共一百一十五页受保护(boh)网络Internet如果防火墙支持(zhch)透明模式，则内部网络主机的配置不用调整Host A Host CHost DHost B同一网段透明模式下，这里不用配置IP地址透明模式下，这里不用配置IP地址Default Gateway=防火墙相当于网桥，原网络结构没有改变NO.1 透

51、明接入共一百一十五页受保护(boh)网络InternetHost A Host CHost DHost BDefault Gateway=防火墙相当于一个(y )简单的路由器67提供简单的路由功能NO.2 路由接入共一百一十五页 防火墙概述 防火墙分类 防火墙硬件技术 防火墙软件技术 防火墙设计结构 防火墙构造体系 防火墙功能 防火墙性能 防火墙安全性 防火墙的“胖”与“瘦” 防火墙部署 防火墙管理 防火墙可靠性 防火墙典型(dinxng)应用 防火墙技术发展展望提 纲 共一百一十五页管理(gunl)机本地(bnd)串口管理本地串口管理比较安全但是缺乏灵活性，用户必须在现场才能进行操作防火墙的

52、初始化配置一般都通过串口来进行设置，比如各个接口的IP地址、路由信息等共一百一十五页防火墙集中管理广域网 通过集中(jzhng)管理器实现了对防火墙的集中管理防火墙集中(jzhng)管理器共一百一十五页防火墙集中管理 DEMO 演示(ynsh)共一百一十五页受保护(boh)网络SNMP报文获取硬件配置信息资源使用(shyng)状况信息防火墙的流量信息防火墙的连接信息防火墙的版本信息防火墙的用户信息防火墙的规则信息防火墙的路由信息SNMP服务器端SNMP客户端(HP OpenView)SNMP 管理InternetInternet 共一百一十五页SNMP 管理(gunl)演示共一百一十五页 防火

53、墙概述 防火墙分类 防火墙硬件(yn jin)技术 防火墙软件技术 防火墙设计结构 防火墙构造体系 防火墙功能 防火墙性能 防火墙安全性 防火墙的“胖”与“瘦” 防火墙部署 防火墙管理 防火墙可靠性 防火墙典型应用 防火墙技术发展展望提 纲 共一百一十五页防火墙双机热备内部网外网或者不信任域Eth 0Eth 0Eth1Eth1Eth2Eth2心跳(xn tio)线Active FirewallStandby Firewall检测(jin c)Active Firewall的状态发现出故障，立即接管其工作 正常情况下由主防火墙工作主防火墙出故障以后，接管它的工作Hub or SwitchHub

54、or Switch通过STP协议可以交换两台防火墙的状态信息当一台防火墙故障时，这台防火墙的连接不需要重新建立就可以透明的迁移到另一台防火墙上，用户不会察觉到共一百一十五页防火墙接口(ji ku)备份子网A外网或者不信任域HubHub子网BHubeth0eth1eth2eth3eth0eth1eth2eth3前提：防火墙工作在负载均衡模式下如果某台防火墙的一个接口出现故障，另外一台均衡防火墙的接口将接管故障接口的全部通信故障防火墙的其他接口则继续(jx)参与通信eth1 发生故障0# 墙1# 墙eth2 接管 eth1接口的全部通信eth20# 墙的其他接口继续参与通信状态同步端口共一百一十五

55、页防火墙负载(fzi)均衡内部网外网或者不信任域Eth 0Eth 0Eth1Eth1Eth2Eth2心跳(xn tio)线0 #1 #检测 0 # Firewall的状态发现出故障，立即接管其工作 防火墙根据与0 # 防火墙一起工作HubHub共一百一十五页防火墙自动检测和恢复(huf)机制在防火墙硬件系统中嵌入 WatchDog 电路在防火墙核心软件中增加对 WatchDog 电路的支持一旦 WatchDog 电路发现防火墙核心软件运行(ynxng)出现严重错误将产生硬件复位信号，促使核心系复位并重新启动通过这种自动检测和恢复机制，尽量减少因防火墙系统意外宕机带来的损失共一百一十五页 防火墙概述 防火墙分类 防火墙硬件技术 防火墙软件技术 防火墙设计结构 防火墙构造体系 防火墙功能 防火墙性能 防火墙安全性 防火墙的“胖”与“瘦” 防火墙部署 防火墙管理 防火墙可靠性 防火墙典型应用(yngyng) 防火墙技术发展展望提 纲 共一百一十五页总部 如何(rh)保证防火墙的状态同步