天融信防火墙技术培训专用教材.ppt
防火墙技术原理,防火墙技术培训专用材料,防火墙概述 防火墙分类 防火墙硬件技术 防火墙软件技术 防火墙设计结构 防火墙构造体系 防火墙功能 防火墙性能 防火墙安全性 防火墙的“胖”与“瘦”防火墙部署 防火墙管理 防火墙可靠性 防火墙典型应用 防火墙技术发展展望,提 纲,防火墙形态,标准1U机箱,节省了宝贵的机柜空间,而且外形美观大方配置3 个 10/100M 自适应接口,内网、外网、SSN 三个接口固定,不可更改接口数量、类型不可更改国内标准220V交流电源输入,不需要额外的电源转换设备内存=64 M电源=AC90260V,4763Hz,0.15A/0.25A主板采用集成化设计,稳定性、可靠性更高,接口属性固定,内 网,外 网,SSN,Internet,一种高级访问控制设备,置于不同网络安全域之间的一系列部件的组合,它是不同网络安全域间通信流的唯一通道,能根据企业有关的安全政策控制(允许、拒绝、监视、记录)进出网络的访问行为。,两个安全域之间通信流的唯一通道,根据访问控制规则决定进出网络的行为,防火墙定义,内部网,防火墙连线图,直通线,交叉线,交叉线,串口线,管理机,SSN 区域,外网,内网,防火墙概述 防火墙分类 防火墙硬件技术 防火墙软件技术 防火墙设计结构 防火墙构造体系 防火墙功能 防火墙性能 防火墙安全性 防火墙的“胖”与“瘦”防火墙部署 防火墙管理 防火墙可靠性 防火墙典型应用 防火墙技术发展展望,提 纲,Internet,软件防火墙,硬件防火墙,按形态分类,按保护对象分类,Internet,各种类型的防火墙,保护整个网络,保护单台主机,网络防火墙,单机防火墙,Internet,硬件防火墙&软件防火墙,Internet,硬件防火墙,软件防火墙,仅获得Firewall软件,需要准备额外的OS平台安全性依赖低层的OS网络适应性弱(主要以路由模式工作)稳定性高软件分发、升级比较方便,硬件+软件,不用准备额外的OS平台安全性完全取决于专用的OS网络适应性强(支持多种接入模式)稳定性较高升级、更新不太灵活,防火墙概述 防火墙分类 防火墙硬件技术 防火墙软件技术 防火墙设计结构 防火墙构造体系 防火墙功能 防火墙性能 防火墙安全性 防火墙的“胖”与“瘦”防火墙部署 防火墙管理 防火墙可靠性 防火墙典型应用 防火墙技术发展展望,提 纲,主要有三种:Intel X86架构工控机ASIC硬件加速技术网络处理器(NP)加速技术,防火墙硬件实现技术,基于Intel X86架构的防火墙,Intel X86架构的硬件以其高灵活性和扩展性一直受到众多国内、国外防火墙厂商的青睐。X86 CPU由于考虑了各种应用的需要,具有一般化的通用体系结构和指令集,容易支持复杂的运算并容易开发新的功能。随着Intel X86CPU性能的快速提高,基于Intel X86架构的防火墙在100Mbps带宽下的性能可以满足用户的需求。,基于ASIC技术的防火墙,ASIC:Application Specific Integrated Circuit,特定用途集成电路。ASIC专用硬件加速技术主要是部分国外厂商的防火墙产品采用,如NetScreen的高端防火墙。ASIC作为硬件集成电路,它把指令或计算逻辑固化到硬件中,获得高处理能力,提升防火墙性能。ASIC最大缺点是缺乏灵活性,支持有限的应用和服务。一旦指令或计算逻辑固化到硬件中,就很难修改升级、增加新的功能或提高性能,使得资源重用率很低。而且,ASIC设计和制造周期长(设计和制造复杂ASIC一般需要花费1218个月),研发费用高,也使ASIC很难应对万变的网络新应用,所以基于ASIC技术,很难快速推出能满足用户需求不断变化的防火墙产品。,基于NP技术的防火墙,什么是NP技术?NP的理论优点乐观者如是认为NP技术发展现实,什么是NP?,网络处理器(Network Processor,简称NP)顾名思义即专为网络数据处理而设计的芯片或芯片组。能够直接完成网络数据处理的一般性任务,如TCP/IP数据的校验和计算、包分类、路由查找等,同时,硬件体系结构的设计也弥补了传统IA体系的不足,它们大多采用高速的接口技术和总线规范,具有较高的I/O能力。基于网络处理器的网络设备的包处理能力得到了很大提升,很多需要高性能的领域,如千兆交换机、防火墙、路由器的设计都可以采用网络处理器来实现。,NP的理论优点,网络处理器可以通过良好的体系结构设计和专门针对网络处理优化的部件,为上层提供了一个可编程控制的环境,可以很好地解决硬件加速和软件可扩展的折衷问题。一方面,网络处理器独立于CPU之外,是专门为进行网络分组处理而开发的,具有优化的体系结构和指令集,因此它比CPU有着更高的处理性能,能够满足网络高速发展的需求。另一方面,它具有专门的指令集和配套的软件开发系统,具有很强的编程能力,能够很方便地开发各种应用,支持可扩展的服务,从而能够很好地满足网络业务多样化的发展趋势,比ASIC更灵活地应对日益更新的网络需求。,乐观者如是认为,网络处理器以其杰出的包处理性能及可编程性成为构筑网络转发引擎不可替代的核心,它将成为新一代网络设备的核心处理器,是未来网络设备的发展趋势。它被认为是推动下一代网络发展的一项核心技术,并开始越来越多地受到业界的关注。国内外的许多公司和大学纷纷投入力量展开了对网络处理器的相关研究,并将其用于中高端网络设备的研究与开发之中。,NP技术发展现实一,网络处理器都是由国外厂商设计制造的。根据网络处理器权威分析机构Linley Group Inc.的报告,2002年网络处理器(NPU)的全球市场份额为6500万美元,各主要产品提供商的市场份额按销售额排列如下:1AMCC38%2IBM19%3Motorola 15%4Intel11%5Agere9%2002年,为应对NPU市场竞争,各个主要厂商平均投入约5000万美元。在该类产品上,目前全部厂商均处于亏损状态。目前大小厂商共几十家,有些已经逐渐退出或被收购,如Vitesse等,但仍有新厂商不断加入。,NP技术发展现实二,NP产品远未成熟,包括Terago公司倒闭(10Gbit/sNP)NP不少,产品接口却不统一,无法完成无缝的整合;NPU论坛(网络处理器论坛(NPF)正在推动相关标准的制定,但还很不完善;NP防火墙产品的测试标准并没有推出,有关测试方法的Benchmark都还没有制定出来对复杂应用数据,NP的表现就不令人满意。例如分片数据包的重组和加密的处理。目前在网络数据厂商中,采用NP技术的数量非常有限。,基于NP技术的防火墙的发展,NP技术与产品的成熟与大规模应用还需要相当长时间基于NP技术开发稳定、高性能的防火墙还有相当距离无疑,NP技术的出现为国内防火墙厂商提供了一个机会,防火墙概述 防火墙分类 防火墙硬件技术 防火墙软件技术 防火墙设计结构 防火墙构造体系 防火墙功能 防火墙性能 防火墙安全性 防火墙的“胖”与“瘦”防火墙部署 防火墙管理 防火墙可靠性 防火墙典型应用 防火墙技术发展展望,提 纲,现有的防火墙核心技术,简单包过滤防火墙状态检测包过滤防火墙应用代理防火墙包过滤与应用代理复合型防火墙 核检测防火墙,应用层,表示层,会话层,传输层,网络层,链路层,物理层,应用层,表示层,会话层,传输层,网络层,链路层,物理层,网络层,链路层,物理层,优点:速度快,性能高 对应用程序透明,缺点:安全性低 不能根据状态信息进行控制 不能处理网络层以上的信息 伸缩性差 维护不直观,简单包过滤技术介绍,应用层,TCP 层,IP 层,网络接口层,IP,101010101,TCP,ETH,101010101,应用层,TCP 层,IP 层,网络接口层,101010101,只检查报头,101001001001010010000011100111101111011,001001001010010000011100111101111011,简单包过滤 防火墙的工作原理,简单包过滤防火墙不检查数据区简单包过滤防火墙不建立连接状态表前后报文无关应用层控制很弱,应用层,表示层,会话层,传输层,网络层,链路层,物理层,应用层,表示层,会话层,传输层,网络层,链路层,物理层,状态检测技术介绍,应用层,表示层,会话层,传输层,网络层,链路层,物理层,安全性高能够检测所有进入防火墙网关的数据包根据通信和应用程序状态确定是否允许包的通行性能高在数据包进入防火墙时就进行识别和判断伸缩性好可以识别不同的数据包已经支持160多种应用,包括Internet应用、数据库应用、多媒体应用等用户可方便添加新应用对用户、应用程序透明,抽取各层的状态信息建立动态状态表,应用层,TCP 层,IP 层,网络接口层,IP,101010101,TCP,ETH,101010101,应用层,TCP 层,IP 层,网络接口层,101010101,只检查报头,101001001001010010000011100111101111011,001001001010010000011100111101111011,状态检测包过滤 防火墙的工作原理,不检查数据区建立连接状态表前后报文相关应用层控制很弱,建立连接状态表,应用层,表示层,会话层,传输层,网络层,链路层,物理层,应用层,表示层,会话层,传输层,网络层,链路层,物理层,应用代理技术介绍,应用层,表示层,会话层,传输层,网络层,链路层,物理层,优点:安全性高 提供应用层的安全,缺点:性能差 伸缩性差 只支持有限的应用 不透明,FTP,HTTP,SMTP,应用层,TCP 层,IP 层,网络接口层,IP,101010101,TCP,ETH,101010101,应用层,TCP 层,IP 层,网络接口层,101010101,只检查数据,101001001001010010000011100111101111011,001001001010010000011100111101111011,应用代理 防火墙的工作原理,不检查IP、TCP报头不建立连接状态表网络层保护比较弱,应用层,TCP 层,IP 层,网络接口层,IP,101010101,TCP,ETH,101010101,应用层,TCP 层,IP 层,网络接口层,101010101,检查整个报文内容,101001001001010010000011100111101111011,001001001010010000011100111101111011,复合型 防火墙的工作原理,可以检查整个数据包内容根据需要建立连接状态表网络层保护强应用层控制细会话控制较弱,建立连接状态表,应用层,TCP 层,IP 层,网络接口层,IP,开始攻击,TCP,ETH,开始攻击 主服务器 硬盘数据,应用层,TCP 层,IP 层,网络接口层,开始攻击 主服务器 硬盘数据,检查多个报文组成的会话,101001001001010010000011100111101111011,001001001010010000011100111101111011,核检测 防火墙的工作原理,建立连接状态表,开始攻击,重写会话,主服务器,硬盘数据,报文1,报文2,报文3,网络层保护强应用层保护戗会话保护很强上下文相关前后报文有联系,防火墙核心技术比较,单个包报头,单个包报头,单个包数据,单个包全部,一次会话,防火墙概述 防火墙分类 防火墙硬件技术 防火墙软件技术 防火墙设计结构 防火墙构造体系 防火墙功能 防火墙性能 防火墙安全性 防火墙的“胖”与“瘦”防火墙部署 防火墙管理 防火墙可靠性 防火墙典型应用 防火墙技术发展展望,提 纲,软件防火墙设计结构,应用层,表示层,会话层,传输层,网络层,链路层,物理层,IP,TCP,Session,Application,Log/Alert,Packet Matches Rule?,Nest Rule,Drop the Packet,Send NACK,Pass the Rule?,YES,YES,NO,NO,NO,状态检测技术防火墙设计结构示例,仅供参考,软硬结合防火墙设计结构,路由模块,透明模块,规则检查,还原模块,FTP 还原,HTTP 还原,SMTP 还原,POP3 还原,日志守护进程,病毒守护进程,应用层日志,病毒,应用层过滤,Kernel,Application,00101010101010,11110010101001,11101010101011,连接表,在操作系统内核完成应用协议的还原,极大的提高了系统的整体性能,基于内核的会话检测技术,Clint,192.168.6.169,192.168.6.170,010101001010000111110000010010101001010010010110010010,协议还原模块协议还原模块,输入队列,输入队列,底层驱动,010101001010000111110000010010101001010010010110010010,符合安全策略?,符合安全策略?,防火墙逻辑图,010100101001010010,010100101001010010,010100101001010010,010100101001010010,010100,010101,发起请求,响应请求,虚拟客户端,虚拟服务器端,在操作系统内核模拟出典型的应用层协议,在内核实现对应用层协议的过滤,从而得到极高的性能,101001010111000010101000011,101001010111000010101000011,110100000001100000001111,1001001000100100001001111,10001101001001001001001,010,010,进行规则匹配、应用层过滤频繁在系统核心和应用层之间切换消耗掉大量的系统资源生成大量的进程影响防火墙的性能,应用层,系统核心,101001010111000010101000011,101001010111000010101000011,1001000100100001001111,10001101001001001001001,010,010,直接在系统核心进行应用层过滤不需要频繁在系统核心和应用层之间切换在大量并发情况下不会生成大量进程,有效的保护系统资源大大提高会话检测的效率,应用层,系统核心,基于内核 的会话检测技术,防火墙概述 防火墙分类 防火墙硬件技术 防火墙软件技术 防火墙设计结构 防火墙构造体系 防火墙功能 防火墙性能 防火墙安全性 防火墙的“胖”与“瘦”防火墙部署 防火墙管理 防火墙可靠性 防火墙典型应用 防火墙技术发展展望,提 纲,筛选路由器 多宿主主机 被屏蔽主机 被屏蔽子网,防火墙构造体系,内部网络,外部网络,包过滤器,进行包过滤,筛选路由器,内部网络,外部网络,禁止内外网络之间直接通信,双宿主主机,通过应用代理 通过登陆到双宿主主机上获得服务,缺点:如何保护双宿主主机本身的安全,所有的通信必须经过双宿主主机,多宿主主机,堡垒主机,进行规则配置,只允许外部主机与堡垒主机通讯,对内部其他主机的访问必须经过堡垒主机,缺点:堡垒主机与其他主机在同一个子网 一旦堡垒主机被攻破或被越过,整个内网和 堡垒主机之间就再也没有任何阻挡。,不允许外部主机直接访问除堡垒主机之外的其他主机,过滤器,被屏蔽主机,内部网络,外部网络,堡垒主机,内部筛选路由器,外部筛选路由器,禁止内外网络直接进行通讯,内外部网络之间的通信都经过堡垒主机,被屏蔽子网,防火墙概述 防火墙分类 防火墙硬件技术 防火墙软件技术 防火墙设计结构 防火墙构造体系 防火墙功能 防火墙性能 防火墙安全性 防火墙的“胖”与“瘦”防火墙部署 防火墙管理 防火墙可靠性 防火墙典型应用 防火墙技术发展展望,提 纲,Host C,Host D,基本的访问控制技术,Access list 192.168.1.3 to 202.2.33.2Access nat 192.168.3.0 to any pass Access 202.1.2.3 to 192.168.1.3 blockAccess default pass,1010010101,规则匹配成功,基于源IP地址 基于目的IP地址 基于源端口 基于目的端口 基于时间基于用户 基于流量 基于文件 基于网址 基于MAC地址,WWW 1,WWW 2,WWW 3,服务器负载均衡,负载均衡算法:顺序选择地址+权值根据PING的时间间隔来选择地址+权值根据Connect的时间间隔来选择地址+权值根据Connect然后发送请求并得到应答的时间间隔来选择地址+权值,http:/,根据负载均衡算法将数据重定位到一台WWW服务器,服务器阵列,响应请求,支持第三方认证服务器,Internet,RADIUS服务器,OTP 认证服务器,chenaifeng,12354876,防火墙将认证信息传给真正的RADIUS服务器,进行认证,将认证结果传给防火墙,支持第三方RADIUS服务器认证支持OTP认证服务器支持TACAS及TACAS+服务器支持S/KEY认证服务器,根据认证结果决定用户对资源的访问权限,分级带宽管理,Internet,WWW,Mail,DNS,财务部子网,采购部子网,出口带宽 512K,DMZ 区保留 256K,分配 70K 带宽,分配 90K 带宽,分配 96K 带宽,DMZ 区域,内部网络,总带宽512 K,内网256 K,DMZ 256 K,70 K,90 K,96 K,+,+,+,财务子网,采购子网,生产子网,生产部子网,日志分析,不做日志做通信日志:即传统日志通信源地址、目的地址、源目端口、通信时间、通信协议、字节数、是否允许通过做应用层命令日志:在通信日志的基础之上,记录下各个应用层命令及其参数。例如HTTP请求及其要取的网页名。做访问日志:即在通信日志的基础之上,记录下用户对网络资源的访问。它和应用层命令日志的区别是:应用层命令日志可以记录下大量的数据,有些用户可能不需要,如协商通信参数过程等。例如针对FTP协议,访问日志只记录下读、写文件的动作 做内容日志:即在应用层命令日志的基础之上,还记录下用户传输的内容。如用户发送的邮件,用户取下的网页等。但因为这个功能涉及到隐私问题,所以在普通的防火墙中没有包含 Firewall 5G 对所有的应用层协议都可以进行通信日志,而命令日志、访问日志、内容日志目前支持HTTP、FTP、SMTP、POP3、TELNET、RSH、RLOGIN等协议 提供日志分析工具自动产生各种报表,智能化的指出网络可能的安全漏洞,Clint,http:/,响应请求,发送请求,通信日志,通信日志,通信信息,192.168.6.169,192.168.6.170,做通信日志,Clint,http:/,响应请求,发送请求,命令日志,命令日志,192.168.6.169,192.168.6.170,做应用层命令日志,命令信息,Clint,http:/,响应请求,发送请求,访问日志,访问日志,192.168.6.169,192.168.6.170,做访问日志,访问信息,Clint,http:/,响应请求,发送请求,内容日志,内容日志,192.168.6.169,192.168.6.170,做内容日志,内容信息,Host C,Host D,Host B,Host A,受保护网络,Internet,IDS,黑客,发起攻击,发送通知报文,验证报文并采取措施,发送响应报文,识别出攻击行为,阻断连接或者报警等,与 IDS 的安全联动,与病毒服务器的安全联动,Internet,110010101,病毒服务器,100010101,000010101,待发数据,110010101,100010101,000010101,110010101,100010101,000010101,pass,pass,无病毒转发最后一个报文,如带有病毒则丢弃最后一个报文,协议还原 检查病毒,没有发现病毒可以放过最后一个报文,接收数据,接收数据,与内容服务器的安全联动,Internet,内容安全服务器,来自外部的数据,101010011010111011010001,进行访问控制,提交给内容安全服务器进行处理,进行病毒、恶意JAVA或ActiveX程度的过滤,利用提供的安全产品协作平台实现(ICSP协议的典型应用),ICSP协议是用来实现NGFW与信息内容检查系统之间的有机联动,与URL服务器的安全联动,内部网络,Internet,http:/,URL 服务器,可以访问http:/吗?,Ok!,通过T-SCP安全产品协作平台实现防火墙与URL服务器的互动,从而控制对外部WEB站点的访问,双地址路由功能,中国教育网,Internet,202.10.1.2,64.10.6.5,200.34.22.2,200.34.22.1,192.168.1.1,Host A:192.168.1.2,Host B:192.168.1.3,Host C:192.168.1.4,200.34.22.3,内网,根据源、目地址来进行路由,主机B直接连接Internet,主机A通过教育网上Internet,Internet,Host B,199.168.1.3,Host C,199.168.1.4,Host D,199.168.1.5,00-50-04-BB-71-A6,00-50-04-BB-71-BC,BIND 199.168.1.2 To 00-50-04-BB-71-A6,BIND 199.168.1.4 To 00-50-04-BB-71-BC,IP与MAC地址绑定后,不允许Host B假冒Host A的IP地址上网,防火墙允许Host A上网,跨路由器,IP与MAC(用户)的绑定,对DHCP应用环境的支持,Internet,DHCP服务器,Host A,Host B,Host C,Host D,Host E,Host F,没有固定IP地址,只允许Host B上网,设定Host B的MAC地址,设定Host B的IP地址为空,根据Host B的MAC地址进行访问控制,建立连接并维持连接状态直到查询结束,对长连接应用的支持,数据库查询一般需要比较长的时间,这些通讯连接建立成功后可能暂时没有数据通过(空连接),需要在防火墙里面维护这个连接状态,直到查询结束,普通防火墙在连接建立一段时间后如果没有数据通讯会自动切断连接,导致业务不能正常运行,需要较长的查询时间,Internet,公开服务器可以使用私有地址 隐藏内部网络的结构,199.168.1.6,12.4.1.5,202.102.1.3,MAP 199.168.1.2:80 TO 202.102.1.3:80,MAP 199.168.1.3:21 TO 202.102.1.3:21,MAP 199.168.1.4:53 TO 202.102.1.3:53,MAP 199.168.1.5:25 TO 202.102.1.3:25,http:/199.168.1.2,http:/202.102.1.3,MAP(端口映射),源地址:192.168.1.21目地址:202.102.93.54,源地址:101.211.23.1目地址:202.102.93.54,101.211.23.2,隐藏了内部网络的结构 内部网络可以使用私有IP地址 公开地址不足的网络可以使用这种方式提供IP复用功能,NAT(地址转换),Host C,Host D,Host B,Host A,受保护网络,日志服务器,本机保存日志:,将日志输给日志服务器,日志分析信息审计事后追踪,日志容错,MySql数据库安装一个软件不需要FTP服务,时间策略,在访问策略中配置某条规则起作用的时间假如配置了时间策略,防火墙在规则匹配时将跳过那些当前时间不在策略时间段内的规则注意:这个时间段不是允许访问的时间段,而是指规则起作用的时间段,Host C,Host D,在防火墙上制定基于时间的访问控制策略,上班时间不允许访问Internet,上班时间可以访问公司的网络,Internet,对OSPF路由协议的支持对RIP、RIP2协议的支持对NETBEUI、VOD协议的支持支持 802.1q 和 Cisco 的 ISL 协议 等VLAN专用协议 支持DHCP、BOOTP协议,多协议支持,防火墙概述 防火墙分类 防火墙硬件技术 防火墙软件技术 防火墙设计结构 防火墙构造体系 防火墙功能 防火墙性能 防火墙安全性 防火墙的“胖”与“瘦”防火墙部署 防火墙管理 防火墙可靠性 防火墙典型应用 防火墙技术发展展望,提 纲,常见防火墙性能指标,最大位转发率吞吐量延时丢包率背靠背最大并发连接数最大并发连接建立速率最大策略数平均无故障间隔时间支持的最大用户数,最大位转发率,定义:防火墙的位转发率指在特定负载下每秒钟防火墙将允许的数据流转发至正确的目的接口的位数。最大位转发率指在不同的负载下反复测量得出的位转发率数值中的最大值,100100100100100010101,Smartbits 6000B 测试仪,101100101000011111001010010001001000,在特定负载下,防火墙正确转发的数据流位数,备注:将测试结果乘以帧长就是位转发率,吞吐量,定义:在不丢包的情况下能够达到的最大速率衡量标准:吞吐量作为衡量防 火墙性能的重要指标之一,吞吐量小就会造成网络新的瓶颈,以至影响到整个网络的性能,;%#*$&*&#*(&,Smartbits 6000B 测试仪,101100101000011111001010010001001000,以最大速率发包,直到出现丢包时的最大值,防火墙吞吐量小就会成为网络的瓶颈,100M,60M,吞吐量测试结果,数据包首先排队待防火墙检查后转发,延时,定义:入口处输入帧最后1个比特到达至出口处输出帧的第一个比特输出所用的时间间隔衡量标准:防火墙的时延能够体现它处理数据的速度,10101001001001001010,Smartbits 6000B 测试仪,101100101000011111001010010001001000,最后1个比特到达,第一个比特输出,时间间隔,1010100111001110,1010100111001110,1010010010100100010100010,101010100100100100100100010,造成数据包延迟到达目标地,延时测试结果,丢包率,定义:在连续负载的情况下,防火墙设备由于资源不足应转发但却未转发的帧百分比 衡量标准:防火墙的丢包率对其稳定性、可靠性有很大的影响,发送了1000个包,防火墙由于资源不足只转发了800个包,丢包率=(1000-800)/1000=20%,10010101001010010001001001,10010101001010010001001001,丢包率测试结果,背靠背,定义:从空闲状态开始,以达到传输介质最小合法间隔极限的传输速率发送相当数量的固定长度的帧,当出现第一个帧丢失时,发送的帧数。衡量标准:背对背包的测试结果能体现出被测防火墙的缓冲容量,网络上经常有一些应用会产生大量的突发数据包(例如:NFS,备份,路由更新等),而且这样的数据包的丢失可能会产生更多的数据包,强大缓冲能力可以减小这种突发对网络造成的影响,时间(t),包数量(n),少量包,包增多,峰值,包减少,没有数据,背靠背指标体现防火墙对突发数据的处理能力,背靠背测试结果,防火墙概述 防火墙分类 防火墙硬件技术 防火墙软件技术 防火墙设计结构 防火墙构造体系 防火墙功能 防火墙性能 防火墙安全性 防火墙的“胖”与“瘦”防火墙部署 防火墙管理 防火墙可靠性 防火墙典型应用 防火墙技术发展展望,提 纲,Intranet,DOS/DDOS攻击,遭受拒绝服务攻击,产生的后果:服务器计算资源被耗尽网络带宽资源被耗尽,防火墙如何在抗DOS/DDOS攻击中发挥作用?,抗DOS/DDOS攻击-SYN代理,Syn-Cookie(主机)/Syn-Gate(网关)在服务器和外部网络之间部署代理服务器通过代理服务器发送Syn/Ack报文,在收到客户端的Syn包后,防火墙代替服务器向客户端发送Syn/Ack包,如果客户端在一段时间内没有应答或中间的网络设备发回了ICMP错误消息,防火墙则丢弃此状态信息如果客户端的Ack到达,防火墙代替客户端向服务器发送Syn包,并完成后续的握手最终建立客户端到服务器的连接。通过这种Syn-Cookie技术,保证每个Syn包源的真实有效性,确保服务器不被虚假请求浪费资源,从而彻底防范对服务器的Syn-Flood攻击。,SYN,SYN/ACK,ACK,SYN,SYN/ACK,ACK,SYN,SYN/ACK,ACK,Client,Server,防火墙概述 防火墙分类 防火墙硬件技术 防火墙软件技术 防火墙设计结构 防火墙构造体系 防火墙功能 防火墙性能 防火墙安全性 防火墙的“胖”与“瘦”防火墙部署 防火墙管理 防火墙可靠性 防火墙典型应用 防火墙技术发展展望,提 纲,防火墙的“胖”与“瘦”,由于防火墙在网络中所处的重要位置,因此,人们对防火墙可以说是寄予厚望。现在防火墙正在不断增加各种各样的新功能,因此防火墙正在急剧“长胖”。,“胖”防火墙是指功能大而全的防火墙,它力图将安全功能尽可能多地包含在内,从而成为用户网络的一个安全平台;“瘦”防火墙是指功能少而精的防火墙,它只作访问控制的专职工作,对于综合安全解决方案,则采用多家安全厂商联盟的方式来实现。,“胖”、“瘦”防火墙的定义,胖防火墙的优势,首先是功能全其次是控制力度细第三是协作能力强降低采购和管理成本,胖防火墙的不足,主要表现在性能降低其次是自身安全性差还有专业性不强,表现为功能模块的拼凑第四是稳定性差,系统越大,BUG越多最后是配置复杂,不合理的配置会带来更大的安全隐患。,瘦防火墙的优势,首先是性能高其次是注重核心功能,专业性强第三是整体安全性更高最后一点是配置简单,简化对管理员的专业要求。,瘦防火墙的不足,首先是功能单一其次是整体防护能力较弱,胖瘦防火墙之争,一种观点认为,要采取分工协作,防火墙应该做得精瘦,只做防火墙的专职工作,可采取多家安全厂商联盟的方式来解决;另一种观点认为,把防火墙做得尽量的胖,把所有安全功能尽可能多地附加在防火墙上,成为一个集成化的网络安全平台。,用户的价值取向一,“胖”防火墙追求的是一站式服务,目前它只适应中小型企业,尤其是低端用户。他们出于经济上的考虑以及管理上的成本,更主要的是出于安全的实际需求,希望一个设备可以为这种小型网络实现整体安全防护,所以对这种大而全的“胖”东西非常感兴趣。,用户的价值取向二,大型用户倾向使用独立安全设备,发挥每种产品最大效果。安全需求广泛,专业性要求强,安全投入较大,自身安全管理能力较高。针对这类用户,为了要满足多种安全需求,在设计安全解决方案时,通常会考虑以安全管理为核心,以多种安全产品的联动为基础,如防火墙与IDS和防病毒全面互动形成动态防御体系。,防火墙:胖瘦总相宜,随着安全需求的细化、硬件计算能力的增加,胖防火墙和瘦防火墙之间的界限也会逐步走向统一。一方面硬件处理能力的大幅度提高(ASIS芯片、NP等)使得防火墙可以集成更多的功能模块成为可能;另一方面安全标准技术的推进,使得不同安全产品之间的联动变得更加容易,这样推出功能更简单性能更高且支持标准联动协议的专业防火墙更为适应市场的需要。以后更多的趋势是考虑现有成熟安全产品之间如何通过标准的协议和接口进行更好的互动,从而构建一个相当于“胖防火墙”作用的整体防御体系,这个体系将更加灵活、方便、易于构建,而且会具有更大的可扩展性。,构建联动一体的安全体系,无论是“胖”防火墙的集成,还是“瘦”防火墙的联动,安全产品正在朝着体系化的结构发展,所谓“胖瘦”不过是这种体系结构的两种表现方式,“胖”将这种体系表现在一个产品中,而“瘦”将这种体系表现在一组产品或是说一个方案中。同时,这种体系化的结构需要完善的安全管理,也就是说,通过安全管理中心产品,整合系列安全产品,构架成联动一体的产品体系,实现对用户、资源和策略的统一管理,确保整体解决方案的安全一致性,是构建网络安全系统的大趋势。,防火墙概述 防火墙分类 防火墙硬件技术 防火墙软件技术 防火墙设计结构 防火墙构造体系 防火墙功能 防火墙性能 防火墙安全性 防火墙的“胖”与“瘦”防火墙部署 防火墙管理 防火墙可靠性 防火墙典型应用 防火墙技术发展展望,提 纲,受保护网络,Internet,如果防火墙支持透明模式,则内部网络主机的配置不用调整,199.168.1.8,同一网段,透明模式下,这里不用配置IP地址,透明模式下,这里不用配置IP地址,Default Gateway=199.168.1.8,防火墙相当于网桥,原网络结构没有改变,NO.1 透明接入,受保护网络,Internet,199.168.1.8,Default Gateway=199.168.1.8,防火墙相当于一个简单的路由器,203.12.34.56,203.12.34.57,提供简单的路由功能,199.168.1.8,NO.2 路由接入,防火墙概述 防火墙分类 防火墙硬件技术 防火墙软件技术 防火墙设计结构 防火墙构造体系 防火墙功能 防火墙性能 防火墙安全性 防火墙的“胖”与“瘦”防火墙部署 防火墙管理 防火墙可靠性 防火墙典型应用 防火墙技术发展展望,提 纲,管理机,本地串口管理,本地串口管理比较安全但是缺乏灵活性,用户必须在现场才能进行操作防火墙的初始化配置一般都通过串口来进行设置,比如各个接口的IP地址、路由信息等,防火墙集中管理,广域网,通过集中管理器实现了对防火墙的集中管理,防火墙集中管理器,防火墙集中管理 DEMO 演示,受保护网络,SNMP报文,获取硬件配置信息资源使用状况信息防火墙的流量信息防火墙的连接信息防火墙的版本信息防火墙的用户信息防火墙的规则信息防火墙的路由信息,SNMP服务器端,SNMP客户端(HP OpenView),SNMP 管理,SNMP 管理演示,防火墙概述 防火墙分类 防火墙硬件技术 防火墙软件技术 防火墙设计结构 防火墙构造体系 防火墙功能 防火墙性能 防火墙安全性 防火墙的“胖”与“瘦”防火墙部署 防火墙管理 防火墙可靠性 防火墙典型应用 防火墙技术发展展望,提 纲,防火墙双机热备,内部网,外网或者不信任域,Eth 0,Eth 0,Eth1,Eth1,Eth2,Eth2,心跳线,Active Firewall,Standby Firewall,检测Active Firewall的状态,发现出故障,立即接管其工作,正常情况下由主防火墙工作,主防火墙出故障以后,接管它的工作,Hub or Switch,Hub or Switch,通过STP协议可以交换两台防火墙的状态信息,当一台防火墙故障时,这台防火墙的连接不需要重新建立就可以透明的迁移到另一台防火墙上,用户不会察觉到,防火墙接口备份,子网A,外网或者不信任域,Hub,Hub,子网B,Hub,eth0,eth1,eth2,eth3,eth0,eth1,eth2,eth3,前提:防火墙工作在负载均衡模式下如果某台防火墙的一个接口出现故障,另外一台均衡防火墙的接口将接管故障接口的全部通信故障防火墙的其他接口则继续参与通信,eth1 发生故障,0#墙,1#墙,eth2 接管 eth1接口的全部通信,eth2,0#墙的其他接口继续参与通信,状态同步端口,防火墙负载均衡,内部网,外网或者不信任域,Eth 0,Eth 0,Eth1,Eth1,Eth2,Eth2,心跳线,0#,1#,检测 0#Firewall的状态,发现出故障,立即接管其工作,防火墙根据,与0#防火墙一起工作,Hub,Hub,防火墙自动检测和恢复机制,在防火墙硬件系统中嵌入 WatchDog 电路在防火墙核心软件中增加对 WatchDog 电路的支持一旦 WatchDog 电路发现防火墙核心软件运行出现严重错误将产生硬件复位信号,促使核心系复位并重新启动通过这种自动检测和恢复机制,尽量减少因防火墙系统意外宕