防火墙基础与分类ppt课件.pptx

防火墙基础,绿盟科技2011年11月密级：内部限制分发,分类、原理,1 防火墙的基本概念,4 防火墙的典型部署,3 防火墙的功能,2 防火墙的分类,5 下一代防火墙介绍,1 防火墙的基本概念,概念：一种高级访问控制设备，即由软件和硬件组成的系统，置于不同的网络安全域之间的一系列部件的组合，它是不同网络安全域间通信流的唯一通道，能根据企业有关的安全政策控制（允许、拒绝、监视、记录）进出网络的访问行为。 防火墙默认阻断一切！,防火墙设计的基本目标： 所有进出网络的数据流都必须经过防火墙； 只允许经过授权的数据流通过防火墙； 防火墙自身对入侵是免疫的。,1 防火墙的基本概念,防火墙对数据流的处理方式有三种：允许数据流通过；拒绝数据流通过；将这些数据流丢弃。,1，按用户终端，分为企业防火墙和个人防火墙2，按照实现方式，分为硬件和软件防火墙；3，按照检测技术，分为包过滤、状态检测等；4，固定防火墙和移动防火墙5，按照部署，分为单机版和网络版；6，产品多元化，服务器版，PC版，Mp4版， 手机版，电视版. 目前没有权威而明晰的类似辞典.,防 火 墙 分 类,针对硬件防火墙的检测方式的分类,防火墙的设备形态（一）,1 防火墙的基本概念,防火墙的设备形态（二）,1 防火墙的基本概念,1 防火墙的基本概念,防火墙的设备形态（三）,1 防火墙的基本概念,4 防火墙的典型部署,3 防火墙的功能,2 防火墙的分类,5 下一代防火墙介绍,防火墙的发展历程,将过滤功能从路由器中独立出来，并加上审计和告警功能针对用户需求，提供模块化的软件包软件可通过网络发送，用户可根据需要构造防火墙与第一代防火墙相比，安全性提高了，价格降低了,是批量上市的专用防火墙产品包括分组过滤或者借用路由器的分组过滤功能装有专用的代理系统，监控所有协议的数据和指令保护用户编程空间和用户可配置内核参数的设置安全性和速度大为提高,防火墙厂商具有操作系统的源代码，并可实现安全内核去掉了不必要的系统特性，加固内核，强化安全保护在功能上包括了分组过滤、用于网关、电路级网关增加了许多附加功能：加密、鉴别、审计、NAT转换透明性好，易于使用,利用路由器本身对分组的解析，进行分组过滤过滤判断依据：地址、端口号、IP旗标及其他网络特征防火墙与路由器合为一体，只有过滤功能适用于对安全性要求不高的网络环境,包过滤防火墙状态检测防火墙应用代理防火墙复合型防火墙核检测防火墙,防火墙的基本分类,防火墙类型1,1.包过滤防火墙数据包过滤(Packet Filtering)技术在网络层对数据包进行选择，选择的依据是系统内设置的过滤逻辑，即访问控制表(Access Control List，ACL)包过滤防火墙分为静态包过滤、动态包过滤防火墙包检查器并不是检查数据包的所有内容，只检查报头（IP、TCP头部），通常只检查下列几项：IP源地址IP目标地址TCP或UDP的源端口号TCP或UDP的目的端口号协议类型ICMP消息类型TCP报头中的ACK位TCP的序列号、确认号IP校验和,1.包过滤防火墙,应用层,TCP 层,IP 层,网络接口层,IP,开始攻击,TCP,ETH,开始攻击,应用层,TCP 层,IP 层,网络接口层,开始攻击,只检查报头,101001001001010010000011100111101111011,001001001010010000011100111101111011,简单包过滤防火墙不检查数据区简单包过滤防火墙不建立连接状态表前后报文无关应用层控制很弱,1.包过滤防火墙,优点逻辑简单对网有较强的透明性络性能的影响较小开销较小，设备便宜缺点无法对数据包的内容进行过滤审核 在传输层或则是网络层上检测数据，不能在更高一层检测数据，比如能禁止和通过一个向内的HTTP请求，但不能判断这个请求是非法的还是合法的。防止欺骗攻击很难，特别是容易受到IP欺骗攻击所有可能用到的端口(尤其是1024的端口)都必需放开,增加了被攻击的可能性在复杂的网络中很难管理通常来说包过滤技术是防火墙技术中最低的。,防火墙类型2,2.状态检测防火墙 由动态包过滤防火墙演变而来，工作在传输层，使用各种状态表（state tables）来追踪活跃的TCP会话，它能够根据连接状态信息动态地建立和维持一个连接状态表，并且这个把这个连接状态表用于后续报文的处理。状态检测技术一般的检查点有：检查数据包是否是一个已经建立并且正在使用的通信流的一部分。如果数据包和连接表的各项都不匹配，那么防火墙就会检测数据包是否与它所配置的规则集相匹配。在检测完毕后，防火墙会根据路由转发数据包，并且会在连接表中为此次对话创建或者更新一个连接项防火墙通常对TCP包中被设置的FIN位进行检测、通过会话超时设置决定何时从连接表中删除某连接项。,状态检测防火墙,应用层,TCP 层,IP 层,网络接口层,IP,开始攻击,TCP,ETH,开始攻击,应用层,TCP 层,IP 层,网络接口层,开始攻击,只检查报头,101001001001010010000011100111101111011,001001001010010000011100111101111011,不检查数据区建立连接状态表前后报文相关应用层控制很弱,建立连接状态表,2.状态检测防火墙,优点更高的安全性高效性应用范围广缺点不能对应用层数据进行控制不能产生高层日志配置复杂,防火墙类型3,3.应用代理防火墙应用代理（Application Proxy）也称为应用层网关（Application Gateway）工作在应用层，其核心是代理进程每一种应用对应一个代理进程，实现监视和控制应用层通信流自适应代理防火墙：在每个连接通信的开始仍然需要在应用层接受检测，而后面的包可以经过安全规则由自适应代理程序自动的选择是使用包过滤还是代理,代理应用进程,应用服务器,客户端,发送请求,转发请求,请求响应,转发响应,3.应用代理防火墙,应用层,TCP 层,IP 层,网络接口层,IP,开始攻击,TCP,ETH,开始攻击,应用层,TCP 层,IP 层,网络接口层,开始攻击,只检查数据,101001001001010010000011100111101111011,001001001010010000011100111101111011,不检查IP、TCP报头不建立连接状态表需要有相应的服务代理程序网络层保护比较弱,3.应用代理防火墙,优点可以检查应用层、传输层和网络层的协议特征，对数据包的检测能力比较强代理完全控制会话，可以提供很详细的日志和安全审计功能可以隐藏内部网的IP地址，保护内部主机免受外部主机的进攻可以集成认证机制缺点最大缺点是要求用户改变自己的行为，或者在访问代理服务的每个系统上安装特殊的软件分析困难，实现困难 每一种应用服务必须设计一个代理软件模块进行安全控制，并且应用升级时，一半代理服务程序也要升级影响用户网络速度（命令解释）不能防止SYN攻击,防火墙类型4,4.复合型防火墙复合型防火墙是指综合了状态检测与应用代理的新一代的防火墙对整个报文进行访问控制和处理，具体检测内容由策略决定，如果策略是包过滤策略，则对TCP、IP报头进行检测，如果策略是应用代理策略，则对用户数据进行检测。,4.复合型防火墙,应用层,TCP 层,IP 层,网络接口层,IP,开始攻击,TCP,ETH,开始攻击,应用层,TCP 层,IP 层,网络接口层,开始攻击,检查整个报文内容,101001001001010010000011100111101111011,001001001010010000011100111101111011,建立连接状态表,可以检查整个数据包的内容根据需要建立连接状态表网络层保护强应用层控制细会话控制弱,4.复合型防火墙,优点可以检查整个数据包的内容根据需要建立连接状态表网络层保护强应用层控制细缺点会话控制较弱,防火墙类型5,5.核检测防火墙对于简单包过滤防火墙、状态检测包过滤防火墙和应用代理防火墙，他们只是检查单个报文， 所以只检查其中的一个报文，但是他们都不能把这些报文组合起来，形成一个会话来进行处理。对于核检测防火墙，它可以将不同报文，在防火墙内部，模拟成应用层客户端或服务器端，对整个报文进行重组，合成一个会话来进行理解，进行访问控制。可以提供更细的访问控制，同时能生产访问日志。可以看到，它的上下报文是相关的，它具备包过滤和应用代理防火墙的全部特点，还增加了对会话的保护能力。,5.核检测防火墙,应用层,TCP 层,IP 层,网络接口层,IP,开始攻击,TCP,ETH,开始攻击,应用层,TCP 层,IP 层,网络接口层,检查多个报文组成的会话,101001001001010010000011100111101111011,001001001010010000011100111101111011,建立连接状态表,网络层保护强应用层控制细会话保护强上下文关联前后报文有联系,服务操作,硬盘数据,开始攻击,服务操作,硬盘数据,报文1,报文2,报文3,重写会话,5.核检测防火墙,优点网络层保护强应用层保护强会话层保护强前后报文有联系，可以关联进行出来缺点：不能防病毒传播不能防止一些未知的入侵或攻击,防火墙类型的对比,安全网关,防火墙,UTM,A Episode,A Episode,1、防火墙 一种隔离技术，将内部网和外部网络分开的方法； 防火墙是在两个网络通讯时执行的一种访问控制尺度，它能允许你“同意”的人和数据进入网络，同时将你“不同意”的人和数据拒之门外，最大限度地阻止网络中的黑客来访问网络；传统防火墙应该具备状态检测、访问控制以及VPN等功能。2、UTM（Unified Threat Management） 统一威胁管理，是指由硬件、软件和网络技术组成的具有专门用途的设备，它主要提供一项或多项安全功能，将多种安全特性集成于一个硬设备里，构成一个标准的统一管理平台； 将防病毒、入侵检测和防火墙的概念融入统一威胁管理的类别中； UTM设备应该具备的基本功能包括防火墙、网络入侵检测/防御和防病毒功能。 3、安全网关 设置在不同网络或安全域之间的一系列部件的组合的统称； 通过监测、限制、更改跨越安全网关的数据流，尽可能地对外部屏蔽内部的信息、结构和运行状况，并通过检测阻断威胁，以及网络数据加密等手段来实现网络和信息的安全； 安全网络可以分为：单一功能的网关（防火墙、VPN网关、IPS、防病毒网关、防垃圾邮件网关、抗DDoS网关、web防护防火墙），综合功能型网关（UTM）。,回顾,回顾：1、防火墙的概念 防火墙的概念？ 目标？ 形态？2、防火墙的分类 哪几类？ 工作层次？ 工作原理？3、防火墙、UTM、安全网关的区别,1 防火墙的基本概念,4 防火墙的典型部署,3 防火墙的功能,2 防火墙的分类,5 下一代防火墙介绍,防火墙的功能,网络部署 透明、路由（动态、静态、策略）、vlan/trunk NAT/MAP/PAT2. 访问控制 ACL、带宽管理3. 防御功能 ips、内容检测、防病毒4. 加密传输 VPN（ipsec vpn 、ssl vpn）5. 安全特性 认证、IP MAC绑定、ARPIP欺骗、DDOS攻击6.网络冗余 负载均衡、高可用性,多协议支持,对动态路由协议的支持（ospf、ripv1/v2、bgp）对stp/rstp协议的支持支持 802.1q 和 Cisco 的 ISL 协议 等VLAN专用协议支持IGMPv1/v2/v3 支持DHCP、BOOTP协议,基本访问控制技术,Host C,Host D,数据包,数据包,数据包,数据包,数据包,查找对应的控制策略,拆开数据包进行分析,根据策略决定如何处理该数据包,数据包,控制策略,基于源IP地址 基于目的IP地址 基于源端口 基于目的端口 基于时间 基于用户 基于服务 基于文件 基于网址 基于MAC地址,可以灵活的制定控制策略,第三方认证,Internet,RADIUS服务器,认证服务器,jonson,12354876,防火墙将认证信息传给真正的RADIUS服务器,进行认证,将认证结果传给防火墙,支持第三方RADIUS服务器认证支持TACAS及TACAS+服务器支持S/KEY认证服务器,根据认证结果形成在线用户，然后根据实际的策略进行检测,NAT地址转换,源地址：192.168.1.21目地址：202.102.93.54,源地址：101.211.23.1目地址：202.102.93.54,101.211.23.2,NAT包括SNAT、MAP、PAT 隐藏了内部网络的结构 内部网络可以使用私有IP地址,建立Nat转换表,双链路功能,教育网,Internet,202.10.1.2,64.10.6.5,200.34.22.2,200.34.22.1,192.168.1.1,Host A：192.168.1.2,Host B：192.168.1.3,Host C：192.168.1.4,200.34.22.3,内网,根据源、目地址来进行路由,主机B通过电信网上Internet,主机A通过教育网上Internet,电信网,加密传输VPN,按VPN业务类型划分： 1）Intranet VPN（内部公文流转） 2）Access VPN（远程拨号VPN） 3）Extranet VPN（各分支机构互联）,按隧道协议层次划分：1）二层隧道协议：L2TP（ Layer 2 Tunneling Protocol ）、PPTP（ Point to Point Tunneling Protocol ） 2）三层隧道协议：GRE、Ipsec 3）介于二、三层间的隧道协议：MPLS（ Multi Protocol Label Switch ） 4）四层隧道协议： SSL,2、VPN的分类,1、VPN（Virtual Private Network）,通过一公共网络( Internet) 建立的临时的、安全的连接, 是一条穿过混乱的公用网络的安全、稳定的隧道。虚拟-不需要占用实际的线路，使用internet数据网络的线路专用-用户可以为自己制定一个最符合自己需求的网络,加密传输VPN,远程接入VPN,加密传输VPN,LAN-LAN 通信,加密传输VPN,可控的内联网接入,企业LAN利用VPN技术实现对保密网络当中的特定子网实施可控制接入,高可用性(HA),概念：高可用性（High Availability），又称双机热备，提供了一种最小化网络中由于单点故障而带来的风险的方法。单点故障：对于部署防火墙的企业，从网络安全方面考虑，所有进出信息流都必须经过防火墙。这时防火墙就是一个单点故障。,HA实现的功能：1、链路切换 当一台设备出现故障时，能够实现无缝切换，从而使用户网络不中断。 2、数据同步 静态数据 策略（FW、IPS、VPN）、路由 动态数据 TCP会话.HA的模式：主备模式主主模式,高可用性(HA),Internet,SG,SG-A（主 ）,Internet,Internet,子网：质量部网关指向FW-A,子网1：质量部网关指向FW-A,子网2：研发部网关指向FW-B,主备模式,主主模式,SG-A（主 ）,数据流,数据流 子网1,数据流子网2,FW-A(主),FW-A(主),FW-B(从),FW-B(主),HA应用场景,IP MAC(用户)绑定,Internet,Host B,199.168.1.3,Host C,199.168.1.4,Host D,199.168.1.5,00-50-04-BB-71-A6,00-50-04-BB-71-BC,BIND 199.168.1.2 To 00-50-04-BB-71-A6,BIND 199.168.1.4 To 00-50-04-BB-71-BC,IP与MAC地址绑定后，不允许Host B假冒Host A的IP地址上网,防火墙允许Host A上网,跨路由器,1 防火墙的基本概念,4 防火墙的典型部署,3 防火墙的功能,2 防火墙的分类,5 下一代防火墙介绍,4.防火墙典型部署,透明部署路由部署双机热备多出口部署VPN专线部署综合部署,1.透明部署,受保护网络,Internet,如果防火墙支持透明模式，则内部网络主机的配置不用调整,199.168.1.8,同一网段,透明模式下，这里不用配置IP地址,透明模式下，这里不用配置IP地址,Default Gateway=199.168.1.8,防火墙相当于网桥，原网络结构没有改变,2.路由部署,受保护网络,Internet,199.168.1.8,Default Gateway=199.168.1.8,防火墙相当于一个简单的路由器,203.12.34.56,203.12.34.57,提供路由功能提供NAT功能,199.168.1.8,3.双机热备,提供链路备份功能提供负载均衡功能,4.多出口部署,5.VPN专线部署,企业通过广域网组建自己的VPN专线,6.综合部署,回顾,回顾：1、防火墙的功能基本功能？扩展？2、防火墙的部署典型部署？,1 防火墙的基本概念,4 防火墙的典型部署,3 防火墙的功能,2 防火墙的分类,5 下一代防火墙介绍,对于使用僵尸网络传播方式的威胁，第一代防火墙基本上是看不到的。 随着面向服务的架构和Web 2.0使用的增加，更多的通信通过更少的端口(如HTTP和HTTPS)和使用更少的协议传输，这意味着基于端口/协议的政策已经变得不太合适和不太有效。 入侵防御系统的确是检查针对没有打补丁的操作系统和软件的已知攻击方法，但不能有效地识别和阻止应用程序的滥用。,下一代防火墙应运而生,下一代防火墙应运而生,Palo Alto NGFW特征,SP3 架构,Content-ID,User-ID,App-ID,下一代防火墙的基本特性,1支持联机“bump-in-the-wire”配置，不中断网络运行。2发挥网络传输流检查和网络安全政策执行平台的作用，至少具有以下特性： 标准的第一代防火墙能力：包过滤、NAT、状态性协议检测、VPN等等。 集成的网络入侵检测：集成具有高质量的IPS引擎和特征码，是NGFW的一个主要特征，两者间的互动效果应当大于这两部分效果的总和。 应用意识和全栈可见性：识别应用和在应用层上执行独立于端口和协议，而不是根据纯端口、纯协议和纯服务的网络安全政策。 智能的防火墙：防火墙收集外来信息来建立阻止决定或者优化的阻止规则库。,下一代防火墙的基本特性,3支持新信息馈送和新技术集成的升级路径，以对未来的威胁4 . 虚拟化技术5 . IPV66 . 流量整型策略灵活的优先级分配、硬件加速队列对应用、用户、源、目的地、接口、VPN通道及其它内容执行基于策略的流量整形7 . 采用提供更高性能的架构8 . 云计算（云安全技术）,传统防火墙和下一代防火墙的对比,不同厂商对NGFW的看法,已推出NGFW的厂商,Check point、PaloAlto、梭子鱼、SonicWAll、深信服（Singfor）,整体回顾,回顾总结：1、防火墙的概念2、防火墙的分类与对比3、防火墙的功能4、防火墙的典型部署5、NGFW其他展望：1、防火墙软、硬件系统结构2、针对防火墙攻击3、防火墙的性能4、.,附录,PaloAlto 如何定义 NGFW,Gartner 如何定义 NGFW,nss-labs NGFW TEST REPORT,PaloAlto下一代防火墙解决方案介绍,谢 谢,