中国电信关于防火墙专题培训PPT-v3.0.ppt

防火墙基本概念——工作模式（Mode） 目前，SecPath 防火墙能够工作在三种模式下：路由模式、透明模式、混合模式。如果防火墙以第三层对外连接（接口具有IP地址），则认为防火墙工作在路由模式下；若防火墙通过第二层对外连接（接口无IP地址），则防火墙工作在透明模式下；若防火墙同时具有工作在路由模式和透明模式的接口（某些接口具有IP地址，某些接口无IP地址），则防火墙工作在混合模式下。下面分别进行介绍： 路由模式 透明模式 混合模式 注：有些防火墙分为路由模式，Nat模式，透明模式；对于SecPath 防火墙而言路由模式就包含这些防火墙所说的Nat模式 防火墙基本概念——路由模式（Mode） 当SecPath 防火墙位于内部网络和外部网络之间时，需要将防火墙与内部网络、外部网络以及DMZ三个区域相连的接口分别配置成不同网段的IP地址，重新规划原有的网络拓扑，此时相当于一台路由器（如下图所示 ）。采用路由模式时，可以完成ACL包过滤、ASPF动态过滤、NAT转换等功能。然而，路由模式需要对网络拓扑进行修改 防火墙基本概念——透明模式（Mode） 如果SecPath 防火墙采用透明模式进行工作，只需在网络中像放置网桥（bridge）一样插入该SecPath 防火墙设备即可，无需修改任何已有的配置；此时防火墙就象一个交换机一样工作如下图所示，该工作模式在现网改造的时候很容易部署，不过目前SecPath 防火墙还不支持STP，因此如果存在网络二层环路的情况下需要慎重部署 ； 另外SecPath 500/1000防火墙在透明模式下还有一个独特功能，可以提供透明模式下的Nat，该功能目前只有secpath防火墙能提供； 防火墙基本概念——混合模式（Mode） 如果SecPath 防火墙既存在工作在路由模式的接口（接口具有IP地址），又存在工作在透明模式的接口（接口无IP地址），则防火墙工作在混合模式下，这种工作模式基本上是透明模式和路由模式的混合，目前只用于透明模式下提供双机热备的特殊应用中，别的环境下不建议使用。其工作方式如下图所示： 防火墙基本概念——双机热备（HRP） 双机热备是防火墙提供网络层可靠性时所必须具备的特性，为了解决单台防火墙潜在的单点故障风险，在高可靠性网络中都要求两台防火墙提供双机热备功能，其特征是要求网络中不存在任何单点和单链路故障，一般要求具备以下特性： 需要支持真正的状态热备技术，保证防火墙主备切换业务不中断； 需要支持的组网方式灵活多变，并能支持多个安全域之间的热备； 需要保证切换时延尽量短，一般要求在1.5秒以内； 需要保证整个网络中不存在单点故障，任何设备、链路出现故障都能保护； 双机热备功能本身不能影响系统性能； 支持状态触发切换，以及防火墙主动抢占功能 防火墙基本概念——双机热备（HRP）续 由于目前流行的防火墙都是状态防火墙，状态防火墙有别于一般数通设备的地方就是需要有动态创建的状态表，而这通常要求对于特点的会话而言其上下行报文必须通过同一台防火墙，因此需要双机热备还支持以下特性： 解决报文来回路径一致问题（所谓来回路径一致指同一个会话上下行的报文需要经过同一台防火墙）； 需要支持网关透明切换问题，该过程对用户透明，因为大部分防火墙都部署在局域网， 而局域网上大部分设备不支持动态路由协议； 防火墙基本概念——虚拟专用网络（VPN） 虚拟私有网（Virtual Private Network）简称VPN，是近年来随着Internet的广泛应用而迅速发展起来的一种新技术，用以实现在公用网络上构建私人专用网络。“虚拟”主要指这种网络是一种逻辑上的网络。目前防火墙上提供L2TP和IPSec VPN服务，其中secpath200还支持GRE，而secpath500/secpath1000不支持GRE VPN原理如下图所示，其实质是通过隧道技术让用户通过公网直接访问用户自己的私网： 防火墙基本介绍－防火墙和路由器的差异 由于防火墙具有基于连接监控的特性，因此防火墙对业务支持具有非常强的优势。而路由器基于逐包转发的特点，因此路由器设备不适合做非常复杂的业务，复杂的业务对路由器的性能消耗比较大。防火墙支持的接口不如路由器丰富，支持的路由协议不如路由器丰富，因此防火墙不适合做为互联互通的转发设备。防火墙适合做为企业、内部局域网的出口设备，支持高速、安全、丰富的业务特性。 谢 谢!! thank 引入 随着Internet的日益普及，开放式的网络带来了许多不安全的隐患。在开放网络式的网络上，我们的周围存在着许多不能信任的计算机（包括在一个LAN之间），这种这些计算机对我们私有的一些敏感信息造成了很大的威胁。 在大厦的构造中，防火