资源描述
单击此处编辑母版标题样式,单击此处编辑母版文本样式,第二级,第三级,第四级,第五级,*,单击此处编辑母版标题样式,单击此处编辑母版文本样式,第二级,第三级,第四级,第五级,*,*,网神信息技术(北京)股份有限公司,员工技术培训课程,防火墙技术培训,2013-002,培训讲师:郭辰,1,课程目标,防火墙的基本概念,网神防火墙产品线、产品特点,网神防火墙工作原理、产品技术,网神防火墙的典型应用、标准部署方案,2,2025/4/18 周五,一、,防火墙概述,目录,二、网神防火墙,三、典型应用、部署方案,3,2025/4/18 周五,一、防火墙概述,目录,防火墙概念,1,防火墙作用,3,相关知识与常见述语,4,技术发展,2,4,2025/4/18 周五,防火墙概念,防火墙,Firewall,在安全需求不同的网络区域之间,通过即定原则对网络通信强制实施访问控制的安全设备。,边界防护,信任网络,非信任网络,5,2025/4/18 周五,防火墙概念,防火墙是一款具备安全防护功能网络设备,路由、交换,攻击防护,日志记录,冗余设计,访问控制,虚拟专网,6,2025/4/18 周五,防火墙作用,对数据包的,安全处理,禁止,允许,其他附加功能,路由器功能,NAT,动、静态路由,日志,7,2025/4/18 周五,防火墙作用,-2,错误或不当的配置,容易引发灾难性的网络后果。,对不经过自身的网络数据无法控制,由其是内部网络之间。,典型边界防护设备,策略配置相对复杂、专业,1,、无法解决,TCP/IP,协议洞导到的安全威胁。,2,、很难解决应用层的安全威胁。,3,、数据包的深层分析严重影响性能。,L24,过滤设备,局限性,8,2025/4/18 周五,防火墙特点,防火墙的多功能与性能成反比,防火墙的安全性与性能成反比,防火墙的安全性与易操作成反比,9,2025/4/18 周五,相关知识与术语,-,术语,吞吐量,定 义:在不丢包的情况下能够达到的最大速率。,衡量标准:吞吐量作为衡量防火墙性能的重要指标。,百分比越大,速率越大证明设备的性能越高,。,参数单位:线速百分比 或 流量速率。,海量数据,通过的数据,以最大速率发包,直到出现丢包时的取最大值,100M,60M,极限值,测试仪,测试仪,10,2025/4/18 周五,相关知识与术语,-,术语,并发连接数,定 义:指在同一时间点上,防火墙所能维护的最大网络连接数。,衡量标准:防火墙建立和维持网络连接的性能,,并发连接数越大的防火,墙适应大流量的网络的能力就越强。,参数单位:个,CLIENT,SERVER,持续最大,11,2025/4/18 周五,相关知识与术语,-,术语,包过滤,根据预调置的包过滤规则,对穿越自身的网络数据包采取允许通过或禁止丢弃的功能。,规则的检查项目以,源地址、目的地址、源端口、目的端口、协议,这五项被称之为,五元组,的要素组成,有时还会附加源、目的,MAC,、时间、进出接口等要素。,12,2025/4/18 周五,相关知识与术语,-,术语,透明模式,透明模式部署是一种修改网络拓扑比较小的部署方式,这种部署方式,,不需要对原有网络设备进行配置上的变更,,就可以新增部署防火墙。能够适应这种部署方式的防火墙配置方法称之为透明模式。,在这种工作模式下,,防火墙不对数据包做任何三层(路由)转发工作。但是会做二层(交换)转发工作。,13,2025/4/18 周五,相关知识与术语,-,术语,HA,“高可用性”(,High Availability,)通常指一个系统通过专门的设计与技术,减少或消除因单一故障导致整个系统无法使用的情况,保障整体系统的可用性。,是网络环境中消除单点故障的主要手段之一。,在防火墙产品来说,,HA,通常都是指双机或多机备份、集群,。在同一网络节点部署配置“相同”的多台防火墙,避免因为一台设备故障导致断网。,14,2025/4/18 周五,相关知识与术语,-,动态服务,动态服务,特指,TCP,应用中,在客户端通过一个,固定端口,登录服务器端,并与服务器协商出一个新的,随机通讯端口,,随后,使用通迅端口传输后续数据,。,常见动态服务有,FTP,被动模式、,SQL-NET,、,PPTP,(,GRE-VPN,)、,H.323,、,SIP,等,源,IP:,1.1.1.1,目的,IP:,10.10.10.10,源端口,:,1024,目地端口,:,80,数据,源,IP:,10.10.10.10,目的,IP:,1.1.1.1,源端口,:,80,目地端口,:,1024,数据,1.1.1.1,:,1024,10.10.10.10:80,15,2025/4/18 周五,小结,防火墙概念,1,防火墙作用,3,相关知识与常见述语,4,技术发展,2,10%,16,2025/4/18 周五,二、网神防火墙,目录,防火墙产品线,1,防火墙核心技术,3,防火墙应用技术,4,防火墙工作原理,2,17,2025/4/18 周五,防火墙产品线,防火墙,访问控制,线速防火墙,千兆高端,千兆 中端,百兆高端,百兆低端,G60,系列,G30,系列,F10,系列,G7,系列,F6,系列,F3,系列,F1,系列,万兆,X,系列,G40,系列,18,2025/4/18 周五,新命名防火墙产品线,A1500,系列,企业级防火墙,网络处理能力,800M,到,2G,。并发连接发大于等于,140,万,,1U,机箱,单电源(不可扩展),标配,4,到,6,个,10/100/1000M,自适应电口。,A3000,系列,多核处理器架构,网络处理能力,5G-8G,。并发连接发大于等于,220,万到,260,万不等,,2U,机箱,冗余电源(个别型号),标配,4,到,6,个,10/100/1000M,自适应电口。,4,个,SFP,插槽。,19,2025/4/18 周五,新命名防火墙产品线,A5000,系列,多核处理器架构,网络处理能力,6G-10G,,并发连接数大于,260,万或大于等于,300,万。,2U,机箱,冗余电源(个别型号),,6,个十百千自适应电口,,4,个,SFP,插槽。支持液晶屏显示。,A9000,系列,电信级高端千兆线速防火墙,多核,+,二维矩阵,ASIC,架构,网络处理能力,8G-12G,,,64G,小包王,10G,线速,并发连接大于等于,360,万,,2U,机箱,冗余双电源,,10,个十百千自适应电口,,10,个,SFP,插槽。,20,2025/4/18 周五,新命名防火墙产品线,A10000,系列,万兆核心级防火墙,多核,+ASCI,处理架构,网络处理能力,40G,并发连接数,400,万,标准,2U,机箱,冗余电源,标准配置,8,个万兆,SFP+,插槽,,10,个千兆,SFP,插槽,,2,个十百千自适应电口。,21,2025/4/18 周五,核心技术,-,多核,AC,架构,22,2025/4/18 周五,核心技术,-,高适用性,多种接入模式:支持透明、路由、混合模式,多纯透明子桥和接口联动(唯一),多条,ADSL,(最多支持,3,条)同时拨号和自动负载均衡方式(唯一),支持基于应用(,ARP/PING/TCP/HTTP,)的链路探测(唯一),多出口(最多支持,6,条)的路由自动负载均衡和故障线路切换设计(唯一),支持,DNS,中继及自动寻找上级,DNS,服务器功能(唯一),支持源,/,目的地址路由、支持基于协议的策略路由、,MERIC,路由、动态路由,OSPF,、,RIP,协议,支持,3G,网络安全接入,支持,MPLS,网络接入,23,2025/4/18 周五,防火墙工作原理,-,简,安全功能,网络功能,安全功能,抗攻击 蠕虫过滤,安全规则,P2P/IM,限制,带宽管理 连接限制,用户认证,网络功能,二层转发 三层转发,链路探测,HA+VRRP,ADSL,接入,IP,与,MAC,绑定,网口联动,24,2025/4/18 周五,防火墙工作原理,-OSI,与防火墙,应用层,Application,网络层,Internet,传输层,Transport,链路层,Link,IM/P2P,限制、,URL,过滤、,URL,重定向、代理规则与定义,电源、物理连线、接口工作模式、速率协商、,VLAN,标记与,TRUNK,、,MAC,地址表,、桥转发表、端口联动、透明桥。,MAC,与,IP,绑定、对象定义,-,地址、接口,IP,、路由(静态、动态)、,DHCP,等,安全规则,、对象定义,-,服务(动态服务)、抗攻击、蠕虫过滤、安全助手、链路探测,25,2025/4/18 周五,防火墙工作原理,-1,丢弃,网卡,抗攻击,IP/MAC,绑定,26,2025/4/18 周五,防火墙工作原理,-2,VPN,判断,本地服务,协议判断,VPN,解密,本地处理,特殊模块处理,是,否,否,是,IP,协议,非,TCP/IP,协议,27,2025/4/18 周五,防火墙工作原理,-3A,状态表,匹配,3B,否,安全规则,高级选项,路由表,否,是,路由,VPN,VPN,加密,丢弃,是,否,转发,转发,28,2025/4/18 周五,防火墙工作原理,-3B,状态表,否,3A,匹配,VPN,加密,否,是,路由表,加密,VPN,丢弃,转发,转发,安全,规则,丢弃,匹配,创建状态表,路由表,是,否,否,路由,VPN,VPN,加密,转发,29,2025/4/18 周五,应用技术,-,状态包过滤,源,IP,:,A,目的,IP,:,B,源端口:,C,目地端口:,D,数据,源,IP,:,A,目的,IP,:,B,源端口:,C,目地端口:,D,数据,A,:,C,B,:,D,30,2025/4/18 周五,应用技术,-,状态包过滤,安全规则,$%*&()(%*&*)(%*&*,)(%*&*)(%*&*)(%*&*,)(%*&*)(%*&*)(%*&*,)(%*&*)(%*&%(&()*LJBVG,)(%*&*)(%*&*RTY%$%,(*%$($%:LJHL*(&)*LHKJ,%(&()*LJBVGJ$%GHLJJ,)(%*&*)(%*&*)(%*&*,)(%*&*)(%*&%(&()*LJBVG,)(%*&*)(%*&*RTY%$%,(*%$($%:LJHL*(&)*LHKJ,%(&()*LJBVGJ$%GHLJJ,)(%*&*)(%*&*)(%*&*,)(%*&*)(%*&%(&()*LJBVG,)(%*&*)(%*&*RTY%$%,(*%$($%:LJHL*(&)*LHKJ,%(&()*LJBVGJ$%GHLJJ,)(%*&*)(%*&*)(%*&*,)(%*&*)(%*&%(&()*LJBVG,)(%*&*)(%*&*RTY%$%,(*%$($%:LJHL*(&)*LHKJ,%(&()*LJBVGJ$%GHLJJ,)(%*&*)(%*&*)(%*&*,)(%*&*)(%*&%(&()*LJBVG,)(%*&*)(%*&*RTY%$%,(*%$($%:LJHL*(&)*LHKJ,%(&()*LJBVGJ$%GHLJJ,)(%*&*)(%*&*)(%*&*,)(%*&*)(%*&%(&()*LJBVG,)(%*&*)(%*&*RTY%$%,(*%$($%:LJHL*(&)*LHKJ,%(&()*LJBVGJ$%GHLJJ,状态表,五元组等,高性能,高安全性,易配置,31,2025/4/18 周五,应用技术,-HA,保障网络可用,不改变逻辑拓扑,32,2025/4/18 周五,应用技术,-HA,33,2025/4/18 周五,应用技术,-HA,从,主,HA,基本功能,-,状态同步,处于,HA,群组中的,任何一台防火墙状态表发生任何变化时,都会从,HA,接口发送广播报文,。报文中包含状态表的变化,,包括某条状态表项的建立、变更、删除,)。,其他防火墙接收到广播报文后,根据报文内容,同步修改自身的状态表。,34,2025/4/18 周五,应用技术,-HA,从,主,VRRP,功能,-,网络节点互备,所有启动了,VRRP,功能的设备,都会从自己的通讯接口发送组播报文(,224.0.0.18,),通过互相对比接到到的组播报文中的优先级。除了优先级数字最小的一台 认定自己为,master,继续发送组播报文,其他设备均停止发送组播报文,进入监听状态。,处于,VRRP-master,状态的防火墙将接管所有的虚拟,IP,。,(接管之初,会以自身接口实际,MC,,连续发送,5,次免费,ARP,,以帮助周边网络设备更新,MAC,表,),35,2025/4/18 周五,应用技术,-,多出口,多出口应用,根据常见的用户需求,多出口环境下一般分为链路冗余、定向选路等具体部署情况。,36,2025/4/18 周五,应用技术,-,多出口,多出口应用,根据常见的用户需求,多出口环境下一般分为链路冗余、定向选路等具体部署情况。,通过路由负载,+,链路探测实现链路冗余需求。,通过源路由,+,指定目的的,NAT,规则 实现定向选路功能。,定向选路与链路冗余不可共存,37,2025/4/18 周五,小结,15%,防火墙产品线,1,防火墙核心技术,3,防火墙应用技术,4,防火墙工作原理,2,38,2025/4/18 周五,目录,三、典型应用、部署方案,基础环境,1,HA,2,39,2025/4/18 周五,基础环境,Vlan1,领导办公区,Vlan2,办公楼,VLAN3,DMZ-,服务器区,核心交换,在哪些位置可以部署防火墙?,边界路由器,40,2025/4/18 周五,基础环境,Vlan1,办公楼,1,Vlan2,办公楼,2,VLAN3,DMZ-,服务器区,核心交换,边界路由器,A,B,边界透明接入,优点:,1,、网络环境改动少,逻辑拓扑无变化。,2,、防火墙易于配置。,3,、故障维护方法简易。,缺点:,1,、增加一个网络故障点,2,、部分安全功能不支持透明模式,41,2025/4/18 周五,基础环境,Vlan1,办公楼,1,Vlan2,办公楼,2,VLAN3,DMZ-,服务器区,核心交换,边界路由器,A,B,边界透明接入,配置的步骤:,1,、两个接口混合模式,2,、配置对象定义,3,、配置安全规则,可选:,1,、配置带外管理,IP,、管理主机,IP,2,、配置跨网段管理用的缺省路由,3,、其他安全功能,42,2025/4/18 周五,基础环境,Vlan1,办公楼,1,Vlan2,办公楼,2,VLAN3,DMZ-,服务器区,核心交换,边界路由器,C,D,内部透明接入,优点:,1,、安全区域边界明确。,2,、控制力度强。,3,、故障定位简单。,缺点:,1,、用户投资大,2,、用户的安全需求未必会要求如此明细的控制。,E,43,2025/4/18 周五,基础环境,Vlan1,办公楼,1,Vlan2,办公楼,2,VLAN3,DMZ-,服务器区,核心交换,边界路由器,F,边界路由接入,替换路由器的优点:,1,、不新增网络故障点。,2,、排查问题易定位。,缺点:,1,、防火墙配置相对复杂,2,、不一定能兼容所有原路由器的功能,44,2025/4/18 周五,基础环境,Vlan1,办公楼,1,Vlan2,办公楼,2,VLAN3,DMZ-,服务器区,核心交换,边界路由器,F,实施方案的推荐顺序,1,、,F,或,B,根据用户实际应用决定是路由、透明,2,、,C,、,D,、,E,根据用户内网实际安全需求决定,3,、,A,因为可能涉及到,ISP,接入设备,最后考虑,A,位置。,C,D,E,A,B,45,2025/4/18 周五,基础环境,Vlan1,办公楼,1,Vlan2,办公楼,2,VLAN3,DMZ-,服务器区,核心交换,边界路由器,F,边界路由接入,配置步骤:,1,、配置内、外口的,IP,地址,2,、配置缺省路由及对内网回指路由,3,、配置对象定义、安全规则、,NAT,规则。,可选步骤:,4,、配置远程管理主机。,5,、配置其他安全功能。,46,2025/4/18 周五,实际环境,47,2025/4/18 周五,HA,小术语,主备模式,(,Active-Standby,),是指两台防火墙中,只有主墙处于工作状态。备墙处于准备状态,除非主墙发生故障时,备墙才会接管主墙的工作。,核心交换 主,边界路由器 备,边界路由器 主,核心交换 备,防火墙 主,防火墙 备,双活,/,双主,(,Active-Active,),是指两台防火墙同时工作,同时处理数据。也同时互为备份。,48,2025/4/18 周五,HA,小术语,日字型连接,是指由,2,台边阶路由器、两台防火墙、两台核心交换机组成的一组冗余网络拓扑的形状。,部分环境还会在墙与路由器之间的、或是核心交换与墙之间的串连其他安全设备,如流控、,IPS,、防毒墙等。(形成目字型或,),我们把单台防火墙向同一个方向,只连接一台周边设备的拓扑,都可以叫做日字型连接。,49,2025/4/18 周五,HA,核心交换 主,边界路由器 备,全连接,我们把单台防火墙向同一个方向,连接所有周边周边设备的拓扑,都可以叫做全连接型拓扑,边界路由器 主,核心交换 备,最高可用性保障,50,2025/4/18 周五,HA,小术语,二层冗余,使用生成树等二层协议,进行链路选择,,核心交换 主,边界路由器 备,边界路由器 主,核心交换 备,防火墙 主,防火墙 备,51,2025/4/18 周五,HA,核心交换 主,边界路由器 备,透明模式,每台墙用两个接口配置为混合模式并绑定透明桥,接入用户网络中。使用,HA,基本功能实现配置与状态的同步。,优点:,1,、网络改动较小、逻辑拓扑不变,2,、防火墙易配置,3,、维护简单,4,、网络环境适应性强。,边界路由器 主,核心交换 备,A,A,透明模式为双活,不分主备。,52,2025/4/18 周五,HA,核心交换 主,边界路由器 备,边界路由器 主,核心交换 备,A,A,配置步骤,A,:主墙,1,、两个网口配置为混合模式,2,、绑定这两个网口为透明桥,3,、为一个接口配置,IP,地址,用于做,HA,心跳线。,4,、配置,HA,基本功能,其中选中,“,主控节点,”,5,、添加同步配置的规则。(服务为,secgate_ha_conf,的,ANY-to-ANY,规则),A:,备墙,第,3,步,HA,接口,IP,,同段但不能相同。第,4,步,选中,“,自动同步配置,”,其余相同。,53,2025/4/18 周五,HA,核心交换 主,边界路由器 备,透明模式,-2,全连接,每台墙用,4,个接口配置为混合模式并,绑定成,2,对透明桥,,成两进两出状态,接入用户网络中。,使用,HA,基本功能实现配置与状态的同步。,优点:,全冗余结构,可用性最高。,缺点:,结构过于复杂,维护困难,。,边界路由器 主,核心交换 备,B,B,适用于已经启用,OSPF,网络,54,2025/4/18 周五,HA,核心交换 主,边界路由器 备,路由模式,启用,VRRP,用于浮动虚似,IP,,保障网络切换功能,使用,HA,基础功能实现状态同步与配置同步。,这种部署模式,分单活与双活两种。,在配置为单活主备模式时,只有,VRRP,关联状态为,MASTER,的主墙处理数据。,在配置为双活时,每台防火墙分别有一个关联为,MASTER,状态,并处理转发给自身的数据。,边界路由器 主,核心交换 备,C,C,55,2025/4/18 周五,HA,核心交换 主,边界路由器 备,边界路由器 主,核心交换 备,C,C,配置步骤,主墙,1,、内、外、,HA,三个网口配置各自为路由模式,并配置实,IP,2,、配置,2,个,VRRP,实例,为实例绑定一个网口,并为每个实例配置虚,IP,。,3,、配置,VRRP,关联,绑定内外口实例,设置一个优先级。,4,、配置缺省路由及回指路由,5,、配置,HA,基本功能,其中选中,“,主控节点,”,6,、添加同步配置的规则。(服务为,secgate_ha_conf,的,ANY-to-ANY,规则),7,、添加,VRRP,规则。(服务为,VRRP,的,ANY-to-ANY,),56,2025/4/18 周五,HA,核心交换 主,边界路由器 备,边界路由器 主,核心交换 备,C,C,配置步骤,备墙,1,、内、外、,HA,三个网口配置各自为路由模式,并配置实,IP(,与主墙不同,),2,、配置,2,个,VRRP,实例,为实例绑定一个网口,并配置虚拟,IP,。,(VRID,需与主墙相应接口相同,),3,、配置,VRRP,关联,绑定内外口的实例,设置一个优先级。,(,优先级需比主墙数字大,),4,、配置,HA,基本功能,其中选中,“,自动配置同步,”“,自动状态同步,”,5,、添加同步配置的规则。,6,、添加,VRRP,规则。,57,2025/4/18 周五,HA,核心交换 主,边界路由器 备,路由模式,全连接,启用,VRRP,用于浮动虚似,IP,,保障网络切换功能,使用,HA,基础功能实现状态同步与配置同步。,在路由模式下进行全连接部署,如果需要双活模式,将使防火墙的配置达到最复杂的程度,相当于日字型连接单活的,4,倍以上,极易出错。在讨论方案、实际操作过程中,应尽一切可能避免采用此方案。,边界路由器 主,核心交换 备,D,D,58,2025/4/18 周五,小节,基础环境,1,HA,2,59,2025/4/18 周五,总结,防火墙概念,防火墙作用,相关知识与常见述语,防火墙应用技术,防火墙工作原理,基础环境,HA,60,2025/4/18 周五,谢 谢!,61,
展开阅读全文
浙ICP备2021020529号-1 | 浙B2-20240490 
