01防火墙产品描述
Eudemon8000E防火墙产品介绍(一道门)
1、Eudemon8000E产品的硬件架构和单板类型
主流的产品信号
X16
16*LPU板 1~16槽位
MPU主控板 17 18 1:1备份方式
4*SFU板 19~22 3+1备份方式
X8
8*LPU 1~8槽位
MPU主控板*2 9 10 1:1备份方式
1*SFU 主控板集成SFU 共3块 2+1备份方式
X3
3*LPU 1~3
MPU主控板*2 4 5槽位
没有SFU板
2、Eudemon8000E产品的应用场景
1)应用大型 IDC出口 可以保证高可靠性
分布式接口 根据业务扩容进行板卡的扩展
2)高速校园网网络边界 不同用户通过不同运营商来访问网络 进行限流 支持NET 将多个私网地址转换为公网地址
3)政府、大型企业边界进行分支机构接入
02防火墙技术描述
防火墙技术
用来防范攻击、报文过滤
报文过滤:防火墙通过域来表示不同的网络,通过将接口加入域并在安全区域之间启动安全检查(称为安全策略),从而对流经不同安全区域的信息流进行安全过滤。
默认的四个安全区域:
本地区域:100 受信区Trust:85 非军事区DMZ:50 非受信区:5 数字为优先级
数据流方向定义:高优先级到低为出 低到高为入
包过滤:根据源/目的IP或MAC地址、协议、端口号、报文优先级、服务类型
动作:允许与拒绝
进来的报文先匹配策略,进行动作,允许进入 拒绝丢弃
为了提高效率 进行首包检查机制:对于一个数据流(IP 端口号 协议都相同的流)只对第一个报文进行检查不检查后续报文。
允许Trust到非Trust区域 但反过来需要定义严格的安全策略。
会话表机制:
对源、目的IP 地址,源、目的端口号,协议号进行记录 返回来的流量如果匹配会话表记录,则不进行安全策略检查。如果外网主动请求访问,如果没有命中会话表则进行检查,不通过则不允许访问。有些软件QQ、 FTP服务器等由于机制问题 客户端的端口号和服务器返回端口号不一致,需要用ASPF Filter机制:基于状态的报文过滤 来解决该问题
现网为了防止防火墙故障,一般会部署两个,一个备用。平时出入数据流通过主防火墙,主防火墙有会话表,但是备用防火墙没有会话表,所以用HRP协议对会话表进行备份,主防火墙将会话表备份到备用防火墙。
