防火墙技术应用.ppt

防火墙技术 WWW 1 WWW 2 WWW 3 负载均衡 负载均衡算法： 顺序选择地址+权值 根据PING的时间间隔来选择地址+权值 根据Connect的时间间隔来选择地址+权值 根据Connect然后发送请求并得到应答的时间间隔来选择地址+权值 根据负载均衡算法将数据重定位到一台WWW服务器 服务器阵列 响应请求 防火墙负载均衡 内部网 外网或者不信任域 Eth 0 Eth 0 Eth1 Eth1 Eth2 Eth2 心跳线 0 # 1 # 检测 0 # Firewall的状态 发现出故障，立即接管其工作 防火墙根据 与0 # 防火墙一起工作 Hub Hub 防火墙自动检测和恢复机制 在防火墙硬件系统中嵌入 WatchDog 电路 在防火墙核心软件中增加对 WatchDog 电路的支持 一旦 WatchDog 电路发现防火墙核心软件运行出现严重错误将产生硬件复位信号，促使核心系复位并重新启动 通过这种自动检测和恢复机制，尽量减少因防火墙系统意外宕机带来的损失 Firewall 防火墙基本概念 防火墙分类 防火墙发展趋势 防火墙核心技术 防火墙功能 防火墙性能 防火墙部署 防火墙可靠性 防火墙典型应用 大型行业用户总部 分支机构 A 分支机构 B 办事处 A 办事处 B 大型行业用户防火墙解决方案 Modem 池 F R Internet PSTN/ISDN 骨干网可以考虑：NGFW4000 营业点接入网考虑：ARES防火墙 互联网可以考虑：NGFW4000中高端 总 部 分支机构A 分支机构B 移动用户A 移动用户B 黑 客 企业用户防火墙方解决方案？ NGFW4000 ARES ARES Internet 高端 低端 再有的另一个功能就是双地址路由功能，他的实现原理主要就是让内网中的用户通过双地址路由功能分别从两个不同的电信运营商访问到互联网，起到一个链路备份的功能 防火墙基本概念 防火墙分类 防火墙发展趋势 防火墙核心技术 防火墙功能 防火墙性能 防火墙部署 防火墙可靠性 防火墙典型应用 Firewall Internet 一种高级访问控制设备，置于不同网络安全域之间的一系列部件的组合，它是不同网络安全域间通信流的唯一通道，能根据企业有关的安全政策控制（允许、拒绝、监视、记录）进出网络的访问行为。 两个安全域之间通信流的唯一通道 UDP Block Host C Host B TCP Pass Host C Host A Destination Protocol Permit Source 根据访问控制规则决定进出网络的行为 防火墙定义 内部网 Firewall 防火墙基本概念 防火墙分类 防火墙发展趋势 防火墙核心技术 防火墙功能 防火墙性能 防火墙部署 防火墙可靠性 防火墙典型应用 Internet 软件防火墙 硬件防火墙 按技术层面分类 按保护对象分类 Internet 各种类型的防火墙 保护整个网络 保护单台主机 网络防火墙 单机防火墙 Internet 单机防火墙 网络防火墙 保护单台主机 安全策略分散 安全功能简单 普通用户维护 安全隐患较大 策略设置灵活 保护整个网络 安全策略集中 安全功能复杂多样 专业管理员维护 安全隐患小 策略设置复杂 全局安全措施 功能复杂、多样 一个网段 网络边界处 单点安全措施 功能单一 单台主机 单台独立的 Host 单机防火墙是网络防火墙的有益补充，但不能代替网络防火墙为内部网络提供强大的保护功能 结论 安全措施 功能 保护范围 安装点 专业网管人员 普通计算机用户 管理人员 集中管理 分散管理 管理方式 对整个网络有效 分散在各个安全点 安全策略 硬件 网络防火墙 软件 单机防火墙 产品形态 单机防火墙网络防火墙 Internet 硬件防火墙软件防火墙 Internet 硬件防火墙 软件防火墙 较强 强 网络适应性 非常容易 不易 分发 Price=Firewall Price=firewall+Server 成本 容易 较容易 升级 高 较高 稳定性 较高 高 性能 较高 高 安全性 基于庞大通用OS 基于精简专用OS 操作系统平台 软件防火墙 硬件防火墙 仅获得Firewall软件，需要准备额外的OS平台 安全性依赖低层的OS 网络适应性弱（主要以路由模式工作） 稳定性高 软件分发、升级比较方便 硬件，不用准备额外的OS平台 安全性完全取决于专用的OS 网络适应性强（支持多种接入模式） 稳定性较高 升级、更新不太灵活 Firewall 防火墙基本概念 防火墙分类 防火墙发展趋势 防火墙核心技术 防火墙功能 防火墙性能 防火墙部署 防火墙可靠性 防火墙典型应用 防火墙的发展趋势