数据网络通信技术.pptVIP

通信网络及设备概述 北京电子科技职业学院 电信工程系 目录 支持多种网络接口 支持多种工作模式 支持多种认证方式 支持电子商务的企业出口网络 提供双机备份的企业出口网络 硬件防火墙是指采用了专有操作系统，而不是基于通用操作系统基础之上，并采取了专门设计的软件体系进行处理的防火墙。而软件防火墙都是基于通用操作系统的，目前业界绝大多数是基于LINUX，对操作系统作了一点裁减，防火墙代码作了一点修改，但LINUX本身并不适合大数据量处理，速度慢，安全性一般，特别是源代码公开，对安全性带来极大的危害性。 数据网络通信技术 网络安全基础 为什么需要防火墙 １、网络互连越来越庞大，越来越复杂，不法分子也越来越多，对一个企业的网络安全隐患日渐增多。 ２、企业网络需要一个“隔离设备”来保护自已。 提供防火墙的供应商 Huawei ---- Eudemon Cisco ---- PIX NetScreen Lenovo Hisense、 CheckPoint、 Nortel。 防火墙的基本原理 基本概念 接口：配置接口、业务接口 域：一个安全区域是一个或多个接口的一个组合，具有一个安全级别，根据安全级别有 Trust域、untrust域、DMZ域、local域、其它自定义域。 数据流向：从高信任域向低信任域转发为outbound，从低信任域向高信任域转发为inbound。 几个概念的解释 LAN: 内部网，例如企业内部局域网，是被保护的安全区，它不对外开放，也不对外提供任何服务，所以外部用户检测不到它的地址也难以对它进行攻击。如果要从外面接入，要经过严格认证，或通过VPN通道接入。例如IPSEC VPN 就是一种常用方式。 DMZ: 又称非军事化区，它对外提供服务，如WEB，EMAIL等服务器，IDC数据中心主要就是应用在DMZ区。由于它的开放性，就使它成为黑客们攻击的对象，但由于它与内部网是隔离开的，所以即使受到了攻击，也不会危及内部网。因为要对外开放服务，安全性主要由服务器的操作系统和应用软件决定。确切的说，防火墙此时对其安全性保障作用不大。 Control: 是专为配置防火墙的用户而设定的一个接口，对防火墙的所有设置都在该区进行，它只对防火墙进行设置和操作，一般不接受其它任何服务也不对外提供服务，这就为防火墙的安全提供了双重保证。 防火墙的种类 包过滤防火墙：只支持静态ACL，基本已退出IT舞台。 应用层PROXY代理防火墙：业界比较少，它的特点是安全性较好，但速度很慢，而且需要针对每一种协议开发应用层代理。 自适应代理防火墙：速度比代理快，安全性也较好。 状态防火墙：通过监视每一个连接从发起到结束的全过程，从而达到根据策略允许，或禁止访问的目的。这类防火墙速度快，安全性较好。如Eudemon、CISCO、NETSCREEN、CHECKPOINT等都是这类防火墙。 按原理来分 防火墙的种类 按结构来分 硬件防火墙 数据包的处理和转发由硬件实现，可以大大的提高报文处理能力和转发速率，典型的如华为的Eudemon系列防火墙 软件防火墙 数据包的处理和转发由软件实现，性能较低，典型的如：PIX、CheckPoint及国内其它厂家的防火墙（联想、海信等） 防火墙概述 网络安全问题成为近年来网络问题的焦点 网络安全包括基础设施安全、边界安全和管理安全等全方位策略 防火墙的主要作用是划分边界安全，实现关键系统与外部环境的安全隔离，保护内部网络免受外部攻击 在实现方式上，防火墙技术包括包过滤、状态检测和应用代理等不同方式 由于防火墙用于边界安全，因此往往兼备NAT、VPN等功能 一夫当关，万夫莫开 internet internet 一般防火墙只能支持以太网接口，如果接口是广域网，只能加一级路由器来解决。 一般防火墙 Eudemon防火墙 广域网接口 以太网接口 以太网接口 广域网接口 Eudemon防火墙可以支持多种广域网接口，既可为用户节省前置路由器；支持VLAN等逻辑接口，可以更灵活为用户提供安全组网。 VLAN1 VLAN2 路由模式：防火墙此时象路由器一样，需要配置接口IP，路由表。除了支持静态路由，还可以支持各种路由协议，如RIP,OSPF等。 NAT模式：和路由模式的差别只在于此时可以支持NAT。 透明模式：此时防火墙不需要配置接口IP，路由表等，此时它就象一台二级交换机。这使得在网络中插入防火墙，而不用更换网络当前配置。 总体组 财务部 测试部 文档服务器 以透明模式组网，可以直接插入原来的网络，非常方便！ Sourse ip 5 Dest ip Sourse ip Dest ip 支持NAT和PAT模式（PAT模式可实现连续端口分配，一些特殊应用有此需求） 支持多地址池和EASY IP （转换