防火墙基本技术和原理精编版.pptVIP

* 天融信特有的技术 * 网络钓鱼（Phishing）一词，是“Fishing”和“Phone”的综合体，由于黑客始祖起初是以电话作案，所以用“Ph”来取代“F”，创造了”Phishing”。“网络钓鱼”攻击利用欺骗性的电子邮件和伪造的Web站点来进行诈骗活动，受骗者往往会泄露自己的财务数据，如信用卡号、账户用户名、口令和社保编号等内容。诈骗者通常会将自己伪装成知名银行、在线零售商和信用卡公司等可信的品牌，在所有接触诈骗信息的用户中，有高达5%的人都会对这些骗局做出响应。 地址绑定 防火墙的功能 00-50-04-BB-71-A6 00-50-04-BB-71-BC 00-50-04-BB-71-C4 HOST A HOST B HOST C HOST A HOST B HOST C BIND TO 00-50-04-BB-71-A6 BIND TO 00-50-04-BB-71-BC MAC地址与绑定的MAC地址不一致，丢弃该包 1、自动学习 2、防止IP盗用 正向NAT转换 防火墙的功能 ETH2： 5 ETH0： IP报头 数据 IP报头 数据 源地址： 目的地址：4 源地址： 目的地址：4 4 1、隐藏了内部网络的结构 2、内部网络可以使用私有IP地址 3、解决了公有IP地址不足的问题 防火墙的功能 反向NAT转换 /24 GW:54 54 www /24 GW:54 FTP /24 GW:54 MAIL /24 GW:54 DNS /24 GW:54 54 4 MAP :80 TO 4:80 MAP :21 TO 4:21 MAP :25 TO 4:25 MAP :53 TO 4:53 4 1、公开服务器可以使用私有地址 2、隐藏内部网络结构 3、服务器负载均衡 流量控制 防火墙的功能 出口带宽512K www mail ftp DMZ区 分配给DMZ512K 生产组 分配生产组96K 销售组 财务组 分配销售组70K 分配财务组90K 总带宽512K DMZ256K 内网256K 生产组96K 销售组70K 财务组90K 日志审记 防火墙的功能 日志服务器 1、安全的传输机制：防火墙日志的发送采用TCP连接并对数据进行了加密处理，其完善的 　　　　　　　　　 确认和校验机制，避免了日志的丢失和泄漏。 2、集中的日志管理：日志服务器可以集中接收管理多台防火墙的日志。 3、方便友好的日志查询：对日志进行组合查询，并提供对查询结果的编辑和打印。 4、实时日志扫描：对包过滤日志准确有效的分析，检测出可能的网络攻击。 5、控制台和邮件告警机制：及时地将入侵和系统告警显示或利用邮件发送给管理员。 6、流量统计：统计流量，形成报表并可打印报表。 入侵检测 防火墙的功能 DMZ 黑客扫描攻击检测 FTP攻击检测 TELNET攻击检测 DoS/DDoS攻击检测 MS-SQL攻击检测 检测到攻击 × 1、可检测多种黑客攻击手段和攻击行为 2、除对内部网的保护外，还可保护DMZ区 3、实时检测、报警、追踪 4、攻击库可以升级 黑客 与IDS联动 防火墙的功能 IDS 识别出 攻击行为 发送通知报文 验证报文 并采取措施 阻断连接或报警 发送响应报文 与防病毒网关联动 防火墙的功能11010011待发数据 接收数据1010110111010011接收数据 协议还原，检查病毒 没有发现病毒 放过最后一个 报文 PASS PASS 无病毒则转发最后一个报文，有病毒就丢弃它VLAN支持 防火墙的功能 支持VLAN的交换机 VLAN1 VLAN2 Trunk口 Trunk口 同一交换机的不同VLAN间通讯 防火墙要支持Trunk口 Switch1 Switch2 VLAN1 VLAN2 Trunk口 Trunk口 不同交换机的同一VLAN间通讯 防火墙要支持Trunk口 VPN功能 防火墙的功能 固定IP网关－－固定IP网关 固定IP网关－－动态IP网关 动态IP网关－－动态IP网关 网关－－不经NAT客户端 网关－－经NAT客户端 双机热备 防火墙的功能 Active Firewall Standby Firewall Eth0 Eth1 Eth2 Eth0 Eth1 Eth2 心跳线 当一台防火墙故障时，这台防火墙的连接不需要 重新建立就可以透明的迁移到另一台防火墙上 正常情况下由 主防火墙工作 检测Active Firewall的状态 发现出故障，立即接管其工作 主防火墙出故障以 后，接管它的工作 × 常见的防火墙性能指标 1、最大位转发率 2、吞吐量 3、延迟 4