防火墙培训PPT.ppt

网神信息技术 北京 股份有限公司员工技术培训课程 防火墙技术培训 2013 002 培训讲师 郭辰 课程目标 防火墙的基本概念网神防火墙产品线 产品特点网神防火墙工作原理 产品技术网神防火墙的典型应用 标准部署方案 一 防火墙概述 目录 二 网神防火墙 三 典型应用 部署方案 一 防火墙概述 目录 防火墙概念 1 防火墙作用 3 相关知识与常见述语 4 技术发展 2 防火墙概念 防火墙Firewall 在安全需求不同的网络区域之间 通过即定原则对网络通信强制实施访问控制的安全设备 边界防护 防火墙概念 防火墙是一款具备安全防护功能网络设备 路由 交换 攻击防护 日志记录 冗余设计 访问控制 虚拟专网 防火墙作用 对数据包的安全处理禁止允许其他附加功能 路由器功能NAT动 静态路由 日志 防火墙作用 2 错误或不当的配置 容易引发灾难性的网络后果 对不经过自身的网络数据无法控制 由其是内部网络之间 典型边界防护设备 策略配置相对复杂 专业 局限性 防火墙特点 防火墙的多功能与性能成反比 防火墙的安全性与性能成反比 防火墙的安全性与易操作成反比 相关知识与术语 术语 吞吐量定义 在不丢包的情况下能够达到的最大速率 衡量标准 吞吐量作为衡量防火墙性能的重要指标 百分比越大 速率越大证明设备的性能越高 参数单位 线速百分比或流量速率 海量数据 通过的数据 以最大速率发包 直到出现丢包时的取最大值 100M 60M 极限值 测试仪 测试仪 相关知识与术语 术语 并发连接数 定义 指在同一时间点上 防火墙所能维护的最大网络连接数 衡量标准 防火墙建立和维持网络连接的性能 并发连接数越大的防火墙适应大流量的网络的能力就越强 参数单位 个 CLIENT SERVER 持续最大 相关知识与术语 术语 包过滤根据预调置的包过滤规则 对穿越自身的网络数据包采取允许通过或禁止丢弃的功能 规则的检查项目以源地址 目的地址 源端口 目的端口 协议这五项被称之为五元组的要素组成 有时还会附加源 目的MAC 时间 进出接口等要素 相关知识与术语 术语 透明模式透明模式部署是一种修改网络拓扑比较小的部署方式 这种部署方式 不需要对原有网络设备进行配置上的变更 就可以新增部署防火墙 能够适应这种部署方式的防火墙配置方法称之为透明模式 在这种工作模式下 防火墙不对数据包做任何三层 路由 转发工作 但是会做二层 交换 转发工作 相关知识与术语 术语 HA 高可用性 HighAvailability 通常指一个系统通过专门的设计与技术 减少或消除因单一故障导致整个系统无法使用的情况 保障整体系统的可用性 是网络环境中消除单点故障的主要手段之一 在防火墙产品来说 HA通常都是指双机或多机备份 集群 在同一网络节点部署配置 相同 的多台防火墙 避免因为一台设备故障导致断网 相关知识与术语 动态服务 动态服务特指TCP应用中 在客户端通过一个固定端口登录服务器端 并与服务器协商出一个新的随机通讯端口 随后使用通迅端口传输后续数据 常见动态服务有FTP被动模式 SQL NET PPTP GRE VPN H 323 SIP等 1 1 1 1 1024 10 10 10 10 80 小结 防火墙概念 1 防火墙作用 3 相关知识与常见述语 4 技术发展 2 10 二 网神防火墙 目录 防火墙产品线 1 防火墙核心技术 3 防火墙应用技术 4 防火墙工作原理 2 防火墙产品线 防火墙 访问控制 线速防火墙 千兆高端 千兆中端 百兆高端 百兆低端 G60系列 G30系列 F10系列 G7系列 F6系列 F3系列 F1系列 万兆 X系列 G40系列 新命名防火墙产品线 A1500系列 企业级防火墙 网络处理能力800M到2G 并发连接发大于等于140万 1U机箱 单电源 不可扩展 标配4到6个10 100 1000M自适应电口 A3000系列 多核处理器架构 网络处理能力5G 8G 并发连接发大于等于220万到260万不等 2U机箱 冗余电源 个别型号 标配4到6个10 100 1000M自适应电口 4个SFP插槽 新命名防火墙产品线 A5000系列 多核处理器架构 网络处理能力6G 10G 并发连接数大于260万或大于等于300万 2U机箱 冗余电源 个别型号 6个十百千自适应电口 4个SFP插槽 支持液晶屏显示 A9000系列 电信级高端千兆线速防火墙 多核 二维矩阵ASIC架构 网络处理能力8G 12G 64G小包王10G线速 并发连接大于等于360万 2U机箱 冗余双电源 10个十百千自适应电口 10个SFP插槽 新命名防火墙产品线 A10000系列 万兆核心级防火墙 多核 ASCI处理架构 网络处理能力40G 并发连接数400万 标准2U机箱 冗余电源 标准配置8个万兆SFP 插槽 10个千兆SFP插槽 2个十百千自适应电口 核心技术 多核AC架构 核心技术 高适用性 防火墙工作原理 简 安全功能 网络功能 安全功能抗攻击蠕虫过滤安全规则P2P IM限制带宽管理连接限制用户认证 网络功能二层转发三层转发链路探测HA VRRPADSL接入IP与MAC绑定网口联动 防火墙工作原理 OSI与防火墙 应用层Application 网络层Internet 传输层Transport 链路层Link IM P2P限制 URL过滤 URL重定向 代理规则与定义 电源 物理连线 接口工作模式 速率协商 VLAN标记与TRUNK MAC地址表 桥转发表 端口联动 透明桥 MAC与IP绑定 对象定义 地址 接口IP 路由 静态 动态 DHCP等 安全规则 对象定义 服务 动态服务 抗攻击 蠕虫过滤 安全助手 链路探测 防火墙工作原理 1 丢弃 网卡 抗攻击 IP MAC绑定 防火墙工作原理 2 VPN判断 本地服务 协议判断 VPN解密 本地处理 特殊模块处理 是 否 否 是 IP协议 非TCP IP协议 防火墙工作原理 3A 状态表 匹配 3B 否 安全规则高级选项 路由表 否 是 路由VPN VPN加密 丢弃 是 否 转发 转发 防火墙工作原理 3B 状态表 否 3A 匹配 VPN加密 否 是 路由表 加密VPN 丢弃 转发 转发 安全规则 丢弃 匹配 创建状态表 路由表 是 否 否 路由VPN VPN加密 转发 应用技术 状态包过滤 A C B D 应用技术 状态包过滤 安全规则 LJBVG RTY LJHL LHKJ LJBVGJ GHLJJ LJBVG RTY LJHL LHKJ LJBVGJ GHLJJ LJBVG RTY LJHL LHKJ LJBVGJ GHLJJ LJBVG RTY LJHL LHKJ LJBVGJ GHLJJ LJBVG RTY LJHL LHKJ LJBVGJ GHLJJ LJBVG RTY LJHL LHKJ LJBVGJ GHLJJ 状态表五元组等 高性能 高安全性 易配置 应用技术 HA 保障网络可用 不改变逻辑拓扑 应用技术 HA 应用技术 HA 从 主 HA基本功能 状态同步处于HA群组中的任何一台防火墙状态表发生任何变化时 都会从HA接口发送广播报文 报文中包含状态表的变化 包括某条状态表项的建立 变更 删除 其他防火墙接收到广播报文后 根据报文内容 同步修改自身的状态表 应用技术 HA 从 主 VRRP功能 网络节点互备所有启动了VRRP功能的设备 都会从自己的通讯接口发送组播报文 224 0 0 18 通过互相对比接到到的组播报文中的优先级 除了优先级数字最小的一台认定自己为master继续发送组播报文 其他设备均停止发送组播报文 进入监听状态 处于VRRP master状态的防火墙将接管所有的虚拟IP 接管之初 会以自身接口实际MC 连续发送5次免费ARP 以帮助周边网络设备更新MAC表 应用技术 多出口 多出口应用根据常见的用户需求 多出口环境下一般分为链路冗余 定向选路等具体部署情况 应用技术 多出口 多出口应用根据常见的用户需求 多出口环境下一般分为链路冗余 定向选路等具体部署情况 通过路由负载 链路探测实现链路冗余需求 通过源路由 指定目的的NAT规则实现定向选路功能 定向选路与链路冗余不可共存 小结 15 防火墙产品线 1 防火墙核心技术 3 防火墙应用技术 4 防火墙工作原理 2 目录 三 典型应用 部署方案 基础环境 1 HA 2 基础环境 Vlan1领导办公区 Vlan2办公楼 VLAN3DMZ 服务器区 核心交换 在哪些位置可以部署防火墙 边界路由器 基础环境 A B 边界透明接入优点 1 网络环境改动少 逻辑拓扑无变化 2 防火墙易于配置 3 故障维护方法简易 缺点 1 增加一个网络故障点2 部分安全功能不支持透明模式 基础环境 A B 边界透明接入配置的步骤 1 两个接口混合模式2 配置对象定义3 配置安全规则可选 1 配置带外管理IP 管理主机IP2 配置跨网段管理用的缺省路由3 其他安全功能 基础环境 C D 内部透明接入优点 1 安全区域边界明确 2 控制力度强 3 故障定位简单 缺点 1 用户投资大2 用户的安全需求未必会要求如此明细的控制 E 基础环境 F 边界路由接入替换路由器的优点 1 不新增网络故障点 2 排查问题易定位 缺点 1 防火墙配置相对复杂2 不一定能兼容所有原路由器的功能 基础环境 F 实施方案的推荐顺序1 F或B根据用户实际应用决定是路由 透明2 C D E根据用户内网实际安全需求决定3 A因为可能涉及到ISP接入设备 最后考虑A位置 C D E A B 基础环境 F 边界路由接入配置步骤 1 配置内 外口的IP地址2 配置缺省路由及对内网回指路由3 配置对象定义 安全规则 NAT规则 可选步骤 4 配置远程管理主机 5 配置其他安全功能 实际环境 HA 小术语 主备模式 Active Standby 是指两台防火墙中 只有主墙处于工作状态 备墙处于准备状态 除非主墙发生故障时 备墙才会接管主墙的工作 核心交换主 边界路由器备 边界路由器主 核心交换备 防火墙主 防火墙备 双活 双主 Active Active 是指两台防火墙同时工作 同时处理数据 也同时互为备份 HA 小术语 日字型连接是指由2台边阶路由器 两台防火墙 两台核心交换机组成的一组冗余网络拓扑的形状 部分环境还会在墙与路由器之间的 或是核心交换与墙之间的串连其他安全设备 如流控 IPS 防毒墙等 形成目字型或 我们把单台防火墙向同一个方向 只连接一台周边设备的拓扑 都可以叫做日字型连接 HA 核心交换主 边界路由器备 全连接我们把单台防火墙向同一个方向 连接所有周边周边设备的拓扑 都可以叫做全连接型拓扑 边界路由器主 核心交换备 最高可用性保障 HA 小术语 二层冗余使用生成树等二层协议 进行链路选择 核心交换主 边界路由器备 边界路由器主 核心交换备 防火墙主 防火墙备 HA 核心交换主 边界路由器备 透明模式每台墙用两个接口配置为混合模式并绑定透明桥 接入用户网络中 使用HA基本功能实现配置与状态的同步 优点 1 网络改动较小 逻辑拓扑不变2 防火墙易配置3 维护简单4 网络环境适应性强 边界路由器主 核心交换备 A A 透明模式为双活 不分主备 HA 核心交换主 边界路由器备 边界路由器主 核心交换备 A A 配置步骤A 主墙1 两个网口配置为混合模式2 绑定这两个网口为透明桥3 为一个接口配置IP地址 用于做HA心跳线 4 配置HA基本功能 其中选中 主控节点 5 添加同步配置的规则 服务为secgate ha conf的ANY to ANY规则 A 备墙第3步HA接口IP 同段但不能相同 第4步选中 自动同步配置 其余相同 HA 核心交换主 边界路由器备 透明模式 2全连接每台墙用4个接口配置为混合模式并绑定成2对透明桥 成两进两出状态 接入用户网络中 使用HA基本功能实现配置与状态的同步 优点 全冗余结构 可用性最高 缺点 结构过于复杂 维护困难 边界路由器主 核心交换备 B B 适用于已经启用OSPF网络 HA 核心交换主 边界路由器备 路由模式启用VRRP用于浮动虚似IP 保障网络切换功能 使用HA基础功能实现状态同步与配置同步 这种部署模式 分单活与双活两种 在配置为单活主备模式时 只有VRRP关联状态为MASTER的主墙处理数据 在配置为双活时 每台防火墙分别有一个关联为MASTER状态 并处理转发给自身的数据 边界路由器主 核心交换备 C C HA 核心交换主 边界路由器备 边界路由器主 核心交换备 C C 配置步骤 主墙1 内 外 HA三个网口配置各自为路由模式 并配置实IP2 配置2个VRRP实例 为实例绑定一个网口 并为每个实例配置虚IP 3 配置VRRP关联 绑定内外口实例 设置一个优先级 4 配置缺省路由及回指路由5 配置HA基本功能 其中选中 主控节点 6 添加同步配置的规则 服务为secgate ha conf的ANY to ANY规则 7 添加VRRP规则 服务为VRRP的ANY to ANY HA 核心交换主 边界路由器备 边界路由器主 核心交换备 C C 配置步骤 备墙1 内 外 HA三个网口配置各自为路由模式 并配置实IP 与主墙不同 2 配置2个VRRP实例 为实例绑定一个网口 并配置虚拟IP VRID需与主墙相应接口相同 3 配置VRRP关联 绑定内外口的实例 设