防火墙基本技术和原理ppt课件.ppt

《防火墙基本技术和原理ppt课件.ppt》由会员分享，可在线阅读，更多相关《防火墙基本技术和原理ppt课件.ppt（60页珍藏版）》请在三一办公上搜索。

1、防火墙基本技术和原理,严峻的网络安全形势，促进了防火墙技术的不断发展。防火墙是一种综合性的科学技术，涉及网络通信、数据加密、安全决策、信息安全、硬件研制、软件开发等综合性课题。,防火墙的分类,按形态分类,软件防火墙,硬件防火墙,保护整个网络,按保护对象分类,网络防火墙,保护单台主机,单机防火墙,防火墙简介,单机防火墙&网络防火墙,1、保护单台主机2、安全策略分散3、安全功能简单4、普通用户维护5、安全隐患较大6、策略设置灵活,单机防火墙,网络防火墙,1、保护整个网络2、安全策略集中3、安全功能复杂多样4、专业管理员维护5、安全隐患小6、策略设置复杂,防火墙简介,软件防火墙&硬件防火墙,硬件防火

2、墙,1、硬件+软件，不用准备额外的OS平台2、安全性完全取决于专用的OS3、网络适应性强(支持多种接入模式)4、稳定性较高5、升级、更新不太灵活,1、仅获得Firewall软件，需要额外的OS平台2、安全性依赖低层的OS3、网络适应性弱4、稳定性高5、软件分发、升级比较方便,软件防火墙,防火墙简介,防火墙的概念,防火墙是设置在被保护网络和外部网络之间的一道屏障，实现网络的安全保护，以防止发生不可预测的、潜在破坏性的侵入。防火墙本身具有较强的抗攻击能力，它是提供信息安全服务、实现网络和信息安全的基础设施。 防火墙是置于不同网络安全域之间的高级访问控制设备，是不同网络安全域间通信流的唯一通道，能根

3、据企业有关的安全政策控制(允许、拒绝、监视、记录)进出网络的访问行为。,防火墙简介,防火墙的功能特点,1、限制人们从一个特别的控制点进入； 2、防止入侵者接近你的其它防御设施； 3、限定人们从一个特别的点离开； 4、有效地阻止破坏者对你的计算机系统进行破坏。,禁止访问,禁止访问,防火墙简介,防火墙的硬件技术,1、基于Intel x86系列架构的产品，又被称为工控机防火墙,2、基于专用集成电路（ASIC）技术的防火墙,3、基于网络处理器（NP）技术的防火墙,防火墙简介,基于Intel x86系列架构的防火墙,优点： 高灵活性、高扩展性、系统升级容易 考虑了各种应用的需要，具有一般化的通用体系结构

4、和指令集，容易支持复杂的运算并容易开 发新的功能 随着CPU性能的快速提高，防火墙的处理速度和能力将会大幅度提高，能很好的适应多接口百 兆，千兆防火墙的计算要求,基于PC架构，运行经过简化的Unix、Linux或FreeBSD，适用于低端市场,缺点： 性能较差，对数据包的转发性弱 国内厂商并不能完全掌握x86架构的核心技术，BIOS或操作系统可能存在隐藏的漏洞，影响防 火墙的安全可靠性 抗攻击能力较差,防火墙简介,基于Intel x86系列架构的防火墙,SOHO防火墙,普通百兆防火墙,高端百兆防火墙,千兆防火墙,防火墙简介,基于专用集成电路 （ASIC）技术的防火墙,ASIC作为硬件集成电路，

5、它把指令或计算逻辑固化到硬件中，获得高处理能力，提升防火墙性能。主要应用在国外厂商的产品中，如NetScreen。是公认的使防火墙达到线速千兆的技术方案。,优点：性能上占有很大优势 抗攻击能力强 技术成熟、稳定,缺点：很难修改升级、增加新功能或提高性能 设计和制造周期长、研发费用高，难以满足用户需求的不断变化,防火墙简介,基于ASIC架构的防火墙,防火墙简介,FortiGate,Netscreen,watchguard Firebox,首信,基于网络处理器（NP）技术的防火墙,NP（网络处理器）是专门为处理数据包而设计的可编程处理器，它具有完全的可编程性、简单的编程模式、最大化系统灵活性、高处

6、理能力、高度功能集成、开放的编程接口以及第三方支持能力,优点：能够直接完成网络数据处理的一般性任务，大多采用高速的接口技术和总路线规范，具有较高 的I/O能力，性能上与x86架构防火墙比有很大提高 支持编程，一旦有新的技术或需求出现，设计师可方便地通过微码编程实现,缺点：技术方面还不成熟 各厂商NP产品的接口不统一，无法完成无缝的整合 对复杂应用数据，如分片数据包的重组和加密处理，表现较差 NP防火墙的测试标准还没有推出 防火墙的稳定性和高性能还需检验,防火墙简介,基于NP架构的防火墙,防火墙简介,东软NetEye NP墙,中科网威NP墙,联想NP墙,联想网御基于多NP技术万兆级防火墙,防火墙

7、的类型,1、简单包过滤防火墙2、状态检测包过滤防火墙3、应用代理防火墙,防火墙简介,简单包过滤防火墙,优点：1、速度快、性能高2、对应用程序透明,防火墙简介,缺点：1、安全性低2、不能根据状态信息进行控制3、不能处理网络层以上的信息4、伸缩性差5、维护不直观,应用层,表达层,会话层,传输层,网络层,链路层,物理层,网络层,链路层,物理层,应用层,表达层,会话层,传输层,网络层,链路层,物理层,简单包过滤防火墙的工作原理,防火墙简介,应用层,TCP层,IP层,网络接口层,网络接口层,IP层,TCP层,应用层,1011111110001011010010100011100,101111111000

8、1011010010100011100,11010010,11010010,TCP,11010010,IP,TCP,11010010,TCP,IP,ETH,11010010,IP,TCP,11010010,TCP,IP,ETH,11010010,IP,TCP,11010010,TCP,11010010,只检查报头,1、简单包过滤防火墙 不检查数据区2、简单包过滤防火墙 不建立连接状态表3、前后报文无关4、应用层控制很弱,状态检测包过滤防火墙,1、安全性高 能够检测所有进入防火墙网关的数据包 根据通信和应用程序状态确定是否允许包的通过2、性能高 在数据包进入防火墙时就进行识别和判断3、伸缩性好

9、可以识别不同的数据包 支持160多种应用，包括Internet应用、数据库应用、多媒体应用等 用户可方便添加新应用4、对用户、应用程序透明,防火墙简介,应用层,表达层,会话层,传输层,网络层,链路层,物理层,应用层,表达层,会话层,传输层,网络层,链路层,物理层,应用层,表达层,会话层,传输层,网络层,链路层,物理层,抽取各层的状态信息建立动态状态表,状态检测包过滤防火墙的工作原理,防火墙简介,应用层,TCP层,IP层,网络接口层,网络接口层,IP层,TCP层,应用层,1011111110001011010010100011100,1011111110001011010010100011100

10、,11010010,11010010,TCP,11010010,IP,TCP,11010010,TCP,IP,ETH,11010010,IP,TCP,11010010,TCP,IP,ETH,11010010,IP,TCP,11010010,TCP,11010010,只检查报头,1、不检查数据区2、建立连接状态表3、前后报文相关4、应用层控制很弱,建立连接状态表,应用代理防火墙,优点：1、安全性高2、提供应用层的安全,防火墙简介,缺点：1、性能差2、伸缩性差3、只支持有限的应用4、不透明,应用层,表达层,会话层,传输层,网络层,链路层,物理层,应用层,表达层,会话层,传输层,网络层,链路层,物理

11、层,应用层,表达层,会话层,传输层,网络层,链路层,物理层,HTTP,FTP,SMTP,应用代理防火墙的工作原理,防火墙简介,应用层,TCP层,IP层,网络接口层,网络接口层,IP层,TCP层,应用层,1011111110001011010010100011100,1011111110001011010010100011100,11010010,11010010,TCP,11010010,IP,TCP,11010010,TCP,IP,ETH,11010010,IP,TCP,11010010,TCP,IP,ETH,11010010,IP,TCP,11010010,TCP,11010010,只检查

12、数据,1、不检查IP、TCP报头2、不建立连接状态表3、网络层保护较弱,核检测防火墙的工作原理,防火墙简介,应用层,TCP层,IP层,网络接口层,网络接口层,IP层,TCP层,应用层,1011111110001011010010100011100,1011111110001011010010100011100,开始攻击 主服务器 硬盘数据,开始攻击,TCP,开始攻击,IP,TCP,开始攻击,TCP,IP,ETH,开始攻击,IP,TCP,开始攻击,TCP,IP,ETH,开始攻击,IP,TCP,开始攻击,TCP,报文1,主服务器,IP,TCP,报文2,硬盘数据,IP,TCP,报文3,重写会话,开始

13、攻击,主服务器,硬盘数据,检查多个报文组成的会话,建立连接状态表,开始攻击 主服务器 硬盘数据,1、网络层保护强2、应用层保护强3、会话保护强4、上下文相关5、前后报文有联系,防火墙核心技术比较,防火墙简介, , , , , , , , , , , , , , , ,单个包报头,单个包报头,单个包数据,一次会话,防火墙的三种工作模式,1、路由模式,防火墙的工作模式,2、透明模式,3、混合模式,路由模式,防火墙的工作模式,192.168.1.0/24GW:192.168.1.254,10.1.1.0/24GW:10.1.1.254,192.168.1.254,10.1.1.254,路由模式下的防

14、火墙有两个局限：1、工作于路由模式时，防火墙各网口所接的局域网必须是不同的网段，如处于同一网段， 它们之间将无法进行通信。2、如果用户试图在一个已经形成了的网络里添加防火墙，而此防火墙又只能工作于路由方 式，则与防火墙所接的主机（或路由器）的网关都要指向防火墙。如果用户的网络非常 复杂时，设置时就会很麻烦。,透明模式,防火墙的工作模式,192.168.2.0/24GW:192.168.2.254,192.168.2.254,透明模式的特点：1、对用户是透明的，即用户意思不到防火墙的存在。2、防火墙没有IP地址，网络不需要重新设定。3、无法探测到防火墙的服务端口，也就无法对防火墙进行攻击，大大提

15、高了防火墙的安全性与抗攻击性。,混合模式,防火墙的工作模式,192.168.1.0/24GW:192.168.1.3,192.168.2.0/24GW:192.168.2.3,192.168.1.3,192.168.2.3,192.168.99.253,防火墙192.168.6.2192.168.100.2192.168.99.2,192.168.100.0/24GW:192.168.100.2,192.168.99.254,混合模式是路由与透明相结合的模式，它同时具备路由与透明模式的优点，提高了防火墙在各种复杂环境下的适应性。,防火墙的功能,访问控制透明代理身份认证URL过滤地址绑定正向及反

16、向NAT流量控制入侵检测日志审计IDS、防病毒联动VLAN支持VPN功能双机热备,防火墙的功能,访问控制,防火墙的功能,11010110,Access list 192.168.1.3 to 202.2.33.2,Access nat 192.168.3.0 to any pass,Access 202.1.2.3 to 192.168.1.3 block,Access default pass,规则匹配成功,1、基于源IP地址2、基于目的IP地址3、基于源端口4、基于目的端口5、基于时间6、基于用户7、基于流量8、基于文件9、基于网址10、基于MAC地址,透明代理,防火墙的功能,http:/

17、,HTTP：Access any to ,Sina返回给192.168.1.5 的数据包,192.168.1.5,发送请求,Sina服务器,响应请求,192.168.2.15,SMTP：转发域名为 转发到210.72.249.226,SMTP：附件不能超过3.0M,禁止发送,主要包括：HTTP代理、FTP代理、TELNET代理、SMTP代理POP3代理、SOCKS代理、自定义服务代理,身份认证,防火墙的功能,administrator,123456,RADIUS服务器,本地认证,根据认证结果决定用户结资源的访问权限,防火墙将认证信息传给RADIUS服务器,将认证结果传回防火墙,URL过滤,防火

18、墙的功能,http:/,URL服务器,可以访问吗？,OK,1、URL过滤模块可同时为包过滤和透明代理服务提供URL过滤功能，支持对中文域名的过滤。2、可以根据不同时间段的实际要求设定不同的URL过滤规则集，实现时间控制。3、基于黑名单/白名单的安全过滤策略。当用户设置黑名单时，首先允许访问所有的URL，只对黑名 单中定义的URL进行封杀；当用户设置白名单时，首先禁止访问所有的URL，然后只允许访问白 名单中的URL。 4、提供基于内容分类的URL过滤管理,地址绑定,防火墙的功能,00-50-04-BB-71-A6,00-50-04-BB-71-BC,00-50-04-BB-71-C4,HOST

19、 A,HOST B,HOST C,HOST A,HOST B,HOST C,192.168.0.1,192.168.0.2,192.168.0.1,BIND 192.168.0.1 TO 00-50-04-BB-71-A6,BIND 192.168.0.2 TO 00-50-04-BB-71-BC,MAC地址与绑定的MAC地址不一致，丢弃该包,1、自动学习2、防止IP盗用,正向NAT转换,防火墙的功能,192.168.0.1,ETH2：192.168.0.25,ETH0：101.211.23.1,IP报头,数据,IP报头,数据,源地址：192.168.0.1目的地址：202.102.93.54

20、,源地址：101.211.23.1目的地址：202.102.93.54,101.211.23.2,202.102.93.54,1、隐藏了内部网络的结构2、内部网络可以使用私有IP地址3、解决了公有IP地址不足的问题,防火墙的功能,反向NAT转换,10.10.50.0/24GW:10.10.50.254,10.10.50.254,www192.168.1.1/24GW:192.168.1.254,FTP192.168.1.2/24GW:192.168.1.254,MAIL192.168.1.3/24GW:192.168.1.254,DNS192.168.1.4/24GW:192.168.1.25

21、4,192.168.1.254,202.200.40.54,MAP 192.168.1.1:80 TO 202.200.40.54:80,MAP 192.168.1.2:21 TO 202.200.40.54:21,MAP 192.168.1.3:25 TO 202.200.40.54:25,MAP 192.168.1.4:53 TO 202.200.40.54:53,http:/202.200.40.54,1、公开服务器可以使用私有地址2、隐藏内部网络结构3、服务器负载均衡,流量控制,防火墙的功能,出口带宽512K,www,mail,ftp,DMZ区,分配给DMZ512K,生产组,分配生产组

22、96K,销售组,财务组,分配销售组70K,分配财务组90K,总带宽512K,DMZ256K,内网256K,生产组96K,销售组70K,财务组90K,日志审记,防火墙的功能,日志服务器,1、安全的传输机制：防火墙日志的发送采用TCP连接并对数据进行了加密处理，其完善的 确认和校验机制，避免了日志的丢失和泄漏。2、集中的日志管理：日志服务器可以集中接收管理多台防火墙的日志。3、方便友好的日志查询：对日志进行组合查询，并提供对查询结果的编辑和打印。4、实时日志扫描：对包过滤日志准确有效的分析，检测出可能的网络攻击。5、控制台和邮件告警机制：及时地将入侵和系统告警显示或利用邮件发送给管理员。6、流量统

23、计：统计流量，形成报表并可打印报表。,入侵检测,防火墙的功能,DMZ,黑客扫描攻击检测,FTP攻击检测,TELNET攻击检测,DoS/DDoS攻击检测,MS-SQL攻击检测,检测到攻击,1、可检测多种黑客攻击手段和攻击行为2、除对内部网的保护外，还可保护DMZ区3、实时检测、报警、追踪4、攻击库可以升级,黑客,与IDS联动,防火墙的功能,IDS,识别出攻击行为,发送通知报文,验证报文并采取措施,阻断连接或报警,发送响应报文,与防病毒网关联动,防火墙的功能,10101101,11010011,10110110,待发数据,接收数据,10101101,10101101,11010011,110100

24、11,10110110,接收数据,协议还原，检查病毒,没有发现病毒放过最后一个报文,PASS,PASS,无病毒则转发最后一个报文，有病毒就丢弃它,10110110,VLAN支持,防火墙的功能,支持VLAN的交换机,VLAN1,VLAN2,Trunk口,Trunk口,同一交换机的不同VLAN间通讯,防火墙要支持Trunk口,Switch1,Switch2,VLAN1,VLAN2,Trunk口,Trunk口,不同交换机的同一VLAN间通讯,防火墙要支持Trunk口,VPN功能,防火墙的功能,固定IP网关固定IP网关固定IP网关动态IP网关动态IP网关动态IP网关网关不经NAT客户端网关经NAT客户

25、端,双机热备,防火墙的功能,Active Firewall,Standby Firewall,Eth0,Eth1,Eth2,Eth0,Eth1,Eth2,心跳线,当一台防火墙故障时，这台防火墙的连接不需要重新建立就可以透明的迁移到另一台防火墙上,正常情况下由主防火墙工作,检测Active Firewall的状态,发现出故障，立即接管其工作,主防火墙出故障以后，接管它的工作,常见的防火墙性能指标,1、最大位转发率2、吞吐量3、延迟4、丢包率5、背靠背6、最大并发连接数7、最大并发连接建立速率8、最大策略数9、平均无故障间隔时间10、支持的最大用户数,防火墙的性能,最大位转发率,1、定义：防火墙的

26、位转发率指在特定负载下每秒钟防火墙将允许的数据流转发至正确的目的接口的位数2、最大位转发率指在不同的负载下反复测量得出的位转发率数值中的最大值,防火墙的性能,吞吐量,1、定义：在不丢包的情况下能够达到的最大包转发率。2、衡量标准：吞吐量越大，说明防火墙数据处理能力越强；吞吐量小就会造成网络新的瓶颈，以至影响到整个网络的性能。3、吞吐量是防火墙在各种帧长的満负载（100M或1000M）双向UDP数据包情况下的稳定性表现，是其它指标的基础。4、以太网吞吐量最大理论值称为线速，即指网络设备有足够的能力以全速处理最小的数据封包转发。,防火墙的性能,延迟,1、定义：延迟通常是指从测试数据帧的最后一个比特

27、进入被测设备端口开始，至测试数据包的第一个比特从被测设备另一端口离开的时间间隔。2、衡量标准：现在的网络应用种类非常复杂，许多应用对延迟非常敏感（如音频、视频等）而网络中加入防火墙必然会增加传输延迟，所以较低的延迟对防火墙来说也是不可或缺的。,防火墙的性能,丢包率,1、定义：在连续负载的情况下，防火墙设备由于资源不足应转发但是未转发的帧百分比。2、衡量标准：是用来确定防火墙在不同传输速率下丢失数据包的百分数，目的在于测试防火墙在超负载情况下的性能。3、较低的丢包率，意味着防火墙在强大的负载压力下，能够稳定地工作，以适应各种网络的复杂应用和较大数据流量对处理性能的高要求。,防火墙的性能,背靠背,

28、1、定义：从空闲状态开始，以达到传输介质最小合法间隔极限的传输速率发送相当数量的固定长度的帧，当出现第一个帧丢失时，发送的帧数。即以最小帧间隔发送最多数据包而不引起丢包时的数据包数量。2、衡量标准：背对背包的测试结果能体现出被测防火墙的缓冲容量，网络上经常有一些应用会产生大量的突发数据包（例如：NFS、备份、路由更新等），而且这样的数据包的丢失可能会产生更多的数据包，强大缓冲能力可以减小这种突发对网络造成的影响,防火墙的性能,最大并发连接数,1、定义：指穿越防火墙的主机之间或主机与防火墙之间能同时建立的最大连接数。2、衡量标准：并发连接数的测试主要用来测试被测防火墙建立和维持TCP连接的性能，

29、同时也能通过并发连接数的大小体现被测防火墙对来自于客户端的TCP连接请求的响应能力。3、最大并发连接数是防火墙能够同时处理的点对点会话连接的最大数目，它反映防火墙对多个连接的访问控制能力和连接状态跟踪能力。这个参数的大小可以直接影响到防火墙所能支持的最大信息点数,防火墙的性能,最大并发连接建立数率,1、定义：指穿越防火墙的主机之间或主机与防火墙之间单位时间内建立的最大连接数。2、衡量标准：最大并发连接数建立速率主要用来衡量防火墙单位时间内建立和维持TCP连接的能力。3、测试防火墙每秒所能建立起的TCP/HTTP连接数及防火墙所能保持的最大TCP/HTTP连接数,防火墙的性能,防火墙的“胖”与“

30、瘦”,访问控制,病毒防护,入侵检测,交换路由,信息审计,内容过滤,传输加密,其他,胖防火墙,1、胖”防火墙是指功能大而全的防火墙，它力图将安全功能尽可能多地包含在内，从而成为用户网络的一个安全平台 2、“瘦”防火墙是指功能少而精的防火墙，它只作访问控制的专职工作，对于综合安全解决方案，则采用多家安全厂商联盟的方式来实现。,“胖”防火墙的优点与缺点,优点：1、功能全2、控制力度细3、协作能力强4、降低采购和管理成本,防火墙的“胖”与“瘦”,缺点：1、性能低2、自身安全性差3、专业性不强4、稳定性差，系统越大BUG越多5、配置复杂，不合理的配置会带来更大的安全隐患,“瘦”防火墙的优点与缺点,优点：

31、1、性能高2、注重核心功能，专业性强3、整体安全性高4、配置简单，简化对管理员的专业要求,防火墙的“胖”与“瘦”,缺点：功能单一,访问控制,病毒防护,入侵检测,交换路由,信息审计,内容过滤,传输加密,其他,瘦防火墙,互相联动,用户的价值取向,防火墙的“胖”与“瘦”,“胖”防火墙追求的是一站式服务，适应中小型企业，尤其是低端用户。他们出于经济上的考虑以及管理上的成本，更主要是出于安全的实际需求，希望一个设备可以实现小型网络的整体安全防护。所以对功能全的“胖”防火墙感兴趣。,大型用户倾向使用独立安全设备，发挥每种产品最大效果。安全需求广泛，专业性要求强，安全投入较大，自身安全管理能力较高。他们在设

32、计安全解决方案时，通常会考虑以安全管理为核心，以多种安全产品的联动为基础，如防火墙与IDS和防病毒全面互动形成动态防御体系。,防火墙：胖瘦总相宜,防火墙的“胖”与“瘦”,1、“胖、瘦”防火墙没有好坏之分，只有需求上的差别。2、随着安全需求的细化、硬件计算能力的增加，胖防火墙和瘦防火墙之间的界限也会逐渐走向统一。3、硬件处理能力的大幅度提高（ASIS芯片、NP等）使得防火墙可以集成更多的功能模块。4、安全标准技术的推进，使不同安全产品之间的联动变得更加容易，这样功能更简单性能更高且支持标准联动协议的专业防火墙更适应市场需要。,构建联动一体的安全体系,防火墙的“胖”与“瘦”,无论是“胖”防火墙的集

33、成，还是“瘦”防火墙的联动，安全产品正在朝着体系化的结构发展，所谓“胖瘦”不过是这种体系结构的两种表现方式，“胖”将这种体系表现在一个产品中而“瘦”将这种体系表现在一组产品或是说一个方案中。,体系化的结构需要非常完善的安全管理，也就是说，通过安全管理中心产品,整合系列安全产品，构架成联动和一体的产品体系,实现对用户、资源和策略的统一管理，确保整体解决方案的安全一致性，是构建网络安全系统的大趋势。,防火墙的选购,适应性能适应将要部署的网络和应用是前提安全性符合国家政策、主管单位的策略、自身设计等成熟性投放市场多年，应用广泛性能满足应用环境的要求易管理化容易配置和调整策略功能功能的多样性美观外观美

34、观、适用价格便宜,防火墙的选购,主要防火墙品牌,1、拒绝的规则一定要放在允许的规则前面。 2、永远不要在商业网络中使用Allow 4 ALL规则（Allow all users use all protocols from all networks to all networks），这样只是让你的防火墙形同虚设。 3、如果可以通过配置系统策略来实现，就没有必要再建立自定义规则。 4、无论作为访问规则中的目的还是源，最好使用IP地址。 5、请不要忘了，防火墙策略的最后还有一条DENY 4 ALL。 6、最后，请记住，防火墙策略的测试是必需的。,防火墙的配置,知识回顾Knowledge Review,祝您成功！,