《防火墙技术项目化教程》课件_模板.ppt

NO.1透明模式Internet内部网ETH0：ETH1：ETH2：0/24网段0/24网段外网、SSN、内网在同一个广播域，防火墙做透明设置。此时防火墙为透明模式。NO.2路由模式Internet内部网ETH0：ETH1：ETH2：/24网段/24网段外网、SSN区、内网都不在同一网段，防火墙做路由方式。这时，防火墙相当于一个路由器。NO.3混合模式ETH1：02ETH2：00/24网段/24网段此时整个防火墙工作于透明+路由模式，我们称之为综合模式或者混合模式/24网段ETH0：两接口在不同网段，防火墙处于路由模式两接口在不同网段，防火墙处于路由模式两接口在同一网段，防火墙处于透明模式防火墙基本概念防火墙发展历程防火墙核心技术防火墙体系结构防火墙功能与原理防火墙的接入方式防火墙的典型应用防火墙性能衡量防火墙性能的五大指标吞吐量：该指标直接影响网络的性能，吞吐量时延：入口处输入帧最后1个比特到达至出口处输出帧的第1个比特输出所用的时间间隔丢包率：在稳态负载下，应由网络设备传输，但由于资源缺乏而被丢弃的帧的百分比背靠背：从空闲状态开始，以达到传输介质最小合法间隔极限的传输速率发送相当数量的固定长度的帧，当出现第一个帧丢失时，发送的帧数并发连结数：并发连接数是指穿越防火墙的主机之间或主机与防火墙之间能同时建立的最大连接数吞吐量定义：在不丢包的情况下能够达到的最大速率衡量标准：吞吐量越大，防火墙的性能越高~;%#^*^#**(Smartbits6000B测试仪10110010100001111100101001001000以最大速率发包直到出现丢包时的最大值防火墙吞吐量小就会成为网络的瓶颈100M60M时延数据包首先排队待防火墙检查后转发定义：入口处输入帧最后1个比特到达至出口处输出帧的第一个比特输出所用的时间间隔衡量标准：延时越小，表示防火墙的性能越高1010100100100101010110010100001001010010001001000最后1个比特到达第一个比特输出时间间隔1010100111001110101010011100111010100100101001010001010101010010000100100010造成数据包延迟到达目标地丢包率定义：在连续负载的情况下，防火墙设备由于资源不足应转发但却未转发的帧百分比衡量标准：丢包率越小，防火墙的性能越高发送了1000个包防火墙由于资源不足只转发了800个包丢包率=（1000-800）/1000=20%100101010010101001001100101010010001001001背靠背定义：从空闲状态开始，以达到传输介质最小合法间隔极限的传输速率发送相当数量的固定长度的帧，当出现第一个帧丢失时，发送的帧数。衡量标准：背对背包主要是指防火墙缓冲容量的大小,网络上经常有一些应用会产生大量的突发数据包（例如：NFS,备份，路由更新等），而且这样的数据包的丢失可能会产生更多的数据包的丢失，强大缓冲能力可以减小这种突发对网络造成的影响。时间（t）包数量（n）少量包包增多峰值包减少没有数据背靠背是体现防火墙对突发数据的处理能力*****信息安全与管理专业教学资源库防火墙技术信息安全与管理专业教学资源库防火墙技术本讲主要任务与学习目标任务目标任务1：学习防火墙基本概念和工作原理任务2：学习防火墙体系结构和性能指标意义任务3：学习防火墙典型部署方式和应用方式学习目标掌握防火墙的基本概念及原理掌握防火墙的性能指标意义，及选型参考方式掌握防火墙典型应用主要内容防火墙基本概念防火墙发展历程防火墙核心技术防火墙体系结构防火墙功能与原理防火墙的接入方式防火墙的典型应用防火墙性能各种类型的防火墙软件防火墙硬件防火墙按形态分类按保护对象分类Internet保护整个网络保护单台主机网络防火墙单机防火墙InternetInternet单机防火墙网络防火墙保护单台主机安全策略分散安全功能简单普通用户维护安全隐患较大策略设置灵活保护整个网络安全策略集中安全功能复杂多样专业管理员维护安全隐患小策略设置复杂单机防火墙网络防火墙产品形态软件硬件或者软件安装点单台独立的Host网络边界处安全策略分散在各个安全点对整个网络有效保护范围单台主机一个网段管理方式分散管理集中管理功能功能单一功能复杂、多样管理人员