DF100201 防火墙产品与维护培训胶片 ISSUE3[2].0-20050805-B.pptVIP

防火墙产品与维护 3.0 学习目标 了解Eudemon产品工作原理 了解Eudemon产品规格和特性 掌握Eudemon产品典型组网及配置 掌握Eudemon产品维护方法 课程内容 第一章 Eudemon防火墙培训 防火墙的分类（一） 包过滤防火墙 代理防火墙 状态防火墙 防火墙的分类(二） 防火墙技术发展方向 基于改进的状态检测安全技术（一） 基于改进的状态检测安全技术（二） 基于改进的状态检测安全技术（三） 基于改进的状态检测安全技术（四） 主要防火墙性能衡量指标 第一章 防火墙培训 Eudemon系列防火墙性能 Eudemon 200：高效可靠的体系结构——双总线 防火墙的基本工作流程 传统包过滤防火墙（路由器） E200状态防火墙 与工控机类型防火墙技术对比 千兆防火墙技术对比 第一章 防火墙培训 防火墙原理与特性 防火墙的安全区域（一） 防火墙的内部划分为多个区域，所有的转发接口都唯一的属于某个区域 防火墙的安全区域（二） 路由器的安全规则定义在接口上，而防火墙的安全规则定义在安全区域之间 防火墙的安全区域（三） Eudemon防火墙上保留四个安全区域： 非受信区（Untrust）：低级的安全区域，其安全优先级为5。 非军事化区（DMZ）：中度级别的安全区域，其安全优先级为50。 受信区（Trust）：较高级别的安全区域，其安全优先级为85。 本地区域（Local）：最高级别的安全区域，其安全优先级为100。 此外，如认为有必要，用户还可以自行设置新的安全区域并定义其安全优先级别。最多16个安全区域。 防火墙的安全区域（四） 域间的数据流分两个方向： 入方向（inbound）：数据由低级别的安全区域向高级别的安全区域传输的方向； 出方向（outbound）：数据由高级别的安全区域向低级别的安全区域传输的方向。 防火墙的安全区域（五） 本域内不同接口间不过滤直接转发 进、出接口相同的报文被丢弃（EU200-VRP3.20-0314.01版本后支持） 接口没有加入域之前不能转发包文 防火墙的安全区域（六） 防火墙原理与特性 防火墙的三种工作模式（一） 路由模式 透明模式 混合模式 防火墙的三种工作模式（二） 可以把路由模式理解为象路由器那样工作。防火墙每个接口连接一个网络，防火墙的接口就是所连接子网的网关。报文在防火墙内首先通过入接口信息找到进入域信息，然后通过查找转发表，根据出接口找到出口域，再根据这两个域确定域间关系，然后使用配置在这个域间关系上的安全策略进行各种操作。 防火墙的三种工作模式（三） 透明模式的防火墙简单理解可以被看作一台以太网交换机。防火墙的接口不能配IP地址，整个设备出于现有的子网内部，对于网络中的其他设备，防火墙是透明的。报文转发的出接口，是通过查找桥接的转发表得到的。在确定域间之后，安全模块的内部仍然使用报文的IP地址进行各种安全策略的匹配。 Eudemon防火墙与网桥存在不同，Eudemon防火墙中IP报文还需要送到上层进行相关过滤等处理，通过检查会话表或ACL规则以确定是否允许该报文通过。此外，还要完成其它防攻击检查。透明模式的防火墙支持ACL规则检查、ASPF状态过滤、防攻击检查、流量监控等功能。 透明模式可以配置系统IP。 防火墙的三种工作模式（四） 混合模式是指防火墙一部份接口工作在透明模式，另一部分接口工作在路由模式。提出混合模式的概念，主要是为了解决防火墙在纯粹的透明模式下无法使用双机热备份功能的问题。双机热备份所依赖的VRRP需要在接口上配置IP地址，而透明模式无法实现这一点。 防火墙原理与特性 防火墙的安全防范 ACL 安全策略 NAT 攻击防范 IDS联动 访问控制列表是什么？ 一个IP数据包如下图所示（图中IP所承载的上层协议为TCP）： 如何标识访问控制列表？ 利用数字标识访问控制列表 利用数字范围标识访问控制列表的种类 ACL加速 应为每次区域间转发数据报时都要线性检查ACL中的所有规则,当ACL中的规则较多时,将极大的影响转发速度。ACL加速查找功能是一种能大大提高访问控制列表查找性能的技术。ACL加速查找不会因为访问控制列表中规则条目的增加而降低规则的匹配速度，因此使能ACL加速查找功能可以在规则数目很多的时候显著提高防火墙的性能。 增加规则要重新下发：系统视图下acl accelerate enable 基于MAC地址的访问控制列表不支持ACL加速查找功能 防火墙的安全防范 ACL 安全策略 NAT 攻击防范 IDS联动 ASPF ASPF（Application Specific Packet Filter）是针对应用层的包过滤，即基于状态的报文过滤。它和普通的静态防火墙协同工作，以便于实施内部网络的安全策略。ASPF能够检测试图通过防火