防火墙技术原理知识

防火墙概述防火墙分类防火墙硬件技术防火墙软件技术防火墙分级防火墙功能防火墙性能防火墙安全性防火墙的“胖”与“瘦”防火墙部署防火墙管理防火墙可靠性防火墙典型应用防火墙技术发展展望怎样选择防火墙提纲桌面型防火墙普通百兆防火墙防火墙+VPN高端百兆防火墙高端千兆防火墙形形色色的防火墙防火墙整体外观介绍1.样式：标准1U-----4U机箱，根据接口数量、处理性能等不同而异2.网络接口数量：标准一般配置3个10/100M自适应接口，根据需要可以定制更多接口，有些还可热拔插3.网络接口类型：标准一般是10/100-Base-TX接口，也可定制其他类型接口4.电源：一般单电源，特殊场合可以配置双电源，但需要定制5.硬件平台架构：大多基于X86工控平台，正在开发基于NP加速的新产品6.处理器：大多是CPU，极少数CPU+NPU7.软件平台：部分自主开发、优化，也有直接基于开放LINUX架构改造，使用免费代码构建网络接口内网外网SSN控制口新结构防火墙老结构防火墙防火墙模块防火墙外观的演变新老结构的变化，体现了防火墙的发展方向：1.集成化方向发展2.模块化方向发展3.选择更加灵活，部署更加方便，处理能力更加强大防火墙设计结构的变化防火墙机箱与引擎防火墙接口模块防火墙模块封装板1.根据需要可以通过扩充模块，增加端口的数量2.根据需要可以通过更换模块，改变端口的类型3.根据需要可以选择处理能力更好的机箱与引擎千兆电信级防火墙结构GBIC卡插槽10/100/1000M接口AUX接口热拔插冗余电源大功率散热风扇防火墙引擎防火墙连线图直通线交叉线交叉线串口线管理机SSN区域外网内网Internet一种高级访问控制设备，置于不同网络安全域之间的一系列部件的组合，它是不同网络安全域间通信流的唯一通道，能根据企业有关的安全政策控制（允许、拒绝、监视、记录）进出网络的访问行为。两个安全域之间通信流的唯一通道UDPBlockHostCHostBTCPPassHostCHostADestinationProtocolPermitSource根据访问控制规则决定进出网络的行为内部网防火墙定义Intranet通过部署防火墙，可以实现比VLAN、路由器更为强大、有效的访问控制功能；大大提高抗攻击的能力禁止访问禁止访问防火墙作用防火墙执行标准GB/T18019-1999信息技术包过滤防火墙安全技术要求GB/T18020-1999信息技术应用级防火墙安全技术要求GB/T18336-2001信息技术安全性评估准则（ISO15408）GB/T17900-1999网络代理服务器的安全技术要求GB/T18018-1999路由器安全技术要求GB/T18020---1999GB/T18010---1999GB/T18336---2001（ISO/IEC15408）国内标准国际标准规范需求分析、设计、编码、测试、评估等环节防火墙概述防火墙分类防火墙硬件技术防火墙软件技术防火墙分级防火墙功能防火墙性能防火墙安全性防火墙的“胖”与“瘦”防火墙部署防火墙管理防火墙可靠性防火墙典型应用防火墙技术发展展望怎样选择防火墙提纲Internet软件防火墙硬件防火墙按形态分类按保护对象分类Internet防火墙的分类保护整个网络保护单台主机网络防火墙单机防火墙Internet单机防火墙网络防火墙1.保护单台主机2.安全策略分散3.安全功能简单4.普通用户维护5.安全隐患较大6.策略设置灵活1.保护整个网络2.安全策略集中3.安全功能复杂多样4.专业管理员维护5.安全隐患小6.策略设置复杂单机防火墙网络防火墙产品形态软件硬件或者软件安装点单台独立的Host网络边界处安全策略分散在各个安全点对整个网络有效保护范围单台主机一个网段管理方式分散管理集中管理功能功能单一功能复杂、多样管理人员普通计算机用户专业网管人员安全措施单点安全措施全局安全措施结论单机防火墙是网络防火墙的有益补充，但不能代替网络防火墙为内部网络提供强大的保护功能单机防火墙&网络防火墙Internet硬件防火墙&软件防火墙Internet硬件防火墙软件防火墙操作系统平台安全性性能稳定性网络适应性分发升级成本硬件防火墙基于精简专用OS高高较高强不易较容易Price=firewall+Server软件防火墙基于庞大通用OS较高较高高较强非常容易容易Price=Firewall1.仅获得Firewall软件，需要准备额外的OS平台2.安全性依赖低层的OS3.网络适应性弱（主要以路由模式工作）4.稳定性高5.软件分发、升级比较方便1.硬件+软件，不用准备额外的OS平台2.安全性完全取决于专用的OS3.网络适应性强（支持多种接入模式）4.稳定性较高5.升级、更新不太灵活防火墙概述防火墙分类防火墙硬件技术防火墙软件技术防火墙分级防火墙功能防火墙性能防火墙安全性防火墙的“胖”与“瘦”防火墙部署防火墙管理防火墙可靠性防火墙典型应用防火墙技术发展展望怎样选择防火墙提纲•CPU+33M总线+10/100/1000M网络接口•CPU+133M总线+10/100/1000M网络接口•CPU+ASIC+133M总线+10/100/1000M网络接口•CPU+NPU+133M总线+10/100/1000M网络接口•CPU+NPU+ASIC+133M总线+10/100/1000M网络接口•n个CPU+n个NPU+n个ASIC+n条总线+n个10/100/1000网络接口防火墙硬件结构种类逐步提高处理能力逐步提高总线带宽逐步提高接口速率基于通用CPU的防火墙的特点•通用CPU的优点：高灵活性、高扩展性•通用CPU由于考虑了各种应用的需要，具有一般化的通用体系结构和指令集，容易支持复杂的运算并容易开发新的功能。•随着通用CPU性能的快速提高，基于通用CPU防火墙的处理速度和能力将会大幅度提高，能够很好的适应多接口百兆、千兆防火墙的计算要求基于ASIC加速技术防火墙的特点•ASIC：ApplicationSpecificIntegratedCircuit，特定用途集成电路。•ASIC专用硬件加速技术主要是部分国外厂商的防火墙产品采用，如NetScreen的高端防火墙。ASIC作为硬件集成电路，它把指令或计算逻辑固化到硬件中，获得高处理能力，提升防火墙性能。•ASIC最大缺点是缺乏灵活性，支持有限的应用和服务。一旦指令或计算逻辑固化到硬件中，就很难修改升级、增加新的功能或提高性能，使得资源重用率很低。而且，ASIC设计和制造周期长（设计和制造复杂ASIC一般需要花费12～18个月），研发费用高，也使ASIC很难应对万变的网络新应用，所以基于ASIC技术，很难快速推出能满足用户需求不断变化的防火墙产品。•网络处理器（NetworkProcessor，简称NP）顾名思义即专为网络数据处理而设计的芯片或芯片组。•能够直接完成网络数据处理的一般性任务，如TCP/IP数据的校验和计算、包分类、路由查找等，同时，硬件体系结构的设计也弥补了传统IA体系的不足，它们大多采用高速的接口技术和总线规范，具有较高的I/O能力。•基于网络处理器的网络设备的包处理能力得到了很大提升，很多需要高性能的领域，如千兆交换机、防火墙、路由器的设计都可以采用网络处理器来实现。Intel公司第一代NP芯片•NP产品远未成熟，包括Terago公司倒闭（10Gbit/sNP）•NP不少，产品接口却不统一，无法完成无缝的整合；•NPU论坛（网络处理器论坛（NPF））正在推动相关标准的制定，但还很不完善；•NP防火墙产品的测试标准并没有推出，有关测试方法的Benchmark都还没有制定出来•对复杂应用数据，NP的表现就不令人满意。例如分片数据包的重组和加密的处理。•目前在网络数据厂商中，采用NP技术的数量非常有限。基于NP加速技术防火墙的特点•CPU+33M总线+10/100/1000M网络接口•CPU+133M总线+10/100/1000M网络接口•CPU+ASIC+133M总线+10/100/1000M网络接口•CPU+NPU+133M总线+10/100/1000M网络接口•CPU+NPU+ASIC+133M总线+10/100/1000M网络接口•n个CPU+n个NPU+n个ASIC+n条总线+n个10/100/1000网络接口TopSEC防火墙硬件结构种类中低端中高端电信级产品1.加密处理：采用ASIC芯片2.内容过滤：采用通用CPU3.网络报文处理：采用NPU防火墙概述防火墙分类防火墙硬件技术防火墙软件技术防火墙分级防火墙功能防火墙性能防火墙安全性防火墙的“胖”与“瘦”防火墙部署防火墙管理防火墙可靠性防火墙典型应用防火墙技术发展展望怎样选择防火墙提纲防火墙软件技术1.简单包过滤防火墙2.状态检测包过滤防火墙3.应用代理防火墙4.核检测防火墙应用层表示层会话层传输层网络层链路层物理层应用层表示层会话层传输层网络层链路层物理层网络层链路层物理层优点：•速度快，性能高•对应用程序透明•缺点：•安全性低•不能根据状态信息进行控制•不能处理网络层以上的信息•伸缩性差•维护不直观简单包过滤技术介绍应用层TCP层IP层网络接口层TCP101010101IP101010101TCPTCP101010101IPETH101010101TCP101010101IP应用层TCP层IP层网络接口层TCP101010101IP101010101TCPTCP101010101IPETH101010101只检查报头101001001001010010000011100111101111011001001001010010000011100111101111011简单包过滤防火墙的工作原理1.简单包过滤防火墙不检查数据区2.简单包过滤防火墙不建立连接状态表3.前后报文无关4.应用层控制很弱应用层表示层会话层传输层网络层链路层物理层应用层表示层会话层传输层网络层链路层物理层状态检测技术介绍应用层表示层会话层传输层网络层链路层物理层•安全性高–能够检测所有进入防火墙网关的数据包–根据通信和应用程序状态确定是否允许包的通行•性能高–在数据包进入防火墙时就进行识别和判断•伸缩性好–可以识别不同的数据包–已经支持160多种应用，包括Internet应用、数据库应用、多媒体应用等–用户可方便添加新应用•对用户、应用程序透明抽取各层的状态信息建立动态状态表应用层TCP层IP层网络接口层TCP101010101IP101010101TCPTCP101010101IPETH101010101TCP101010101IP应用层TCP层IP层网络接口层TCP101010101IP101010101TCPTCP101010101IPETH101010101只检查报头101001001001010010000011100111101111011001001001010010000011100111101111011状态检测包过滤防火墙的工作原理1.不检查数据区2.建立连接状态表3.前后报文相关4.应用层控制很弱建立连接状态表应用层表示层会话层传输层网络层链路层物理层应用层表示层会话层传输层网络层链路层物理层应用代理技术介绍应用层表示层会话层传输层网络层链路层物理层优点：•安全性高•提供应用层的安全缺点：•性能差•伸缩性差•只支持有限的应用•不透明FTPHTTPSMTP应用层TCP层IP层网络接口层TCP101010101IP101010101TCPTCP101010101IPETH101010101TCP101010101IP应用层TCP层IP层网络接口层TCP101010101IP101010101TCPTCP101010101IPETH101010101只检查数据101001001001010010000011100111101111011001001001010010000011100111101111011应用代理防火墙的工作原理1.不检查IP、TCP报头2.不建立连接状态表3.网络层保护比较弱应用层TCP层IP层网络接口层TCP开始攻击IP开