計(jì)算機(jī)網(wǎng)絡(luò)安全技術(shù)(第4版)第5章防火墻技術(shù)課件

1、計(jì)算機(jī)網(wǎng)絡(luò)安全技術(shù)（第4版）第5章防火墻技術(shù)能力CAPACITY要求了解防火墻的定義、功能、局限性和發(fā)展歷程。理解單機(jī)版防火墻和網(wǎng)絡(luò)版防火墻、以及軟件防火墻和硬件防火墻的區(qū)別。掌握現(xiàn)有防火墻的三種核心技術(shù)（三種不同技術(shù)類(lèi)型的防火墻）的基本原理和優(yōu)缺點(diǎn)。能夠熟練使用各種常用的防火墻（安裝、參數(shù)設(shè)置、規(guī)則配置等）。了解防火墻的各種性能指標(biāo)。防火墻的分類(lèi)防火墻概述防火墻的實(shí)現(xiàn)技術(shù)原理防火墻的應(yīng)用實(shí)驗(yàn)防火墻的性能、功能指標(biāo)一、防火墻概述防火墻的定義防火墻的功能和局限性防火墻的發(fā)展簡(jiǎn)史一、防火墻概述防火墻的定義防火墻是設(shè)置在被保護(hù)網(wǎng)絡(luò)和外部網(wǎng)絡(luò)之間的一道屏障，實(shí)現(xiàn)網(wǎng)絡(luò)的安全保護(hù)，以防止發(fā)生不可預(yù)測(cè)的、潛

2、在破壞性的侵入。它是不同網(wǎng)絡(luò)或網(wǎng)絡(luò)安全域之間信息的唯一出入口 。一、防火墻概述訪問(wèn)控制 *對(duì)網(wǎng)絡(luò)存取和訪問(wèn)進(jìn)行監(jiān)控審計(jì)支持VPN功能 支持網(wǎng)絡(luò)地址轉(zhuǎn)換防火墻的功能一、防火墻概述防火墻的發(fā)展歷史代理型復(fù)合型包過(guò)濾下一代防火墻狀態(tài)監(jiān)測(cè)19831991199419982009防火墻的分類(lèi)防火墻概述防火墻的實(shí)現(xiàn)技術(shù)原理防火墻的應(yīng)用實(shí)驗(yàn)防火墻的性能、功能指標(biāo)二、防火墻的分類(lèi)按性能分類(lèi)：百兆、千兆和萬(wàn)兆級(jí)防火墻。按形式上劃分：軟件防火墻和硬件防火墻；按保護(hù)對(duì)象分類(lèi)：?jiǎn)螜C(jī)防火墻和網(wǎng)絡(luò)防火墻；按技術(shù)上劃分：包過(guò)濾防火墻、應(yīng)用代理型防火墻、狀態(tài)檢測(cè)防火墻、復(fù)合型防火墻和下一代防火墻。按CPU架構(gòu)的分類(lèi)：通用CP

3、U、NP（Network Processor，網(wǎng)絡(luò)處理器）、ASIC（Application Specific Integrated Circuit，專用集成電路）、多核處理器的防火墻。防火墻的分類(lèi)二、防火墻的分類(lèi)防火墻的分類(lèi)軟件防火墻硬件防火墻按形態(tài)分類(lèi)按保護(hù)對(duì)象分類(lèi)保護(hù)整個(gè)網(wǎng)絡(luò)保護(hù)單臺(tái)主機(jī)網(wǎng)絡(luò)防火墻單機(jī)防火墻二、防火墻的分類(lèi)操作系統(tǒng)平臺(tái)安全性性能穩(wěn)定性網(wǎng)絡(luò)適應(yīng)性分發(fā)升級(jí)成本硬件防火墻基于精簡(jiǎn)專用OS高高較高強(qiáng)不易較容易Price=firewall+Server軟件防火墻基于龐大通用OS較高較高高較強(qiáng)非常容易容易Price=Firewall僅獲得Firewall軟件，需要準(zhǔn)備額外的OS平臺(tái)安

4、全性依賴低層的OS網(wǎng)絡(luò)適應(yīng)性弱（主要以路由模式工作）穩(wěn)定性高軟件分發(fā)、升級(jí)比較方便硬件+軟件，不用準(zhǔn)備額外的OS平臺(tái)安全性完全取決于專用的OS網(wǎng)絡(luò)適應(yīng)性強(qiáng)（支持多種接入模式）穩(wěn)定性較高升級(jí)、更新不太靈活硬件防火墻&軟件防火墻二、防火墻的分類(lèi)防火墻的體系結(jié)構(gòu)1.雙宿主主機(jī)體系結(jié)構(gòu)二、防火墻的分類(lèi)防火墻的體系結(jié)構(gòu)2被屏蔽主機(jī)體系結(jié)構(gòu)二、防火墻的分類(lèi)防火墻的體系結(jié)構(gòu)3被屏蔽子網(wǎng)體系結(jié)構(gòu)DMZ（Demilitarized Zone）區(qū)域概念二、防火墻的分類(lèi)DMZ區(qū)常規(guī)訪問(wèn)控制策略1、內(nèi)部網(wǎng)絡(luò)可以訪問(wèn)DMZ，方便用戶使用和管理DMZ中的服務(wù)器。2、外部網(wǎng)絡(luò)可以訪問(wèn)DMZ中的服務(wù)器，同時(shí)需要由防火墻完成對(duì)

5、外地址到服務(wù)器實(shí)際地址的轉(zhuǎn)換。3、DMZ不能訪問(wèn)內(nèi)部網(wǎng)絡(luò)。4、DMZ不能訪問(wèn)外部網(wǎng)絡(luò)。此條策略也有例外，比如DMZ中放置郵件服務(wù)器時(shí)，就需要訪問(wèn)外部網(wǎng)絡(luò)，否則將不能正常工作。二、防火墻的分類(lèi)通用CPU在百兆防火墻時(shí)代，防火墻廠商普遍采用的是通用CPU，比如：Intel x86，AMD的CPU特點(diǎn)：1. 開(kāi)發(fā)難度小、周期短；靈活、升級(jí)方便。 2. 數(shù)據(jù)處理能力低。二、防火墻的分類(lèi)網(wǎng)絡(luò)處理器（NP）NP是專門(mén)為處理數(shù)據(jù)包而設(shè)計(jì)的可編程處理器，它的特點(diǎn)是內(nèi)含了多個(gè)數(shù)據(jù)處理引擎。特點(diǎn)：1. 靈活、升級(jí)方便。數(shù)據(jù)處理能力較高。 2. 開(kāi)發(fā)難度較大；開(kāi)發(fā)周期長(zhǎng)。二、防火墻的分類(lèi)專用集成電路（ASIC）AS

6、IC防火墻通過(guò)專門(mén)設(shè)計(jì)的ASIC芯片進(jìn)行硬件加速處理。特點(diǎn)： 1、處理能力強(qiáng)，防火墻的性能高。 2、 開(kāi)發(fā)費(fèi)用高、周期長(zhǎng)，一般耗時(shí)接近2年。 3、靈活性和擴(kuò)展性差，幾乎不可能升級(jí)； 二、防火墻的分類(lèi)多核架構(gòu)防火墻多核處理器，是在同一個(gè)硅晶片上集成了多個(gè)獨(dú)立物理核心。多個(gè)核心協(xié)同處理工作，所以性能倍增。特點(diǎn)：1、 數(shù)據(jù)處理能力高。 2、靈活、升級(jí)方便。 目前的千兆、萬(wàn)兆防火墻基本都是多核架構(gòu)防火墻。防火墻的分類(lèi)防火墻概述防火墻的實(shí)現(xiàn)技術(shù)原理防火墻的應(yīng)用實(shí)驗(yàn)防火墻的性能、功能指標(biāo)三、防火墻的實(shí)現(xiàn)技術(shù)原理防火墻實(shí)現(xiàn)技術(shù)原理1簡(jiǎn)單包過(guò)濾防火墻2動(dòng)態(tài)包過(guò)濾(狀態(tài)檢測(cè)) 防火墻3應(yīng)用代理防火墻4包過(guò)濾與應(yīng)

7、用代理復(fù)合型防火墻三、防火墻的實(shí)現(xiàn)技術(shù)原理1簡(jiǎn)單包過(guò)濾防火墻（Packet filtering）數(shù)據(jù)包過(guò)濾技術(shù)的發(fā)展：靜態(tài)包過(guò)濾、動(dòng)態(tài)包過(guò)濾。 包過(guò)濾防火墻在網(wǎng)絡(luò)層實(shí)現(xiàn)數(shù)據(jù)的轉(zhuǎn)發(fā)，包過(guò)濾模塊一般檢查網(wǎng)絡(luò)層、傳輸層內(nèi)容，包括下面幾項(xiàng)： 源、目的IP地址； 源、目的端口號(hào)； 協(xié)議類(lèi)型； TCP報(bào)頭的標(biāo)志位。簡(jiǎn)單包過(guò)濾防火墻的工作原理1三、防火墻的實(shí)現(xiàn)技術(shù)原理包過(guò)濾防火墻的工作流程三、防火墻的實(shí)現(xiàn)技術(shù)原理應(yīng)用實(shí)例【問(wèn)題】 動(dòng)態(tài)包過(guò)濾防火墻如何解決了特殊構(gòu)造了標(biāo)志位的數(shù)據(jù)包？但是還是無(wú)法阻擋反彈端口的木馬。1.TCP開(kāi)始攻擊IP規(guī)則連接表TCP開(kāi)始攻擊IPTCP開(kāi)始攻擊IPTCP開(kāi)始攻擊IPSYNAC

8、KSYN2.允許允許TCP開(kāi)始攻擊IPn.三、防火墻的實(shí)現(xiàn)技術(shù)原理動(dòng)態(tài)包過(guò)濾防火墻的工作流程三、防火墻的實(shí)現(xiàn)技術(shù)原理狀態(tài)檢測(cè)防火墻-UDP防火墻保存通過(guò)網(wǎng)關(guān)的每一個(gè)連接的狀態(tài)信息，允許穿過(guò)防火墻的UDP請(qǐng)求包被記錄，當(dāng)UDP包在相反方向上通過(guò)時(shí)，依據(jù)連接狀態(tài)表確定該UDP包是否被授權(quán)的，若已被授權(quán)，則通過(guò)，否則拒絕。三、防火墻的實(shí)現(xiàn)技術(shù)原理3代理防火墻（Proxy Server） 代理防火墻的工作過(guò)程：三、防火墻的實(shí)現(xiàn)技術(shù)原理代理防火墻的工作原理三、防火墻的實(shí)現(xiàn)技術(shù)原理代理服務(wù)器的類(lèi)型HTTP代理：代理客戶機(jī)的http訪問(wèn)，主要代理瀏覽器訪問(wèn)網(wǎng)頁(yè)，它的端口一般為80、8080、3128等。FT

9、P代理：代理客戶機(jī)上的ftp軟件訪問(wèn)ftp服務(wù)器，其端口一般為21、2121。POP3代理：代理客戶機(jī)上的郵件軟件用pop3方式收郵件，其端口一般為110。 Telnet代理：能夠代理通信機(jī)的telnet，用于遠(yuǎn)程控制，入侵時(shí)經(jīng)常使用。其端口一般為23。 Socks代理：是全能代理，支持多種協(xié)議，包括http、ftp請(qǐng)求及其它類(lèi)型的請(qǐng)求，其標(biāo)準(zhǔn)端口為1080。 三、防火墻的實(shí)現(xiàn)技術(shù)原理應(yīng)用實(shí)例例1：不允許上。方法：1、 使用包過(guò)濾防火墻把服務(wù)器的所有IP過(guò)濾掉。2、 使用代理防火墻過(guò)濾域名，而不管IP地址怎么改變。clint7, 30, 31, 3233, 34, 35, 40, 0, 1,

10、2, 3, 61.172.2015, 6服務(wù)器三、防火墻的實(shí)現(xiàn)技術(shù)原理Client用SOCKS5client服務(wù)器61.172.201.*SOCKS5代理服務(wù)器170.1.1.*【問(wèn)題】圖中的防火墻如果改為代理防火墻，是否可以過(guò)濾Client傳過(guò)來(lái)的數(shù)據(jù)包？三、防火墻的實(shí)現(xiàn)技術(shù)原理Client用“特殊”的HTTP代理【說(shuō)明】client端發(fā)出HTTP請(qǐng)求時(shí)，不包含的信息，代理防火墻就檢測(cè)不到字段 ，實(shí)現(xiàn)不了過(guò)濾。HTTP代理需要“特殊” 定制，代理服務(wù)器知道這類(lèi)client端發(fā)出的請(qǐng)求是要訪問(wèn)，它會(huì)幫助client端下載的內(nèi)容。三、防火墻的實(shí)現(xiàn)技術(shù)原理自適應(yīng)代理防火墻檢測(cè)應(yīng)用層的頭部信息，然后

11、在網(wǎng)絡(luò)層轉(zhuǎn)發(fā)。三、防火墻的實(shí)現(xiàn)技術(shù)原理應(yīng)用特征庫(kù)已經(jīng)收錄了超過(guò)3000種互聯(lián)網(wǎng)應(yīng)用，還包括700余種移動(dòng)互聯(lián)網(wǎng)應(yīng)用下一代防火墻Next Generation Firewall防火墻的分類(lèi)防火墻概述防火墻的實(shí)現(xiàn)技術(shù)原理防火墻的應(yīng)用實(shí)驗(yàn)防火墻的性能、功能指標(biāo)四、防火墻的應(yīng)用實(shí)驗(yàn)防火墻的應(yīng)用實(shí)驗(yàn)（一）瑞星個(gè)人防火墻瑞星V16主界面瑞星的網(wǎng)絡(luò)安全四、防火墻的應(yīng)用實(shí)驗(yàn)防火墻規(guī)則防火墻規(guī)則四、防火墻的應(yīng)用實(shí)驗(yàn)防火墻的應(yīng)用實(shí)驗(yàn)（二）代理類(lèi)型CCProxy1.設(shè)置IE的HTTP代理參數(shù)，觀察經(jīng)過(guò)代理后，數(shù)據(jù)包頭的變化。2.設(shè)置IE的socks代理參數(shù)，觀察經(jīng)過(guò)代理后，數(shù)據(jù)包頭的變化。3. CCProxy常用功

12、能的設(shè)置： 用戶 IP+MAC 內(nèi)容 流量四、防火墻的應(yīng)用實(shí)驗(yàn)CCProxy的應(yīng)用四、防火墻的應(yīng)用實(shí)驗(yàn)CCProxy的應(yīng)用四、防火墻的應(yīng)用實(shí)驗(yàn)下一代防火墻著名市場(chǎng)分析咨詢機(jī)構(gòu)Gartner曾于2009年發(fā)表文章定義下一代防火墻，文章指出下一代防火墻在具有傳統(tǒng)防火墻功能與特點(diǎn)的同時(shí)，還要具有“支持聯(lián)動(dòng)的集成化IPS”、“應(yīng)用管控與可視化”以及“智能化聯(lián)動(dòng)”相關(guān)特性。具有“基于用戶防護(hù)”、“面向應(yīng)用安全”、“高效轉(zhuǎn)發(fā)平臺(tái)”、“多層級(jí)冗余架構(gòu)”、“全方位可視化”及“安全技術(shù)融合”六大產(chǎn)品特性。四、防火墻的應(yīng)用實(shí)驗(yàn)補(bǔ)充：防火墻其它功能安全審計(jì)負(fù)載均衡雙機(jī)熱備防御功能端口映射DHCP環(huán)境支持MAC綁定功

13、能帶寬管理聯(lián)動(dòng)功能內(nèi)容過(guò)濾VPN功能雙地址路由多協(xié)議支持四、防火墻的應(yīng)用實(shí)驗(yàn)思科ASA5520-K8參數(shù) 防火墻的分類(lèi)防火墻概述防火墻的實(shí)現(xiàn)技術(shù)原理防火墻的應(yīng)用實(shí)驗(yàn)防火墻的性能、功能指標(biāo)五、防火墻的性能、功能指標(biāo) 防火墻性能指標(biāo)吞吐量丟包率最大并發(fā)連接數(shù)延時(shí)最大并發(fā)連接建立速率五、防火墻的性能、功能指標(biāo)定義：在不丟包的情況下能夠達(dá)到的最大速率衡量標(biāo)準(zhǔn)：吞吐量作為衡量防 火墻性能的重要指標(biāo)之一,吞吐量小就會(huì)造成網(wǎng)絡(luò)新的瓶頸，以至影響到整個(gè)網(wǎng)絡(luò)的性能 吞吐量五、防火墻的性能、功能指標(biāo)定義：指穿越防火墻的主機(jī)之間或主機(jī)與防火墻之間能同時(shí)建立的最大連接數(shù) 衡量標(biāo)準(zhǔn)：并發(fā)連接數(shù)的測(cè)試主要用來(lái)測(cè)試被測(cè)防火

14、墻建立和維持TCP連接的性能，同時(shí)也能通過(guò)并發(fā)連 接數(shù)的大小體現(xiàn)被測(cè)防火墻對(duì)來(lái)自于客戶端的TCP連接請(qǐng)求的響應(yīng)能力。 并發(fā)連接數(shù)并發(fā)連接數(shù)指標(biāo)可以用來(lái)衡量穿越防火墻的主機(jī)之間能同時(shí)建立的最大連接數(shù)五、防火墻的性能、功能指標(biāo)定義：在連續(xù)負(fù)載的情況下，防火墻設(shè)備由于資源不足應(yīng)轉(zhuǎn)發(fā)但卻未轉(zhuǎn)發(fā)的幀百分比 衡量標(biāo)準(zhǔn)：防火墻的丟包率對(duì)其穩(wěn)定性、可靠性有很大的影響 防火墻由于資源不足只轉(zhuǎn)發(fā)了800個(gè)包丟包率=（1000-800）/1000=20%丟包率五、防火墻的性能、功能指標(biāo)定義：入口處輸入幀最后1個(gè)比特到達(dá)至出口處輸出幀的第一個(gè)比特輸出所用的時(shí)間間隔衡量標(biāo)準(zhǔn)：防火墻的時(shí)延能夠體現(xiàn)它處理數(shù)據(jù)的速度 延時(shí)五、防火墻的