南大苏富特防火墙培训文档.pptVIP

南大苏富特THE INTRODUCTION OF NJUSOFT 南大苏富特 李化军 TELMAIL:lihuajun80@163.com WEB:www.njusoft,com 国内外防火墙知名品牌 国外:美国的JUNIPER 以色列的Check piont 　国内:天融信 　　　　联想网御 　　　　网御神舟 　　　　东软 　　　　绿盟 　　　　方正 　　　　紫光等 NP防火墙、ASIC和X86防火墙之对比 INTEL X86构架是最古老也是最成熟的处理器构架，用这种构架作为老一代最为普遍的防火墙硬件平台技术的代表，极具代表性意义。INTEL X86构架的处理器支持最为简单的编程但却支持最为复杂的功能；同样，INTEL X86构架的防火墙技术最为成熟，功能最为强大。 NP（网络处理器）是在ASIC（特定用途集成电路）无法支持相对复杂的功能，而需要支持高速网络数据的应用背景下出现的，这种特殊的硬件结构支持一定的可编程能力，并且表现出较高的网络数据处理性能。NP是一门新兴的处理器技术，同样，基于NP构架的防火墙技术是新兴的防火墙技术。 ASCI 架构的防火墙是基于线速的，传输速度非常快，但其功能性较差，无法支持相对复杂的功能。 VPN概念 VPN的基本功能 加密数据，以保证通过公网传输的信息即使被他人截获也不会泄露。 信息认证和身份认证，保证信息的完整性、合法性，并能鉴别用户的身份。 提供访问控制，不同的用户有不同的访问权限。 VPN的优点 与传统专用网相比，VPN给企业带来很多的好处，同时也给服务供应商特别是ISP带来很多机会。 如:VPN给企业带来的好处主要有以下四点： （1）降低成本 （2）易于扩展 （3）可随意与合作伙伴联网 （4）完全控制主动权 vpn安全性 保证VPN安全性通过以下手段： 隧道和加密：在安全性较高的场合使用加密隧道保护私有数据不被非法窥视和篡改。 数据验证：数据验证使接收方识别被篡改的数据，保证数据完整性。 身份验证：通过AAA，路由器提供用户验证、访问级别和访问记录，禁止非法访问。 抗重放：防止数据包被扑捉并重新投放到网上。s 2.1 数据完整性保护 2 苏富特VPN的解决方案 连接分支机构（Intranet VPN） 连接远程用户（Access VPN） 3 VPN有关协议 二层隧道协议 GRE协议 IPSec协议(苏富特VPN采用) SOCK V5协议 SSL协议 3 IKE协议 IKE的两个阶段: 阶段1：阶段1的协商建立一个主密钥，以后用于保护用户数据流的所有密钥都将根据主密钥产生。 阶段2：这时参与通信的系统就可以协商建立IPSec SA和将用于保护用户数据流的密钥。 对称和非对称加密 对称加密算法 对称加密算法是应用较早的加密算法，技术成熟。在对称加密算法中，数据发信方将明文（原始数据）和加密密钥一起经过特殊加密算法处理后，使其变成复杂的加密密文发送出去。收信方收到密文后，若想解读原文，则需要使用加密用过的密钥及相同算法的逆算法对密文进行解密，才能使其恢复成可读明文。在对称加密算法中，使用的密钥只有一个，发收信双方都使用这个密钥对数据进行加密和解密，这就要求解密方事先必须知道加密密钥。 优点 对称加密算法的特点是算法公开、计算量小、加密速度快、加密效率高。 缺点： 不足之处是，交易双方都使用同样钥匙，安全性得不到保证。 对称和非对称加密 不对称加密算法 不对称加密算法使用两把完全不同但又是完全匹配的一对钥匙—公钥和私钥。在使用不对称加密算法加密文件时，只有使用匹配的一对公钥和私钥，才能完成对明文的加密和解密过程。加密明文时采用公钥加密，解密密文时使用私钥才能完成，而且发信方（加密者）知道收信方的公钥，只有收信方（解密者）才是唯一知道自己私钥的人。不对称加密算法的基本原理是，如果发信方想发送只有收信方才能解读的加密信息，发信方必须首先知道收信方的公钥，然后利用收信方的公钥来加密原文；收信方收到加密密文后，使用自己的私钥才能解密密文。显然，采用不对称加密算法，收发信双方在通信之前，收信方必须将自己早已随机生成的公钥送给发信方，而自己保留私钥。由于不对称算法拥有两个密钥，因而特别适用于分布式系统中的数据加密。广泛应用的不对称加密算法有RSA算法和美国国家标准局提出的DSA。以不对称加密算法为基础的加密技术应用非常广泛。 2.1 连接分支机构（Intranet VPN） 2.2 连接远程用户（Access VPN） DMZ DMZ(非军事化区域） 它是为了解决安装防火墙后外部网络不能访问内部网络服务器的问题，而设立的一个非安全系统与安全系统之间的缓冲区 ，缓冲区位于企业内部网络和外部网络之