Eudemon防火墙产品培训.ppt

Eudemon防火墙主要特色 Eudemon防火墙基本规格 Eudemon防火墙基本规格 混合模式下的状态热备配置 １、工作模式选择 Firewall mode route Firewall mode transparent Firewall mode composit 2、基本参数配置 IP地址、主机名、域的分配 3、业务配置 ACL定义、ACL应用、动作定义。 VRRP HRP 邢台广电的组网配置及问题 S6503 S3526 S3526 S3526 NE40－2 NE40－3 NE40－1 Internet RPR 802.1X+DHCP 802.1X+DHCP 802.1X+DHCP VPNA VPNA VPNA VPNB VPNB VPNB SUPERVPN 普通上网用户 普通上网用户 NAT 宣讲要点： 在年底，华为将形成2000/3000/5000/8000全系列以太网交换机系列，目前Quidway 系列网络产品在网上运行量超过10万台。 因此，防火墙提出了安全区域的概念。一个安全区域是一个或多个接口的一个组合，具有一个安全级别。在设备内部，这个安全级别通过一个0-100的数字来表示，数字越大表示安全级别越高，不存在两个具有相同安全级别的区。只有当数据在分属于两个不同安全级别的接口之间流动的时候，才会激活防火墙的安全规则检查功能。数据在属于同一个安全域的不同接口间流动的时候将被直接转发，不会触发ACL等检查。 在缺省情况下，防火墙设置四个安全区域：本地域（Local）、受信域（trust）、非受信域（untrust）和非军事化区（dmz）。除了本地域，每个区域可以关联一个或多个防火墙接口。本地域具有最高的安全级别100，受信域安全级别为80，非受信域安全级别为5，非军事化区的级别处于二者之间，设定安全级别为50。如果用户需要，还可以添加其他安全域，目前的版本中，最多可以支持16个安全域。 新型城域网也可以采用RPR报文环组网方式： 城域网内几个核心节点通过NE80组成核心RPR环；核心RPR环实现大粒度流量的调度，其中一个或两个节点兼做城域网出口。 汇聚节点由NE40系列通用交换路由器组成多个边缘RPR环，与核心RPR环相交或相切。NE40下行提供高密GE、FE接口，同时还提供其他丰富接口类型，包括E1、E3等。 硬件防火墙是指采用了专有操作系统，而不是基于通用操作系统基础之上，并采取了专门设计的软件体系进行处理的防火墙。而软件防火墙都是基于通用操作系统的，目前业界绝大多数是基于LINUX，对操作系统作了一点裁减，防火墙代码作了一点修改，但LINUX本身并不适合大数据量处理，速度慢，安全性一般，特别是源代码公开，对安全性带来极大的危害性。 混合模式是为了在透明模式下支持双机热备份而增加的，基本上可以理解为透明模式加上一个带IP的接口，我们主推的工作模式是路由模式和透明模式。 * * 华为数据网络 创造客户价值 ——Eudemon防火墙产品培训 培训提纲 　防火墙概述 Eudemon产品介绍 Eudemon防火墙配置 典型组网及故障排除 为什么需要防火墙 １、网络互连越来越庞大，越来越复杂，不法分子也越来越多，对一个企业的网络安全隐患日渐增多。 ２、企业网络需要一个“隔离设备”来保护自已。 提供防火墙的供应商 Huawei ---- Eudemon Cisco ---- PIX NetScreen Lenovo Hisense、 CheckPoint、 Nortel。 防火墙的基本原理 几个概念的解释 LAN: 内部网，例如企业内部局域网，是被保护的安全区，它不对外开放，也不对外提供任何服务，所以外部用户检测不到它的地址也难以对它进行攻击。如果要从外面接入，要经过严格认证，或通过VPN通道接入。例如IPSEC VPN 就是一种常用方式。 DMZ: 又称非军事化区，它对外提供服务，如WEB，EMAIL等服务器，IDC数据中心主要就是应用在DMZ区。由于它的开放性，就使它成为黑客们攻击的对象，但由于它与内部网是隔离开的，所以即使受到了攻击，也不会危及内部网。因为要对外开放服务，安全性主要由服务器的操作系统和应用软件决定。确切的说，防火墙此时对其安全性保障作用不大。 Control: 是专为配置防火墙的用户而设定的一个接口，对防火墙的所有设置都在该区进行，它只对防火墙进行设置和操作，一般不接受其它任何服务也不对外提供服务，这就为防火墙的安全提供了双重保证。 防火墙的种类 包过滤防火墙：只支持静态ACL，基本已退出IT舞台。 应用层PROXY代理防火墙：业界比较少，它的特点是安全性较好，但速度很慢，而且需要针对每一种协议开发应用层代理。 自适应代理防火墙：速度比代