【文章內(nèi)容簡介】 ? 標題名稱： 28pt 黑體 , 深藍色 ? 文本內(nèi)容： 最大 28pt 黑體 ,黑色 Host A Host B Host C Host D 005004BB71A6 005004BB71BC BIND To 005004BB71A6 BIND To 005004BB71BC IP與 MAC地址綁定后，不允許Host B假冒 Host A的 IP地址上網(wǎng) 防火墻允許 Host A上網(wǎng) 跨路由器 IP與 MAC（用戶）的綁定 ? 標題名稱： 28pt 黑體 , 深藍色 ? 文本內(nèi)容： 最大 28pt 黑體 ,黑色 策略路由功能 中國教育網(wǎng) Inter Host A： Host B： Host C： 內(nèi)網(wǎng) 根據(jù)源、目地址來進行路由 主機 B直接連接 Inter 主機 A通過 教育網(wǎng) 上 Inter ? 標題名稱： 28pt 黑體 , 深藍色 ? 文本內(nèi)容： 最大 28pt 黑體 ,黑色 分級帶寬管理 Inter Mail DNS 財務(wù)部子網(wǎng) 采購部子網(wǎng) 出口帶寬 512K DMZ 區(qū)保留 256K 分配 70K 帶寬 分配 90K 帶寬 分配 96K 帶寬 DMZ 區(qū)域 內(nèi)部網(wǎng)絡(luò) 總帶寬 512 K 內(nèi)網(wǎng) 256 K DMZ 256 K 70 K 90 K 96 K + + + 財務(wù)子網(wǎng) 采購子網(wǎng) 生產(chǎn)子網(wǎng) 生產(chǎn)部子網(wǎng) ? 標題名稱： 28pt 黑體 , 深藍色 ? 文本內(nèi)容： 最大 28pt 黑體 ,黑色 應(yīng)用代理是防火墻中一個重要的功能，啟用代理可以針對特定應(yīng)用進行更細粒度的控制，包括內(nèi)容過濾等。 客戶端 服務(wù)器 2：防火墻對客戶端的訪問進行控制 1：客戶端訪問服務(wù)器需先訪問防火墻 3：防火墻代替客戶端向服務(wù)器發(fā)送請求 FTP HTTP SMTP 代理服務(wù) ? 標題名稱： 28pt 黑體 , 深藍色 ? 文本內(nèi)容： 最大 28pt 黑體 ,黑色 認證技術(shù) 認證是所有防火墻的基礎(chǔ)。 認證技術(shù)： ? 操作系統(tǒng)口令： Username/Password 。 ? S/Key ； ? RADIUS ； ? 第三方的插件； 認證模式： ? 用戶認證 ? 客戶認證 ? 會話認證 認證服務(wù) ? 標題名稱： 28pt 黑體 , 深藍色 ? 文本內(nèi)容： 最大 28pt 黑體 ,黑色 Host C Host D Host B Host A 受保護網(wǎng)絡(luò) Inter IDS 黑客 發(fā)起攻擊 發(fā)送通知報文 驗證報文并 采取措施 發(fā)送響應(yīng)報文 識別出攻擊行為 阻斷連接或者報警等 與 IDS安全聯(lián)動 ? 標題名稱： 28pt 黑體 , 深藍色 ? 文本內(nèi)容： 最大 28pt 黑體 ,黑色 Trunk 口 Trunk 口 VLAN 1 VLAN 2 支持 VLAN的交換機 Trunk 口 Trunk 口 VLAN 1 VLAN 2 Switch1 Switch 2 同一交換機的不同 VLAN 之間通訊 不同交換機的同一 VLAN 之間通訊 不支持 TRUNK的防火墻無法在這種環(huán)境下工作 不支持 TRUNK的防火墻無法在這種環(huán)境下工作 防火墻對 TRUNK協(xié)議的支持 ? 標題名稱： 28pt 黑體 , 深藍色 ? 文本內(nèi)容： 最大 28pt 黑體 ,黑色 SynPROXY（主機） /SynPROXY（網(wǎng)關(guān)） ? 在服務(wù)器和外部網(wǎng)絡(luò)之間部署代理服務(wù)器 ? 通過代理服務(wù)器發(fā)送 Syn/Ack報文，在收到客戶端的 Syn包后，防火墻代替服務(wù)器向客戶端發(fā)送Syn/Ack包，如果客戶端在一段時間內(nèi)沒有應(yīng)答或中間的網(wǎng)絡(luò)設(shè)備發(fā)回了 ICMP錯誤消息，防火墻則丟棄此狀態(tài)信息 ? 如果客戶端的 Ack到達，防火墻代替客戶端向服務(wù)器發(fā)送 Syn包，并完成后續(xù)的握手最終建立客戶端到服務(wù)器的連接。 ? 通過這種 SynPROXY技術(shù)，保證每個 Syn包源的真實有效性，確保服務(wù)器不被虛假請求浪費資源，從而徹底防范對服務(wù)器的 SynFlood攻擊。 SYN SYN/ACK ACK SYN SYN/ACK ACK SYN SYN/ACK ACK Client Server 抗 DOS/DDOS攻擊 Random Drop算法 ? 標題名稱： 28pt 黑體 , 深藍色 ? 文本內(nèi)容： 最大 28pt 黑體 ,黑色 抗 DOS/DDOS攻擊 Random Drop算法 Random Drop算法 ? 當流量達到一定的數(shù)量限度時，所采取的一種通過降低性能，保證服務(wù)的不得已的方法。 ? 具體過程是：當流量達到一定的閥值的時候，開始按照一定的算法丟棄后續(xù)的報文，保持主機的處理能力，這樣對于用戶而言，許多合法的請求可能被主機隨機丟棄，但是有部分請求還是可以得到服務(wù)器響應(yīng)，保證服務(wù)不間斷運行的。 SYN SYN/ACK ACK Client Server 1518 80 TCP 1538 80 TCP 2518 80 TCP 3518 80 TCP 1518 80 TCP 1518 80 TCP 連接表 丟棄連接 丟棄連接 ? 標題名稱： 28pt 黑體 , 深藍色 ? 文本內(nèi)容： 最大 28pt 黑體 ,黑色 抗 DOS/DDOS攻擊 帶寬限制和 QoS保證 帶寬限制和 QoS 保證 ? 通過對報文種類、來源等各種特性設(shè)置閥值參數(shù)，保證主要服務(wù)穩(wěn)定可靠的資源供給。 ? 保證在高強度攻擊環(huán)境下一定的連接保持率和新連接發(fā)起成功率 內(nèi)部網(wǎng)絡(luò) 1518 80 TCP 1538 80 TCP 2518 80 TCP 3518 80 TCP 1518 80 TCP 1518 80 TCP Inter ? 標題名稱： 28pt 黑體 , 深藍色 ? 文本內(nèi)容： 最大 28pt 黑體 ,黑色 INTERNET Web服務(wù)器 3 Web服務(wù)器 1 Web服務(wù)器 2 服務(wù)器負載均衡 ? 標題名稱： 28pt 黑體 , 深藍色 ? 文本內(nèi)容： 最大 28pt 黑體 ,黑色 高可用性（ High Availability）技術(shù)是為解決防火墻 單點故障點，提供無縫的故障恢復(fù)，保障企業(yè)網(wǎng)絡(luò)的關(guān)鍵 應(yīng)用。 如：雙機熱備、集群（ Cluster）技術(shù)等。 Inter SDCentillion 1400Bay NetworksETHER RS 232CPC CARDP*8x50OOO130A O N6 INS ACT ALMRST LINKPWR ALM FAN0 FAN1 PWR0 PWR1ALMSDCentillion 1400Bay NetworksETHER RS 232CPC CARDP*8x50OOO130A O N6 INS ACT ALMRST LINKPWR ALM FAN0 FAN1 PWR0 PWR1ALM內(nèi)部網(wǎng)絡(luò) HA Beat Router Switch Switch 高可用性技術(shù) ? 標題名稱： 28pt 黑體 , 深藍色 ? 文本內(nèi)容： 最大 28pt 黑體 ,黑色 防火墻雙機熱備 內(nèi)部網(wǎng) 外網(wǎng)或者不信任域 Eth 0 Eth 0 Eth1 Eth1 Eth2 Eth2 狀態(tài)同步心跳線 Active Firewall Standby Firewall 檢測 Active Firewall的狀態(tài) 發(fā)現(xiàn)出故障，立即接管其工作 正常情況下由主防火墻工作 主防火墻出故障以后，接管它的工作 Hub or Switch Hub or Switch 通過 STP協(xié)議可以交換兩臺防火墻的狀態(tài)信息 當一臺防火墻故障時，這臺防火墻的連接不需要重新建立就可以透明的遷移到另一臺防火墻上，用戶不會察覺到 ? 標題名稱： 28pt 黑體 , 深藍色 ? 文本內(nèi)容： 最大 28pt 黑體 ,黑色 目 錄 防火墻基本概念 防火墻的發(fā)展歷程 防火墻功能解析 防火墻性能解析 ? 標題名稱： 28pt 黑體 , 深藍色 ? 文本內(nèi)容： 最大 28pt 黑體 ,黑色 并發(fā)連接數(shù) 1. 定義：指穿越防火墻的主機之間或主機與防火墻之間能同時建立的最大連接數(shù) 2. 衡量標準：并發(fā)連接數(shù)的測試主要用來測試被測防火墻建立和維持TCP連接的性能，同時也能通過并發(fā)連接數(shù)的大小體現(xiàn)被測防火墻對來自于客戶端的 TCP連接請求的響應(yīng)能力。 3. 理解細化：是防火墻能夠同時處理的點對點會話連接的最大數(shù)目，它反映防火墻對多個連接的訪問控制能力和連接狀態(tài)跟蹤能力。這個參數(shù)的大小可以直接影響到防火墻所能支持的最大信息點數(shù) CLIENT SERVER 并發(fā)連接數(shù)可以用來衡量穿越防火墻的主機之間能同時建立的最大連接數(shù) ? 標題名稱： 28pt 黑體 , 深藍色 ? 文本內(nèi)容： 最大 28pt 黑體 ,黑色 吞吐量 1. 定義：在不丟包的情況下能夠達到的最大速率 2. 衡量標準：吞吐量作為衡量防 火墻性能的重要指標之一 ,吞吐量小就會造成網(wǎng)絡(luò)新的瓶頸，以至影響到整個網(wǎng)絡(luò)的性能 ~。%*$^*^**( Smartbits 6000B 測試儀 101100101000011111001010010001001000 以最大速率發(fā)包 直到出現(xiàn)丟包時的最大值 防火墻吞吐量小就會成為網(wǎng)絡(luò)的瓶頸 100M 60M ? 標題名稱： 28pt 黑體 , 深藍色 ? 文本內(nèi)容： 最大 28pt 黑體 ,黑色 數(shù)據(jù)包首先排隊待 防火墻檢查后轉(zhuǎn)發(fā) 延時 1. 定義： 入口處輸入幀最后 1個比特到達至出口處輸出幀的第一個比特輸出所用的時間間隔 2. 衡量標準：防火墻的時延能夠體現(xiàn)它處理數(shù)據(jù)的速度 10101001001001001010 Smartbits 6000B 測試儀 101100101000011111001010010001001000 最后 1個比特到達 第一個比特輸出 時間間隔 1010100111001110 1010100111001110 1010010010100100010100010 101010100100100100100100010 造成數(shù)據(jù)包延遲到達目標地 ? 標題名稱： 28pt 黑體 , 深藍色 ? 文本內(nèi)容： 最大 28pt 黑體 ,黑色 丟包率 1. 定義： 在連續(xù)負載的情況下，防火墻設(shè)備由于資源不足應(yīng)轉(zhuǎn)發(fā)但卻未轉(zhuǎn)發(fā)的幀百分比 2. 衡量標準：防火墻的丟包率對其穩(wěn)定性、可靠性有很大的影響 Smartbits 6000B 測試儀 發(fā)送了 1000個包 防火墻由于資源不足只轉(zhuǎn)發(fā)了 800個包 丟包率 =（ 1000800） /1000=20% 10010101001010010001001001 10010101001010010001001001 ? 標題名稱： 28pt 黑體 , 深藍色 ? 文本內(nèi)容： 最大 28pt 黑體 ,黑色 背靠背 1. 定義：從空閑狀態(tài)開始，以達到傳輸介質(zhì)最小合法間隔極限的傳輸速率發(fā)送相當數(shù)量的固定長度的幀，當出現(xiàn)第一個幀丟失時，發(fā)送的幀數(shù)。 2. 衡量標準：背靠背的測試結(jié)果能體現(xiàn)出防火墻的緩沖容量，網(wǎng)絡(luò)上經(jīng)常有一些應(yīng)用會產(chǎn)生大量的突發(fā)數(shù)據(jù)包（如 NFS、備份、路由更新等），而且這樣的數(shù)據(jù)包的丟失可能會產(chǎn)生更多的數(shù)據(jù)包，強大的緩沖能力可以減少這種突發(fā)對網(wǎng)絡(luò)造成的影響。 Smart bits 6000B測試儀 少量包 沒有數(shù)據(jù) 包增多 峰值 包減少 包數(shù)量（ N) 時間（ T） 背靠背指標體現(xiàn)防火墻對突發(fā)數(shù)據(jù)的處理能力 ? 標題名稱： 28pt 黑體 , 深藍色 ? 文本內(nèi)容： 最大 28pt 黑體 ,黑色 軟件發(fā)展： 包過濾、應(yīng)用代理、狀態(tài)檢測、深度內(nèi)容過濾 硬件發(fā)展： X8嵌入式、 ASIC、 NPU、多核 接入方式： 透明、路由、混合 實現(xiàn)技術(shù)： 安全區(qū)劃分、 NAT、策