天融信防火墙配置手册模板.ppt

NAT原理－源地址转换 0 网关：50 0 Intranet:50 Internet:50 报头 数据 源地址：0 目的地址：0 报头 数据 源地址：50 目的地址：0 NAT转换 0发送的数据包经过NAT转换后，源地址成为50 MAP端口（地址）映射 MAP也称为反向NAT 0 网关：50 0 Intranet:50 Internet:50 报头 数据 源地址：0 目的地址：0 报头 数据 源地址：0 目的地址：50 MAP映射 MAP映射原理－目的地址转换 0发送的数据包经过MAP映射后，目的地址成为0 服务器负载均衡 负载均衡算法： 顺序选择算法＋权值 根据PING的时间间隔来选择地址＋权值 根据CONNET的时间间隔来选择地址＋权值 根据CONNET来发送请求并得到应答的时间间隔来选择地址＋权值 根据负载均衡算法将数据重定位到一台WWW服务器 减少单个服务器负载 防火墙对TRUCK协议的支持 支持第三方认证服务器 1、支持第三方RADIUS服务器认证 2、支持OTP认证服务器 与IDS的安全联动 IDS：入侵检测系统。是指对入侵行为的发觉，通过对算机网络系统中的若干关键点收集信息并对其进行分析，从中发觉网络系统中是否有违反安全策略的行为或被攻击的迹像。 为什么需要IDS 防范透过防火墙的入侵 利用应用系统漏洞实施的入侵 利用防火墙配置失误实施的入侵 防范来自内部网的入侵 内部网的攻击占总的攻击事件的70% 没有监测的内部网是内部人员的“自由王国” 对网络行为的审计，防范无法自动识别的恶意破坏 入侵很容易 入侵教程随处可见 各种工具唾手可得 安全漏洞日益暴露 入侵检测系统(IDS)连接方式 注意事项： 对于交换式HUB来说和交换机连接方法类似 硬件安装：入侵检测系统接入方式之HUB 入侵检测系统连接方式 硬件安装：入侵检测系统接入方式之交换机 注意事项： 镜像多个源端口可能导致镜像端口丢包 应对收发端口同时进行镜像 接到INTRANET一般直接连入核心交换机,用来 检测在核心交换机上的服务器等网络服务设备. 与病毒服务器的安全联动 SNMP管理 防火墙的不足之处 1、无法防护内部用户的攻击 超过50%的攻击自来内部，防火墙只能防备外部网络的攻击。 2、无法防护基于操作系统漏洞的攻击 3、无法防护端口木马的攻击 4、无法单独防护病毒的侵袭 5、无法防护非法通道的出现 6、无法防护所有新的威协。 人们不断发现利用以前可信赖的服务的新的侵袭方法。 八、防火墙的典型应用 应用一： 防火墙的典型应用 应用二： 九、防火墙的性能 衡量防火墙的五大性能指标： 吞吐量：该指标直接影响网络的性能，吞吐量。 时延：入口处输入帧最后一个最后一个比特到达至出口处输出帧第一个比特输出所用的时间间隔。 丢包率：在稳定负载下，应由网络设备传输，但由于资源缺乏而被丢弃的帧的百分比。 背靠背：比空闲状态开始，以达到传输介质最小合法间隔极限的传输速率发送相当数量的固定长度的帧，当出现第一个帧丢失时，发送的帧数。 并发连接数：指穿越防火墙的主机之间或主机与防火墙之间能同时建立的连接数。 吞吐量 定义：在不丢包的情况下，能够达到的最大速率。 衡量标准：吞吐量作为衡量防火墙的重要性能指标之一，吞吐量小就会造成网络新的瓶颈，以后影响整个网络的性能。 时 延 定义：入口处输入帧最后一个最后一个比特到达至出口处输出帧第一个比特输出所用的时间间隔。 衡量标准：防火墙的时延能够体现它处理数据的速度。 丢包率 定义：在稳定负载下，应由网络设备传输，但由于资源缺乏而被丢弃的帧的百分比。 衡量标准：防火墙的丢包率对其稳定性、可靠性有很大影响。 背靠背 定义：比空闲状态开始，以达到传输介质最小合法间隔极限的传输速率发送相当数量的固定长度的帧，当出现第一个帧丢失时，发送的帧数。 衡量标准：背对背包的测试结果能体现出防火的缓冲容量，网络上经常有一些应用会产生大量的突发数据包（如：路由更新，备份等），而且这样的数据包的丢失可能会产生更多的数据包，强大缓冲能力可以减少这种突发对网络造成的影响。 并发连接数 定义：指穿越防火墙的主机之间或主机与防火墙之间能同时建立的连接数。 衡量标准：并发连接数的测试主要用来测试被测防火墙建立和维持TCP连接的性能，同时也能通过并发连接数的大小体现被测防火墙对来自于客户端的TCP连接的响应能力。 谢谢大家！ 感谢您的观看！ * STEP5: 进行MAP测试，本机访问虚口地址。 可以通过‘ PING －a 虚口IP ’的方式查找计算机名，如能解析出对方计算机名。则可以说虚口地址已映射为对方计算机IP.