防火墙原理与配置-程丹.ppt

Hwadee 防火墙原理与配置 四川华迪信息技术有限公司 Overview 课程介绍 一、防火墙基本概念 二、防火墙发展历程 三、防火墙核心技术 四、防火墙体系结构 五、防火墙构造体系 六、防火墙功能与原理 七、防火墙接入方式 八、防火墙典型应用 九、防火墙性能参数 十、防火墙配置 课程介绍 关于本次课程 课程目标 预备知识 目标听众 日程表 词汇表 课程目标 了解防火墙的基本概念； 明确防火墙访问控制机制； 掌握防火墙配置操作。 预备知识 了解TCP/IP原理； 了解软件防火墙的使用。 日程表 共计:0.5 天 详细安排 词汇表 本讲义所用的词汇解释 Intranet 内联网（企业网） DMZ 非军事区（停火区） SSN 安全服务区 1.1 传统防火墙的概念 1.2 防火墙形态 1.4防火墙的接口 1.5 IT领域防火墙的概念 1.6 防火墙 TCP/IP协议－协议层次 TCP/IP协议簇－数据包各层协议结构 TCP/IP协议簇 TCP/IP协议簇－各层之间的数据传递过程 二、防火墙的发展历程 三、防火墙核心技术 3.1 简单包过滤防火墙工作原理 3.2 状态检测包过滤防火墙工作原理 3.3 应用代理防火墙工作原理 3.4 复合型防火墙工作原理 3.5 核检测防火墙工作原理 防火墙核心技术比较 四、防火墙体系结构 基于内核的会话检测技术 五、防火墙构造体系 筛选路由器 多宿主主机 被屏蔽主机 被屏蔽子网 六、防火墙功能与原理 防止DoS和DDoS攻击 DoS ( Denial of Service ) 拒绝服务攻击 攻击者利用系统自身陋洞或者协议陋洞，耗尽可用资源乃至系统崩溃，而无法对合法用户作出响应。 DDoS ( Distributed Denial of Service ) 分布式拒绝服务攻击 拒绝服务攻击通常是以消耗服务器端资源为目标，通过伪造超过服务器处理能力的请求数据造成服务器响应阻塞，从而使正常的用户请求得不到应答，实现攻击目的。 DDoS的表现形式主要有两种，一种是流量攻击，主要是针对网络带宽的攻击，即大量攻击包导致网络带宽被阻塞，合法的网络数据包被虚假的网络数据包淹没而无法到达主机；另一种为资源耗尽攻击，主要是针对服务器主机进行的攻击，即通过大量的攻击包导致主机的内存被耗尽，或是CPU被内核及应用程序占完而造成无法提供网络服务。 DDoS攻击过程 与MAC地址绑定 时间策略 NAT 网络地址转换 NAT原理－源地址转换 MAP端口（地址）映射 MAP映射原理－目的地址转换 服务器负载均衡 防火墙对TRUCK协议的支持 支持第三方认证服务器 与IDS的安全联动 与病毒服务器的安全联动 SNMP管理 防火墙的不足之处 七、防火墙的接入模式 路由模式 透明及路由的混合模式 八、防火墙的典型应用 防火墙的典型应用 九、防火墙的性能 吞吐量 时 延 丢包率 背靠背 并发连接数 防火墙过滤机制－包过滤示意图 TOPSEC集中管理器 常见服务使用端口 工具栏的使用 选项设置 防火墙高可用性配置 防火墙的设置 防火墙的设置 QA 请提问！ 基于访问控制技术 基于协议（TCP,UDP,ICMP) 基于源IP地址 －基于目的IP地址－基于源端口－基于目的端口 基于时间－基于用户－基于流量－基于文件－基于网址 基于MAC地址 在访问中配置某条规则起作用的时间。 如配置了时间策略，防火墙在规则匹配时将跳过那些当前时间不在策略时间段内的规则 注：这个时间段不是允许访问的时间段，而是规则起作用的时间段。 隐藏了内部网络结构 内部网络可以使用私有IP地址 0 网关：50 0 Intranet:50 Internet:50 报头 数据 源地址：0 目的地址：0 报头 数据 源地址：50 目的地址：0 NAT转换 0发送的数据包经过NAT转换后，源地址成为50 MAP也称为反向NAT 0 网关：50 0 Intranet:50 Internet:50 报头 数据 源地址：0 目的地址：0 报头 数据 源地址：0 目的地址：50 MAP映射 0发送的数据包经过MAP映射后，目的地址成为0 负载均衡算法： 顺序选择算法＋权值 根据PING的时间间隔来选择地址＋权值 根据CONNET的时间间隔来选择地址＋权值 根据CONNET来发送请求并得到应答的时间间隔来选择地址＋权值 根据负载均衡算法将数据重定位到一台WWW服务器 减少单个服务器负载 1、支持第三方RADIUS服务器认证 2、支持OTP认证服务器