华为-数据业务防火墙基础培训胶片.ppt

HUAWEI TECHNOLOGIES CO., LTD. .April 2006 防火墙基础 Version HUAWEI TECHNOLOGIES CO., LTD. Page 1 数据业务局点的网络安全,依赖于防火墙的良好配置。防火墙也是数据业务局点不可缺少的组网设备。每一位数据业务工程师,必须理解防火墙的运行机理,掌握防火墙的常用配置方法。 HUAWEI TECHNOLOGIES CO., LTD. Page 2 参考资料知识中心-数据业务-数据业务公共-功能与特性-培训课件-基础培训防火墙基础() 知识中心-数据业务-数据业务公共-功能与特性-培训课件-基础培训防火墙上机任务书() Support 获取路径课件/参考资料名称 HUAWEI TECHNOLOGIES CO., LTD. Page 3 学****目标理解防火墙的基本概念熟悉 Eudemon 防火墙产品能够对 Eudemon 防火墙进行规划和配置学****完本课程,您应该能够: HUAWEI TECHNOLOGIES CO., LTD. Page 5 防火墙在 MMSC 局点中的位置 2×Eudemon 200 报表服务器 IBM X235 MMS Portal SUN V440 OMC Server IBM X235 2×QuidwayS6506 交换机 2×F5 BIGIP 2400 负载均衡器 数据库和计费服务器 SUN V440 双机 MMSC Cluster (5× SUN V440 双机) BOSS BOSS Quidway AR28 路由器 QuidwayAR28 路由器预统计和报表数据库服务器 IBM X445 网管接口机 SUN V440 …… MCAS 内容适配服务器 4×HP DL 360 G3 HUAWEI TECHNOLOGIES CO., LTD. Page 6 防火墙概念 Eudemon 防火墙介绍 Eudemon 防火墙配置步骤 HUAWEI TECHNOLOGIES CO., LTD. Page 7 防火墙的概念随着 的日益普及,许多 LAN (内部网络)已经可以直接接入 网络,这种开放式的网络同时带来了许多不安全的隐患。在开放网络式的网络上,我们的周围存在着许多不能信任的计算机,这些计算机对我们私有的一些敏感信息造成了很大的威胁。在大厦的构造中,防火墙被设计用来防止火从大厦的一部分传播蔓延到大厦的另外一部分。我们所涉及的防火墙服务具有类似的目的: “防止 的危险传播到你的内部网络”。现代的防火墙体系不应该只是一个“入口的屏障”,防火墙应该是几个网络的接入控制点,所有经过被防火墙保护的网络的数据流都应该首先经过防火墙,形成一个信息进入的关口,因此防火墙不但可以保护内部网络在 中的安全,同时可以保护若干主机在一个内部网络中的安全。在每一个被防火墙分割的网络中,所有的计算机之间是被认为“可信任的”,它们之间的通信可以不受防火墙的干涉;而在各个被防火墙分割的网络之间,必须按照防火墙规定的“策略”进行互相的访问。 HUAWEI TECHNOLOGIES CO., LTD. Page 8 防火墙的概念简单的说,防火墙是保护一个网络免受“不信任”的网络的攻击,但是同时还必须允许两个网络之间可以进行合法的通信。防火墙应该具有如下基本特征: 经过防火墙保护的网络之间的通信必须都经过防火墙。只有经过各种配置的策略验证过的合法数据包才可以通过防火墙。防火墙本身必须具有很强的抗攻击、抗渗透能力。防火墙可以保护内部网络的安全,可以使受保护的网络避免遭到外部网络的攻击。硬件防火墙应该可以支持若干个网络接口,这些接口用来连接几个网络。在这些网络中进行的连接都必须经过硬件防火墙,防火墙来控制这些连接,对连接进行验证、过滤。连接不受信网络区域连接受信网络区域在连接受信网络区域和非受信网络区域之间的区域,一般称为 DMZ 。 HUAWEI TECHNOLOGIES CO., LTD. Page 9 防火墙和路由器的差异 A的报文如何能最快的到 B?网络 A如何和网络 B互联互通?过来一个报文立刻转发一个报文。网络 A网络 B 交流路由信息这个访问是否允许到 B?这个 TCP 连接是合法连接吗?这个访问是否是一个攻击行为? 路由器的特点: ?保证互联互通。?按照最长匹配算法逐包转发。?路由协议是核心特性。防火墙的特点: ?逻辑子网之间的访问控制,关注边界安全。?基于连接的转发特性。?安全防范是核心特性。由于防火墙具有基于连接监控的特性,因此防火墙对业务支持具有非常强的优势。而路由器基于逐包转发的特点,因此路由器设备不适合做非常复杂的业务,复杂的业务对路由器的性能消耗比较大。防火墙支持的接口不如路由器丰富,支持的路由协议不如路由