防火墙技术原理.pptVIP

高可用性--双机热备功能 内部网 外网或者不信任域 Eth 0 Eth 0 Eth1 Eth1 Eth2 Eth2 心跳线 Active Firewall Standby Firewall 检测Active Firewall的状态 发现出故障，立即接管其工作 正常情况下由主防火墙工作 主防火墙出故障以后，接管它的工作 Hub or Switch Hub or Switch 通过ISTP协议可以交换两台防火墙的状态信息 当一台防火墙故障时，这台防火墙的连接不需要重新建立就可以透明的迁移到另一台防火墙上，用户不会察觉到 当前第31页\共有78页\编于星期六\19点 丰富的链路备份功能 网口 单combo口 双链路备份 网口 网口 双端口环形 光纤链路备份 HA HA双机备份 全冗余备份 防火墙 路由器 交换机 当前第32页\共有78页\编于星期六\19点 WWW 1 WWW 2 WWW 3 负载均衡算法： 轮流 轮流+权值 最少连接 最少连接+权值 根据负载均衡算法将数据重定位到一台WWW服务器 服务器阵列 响应请求 高可用性--服务器负载均衡 当前第33页\共有78页\编于星期六\19点 防火墙提供了“链路备份”功能来实时监视整个链路的工作情况，一旦发现异常，就立即启动“链路备份”功能自动切换到另一条备用链路，以确保网络的正常通信。 高可用性--网络链路备份功能 当前第34页\共有78页\编于星期六\19点 高可用性-双系统冗余 防火墙作为网络中的关键设备，对于维护网络的正常通信以及安全保障起着举足轻重的作用。所以，对防火墙本身的有效性和可用性就有了很高的要求。防火墙内置备份系统，这样，在主系统出现异常或由于升级失败而不能正常引导系统的情况下，用户可以手工选择使用备份系统。 当前第35页\共有78页\编于星期六\19点 扩展功能--病毒过滤功能(1) 当前第36页\共有78页\编于星期六\19点 扩展功能--病毒过滤功能(2) 当前第37页\共有78页\编于星期六\19点 扩展功能-- IPSEC VPN功能 当前第38页\共有78页\编于星期六\19点 支持L2TP/PPTP VPN功能 当前第39页\共有78页\编于星期六\19点 支持DDNS功能 当前第40页\共有78页\编于星期六\19点 防火墙基本概念 防火墙发展历程 防火墙核心技术 防火墙体系结构 防火墙功能与原理 防火墙的接入方式 防火墙的典型应用 防火墙性能 防火墙局限性 防火墙的两个争议 目录 当前第41页\共有78页\编于星期六\19点 受保护网络 Internet 如果防火墙支持透明模式，则内部网络主机的配置不用调整 Host A Host C Host D Host B 同一网段 透明模式下，这里不用配置IP地址 透明模式下，这里不用配置IP地址 防火墙相当于网桥，原网络结构没有改变 透明接入 当前第42页\共有78页\编于星期六\19点 受保护网络 Internet Host A Host C Host D Host B 防火墙相当于一个简单的路由器 提供简单的路由功能 路由接入 当前第43页\共有78页\编于星期六\19点 ETH0： ETH2： 网段 网段 此时整个防火墙工作于透明+路由模式，我们称之为综合模式或者混合模式 网段 ETH1： 两接口在不同网段，防火墙处于路由模式 两接口在不同网段，防火墙处于路由模式 两接口在同一网段，防火墙处于透明模式 灵活的接入方式－综合接入 当前第44页\共有78页\编于星期六\19点 防火墙基本概念 防火墙发展历程 防火墙核心技术 防火墙体系结构 防火墙功能与原理 防火墙的接入方式 防火墙的典型应用 防火墙性能 防火墙局限性 防火墙的两个争议 目录 当前第45页\共有78页\编于星期六\19点 DDN/帧中继 总行 省中支A 省中支B DDN/PSTN 地市行 A 地市行 B 防火墙的典型应用（梯形结构） 当前第46页\共有78页\编于星期六\19点 总部 分部 分部 访问控制 访问授权 信息审计 …… 访问控制 访问授权 信息审计 …… 访问控制 访问授权 信息审计 …… 防火墙的典型应用（星型结构） 帧中继专网 当前第47页\共有78页\编于星期六\19点 Internet DDN/PSTN 内部专网 黑客攻击 病毒 非授权访问 恶意代码 …… 阻断 防火墙的典型应用三（简单结构） 分支网络 当前第48页\共有78页\编于星期六\19点 防火墙基本概念 防火墙发展历程 防火墙核心技术 防火墙功能与原理 防火墙的接入方式 防火墙的典型应用 防火墙性能 防火墙局限性 防火墙的两个争议 目录 当前第49页\共有