RG-WALL系列防火墙培训 锐捷网络 网络解决方案第一品牌公司.ppt
《RG-WALL系列防火墙培训 锐捷网络 网络解决方案第一品牌公司.ppt》由会员分享,可在线阅读,更多相关《RG-WALL系列防火墙培训 锐捷网络 网络解决方案第一品牌公司.ppt(86页珍藏版)》请在三一办公上搜索。
1、RG-WALL系列防火墙培训,部门/作者,TAC/田杨,熟悉防火墙系列产品了解防火墙硬件架构熟悉防火墙技术原理掌握防火墙基本配置掌握防火墙日常维护,课程目标,课程内容,第一章 RG-WALL系列防火墙产品介绍第二章 RG-WALL系列防火墙技术原理第三章 RG-WALL系列防火墙基本配置第四章 RG-WALL系列防火墙日常维护,3,第 4页/共 4页,2010年防火墙产品ROADMAP,RG-WALL1600S,RG-WALL1600M,RG-WALL1600T,RG-WALL160M,RG-WALL160T,RG-WALL160E,RG-WALL1600系列,RG-WALL160系列,RG-
2、WALL1600E,RG-WALL160S,RG-WALL160C,RG-WALL1600P,Q1上市新品:RG-WALL 1600P:万兆平台,64字节小包可以达到8GbpsRG-WALL160C/S:替代RG-WALL 60,防火墙硬件架构,X86、多核灵活性好、技术成熟转发性能较差RMI、CAVIUM(管理、数据分离)ASIC转发能力强灵活性较差通常配合其它架构共同使用,如X86+ASICNP编码复杂灵活性、转发性能介于X86和ASIC之间,5,防火墙硬件架构,6,X86架构,防火墙硬件架构,7,ASIC架构,Q&A,RG-WALL系列防火墙各型号之间有什么差异?RG-WALL1600E
3、支持的功能,RG-WALL160T也支持吗?在监控防火墙状态时,发现CPU占用率比较高,为什么?,8,思考题,课程内容,第一章 RG-WALL系列防火墙产品介绍第二章 RG-WALL系列防火墙技术原理第三章 RG-WALL系列防火墙基本配置第四章 RG-WALL系列防火墙日常维护,9,什么是防火墙,防火墙概述所谓防火墙指的是一个由软件和硬件设备组合而成应用场景内部网和外部网之间专用网与公共网之间,10,internet,intranet,Server,根据访问控制规则决定网络进出行为,根据访问控制规则决定网络进出行为,什么是防火墙,防火墙相关概念连接数新建连接数并发连接数吞吐量收、发双向流量状
4、态表,简单包过滤技术简介,概述类似交换机、路由ACL实现原理检查IP、TCP、UDP信息,12,192.168.1.1,192.168.1.2,192.168.10.1http:80,允许192.168.1.1访问192.168.10.1,简单包过滤技术优缺点,优点速度快,性能高,可以用硬件实现实现原理:检查IP、TCP、UDP信息缺点不能根据状态信息进行控制前后报文无关不能处理网络层以上的信息,状态检测技术简介,概述根据通信和应用程序状态确定是否允许包的通行用于识别或者控制数据流是返回的数据流还是首发的数据流在数据包进入防火墙时就根据状态表进行识别和判断,无需重复查找规则,14,状态检测技术
5、原理,原理示意图安全规则表状态表(五元组及扩展字段),15,192.168.1.1,192.168.10.1http:80,规则表:permit 192.168.1.1 any 192.168.10.1 80 http,状态表:permit 192.168.1.1 12345 192.168.10.1 80 httppermit 192.168.10.1 80 192.168.1.1 12345 http,状态检测技术原理(续),原理流程图优点更加安全缺点状态表庞大不能检测应用层协议内容,如URL过滤,16,状态表,规则表,数据流,转发规则,N,Y,状态检测技术存在的问题,问题FTP协议(被动
6、模式),17,192.168.1.1,192.168.10.1ftp:21,规则表:permit 192.168.1.1 any 192.168.10.1 21 ftp,状态表:permit 192.168.1.1 12345 192.168.10.1 21 ftp?,状态检测技术的改进,ALG(Application Level Gateway)一个应用由多个通道组成(控制面、数据面)管理通道或者其他通道由内嵌式IP地址或者端口号例:FTP、H.323、SIP、PPTP等FTP解析(passive mode)识别FTP协议读取协议字段,18,应用代理防火墙简介,概述用户数据先到达代理服务器,
7、再由代理服务器进行目标地址访问分类非透明代理透明代理(协议),19,应用代理防火墙原理,原理,20,192.168.1.1,192.168.10.1http:80,10.10.10.10,应用代理防火墙优缺点,优点用户数据不与访问目标直接通讯,增强了访问安全性缺点支持的协议比较少HTTPFTPSMTP/POP3TELNET主要是明文协议并且基本是比较老的协议不支持BT这些应用程序,21,防火墙技术总结,22,VPN概念,VPN(Virtual Private Network)被定义为通过一个公用网络(通常是因特网)建立一个临时的、安全的连接,是一条穿过混乱的公用网络的安全、稳定的隧道。,23,
8、Internet,Intranet,Intranet,VPN隧道,VPN分类,二层VPNPPTP、L2TP工作在数据链路层三层VPNIPSEC、GRE工作在网络层七层VPNSSL VPN工作在应用层,24,IPSEC,IPSEC是提供IP数据安全的行业标准,它为IP数据提供了安全性和完整性服务工作在IP层IPSEC拥有两种协议来提供数据安全Encapsulation Security Payload ESPAuthentication Header AHIPSEC的两种模式传输模式隧道模式,25,Encapsulation Security Payload ESP,定义在RFC 2406IP协
9、议号50提供了数据机密性数据完整性数据源的验证Anti-replay功能ESP可以工作在传输模式或隧道模式下,26,隧道模式下的ESP报文,27,Authentication Header AH,定义在RFC 2402IP协议号51提供了数据完整性数据源的验证Anti-replay功能ESP可以工作在传输模式或隧道模式下,28,隧道模式下的AH报文,29,The Internet Key Exchange(IKE),The Internet Key Exchange(IKE)为安全协议的协商提供标准化的流程UDP协议,500端口可以用来为IPSEC协议提供SA的自动协商功能为IPSEC协商加密
10、和验证的算法(这些加密/验证的算法被称为proposal)为加密/验证算法自动 提供需要的密钥(并不断更新)提供网关识别功能,30,Security Associations(SA),SA是一系列用以保护端对端信息安全的策略和密钥SA通过以下三个要素被唯一化Security Parameters Index SPI(安全参数索引)目的端IP地址安全协议(ESP或AH)IKE的Phase1和Phase2都会产生相应的SAPhase1的SA是双向的,Phase2的SA是单向的,31,IKE的两个阶段,Phase1两端建立一个互相信任的、安全的通道使用DH密钥交换来产生一个两端一致的对称密钥协商加密
11、算法(DES、3DES)、HASH算法(MD5、SHA)、认证方法(预共享密钥、证书)有两种工作模式主模式(Main mode)-两端都使用静态IP地址野蛮模式(Aggressive mode)-一端使用了动态IP地址Phase2通过Phase1建立的隧道来协商后续的SA协商IPSEC协议(ESP、AH)、HASH算法(MD5、SHA)、是否加密以及加密算法(DES、3DES),32,Q&A,用户反映上网慢,有时要多次才能打开一个网页,为什么?通过防火墙是否可以实现数据单向访问?IPSEC的两种工作模式?ESP和AH的区别?,33,课程内容,第一章 RG-WALL系列防火墙产品介绍第二章 RG
12、-WALL系列防火墙技术原理第三章 RG-WALL系列防火墙基本配置第四章 RG-WALL系列防火墙日常维护,34,防火墙管理,管理方式WEB证书方式(常用)USB-KEY方式命令行管理ConsoleSSH(远程)Telnet(从其它设备),35,防火墙管理,WEB管理方式默认管理地址:https:/192.168.10.100:6666管理主机IP:192.168.10.200(左侧第一个接口)管理证书:证书安装密码123456用户名/密码:admin/firewall,36,防火墙管理,WEB管理方式扩展管理主机不受限制允许多个管理员同时管理允许登陆失败的次数(3-10次)最后一次登陆失败
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- RG-WALL系列防火墙培训 锐捷网络 网络解决方案第一品牌公司 RG WALL 系列 防火墙 培训 网络 解决方案 第一 品牌 公司
链接地址:https://www.31ppt.com/p-2234503.html