1usg防火墻產(chǎn)品基本功能特性與配置

前

言本膠片介紹了USG系列產(chǎn)品主要的安全技術(shù)和安全特性，以及各安全特性在USG產(chǎn)品上的配置。包括如：

區(qū)域，工作模式，ASPF技術(shù)，NAT技術(shù)以及一些擴(kuò)展技術(shù)。Page1Copyright

?

2012Technologies

Co.,.s.培訓(xùn)目標(biāo)學(xué)完本課程后，您應(yīng)該能：掌握USG產(chǎn)品的主要安全技術(shù)和安全特性掌握各安全特性在USG產(chǎn)品上的配置Page2Copyright

?

2012Technologies

Co.,.s.的基本概念基本功能擴(kuò)展功能Page3Copyright

?

2012Technologies

Co.,.s.1.的基本概念1.安全區(qū)域工作模式會(huì)話Page4Copyright

?

2012Technologies

Co.,.s.特征邏輯區(qū)域過濾器隱藏內(nèi)網(wǎng)網(wǎng)絡(luò)結(jié)構(gòu)自身安全保障主動(dòng)防御內(nèi)網(wǎng)流量可防護(hù)嗎？路由器Copyright

?

2012Technologies

Co.,.s.分類按照形態(tài)分為硬件?按照保護(hù)對(duì)象分為?單機(jī)網(wǎng)絡(luò)按照

控制方式分為濾?狀態(tài)檢測(cè)Copyright

?

2012Technologies

Co.,.s.分類

—

濾APP數(shù)據(jù)鏈路層TCP層IP層TCP層IP層只檢測(cè)報(bào)頭IP

TCP無(wú)法關(guān)聯(lián)數(shù)據(jù)包之間關(guān)系無(wú)法適應(yīng)多通道協(xié)議3.

通常

查應(yīng)用層數(shù)據(jù)數(shù)據(jù)鏈路層Copyright

?

2012Technologies

Co.,.s.分類—終端發(fā)送連接請(qǐng)求內(nèi)網(wǎng)Server對(duì)請(qǐng)求進(jìn)行安全檢查，不通過則阻斷連接通過檢查后與Server建立連接通過檢查后與Client建立連接向發(fā)送報(bào)文A向向Server發(fā)送報(bào)文A’發(fā)送回應(yīng)報(bào)文B向終端發(fā)送回應(yīng)報(bào)文B’處理速度慢升級(jí)Copyright

?

2012Technologies

Co.,.s.分類—狀態(tài)檢測(cè)Host

Server

安全策略檢查記錄會(huì)話信息狀態(tài)錯(cuò)誤，丟棄處理后續(xù)包速度快安全性高

TCP

ACK

TCP

SYN`TCP

ACKCopyright

?

2012Technologies

Co.,.s.Copyright

?

2012Technologies

Co.,

.s.的安全區(qū)域Page10Local區(qū)域100Trust區(qū)域85DMZ區(qū)域50UnTrust區(qū)域5接口2接口3接口4接口1用戶自定義區(qū)域Vzone0安全區(qū)域與接口關(guān)系安全區(qū)域與接口關(guān)系?是否存在兩個(gè)具有完全相同安全級(jí)別的安全區(qū)域？是否允許同一物理接口分屬于兩個(gè)不同的安全區(qū)域？的不同接口是否可以屬于同一個(gè)安全區(qū)域？Internet??G0/0/2→DMZ區(qū)域G0/0/3→Untrust區(qū)域G0/0/0→Trust區(qū)域G0/0/1→Trust區(qū)域Copyright

?

2012Technologies

Co.,.s.安全區(qū)域的方向Inbound與Outbound定義高安全級(jí)別低安全級(jí)別企業(yè)內(nèi)網(wǎng)Untrust

區(qū)域InternetTrust區(qū)域OutboundInboundCopyright

?

2012Technologies

Co.,.s.接口、網(wǎng)絡(luò)和安全區(qū)域關(guān)系outboundEth1/0/0Eth2/0/0inboundoutboundinboundoutboundEth0/0/0USGLocalinboundoutboundinboundoutboundinboundoutboundVzoneTrustUntrustServerServerDMZ外部網(wǎng)絡(luò)網(wǎng)絡(luò)Page13Copyright

?

2012Technologies

Co.,.s.安全區(qū)域配置－1創(chuàng)建一個(gè)安全區(qū)域[USG2100]

firewall

zone

name

userzone設(shè)置優(yōu)先級(jí)[USG2100-zone-userzone]

set

priority

60給安全區(qū)域添加接口[USG2100-zone-userzone]

add

interface

GigabitEthernet

0/0/1Page14Copyright

?

2012Technologies

Co.,.s.安全區(qū)域配置驗(yàn)證查看

安全區(qū)域配置[USG2100]display

zone

usernameusernamepriority

is

60interface

of

the

zone

is(1):GigabitEthernet0/0/1Page15Copyright

?

2012Technologies

Co.,.s.安全區(qū)域配置－2在域間下發(fā)ACL<USG2100>system-view[USG2100]

policy

interzone

trust

untrust

outbound[USG2100-policy-interzone-trust-untrust-outbound]

policy

1[USG2100-policy-interzone-trust-untrust-outbound-1]

action

permitPage16Copyright

?

2012Technologies

Co.,.s.1.的基本概念安全區(qū)域工作模式安全策略會(huì)話Page17Copyright

?

2012Technologies

Co.,.s.的三種工作模式透明模式路由模式混合模式Page18Copyright

?

2012Technologies

Co.,.s.透明模式服務(wù)器PCTrust區(qū)服務(wù)器USGPCPCUntrust區(qū)/24Page19Copyright

?

2012Technologies

Co.,.s.路由模式服務(wù)器PC外部網(wǎng)絡(luò)/24Trust區(qū)服務(wù)器USGPC54網(wǎng)絡(luò)/24PCUntrust區(qū)Page20Copyright

?

2012Technologies

Co.,.s.混合模式USG（主）網(wǎng)絡(luò)/24USG（備）VRRPTrust區(qū)服務(wù)器PC服務(wù)器PCPCUntrust區(qū)外部網(wǎng)絡(luò)/24Page21Copyright

?

2012Technologies

Co.,.s.1.的基本概念安全區(qū)域工作模式安全策略會(huì)話Page22Copyright

?

2012Technologies

Co.,.s.安全策略的匹配原則Trust區(qū)域Untrust區(qū)域客戶端服務(wù)器首包流程，做安全策略過濾Rule

0：permit源為……Rule

1：deny源為

…………缺省default策略動(dòng)作為按安全策略順序進(jìn)行匹配未命中會(huì)話表

執(zhí)行首包流程后續(xù)包流程，不做安全策略過濾命中會(huì)話表

執(zhí)行后續(xù)包流程Copyright

?

2012Technologies

Co.,.s.安全策略業(yè)務(wù)流程（1）Copyright

?

2012Technologies

Co.,.s.安全策略業(yè)務(wù)流程（2）Copyright

?

2012Technologies

Co.,.s.會(huì)話（Session）USG是狀態(tài)

，采用會(huì)話表維持通信狀態(tài)。會(huì)話表包括五個(gè)元素：源IP地址、源端口、目的IP地址、目的端口和協(xié)議號(hào)(如果支持虛擬

的話還有一個(gè)

-ID)。當(dāng)

收到報(bào)文后，根據(jù)上述五個(gè)元素查詢會(huì)話表，并根據(jù)具體情況進(jìn)行如下操作：條件操作報(bào)文的五元組匹配會(huì)話表轉(zhuǎn)發(fā)該報(bào)文報(bào)文的五元組不匹配會(huì)話表域間規(guī)則允許通過轉(zhuǎn)發(fā)該報(bào)文，并創(chuàng)建會(huì)話表表項(xiàng)域間規(guī)則不允許通過丟棄該報(bào)文會(huì)話Page26Copyright

?

2012Technologies

Co.,.s.會(huì)話相關(guān)命令查看 的Session信息[USG2100]

display

firewall

session

table

verboseCurrent

Total

Sessions

:

1net :public

-->

publicTTL:

00:10:00

Left:

00:10:00

Interface:InLoopBack0

NextHop:

MAC:

00-00-00-00-00-00<--packets:1269

bytes:66769

-->packets:1081

bytes:43715:2855-->00:23重置

的session<USG2100>

reset

firewall

session

tablePage27Copyright

?

2012Technologies

Co.,.s.會(huì)話相關(guān)命令Timeout(s)查看

的Session

aging-time[USG2100]

display

firewall

session

aging-timeSequence

Pre-defined-1httpAll6002….netAll600[USG2100]

firewall

session

aging-time

icmp

15Page28Copyright

?

2012Technologies

Co.,.s.長(zhǎng)連接會(huì)話配置ACL，用于控制需要長(zhǎng)連接會(huì)話的數(shù)據(jù)流[USG2100]

acl

3001[USG2100-acl-adv-3001]

rule

permit

tcp

source

0設(shè)置長(zhǎng)連接的老化時(shí)間[USG2100]

firewall

long-link

aging-time

2在域間應(yīng)用長(zhǎng)連接[USG2100]

firewall

interzone

trust

untrust[USG2100-interzone-trust-untrust]

long-link

3001

inbound[USG2100]display

firewall

session

table

verboseFTP :

public

->

public

RemoteZone:

zone1

->

out

TTL:

168:00:00

Left:

168:00:00Interface:

E1.200

Nexthop:

MAC:

00-00-02-00-c8-01<--

packets:9

bytes:774

-->

packets:7

bytes:602-->:21(LongLink)Page29Copyright

?

2012Technologies

Co.,.s.的基本概念基本功能擴(kuò)展功能Page30Copyright

?

2012Technologies

Co.,.s.2.的技術(shù)ASPF影響性能的指標(biāo)Page31Copyright

?

2012Technologies

Co.,.s.ASPFASPF（Application

Specific

Packet

Filter）是一種改進(jìn)的高級(jí)通信過濾技術(shù)，ASPF不但對(duì)報(bào)文的網(wǎng)絡(luò)層的信息進(jìn)行檢測(cè)，還能對(duì)豐富的應(yīng)用層協(xié)議進(jìn)行深度檢測(cè)，支持多范功能，支持的協(xié)議包括：H.323協(xié)議族、業(yè)務(wù)的NAT以及安全防、SIP、H248、RTSP、HWCC及ICMP、FTP、DNS、PPTP、NBT、ILS、HTTP、SMTP等?；贏CL規(guī)則的

濾可以在網(wǎng)絡(luò)層和傳輸層檢測(cè)數(shù)據(jù)包，防止非法

。ASPF對(duì)應(yīng)用層的協(xié)議信息進(jìn)行檢測(cè)，通過

會(huì)話的狀態(tài)和檢查會(huì)話報(bào)文的協(xié)議和端

等信息，

的

。Page32Copyright

?

2012Technologies

Co.,.s.多通道協(xié)議多通道協(xié)議是指某個(gè)應(yīng)用在進(jìn)行通訊或提供服務(wù)時(shí)需要建立兩個(gè)以上的會(huì)話（通道），其中有一個(gè)控制通道，其他的通道是根據(jù)控制通道中雙方協(xié)商的信息動(dòng)態(tài)創(chuàng)建的，一般

稱之為數(shù)據(jù)通道或子通道。多通道協(xié)議在狀態(tài)

當(dāng)中需要特殊處理。單通道協(xié)議是指某個(gè)應(yīng)用在進(jìn)行通訊或提供服務(wù)時(shí)只需要建立一個(gè)會(huì)話的應(yīng)用協(xié)議。根據(jù)TCP三次握

制，狀態(tài)

能夠

會(huì)話的五元組信息。Page33Copyright

?

2012Technologies

Co.,.s.ASPF與多通道協(xié)議用戶USGFTP

server0創(chuàng)建Servermap表項(xiàng)三次握手Port

89,3三次握手Port

89,3200

Port

Command

OKRETR

Sample.txt200

Port

Command

OK150

Opening

ASCII

connectionRETR

Sample.txt150

Opening

ASCII

connection檢測(cè)Servermap表項(xiàng)，命中表項(xiàng)，打開通道SYN:22787SYN:22787Page34Copyright

?

2012Technologies

Co.,.s.三元組ASPFUSG相當(dāng)于一個(gè)六元組(支持

情況下，有-ID)的NAT設(shè)備，即上的每個(gè)會(huì)話的建立都需要六元組：源IP地址、源端口、目的IP地址、目的端口、協(xié)議號(hào)和

-ID。只有這些元素都具備了，會(huì)話才能建立成功，報(bào)文才能通過。而一些實(shí)時(shí)通訊工具，如、

MSN等，通過NAT設(shè)備，需要按三元組處理：源IP地址、源端口、協(xié)議號(hào)。USG為了適配類似、MSN等通訊機(jī)制，支持三元組處理方式，讓類似、MSN等的通訊方式能夠正常的穿越。除

、MSN穿越NAT設(shè)備外，其他僅使用源IP地址、源端口、協(xié)議號(hào)的會(huì)話，如TFTP，同樣需要配置

三元組ASPF。Page35Copyright

?

2012Technologies

Co.,.s.ASPF配置進(jìn)入安全區(qū)域域間[USG2100]

firewall

interzone

trust

untrust打開ASPF功能[USG2100-interzone-trust-untrust]

detect

protocol[USG2100-interzone-trust-untrust]

detect

{

activex-blocking

|

java-blocking

}Page36Copyright

?

2012Technologies

Co.,.s.性能指標(biāo)—吞吐量吞吐量：

能同時(shí)處理的最大數(shù)據(jù)量有效吞吐量：除掉TCP因?yàn)閬G包和超時(shí)重發(fā)的數(shù)據(jù),實(shí)際的每秒傳輸有效速率Copyright

?

2012Technologies

Co.,.s.性能指標(biāo)—時(shí)延到最后一個(gè)比特輸出防處理數(shù)據(jù)的速度理定義：數(shù)據(jù)包的第一個(gè)比特進(jìn)入火墻的時(shí)間間隔指標(biāo)，是用于測(cè)量想的情況時(shí)間間隔Smartbits

6000B第一個(gè)比特進(jìn)入最后一個(gè)比特輸出Copyright

?

2012Technologies

Co.,.s.性能指標(biāo)—每秒新建連接數(shù)定義：指每秒鐘可以通過

建立起來的完整TCP連接該指標(biāo)是用來衡量數(shù)據(jù)流的實(shí)時(shí)處理能力Copyright

?

2012Technologies

Co.,.s.性能指標(biāo)—并發(fā)連接數(shù)定義：由于是指的是針對(duì)連接進(jìn)行處理報(bào)文的，并發(fā)連接數(shù)目可以同時(shí)容納的最大的連接數(shù)目，

接就是一個(gè)TCP/UDP的

。該參數(shù)是用來衡量主機(jī)和服務(wù)器間能同時(shí)建立的最大連接數(shù)Copyright

?

2012Technologies

Co.,.s.的基本概念基本功能擴(kuò)展功能Page41Copyright

?

2012Technologies

Co.,.s.3.基本功能1.MAC綁定端口IDS聯(lián)動(dòng)日志Page42Copyright

?

2012Technologies

Co.,.s.多業(yè)務(wù)功能交換P2P/IMUTMAVIPS安全?SNMPv2v3RMONTR069?net/SSL/HTTP(s)Copyright

?

2012?TTFeTcPhnologies

Co.,

.??路由靜態(tài)路由策略路由RIPv2OSPFv2BGPv4管理??FE,

GEVLAN?Trunk,802.1ad?ACLNAT:L2TP/GRE/IPSec/SSLLAN/WANPPPPPPoE???反

郵件URL過濾UTMs.主要功能—控制主機(jī)A服務(wù)器MACIPTCP數(shù)據(jù)載荷識(shí)別報(bào)頭標(biāo)識(shí)，給出執(zhí)行措施控制操作策略訪問控制Copyright

?

2012Technologies

Co.,.s.外部網(wǎng)絡(luò)企業(yè)內(nèi)網(wǎng)日志服務(wù)器企業(yè)內(nèi)網(wǎng)用戶配合eLog日志

，可以為用戶提供清晰網(wǎng)絡(luò)日志和

記錄。日志審計(jì)可收集網(wǎng)絡(luò)中所有通過該設(shè)備的日志通過二進(jìn)志日志格式實(shí)現(xiàn)高速日志流傳輸Copyright

?

2012Technologies

Co.,.s.防范網(wǎng)絡(luò)

主要分為四大類：流量型掃描窺探畸形報(bào)文特殊報(bào)文Packets受害主機(jī)AttackerCopyright

?

2012Technologies

Co.,.s.報(bào)文統(tǒng)計(jì)報(bào)文統(tǒng)計(jì)對(duì)于

來說，不僅要對(duì)數(shù)據(jù)流量進(jìn)行

，還要對(duì)內(nèi)外部網(wǎng)絡(luò)之間的連接發(fā)起情況進(jìn)行檢測(cè)，因此要進(jìn)行大量的統(tǒng)計(jì)、計(jì)算與分析。對(duì)報(bào)文統(tǒng)計(jì)結(jié)果的分析有如下兩個(gè)方面：專門的

事后分析日志信息。?實(shí)時(shí)完成一部分分析功能。Copyright

?

2012Technologies

Co.,.s.?創(chuàng)建是一個(gè)IP地址列表。

將檢查報(bào)文源地址，如果命中,

丟棄所有報(bào)文快速有效地

特定IP地址的用戶。表項(xiàng)，有如下兩種方式：通過命令行手工創(chuàng)建。通過

防范模塊或IDS模塊動(dòng)態(tài)創(chuàng)建。來自的報(bào)文查找丟棄192

168

1

3Copyright

?

2012Technologies

Co.,.s.特點(diǎn)：根據(jù)報(bào)文的源IP地址進(jìn)行過濾簡(jiǎn)單高效可動(dòng)態(tài)添加刪除Page49Copyright

?

2012Technologies

Co.,.s.靜態(tài)配置[USG2100]

firewall

blacklist

item

timeout

100[USG2100]

firewall

blacklist

enable服務(wù)器/24PC/24USGEth1/0/1/24Eth1/0/0/24Page50Copyright

?

2012Technologies

Co.,.s.動(dòng)態(tài)配置服務(wù)器/24PC/24USGEth1/0/1/24Eth1/0/0/24[USG2100]

firewall

defend

ip-sweep

enable[USG2100]

firewall

defend

ip-sweep

max-rate

1000[USG2100]

firewall

defend

ip-sweep

blacklist-timeout

20[USG2100]

firewall

blacklist

enablePage51Copyright

?

2012Technologies

Co.,.s.配置驗(yàn)證[USG2100]

display

firewall

blacklist

itemTotal:1IDS:0Manual:1Login

Failed:0IP

Sweep:0PreAuthed:0Port

Scan:0Get

Flood:0tcp-illeage-session:0IP

ReasoninstanceUnknown:0InsertTimeAgeTime-

Manual2009/05/12

17:47:35

PermanentPage52Copyright

?

2012Technologies

Co.,.s.3.基本功能1.MAC綁定端口IDS聯(lián)動(dòng)日志Page53Copyright

?

2012Technologies

Co.,.s.MAC綁定問題的提出網(wǎng)絡(luò)中常有一些IP地址的MAC綁定應(yīng)用限制條件與二層直接相連的網(wǎng)絡(luò)Page54Copyright

?

2012Technologies

Co.,.s.MAC綁定配置[USG2100]

firewall

mac-binding

enable[USG2100]

firewall

mac-binding

00e0-fc00-0100服務(wù)器/24PC/24USGEth1/0/1/24Eth1/0/0/24Page55Copyright

?

2012Technologies

Co.,.s.MAC綁定配置驗(yàn)證[USG2100]

display

firewall

mac-binding

itemFirewall

Mac-binding

items

:Current

items

:

38

0087-0326-ea9d00e0-fc08-058900e0-fc98-5679Page56Copyright

?

2012Technologies

Co.,.s.3.基本功能1.MAC綁定端口IDS聯(lián)動(dòng)日志Page57Copyright

?

2012Technologies

Co.,.s.端口問題的提出?服務(wù)器在非知名端口提供知名服務(wù)，例如在1021端口提供FTP服務(wù)端口?并非要更改數(shù)據(jù)包的端口信息可以用來保護(hù)因?yàn)橹丝诙鴰淼尼槍?duì)性Page58Copyright

?

2012Technologies

Co.,.s.端口組網(wǎng)示例FTP

Server/24WWW

Server/24Eth1/0/0/24/24公司

以太網(wǎng)Eth2/0/0/16網(wǎng)段網(wǎng)段USGWANPage59Copyright

?

2012Technologies

Co.,.s.端口

配置驗(yàn)證[USG2100]

display

port-mapSERVICE

PORT

ACLTYPEftp21system

definedsmtp25system

definedhttp80system

definedrtsp554system

definedh3231720system

definedftp802010user

definedhttp56782020user

definedPage60Copyright

?

2012Technologies

Co.,.s.配置參考[USG2100]

acl

number

2010[USG2100

-acl-basic-2010]

rule

permit

source

[USG2100]port-map ftp

port

80

acl

2010[USG2100]

acl

number

2020[USG2100-acl-basic-2020]

rule

permit

source

55[USG2100]

port-map http

port

5678

acl

2020[USG2100]

firewall

interzone

dmz

untrust[USG2100-interzone-dmz-untrust]

detect

ftp將去往主機(jī)的使用端80的報(bào)文識(shí)別為FTP報(bào)文需要在域間detect相應(yīng)的協(xié)議Page61Copyright

?

2012Technologies

Co.,.s.3.基本功能1.MAC綁定端口IDS聯(lián)動(dòng)日志Page62Copyright

?

2012Technologies

Co.,.s.IDS聯(lián)動(dòng)的局限性?不能防止通向站點(diǎn)的后門；一般不提供對(duì)

的保護(hù)；無(wú)法防范數(shù)據(jù)驅(qū)動(dòng)型的

；不能根據(jù)網(wǎng)絡(luò)被

使用和???的情況動(dòng)態(tài)調(diào)整自己的策略等。檢測(cè)系統(tǒng)）的優(yōu)勢(shì)IDS（Intrusion

Detection

System，實(shí)時(shí)地監(jiān)視、分析網(wǎng)絡(luò)中所有的數(shù)據(jù)報(bào)文，發(fā)現(xiàn)并實(shí)時(shí)處理所捕獲的數(shù)據(jù)報(bào)文，對(duì)系統(tǒng)記錄的網(wǎng)絡(luò)事件進(jìn)行統(tǒng)計(jì)分析，發(fā)現(xiàn)異?，F(xiàn)象，主動(dòng)切斷連接或與

聯(lián)動(dòng)，調(diào)用其他程序處理。Page63Copyright

?

2012Technologies

Co.,.s.與IDS聯(lián)動(dòng)組網(wǎng)示例INTERNET管理信息日志告警NIP

NIDS辦公網(wǎng)DMZ區(qū)管理端口

響應(yīng)端口端口受保護(hù)服務(wù)器群USGEth1/0/1Eth1/0/0Page64Copyright

?

2012Technologies

Co.,.s.與IDS聯(lián)動(dòng)配置123[USG2100]

firewall

ids

server

0[USG2100]

firewall

ids

port

3000[USG2100]

firewall

ids

authentication

type

md5

key[USG2100]

firewall

ids

enable最后一定得使能IDS的功能Page65Copyright

?

2012Technologies

Co.,.s.IDS配置驗(yàn)證[USG2100]

display

firewall

idsFirewall

IDS

information:firewall

IDS:

enabledebug

flag:

offserver

port:

3000authentication

type:

md5authentication

string:123client

address

0:

0Page66Copyright

?

2012Technologies

Co.,.s.3.基本功能1.MAC綁定端口IDS聯(lián)動(dòng)日志Page67Copyright

?

2012Technologies

Co.,.s.日志LogServer防范地址綁定二進(jìn)制流日志監(jiān)視終端控制臺(tái)緩沖區(qū)……信息中心重定向NAT/ASPF流量統(tǒng)計(jì)日志信息日志信息Page68Copyright

?

2012Technologies

Co.,.s.日志輸出配置組網(wǎng)示例Ethernet2/0/1/24服務(wù)器日志服務(wù)器PCEthernet2/0/0/24Ethernet1/0/0/24USGPC/24Page69Copyright

?

2012Technologies

Co.,.s.日志輸出配置[USG2100]

info-center

enable[USG2100]

info-center

loghost

language

english[USG2100]

firewall

session

log-type

binary

host

1

9002Page70Copyright

?

2012Technologies

Co.,.s.日志配置驗(yàn)證[USG2100]

display

info-centerInformation

Center:

enabledLog

host:,

channel

number

2,

channel

name

loghost,language

english

,

host

facility

local7Console:channel

number

:

0,

channel

name

:

consoleMonitor:channel

number

:

1,

channel

name

:

monitor……Page71Copyright

?

2012Technologies

Co.,.s.的基本概念基本功能擴(kuò)展功能Page72Copyright

?

2012Technologies

Co.,.s.4.擴(kuò)展功能負(fù)載均衡虛擬Page73Copyright

?

2012Technologies

Co.,.s.負(fù)載均衡當(dāng)前的網(wǎng)絡(luò)應(yīng)用中，單臺(tái)服務(wù)器的處理能力已經(jīng)成為網(wǎng)絡(luò)中的瓶頸，尤其是在IDC、等應(yīng)用場(chǎng)合。USG

的負(fù)載均衡即是將用戶流量分配到多個(gè)服務(wù)器上，從而達(dá)到流量分擔(dān)的目的，進(jìn)而保障服務(wù)器的可用性。防火墻按照配置的算法，將用戶流量分配到不同的服務(wù)器上，充分利用各個(gè)服務(wù)器的處理能力，達(dá)到最佳的可擴(kuò)展性。Page74Copyright

?

2012Technologies

Co.,.s.負(fù)載均衡組網(wǎng)示例Eth1/0/0/24Eth1/0/1/24服務(wù)器1/24服務(wù)器2/24服務(wù)器3/24USGvip

交換機(jī)PC/24Page75Copyright

?

2012Technologies

Co.,.s.負(fù)載均衡配置[USG2100]

slb

enable[USG2100]

slb[USG2100

-slb]

rserver

1

rip

[USG2100

-slb]

rserver

2

rip

[USG2100

-slb]

rserver

3

rip

[USG2100]

firewall

packet-filter

default

permit

interzone

local

dmzdirection

outbound由于

對(duì)實(shí)服務(wù)器缺省進(jìn)行健康行檢查，此時(shí)需要配置允許健康檢查報(bào)文在

Local和DMZ域間出方向流動(dòng)使能SLB和自動(dòng)健康檢查功能。Page76Copyright

?

2012Technologies

Co.,.s.負(fù)載均衡配置(續(xù))[USG2100

-slb]

group

group1[USG2100

-slb-group-

group1]

metric

roundrobin[USG2100

-slb-group-

group1]

addrserver

1[USG2100

-slb-group-

group1]

addrserver

2[USG2100

-slb-group-

group1]

addrserver

3[USG2100

-slb]

vserver vip

group

group1Page77Copyright

?

2012Technologies

Co.,.s.負(fù)載均衡配置驗(yàn)證[USG2100

-slb]

display

thisslbrserver

1

rip

weight

32

healthchkrserver

2

rip

weight

32

healthchkrserver

3

rip

weight

32

healthchkgroup

group1metric

roundrobinaddrserver

1addrserver

2addrserver

3vservervip

group

group1Page78Copyright

?

2012Technologies

Co.,.s.負(fù)載均衡效果[USG2100]

display

firewall

session

tableicmp,

(icmp,

(icmp,

(:

public

->

public)

:2048-->:43:

public

->

public)

:2048-->:43:

public

->

public)

:2048-->:43FTP,

(FTP,

(FTP,

(FTP,

(FTP,

(:

public

->

public)

:21[:21]<-+:1227:

public

->

public)

:21[:21]<-+:1229:

public

->

public)

:21[:21]<-+:1231:

public

->

public)

:21[:21]<-+:1233:

public

->

public)

:21[:21]<-+:1235Current

Total

Sessions

:

8Page79Copyright

?

2012Technologies

Co.,.s.4.擴(kuò)展功能負(fù)載均衡虛擬Page80Copyright

?

2012Technologies

Co.,.s.虛擬Vfw3Vfw2Vfw1Rfw在USG上創(chuàng)建邏輯上的虛擬防火墻（Virtual-firewall,Vfw），能夠每個(gè)虛擬 都是提供

的出租業(yè)務(wù)，實(shí)現(xiàn)子網(wǎng)

和解決地址

的問題。實(shí)例（

-Instance）、安全實(shí)例和配置實(shí)例的綜合體，能夠?yàn)樘摂M用戶提供私有的路由轉(zhuǎn)發(fā)平面、安全服務(wù)和配置管理平面。Page81Copyright

?

2012Technologies

Co.,.s.虛擬支持虛擬防火USG墻特性每個(gè)虛擬均可以獨(dú)立支持Local、TRUST、UNTRUST、DMZ、VZONE

5個(gè)安全區(qū)域，接口靈活劃分和分配。系統(tǒng)資源獨(dú)立分配，提供獨(dú)立的安全業(yè)務(wù)、NAT多實(shí)例、

多實(shí)例特性。...Root根FW一臺(tái)Eudemon物理虛擬Virtual

FWVZONETrust-