20XX年防火墙产品介绍及配置报价培训教材.pptVIP

* 地址转换支持地址池的概念，在转换时，从地址池中根据一定的规则选择一个IP地址做为转换后的源地址，完成地址转换。这个选择的过程对用户来讲是透明的，用户只需要将他具有的IP地址配置成相应的地址池就可以了。对于使用地址池中的地址进行转换可以有三种形式： NAT：1对1的地址翻译，静态NAT，内网中的每个主机都被永久映射成外网中的某个合法的地址，多用于服务器 PAT：多个内网地址翻译到1个外网IP地址，把内部地址映射到外网的一个IP地址的不同端口上 NPAT：多个内部网地址翻译到N个IP地址池 支持EASY IP的特性。可以使用某个接口的IP地址进行地址转换，这种情况可以适用使用拨号等方式访问Internet的情况。转换后的源地址就是接口的IP地址。 Eudemon防火墙最多支持256个地址池，每个地址池最多可配置255个公网地址； * 提供Extended NAT（专利）功能：可以做到1个地址支持无限连接，不再受64K端口数的限制，不同目的地址/端口的连接可以采用相同的端口号。 Eudemon系列防火墙在转换源端口时同时参考了报文的五元组(目的地址)，所以即使源端口相同，防火墙依然可以区分应答报文的真实目的地址（私网地址） * 利用ACL控制地址转换 Eudemon防火墙的地址转换功能，可以利用访问控制列表决定什么样的地址可以进行地址转换。如果某些主机具有访问Internet的权利，而某些主机不能访问Internet。可以利用ACL（访问控制列表）定义什么样的主机不能访问Internet，什么样的主机可以访问Internet。然后将配置好的ACL规则应用在地址转换上，就可以达到利用ACL控制地址转换的功能。 如图，PC1不需要访问Internet，那么可以通过访问控制列表，限制PC1访问Internet。使得PC1只能访问内部局域网的主机。 * 该功能目前只有华为防火墙可以提供，业界很多的防火墙都不能对非IP报文进行转发，包括MPLS报文， Eudemon防火墙能在有MPLS，路由协议等复杂组网的情况下，方便地采用透明模式组网，为内网用户提供NAT功能的同时进行MPLS报文转发。 组网要求： 1 内网路由器Router1到外网路由器Router2之间，存在MPLS报文和普通的IP报文。 2 防火墙既能够转发MPLS报文，还能对内网的IP报文进行NAT转换。 3 防火墙提供完善的攻击防范功能。 组网实现： 1 防火墙配置成透明模式，进行MPLS报文转发。同时配置NAT，对内网地址进行NAT转换。 2 路由器Router1增加到外网的下一跳是。 3 路由器Router2增加到NAT地址池的路由，下一跳是。 Router1发送到Router2的MPLS报文能够通过Eudemon防火墙； Router1发送到Router2的普通IP报文经过Eudemon防火墙，进行源地址转换； Router2发送到Router1的MPLS报文能够通过Eudemon防火墙； Router2发送到Router1的普通IP报文，因为网关是Router1，所以直接将报文送到Eudemon防火墙，Eudemon防火墙将报文的目的地址进行转换后，送入内网； * 支持私有地址网络的主机可以访问外部网络和支持内部服务器（允许外部网络可以访问内部网络的主机）是地址转换完成的主要功能，也是必须要提供的功能。 支持NAT Server模式，可以向外映射内部服务器；支持1对多的映射方式，提供端口级的NAT Server模式，可以将服务器的端口映射为外部的一个端口，阻塞服务器的多余端口，增加服务器的安全性。 * Eudemon防火墙提供服务负载均衡功能，解决单台服务器的性能瓶颈问题。防火墙上创建虚服务，对外提供一个可见地址，在收到用户请求后按照配置的算法，将用户流量分配到不同的服务器上，充分利用各个服务器的处理能力，达到最佳的可扩展性。 虚服务技术，在防火墙配置负载均衡功能后，多个服务器共用一个公网IP地址（即虚拟IP地址，VIP） 提供虚服务在虚服务Vserver和真实服务器Rserver之间通过组group进行衔接。group是一个逻辑概念，防火墙通过group对真实服务器进行管理，提供网络服务。VServer/Group/Rserver之间对应关系如下图所示 ： * 支持多媒体，NGN业务的NAT，包括H323、MGCP、SIP、H248、RTSP、HWCC，还支持ICMP、FTP、DNS、PPTP、NBT、ILS等协议。 * 如现在的IDS设备就能很好地与防火墙一起联合。一般情况下，为了确保系统的通信性能不受安全设备的影响太大，IDS设备不能像防火墙一样置于网络入口处，只能置于旁路位置。而在实际使用中，IDS的任务往往不仅在于检测，很多时候在IDS发现入侵