搜索
12防火墙概述防火墙分类防火墙硬件技术防火墙软件技术防火墙设计结构防火墙构造体系防火墙功能防火墙性能防火墙安全性防火墙的“胖”与“瘦”防火墙部署防火墙管理防火墙可靠性防火墙典型应用防火墙技术发展展望提纲3防火墙形态1.标准1U机箱,节省了宝贵的机柜空间,而且外形美观大方2.配置3个10/100M自适应接口,内网、外网、SSN三个接口固定,不可更改3.接口数量、类型不可更改4.国内标准220V交流电源输入,不需要额外的电源转换设备5.内存=64M6.电源=AC90~260V,47~63Hz,0.15A/0.25A7.主板采用集成化设计,稳定性、可靠性更高接口属性固定内网外网SSN4Internet一种高级访问控制设备,置于不同网络安全域之间的一系列部件的组合,它是不同网络安全域间通信流的唯一通道,能根据企业有关的安全政策控制(允许、拒绝、监视、记录)进出网络的访问行为。两个安全域之间通信流的唯一通道UDPBlockHostCHostBTCPPassHostCHostADestinationProtocolPermitSource根据访问控制规则决定进出网络的行为防火墙定义内部网5防火墙连线图直通线交叉线交叉线串口线管理机SSN区域外网内网6防火墙概述防火墙分类防火墙硬件技术防火墙软件技术防火墙设计结构防火墙构造体系防火墙功能防火墙性能防火墙安全性防火墙的“胖”与“瘦”防火墙部署防火墙管理防火墙可靠性防火墙典型应用防火墙技术发展展望提纲7Internet软件防火墙硬件防火墙按形态分类按保护对象分类Internet各种类型的防火墙保护整个网络保护单台主机网络防火墙单机防火墙8Internet硬件防火墙&软件防火墙Internet硬件防火墙软件防火墙操作系统平台安全性性能稳定性网络适应性分发升级成本硬件防火墙基于精简专用OS高高较高强不易较容易Price=firewall+Server软件防火墙基于庞大通用OS较高较高高较强非常容易容易Price=Firewall1.仅获得Firewall软件,需要准备额外的OS平台2.安全性依赖低层的OS3.网络适应性弱(主要以路由模式工作)4.稳定性高5.软件分发、升级比较方便1.硬件+软件,不用准备额外的OS平台2.安全性完全取决于专用的OS3.网络适应性强(支持多种接入模式)4.稳定性较高5.升级、更新不太灵活9防火墙概述防火墙分类防火墙硬件技术防火墙软件技术防火墙设计结构防火墙构造体系防火墙功能防火墙性能防火墙安全性防火墙的“胖”与“瘦”防火墙部署防火墙管理防火墙可靠性防火墙典型应用防火墙技术发展展望提纲10主要有三种:•IntelX86架构工控机•ASIC硬件加速技术•网络处理器(NP)加速技术防火墙硬件实现技术11基于IntelX86架构的防火墙•IntelX86架构的硬件以其高灵活性和扩展性一直受到众多国内、国外防火墙厂商的青睐。•X86CPU由于考虑了各种应用的需要,具有一般化的通用体系结构和指令集,容易支持复杂的运算并容易开发新的功能。•随着IntelX86CPU性能的快速提高,基于IntelX86架构的防火墙在100Mbps带宽下的性能可以满足用户的需求。12基于ASIC技术的防火墙•ASIC:ApplicationSpecificIntegratedCircuit,特定用途集成电路。•ASIC专用硬件加速技术主要是部分国外厂商的防火墙产品采用,如NetScreen的高端防火墙。ASIC作为硬件集成电路,它把指令或计算逻辑固化到硬件中,获得高处理能力,提升防火墙性能。•ASIC最大缺点是缺乏灵活性,支持有限的应用和服务。一旦指令或计算逻辑固化到硬件中,就很难修改升级、增加新的功能或提高性能,使得资源重用率很低。而且,ASIC设计和制造周期长(设计和制造复杂ASIC一般需要花费12~18个月),研发费用高,也使ASIC很难应对万变的网络新应用,所以基于ASIC技术,很难快速推出能满足用户需求不断变化的防火墙产品。13基于NP技术的防火墙•什么是NP技术?•NP的理论优点•乐观者如是认为•NP技术发展现实14什么是NP?•网络处理器(NetworkProcessor,简称NP)顾名思义即专为网络数据处理而设计的芯片或芯片组。•能够直接完成网络数据处理的一般性任务,如TCP/IP数据的校验和计算、包分类、路由查找等,同时,硬件体系结构的设计也弥补了传统IA体系的不足,它们大多采用高速的接口技术和总线规范,具有较高的I/O能力。•基于网络处理器的网络设备的包处理能力得到了很大提升,很多需要高性能的领域,如千兆交换机、防火墙、路由器的设计都可以采用网络处理器来实现。15NP的理论优点•网络处理器可以通过良好的体系结构设计和专门针对网络处理优化的部件,为上层提供了一个可编程控制的环境,可以很好地解决硬件加速和软件可扩展的折衷问题。•一方面,网络处理器独立于CPU之外,是专门为进行网络分组处理而开发的,具有优化的体系结构和指令集,因此它比CPU有着更高的处理性能,能够满足网络高速发展的需求。•另一方面,它具有专门的指令集和配套的软件开发系统,具有很强的编程能力,能够很方便地开发各种应用,支持可扩展的服务,从而能够很好地满足网络业务多样化的发展趋势,比ASIC更灵活地应对日益更新的网络需求。16乐观者如是认为•网络处理器以其杰出的包处理性能及可编程性成为构筑网络转发引擎不可替代的核心,它将成为新一代网络设备的核心处理器,是未来网络设备的发展趋势。•它被认为是推动下一代网络发展的一项核心技术,并开始越来越多地受到业界的关注。•国内外的许多公司和大学纷纷投入力量展开了对网络处理器的相关研究,并将其用于中高端网络设备的研究与开发之中。17NP技术发展现实一•网络处理器都是由国外厂商设计制造的。•根据网络处理器权威分析机构LinleyGroupInc.的报告,2002年网络处理器(NPU)的全球市场份额为6500万美元,各主要产品提供商的市场份额按销售额排列如下:1AMCC38%2IBM19%3Motorola15%4Intel11%5Agere9%•2002年,为应对NPU市场竞争,各个主要厂商平均投入约5000万美元。在该类产品上,目前全部厂商均处于亏损状态。目前大小厂商共几十家,有些已经逐渐退出或被收购,如Vitesse等,但仍有新厂商不断加入。18NP技术发展现实二•NP产品远未成熟,包括Terago公司倒闭(10Gbit/sNP)•NP不少,产品接口却不统一,无法完成无缝的整合;•NPU论坛(网络处理器论坛(NPF))正在推动相关标准的制定,但还很不完善;•NP防火墙产品的测试标准并没有推出,有关测试方法的Benchmark都还没有制定出来•对复杂应用数据,NP的表现就不令人满意。例如分片数据包的重组和加密的处理。•目前在网络数据厂商中,采用NP技术的数量非常有限。19基于NP技术的防火墙的发展•NP技术与产品的成熟与大规模应用还需要相当长时间•基于NP技术开发稳定、高性能的防火墙还有相当距离•无疑,NP技术的出现为国内防火墙厂商提供了一个机会20防火墙概述防火墙分类防火墙硬件技术防火墙软件技术防火墙设计结构防火墙构造体系防火墙功能防火墙性能防火墙安全性防火墙的“胖”与“瘦”防火墙部署防火墙管理防火墙可靠性防火墙典型应用防火墙技术发展展望提纲21现有的防火墙核心技术1.简单包过滤防火墙2.状态检测包过滤防火墙3.应用代理防火墙4.包过滤与应用代理复合型防火墙5.核检测防火墙22应用层表示层会话层传输层网络层链路层物理层应用层表示层会话层传输层网络层链路层物理层网络层链路层物理层优点:•速度快,性能高•对应用程序透明•缺点:•安全性低•不能根据状态信息进行控制•不能处理网络层以上的信息•伸缩性差•维护不直观简单包过滤技术介绍23应用层TCP层IP层网络接口层TCP101010101IP101010101TCPTCP101010101IPETH101010101TCP101010101IP应用层TCP层IP层网络接口层TCP101010101IP101010101TCPTCP101010101IPETH101010101只检查报头101001001001010010000011100111101111011001001001010010000011100111101111011简单包过滤防火墙的工作原理1.简单包过滤防火墙不检查数据区2.简单包过滤防火墙不建立连接状态表3.前后报文无关4.应用层控制很弱24应用层表示层会话层传输层网络层链路层物理层应用层表示层会话层传输层网络层链路层物理层状态检测技术介绍应用层表示层会话层传输层网络层链路层物理层•安全性高–能够检测所有进入防火墙网关的数据包–根据通信和应用程序状态确定是否允许包的通行•性能高–在数据包进入防火墙时就进行识别和判断•伸缩性好–可以识别不同的数据包–已经支持160多种应用,包括Internet应用、数据库应用、多媒体应用等–用户可方便添加新应用•对用户、应用程序透明抽取各层的状态信息建立动态状态表25应用层TCP层IP层网络接口层TCP101010101IP101010101TCPTCP101010101IPETH101010101TCP101010101IP应用层TCP层IP层网络接口层TCP101010101IP101010101TCPTCP101010101IPETH101010101只检查报头101001001001010010000011100111101111011001001001010010000011100111101111011状态检测包过滤防火墙的工作原理1.不检查数据区2.建立连接状态表3.前后报文相关4.应用层控制很弱建立连接状态表26应用层表示层会话层传输层网络层链路层物理层应用层表示层会话层传输层网络层链路层物理层应用代理技术介绍应用层表示层会话层传输层网络层链路层物理层优点:•安全性高•提供应用层的安全缺点:•性能差•伸缩性差•只支持有限的应用•不透明FTPHTTPSMTP27应用层TCP层IP层网络接口层TCP101010101IP101010101TCPTCP101010101IPETH101010101TCP101010101IP应用层TCP层IP层网络接口层TCP101010101IP101010101TCPTCP101010101IPETH101010101只检查数据101001001001010010000011100111101111011001001001010010000011100111101111011应用代理防火墙的工作原理1.不检查IP、TCP报头2.不建立连接状态表3.网络层保护比较弱28应用层TCP层IP层网络接口层TCP101010101IP101010101TCPTCP101010101IPETH101010101TCP101010101IP应用层TCP层IP层网络接口层TCP101010101IP101010101TCPTCP101010101IPETH101010101检查整个报文内容101001001001010010000011100111101111011001001001010010000011100111101111011复合型防火墙的工作原理1.可以检查整个数据包内容2.根据需要建立连接状态表3.网络层保护强4.应用层控制细5.会话控制较弱建立连接状态表29应用层TCP层IP层网络接口层TCP开始攻击IP开始攻击TCPTCP开始攻击IPETH开始攻击主服务器硬盘数据TCP开始攻击IP应用层TCP层IP层网络接口层TCP开始攻击IP开始攻击TCPTCP开始攻击IPETH开始攻击主服务器硬盘数据检查多个报文组成的会话101001001001010010000011100111101111011001001001010010000011100111101111011核检测防火墙的工作原理建立连接状态表TCP主服务器IPTCP硬盘数据IP开始攻