防火墻知識(shí)介紹培訓(xùn)講學(xué)

1、防火墻知識(shí)介紹網(wǎng)絡(luò)安全現(xiàn)狀網(wǎng)絡(luò)安全現(xiàn)狀 隨著信息化進(jìn)程的深入和互聯(lián)網(wǎng)的迅速發(fā)展，網(wǎng)絡(luò)安全問(wèn)題已成為信息時(shí)代人類共同面臨的挑戰(zhàn)，國(guó)內(nèi)的網(wǎng)絡(luò)安全問(wèn)題也日益突出。具體表現(xiàn)為： 計(jì)算機(jī)系統(tǒng)受病毒感染和破壞的情況相當(dāng)嚴(yán)重 電腦黑客活動(dòng)已形成重要威脅 信息基礎(chǔ)設(shè)施面臨網(wǎng)絡(luò)安全的挑戰(zhàn) 信息系統(tǒng)在預(yù)測(cè)、防范、反應(yīng)和恢復(fù)能力方面存在許多薄弱環(huán)節(jié) 網(wǎng)絡(luò)政治顛覆活動(dòng)頻繁 網(wǎng)絡(luò)安全現(xiàn)狀網(wǎng)絡(luò)安全現(xiàn)狀 據(jù)統(tǒng)計(jì)，目前美國(guó)每年由于網(wǎng)絡(luò)安全問(wèn)題而遭受的經(jīng)濟(jì)損失超過(guò)170億美元，德國(guó)、英國(guó)也均在數(shù)十億美元以上，法國(guó)為100億法郎，日本、新加坡問(wèn)題也很嚴(yán)重。在國(guó)際刑法界列舉的現(xiàn)代社會(huì)新型犯罪排行榜上，計(jì)算機(jī)犯罪已名列榜首。 200

2、3年，CSI/FBI調(diào)查所接觸的524個(gè)組織中，有56%遇到電腦安全事件，其中38%遇到15起、16%以上遇到11起以上。因與互聯(lián)網(wǎng)連接而成為頻繁攻擊點(diǎn)的組織連續(xù)3年不斷增加；遭受拒絕服務(wù)攻擊(DoS)則從2000年的27%上升到2003年的42%。調(diào)查顯示，521個(gè)接受調(diào)查的組織中96%有網(wǎng)站，其中30%提供電子商務(wù)服務(wù)，這些網(wǎng)站在2003年1年中有20%發(fā)現(xiàn)未經(jīng)許可入侵或誤用網(wǎng)站現(xiàn)象。更令人不安的是，有33%的組織說(shuō)他們不知道自己的網(wǎng)站是否受到損害。據(jù)統(tǒng)計(jì)，全球平均每20s就發(fā)生1次網(wǎng)上入侵事件，黑客一旦找到系統(tǒng)的薄弱環(huán)節(jié)，所有用戶均會(huì)遭殃。 國(guó)內(nèi)網(wǎng)絡(luò)安全現(xiàn)狀國(guó)內(nèi)網(wǎng)絡(luò)安全現(xiàn)狀 從國(guó)內(nèi)情況來(lái)

3、看，目前我國(guó)95%與互聯(lián)網(wǎng)相聯(lián)的網(wǎng)絡(luò)管理中心都遭受過(guò)境內(nèi)外黑客的攻擊或侵入，其中銀行、金融和證券機(jī)構(gòu)是黑客攻擊的重點(diǎn)。 據(jù)2001年調(diào)查，我國(guó)約73%的計(jì)算機(jī)用戶曾感染病毒，2003年上半年升至83%。其中，感染3次以上的用戶高達(dá)59%，而且病毒的破壞性較大，被病毒破壞全部數(shù)據(jù)的占14%，破壞部分?jǐn)?shù)據(jù)的占57%。 近年來(lái)，國(guó)內(nèi)與網(wǎng)絡(luò)有關(guān)的各類違法行為以每年30%的速度遞增。據(jù)某市信息安全管理部門統(tǒng)計(jì)，2003年第1季度內(nèi)，該市共遭受近37萬(wàn)次黑客攻擊、2.1萬(wàn)次以上病毒入侵和57次信息系統(tǒng)癱瘓。 網(wǎng)絡(luò)風(fēng)險(xiǎn)網(wǎng)絡(luò)風(fēng)險(xiǎn) 業(yè)內(nèi)安全專家公認(rèn)：所謂的“周界殺手”蠕蟲和“零日攻擊”將大量增加，這將是目前及今

4、后網(wǎng)絡(luò)安全面臨的最大威脅。 （“周界殺手”：那些不通過(guò)傳統(tǒng)的電子郵件方式傳播而是通過(guò)進(jìn)攻系統(tǒng)、軟件的漏洞而對(duì)網(wǎng)絡(luò)實(shí)施攻擊的病毒軟件） （“零日攻擊”： 病毒或蠕蟲利用操作系統(tǒng)或者軟件某個(gè)未知和未修補(bǔ)的漏洞發(fā)起攻擊） 基于“零日”漏洞而制造的一種“沖擊波”式的蠕蟲可以毀壞計(jì)算機(jī)網(wǎng)絡(luò)，并使管理人員對(duì)網(wǎng)絡(luò)保護(hù)束手無(wú)策。 部署防火墻的必要性部署防火墻的必要性 基于目前網(wǎng)絡(luò)安全的現(xiàn)狀，為了保證網(wǎng)絡(luò)的安全，防止機(jī)密信息被盜取，各企業(yè)、政府機(jī)關(guān)、高校等均紛紛采取相應(yīng)的安全措施，而防火墻則一般是眾多網(wǎng)絡(luò)安全產(chǎn)品中首要考慮的重要一環(huán)，是網(wǎng)絡(luò)的第一道安全門坎。提綱提綱 網(wǎng)絡(luò)安全現(xiàn)狀 防火墻概念防火墻概念 防火墻關(guān)

5、鍵技術(shù) 防火墻功能一覽 防火墻性能指標(biāo) 防火墻發(fā)展及趨勢(shì)什么是防火墻什么是防火墻信任網(wǎng)絡(luò)非信任網(wǎng)絡(luò)網(wǎng)絡(luò)的唯一通路防火墻，F(xiàn)irewall，是一種高級(jí)訪問(wèn)控制設(shè)備，置于不同網(wǎng)絡(luò)安全域之間的一系列部件的組合，它是不同網(wǎng)絡(luò)安全域間通信流的唯一通道，能根據(jù)有關(guān)的安全政策控制（允許、拒絕、監(jiān)視、記錄）進(jìn)出網(wǎng)絡(luò)的行為，本身具有較強(qiáng)的抗網(wǎng)絡(luò)攻擊能力。它是提供信息安全服務(wù)，實(shí)現(xiàn)網(wǎng)絡(luò)和信息安全的基礎(chǔ)設(shè)施。 防火墻的分類防火墻的分類 從產(chǎn)品形式上分為： 軟件防火墻：純軟件防火墻，安裝在操作系統(tǒng)之上 硬件防火墻：硬件/軟件一體化防火墻（X86結(jié)構(gòu)）、ASIC芯片級(jí)防火墻、網(wǎng)絡(luò)處理器（Network Processo

6、r，NP處理器）架構(gòu)防火墻 從部署位置上分為： 網(wǎng)關(guān)防火墻：邊界防火墻，部署于網(wǎng)絡(luò)邊界出口處 個(gè)人防火墻：多為軟件防火墻，安裝在單個(gè)主機(jī)系統(tǒng)上 分布式防火墻：包括邊界防火墻、主機(jī)防火墻以及集中管理平臺(tái)，把防火墻的安全防護(hù)系統(tǒng)延伸到網(wǎng)絡(luò)中各臺(tái)主機(jī)，準(zhǔn)確地說(shuō)，它不是一個(gè)單一的產(chǎn)品，而是一個(gè)完整的體系防火墻的分類防火墻的分類 從產(chǎn)品性能上分為： 百兆防火墻 千兆防火墻 從發(fā)展歷程上分為： 包過(guò)濾防火墻：基本包過(guò)濾訪問(wèn)控制功能，安全性差 應(yīng)用代理防火墻：應(yīng)用代理功能，支持應(yīng)用層內(nèi)容級(jí)控制，但是支持協(xié)議有限 狀態(tài)檢測(cè)防火墻：跟蹤網(wǎng)絡(luò)會(huì)話狀態(tài)實(shí)現(xiàn)訪問(wèn)控制，性能好，安全性高 復(fù)合型防火墻：結(jié)合狀態(tài)檢測(cè)、應(yīng)用

7、代理以及眾多其他功能，功能強(qiáng)大，安全性高提綱提綱 網(wǎng)絡(luò)安全現(xiàn)狀 防火墻概念 防火墻關(guān)鍵技術(shù)防火墻關(guān)鍵技術(shù) 防火墻功能一覽 防火墻性能指標(biāo) 防火墻發(fā)展及趨勢(shì)（一）包過(guò)濾訪問(wèn)控制（一）包過(guò)濾訪問(wèn)控制源目標(biāo)許可協(xié)議Host AHost C允許TCPHost BHost C阻止UDPHost CHost AHost D數(shù)據(jù)包數(shù)據(jù)包拆數(shù)據(jù)包查詢控制策略根據(jù)策略決定如何處理數(shù)據(jù)包數(shù)據(jù)包IP包頭TCP/udp包頭 數(shù)據(jù)包過(guò)濾的判斷信息數(shù)據(jù)包包過(guò)濾工作原理包過(guò)濾工作原理應(yīng)用層TCP層 I P 層網(wǎng)絡(luò)接口層應(yīng)用層TCP層 I P 層網(wǎng)絡(luò)接口層數(shù)據(jù)數(shù)據(jù)TCPIP數(shù)據(jù)TCPETHIP數(shù)據(jù)TCP數(shù)據(jù)IP數(shù)據(jù)TCPET

8、HIP數(shù)據(jù)TCP數(shù)據(jù)TCPIP數(shù)據(jù)TCP只檢查包頭 IP 源地址 IP目的地址 封裝協(xié)議 TCP/UDP源端口 TCP/UDP目的端口 ICMP包類型 包輸入接口 包輸出接口（二）狀態(tài)檢測(cè)工作原理（二）狀態(tài)檢測(cè)工作原理Host A數(shù)據(jù)包數(shù)據(jù)包拆數(shù)據(jù)包查詢控制策略根據(jù)策略決定如何處理數(shù)據(jù)包數(shù)據(jù)包IP包頭TCP包頭數(shù)據(jù)數(shù)據(jù)包控制策略狀態(tài)檢測(cè)可以結(jié)合前一數(shù)據(jù)包里的數(shù)據(jù)信息進(jìn)行綜合分析，以此來(lái)判別數(shù)據(jù)包是否允許通過(guò)。IP包頭TCP包頭數(shù)據(jù)IP包頭TCP包頭數(shù)據(jù)狀態(tài)檢測(cè)的判斷信息建立連接狀態(tài)表狀態(tài)檢測(cè)工作原理狀態(tài)檢測(cè)工作原理應(yīng)用層TCP層 I P 層網(wǎng)絡(luò)接口層應(yīng)用層TCP層 I P 層網(wǎng)絡(luò)接口層數(shù)據(jù)數(shù)據(jù)

9、TCPIP數(shù)據(jù)TCPETHIP數(shù)據(jù)TCP數(shù)據(jù)IP數(shù)據(jù)TCPETHIP數(shù)據(jù)TCP數(shù)據(jù)TCPIP 數(shù) 據(jù) TCP只檢查包頭建立連接狀態(tài)表檢查檢查 IP 源地址 IP目的地址 封裝協(xié)議 TCP/UDP源端口 TCP/UDP目的端口 ICMP包類型 包輸入接口 包輸出接口 TCP通信的連接狀態(tài) UDP/ICMP通信的通信狀態(tài)（三）應(yīng)用代理的工作原理（三）應(yīng)用代理的工作原理Host CHost AHost D數(shù)據(jù)包數(shù)據(jù)包拆數(shù)據(jù)包查詢控制策略根據(jù)策略決定如何處理數(shù)據(jù)包數(shù)據(jù)包IP報(bào)頭TCP報(bào)頭數(shù)據(jù)包過(guò)濾及狀態(tài)檢測(cè)的判斷信息數(shù)據(jù)包控制策略應(yīng)用代理的判斷信息應(yīng)用代理可以對(duì)數(shù)據(jù)包的數(shù)據(jù)區(qū)進(jìn)行分析，以此來(lái)判別數(shù)據(jù)包

10、是否允許通過(guò)。應(yīng)用代理工作原理應(yīng)用代理工作原理應(yīng)用層TCP層 I P 層網(wǎng)絡(luò)接口層應(yīng)用層TCP層 I P 層網(wǎng)絡(luò)接口層數(shù)據(jù)數(shù)據(jù)TCPIP數(shù)據(jù)TCPETHIP數(shù)據(jù)TCP數(shù)據(jù)IP數(shù)據(jù)TCPETHIP數(shù)據(jù)TCP數(shù)據(jù)TCPIP 數(shù) 據(jù) TCP只檢查數(shù)據(jù)（四）地址轉(zhuǎn)換（四）地址轉(zhuǎn)換 網(wǎng)絡(luò)地址轉(zhuǎn)換，Network Address Translation，簡(jiǎn)稱NAT，是用于將一個(gè)地址域如專用Intranet映射到另一個(gè)地址域如Internet的標(biāo)準(zhǔn)方法。NAT對(duì)終端用戶是透明的，用于全球唯一注冊(cè)地址連接私有地址域到外部域。 RFC1597 “專用網(wǎng)絡(luò)地址分配”規(guī)定，以下地址為保留地址，路由器不在互聯(lián)網(wǎng)上對(duì)這

11、些地址進(jìn)行路由選擇：--55--55--55 一般在內(nèi)部網(wǎng)絡(luò)均選用以上保留地址作為私有地址進(jìn)行NAT，轉(zhuǎn)換成合法注冊(cè)地址訪問(wèn)互聯(lián)網(wǎng)。地址轉(zhuǎn)換技術(shù)種類地址轉(zhuǎn)換技術(shù)種類 NAT技術(shù)有三種類型：靜態(tài)NAT(Static NAT)、動(dòng)態(tài)地址NAT(Pooled NAT)、網(wǎng)絡(luò)地址端口轉(zhuǎn)換NAPT（PortLevel NAT） 靜態(tài)NAT：內(nèi)部網(wǎng)絡(luò)中的每個(gè)主機(jī)都被永久映射成外部網(wǎng)絡(luò)中的某個(gè)合法的地址（一個(gè)公有地址對(duì)應(yīng)一個(gè)私有地址 ） 動(dòng)態(tài)NAT：在外部網(wǎng)絡(luò)中定義了一系列的合

12、法地址，采用動(dòng)態(tài)分配的方法分配給內(nèi)部網(wǎng)絡(luò)私有地址（多個(gè)公有地址對(duì)應(yīng)一大群私有地址） NAPT：把內(nèi)部地址映射到外部網(wǎng)絡(luò)的一個(gè)IP地址的不同端口上（一個(gè)公有地址對(duì)應(yīng)一大群私有地址）地址轉(zhuǎn)換工作原理地址轉(zhuǎn)換工作原理WANA:0S=0:2733D=:80B:0LAN-ALAN-BNAPT：/24 靜態(tài)NAT：0 S=:3236D=:80S=:3236D=:80S=202.2.2

13、.2:3236D=0:80網(wǎng)絡(luò)A中A主機(jī)訪問(wèn)網(wǎng)絡(luò)B中B服務(wù)器www服務(wù)的NAT過(guò)程地址轉(zhuǎn)換的作用地址轉(zhuǎn)換的作用 解決IP地址不足的問(wèn)題 隱藏內(nèi)部網(wǎng)絡(luò)的網(wǎng)絡(luò)結(jié)構(gòu)，加強(qiáng)內(nèi)部網(wǎng)絡(luò)的安全提綱提綱 網(wǎng)絡(luò)安全現(xiàn)狀 防火墻概念 防火墻關(guān)鍵技術(shù) 防火墻功能一覽防火墻功能一覽 防火墻性能指標(biāo) 防火墻發(fā)展及趨勢(shì)防火墻功能一覽（防火墻功能一覽（1） 訪問(wèn)控制：根據(jù)數(shù)據(jù)包的源/目的IP地址、源/目的端口、協(xié)議、流量、時(shí)間等參數(shù)對(duì)數(shù)據(jù)包進(jìn)行訪問(wèn)控制 地址轉(zhuǎn)換：源地址轉(zhuǎn)換（SNAT）、目的地址轉(zhuǎn)換（DNAT）、雙向地址轉(zhuǎn)換（IP映射） 靜態(tài)路由/策略路由：靜態(tài)路由：基于目的地址的路由選擇；策略路由：基

14、于源地址和目的地址的策略路由選擇 工作模式：路由模式、網(wǎng)橋模式（交換/透明模式）、混雜模式（路由+網(wǎng)橋模式并存） 接入支持：防火墻接口類型一般有GBIC、以太網(wǎng)接口等；接入支持靜態(tài)IP設(shè)置、DHCP、PPPoE（比如ADSL接入）等防火墻功能一覽（防火墻功能一覽（2） VPN： 分為點(diǎn)到端傳輸模式（PPTP協(xié)議）和端到端隧道模式（IPSec，IPIP，GRE隧道），支持DES、3DES、Blowfish、AES、Cast128、Twofish等加密算法，支持MD5、SHA-1認(rèn)證算法；VPN功能支持NAT穿越 IP/MAC綁定：IP地址與MAC地址綁定，防止IP盜用，防止內(nèi)網(wǎng)機(jī)器有意/無(wú)意搶占

15、關(guān)鍵服務(wù)器IP DHCP：內(nèi)置DHCP Server為網(wǎng)絡(luò)中計(jì)算機(jī)動(dòng)態(tài)分配IP地址；DHCP Relay的支持能為防火墻不同端口的DHCP Server和計(jì)算機(jī)之間動(dòng)態(tài)分配IP地址 虛擬防火墻：在一臺(tái)物理防火墻設(shè)備上提供多個(gè)邏輯上完全獨(dú)立的虛擬防火墻，每個(gè)虛擬防火墻為一個(gè)特定的用戶群提供安全服務(wù) 應(yīng)用代理：HTTP、FTP、SMTP等協(xié)議應(yīng)用代理，大多數(shù)內(nèi)容級(jí)過(guò)濾通過(guò)應(yīng)用代理實(shí)現(xiàn) 防火墻功能一覽（防火墻功能一覽（3） 認(rèn)證支持：是指防火墻支持的身份認(rèn)證協(xié)議，一般情況下具有一個(gè)或多個(gè)認(rèn)證方案，如內(nèi)置用戶認(rèn)證、數(shù)字證書、RADIUS、OTP、LDAP、SECURE ID、Kerberos、TACA

16、CS/TACACS等等。防火墻能夠?yàn)楸镜鼗蜻h(yuǎn)程用戶提供經(jīng)過(guò)認(rèn)證與授權(quán)的對(duì)網(wǎng)絡(luò)資源的訪問(wèn)，防火墻管理員必須決定客戶以何種方式通過(guò)認(rèn)證 ARP代理：防火墻代理應(yīng)答特定的ARP請(qǐng)求，在特殊網(wǎng)絡(luò)環(huán)境中可能用到該功能 內(nèi)容過(guò)濾：內(nèi)容級(jí)過(guò)濾，比如URL過(guò)濾、WEB網(wǎng)頁(yè)內(nèi)容過(guò)濾、Java/JavaScript/Active X控件過(guò)濾、FTP命令過(guò)濾、郵件過(guò)濾、入侵過(guò)濾（特征字匹配）等等 VLAN支持：支持802.1Q、VTP、Cisco專有的Trunk 封裝協(xié)議ISL，識(shí)別VLAN數(shù)據(jù)包，實(shí)現(xiàn)VLAN間的數(shù)據(jù)包轉(zhuǎn)發(fā) 協(xié)議/應(yīng)用支持：H.323、SIP、IPX、NETBEUI、AppleTalk、RIP、

17、OSPF 、BGP、DECnet、RTSP、VOIP、VOD、視頻會(huì)議、組播協(xié)議等等 防火墻功能一覽（防火墻功能一覽（4） 流量控制：流量控制，流量?jī)?yōu)先級(jí)，帶寬允許條件下的優(yōu)先保障關(guān)鍵業(yè)務(wù)帶寬 防攻擊：防止各類TCP、UDP端口掃描，源路由攻擊，IP碎片包攻擊，DoS、DDoS攻擊，蠕蟲病毒以及其他網(wǎng)絡(luò)攻擊行為 內(nèi)置IDS：內(nèi)置IDS模塊，加強(qiáng)防火墻的防攻擊能力 內(nèi)置防病毒模塊：內(nèi)置防病毒模塊，在網(wǎng)關(guān)級(jí)進(jìn)行病毒防護(hù) 內(nèi)置安全評(píng)估模塊：內(nèi)置安全評(píng)估模塊，對(duì)網(wǎng)絡(luò)中的計(jì)算機(jī)、網(wǎng)絡(luò)設(shè)備等進(jìn)行漏洞掃描，做出安全評(píng)估分析，提供安全建議，及時(shí)彌補(bǔ)網(wǎng)絡(luò)中存在的安全隱患 安全產(chǎn)品聯(lián)動(dòng)：防火墻與其他安全產(chǎn)品比如I

18、DS、Scanner、防病毒等的聯(lián)動(dòng)功能 防火墻功能一覽（防火墻功能一覽（5） 鏈路備份/雙機(jī)熱備：在可靠性要求高的環(huán)境中，防火墻的多端口的鏈路備份以及雙機(jī)熱備功能提供了一個(gè)較好的解決方案 配置文件上傳/下載：配置文件的備份/恢復(fù)功能 SNMP：支持SNMP協(xié)議，方便網(wǎng)絡(luò)管理員對(duì)防火墻狀態(tài)進(jìn)行監(jiān)控管理 負(fù)載均衡：分為鏈路負(fù)載均衡和服務(wù)器負(fù)載均衡 日志審計(jì)：日志存儲(chǔ)、備份、查詢、過(guò)濾、分析統(tǒng)計(jì)報(bào)表等 入侵響應(yīng)：日志記錄、消息框報(bào)警、郵件報(bào)警、聲音報(bào)警、發(fā)送SNMP Trap信息、手機(jī)短信報(bào)警等 提綱提綱 網(wǎng)絡(luò)安全現(xiàn)狀 防火墻概念 防火墻關(guān)鍵技術(shù) 防火墻功能一覽 防火墻性能指標(biāo)防火墻性能指標(biāo) 防火

19、墻發(fā)展及趨勢(shì)防火墻性能指標(biāo)（防火墻性能指標(biāo)（1） 吞吐量：吞吐量是指防火墻在不丟包的情況下能夠達(dá)到的最大包轉(zhuǎn)發(fā)速率。吞吐量越大，說(shuō)明防火墻數(shù)據(jù)處理能力越強(qiáng) 延遲：延遲是指防火墻轉(zhuǎn)發(fā)數(shù)據(jù)包的延遲時(shí)間，延遲越低，防火墻數(shù)據(jù)處理速度越快 丟包率：丟包率是指在正常穩(wěn)定網(wǎng)絡(luò)狀態(tài)下，應(yīng)該被轉(zhuǎn)發(fā)由于缺少資源而沒(méi)有被轉(zhuǎn)發(fā)的數(shù)據(jù)包占全部數(shù)據(jù)包 的百分比。較低的丟包率，意味著防火墻在強(qiáng)大的負(fù)載壓力下，能夠穩(wěn)定地工作，以適應(yīng)各種網(wǎng)絡(luò)的復(fù)雜應(yīng)用和較大數(shù)據(jù)流量對(duì)處理性能的高要求 背對(duì)背（Back to Back）：是用于衡量網(wǎng)絡(luò)設(shè)備緩沖數(shù)據(jù)包能力的一個(gè)指標(biāo)，指的是固定長(zhǎng)度的數(shù)據(jù)幀以合法的最小幀間隔在傳輸媒介上突發(fā)一段較

20、短的時(shí)間（以太網(wǎng)標(biāo)準(zhǔn)規(guī)定最小幀間隔為96bits），一般以幀數(shù)多少來(lái)表示，背對(duì)背幀數(shù)越大，緩沖能力就越強(qiáng)。網(wǎng)絡(luò)上經(jīng)常有一些 應(yīng)用會(huì)產(chǎn)生大量的突發(fā)數(shù)據(jù)包（例如：NFS，備份，路由更新等），而且這樣的數(shù)據(jù)包的丟失可能會(huì) 產(chǎn)生更多的數(shù)據(jù)包，防火墻強(qiáng)大的緩沖能力可以減小這種突發(fā)數(shù)據(jù)對(duì)網(wǎng)絡(luò)造成擁塞等不良影響防火墻性能指標(biāo)（防火墻性能指標(biāo)（2） 平均無(wú)故障時(shí)間：平均無(wú)故障時(shí)間（MTBF）是指防火墻連續(xù)無(wú)故障正常運(yùn)行的平均時(shí)間 并發(fā)連接數(shù)：并發(fā)連接數(shù)是防火墻能夠同時(shí)處理的點(diǎn)對(duì)點(diǎn)連接的最大數(shù)目，它反映出防火墻設(shè)備對(duì)多個(gè)連接的訪問(wèn)控制能力和連接狀態(tài)跟蹤能力，這個(gè)參數(shù)的大小直接影響到防火墻所能支持的最大信息點(diǎn)數(shù)

21、最大連接速率：是指在指定時(shí)間（比如1秒）內(nèi)防火墻能成功建立的最大連接數(shù)目 乍看并發(fā)連接數(shù)越大越好，其實(shí)不然：并發(fā)連接數(shù)的增大意味著對(duì)系統(tǒng)內(nèi)存資源的消耗 并發(fā)連接數(shù)的增大應(yīng)當(dāng)充分考慮CPU的處理能力 物理鏈路的實(shí)際承載能力將嚴(yán)重影響防火墻發(fā)揮出其對(duì)海量并發(fā)連接的處理能力 提綱提綱 網(wǎng)絡(luò)安全現(xiàn)狀 防火墻概念 防火墻關(guān)鍵技術(shù) 防火墻功能一覽 防火墻性能指標(biāo) 防火墻發(fā)展及趨勢(shì)防火墻發(fā)展及趨勢(shì)（一）防火墻發(fā)展歷程（一）防火墻發(fā)展歷程 目前防火墻技術(shù)主要經(jīng)歷了四個(gè)發(fā)展歷程： 簡(jiǎn)單包過(guò)濾技術(shù)階段 應(yīng)用代理網(wǎng)關(guān)技術(shù)階段 狀態(tài)檢測(cè)包過(guò)濾技術(shù)階段 復(fù)合型防火墻第一代簡(jiǎn)單包過(guò)濾防火墻第一代簡(jiǎn)單包過(guò)濾防火墻 優(yōu)點(diǎn)：

22、包過(guò)濾工作在網(wǎng)絡(luò)層和傳輸層，只對(duì)數(shù)據(jù)包的頭部信息進(jìn)行控制，過(guò)濾效率較高，性能較好 缺點(diǎn)： 早期的包過(guò)濾技術(shù)無(wú)法分辨IP具體來(lái)源，即無(wú)法區(qū)分該IP處于內(nèi)部網(wǎng)絡(luò)還是外部網(wǎng)絡(luò)，這樣便不能防止IP欺騙 只對(duì)數(shù)據(jù)包的頭部信息進(jìn)行過(guò)濾，不支持應(yīng)用層協(xié)議，訪問(wèn)控制粒度粗糙，靈活性低 不能處理新的安全威脅，它不能跟蹤TCP狀態(tài)，所以對(duì)TCP層的控制有漏洞。比如當(dāng)它配置了僅允許從內(nèi)到外的TCP訪問(wèn)時(shí)，一些以TCP應(yīng)答包的形式從外部對(duì)內(nèi)網(wǎng)進(jìn)行的攻擊仍可以穿透防火墻 第二代應(yīng)用代理防火墻第二代應(yīng)用代理防火墻 優(yōu)點(diǎn)： 跟應(yīng)用層緊密結(jié)合，可以檢查應(yīng)用層、傳輸層和網(wǎng)絡(luò)層的協(xié)議特征，對(duì)數(shù)據(jù)包的檢測(cè)能力比較強(qiáng)，具備應(yīng)用層內(nèi)容

23、級(jí)的高級(jí)訪問(wèn)控制能力，安全性較高 缺點(diǎn)： 并發(fā)連接數(shù)低，吞吐量小，性能非常差。對(duì)于內(nèi)網(wǎng)的每個(gè)訪問(wèn)請(qǐng)求，應(yīng)用代理都需要開(kāi)一個(gè)單獨(dú)的代理進(jìn)程；要保護(hù)內(nèi)網(wǎng)的Web服務(wù)器、數(shù)據(jù)庫(kù)服務(wù)器、文件服務(wù)器、郵件服務(wù)器，及業(yè)務(wù)程序等，就需要建立一個(gè)個(gè)的服務(wù)代理，以處理客戶端的訪問(wèn)請(qǐng)求。這樣，應(yīng)用代理的處理延遲會(huì)很大，內(nèi)網(wǎng)用戶的正常訪問(wèn)難以及時(shí)得到響應(yīng) 支持協(xié)議有限。針對(duì)每一種應(yīng)用都需要相應(yīng)的協(xié)議分析，應(yīng)用代理網(wǎng)關(guān)防火墻只能支持一些常見(jiàn)常用的協(xié)議，而針對(duì)眾多的其他協(xié)議、各行業(yè)的業(yè)務(wù)應(yīng)用難以支持，不用不夠廣泛第三代狀態(tài)檢測(cè)包過(guò)濾防火墻第三代狀態(tài)檢測(cè)包過(guò)濾防火墻 優(yōu)點(diǎn)： 狀態(tài)檢測(cè)防火墻在內(nèi)核部分建立狀態(tài)連接表，并利用

24、狀態(tài)表跟蹤每一個(gè)數(shù)據(jù)包的會(huì)話狀態(tài)，提供了完整的對(duì)傳輸層的控制能力，安全性較高 狀態(tài)監(jiān)測(cè)技術(shù)采用了一系列優(yōu)化技術(shù)，使防火墻性能大幅度提升 缺點(diǎn)： 與具體應(yīng)用結(jié)合程度較低，無(wú)法做到應(yīng)用層內(nèi)容級(jí)控制 對(duì)一些網(wǎng)絡(luò)攻擊、病毒難以防范，比如紅色代碼、nimda、沖擊波、振蕩波等。第四代復(fù)合型防火墻第四代復(fù)合型防火墻 優(yōu)點(diǎn)： 融合了狀態(tài)檢測(cè)、應(yīng)用代理技術(shù)，并結(jié)合了其他眾多輔助功能比如：用戶認(rèn)證、VPN、IPMAC綁定、策略路由等等，安全性高，功能強(qiáng)大，適應(yīng)范圍廣泛 缺點(diǎn)： 使用應(yīng)用代理功能時(shí)，性能不夠高；使用包過(guò)濾功能時(shí)，由于不檢查數(shù)據(jù)包內(nèi)容，難以防范一些網(wǎng)絡(luò)攻擊、病毒入侵（二）防火墻發(fā)展趨勢(shì)（二）防火墻發(fā)

25、展趨勢(shì) 隨著新的網(wǎng)絡(luò)攻擊的出現(xiàn)，對(duì)防火墻的挑戰(zhàn)也越來(lái)越嚴(yán)峻，必然要求防火墻新技術(shù)的出現(xiàn)來(lái)滿足不斷增長(zhǎng)的新需求。這主要可以從以下四個(gè)方面來(lái)體現(xiàn) ： 包過(guò)濾技術(shù) 硬件體系結(jié)構(gòu) 系統(tǒng)管理體制 產(chǎn)品聯(lián)動(dòng)體系（1）過(guò)濾技術(shù)發(fā)展趨勢(shì)）過(guò)濾技術(shù)發(fā)展趨勢(shì) 采用多級(jí)過(guò)濾技術(shù)： 在網(wǎng)絡(luò)層，分組過(guò)濾掉所有的源路由攻擊數(shù)據(jù)包和假冒IP源地址的數(shù)據(jù)包； 在傳輸層，遵循過(guò)濾規(guī)則，過(guò)濾掉所有禁止出或/和入的協(xié)議和非法數(shù)據(jù)包、蠕蟲病毒等； 在應(yīng)用層，對(duì)數(shù)據(jù)包進(jìn)行協(xié)議分析并還原，控制和監(jiān)測(cè)Internet提供的常見(jiàn)服務(wù)，比如HTTP、FTP、SMTP等，提供細(xì)粒度內(nèi)容級(jí)過(guò)濾。 深度包檢測(cè)技術(shù)深度包檢測(cè)技術(shù) 下一代過(guò)濾技術(shù)：深度

26、包檢測(cè)技術(shù)（Deep Packet Inspection） 深度包檢測(cè)技術(shù)，不僅檢查IP包頭，并且能對(duì)IP包進(jìn)行重組、拆包，檢查數(shù)據(jù)包的具體內(nèi)容，深入檢查信息包流，查出惡意行為，可以根據(jù)特征檢測(cè)和內(nèi)容過(guò)濾，來(lái)尋找已知的攻擊，阻止異常的訪問(wèn)，很好地提供了入侵檢測(cè)和攻擊防范的功能 深度包檢測(cè)技術(shù)成功地解決了普遍存在的拒絕服務(wù)攻擊（DDoS）的問(wèn)題、病毒傳播問(wèn)題和高級(jí)應(yīng)用入侵問(wèn)題，能識(shí)別并有效地阻斷惡意數(shù)據(jù)流量，有效地切斷惡意病毒或木馬的流量攻擊；能防范黑客攻擊，能識(shí)別黑客的惡意掃描，并有效地阻斷或欺騙惡意掃描者。深度包檢測(cè)技術(shù)代表著防火墻的主流發(fā)展方向（2）硬件體系結(jié)構(gòu)發(fā)展趨勢(shì)）硬件體系結(jié)構(gòu)發(fā)展趨

27、勢(shì) 隨著網(wǎng)絡(luò)應(yīng)用的增加、多媒體應(yīng)用的普及，對(duì)網(wǎng)絡(luò)帶寬提出了更高的要求，這意味著防火墻要能夠以非常高的速率處理數(shù)據(jù)，延遲足夠小，傳統(tǒng)的X86結(jié)構(gòu)防火墻已經(jīng)難以滿足如此高性能的要求。 防火墻的硬件體系結(jié)構(gòu)目前已經(jīng)處于一個(gè)更新?lián)Q代的門檻上，未來(lái)的發(fā)展趨勢(shì)基本上是網(wǎng)絡(luò)處理器（Network Processor，簡(jiǎn)稱NP處理器）與ASIC芯片兩種解決方案，各有優(yōu)劣。 硬件體系結(jié)構(gòu)另外一個(gè)需要考慮的問(wèn)題，為了避免運(yùn)輸?shù)冗^(guò)程中造成內(nèi)存等接插件的松動(dòng)、脫落，盡量少使用接插件，采取貼片等方式避免此類問(wèn)題X86結(jié)構(gòu)方案特點(diǎn)結(jié)構(gòu)方案特點(diǎn) 優(yōu)點(diǎn) X86架構(gòu)的高靈活性和擴(kuò)展性 在百兆防火墻上獲得了巨大成功 有較豐富的軟件資源可以利用 豐富的有經(jīng)驗(yàn)的開(kāi)發(fā)人員以及OpenSource代碼 功能擴(kuò)展和升級(jí)方便 缺點(diǎn) 通用硬件架構(gòu)和通用軟件體系結(jié)構(gòu)極大地限制了性能的提高 通用操作系統(tǒng)易受到攻擊ASIC方案特點(diǎn)方案特點(diǎn) ASIC優(yōu)點(diǎn) ASIC可以很容易達(dá)到較高的性能 大批量生產(chǎn)時(shí)成本很低 ASIC缺點(diǎn) 固化的邏輯不能靈活地適應(yīng)應(yīng)用的變化，要增加新的功能必須重新設(shè)計(jì)ASI