防火墙多业务功能
路由、交换、统一管理、LAN/WAN、安全、UTM
防火墙主要功能——访问控制(策略)
七元组:源、目的IP地址、协议、源目的端口、用户、应用 (时间段)
防火墙基本功能——业务感知(增加了对应用层的分析)
基于特征字的识别技术:协议指纹-特定端口,特定字符串,特定bit序列。
基于应用层网关识别技术:控制流和业务流分离的情况,业务流没有特征。
基于行为模式识别技术:终端行为模式进行研究,比如垃圾邮件速率、目的邮件地址数目、变化频率等参数。
SACG(安全接入控制网关)技术:控制终端的网络访问权限,对不同的用户,不同安全状况的用户开放不同的权限。
1、认证→授权
2、终端进行安全检查
以SACG接入设备为参考点,内部网络划分为三个主要逻辑区域:接入区域、认证前域、认证后域
双机热备技术
○ 提供冗余备份功能:VRRP
○ 统一设备上所有接口的主备状态:VGMP
○ 同步防火墙之间会话信息即配置信息:HRP
IP Link技术
IP-Link自动侦测是利用ICMP或者ARP协议的特征对业务链路正常与否进行的自动侦测。
IP-Link自动侦测的侦测结果可以被其他特性所引用,主要应用包括:静态路由、双机热备份
QoS技术
接收报文→分类与标记→拥塞监管→拥塞管理→带宽保证(提供业务质量保障)
防火墙日志审计
配合eLog日志软件,可以为用户提供清晰网络日志和访问记录。
Elog是华为防火墙专用的日志软件,可以支持通用的Syslog日志和二进制日志。
攻击防范
网络攻击主要分为四大类:
○ 流量型攻击:比如syn-flood、udp-flood
○ 扫描窥探攻击:ip地址扫描和端口扫描
○ 畸形报文攻击:ping of death,teardrop等
○ 特殊报文攻击:合法且正常网络很少用到的报文进行侦查或者数据监测
防火墙报文统计
防火墙对报文统计结果的分析有如下两个方面:
○ 专门的分析软件事后分析日志信息
○ 防火墙实时完成一部分分析功能
防火墙黑名单
黑名单是一个IP地址列表
负载均衡
将访问同一个IP地址的用户流量分配到不同的服务器上
应用控制
SA,即业务感知技术。使用SA知识库中的规则,对P2P、VoIP、Video等多种应用数据,可以对识别的网络流量进行允许通过、阻断、限制连接数和限速等控制动作。
防火墙性能指标——吞吐量
吞吐量:防火墙能同时处理的最大数据量;防火墙的吞吐量是指防火墙对指定的数据载荷每秒钟接收、处理并正确转发到目的接口的比特数。1K-1.5Kbyte。
有效吞吐量:除掉TCP因为丢包和超时重发的数据,实际的每秒传输有效速率。
防火墙性能指标——时延
数据包的第一个比特进入防火墙到最后一个比特输出防火墙的时间间隔指标,是用于测量防火墙处理数据的速度理想的情况
防火墙性能指标——每秒新建连接数
指每秒钟可以通过防火墙建立起来的完整TCP连接,该指标用来衡量防火墙数据流的实时处理能力
防火墙性能指标——并发连接数
指防火墙可以同时容纳的最大的连接数目,一个连接就是一个TCP/UDP的访问,该参数用来衡量主机和服务器间能同时建立的最大连接数