防火墙知识介绍v2.0.3 课件.ppt

深度内容过滤 对应用数据内容的安全过滤 FTP过滤 邮件过滤 HTTP内容过滤 支持文件名、数据链接的关键字和命令过滤，并禁止多线程下载。 收发件人、主题、邮件附件的内容、邮件中转过滤，限定收件人数量以及强大的邮件病毒检测。 URL过滤，网页关键字过滤，特殊代码的剥离（如JAVA,JAVASCRIPT，ACTIVEX等）。 状态包过滤 永达防火墙可以基于数据包的MAC地址、源地址、目的地址、源端口、目标端口、协议标志位对连接的状态进行监测，极大地提高了系统的性能。 Web Server FTP/SMTP Server 源 目的 根据预定义的规则列表，进行状态包过滤。 入侵检测 Internet 隔离区 Email Ftp HTTP 财务部 市场部 研发部 Router 来自内部的攻击 来自外部的攻击 告警! 攻击次数 比率(%) 源地址 目的地址 攻击方法 20 13.07 0 2 IDS127-TELNET-oginIncorrect? 入侵特征库 深入到应用层，结合特征库快速扫描流量并匹配IDS特征。将攻击源的详细信息进行审计。 应用代理 提供对常用高层应用服务（HTTP、FTP、SMTP、 POP3、TELNET、ICMP）的透明代理。使用代理时，支持用户认证和内容过滤。 客户端 服务器 2：防火墙对客户端的访问进行控制 1：客户端访问服务器需先访问防火墙 3：防火墙代替客户端向服务器发送请求 FTP HTTP SMTP 增强型抗攻击 AFW2000自身防御：管理端口仅对相应的管理主机开放； 管理端口具有FLOOD攻击防御能力； 防火墙自身不存在扫描漏洞。 常用攻击：Ping Flood、Udp Flood、Syn Flood、Teardrop、Sweep、Land、Ping of Death、Smurf； 其他攻击：源路由攻击、地址欺骗碎片攻击、Fin扫描攻击、圣诞树攻击、Null等。 防火墙+VPN 刚柔结合 防火墙+VPN VPN 设备，可以做到数据内容的私密性、完整性，但设备容易被攻击 ； 防火墙 通过防火墙策略控制 IPSec VPN 流量 VPN加密隧道也可以进行防火墙和防病毒检查 可以通过冗余的ISP连接来建立冗余的VPN隧道 加密算法 DES / 3DES / AES 认证算法 MD5 / SHA-1 IPsec协议 ESP / AH / ESP+AH 认证方式 预共享密钥、数字证书 协议 IPsec、L2TP IPsec NAT穿越 支持 星型结构VPN 支持 VPN链路备份 支持 坚固数据安全网络 AFW2000 生产部 市场部 财政部 人事部 Internet 家庭用户 应用服务商 移动用户 保税区企业 保税区企业 保税区企业 保税区企业 VPN连接 网络的适用性 负载均衡 支持动态负载均衡算法，针对对外提供的服务进行均衡，将访问均摊给内部服务器。 INTERNET Web服务器3 Web服务器1 Web服务器2 INTERNET 内网 防火墙集群 支持32台防火墙集群，机群间进行负载均衡 负载均衡 正向NAT 隐藏内部网络的 IP 地址及内部网络结构 节约有效的 IP 地址空间 Internet 6 Host C 内部网络 Host A Host B 数据 IP报头 数据 IP报头 源地址： 目地址：6 源地址：8 目地址：6 eth1: eth2: 8 反向NAT（端口映射） Internet WWW 1 FTP 2 MAIL 3 DNS 4 输入： 1: 80 - : 80 2:21 - : 21 3 :25- :25 4:53 - :53 透明接入模式 网络A 网络B 192.168.0.X/24 192.168.0.X/24 透明模式下，这里不用配置IP地址 透明模式下，这里不用配置IP地址 透明模式下，网络A和网络B不用做任何调整 路由模式 网络A 192.168.0.X/24 /24 202.16.1.x/26 202.16.1.y/26 路由模式下，防火墙的内外网接口必须配置不同的IP地址 INTERNET 支持源/目的地址路由、支持基于协议的策略路由、动态路由 混合接入 防火墙 隔离区（DMZ） 内网 1 内网 2 网桥 INTERNET NAT 可靠性、管理性 内网 可靠性 HA Beat Router Switch Switch INTERNET 内网 支持双主机热备份 一旦防火墙设备出现故障，能够快速平滑切换 支持链路备份 Switch Router INTERNET WEB方式管理： 永达防火墙支持基于HTTPS的Web方式管理。 命令行方式管理： 支持串口命令行管理