防火墙综合知识培训

防火墙综合知识培训快速入门防火墙技术保障赵**工程师防火墙基础知识防火墙网络部署防火墙配置要点开放式的网络带来了许多不安全的隐患。在开放网络式的网络上，我们周围存在着许多不能信任的计算机（包括在一个LAN之间），这种这些计算机对我们私有的一些敏感信息造成了很大的威胁。在大厦的构造中，防火墙被设计用来防止火灾从大厦的一部分传播到大厦的另一部分。我们所涉及的“防火墙”具有类似的目的：“防止外部的危险传播到你的内部网络”。引言防火墙基础知识防火墙(FireWall)：简单的说，网络安全的第一道防线，是位于两个信任程度不同的网络之间（如企业内部网络和Internet之间）的设备，它对两个网络之间的通信进行控制，通过强制实施统一的安全策略，防止对重要信息资源的非法存取和访问以达到保护系统安全的目的。什么叫防火墙防火墙基础知识什么叫防火墙防火墙基础知识防火墙=硬件+软件+控制策略宽松控制策略：除非明确禁止，否则允许。限制控制策略：除非明确允许，否则禁止。防火墙的特性：内部和外部之间的所有网络数据流必须经过防火墙只有被安全政策允许的数据包才能通过防火墙防火墙本身要具有很强的抗攻击、渗透能力防火墙的基本特征：经过防火墙保护的网络之间的通信必须都经过防火墙。只有经过各种配置的策略验证过的合法数据包才可以通过防火墙。防火墙本身必须具有很强的抗攻击、渗透能力。防火墙可以保护内部网络的安全，可以使受保护的网络避免遭到外部网络的攻击。硬件防火墙应该可以支持若干个网络接口，这些接口都是LAN接口（如Ethernet、TokenRing、FDDI），这些接口用来连接几个网络。在这些网络中进行的连接都必须经过硬件防火墙，防火墙来控制这些连接，对连接进行验证、过滤。连接不受信网络区域连接受信网络区域在连接受信网络区域和非受信网络区域之间的区域，一般称为DMZ。什么叫防火墙防火墙基础知识门防火墙监视器入侵检测系统加固的房间系统加固、免疫安全传输加密、VPN监控室安全管理中心门禁系统身份认证、访问控制保安员扫描器、漏洞查找防火墙基础知识防火墙在网络安全体系中的位置防火墙能提供的功能监控和审计网络的存取和访问：过滤进出网络的数据，管理进出网络的访问行为，封堵某些禁止的业务，记录通过防火墙的信息内容和活动，对网络攻击进行检测和告警。部署于网络边界，兼备提供网络地址翻译(NAT)、虚拟专用网(VPN)等功能防病毒、入侵检测、认证、加密、远程管理、代理……深度检测对某些协议进行相关控制攻击防范，扫描检测等应用程序代理包过滤&状态检测用户认证NATVPN日志IDS与报警内容过滤防火墙的基本功能模块防火墙基础知识防火墙的功能防火墙不是解决所有网络安全问题的万能药方，只是网络安全政策和策略中的一个组成部分。防外不防内（内网用户和内外串通）；不能防备全部的威胁，特别是新产生的威胁；在提供深度检测功能以及防火墙处理转发性能上需要平衡；当使用端-端加密时，即有加密隧道穿越防火墙的时候不能处理；目前的防火墙，在网络层可靠性组网中解决单点故障的组网不够灵活并且存在应用限制；防火墙本身可能会存在性能瓶颈，如抗攻击能力，会话数限制等；防火墙的局限性防火墙基础知识按照防火墙实现的方式，一般把防火墙分为如下几类：包过滤防火墙(PacketFiltering)包过滤利用定义的特定规则过滤数据包，防火墙直接获得数据包的IP源地址、目的地址、TCP/UDP的源端口、和TCP/UDP的目的端口。利用以上的部分或者全部的信息按照规则进行比较，过滤通过防火墙的数据包。规则的定义就是按照IP数据包的特点定义的，可以充分利用上述的四个条件定义通过防火墙数据包的条件。包过滤防火墙简单，但是缺乏灵活性。另外包过滤防火墙每包需要都进行策略检查，策略过多会导致性能急剧下降。代理型防火墙（applicationgateway）代理型防火墙使得防火墙做为一个访问的中间节点，对Client来说防火墙是一个Server，对Server来说防火墙是一个Client。代理型防火墙安全性较高，但是开发代价很大。对每一种应用开发一个对应的代理服务是很难做到的，因此代理型防火墙不能支持很丰富的业务，只能针对某些应用提供代理支持。状态检测防火墙状态检测是一种高级通信过滤。它检查应用层协议信息并且监控基于连接的应用层协议状态。对于所有连接，每一个连接状态信息都将被ASPF维护并用于动态地决定数据包是否被允许通过防火墙或丢弃。防火墙的分类防火墙基础知识防火墙的关键技术包过滤技术代理技术状态检测技术网络地址翻译NAT虚拟专用网VPN应用协议特定的包过滤技术ASPF双机热备技术QOS技术应用层流控技术包括P2P限流防攻击技术，DPI技术防火墙基础知识防火墙的关键技术包过滤防火墙(PacketFiltering)此类防火墙布放在网络中的适当位置，利用数据包的五元组的部分或者全部的信息，按照定义的规则ACL对通过的数据包进行过滤。这是一种基于网络层的安全技术，对于应用层的黑客行为无能为力。包过滤防火墙简单，但是缺乏灵活性；包过滤防火墙每包需要都进行策略检查，策略过多会导致性能急剧下降；包过滤防火墙对于任何应用需要配置双方向的ACL规则，不能提供差异性保护IP报头TCP/UDP报头数据协议号源地址目的地址源端口目的端口访问控制列表由这5个元素来组成定义的规则防火墙基础知识防火墙的关键技术对路由器需要转发的数据包，先获取包头信息，然后和设定的规则进行比较，根据比较的结果对数据包进行转发或者丢弃。实现包过滤的核心技术是访问控制列表ACL。InternetInternetACL规则从202.110.10.0/24来的数据包不能通过从192.110.10.0/24来的数据包能通过R办事未授权用户公司总部防火墙基础知识防火墙的关键技术代理型防火墙（applicationgateway）代理型防火墙使得防火墙做为一个访问的中间节点，对Client来说防火墙是一个Server，对Server来说防火墙是一个Client，转发性能低；此类防火墙安全性较高，但是开发代价很大。对每一种应用开发都需要一个对应的代理服务，因此代理型防火墙不能支持很丰富的业务，只能针对某些应用提供代理支持；代理型防火墙很难组成双机热备的组网，因为状态无法保持同步；防火墙基础知识防火墙的关键技术状态检测防火墙(Stateful-inspection)状态检测是一种高级通信过滤。它检查应用层协议信息并且监控基于连接的应用层协议状态。对于所有连接，每一个连接状态信息都将被ASPF维护并用于动态地决定数据包是否被允许通过防火墙或丢弃。状态检测技术在网络层实现所有需要的防火墙能力，它既有包过滤机制的速度和灵活，也有代理型防火墙安全的优点。采用状态检测技术的防火墙产品是现在的主流防火墙基础知识防火墙的关键技术状态检测防火墙工作原理(单通道协议)在状态防火墙中会动态维护着一个Session表项，通过Session表项来检测基于TCP/UDP连接的连接状态，动态地判断报文是否可以通过，从而决定哪些连接是合法访问，哪些是非法访问。防火墙基础知识防火墙的关键技术域（Zone）域是防火墙上引入的一个重要的逻辑概念；通过将接口加入域并在安全区域之间启动安全检查（称为安全策略），从而对流经不同安全区域的信息流进行安全过滤。常用的安全检查主要包括基于ACL和应用层状态的检查接口1接口2接口3Untrust区域DMZ区域Trust区域Local区域防火墙的内部划分为多个区域，所有的转发接口都唯一的属于某个区域防火墙基础知识防火墙的关键术语一般防火墙上预定义了4个安全区域：本地区域Local（指防火墙本身）、受信区域Trust、非军事化区域DMZ（DemilitarizedZone）、非受信区域Untrust，用户可以根据需要自行添加新的安全区域Untrust区域外部网络Internet接口1接口2LANDMZ区域Server接口3LANTrust区域PC内部网络PCLocal区域根据防火墙的内部划分的安全区域关系，确定其所连接网络的安全区域防火墙基础知识防火墙的关键术语域间（InterZone）：防火墙在引入域概念的同时也引入了域间概念；任何不同的安全域之间形成域间关系，防火墙上大部分规则都是配置在域间上，为了便于描述同时引入了域间方向的概念：inbound：报文从低优先级区域进入高优先级区域为入方向；outbound：报文从高优先级区域进入低优先级区域为出方向；说明：安全策略只能应用在安全区域之间（即配置在域间），从而对分属不同安全区域的接口之间的信息流根据配置的安全策略进行安全检查。一个安全域间的某个方向上只能配置一条域间包过滤规则。防火墙基础知识防火墙的关键术语会话（Session）会话是状态防火墙的基础，每一个通过防火墙的会话都会在防火墙上建立一个会话表项，以五元组（源目的IP地址、源目的端口、协议号）为Key值；通过建立动态的会话表来可以提供高优先级域更高的安全性，即如下图所示高优先级域可以主动访问低优先级域，反之则不能够；防火墙通过会话表还能提供许多新的功能，如加速转发，基于流的等价路由，应用层流控等。用户A初始化一个telnet会话用户A的telnet会话返回报文被允许其它telnet报文被阻塞创建Session表项防火墙基础知识防火墙的关键术语多通道协议是指某个应用在进行通讯或提供服务时需要建立两个以上的会话（通道），其中有一个控制通道，其他的通道是根据控制通道中双方协商的信息动态创建的，一般我们称之为数据通道或子通道；多通道协议在防火墙应用以及NAT设备的应用中需要特殊处理，因为数据通道的端口是不固定的（协商出来的）其报文方向也是不固定的多通道协议的典型应用这种典型应用有很多，最典型的是ftp，其他的一般都如很音频和视频通讯有关如：H.323（包括T.120、RAS、Q.931和H.245等）、SIP、MGCP，此外许多实时聊天通讯软件也是多通道协议的，如MSN，QQ，ICQ等.防火墙基础知识防火墙的关键术语NAT（NetworkAddressTranslation，地址转换）是将IP数据报报头中的IP地址转换为另一个IP地址的过程PC202.130.10.3Server202.120.10.2Server192.168.1.2PC192.168.1.3EudemonEth0/0/0202.169.10.1Eth0/0/0192.168.1.1TrustUntrust数据报1：源：192.168.1.3目的：202.120.10.2数据报2：源：202.120.10.2目的：202.169.10.1数据报1：源：202.169.10.1目的：202.120.10.2数据报2：源：202.120.10.2目的：192.168.1.3InternetNAT地址转换的基本过程防火墙基础知识防火墙的关键术语MAC和IP地址绑定(Bind)，指防火墙可以根据用户的配置，在特定的IP地址和MAC地址之间形成关联关系。对于声称从这个IP发送的报文，如果其MAC地址不是指定关系对中的地址，防火墙将予以丢弃。发送给这个IP地址的报文，在通过防火墙时将被强制发送给绑定的MAC地址，从而形成有效的保护，是避免IP地址假冒攻击的一种方式。MAC和IP地址绑定功能一般应用在与二层交换机直接相连的时候，可以防止假冒IP地址攻击，ARPFlood攻击，DHCPFlood攻击等，还可以应用于用户认证防火墙基础知识防火墙的关键术语包过滤就是利用ACL对报文进行阻断的特性。在防火墙中，配置包过滤注意以下问题：默认的时候，防火墙所有规则都是关闭的。一般情况下应该先打开所有的规则，再禁止不必要的访问。防火墙上的包过滤需要对一个TCP/UDP连接的首包设定规则。反向报文是不需要额外设定规则的。这点和路由器包过滤不一样，主要原因就是防火墙是状态防火墙设备。防火墙的包过滤是设定在域间的，inbound、outbound