网神-LS0A防火墙产品原理介绍20070409.ppt

学习目标 学习完本课程，您应该能够 了解网御神州的防火墙产品 了解防火墙的工作原理 了解防火墙的发展趋势 理解防火墙的典型应用 课程内容 网御神州产品型录 信息安全的层次模型 防火墙的发展历程 防火墙关键技术 防火墙评价指标 防火墙的部署 防火墙的发展趋势 典型应用 FAQ 1 网御神州产品型录 硬 件 构 架 安全服务 2 信息安全的层次模型 2 信息安全的层次模型 3 防火墙的发展历程 3.1 防火墙概述 3.1 防火墙概述 3.1 防火墙概述 3.1 防火墙概述 3.1 防火墙概述 3.2 防火墙的技术发展 3.2 防火墙的技术发展 3.2 防火墙的技术发展 3.2 防火墙的技术发展 3.2 防火墙的技术发展 3.2 防火墙的技术发展 3.2 防火墙的技术发展 3.2 防火墙的技术发展 3.2 防火墙的技术发展 3.2 防火墙的技术发展 3.3 防火墙硬件平台的发展 3.3 防火墙硬件平台的发展 3.3 防火墙硬件平台的发展 3.3 防火墙硬件平台的发展 3.3 防火墙硬件平台的发展 3.3 防火墙硬件平台的发展 3.3 防火墙硬件平台的发展 3.4 防火墙现状 4 防火墙关键技术 4.1 访问控制 4.2 地址绑定 4.2 地址绑定 4.3 NAT技术 4.3 NAT技术 4.4 端口映射 4.4 端口映射 4.5 VPN 4.5 VPN 4.5 VPN 4.6 抗攻击 4.6 抗攻击 对资源的请求大大超过正常值，致使服务超载，使得被访资源无法再对合理的请求进行响应，称为拒绝服务。恶意造成拒绝服务的行为，就称为拒绝服务攻击（Denial of Service，DoS） 资源 网络带宽 文件系统容量 开放的进程 向内的连接 4.6 抗攻击 SYN flood 以多个随机的源主机地址向目标主机发送SYN包 收到目标主机的SYN ACK后并不回应 继续发送SYN请求 目标主机建立了大量的连接，由于没有收到ACK一直维护着这些连接，造成了资源大量消耗而不能向正常请求提供服务。  4.6 抗攻击 （a）TCP三次握手 （b） SYN风暴 4.7 复杂协议支持 H.323协议被普遍认为是目前在分组网上支持语音、图像和数据业务最成熟的协议。采用H.323协议，各个不同厂商的多媒体产品和应用可以进行互相操作，用户不必考虑兼容性问题。该协议为商业和个人用户基于LAN、MAN的多媒体产品协同开发奠定了基础。 4.7 复杂协议支持 4.7 复杂协议支持 4.7 复杂协议支持 4.7 复杂协议支持 4.8 HA 5 防火墙评价指标 5 防火墙评价指标 6 防火墙的部署 6 防火墙的部署 6 防火墙的部署 6 防火墙的部署 7 防火墙的发展趋势 7 防火墙的发展趋势 7 防火墙的发展趋势 8 典型应用 8 典型应用 8 典型应用 9 FAQ 混合 UTM Users Servers 设备层面整合-UTM NP平台 处理性能较高 投资较大，开发周期较长 开发难度大 开发灵活性高 ● 处理性能高 ● 灵活性好 ● 投资较小/周期较短 ● 处理性能很高 ● 开发周期长/投资大 ● 灵活性差 ● 技术成熟 ● 开发难度低 ● 处理性能上不去 总结 好 很差 好 灵活性 较长 很长 短 开发周期 较高 很高 低 投资成本 高 基本成熟 NP 很高 低 处理性能 成熟 成熟 技术成熟度 ASIC 通用CPU 技术路线 比较项目 三种技术路线比较 三种技术路线比较 包过滤 防火墙 应用代理 防火墙 状态检测 包过滤＋ 应用代理 通用处理器平台 基于ASIC 基于NP 中低端以X86平台的防火墙为主 千兆高端将逐渐以NP防火墙为主 3. ASIC防火墙没有太大市场 4.1 访问控制 4.2 地址绑定 4.3 NAT 4.4 端口映射 4.5 VPN 4.6 抗攻击 4.7 复杂协议支持 4.8 HA 4/mac1 4/mac2 Internet 6 Host C 内部网络 Host A Host B 数据 IP报头 数据 IP报头 源地址： 目地址：6 源地址：8 目地址：6 eth1: eth2: 8 Internet WWW 1 FTP 2 MAIL 3 DNS 4 输入： 1: 80 - : 80 2:21 - : 21 3 :25- :25 4:53 - :53 Internet WWW 1 FTP 2 MAIL 3 DNS 4 VPN客户端 8 VPN规则 Permit - 支持基于策略的VPN应用 2. 支持基于路由的VPN应用 3. 支持VPN的星型、网状等多种