华为USG6000系列防火墙产品技术白皮书(总体)
HUAWEI USG6000系列 VPN对接配置指南 01
VPN 对接配置指南
文档版本 发布日期
01 2017-07-03
华为技术有限公司
版权所有 © 华为技术有限公司 2017。 保留一切权利。
非经本公 司书 面许可 ,任何 单位 和个人 不得擅 自摘 抄、复 制本文 档内 容的部 分或全 部, 并不得 以任何 形式 传 播。
商标声明
和其他华 为商标 均为华 为技术 有限公 司的商 标。 本文档提 及的其 他所有 商标或 注册商 标,由 各自的 所有人 拥有 。
注意
您购买的 产品 、服务 或特性 等应 受华为 公司商 业合 同和条 款的约 束, 本文档 中描述 的全 部或部 分产品 、服 务 或特性可 能不 在您的 购买或 使用 范围之 内。除 非合 同另有 约定, 华为 公司对 本文档 内容 不做任 何明示 或默 示 的声明或 保证。 由于产品 版本 升级或 其他原 因, 本文档 内容会 不定 期进行 更新。 除非 另有约 定,本 文档 仅作为 使用指 导, 本 文档中的 所有陈 述、信 息和建 议不构 成任何 明示或 暗示的 担保 。
1 移动办公用户远程接入 ................................................................................................................. 1
1.1 通过 L2TP over IPSec 方式 .........................................................................................................................................................1 1.1.1 使用 VPN Client 接入 ...............................................................................................................................................................6 1.1.2 使用 Windows 10 接入............................................................................................................................................................12 1.1.3 使用 Windows 7 接入 ..............................................................................................................................................................18 1.1.4 使用 Windows XP 接入...........................................................................................................................................................26 1.1.5 使用 Mac OS X10 接入...........................................................................................................................................................34 1.1.6 使用 iPhone 手机(iOS 10.0)接入 ....................................................................................................................................38 1.1.7 使用 Android 手机(Android 6.0)接入 ............................................................................................................................44 1.2 通过 EA P+IKEv 2 方式...............................................................................................................................................................50 1.2.1 使用 PC 设备接入 ....................................................................................................................................................................51 1.2.2 使用 A P 设备接入....................................................................................................................................................................62 1.3 接入设备支持情况说明 .............................................................................................................................................................68
FireHunter6000沙箱技术白皮书
华为FireHunter 沙箱技术白皮书目录1概述 (3)1.1APT 下一代威胁背景介绍 (3)1.2APT 下一代威胁发展趋势 (5)1.3用户现网现状分析 (6)2安全防护解决方案 (7)2.2文件检测技术原理 (8)2.3CC 检测技术原理 (10)2.4典型应用场景 (11)2.4.1旁路独立部署 (11)2.4.2与华为防火墙(简称FW)联合部署 (11)2.4.3与华为大数据安全产品CIS 联动部署 (12)2.4.4与FW、CIS 基础版联动部署 (13)3产品特性 (14)3.1全面的流量检测 (14)3.2支持主流应用和文档 (14)3.3模拟主流的操作系统和应用软件 (14)3.4分层的防御体系 (14)3.5提供准实时的处理能力 (14)3.6提供一流的针对APT 威胁的反躲避能力 (15)3.7强大的CC 检测能力 (16)4产品规格 (17)5硬件配置 (19)1 概述2010 年Google 遭受Aurora 下一代威胁攻击,导致大规模的Gmail 邮件泄漏,对Google品牌造成严重影响;2010 年伊朗核设施遭受Stuxnet 攻击,导致核设施核心部件-离心机受损严重,此次攻击造成后果不亚于一次定点轰炸;2011 年RSA 遭受针对SecureID 的下一代威胁攻击,导致大规模的SecureID 数据泄漏,严重影响使用SecureID 的客户安全,对公司的安全性质疑严重影响公司的公众形象;2013 年3 月韩国银行业遭受一次定向型APT 攻击,导致大面积的银行主机系统宕机,严重影响银行在客户心中的形象;2015 年12 月,乌克兰电网遭受恶意代码攻击,至少有三个电力区域被攻击,导致了超过一半的地区和部分伊万诺-弗兰克夫斯克地区断电数小时停电事故;2016 年2 月,孟加拉国中央银行在美国纽约联邦储备银行的账户,遭受黑客攻击,被盗走超过1 亿美金。
2017 年4 月,全球爆发wannacry 勒索软件攻击,校园网、企业网受害严重。
华为USG6000系列防火墙产品技术白皮书(总体)
华为USG6000系列防⽕墙产品技术⽩⽪书(总体)华为USG6000系列下⼀代防⽕墙技术⽩⽪书⽂档版本V1.1发布⽇期2014-03-12版权所有? 华为技术有限公司2014。
保留⼀切权利。
⾮经本公司书⾯许可,任何单位和个⼈不得擅⾃摘抄、复制本⽂档内容的部分或全部,并不得以任何形式传播。
商标声明和其他华为商标均为华为技术有限公司的商标。
本⽂档提及的其他所有商标或注册商标,由各⾃的所有⼈拥有。
注意您购买的产品、服务或特性等应受华为公司商业合同和条款的约束,本⽂档中描述的全部或部分产品、服务或特性可能不在您的购买或使⽤范围之内。
除⾮合同另有约定,华为公司对本⽂档内容不做任何明⽰或暗⽰的声明或保证。
由于产品版本升级或其他原因,本⽂档内容会不定期进⾏更新。
除⾮另有约定,本⽂档仅作为使⽤指导,本⽂档中的所有陈述、信息和建议不构成任何明⽰或暗⽰的担保。
华为技术有限公司地址:深圳市龙岗区坂⽥华为总部办公楼邮编:518129⽹址:/doc/38e0646559eef8c75fbfb3f8.html客户服务邮箱:ask_FW_MKT@/doc/38e0646559eef8c75fbfb3f8.html 客户服务电话:4008229999⽬录1 概述 (1)1.1 ⽹络威胁的变化及下⼀代防⽕墙产⽣ (1)1.2 下⼀代防⽕墙的定义 (1)1.3 防⽕墙设备的使⽤指南 (2)2 下⼀代防⽕墙设备的技术原则 (1)2.1 防⽕墙的可靠性设计 (1)2.2 防⽕墙的性能模型 (2)2.3 ⽹络隔离 (3)2.4 访问控制 (3)2.5 基于流的状态检测技术 (3)2.6 基于⽤户的管控能⼒ (4)2.7 基于应⽤的管控能⼒ (4)2.8 应⽤层的威胁防护 (4)2.9 业务⽀撑能⼒ (4)2.10 地址转换能⼒ (5)2.11 攻击防范能⼒ (5)2.12 防⽕墙的组⽹适应能⼒ (6)2.13 VPN业务 (6)2.14 防⽕墙管理系统 (6)2.15 防⽕墙的⽇志系统 (7)3 Secospace USG6000系列防⽕墙技术特点 (1)3.1 ⾼可靠性设计 (1)3.2 灵活的安全区域管理 (6)3.3 安全策略控制 (7)3.4 基于流会话的状态检测技术 (9)3.5 ACTUAL感知 (10)3.6 智能策略 (16)3.7 先进的虚拟防⽕墙技术 (16)3.8 业务⽀撑能⼒ (17)3.9 ⽹络地址转换 (18)3.10 丰富的攻击防御的⼿段 (21)3.11 优秀的组⽹适应能⼒ (23)3.12 完善的VPN功能 (25)3.13 应⽤层安全 (28)3.14 完善的维护管理系统 (31)3.15 完善的⽇志报表系统 (31)4 典型组⽹ (1)4.1 攻击防范 (1)4.2 地址转换组⽹ (2)4.3 双机热备份应⽤ (2)4.4 IPSec保护的VPN应⽤ (3)4.5 SSL VPN应⽤ (5)华为USG6000系列下⼀代防⽕墙产品技术⽩⽪书关键词:NGFW、华为USG6000、⽹络安全、VPN、隧道技术、L2TP、IPSec、IKE摘要:本⽂详细介绍了下⼀代防⽕墙的技术特点、⼯作原理等,并提供了防⽕墙选择过程的⼀些需要关注的技术问题。
华为USG6000系列防火墙 硬盘使用指南
步骤1
步骤3
为什么双硬盘挂载这么慢?
如前所述,3U设备的双硬盘必须组成RAID1磁盘阵列,以提高数据安全性和读取性能。组成 RAID1的两块硬盘完全镜像,所以又称为Mirror或Mirroring(镜像)。RAID1的构建过程通常约 需要4~5个小时,有时甚至更久。
RAID1的构建过程主要是硬盘的读写过程。硬盘的读写速度与硬盘自身的速度、控制器的速度、 CPU的速度等多种因素有关。防火墙选用的是速度较快的SAS盘、LSI控制器(可检查display disk information输出信息的DiskIOC_Vendor字段)。
这么多硬盘挂载场景,记不住怎么办?
下 电 单硬盘 安 装 双硬盘
带 电 单硬盘 更 换 双硬盘
硬件操作
上电
查看状态
设置主盘
等待4~5小时
查看状态
保存配置
下线硬盘
等待30秒
上线硬盘
等待30秒
删除RAID
硬件操作
设置主盘
等待4~5小时
1U,无硬盘>单硬盘
带 电 3U,无硬盘>单硬盘 扩 容 3U,无硬盘>双硬盘
1. 保存配置 2. 安装硬盘单元 3. 等待10分钟,检查硬盘状态(display disk information)
1. 保存配置 2. 安装硬盘单元 3. 等待10分钟,指定主盘并开始构建RAID1(reset raid primary-disk disk-id) 4. 等待4~5小时,检查硬盘状态(display disk information)
USG6507 USG6530 USG6550 USG6570
硬盘组合SM-HDD-SAS300G-B
硬盘组合、硬盘插卡不支持热插拔 硬盘单元支持热替换
华为USG防火墙基本配置
华为USG防火墙基本配置USG防火墙基本配置学习目的掌握登陆USG防火墙的方法掌握修改防火墙设备名的方法掌握对防火墙的时间、时区进行修改的方法掌握修改防火墙登陆标语信息的方法掌握修改防火墙登陆密码的方法掌握查看、保存和删除防火墙配置的方法掌握在防火墙上配置vlan、地址接口、测试基本连通性的方法拓扑图学习任务步骤一.登陆缺省配置的防火墙并修改防火墙的名称防火墙和路由器一样,有一个Console接口。
使用console线缆将console接口和计算机的com口连接在一块。
使用windows操作系统自带的超级终端软件,即可连接到防火墙。
防火墙的缺省配置中,包括了用户名和密码。
其中用户名为admin、密码Admin@123,所以登录时需要输入用户名和密码信息,输入时注意区分大小写。
修改防火墙的名称的方法与修改路由器名称的方法一致。
另外需要注意的是,由于防火墙和路由器同样使用了VRP平台操作系统,所以在命令级别、命令帮助等,与路由器上相应操作相同。
<SRG>sys13:47:28 2014/07/04Enter system view, return user view withCtrl+Z.[SRG]sysname FW13:47:32 2014/07/04步骤二.修改防火墙的时间和时区信息默认情况下防火墙没有定义时区,系统保存的时间和实际时间可能不符。
使用时应该根据实际的情况定义时间和时区信息。
实验中我们将时区定义到东八区,并定义标准时间。
<FW>clock timezone 1 add 08:00:0013:50:57 2014/07/04<FW>dis clock21:51:15 2014/07/032014-07-03 21:51:15ThursdayTime Zone : 1 add 08:00:00<FW>clock datetime 13:53:442014/07/0421:53:29 2014/07/03<FW>dis clock13:54:04 2014/07/042014-07-04 13:54:04FridayTime Zone : 1 add 08:00:00步骤三。
华为USG6000下一代防火墙产品竞争分析(渠道版)
HUAWEI CONFIDENTIAL HUAWEI PARTNER USE ONLY—DO NOT DISTRIBUTE Part 1:Competitive Overview 竞争总览 Landscape Overview 市场概览 下一代防火墙(NGFW)是当前安全市场的热点。除拥有传统防火墙的所有功能外,NGFW 能够 基于应用进行访问控制,结合 IPS 进行一体化防御,并集成了更多的安全功能。NGFW 与 UTM(统一 安全管理)同为多功能安全网关设备,最显著的区别在于性能。通常, UTM 开启 IPS (入侵防御功能) 后性能下降到原有的 20%~30%,再开启 AV(防病毒)功能后性能下降到仅剩 10%。而下一代防火墙 在同时开启 IPS 和 AV 功能后,性能下降不超过 50%。 由于具备更多的功能和更强的性能,NGFW 成为企业购买前安全网关的首选。根据全球知名咨询 机构《2014 年 Gartner 企业防火墙魔力象限》报告,当前全球仅有 20%的企业在使用下一代防火墙, 到 2014 年底,这个比例会增加到 35%。2014 年企业购买的边界安全网关,有 70%都将是 NGFW。下 一代防火墙的市场即将步入爆发期。
Competitor 竞争对手 Key Feature 关键特性 Performance 性能 Price 价格 Scalability 扩展性 Security 安全性 Management 可管理性 竞争对手解读 Cisco:只有营销意义上的下一代防火墙产品,产品能力上依然是传统防火墙。随着国家对 安全国产化的重视,原有市场份额被逐渐蚕食。产品价格高。 Fortinet:产品能力与华为基本持平,但缺少国内的相关认证,价格高。 高 低 高 高 高 中 低 中 中 中 中 中 中 低 高 中 高 低 中 低 高 高 高 高 高 华为 天融信 深信服 Cisco Fortinet
华为USG6000系列下一代防火墙
攻击防不住:攻击越来越隐蔽,手段越来越多样,防护起来愈发吃力 性能撑不住:出口流量越来越大,威胁防护越来越复杂,开启防护后性能已经成为网络瓶颈
NGFW
3
目录
1 USG6000产品亮点 2 USG6000 硬件介绍 3 USG6000 应用场景
4
1
精 最 准的访问控制
-- 6维管控,应用识别“多、细、准、快”
白名单模式
80
VS
需要识别尽量多的应用。最小授权,仅有业务需要的应用被允许,无法识别的应用被阻断不会带来危害。典型的FW式管理方式更安全。
• Emule • Games
黑名单模式
80
仅识别少量的应用。无法识别的应用被放行可能带来危害。“上网行为管理”方式的NGFW,不够安全。
8
应用识别有什么用?
访问控制
业务感知
智能分析
URL IPS
策略下发
AV DLP
优化建议
Policy A:******** Policy B: ********** Policy C:********* Policy D:********** Policy E: ********
基于策略的流量学习,感知网络整体业务环境,基于业务和安全风险进行智能化 分析,最终自动生成策略建议。
12
IP位置
识别粒度:
• 中国:地市级别 • 美国:州级别 • 其他:国家级别 • 支持根据地址段自定义位置
应用场景:
• 流量地图:基于位置的流量统计分析报表 • 威胁地图:基于位置的威胁统计分析报表 • 位置策略:位置不同,访问权限不同
举例:
• 在公司总部可以访问的数据,在分公司不允 许访问
华为 USG6000V虚拟综合业务网关 简版彩页
华为技术有限公司华为USG6000V 虚拟综合业务网关产品概述随着云计算技术的广泛应用,IT 与CT 技术出现了快速融合的局面;公有云/私有云的部署,客户对业务快速上线,业务按需迁移,定制化防护等需求激增,传统的专有硬件业务网关往往无法适应云网络新架构的部署要求。
USG6000V 系列虚拟综合业务网关具备丰富的网关业务能力,如vFW ,vIPSec ,vLB ,vIPS ,vAV ,vURL 过滤等。
全部安全功能实现虚拟化,支持多租户共享虚拟资源,可根据租户需求灵活部署,满足安全合规要求。
产品特点一机多能,精准管控•一机多能,集传统防火墙、VPN 、路由、负载均衡、入侵防御、防病毒、URL 过滤等功能于一身,简化管理,提升资源利用率。
•通过应用、内容、时间、用户、威胁和位置六个维度的组合,感知日益增多的应用层威胁,实现精准防护。
•精细化带宽管理,可基于应用、网站分类,确保关键业务带宽并确保优先转发,提升用户体验。
按需弹性,业务部署灵活•租户按需订购业务,资源动态加载、回收,资源分配灵活、弹性。
•租户业务配置自助,自动化开通,减少90%手工配置工作量,实现业务分钟级上线。
•L2~L7层安全业务全部虚拟化,灵活编排,快速满足不同租户、不同场景下的需求。
•支持虚拟资源一虚多(vSYS ),租户资源基于vSYS 精细化分配,降低建网成本。
统一管理,运维可视化•物理/虚拟资源统一管理,安全策略统一配置,自动下发;自动感知业务变化,动态迁移。
•提供全网虚拟资源到物理资源的拓扑互视,实现网络故障的快速定位。
•提供基于租户的网络虚拟化管理视图,实现租户的网络拓扑、配额、流量、告警可视,满足合规要求。
建立生态,广泛被集成•兼容主流虚拟机平台VMware 、Linux KVM 、XEN 、Hyper-V 、华为FusionSphere ,支持裸金属主机安装。
•支持NETCONF 、RESTCONF 北向API 接口,通过SDN 控制器编程实现新业务快速上线。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
华为USG6000系列下一代防火墙技术白皮书文档版本V1.1发布日期2014-03-12版权所有© 华为技术有限公司2014。
保留一切权利。
非经本公司书面许可,任何单位和个人不得擅自摘抄、复制本文档内容的部分或全部,并不得以任何形式传播。
商标声明和其他华为商标均为华为技术有限公司的商标。
本文档提及的其他所有商标或注册商标,由各自的所有人拥有。
注意您购买的产品、服务或特性等应受华为公司商业合同和条款的约束,本文档中描述的全部或部分产品、服务或特性可能不在您的购买或使用范围之内。
除非合同另有约定,华为公司对本文档内容不做任何明示或暗示的声明或保证。
由于产品版本升级或其他原因,本文档内容会不定期进行更新。
除非另有约定,本文档仅作为使用指导,本文档中的所有陈述、信息和建议不构成任何明示或暗示的担保。
华为技术有限公司地址:深圳市龙岗区坂田华为总部办公楼邮编:518129网址:客户服务邮箱:ask_FW_MKT@客户服务电话:4008229999目录1 概述 (1)1.1 网络威胁的变化及下一代防火墙产生 (1)1.2 下一代防火墙的定义 (1)1.3 防火墙设备的使用指南 (2)2 下一代防火墙设备的技术原则 (1)2.1 防火墙的可靠性设计 (1)2.2 防火墙的性能模型 (2)2.3 网络隔离 (3)2.4 访问控制 (3)2.5 基于流的状态检测技术 (3)2.6 基于用户的管控能力 (4)2.7 基于应用的管控能力 (4)2.8 应用层的威胁防护 (4)2.9 业务支撑能力 (4)2.10 地址转换能力 (5)2.11 攻击防范能力 (5)2.12 防火墙的组网适应能力 (6)2.13 VPN业务 (6)2.14 防火墙管理系统 (6)2.15 防火墙的日志系统 (7)3 Secospace USG6000系列防火墙技术特点 (1)3.1 高可靠性设计 (1)3.2 灵活的安全区域管理 (6)3.3 安全策略控制 (7)3.4 基于流会话的状态检测技术 (9)3.5 ACTUAL感知 (10)3.6 智能策略 (16)3.7 先进的虚拟防火墙技术 (16)3.8 业务支撑能力 (17)3.9 网络地址转换 (18)3.10 丰富的攻击防御的手段 (21)3.11 优秀的组网适应能力 (23)3.12 完善的VPN功能 (25)3.13 应用层安全 (28)3.14 完善的维护管理系统 (31)3.15 完善的日志报表系统 (31)4 典型组网 (1)4.1 攻击防范 (1)4.2 地址转换组网 (2)4.3 双机热备份应用 (2)4.4 IPSec保护的VPN应用 (3)4.5 SSL VPN应用 (5)华为USG6000系列下一代防火墙产品技术白皮书关键词:NGFW、华为USG6000、网络安全、VPN、隧道技术、L2TP、IPSec、IKE摘要:本文详细介绍了下一代防火墙的技术特点、工作原理等,并提供了防火墙选择过程的一些需要关注的技术问题。
1 概述1.1 网络威胁的变化及下一代防火墙产生随着网络的高速发展,应用的不断增多,Web2.0的普及,不断增长的带宽需求和新应用架构(如Web2.0),正在改变协议的使用方式和数据的传输方式,越来越多的应用在少量的端口上进行传输。
新的威胁,如网络蠕虫、僵尸网络以及其他基于应用的攻击不断产生,安全威胁将焦点集中在诱使用户安装可逃避安全设备及软件检测的有针对性的恶意执行程序上。
传统防火墙主要是基于端口和协议来识别应用,基于传输层的特征来进行攻击检测和防护。
面对越来越多的应用使用少量的端口,或者一些应用使用非标准端口,基于端口/协议类的安全策略,将不再具有足够的防护能力。
传统防火墙,也不具有防御基于应用的威胁的能力,如网络蠕虫、僵尸网络传播的威胁。
不断变化的业务流程、企业部署的技术,以及威胁的发展,正推动对网络安全性的新需求。
新的安全需求,推动下一代防火墙的产生。
1.2 下一代防火墙的定义Gartner将网络防火墙定义为在不同信任级别的网络之间实时执行网络安全政策的联机控制。
Gartner使用“下一代防火墙”这个术语来说明防火墙在应对业务流程使用IT的方式和威胁试图入侵业务系统的方式发生变化时应采取的必要的演进。
NGFW至少具有以下属性:●支持联机“bump-in-the-wire”配置,不中断网络运行。
●发挥网络传输流检查和网络安全政策执行平台的作用,至少具有以下特性:−标准的第一代防火墙能力:包过滤、网络地址转换(NAT)、状态性协议检测、VPN等等。
−集成的而非仅仅共处一个位置的网络入侵检测:支持面向安全漏洞的特征码和面向威胁的特征码。
IPS与防火墙的互动效果应当大于这两部分效果的总和。
例如提供防火墙规则来阻止某个地址不断向IPS加载恶意传输流。
这个例子说明,在NGFW中,应该由防火墙建立关联,而不是操作人员去跨控制台部署解决方案。
集成具有高质量的IPS引擎和特征码,是NGFW的一个主要特征。
−应用意识和全栈可见性:识别应用和在应用层上执行独立于端口和协议,而不是根据纯端口、纯协议和纯服务的网络安全政策。
例子包括允许使用Skype,但关闭Skype中的文件共享或始终阻止GoToMyPC。
−额外的防火墙智能:防火墙收集外来信息来做出更好的阻止决定或建立优化的阻止规则库。
例子包括利用目录集成将阻止行为与用户身份绑在一起,或建立地址的黑白名单。
1.3 防火墙设备的使用指南防火墙设备放在整个网络中的汇聚点,如果被保护网络的通信流量有可能会绕过防火墙,则防火墙设备不能对该网络起到安全防范的功能。
因此,在使用防火墙设备的时候,需要保证被防火墙保护的网络流量必须全部经过防火墙。
默认情况下,防火墙的规则一般是禁止所有的访问。
在防火墙设备接入到网络中之后,一定需要按照网络的实际需要配置各种安全策略。
防火墙策略的有效性、多样性、灵活性等是考察防火墙的一个重要指标,另外在复杂的网络环境有可能会使用非常多的规则,需要考察防火墙本身规则的容量和在大规则下的转发性能等因素。
防火墙本身的安全性也是选择防火墙的一个重要标准。
防火墙的安全性能取决于防火墙是否基于安全的操作系统和是否采用专用的硬件平台,安全的操作系统从软件方面保证了防火墙本身的安全可靠,专用的硬件平台保证防火墙可以经受长时间运行的考验。
防火墙设备属于一个基础网络设备,一定要保证防火墙可以长时间不间断运行,其硬件可靠性是非常关键的。
在防火墙实施之前,需要先根据网络的实际情况确定需要解决的问题,选择性能、功能均能满足的防火墙设备。
在性能和功能的平衡过程中,对性能指标一定要特别关注,因为在实际运行的过程中防火墙的性能是非常重要的,如果性能低下会造成网络的堵塞、故障频繁,这样的网络是没有安全性可谈。
性能指标体现了防火墙的可用性能,同时也体现了企业用户使用防火墙产品的代价,用户无法接受过高的代价。
如果防火墙对网络造成较大的延时,还会给用户造成较大的损失。
现在的主流防火墙设备都是基于状态检测的防火墙设备,这类防火墙设备对业务应用是敏感的。
涉及音频、视频等的一些多媒体业务,协议比较复杂,经常会因为对协议的状态处理不当导致加入防火墙之后造成业务不通,或者是为了保证业务的畅通就需要打开很多不必要的端口,造成安全性非常低。
因此针对状态防火墙一定要考察防火墙设备对业务的适应性能力,避免引入防火墙设备导致对正常业务造成影响。
2 下一代防火墙设备的技术原则2.1 防火墙的可靠性设计防火墙本身是一个重要的网络设备,而且其位置一般都是作为网络的出口。
防火墙的位置和功能决定了防火墙设备应该具有非常高的可靠性。
保证防火墙的高可靠性主要依靠如下几点技术来保证:●高可靠的硬件设计硬件设计是任何网络设备可靠运行的基础。
网络设备不同于普通PC等个人、家用系统,网络设备必须要求可以24小时不间断正常工作,对其主板、CPU、风扇、板卡等各种硬件设备都是一个严格的考验。
为了可以保证防火墙设备可以长时间不间断工作,必须保证防火墙本身具有一个优秀的硬件结构体系。
●双机备份技术由于防火墙设备位置的特殊性为了提供更可靠的运行保证,一般防火墙都应该提供双机备份技术。
双机备份是采用两台独立的、型号一致的防火墙设备共同工作,提供更可靠的工作环境。
完善的双机备份环境可以有两种工作模式:第一种是,两台设备中只有一台防火墙在工作,当发生意外故障的时候另外一台防火墙接替工作。
第二种是,两台设备都在工作,当一台发生意外故障的时候,另外一台自动接替所有的工作。
●链路备份技术链路备份是为了防止因为物理链路故障而导致服务的终止,实现链路备份的具体技术可能有多样。
一般最终实现的具体形式是:提供两条链路同时提供服务,当链路都正常的时候可以选择两条链路一起工作起到负载均衡的作用,当某条链路坏的时候,流量全部自动切换到另外一条链路上。
实现链路备份,应该要求防火墙能提供各种路由协议、各种路由管理功能。
基于路由提供的链路备份技术可以非常好的使用在各种场合,通过多条链路的互相备份提供更可靠的服务。
●热备份技术热备份指的是在发生故障产生设备切换或者是链路切换的时候完全不影响业务,这样的备份机制一般称为“热备份”。
而如果因为故障等产生的备份行为发生的时候业务会中断,这样的备份机制应该称为“冷备份”或者“温备份”。
在大部分介绍资料里面,热备份、温备份、冷备份的概念并没有严格的区分,许多厂商都是使用“热备份”概念来宣传的,但是从实际效果上看大部分备份机制并不是严格的热备份。
从热备份的机制上可以知道,如果动态信息越多则热备份的实现机制越复杂,防火墙设备需要维护大量的规则信息、连接信息等,针对防火墙设备的热备份机制都会比较复杂,因此在考察防火墙的备份技术的时候,需要注意区分热备份和冷备份。
防火墙设备的可靠性设计反映出了防火墙在设计方面的一种综合考虑,必须明确的是防火墙设备是一台重要的网络设备,其可靠性要求设计要求比较高,在选择防火墙设备的时候需要综合考虑其可靠性方面的设计。
2.2 防火墙的性能模型前面已经提到防火墙的性能对于衡量一个防火墙设备来说非常重要,那么到底应该通过哪些指标来具体的衡量防火墙的性能呢?本小节主要讨论一下,衡量防火墙的性能的时候应该注意哪些方面。
业界现在衡量防火墙的性能的时候,主要使用“吞吐量”这个指标。
吞吐量主要是指防火墙在大包的情况下,尽量转发能通过防火墙的总的流量,一般使用BPS(比特每秒)为单位来衡量的,使用吞吐量作为衡量防火墙的性能指标非常片面,不能反映出防火墙的实际工作能力。
除了吞吐量之外,在衡量防火墙性能的时候一定还要考察下面几个指标:●小包转发能力防火墙的吞吐量在业界一般都是使用1K~1.5K的大包衡量防火墙对报文的处理能力的。