防火墙技术应用培训版本.pptVIP

防火墙双机热备 内部网 外网或者不信任域 Eth 0 Eth 0 Eth1 Eth1 Eth2 Eth2 心跳线 Active Firewall Standby Firewall 检测Active Firewall的状态 发现出故障，立即接管其工作 正常情况下由主防火墙工作 主防火墙出故障以后，接管它的工作 Hub or Switch Hub or Switch 通过STP协议可以交换两台防火墙的状态信息 当一台防火墙故障时，这台防火墙的连接不需要重新建立就可以透明的迁移到另一台防火墙上，用户不会察觉到 WWW 1 WWW 2 WWW 3 负载均衡 负载均衡算法： 顺序选择地址+权值 根据PING的时间间隔来选择地址+权值 根据Connect的时间间隔来选择地址+权值 根据Connect然后发送请求并得到应答的时间间隔来选择地址+权值 根据负载均衡算法将数据重定位到一台WWW服务器 服务器阵列 响应请求 防火墙负载均衡 内部网 外网或者不信任域 Eth 0 Eth 0 Eth1 Eth1 Eth2 Eth2 心跳线 0 # 1 # 检测 0 # Firewall的状态 发现出故障，立即接管其工作 防火墙根据 与0 # 防火墙一起工作 Hub Hub 防火墙自动检测和恢复机制 在防火墙硬件系统中嵌入 WatchDog 电路 在防火墙核心软件中增加对 WatchDog 电路的支持 一旦 WatchDog 电路发现防火墙核心软件运行出现严重错误将产生硬件复位信号，促使核心系复位并重新启动 通过这种自动检测和恢复机制，尽量减少因防火墙系统意外宕机带来的损失 Firewall 防火墙基本概念 防火墙分类 防火墙发展趋势 防火墙核心技术 防火墙功能 防火墙性能 防火墙部署 防火墙可靠性 防火墙典型应用 大型行业用户总部 分支机构 A 分支机构 B 办事处 A 办事处 B 大型行业用户防火墙解决方案 Modem 池 F R Internet PSTN/ISDN 骨干网可以考虑：NGFW4000 营业点接入网考虑：ARES防火墙 互联网可以考虑：NGFW4000中高端 总 部 分支机构A 分支机构B 移动用户A 移动用户B 黑 客 企业用户防火墙方解决方案？ NGFW4000 ARES ARES Internet 高端 低端 再有的另一个功能就是双地址路由功能，他的实现原理主要就是让内网中的用户通过双地址路由功能分别从两个不同的电信运营商访问到互联网，起到一个链路备份的功能 test 龙腾中国 融信天下 北京天融信广西办事处 汪 敏 手机：1587880826 电话: 0771-5760789 5760907 5760997 邮件:zhong_jin@ 地址:南宁市金州路太平洋世纪广场1805 广西区财政信息安全培训 -----北京天融信网络安全 广西区财政防火墙 技术应用培训教程 防火墙基本概念 防火墙分类 防火墙发展趋势 防火墙核心技术 防火墙功能 防火墙性能 防火墙部署 防火墙可靠性 防火墙典型应用 Firewall Internet 一种高级访问控制设备，置于不同网络安全域之间的一系列部件的组合，它是不同网络安全域间通信流的唯一通道，能根据企业有关的安全政策控制（允许、拒绝、监视、记录）进出网络的访问行为。 两个安全域之间通信流的唯一通道 UDP Block Host C Host B TCP Pass Host C Host A Destination Protocol Permit Source 根据访问控制规则决定进出网络的行为 防火墙定义 内部网 Firewall 防火墙基本概念 防火墙分类 防火墙发展趋势 防火墙核心技术 防火墙功能 防火墙性能 防火墙部署 防火墙可靠性 防火墙典型应用 Internet 软件防火墙 硬件防火墙 按技术层面分类 按保护对象分类 Internet 各种类型的防火墙 保护整个网络 保护单台主机 网络防火墙 单机防火墙 Internet 单机防火墙 网络防火墙 保护单台主机 安全策略分散 安全功能简单 普通用户维护 安全隐患较大 策略设置灵活 保护整个网络 安全策略集中 安全功能复杂多样 专业管理员维护 安全隐患小 策略设置复杂 全局安全措施 功能复杂、多样 一个网段 网络边界处 单点安全措施 功能单一 单台主机 单台独立的 Host 单机防火墙是网络防火墙的有益补充，但不能代替网络防火墙为内部网络提供强大的保护功能 结论 安全措施 功能 保护范围 安装点 专业网管人员 普通计算机用户 管理人员 集中管理 分散管理 管理方式 对整个网络有效 分散在各个安全点 安全策略