2 防火墙培训.ppt

防火墙的作用 过滤进出网络的数据包； 管理进出网络的访问行为； 封堵某些禁止的访问行为； 记录通过防火墙的信息内容和活动； 对网络攻击进行检测和告警 能过滤大部分的危险端口 设置严格的外向内的状态过滤规则 抵挡大部分的拒绝服务攻击 加强了访问控制能力 防火墙的局限性 对新出现的漏洞和攻击方式不能迅速提供有效的防御方法 管理困难,容易出现配置的安全误区,并且紧急情况下无法做到迅速响应 性能和稳定性制约了大范围的使用 不能关闭需提供对外服务的端口 走出非军事化区的误区 最简单安全的防火墙架构 貌似安全的防火墙架构 最安全的防火墙架构 不安全的防火墙架构 次非军事化区 ---- 设立非军事化区（DMZ）的最大意义 ---- 设置防火墙时，务必要严格遵守一条黄金法则 ---- 但在实际操作中，执行上述法则存在难度 ----怎么办？ Internet 外网区 办公PC机 内网区 办公PC机 Internet 外网区 WWW Server 内网区 办公PC机 WWW Server Internet 非军事化区(DMZ区) 外网区 Mail Server 内网区 WWW Server Internet 非军事化区(DMZ区) 外网区 Mail Server 内网区 DB Server WWW Server Internet 非军事化区(DMZ区) 外网区 Mail Server 内网区 DB Server 谢谢! 对H.323协议的支持 对PPPOE和PPP协议的支持 透明的网络连接—混合模式 /24 网关： /24 网关： E1:/24 E3: /24 /24 网关： E2: /24 网关： E0: 网关： * * * 殷凯 防火墙技术 1．纯硬防火墙：一般分为ASIC（专用集成电路）、NP（通用网络处理器）和FPCA 3种核心处理器---同时 采用MIPS\ARM\POWER PCRISA芯片的CPU平台处理器（CPU的成本低） ASIC：如NETSCREEN，原理上性能最好，缺点是设计复杂、开发周期长，改动不灵活（需要更换芯片）；随着通用硬件的发展，在百兆通常的应用上已经没有优势；性能价格比也不占优，在千兆上优势明显。 NP：网络处理器是一种非基于ASIC的IC或IC芯片组，利用软件编程，可以像ASIC那样快速地处理数据包。同时升级芯片上的固件增加新的 功能，其固件可以有网络设备商或第三方加载到处理器中。厂商有INTER、IBM、摩托罗拉、SIBYTE等公司。 国内出现的一般使用INTEL的NPU，原理上性能界于ASIC和通用INTEL构架之间；灵活性也是在中间。国内目前大多采用INTER IXP1200 处理能力低，一般需要多片并行工作才能满足需求，还需要其他协处理芯片配合，对硬件设计能力要求较高，最终成本不会太低同样在百兆通常的应用上已经没有优势；同时在百兆级未见应用，千兆国内有几家在开发。 FPCA可编程芯片。 防火墙—形态 防火墙—形态 2．纯软防火墙：CHECKPOINT、SYMACTEC 3.软硬一体化防火墙：决大多数国产防火墙。PC硬件+通用操作系统+防火墙软件模块，在硬件平台上运行Linux、FreeBSD、Solaris等经 过最小化安全处理后的操作系统及继承的防火墙软件。基于共享系统总成，接口以及CPU的处理能力不可能成倍增加，共享总线的架构还直接与防火墙网卡的各种性能有关，网卡越多，性能影响越大 * * * 殷凯