HC110310002HCNA-Security-CBSN第二章防火墙基础技术V1.0.ppt

防火墙特性 2 访问控制列表 网络地址转换 认证与授权 二层隧道协议 GRE VPN 是包过滤、NAT、IPSec、QoS、策略路由等应用的基础 减缓IP 地址空间枯竭的速度 隐藏内部网络的私有IP 地址 RADIUS 协议 HWTACACS 采用包交换网络技术进行信息交互，从而扩展了PPP模型 三层隧道协议，采用Tunnel（隧道）的技术 IPSec VPN 负载均衡 IP-CAR P2P限流 日志功能 私有性 完整性 真实性 防御重放攻击 利用各个服务器的处理能力，达到流量分担的目的 IP 连接数限制 IP 带宽限制 限制P2P流量，保证其他业务的正常进行 攻击防范日志 流量监控日志 黑名单日志 各种统计信息 防火墙性能指标 — 吞吐量 吞吐量：防火墙能同时处理的最大数据量 有效吞吐量：除掉TCP因为丢包和超时重发的数据, 实际的每秒传输有效速率 防火墙性能指标 — 延时 定义：数据包的最后一个比特进入防火墙到第一个比特输出防火墙的时间间隔指标，是用于测量防火墙处理数据的速度理想的情况 时间间隔 Smartbits 6000B 最后一个比特进入 第一个比特输出 包需要在队列中被 检测后才可以转发 包到达延迟 防火墙性能指标 — 每秒新建连接数 定义：指每秒钟可以通过防火墙建立起来的完整TCP连接 该指标是用来衡量防火墙数据流的实时处理能力 防火墙性能指标 — 并发连接数 定义：由于防火墙是针对连接进行处理报文的，并发连接数目是指的防火墙可以同时容纳的最大的连接数目，一个连接就是一个TCP/UDP的访问。 该参数是用来衡量主机和服务器间能同时建立的最大连接数 并发连接 并发连接 目录 防火墙概述 防火墙工作模式 防火墙安全区域 防火墙功能特性 防火墙基本配置 VRP平台 1 实现统一的用户界面和管理界面。包括统一的实时操作系统内核、IP 软转发引擎、路由处理和配置管理平面。 2 实现控制平面功能，并定义转发平面接口规范，实现各产品转发平面与VRP 控制平面之间的交互。 3 实现网络接口层，屏蔽各产品链路层对于网络层的差异。 VRP命令行级别 参观级 网络诊断工具命令（ping、tracert）、从本设备出发访问外部设备的命令（包括：Telnet客户端、SSH、Rlogin）等，该级别命令不允许进行配置文件保存的操作。 监控级 用于系统维护、业务故障诊断等，包括display、debugging命令，该级别命令不允许进行配置文件保存的操作。 配置级 业务配置命令，包括路由、各个网络层次的命令，这些用于向用户提供直接网络服务。 管理级 关系到系统基本运行，系统支撑模块的命令，这些命令对业务提供支撑作用 VRP命令视图 系统将命令行接口划分为若干个命令视图，系统的所有命令都注册在某个（或某些）命令视图下，只有在相应的视图下才能执行该视图下的命令。 命令视图的分类： 用户视图 USG 系统视图 [USG] 接口视图 [USG -Ethernet0/0/1 ] 协议视图 [USG -rip] …… VRP在线帮助 键入一命令，后接以空格分隔的“?”，如果该位置为关键字，则列出全部关键字及其简单描述。 USG 5000 display ? 键入一命令，后接以空格分隔的“?”，如果该位置为参数，则列出有关的参数描述。 [USG 5000] interface ethernet ? 3-3 Slot number 键入一字符串，其后紧接“?”，列出以该字符串开头的所有命令。 USG 5000 d? debugging delete dir display VRP在线帮助（续） 输入命令的某个关键字的前几个字母，按下TAB键，可以显示出完整的关键字 暂停显示时键入Ctrl+C 停止显示和命令执行 暂停显示时键入空格键 继续显示下一屏信息 暂停显示时键入回车键 继续显示下一行信息 防火墙基本配置思路 根据组网需要 配置域间包过滤关系 配置域间NAT 需要NAT 不需要NAT 二层接口 三层接口 接口模式 接口加入 安全区域 接口IP地址 NAT 配置路由 报文转发 配置接口模式 步骤 1 执行命令system-view，进入系统视图。 步骤 2 执行命令interface interface-type interface-number 步骤 3.1 执行命令ip address ip-address { mask | mask-length }，配置三层以太网接口。 步骤 3.2 执行命令portswitch，配置二层以太网接口。 步骤 1 执行命令system-view，进入系统视图。 步骤 2 执行命令f