DF100201防火墙产品与维护培训胶片ISSUE3[2]0XXXX0.pptxVIP

防火墙产品与维护;;课程内容;第一章 Eudemon防火墙培训;;防火墙的分类（一）;防火墙的分类(二）;防火墙技术发展方向;动态创建和删除过滤规则;ASPF（Application Specific Packet Filter）增强VRP平台上的防火墙功能，提供针对应用层的报文过滤功能。 ASPF是一种高级通信过滤。它检查应用层协议信息并且监控基于连接的应用层协议状态。对于所有连接，每一个连接状态信息都将被ASPF维护并用于动态地决定数据包是否被允许通过防火墙或丢弃。 ASPF不仅能够根据连接的状态对报文进行过滤还能够对应用层报文的内容加以检测，以对一部分攻击加以检测和防范。;状态防火墙通过检测基于TCP/UDP连接的连接状态，来动态的决定报文是否可以通过防火墙。在状态防火墙中，会维护着一个Session表项，通过Session表项就可以决定哪些连接是合法访问，哪些是非法访问。;FTP是File Transfer Protocol（文件传输协议）要用到两个TCP连接，一个是控制通道，用来在FTP客户端与服务器之间传递命令；另一个是数据通道，用来上传或下载数据。 检查接口上的外发IP报文，确认为基于TCP的FTP报文。 检查端口号确认连接为控制连接， 建立返回报文的临时ACL和状态表。 检查FTP控制连接报文，解析FTP 指令，根据指令更新状态表，如果包含数据通道建立指令，则创建另外的数据连接的临时ACL，对于数据连接，不进行状态检测。 对返回报文作根据协议类型做相应匹配检查，检查将根据相应协议的状态表和临时ACL决定报文是否允许通过。 DoS攻击的防范 对所有处于半开(TCP SYN or UDP)状态的连接进行数目统计和速度采样。 ;主要防火墙性能衡量指标;第一章 防火墙培训;;Eudemon系列防火墙性能;Eudemon 200：高效可靠的体系结构——双总线;Eudemon 500/1000 ：基于NP逻辑结构;;防火墙的基本工作流程;E200状态防火墙;与工控机类型防火墙技术对比;千兆防火墙技术对比;第一章 防火墙培训;防火墙原理与特性 ;防火墙的安全区域（一）;防火墙的安全区域（二）;防火墙的安全区域（三）;防火墙的安全区域（四）;防火墙的安全区域（五）;防火墙的安全区域（六）;防火墙原理与特性 ;防火墙的三种工作模式（一）;防火墙的三种工作模式（二）;防火墙的三种工作模式（三）;防火墙的三种工作模式（四）;防火墙原理与特性 ;防火墙的安全防范;访问控制列表是什么？;如何标识访问控制列表？;ACL加速;防火墙的安全防范;ASPF;黑名单（一）;黑名单（二）;黑名单配置举例（一）;黑名单配置举例（二）;其它;防火墙的安全防范;;防火墙的安全防范;攻击类型简介（一）;攻击类型简介（二）;单包攻击原理及防范（一）;单包攻击原理及防范（二）;单包攻击原理及防范（三）;单包攻击原理及防范（四）;单包攻击原理及防范（五）;单包攻击原理及防范（六）;单包攻击原理及防范（七）;分片报文攻击原理及防范（一）;分片报文攻击原理及防范（二）;拒绝服务攻击原理及防范（一）;拒绝服务攻击原理及防范（二）;扫描攻击原理和防范（一）;扫描攻击原理和防范（二）;防火墙防范的其他报文;防火墙的安全防范;IDS联动;IDS联动;IDS联动配置举例;防火墙原理与特性 ;VRRP和VGMP（一）;两个防火墙上各接口之间的隶属关系 两个防火墙上的接口和安全区域的连接必须严格一一对应，包括接口插槽、类型、编号、相关配置等（IP地址除外）。 两个防火墙上各VRRP备份组之间的隶属关系 两个防火墙上的备份组编号、构成必须完全一样。这就是说EudemonA上的A1接口隶属备份组1，A2接口隶属备份组2，A3接口隶属备份组3；则EudemonB上的B1、B2和B3接口也必须分别隶属备份组1、2和3。 两个防火墙上各VRRP管理组之间的隶属关系 两个防火墙上的管理组编号、构成必须完全一样。这就是说EudemonA上的管理组包括备份组1、2和3，则EudemonB上的同样编号的管理组也必须包含备份组1、2和3。 同一防火墙上接口、备份组、管理组之间的隶属关系 同一防火墙（例如EudemonA）上，一个物理接口可以隶属多个VRRP备份组。一个备份组中能包含多个物理接口，对应多个虚拟IP地址。同一VRRP管理组可以包含多个备份组，但是相同备份组不能隶属多个VRRP管理组。 VRRP备份组提供的备份功能是相对于安全区域而言的，即每个安全区域对应一个备份组；而VRRP管理组实现了各VRRP状态的一致性，是相对于Eudemon防火墙而言的，在每个防火墙上都定义至少一个VRRP管理组，负责管理该Eudemon防火墙与各安全区域相关的备份组 ;VRRP的配置