防火墙的技术原因.ppt

网络处理器（Network Processor，简称NP）顾名思义即专为网络数据处理而设计的芯片或芯片组。 能够直接完成网络数据处理的一般性任务，如TCP/IP数据的校验和计算、包分类、路由查找等，同时，硬件体系结构的设计也弥补了传统IA体系的不足，它们大多采用高速的接口技术和总线规范，具有较高的I/O能力。 基于网络处理器的网络设备的包处理能力得到了很大提升，很多需要高性能的领域，如千兆交换机、防火墙、路由器的设计都可以采用网络处理器来实现。 稳定的性能：无策略转发对比 稳定的性能：模拟攻击 安全加速技术的演进 Clint 响应请求 发送请求 命令日志 命令日志 69 70 深度审计1----应用层命令日志 命令信息 Clint 响应请求 发送请求 访问日志 访问日志 69 70 深度审计2-----访问日志 访问信息 Clint 响应请求 发送请求 内容日志 内容日志 69 70 深度审计3-----内容日志 内容信息 支持集中审计 安全审计中心 1010101 Intranet 灵活的带宽管理功能 WWW Mail DNS 出口带宽 512K DMZ 区保留 256K 分配 70K 带宽 分配 90K 带宽 分配 96K 带宽 DMZ 区域 内部网络 总带宽512 K 内网256 K DMZ 256 K 70 K 90 K 96 K + + + 财务子网 采购子网 生产子网 财务子网 采购子网 生产子网 Internet WWW 1 WWW 2 WWW 3 服务器负载均衡功能 负载均衡算法： 顺序选择地址+权值 根据PING的时间间隔来选择地址+权值 根据Connect的时间间隔来选择地址+权值 根据Connect然后发送请求并得到应答的时间间隔来选择地址+权值 根据负载均衡算法将数据重定位到一台WWW服务器 服务器阵列 响应请求 受保护网络 Internet IDS 黑客 发送通知报文 验证报文并 采取措施 发送响应报文 识别出攻击行为 阻断连接或者报警等 联动功能1----- 与IDS 的安全联动 能与国内30多家主流IDS产品进行无缝联动 联动功能2-----与病毒网关的安全联动 Internet 110010101 病毒服务器 100010101 000010101 待发数据 110010101 100010101 000010101 110010101 100010101 000010101 pass pass 无病毒转发最后一个报文，如带有病毒则丢弃最后一个报文 协议还原 检查病毒 没有发现病毒可以放过最后一个报文 接收数据 接收数据 内部网络 Internet URL 服务器 可以访问 吗？ Ok! 联动功能3-----与URL服务器的安全联动 Internet Host A Host B Host C Host D 00-50-04-BB-71-A6 00-50-04-BB-71-BC BIND To 00-50-04-BB-71-A6 BIND To 00-50-04-BB-71-BC IP与MAC地址绑定后，不允许Host B假冒Host A的IP地址上网 防火墙允许Host A上网 跨路由器 IP与MAC（用户）绑定功能 Internet 公开服务器可以使用私有地址 隐藏内部网络的结构 WWW FTP MAIL DNS MAP ：80 TO ：80 MAP ：21 TO ：21 MAP ：53 TO ：53 MAP ：25 TO ：25 MAP (端口映射)功能 Internet 4 Host A 受保护网络 Host C Host D 1 5 防火墙 Eth2：3 Eth0： 数据 IP报头 数据 IP报头 源地址：1 目地址：4 源地址： 目地址：4 隐藏了内部网络的结构 内部网络可以使用私有IP地址 公开地址不足的网络可以使用这种方式提供IP复用功能 NAT (地址转换)功能 Trunk 口 Trunk 口 VLAN 1 VLAN 2 支持VLAN的交换机 Trunk 口 Trunk 口 VLAN 1 VLAN 2 Switch1 Switch 2 同一交换机的不同 VLAN 之间通讯 不同交换机的同一 VLAN 之间通讯 不支持TRUNK的防火墙无法在这种环境下工作 不支持TRUNK的防火墙无法在这种环境下工作 适应性1----VLAN应用环境 天融信防火墙支持802.1Q、ISL封装协议 适应性2----DHCP应用环境 Internet DHCP服务器 Host A Host B Host C Host D Host E Host F 没有固定I