1北京天融信公司地址:北京市海淀区上地东路1号华控大厦3层网址:防火墙基本概念防火墙发展历程防火墙核心技术防火墙功能与原理防火墙的接入方式防火墙的典型应用防火墙性能防火墙局限性防火墙的两个争议目录3一种高级访问控制设备,置于不同网络安全域之间的一系列部件的组合,它是不同网络安全域间通信流的唯一通道,能根据企业有关的安全政策控制(允许、拒绝、监视、记录)进出网络的访问行为。两个安全域之间通信流的唯一通道安全域1HostAHostB安全域2HostCHostDUDPBlockHostCHostBTCPPassHostCHostADestinationProtocolPermitSource根据访问控制规则决定进出网络的行为防火墙的概念4防火墙基本概念防火墙发展历程防火墙核心技术防火墙功能与原理防火墙的接入方式防火墙的典型应用防火墙性能防火墙局限性防火墙的两个争议目录5基于路由器的防火墙•软件防火墙的初级形式,具有审计和告警功能•对数据包的访问控制过滤通过专门的软件实现•与第一代防火墙相比,安全性提高了,价格降低了•在路由器中通过ACL规则来实现对数据包的控制;•过滤判断依据:地址、端口号、协议号等特征•是批量上市的专用软件防火墙产品•安装在通用操作系统之上•安全性依靠软件本身和操作系统本身的整体安全防火墙厂商具有操作系统的源代码,并可实现安全内核功能强大,安全性很高易于使用和管理是目前广泛应用的防火墙产品基于安全操作系统的防火墙基于通用操作系统的防火墙防火墙工具套防火墙的发展历程6防火墙基本概念防火墙发展历程防火墙核心技术防火墙体系结构防火墙功能与原理防火墙的接入方式防火墙的典型应用防火墙性能防火墙局限性防火墙的两个争议目录71.包过滤(Packetfiltering):工作在网络层,仅根据数据包头中的IP地址、端口号、协议类型等标志确定是否允许数据包通过。2.应用代理(ApplicationProxy):工作在应用层,通过编写不同的应用代理程序,实现对应用层数据的检测和分析。3.状态检测(StatefulInspection):工作在2~4层,访问控制方式与1同,但处理的对象不是单个数据包,而是整个连接,通过规则表和连接状态表,综合判断是否允许数据包通过。4.完全内容检测(CompeleteContentInspection):工作在2~7层,不仅分析数据包头信息、状态信息,而且对应用层协议进行还原和内容分析,有效防范混合型安全威胁。防火墙的检测与过滤技术应用层传输层IP层网络接口层DataSegmentPacketFrameBitFlow8防火墙基本概念防火墙发展历程防火墙核心技术防火墙功能与原理防火墙的接入方式防火墙的典型应用防火墙性能防火墙局限性防火墙的两个争议目录9防火墙的作用•集中的访问控制•集中的加密保护•集中的认证授权•集中的内容检查•集中的病毒防护•集中的邮件过滤•集中的流量控制•集中的安全审计10•基本功能–地址转换–访问控制–VLAN支持–带宽管理(QoS)–入侵检测和攻击防御–用户认证–IP/MAC绑定–动态IP环境支持–数据库长连接应用支持–路由支持–ADSL拨号功能–SNMP网管支持–日志审计–高可用性防火墙的功能•扩展功能–防病毒–VPN•IPSECVPN•PPTP/L2TP11Internet202.102.93.54HostA受保护网络HostCHostD192.168.1.21192.168.1.25防火墙Eth2:192.168.1.23Eth0:101.211.23.1数据IP报头数据IP报头源地址:192.168.1.21目地址:202.102.93.54源地址:101.211.23.1目地址:202.102.93.54101.211.23.2隐藏了内部网络的结构内部网络可以使用私有IP地址公开地址不足的网络可以使用这种方式提供IP复用功能地址转换(NAT)12Internet公开服务器可以使用私有地址隐藏内部网络的结构:80TO202.102.1.3:80MAP199.168.1.3:21TO202.102.1.3:21MAP199.168.1.4:53TO202.102.1.3:53MAP199.168.1.5:25TO202.102.1.3:25(地址/端口映射)13HostCHostD防火墙的基本访问控制功能Accesslist192.168.1.3to202.2.33.2Accessnat192.168.3.0toanypassAccess202.1.2.3to192.168.1.3blockAccessdefaultpass规则匹配成功基于源IP地址基于目的IP地址基于源端口基于目的端口基于时间基于用户基于流量基于文件基于网址基于MAC地址14时间控制策略HostCHostD在防火墙上制定基于时间的访问控制策略上班时间不允许访问Internet上班时间可以访问公司的网络Internet15QoS带宽管理Internet财务子网采购子网生产子网生产部子网16防火墙具有内置的IDS模块,可以有效检测并抵御常见的攻击行为,用户通过简单设置即可保护指定的网络对象免于受到以下类型的攻击:1.统计型攻击,包括:SynFlood、UDPFLOOD、ICMPFLOOD、IPSWEEP、PORTSCAN。2.异常包攻击,包括:Land、Smurf、PingofDeath、Winnuke、TcpScan、IpOption等内置入侵检测功能17抗DOS攻击功能防火墙的SYN代理实现原理:在服务器和外部网络之间部署防火墙系统;防火墙在收到客户端的Syn包后,防火墙代替服务器向客户端发送Syn/Ack包;如果防火墙收到客户端的Ack信息,表明访问正常,由防火墙向服务器发送Syn包并完成后续的TCP握手,建立客户端到服务器的连接。通过这种Syn代理技术,保证每个Syn包源的真实有效性,确保虚假请求不被发往服务器,从而彻底防范对服务器的Syn-Flood攻击。SYNSYN/ACKACKSYNSYN/ACKACKSYNSYN/ACKACKClientServerSYNSYN18HostCHostDHostBHostA受保护网络InternetIDS黑客发起攻击发送通知报文验证报文并采取措施发送响应报文识别出攻击行为阻断连接或者报警等与IDS的安全联动19丰富的认证方式和第三方认证支持InternetRADIUS服务器OTP认证服务器liming******防火墙将认证信息传给真正的RADIUS服务器进行认证将认证结果传给防火墙1.本地认证、内置OTP服务器认证2.支持第三方RADIUS服务器认证3.支持TACAS/TACAS+服务器认证4.支持S/KEY、SECUID、VIECA、LDAP、域认证等认证根据认证结果决定用户对资源的访问权限20InternetHostA199.168.1.2HostB199.168.1.3HostC199.168.1.4HostD199.168.1.500-50-04-BB-71-A600-50-04-BB-71-BCBIND199.168.1.2To00-50-04-BB-71-A6BIND199.168.1.4To00-50-04-BB-71-BCIP与MAC地址绑定后,不允许HostB假冒HostA的IP地址上网防火墙允许HostA上网IP与MAC(用户)的绑定199.168.1.221对DHCP应用环境的支持InternetDHCP服务器HostAHostBHostCHostDHostEHostF没有固定IP地址只允许HostB上网设定HostB的MAC地址设定HostB的IP地址为空根据HostB的MAC地址进行访问控制22客户机建立连接并维持连接状态直到查询结束对数据库长连接的支持FR数据库查询一般需要比较长的时间,这些通讯连接建立成功后可能暂时没有数据通过(空连接),普通防火墙在连接建立一段时间后如果没有数据通讯会自动切断连接,导致业务不能正常运行需要较长的查询时间需要在防火墙里面维护这个连接状态,直到查询结束。该功能是可选的。23动态路由功能--RIP24动态路由功能--OSPF25ADSL拨号功能-PPPOE26HostCHostDHostBHostA受保护网络InternetInternetSNMP报文获取硬件配置信息资源使用状况信息防火墙的流量信息防火墙的连接信息防火墙的版本信息防火墙的用户信息防火墙的规则信息防火墙的路由信息……SNMP服务器端SNMP客户端(HPopenview)支持SNMP网络管理27日志分析功能1.会话日志:即普通连接日志通信源地址、目的地址、源目端口、通信时间、通信协议、字节数、是否允许通过2.命令日志和内容日志:即深度分析日志在通信日志的基础之上,记录下各个应用层命令参数和内容。例如HTTP请求及其要取的网页名。3.提供日志分析工具自动产生各种报表,智能化的指出网络可能的安全漏洞28响应请求发送请求通信日志通信日志通信信息192.168.6.169192.168.6.170普通连接日志-会话日志29响应请求发送请求命令日志命令日志192.168.6.169192.168.6.170深度分析日志(1)-命令日志命令信息30响应请求发送请求访问日志访问日志192.168.6.169192.168.6.170深度分析日志(2)-内容日志访问信息31高可用性--双机热备功能内部网外网或者不信任域Eth0Eth0Eth1Eth1Eth2Eth2心跳线ActiveFirewallStandbyFirewall检测ActiveFirewall的状态发现出故障,立即接管其工作正常情况下由主防火墙工作主防火墙出故障以后,接管它的工作HuborSwitchHuborSwitch通过ISTP协议可以交换两台防火墙的状态信息当一台防火墙故障时,这台防火墙的连接不需要重新建立就可以透明的迁移到另一台防火墙上,用户不会察觉到32丰富的链路备份功能网口单combo口双链路备份网口网口双端口环形光纤链路备份HAHA双机备份全冗余备份防火墙路由器交换机33负载均衡算法:轮流轮流+权值最少连接最少连接+权值防火墙提供了“链路备份”功能来实时监视整个链路的工作情况,一旦发现异常,就立即启动“链路备份”功能自动切换到另一条备用链路,以确保网络的正常通信。高可用性--网络链路备份功能35高可用性-双系统冗余防火墙作为网络中的关键设备,对于维护网络的正常通信以及安全保障起着举足轻重的作用。所以,对防火墙本身的有效性和可用性就有了很高的要求。防火墙内置备份系统,这样,在主系统出现异常或由于升级失败而不能正常引导系统的情况下,用户可以手工选择使用备份系统。36扩展功能--病毒过滤功能(1)37扩展功能-