1、第一版,防火墙基础培训,目录,防火墙概念,软、硬防火墙,防火墙硬件架构,防火墙技术核心,防火墙功能,防火墙组网方式,防火墙性能指标,防火墙主流品牌,防火墙概念,简单的说,防火墙是保护一个网络免受“不信任”的网络的攻击,但是同时还必须允许两个网络之间可以进行合法的通信。,防火墙和路由器的差异,路由器的特点: 保证互联互通。 按照最长匹配算法逐包转发。 路由协议是核心特性。,防火墙的特点: 逻辑子网之间的访问控制,关注边界安全 基于连接的转发特性。 安全防范是防火墙的核心特性。,由于防火墙具有基于连接监控的特性,因此防火墙对业务支持具有非常强的优势。而路由器基于逐包转发的特点,因此路由器设备不适合
2、做非常复杂的业务,复杂的业务对路由器的性能消耗比较大。防火墙支持的接口不如路由器丰富,支持的路由协议不如路由器丰富,因此防火墙不适合做为互联互通的转发设备。防火墙适合做为企业、内部局域网的出口设备,支持高速、安全、丰富的业务特性。,软、硬防火墙的区别,防火墙硬件架构,INTER X86架构,ASIC架构,多核架构,NP架构,INTER X86架构,优点:技术成熟、容易扩展、兼容性高 缺点:性能限制,ASIC架构,ASIC:特定用途集成电路;,作为硬件集成电路,它把指令或计算逻辑固化到硬件中,获得高处理能力,提升防火墙性能; ASIC最大缺点是缺乏灵活性,支持有限的应用和服务。而且ASIC设计和
3、制造周期长,研发费用高,很难快速推出能满足客户需求不断变化的防火墙产品。,NP架构,NP网络处理器是专为网络数据处理而设计的芯片或芯片组,能够直接完成网络数据处理的一般性任务; 基于网络处理器的网络设备的包处理能力得到了很大提升 优点:网络处理性能高、较ASIC实现更灵活,更容易扩展,多核架构,CPU处理性能高、灵活性高 目前硬件防火墙、UTM等网关产品发展方向,防火墙技术,简单包过滤,状态检测,应用代理,简单包过滤,状态检测过滤,应用代理,防火墙功能,NAT、IP/MAC绑定、路由、VPN、支持认证服务器、访问控制列表,与病毒服务器安全联动、与IDS安全联动、抗DOS/DDOS攻击、,内容过
4、滤、URL过滤、防病毒、IPS、防垃圾邮件,日志、监控、策略库升级、双机热备、链路备份,防火墙组网方式,透明模式,路由模式,综合模式,防火墙性能指标,吞吐量,在不丢包的情况下能够达到的最大速率 吞吐量小就会造成网络新的瓶颈,以至影响整个网络性能,穿越防火墙的主机之间或主机与防火墙之间能同时建立的最大连接数,并发连接数,防火墙性能指标,国产品牌,联想网御、 天融信、 安达通、 启明星辰 HILLSTONE,JUNIPER-NETSCREEN、CISCO(ASA)、Fortigate(飞塔)、SONICWALL(DELL)、CHECKPOINT、WATCHGUARD、AMARANTEN,国际品牌,结束,
