防火墙相关概念及技术介绍.pptx

防火墙相关概念及技术介绍; 一 、防火墙应用场景;二 、防火墙基本概念;A的报文如何能最快的到B？ 网络A如何和网络B互联互通？过来一个报文立刻转发一个报文。;按照防火墙实现的方式，一般把防火墙分为如下几类： 包过滤防火墙(Packet Filtering) 包过滤利用定义的特定规则过滤数据包，防火墙直接获得数据包的IP源地址、目的地址、TCP/ UDP的源端口、和TCP/UDP的目的端口。 包过滤防火墙简单，但是缺乏灵活性，对一些动态协商端口没有办法设置规则。另外包过滤防火墙每包需要都进行策略检查，策略过多会导致性能急剧下降。 代理型防火墙（application gateway） 代理型防火墙使得防火墙做为一个访问的中间节点，对Client来说防火墙是一个Server，对Server来说防火墙是一个Client。 代理型防火墙安全性较高，但是开发代价很大。对每一种应用开发一个对应的代理服务是很难做到的，因此代理型防火墙不能支持很丰富的业务，只能针对某些应用提供代理支持。 状态检测防火墙 状态检测是一种高级通信过滤。它检查应用层协议信息并且监控基于连接的应用层协议状态。对于所有连接，每一个连接状态信息都将被维护并用于动态地决定数据包是否被允许通过防火墙或丢弃。 按硬件结构： x86、NP网络处理器（Network Processor）和ASIC专用集成电路（ASIC）电信级硬件防火墙;3、防火墙的功能、性能指标;6、VPN：分为点到端传输模式(PPTP协议)和端到端隧道模式(IPSec、IPIP、GRE隧道)，支持DES、3DE、Blowfish、AES、Cast128、Twofish等加密算法，支持MD5、SHA-1认证算法；VPN功能支持NAT穿越。 7、IP/MAC绑定：IP地址与MAC地址绑定，防止IP盗用，防止内网机器有意/无意抢占关键服务器IP。 8、DHCP：内置DHCP Server 为网络中计算机动态分配IP地址；DHCP Relay的支持能为防火墙不同端口的DHCP Server和计算机之间动态分配IP地址。 9、虚拟防火墙：在一台物理防火墙设备上提供多个逻辑上完全独立的虚拟防火墙，每个虚拟防火墙为一个特定的用户群提供安全服务。 10、应用代理：HTTP、FTP、SMTP等协议应用代理，大多数内容过滤通过应用代理实现。 11、流量控制：流量控制，流量优先级，带宽允许条件下的优先保障关键业务带宽。 12、防攻击：防止各类TCP、UDP端口扫描，源路由攻击，IP碎片包攻击，DOS、DDOS攻击，蠕虫病毒以及其他网络攻击行为。 ; 13、内置IDS：内置IDS模块，加强防火墙的防攻击能力。 14、内置防病毒模块：内置防病毒模块，在网关级进行病毒防护。 15、内置安全评估模块：内置安全评估模块，对网络中的计算机、网络设备等进行漏洞扫描，做出安全评估分析，提供安全建议，计时弥补网络中存在的安全隐患。 16、安全产品联动：防火墙与其他安全产品比如IDS、Scanner、防病毒等的联动功能。 17、链路备份/双机热备：在可靠性要求高的环境中，防火墙的多端口的链路备份以及双机热备功能提供了一个较好的解决方案。 18、配置文件上传/下载：配置文件的备份/恢复功能。 19、SNMP：支持SNMP协议，方便网络管理员对防火墙状态进行监控管理。 20、负载均衡：分为链路负载均衡和服务器负载均衡。 21、日志审计：日志存储、备份、查询、过滤、分析统计报表等。 22、入侵响应：日志记录、消息框报警、邮件报警、声音报警、发送SNMP Trap信息、手机短信报警。;性能指标 ;1、吞吐量：吞吐量是指防火墙在不丢包的情况下能够达到的最大包转发速率。吞吐量越大，说明防火墙数据处理能力越强。其测试方法是：在测试中以一定速率发送一定数量的帧，并计算待测设备传输的帧，如果发送的帧与接收的帧数量相等，那么就将发送速率提高并重新测试；如果接收帧少于发送帧则降低发送速率重新测试，直至得出最终结果。吞吐量测试结果以比特/秒或字节/秒表示。 2、并发连接数：并发连接数是防火墙能够同时处理的点对点连接的最大数目，它反映出防火墙设备对多个连接的访问控制能力和连接状态跟踪能力，这个参数的大小直接影响到防火墙所能支持的最大信息点数。影响并发连接数条目的主要因素是内存容量，其次是CPU频率及其他硬件。 以每个并发连接表项占用300B计算，1000个并发连接将占用300B×1000×8bit/B≈2.3Mb内存空间，10000个并发连接将占用23Mb内存空间，100000个并发连接将占用230Mb内存空间，而如果真的试图实现1000000个并发连接的话 ;2）并发连接