12防火墙概述防火墙分类防火墙硬件技术防火墙软件技术防火墙分级防火墙功能防火墙性能防火墙安全性防火墙的“胖”与“瘦”防火墙部署防火墙管理防火墙可靠性防火墙典型应用防火墙技术发展展望怎样选择防火墙提纲3Internet一种高级访问控制设备,置于不同网络安全域之间的一系列部件的组合,它是不同网络安全域间通信流的唯一通道,能根据企业有关的安全政策控制(允许、拒绝、监视、记录)进出网络的访问行为。两个安全域之间通信流的唯一通道UDPBlockHostCHostBTCPPassHostCHostADestinationProtocolPermitSource根据访问控制规则决定进出网络的行为内部网防火墙定义4Intranet通过部署防火墙,可以实现比VLAN、路由器更为强大、有效的访问控制功能;大大提高抗攻击的能力禁止访问禁止访问防火墙作用5防火墙执行标准GB/T18019-1999信息技术包过滤防火墙安全技术要求GB/T18020-1999信息技术应用级防火墙安全技术要求GB/T18336-2001信息技术安全性评估准则(ISO15408)GB/T17900-1999网络代理服务器的安全技术要求GB/T18018-1999路由器安全技术要求GB/T18020---1999GB/T18010---1999GB/T18336---2001(ISO/IEC15408)国内标准国际标准规范需求分析、设计、编码、测试、评估等环节6防火墙概述防火墙分类防火墙硬件技术防火墙软件技术防火墙分级防火墙功能防火墙性能防火墙安全性防火墙的“胖”与“瘦”防火墙部署防火墙管理防火墙可靠性防火墙典型应用防火墙技术发展展望怎样选择防火墙提纲7Internet软件防火墙硬件防火墙按形态分类按保护对象分类Internet防火墙的分类保护整个网络保护单台主机网络防火墙单机防火墙8Internet单机防火墙网络防火墙1.保护单台主机2.安全策略分散3.安全功能简单4.普通用户维护5.安全隐患较大6.策略设置灵活1.保护整个网络2.安全策略集中3.安全功能复杂多样4.专业管理员维护5.安全隐患小6.策略设置复杂单机防火墙网络防火墙产品形态软件硬件或者软件安装点单台独立的Host网络边界处安全策略分散在各个安全点对整个网络有效保护范围单台主机一个网段管理方式分散管理集中管理功能功能单一功能复杂、多样管理人员普通计算机用户专业网管人员安全措施单点安全措施全局安全措施结论单机防火墙是网络防火墙的有益补充,但不能代替网络防火墙为内部网络提供强大的保护功能单机防火墙&网络防火墙9Internet硬件防火墙&软件防火墙Internet硬件防火墙软件防火墙操作系统平台安全性性能稳定性网络适应性分发升级成本硬件防火墙基于精简专用OS高高较高强不易较容易Price=firewall+Server软件防火墙基于庞大通用OS较高较高高较强非常容易容易Price=Firewall1.仅获得Firewall软件,需要准备额外的OS平台2.安全性依赖低层的OS3.网络适应性弱(主要以路由模式工作)4.稳定性高5.软件分发、升级比较方便1.硬件+软件,不用准备额外的OS平台2.安全性完全取决于专用的OS3.网络适应性强(支持多种接入模式)4.稳定性较高5.升级、更新不太灵活10防火墙概述防火墙分类防火墙硬件技术防火墙软件技术防火墙分级防火墙功能防火墙性能防火墙安全性防火墙的“胖”与“瘦”防火墙部署防火墙管理防火墙可靠性防火墙典型应用防火墙技术发展展望怎样选择防火墙提纲11CPU存储器网络接口总线位数总线频率总线带宽32b33M1G64b33M2G32b133M4G64b133M8G总线网络接口1342防火墙单总线结构NPU1存储器NPU2存储器ASIC防火墙的硬件瓶颈:处理器的计算能力:CPU+NPU+ASIC总线带宽:设计多总线产品存储器的存储速度I/O接口速度12CPU存储器网络接口总线位数总线频率总线带宽32b33M1G64b33M2G32b133M4G64b133M8G总线1网络接口防火墙多总线结构存储器存储器ASIC防火墙的硬件瓶颈:处理器的计算能力:CPU+NPU+ASIC(提高主频或者采用多处理器)总线带宽:设计多总线产品(提高总线带宽或者采用多总线结构)存储器的存储速度I/O接口速度总线2NPU1NPU213•CPU+33M总线+10/100/1000M网络接口•CPU+133M总线+10/100/1000M网络接口•CPU+ASIC+133M总线+10/100/1000M网络接口•CPU+NPU+133M总线+10/100/1000M网络接口•CPU+NPU+ASIC+133M总线+10/100/1000M网络接口•n个CPU+n个NPU+n个ASIC+n条总线+n个10/100/1000网络接口防火墙硬件结构种类逐步提高处理能力逐步提高总线带宽逐步提高接口速率14CPU存储器网络接口总线位数总线频率总线带宽32b33M1G64b33M2G32b133M4G64b133M8G33M总线网络接口1342CPU+33M+10/100M防火墙的处理能力:处理器的计算能力:普通CPU总线带宽:33M存储器的存储速度I/O接口速度:比较适合中低端百兆防火墙15CPU存储器网络接口总线位数总线频率总线带宽32b33M1G64b33M2G32b133M4G64b133M8G网络接口1342CPU+133M+10/100M/1000M防火墙的处理能力:处理器的计算能力:普通CPU总线带宽:133M存储器的存储速度I/O接口速度:比较适合中低端千兆防火墙或者高端百兆防火墙133M总线16CPU存储器网络接口总线位数总线频率总线带宽32b33M1G64b33M2G32b133M4G64b133M8G133M总线网络接口1342CPU+ASIC+133M+10/100M/1000M防火墙的处理能力:处理器的计算能力:普通CPU+ASIC总线带宽:133M存储器的存储速度I/O接口速度:高端百兆、千兆ASIC17总线位数总线频率总线带宽32b33M1G64b33M2G32b133M4G64b133M8GCPU+NPU+133M+10/100M/1000M防火墙的处理能力:处理器的计算能力:普通CPU+NPU总线带宽:133M存储器的存储速度I/O接口速度:高端百兆、千兆网络接口总线1网络接口存储器存储器NPU1NPU2CPU存储器总线218总线位数总线频率总线带宽32b33M1G64b33M2G32b133M4G64b133M8G网络接口总线1网络接口存储器存储器NPU1NPU2CPU存储器总线2ASIC防火墙的硬件瓶颈:处理器的计算能力:CPU+NPU+ASIC总线带宽:多总线存储器的存储速度I/O接口速度:高端百兆、千兆CPU+NPU+ASIC+133M+10/100M/1000M19基于通用CPU的防火墙的特点•通用CPU的优点:高灵活性、高扩展性•通用CPU由于考虑了各种应用的需要,具有一般化的通用体系结构和指令集,容易支持复杂的运算并容易开发新的功能。•随着通用CPU性能的快速提高,基于通用CPU防火墙的处理速度和能力将会大幅度提高,能够很好的适应多接口百兆、千兆防火墙的计算要求20基于ASIC加速技术防火墙的特点•ASIC:ApplicationSpecificIntegratedCircuit,特定用途集成电路。•ASIC专用硬件加速技术主要是部分国外厂商的防火墙产品采用,如NetScreen的高端防火墙。ASIC作为硬件集成电路,它把指令或计算逻辑固化到硬件中,获得高处理能力,提升防火墙性能。•ASIC最大缺点是缺乏灵活性,支持有限的应用和服务。一旦指令或计算逻辑固化到硬件中,就很难修改升级、增加新的功能或提高性能,使得资源重用率很低。而且,ASIC设计和制造周期长(设计和制造复杂ASIC一般需要花费12~18个月),研发费用高,也使ASIC很难应对万变的网络新应用,所以基于ASIC技术,很难快速推出能满足用户需求不断变化的防火墙产品。21•网络处理器(NetworkProcessor,简称NP)顾名思义即专为网络数据处理而设计的芯片或芯片组。•能够直接完成网络数据处理的一般性任务,如TCP/IP数据的校验和计算、包分类、路由查找等,同时,硬件体系结构的设计也弥补了传统IA体系的不足,它们大多采用高速的接口技术和总线规范,具有较高的I/O能力。•基于网络处理器的网络设备的包处理能力得到了很大提升,很多需要高性能的领域,如千兆交换机、防火墙、路由器的设计都可以采用网络处理器来实现。Intel公司第一代NP芯片•NP产品远未成熟,包括Terago公司倒闭(10Gbit/sNP)•NP不少,产品接口却不统一,无法完成无缝的整合;•NPU论坛(网络处理器论坛(NPF))正在推动相关标准的制定,但还很不完善;•NP防火墙产品的测试标准并没有推出,有关测试方法的Benchmark都还没有制定出来•对复杂应用数据,NP的表现就不令人满意。例如分片数据包的重组和加密的处理。•目前在网络数据厂商中,采用NP技术的数量非常有限。基于NP加速技术防火墙的特点22•CPU+33M总线+10/100/1000M网络接口•CPU+133M总线+10/100/1000M网络接口•CPU+ASIC+133M总线+10/100/1000M网络接口•CPU+NPU+133M总线+10/100/1000M网络接口•CPU+NPU+ASIC+133M总线+10/100/1000M网络接口•n个CPU+n个NPU+n个ASIC+n条总线+n个10/100/1000网络接口TopSEC防火墙硬件结构种类中低端中高端电信级产品1.加密处理:采用ASIC芯片2.内容过滤:采用通用CPU3.网络报文处理:采用NPU23防火墙概述防火墙分类防火墙硬件技术防火墙软件技术防火墙分级防火墙功能防火墙性能防火墙安全性防火墙的“胖”与“瘦”防火墙部署防火墙管理防火墙可靠性防火墙典型应用防火墙技术发展展望怎样选择防火墙提纲24防火墙软件技术1.简单包过滤防火墙2.状态检测包过滤防火墙3.应用代理防火墙4.核检测防火墙25应用层表示层会话层传输层网络层链路层物理层应用层表示层会话层传输层网络层链路层物理层网络层链路层物理层优点:•速度快,性能高•对应用程序透明•缺点:•安全性低•不能根据状态信息进行控制•不能处理网络层以上的信息•伸缩性差•维护不直观简单包过滤技术介绍26应用层TCP层IP层网络接口层TCP101010101IP101010101TCPTCP101010101IPETH101010101TCP101010101IP应用层TCP层IP层网络接口层TCP101010101IP101010101TCPTCP101010101IPETH101010101只检查报头101001001001010010000011100111101111011001001001010010000011100111101111011简单包过滤防火墙的工作原理1.简单包过滤防火墙不检查数据区2.简单包过滤防火墙不建立连接状态表3.前后报文无关4.应用层控制很弱27应用层表示层会话层传输层网络层链路层物理层应用层表示层会话层传输层网络层链路层物理层状态检测技术介绍应用层表示层会话层传输层网络层链路层物理层•安全性高–能够检测所有进入防火墙网关的数据包–根据通信和应用程序状态确定是否允许包的通行•性能高–在数据包进入防火墙时就进行识别和判断•伸缩性好–可以识别不同的数据包–已经支持160多种应用,包括Internet应用、数据库应用、多媒体应用等–用户可方便添加新应用•对用户、应用程序透明抽取各层的状态信息建立动态状态表28应用层TCP层IP层网络接口层TCP101010101IP101010101TCPTCP101010101IPETH101010101TCP101010101IP应用层TCP