华为Eudemon防火墙基础概念技术工作模式.pptxVIP

华为 Eudemon防火墙基础;防火墙相关概念及技术介绍;防火墙基本概念——安全区域（Zone）;防火墙基本概念——安全区域（Zone）续;防火墙基本概念——安全区域（Zone）配置;防火墙基本概念－－域间（InterZone）;防火墙基本概念－－域间（InterZone配置）;;防火墙基本概念－－会话（Session）;防火墙基本概念－－会话（Session）相关命令;防火墙基本概念－－服务表项（ServerMap）;防火墙基本概念－－服务表项（ServerMap）;防火墙基本概念－－多通道协议;;用户A;ASPF基本工作原理－－单通道协议;;ASPF基本工作原理－－多通道协议;ASPF可以针对某些多通道协议（例如FTP）报文中的内容动态决定是否允许其通过防火墙。;防火墙基本概念－－NAT;可以针对某些多通道协议（例如FTP）报文中的内容动态创建ServerMap表项，保证Nat对应关系的正确性，从而确保业务正常;;;;;防火墙基本概念－－黑名单（BlackList）;防火??基本概念－－Mac绑定（Bind）;防火墙基本概念－－访问控制列表（ACL）;包过滤就是利用ACL对报文进行阻断的特性。 在防火墙中，配置包过滤注意以下问题： 默认的时候，防火墙所有规则都是关闭的。一般情况下应该先打开所有的规则，再禁止不必要的访问。 防火墙上的包过滤需要对一个TCP/UDP连接的首包设定规则。反向报文是不需要额外设定规则的。这点和路由器包过滤不一样，主要原因就是防火墙是状态防火墙设备。 防火墙的包过滤是设定在域间的，inbound、outbound的方向也是指的首包通过域间的方向。;防火墙基本概念－－统计（Statistic）应用;防火墙基本概念－－服务质量保证（QOS）;;;防火墙基本概念－－端口映射（Port Mapping）;防火墙基本概念－－日志（log）;防火墙基本概念－－虚拟专用网（VPN）;防火墙的工作模式;目前，Eudemon防火墙能够工作在三种模式下：路由模式、透明模式、混合模式。如果防火墙以第三层对外连接（接口具有IP地址），则认为防火墙工作在路由模式下；若防火墙通过第二层对外连接（接口无IP地址），则防火墙工作在透明模式下；若防火墙同时具有工作在路由模式和透明模式的接口（某些接口具有IP地址，某些接口无IP地址），则防火墙工作在混合模式下。下面分别进行介绍： 路由模式 透明模式 混合模式 注：有些防火墙分为路由模式，Nat模式，透明模式；对于Eudemon防火墙而言路由模式就包含这些防火墙所说的Nat模式;当Eudemon防火墙位于内部网络和外部网络之间时，需要将防火墙与内部网络、外部网络以及DMZ三个区域相连的接口分别配置成不同网段的IP地址，重新规划原有的网络拓扑，此时相当于一台路由器（如下图所示 ）。采用路由模式时，可以完成ACL包过滤、ASPF动态过滤、NAT转换等功能。然而，路由模式需要对网络拓扑进行修改 ;如果Eudemon防火墙采用透明模式进行工作，只需在网络中像放置网桥（bridge）一样插入该Eudemon防火墙设备即可，无需修改任何已有的配置；此时防火墙就象一个交换机一样工作如下图所示，该工作模式在现网改造的时候很容易部署，不过目前Eudemon防火墙还不支持STP，因此如果存在网络二层环路的情况下需要慎重部署 ； 另外Eudemon500/1000防火墙在透明模式下还有一个独特功能，可以提供透明模式下的Nat，该功能目前只有我们防火墙能提供；;如果Eudemon防火墙既存在工作在路由模式的接口（接口具有IP地址），又存在工作在透明模式的接口（接口无IP地址），则防火墙工作在混合模式下，这种工作模式基本上是透明模式和路由模式的混合，目前只用于透明模式下提供双机热备的特殊应用中，别的环境下不建议使用。其工作方式如下图所示：;双机热备是防火墙提供网络层可靠性时所必须具备的特性，为了解决单台防火墙潜在的单点故障风险，在高可靠性网络中都要求两台防火墙提供双机热备功能，其特征是要求网络中不存在任何单点和单链路故障，一般要求具备以下特性： 需要支持真正的状态热备技术，保证防火墙主备切换业务不中断； 需要支持的组网方式灵活多变，并能支持多个安全域之间的热备； 需要保证切换时延尽量短，一般要求在1.5秒以内； 需要保证整个网络中不存在单点故障，任何设备、链路出现故障都能保护； 双机热备功能本身不能影响系统性能； 支持状态触发切换，以及防火墙主动抢占功能;由于目前流行的防火墙都是状态防火墙，状态防火墙有别于一般数通设备的地方就是需要有动态创建的状态表，而这通常要求对于特点的会话而言其上下行报文必须通过同一台防火墙，因此需要双机热备还支持以下特性： 解决报文来回路径一致问题（所谓来回路径一致指同一