[渠道培训]1防火墙理论(0907)

整理文档很辛苦,赏杯茶钱您下走!

免费阅读已结束,点击下载阅读编辑剩下 ...

阅读已结束,您可以下载文档离线阅读编辑

资源描述

•标题名称:28pt黑体,深蓝色•文本内容:最大28pt黑体,黑色主持人开场致欢迎词联想网御董事长兼CEOJianQi齐舰热烈欢迎各位客户参加联想网御技术培训课程•PPT名称:32pt黑体,白色•单位名称:如售前方案处等24pt黑体,绿色©2009联想网御联想网御北京分部客户培训--防火墙理论2009年7月•标题名称:28pt黑体,深蓝色•文本内容:最大28pt黑体,黑色中办27号文件-------信息保障的主要工作我国信息安全保障的主要工作(三个方面,九项工作)1.第一个方面就是关于建立健全信息安全责任制就是要加强信息安全的领导,建立健全信息安全责任制2.第二个方面就是基础性工作a.第一:实行信息安全等级保护,重视信息安全风险评估。b.第二:是加强以密码技术为基础的信息安全保护和网络信任体系建设。c.第三:就是建设和完善信息安全监控体系。d.第四:就是重视信息安全应急处理工作3.第三个方面是支撑性工作a.第一是加强信息安全技术研究开发,推进信息安全产业发展。b.第二是加强信息安全法制建设和标准化建设。c.第三是加强信息安全人才培养,增强全民信息安全意识。d.第四是保证信息安全的资金•标题名称:28pt黑体,深蓝色•文本内容:最大28pt黑体,黑色目录防火墙基础介绍防火墙产品体系联想网御信息安全防火墙典型应用与选型•标题名称:28pt黑体,深蓝色•文本内容:最大28pt黑体,黑色目录防火墙的基本概念防火墙的发展历程防火墙功能解析防火墙性能解析•标题名称:28pt黑体,深蓝色•文本内容:最大28pt黑体,黑色目录防火墙的基本概念防火墙的发展历程防火墙功能解析防火墙性能解析•标题名称:28pt黑体,深蓝色•文本内容:最大28pt黑体,黑色网络内部、外部泄密拒绝服务攻击逻辑炸弹特洛伊木马黑客攻击计算机病毒后门、隐蔽通道蠕虫垃圾邮件——防火墙基本概念网络面临的威胁•标题名称:28pt黑体,深蓝色•文本内容:最大28pt黑体,黑色——防火墙基本概念防火墙的引入InternetHTTP/FTP/SMTPServerFileServerDataBaseProxyServerUserClient边界点安全威胁防火墙•标题名称:28pt黑体,深蓝色•文本内容:最大28pt黑体,黑色——防火墙基本概念防火墙的概念:在信任网络与非信任网络之间,通过预定义的安全策略,对内外网通信强制实施访问控制的安全应用设备。导入防火墙的技术原理:将不信任网络对信任网络的安全威胁强制到单一安全控制点。防火墙的原则:一切未被允许的就是禁止的!防火墙基本概念•标题名称:28pt黑体,深蓝色•文本内容:最大28pt黑体,黑色——防火墙基本概念防火墙能做什么保障授权合法用户的通信与访问禁止未经授权的非法通信与访问记录经过防火墙的通信活动防火墙不能做什么不能主动防范新的安全威胁不能防范来自网络内部的攻击不能控制不经防火墙的通信与访问防火墙基本概念•标题名称:28pt黑体,深蓝色•文本内容:最大28pt黑体,黑色目录防火墙基本概念防火墙的发展历程防火墙功能解析防火墙性能解析•标题名称:28pt黑体,深蓝色•文本内容:最大28pt黑体,黑色Firewall软件技术变革应用代理包过滤状态检测深度检测通用OS嵌入式OS专用OS专业OS•基于三层/四层的过滤•实现简单,速度快•安全性低,初级技术•个人终端系统•稳定、安全、健壮性差防火墙的技术变革是简短的、快速的.•基于应用层的代理转发•可以检查应用层协议•处理速度慢,兼容性差•内核小、效率高、易扩•成熟度、可移植性差•引入状态表•规范3层和4层行为•处理快,安全性较高•网络处理时时性高•根据用户需求定制•多级安全检测•自动签名检测•虚拟化、协同性•提高软件平台设计能力•标题名称:28pt黑体,深蓝色•文本内容:最大28pt黑体,黑色应用层表示层会话层传输层网络层链路层物理层应用层表示层会话层传输层网络层链路层物理层网络层链路层物理层优点:•速度快,性能高•对应用程序透明•缺点:•安全性低•不能根据状态信息进行控制•不能处理网络层以上的信息•伸缩性差•维护不直观简单包过滤技术介绍•标题名称:28pt黑体,深蓝色•文本内容:最大28pt黑体,黑色应用层TCP层IP层网络接口层TCP101010101IP101010101TCPTCP101010101IPETH101010101TCP101010101IP应用层TCP层IP层网络接口层TCP101010101IP101010101TCPTCP101010101IPETH101010101只检查报头101001001001010010000011100111101111011001001001010010000011100111101111011简单包过滤防火墙的工作原理1.简单包过滤防火墙不检查数据区2.简单包过滤防火墙不建立连接状态表3.前后报文无关4.应用层控制很弱•标题名称:28pt黑体,深蓝色•文本内容:最大28pt黑体,黑色防火墙:包过滤技术检查项IP包的源地址IP包的目的地址TCP/UDP源端口IP包检测包头检查路由安全策略:过滤规则路由表包过滤防火墙转发符合不符合丢弃•标题名称:28pt黑体,深蓝色•文本内容:最大28pt黑体,黑色应用层表示层会话层传输层网络层链路层物理层应用层表示层会话层传输层网络层链路层物理层应用代理技术介绍应用层表示层会话层传输层网络层链路层物理层优点:•安全性高•提供应用层的安全缺点:•性能差•伸缩性差•只支持有限的应用•不透明FTPHTTPSMTP•标题名称:28pt黑体,深蓝色•文本内容:最大28pt黑体,黑色应用层TCP层IP层网络接口层TCP101010101IP101010101TCPTCP101010101IPETH101010101TCP101010101IP应用层TCP层IP层网络接口层TCP101010101IP101010101TCPTCP101010101IPETH101010101只检查数据101001001001010010000011100111101111011001001001010010000011100111101111011应用代理防火墙的工作原理1.不检查IP、TCP报头2.不建立连接状态表3.网络层保护比较弱•标题名称:28pt黑体,深蓝色•文本内容:最大28pt黑体,黑色防火墙:应用网关应用层表示层会话层传输层网络层数据链路层物理层应用层表示层会话层传输层网络层数据链路层物理层应用层表示层会话层传输层网络层数据链路层物理层客户端防火墙(代理网关)服务器想从内部网访问外部的服务器?我帮你发请求吧。•标题名称:28pt黑体,深蓝色•文本内容:最大28pt黑体,黑色应用层表示层会话层传输层网络层链路层物理层应用层表示层会话层传输层网络层链路层物理层状态检测技术介绍应用层表示层会话层传输层网络层链路层物理层•安全性高–能够检测所有进入防火墙网关的数据包–根据通信和应用程序状态确定是否允许包的通行•性能高–在数据包进入防火墙时就进行识别和判断•伸缩性好–可以识别不同的数据包–已经支持丰富的应用,包括Internet应用、数据库应用、多媒体应用等–用户可方便添加新应用•对用户、应用程序透明抽取各层的状态信息建立动态状态表•标题名称:28pt黑体,深蓝色•文本内容:最大28pt黑体,黑色应用层TCP层IP层网络接口层TCP101010101IP101010101TCPTCP101010101IPETH101010101TCP101010101IP应用层TCP层IP层网络接口层TCP101010101IP101010101TCPTCP101010101IPETH101010101只检查报头101001001001010010000011100111101111011001001001010010000011100111101111011状态检测包过滤防火墙的工作原理1.不检查数据区2.建立连接状态表3.前后报文相关4.应用层控制很弱建立连接状态表•标题名称:28pt黑体,深蓝色•文本内容:最大28pt黑体,黑色IP包检测包头下一步处理安全策略:过滤规则会话连接状态缓存表状态检测包过滤防火墙符合不符合丢弃状态检测包过滤符合检查项IP包的源、目的地址、端口TCP会话的连接状态上下文信息•标题名称:28pt黑体,深蓝色•文本内容:最大28pt黑体,黑色应用层TCP层IP层网络接口层TCP开始攻击IP开始攻击TCPTCP开始攻击IPETH开始攻击主服务器硬盘数据TCP开始攻击IP应用层TCP层IP层网络接口层TCP开始攻击IP开始攻击TCPTCP开始攻击IPETH开始攻击主服务器硬盘数据检查多个报文组成的会话101001001001010010000011100111101111011001001001010010000011100111101111011深度内容检测防火墙的工作原理建立连接状态表TCP主服务器IPTCP硬盘数据IP开始攻击重写会话主服务器硬盘数据报文1报文2报文31.网络层保护强2.应用层保护戗3.会话保护很强4.上下文相关5.前后报文有联系•标题名称:28pt黑体,深蓝色•文本内容:最大28pt黑体,黑色防火墙核心技术比较综合安全性网络层保护应用层保护应用层透明整体性能处理对象简单包过滤防火墙状态检测包过滤防火墙应用代理防火墙深度内容检测防火墙单个包报头单个包报头单个包数据一次会话1001001001TCPIP1001001001TCPIP•标题名称:28pt黑体,深蓝色•文本内容:最大28pt黑体,黑色X86架构嵌入式架构NP架构ASIC架构多核架构防火墙突破高性能的极限就是对防火墙硬件结构的调整.性能ASIC架构NP架构多核架构可扩展性(易)X86架构Firewall硬件演进嵌入式架构•标题名称:28pt黑体,深蓝色•文本内容:最大28pt黑体,黑色硬件平台技术分析-x86•基于X86的平台•主要提供商Intel,AMDX86特点:软件开发比较灵活便于快速推出产品投资少发热比较大受总线带宽的限制难以满足高速环境•标题名称:28pt黑体,深蓝色•文本内容:最大28pt黑体,黑色概述•以通用处理器(如:x86)为设备核心•通用CPU担负数据查找、连接控制和路由更新处理等全部工作优势数据处理全部由软件实现,容易实现通过软件升级完成系统升级劣势受处理器处理能力限制,很难实现更高带宽和更高吞吐率;稳定性差,不适合高端设备——防火墙发展历程基于通用处理器体系结构防火墙发展历程•标题名称:28pt黑体,深蓝色•文本内容:最大28pt黑体,黑色硬件平台技术分析-其他嵌入式•基于其他嵌入的平台•包括PowerPC、ARM、MIPS……嵌入式特点:产品稳定低功耗,低成本软件比较灵活开发环境需要投资受总线带宽的限制•标题名称:28pt黑体,深蓝色•文本内容:最大28pt黑体,黑色硬件平台技术分析-ASIC•基于ASIC的平台•采用厂家Netscreen、FortinetASIC特点:性价比比较高产品稳定可以满足高性能要求灵活性不高投资非常大门槛高•标题名称:28pt黑体,深蓝色•文本内容:最大28pt黑体,黑色——防火墙发展历程概述•采用专用IC集成电路(ASIC)实现硬件转发及流量控制•数据包交由ASIC完成处理•ASIC代码固化在IC芯片中优势基于硬件的数据处理提供了很高的数据包转发速率劣势•由于ASIC代码固化在芯片中,导致系统升级异常困难•ASIC产品开发周期较长,芯片定制一次性投入较大,在其市场未达一定规模时,价格相对较高•对于类似QoS路由、高层业务流识别及高层应用协议的动态变化性难于应对基于ASIC体系结构防火墙发展历程•标题名称:28pt黑体,深蓝色•文本内容:最大28pt黑体,黑色硬件平台技术分析-NPU•基于NPU的平台•提供厂家Intel、IBM、A

1 / 147
下载文档,编辑使用

©2015-2020 m.777doc.com 三七文档.

备案号:鲁ICP备2024069028号-1 客服联系 QQ:2149211541

×
保存成功