云安全产品配置与应用 技术与原理 1-1《云安全产品配置与应用》课程-防火墙-【技术与原理部分】.ppt

基于NPU架构的防火墙 网络处理器NPU则是专门为处理数据包而设计的可编程处理器，同时，其硬件体系结构的设计大多采用高速的接口技术和总线规范，具有较高的I/O能力； NP架构防火墙采用的是微引擎编程，在它的每一个网口上都有一个网络处理器（NPU），具有很强的编程灵活性，是一个高度整合的，可编程的数据处理器。因此，NP架构实质是以软件编码方式处理来自各个网口的数据转发。 在实际编码中，微引擎编程难度是比较大的，需要根据实践经验不断的总结。一般来说，通过微码（微引擎）仿真便可以发现和定位大多数问题，但是这种仿真与硬件仿真还是有很大的区别的，最终也会导致NP防火墙产品综合成本较高，稳定性开发周期长，相比之下，其成熟性远不及ASIC和Intel IA 架构。 基于ASIC专用芯片架构的防火墙，通过专用数据处理芯片来工作，是公认的千兆线速防火墙，特别适用于高端千兆网络环境下。 传统的ASIC芯片技术的最大不足就是缺乏灵活性，开发难度大。一旦指令或计算逻辑固化到硬件中，就很难修改升级、增加新的功能。而且，ASIC设计和制造周期长，研发费用高。 现代的ASIC芯片技术增加了可编程性，从而能够同时满足灵活性和高性能的要求。从实现功能方面看，ASIC防火墙可以很容易地集成VPN、内容过滤和防病毒等功能。 基于ASIC架构的防火墙 防火墙硬件架构的发展趋势 最佳组合： 在系统控制与管理、数据高速处理转发等方面，通用CPU和可编程ASIC将各司其职，共同为防火墙系统提供灵活的服务！ ＋ 主要内容回顾 防火墙基本概念 防火墙发展历程 防火墙核心技术 防火墙体系结构 防火墙功能与原理 防火墙的接入方式 防火墙的典型应用 防火墙性能 防火墙局限性 防火墙的两个争议 任务目标 任务1：学习使用防火墙设备设计网络安全方案 子任务A：需求分析 子任务B：方案设计 任务2：学习防火墙中实际部署中的配置 子任务A：防火墙部署策略设计 子任务B：防火墙配置 学习目标 掌握一般网络安全方案设计方法 熟悉防火墙配置策略设计 了解天融信防火墙实际操作 本讲主要内容 * * * * * * 主要内容 防火墙基本概念 防火墙发展历程 防火墙核心技术 防火墙体系结构 防火墙功能与原理 防火墙的接入方式 防火墙的典型应用 防火墙性能 防火墙局限性 防火墙的两个争议 防火墙提供的通讯模式 透明模式(提供桥接功能) 在这种模式下，网络卫士防火墙的所有接口均作为交换接口工作。也就是说，对于同一VLAN 的数据包在转发时不作任何改动，包括IP 和MAC 地址，直接把包转发出去。同时，网络卫士防火墙可以在设置了IP 的VLAN 之间进行路由转发。 路由模式(静态路由功能) 在这种模式下，网络卫士防火墙类似于一台路由器转发数据包，将接收到的数据包的源MAC 地址替换为相应接口的MAC 地址，然后转发。该模式适用于每个区域都不在同一个网段的情况。和路由器一样，网络卫士防火墙的每个接口均要根据区域规划配置IP 地址。 综合模式(透明+路由功能) 顾名思义，这种模式是前两种模式的混合。也就是说某些区域（接口）工作在透明模式下，而其他的区域（接口）工作在路由模式下。该模式适用于较复杂的网络环境。 说明：防火墙采用何种通讯方式是由用户的网络环境决定的，用户需要根据自己的网络情况，合理的确定防火墙的通讯模式；并且防火墙采用何种通讯方式都不会影响防火墙的访问控制功能。 NO.1透明模式 Internet 内部网 ETH0： ETH1： ETH2： 0/24 网段 0/24 网段 外网、SSN、内网在同一个广播域，防火墙做透明设置。此时防火墙为透明模式。 NO.2路由模式 Internet 内部网 ETH0： ETH1： ETH2： /24 网段 /24 网段 外网、SSN区、内网都不在同一网段，防火墙做路由方式。这时，防火墙相当于一个路由器。 NO.3混合模式 ETH1：02 ETH2： 00/24 网段 /24 网段 此时整个防火墙工作于透明+路由模式，我们称之为综合模式或者混合模式 /24 网段 ETH0： 两接口在不同网段，防火墙处于路由模式 两接口在不同网段，防火墙处于路由模式 两接口在同一网段，防火墙处于透明模式 主要内容 防火墙基本概念 防火墙发展历程 防火墙核心技术 防火墙体系结构 防火墙功能与原理 防火墙的接入方式 防火墙的典型应用 防火墙性能 防火墙局限性 防火墙的两个争议 防火墙典型应用（一） 负载模式： 基于轮询 基于加权轮询 最少链接 加权最少链接 对真实主机的自动探测 防火墙典型应用（二） 交换： 多接口 高性能 完全的协议支持 路由： 全面的路由协议 防火墙典型应用（三） 多层多链路的热