《2 防火墙培训.ppt》由会员分享,可在线阅读,更多相关《2 防火墙培训.ppt(70页珍藏版)》请在taowenge.com淘文阁网|工程机械CAD图纸|机械工程制图|CAD装配图下载|SolidWorks_CaTia_CAD_UG_PROE_设计图分享下载上搜索。
1、2 防火墙培训防火墙培训殷凯殷凯殷凯殷凯防火墙的作用防火墙的作用过滤进出网络的数据包;过滤进出网络的数据包; 管理进出网络的访问行为;管理进出网络的访问行为; 封堵某些禁止的访问行为;封堵某些禁止的访问行为; 记录通过防火墙的信息内容和活动;记录通过防火墙的信息内容和活动; 对网络攻击进行检测和告警对网络攻击进行检测和告警能过滤大部分的危险端口能过滤大部分的危险端口设置严格的外向内的状态过滤规则设置严格的外向内的状态过滤规则抵挡大部分的拒绝服务攻击抵挡大部分的拒绝服务攻击加强了访问控制能力加强了访问控制能力殷凯防火墙的局限性防火墙的局限性对新出现的漏洞和攻击方式不能迅速提供有对新出现的漏洞和攻
2、击方式不能迅速提供有效的防御方法效的防御方法管理困难管理困难,容易出现配置的安全误区容易出现配置的安全误区,并且紧急并且紧急情况下无法做到迅速响应情况下无法做到迅速响应性能和稳定性制约了大范围的使用性能和稳定性制约了大范围的使用不能关闭需提供对外服务的端口不能关闭需提供对外服务的端口殷凯殷凯殷凯殷凯殷凯殷凯殷凯殷凯殷凯殷凯殷凯殷凯 1纯硬防火墙:纯硬防火墙:一般分为一般分为ASIC(专用集成电路)、(专用集成电路)、NP(通用网络处理器(通用网络处理器)和)和FPCA 3种核心处理器种核心处理器-同时同时 采用采用MIPSARMPOWER PCRISA芯片的芯片的CPU平平台处理器(台处理器(
3、CPU的成本低)的成本低)ASIC:如:如NETSCREEN,原理上性能最好,缺点是设计复杂、开发周期长,改动,原理上性能最好,缺点是设计复杂、开发周期长,改动不灵活(需要更换芯片);随着通用硬件的发展,在百兆通常的应用上已经没有优不灵活(需要更换芯片);随着通用硬件的发展,在百兆通常的应用上已经没有优势;性能价格比也不占优,在千兆上优势明显。势;性能价格比也不占优,在千兆上优势明显。NP:网络处理器是一种非基于:网络处理器是一种非基于ASIC的的IC或或IC芯片组,利用软件编程,可以像芯片组,利用软件编程,可以像ASIC那样快速地处理数据包。同时升级芯片上的固件增加新的那样快速地处理数据包。
4、同时升级芯片上的固件增加新的 功能,其固件可以功能,其固件可以有网络设备商或第三方加载到处理器中。厂商有有网络设备商或第三方加载到处理器中。厂商有INTER、IBM、摩托罗拉、摩托罗拉、SIBYTE等公司。等公司。国内出现的一般使用国内出现的一般使用INTEL的的NPU,原理上性能界于,原理上性能界于ASIC和通用和通用INTEL构架之间构架之间;灵活性也是在中间。国内目前大多采用;灵活性也是在中间。国内目前大多采用INTER IXP1200 处理能力低,一般需要处理能力低,一般需要多片并行工作才能满足需求,还需要其他协处理芯片配合,对硬件设计能力要求较多片并行工作才能满足需求,还需要其他协处
5、理芯片配合,对硬件设计能力要求较高,最终成本不会太低同样在百兆通常的应用上已经没有优势;同时在百兆级未见高,最终成本不会太低同样在百兆通常的应用上已经没有优势;同时在百兆级未见应用,千兆国内有几家在开发。应用,千兆国内有几家在开发。FPCA可编程芯片。可编程芯片。防火墙防火墙形态形态殷凯防火墙防火墙形态形态2纯软防火墙:纯软防火墙:CHECKPOINT、SYMACTEC3.软硬一体化防火墙:软硬一体化防火墙:决大多数国产防火墙。决大多数国产防火墙。PCPC硬件硬件+ +通用操通用操作系统作系统+ +防火墙软件模块,在硬件平台上运行防火墙软件模块,在硬件平台上运行LinuxLinux、FreeB
6、SDFreeBSD、SolarisSolaris等经等经 过最小化安全处理后的操作系统及继承的防火墙软件。基过最小化安全处理后的操作系统及继承的防火墙软件。基于共享系统总成,接口以及于共享系统总成,接口以及CPU的处理能力不可能成倍增加,共享总的处理能力不可能成倍增加,共享总线的架构还直接与防火墙网卡的各种性能有关,网卡越多,性能影响线的架构还直接与防火墙网卡的各种性能有关,网卡越多,性能影响越大越大殷凯殷凯殷凯殷凯殷凯殷凯殷凯殷凯殷凯殷凯殷凯殷凯殷凯殷凯殷凯殷凯殷凯殷凯殷凯殷凯殷凯殷凯殷凯殷凯殷凯殷凯殷凯殷凯殷凯对对H.323H.323协议的支持协议的支持对对PPPOEPPPOE和和PPPP
7、PP协议的支持协议的支持殷凯殷凯殷凯殷凯殷凯透明的网络连接透明的网络连接混合模式混合模式 10.0.0.2/24网关:10.0.0.110.0.0.3/24网关:10.0.0.1E1:10.0.0.1/24E3:127.0.0.211.0.0.2/2411.0.0.3/24网关:11.0.0.2E2:127.0.0.3 12.0.0.2/24网关:12.0.0.1E0:12.0.0.1网关:11.0.0.2殷凯殷凯殷凯殷凯殷凯殷凯殷凯殷凯殷凯殷凯殷凯走出非军事化区的误区走出非军事化区的误区- 设立非军事化区(设立非军事化区(DMZ)的最大意义)的最大意义- 设置防火墙时,务必要严格遵守一条黄金
8、法则设置防火墙时,务必要严格遵守一条黄金法则- 但在实际操作中,执行上述法则存在难度但在实际操作中,执行上述法则存在难度-怎么办?怎么办?殷凯最简单安全的防火墙架构最简单安全的防火墙架构 Internet 外网区外网区办公办公PC机机内网区内网区办公办公PC机机殷凯貌似安全的防火墙架构貌似安全的防火墙架构 Internet 外网区外网区WWW Server内网区内网区办公办公PC机机殷凯最安全的防火墙架构最安全的防火墙架构WWW Server Internet非军事化区非军事化区(DMZ区区) 外网区外网区Mail Server内网区内网区殷凯不安全的防火墙架构不安全的防火墙架构WWW Server Internet非军事化区非军事化区(DMZ区区) 外网区外网区Mail Server内网区内网区DB Server殷凯WWW Server Internet非军事化区非军事化区(DMZ区区) 外网区外网区Mail Server内网区内网区DB Server次非军事化区次非军事化区殷凯