防火墻原理與實踐

防火墻技術(shù)原理與維護操作

防火墻基本概念

防火墻分類防火墻發(fā)展趨勢防火墻核心技術(shù)防火墻設計結(jié)構(gòu)防火墻功能防火墻性能防火墻部署防火墻可靠性防火墻典型應用Internet一種高級訪問控制設備，置于不同網(wǎng)絡安全域之間的一系列部件的組合，它是不同網(wǎng)絡安全域間通信流的唯一通道，能根據(jù)企業(yè)有關(guān)的安全政策控制（允許、拒絕、監(jiān)視、記錄）進出網(wǎng)絡的訪問行為。兩個安全域之間通信流的唯一通道UDPBlockHostCHostBTCPPassHostCHostADestinationProtocolPermitSource根據(jù)訪問控制規(guī)則決定進出網(wǎng)絡的行為防火墻定義內(nèi)部網(wǎng)防火墻外觀桌面型防火墻普通百兆防火墻防火墻+VPN高端百兆防火墻高端千兆防火墻天融信防火墻產(chǎn)品系列線通過在安全邊界部署防火墻，可以實比VLAN、路由器更為強大、有效的訪問控制功能；大大提高抗攻擊的能力，實現(xiàn)邊界防護。高端電信級千兆防火墻防火墻執(zhí)行標準GB/T18019-1999信息技術(shù)包過濾防火墻安全技術(shù)要求GB/T18020-1999信息技術(shù)應用級防火墻安全技術(shù)要求GB/T18336-2001信息技術(shù)安全性評估準則GB/T17900-1999網(wǎng)絡代理服務器的安全技術(shù)要求GB/T18018-1999路由器安全技術(shù)要求這些標準從安全環(huán)境、安全目標、安全要求、基本原理等方面對防火墻的各種指標進行了規(guī)定。Firewall防火墻基本概念

防火墻分類防火墻發(fā)展趨勢防火墻核心技術(shù)防火墻設計結(jié)構(gòu)防火墻功能防火墻性能防火墻部署防火墻可靠性防火墻典型應用軟件防火墻硬件防火墻按形態(tài)分類按保護對象分類Internet各種類型的防火墻保護整個網(wǎng)絡保護單臺主機網(wǎng)絡防火墻單機防火墻InternetInternet單機防火墻網(wǎng)絡防火墻保護單臺主機安全策略分散安全功能簡單普通用戶維護安全隱患較大策略設置靈活保護整個網(wǎng)絡安全策略集中安全功能復雜多樣專業(yè)管理員維護安全隱患小策略設置復雜單機防火墻網(wǎng)絡防火墻產(chǎn)品形態(tài)軟件硬件或者軟件安裝點單臺獨立的Host網(wǎng)絡邊界處安全策略分散在各個安全點對整個網(wǎng)絡有效保護范圍單臺主機一個網(wǎng)段管理方式分散管理集中管理功能功能單一功能復雜、多樣管理人員普通計算機用戶專業(yè)網(wǎng)管人員安全措施單點安全措施全局安全措施結(jié)論單機防火墻是網(wǎng)絡防火墻的有益補充，但不能代替網(wǎng)絡防火墻為內(nèi)部網(wǎng)絡提供強大的保護功能單機防火墻&網(wǎng)絡防火墻Internet硬件防火墻&軟件防火墻Internet硬件防火墻軟件防火墻操作系統(tǒng)平臺安全性性能穩(wěn)定性網(wǎng)絡適應性分發(fā)升級成本硬件防火墻基于精簡專用OS高高較高強不易較容易Price=firewall+Server軟件防火墻基于龐大通用OS較高較高高較強非常容易容易Price=Firewall僅獲得Firewall軟件，需要準備額外的OS平臺安全性依賴低層的OS網(wǎng)絡適應性弱（主要以路由模式工作）穩(wěn)定性高軟件分發(fā)、升級比較方便硬件+軟件，不用準備額外的OS平臺安全性完全取決于專用的OS網(wǎng)絡適應性強（支持多種接入模式）穩(wěn)定性較高升級、更新不太靈活Firewall防火墻基本概念

防火墻分類

防火墻發(fā)展趨勢防火墻核心技術(shù)防火墻設計結(jié)構(gòu)防火墻功能防火墻性能防火墻部署防火墻可靠性防火墻典型應用防火墻的發(fā)展歷史純軟件防火墻軟硬結(jié)合防火墻ASIC硬件防火墻基于PC機，運行在通用操作系統(tǒng)（UNIX、WINDOWS等）之上通用操作系統(tǒng)不是為網(wǎng)絡安全定制的，不可避免的存在許多漏洞和BUG防火墻沒有專用的資源，與其他任務進程一起共享CPU、RAM、PCI總線等資源性能一般、安全性也一般不再使用通用的操作系統(tǒng)采用專用或者自主研發(fā)（優(yōu)化）的操作系統(tǒng)，由于這些系統(tǒng)是為網(wǎng)絡安全定制的，因而從根本上解決了軟件防火墻存在的安全隱患該類防火墻仍然屬于X86結(jié)構(gòu)，但在性能和安全性上比軟件防火墻有了很大的提高優(yōu)良的性價比，在市場上占據(jù)了主導地位采用ASIC芯片和多總線、并行處理方式；使原先需要上萬條指令才能完成的工作在瞬間由數(shù)個循環(huán)就能完成多總線結(jié)構(gòu)保證在端口上有數(shù)據(jù)傳輸時，防火墻內(nèi)部仍能進行高效數(shù)據(jù)處理，不再受“中斷”的限制采用專用操作系統(tǒng)，具有很高的安全性徹底擺脫X86架構(gòu)的影響性能和安全性有很大的突破，尤其是性能指標防火墻技術(shù)的發(fā)展歷程

天融信防火墻的發(fā)展歷程

天融信防火墻硬件平臺的發(fā)展Firewall防火墻基本概念

防火墻分類防火墻發(fā)展趨勢

防火墻核心技術(shù)防火墻設計結(jié)構(gòu)防火墻功能防火墻性能防火墻部署防火墻管理防火墻可靠性防火墻典型應用防火墻技術(shù)簡單包過濾防火墻狀態(tài)檢測包過濾防火墻應用代理防火墻包過濾與應用代理復合型防火墻5.核檢測防火墻應用層表示層會話層傳輸層網(wǎng)絡層鏈路層物理層應用層表示層會話層傳輸層網(wǎng)絡層鏈路層物理層網(wǎng)絡層鏈路層物理層優(yōu)點：速度快，性能高對應用程序透明缺點：安全性低不能根據(jù)狀態(tài)信息進行控制不能處理網(wǎng)絡層以上的信息伸縮性差維護不直觀簡單包過濾技術(shù)介紹應用層TCP層IP層網(wǎng)絡接口層TCP101010101IP101010101TCPTCP101010101IPETH101010101TCP101010101IP應用層TCP層IP層網(wǎng)絡接口層TCP101010101IP101010101TCPTCP101010101IPETH101010101只檢查報頭101001001001010010000011100111101111011001001001010010000011100111101111011簡單包過濾防火墻的工作原理簡單包過濾防火墻不檢查數(shù)據(jù)區(qū)簡單包過濾防火墻不建立連接狀態(tài)表前后報文無關(guān)應用層控制很弱應用層表示層會話層傳輸層網(wǎng)絡層鏈路層物理層應用層表示層會話層傳輸層網(wǎng)絡層鏈路層物理層狀態(tài)檢測技術(shù)介紹應用層表示層會話層傳輸層網(wǎng)絡層鏈路層物理層安全性高能夠檢測所有進入防火墻網(wǎng)關(guān)的數(shù)據(jù)包根據(jù)通信和應用程序狀態(tài)確定是否允許包的通行性能高在數(shù)據(jù)包進入防火墻時就進行識別和判斷伸縮性好可以識別不同的數(shù)據(jù)包支持多種應用，包括Internet應用、數(shù)據(jù)庫應用、多媒體應用等用戶可方便添加新應用抽取各層的狀態(tài)信息建立動態(tài)狀態(tài)表應用層TCP層IP層網(wǎng)絡接口層TCP101010101IP101010101TCPTCP101010101IPETH101010101TCP101010101IP應用層TCP層IP層網(wǎng)絡接口層TCP101010101IP101010101TCPTCP101010101IPETH101010101只檢查報頭101001001001010010000011100111101111011001001001010010000011100111101111011狀態(tài)檢測包過濾防火墻的工作原理不檢查數(shù)據(jù)區(qū)建立連接狀態(tài)表前后報文相關(guān)應用層控制很弱建立連接狀態(tài)表應用層表示層會話層傳輸層網(wǎng)絡層鏈路層物理層應用層表示層會話層傳輸層網(wǎng)絡層鏈路層物理層應用代理技術(shù)介紹應用層表示層會話層傳輸層網(wǎng)絡層鏈路層物理層優(yōu)點：安全性高提供應用層的安全缺點：性能差伸縮性差只支持有限的應用不透明FTPHTTPSMTP應用層TCP層IP層網(wǎng)絡接口層TCP101010101IP101010101TCPTCP101010101IPETH101010101TCP101010101IP應用層TCP層IP層網(wǎng)絡接口層TCP101010101IP101010101TCPTCP101010101IPETH101010101只檢查數(shù)據(jù)101001001001010010000011100111101111011001001001010010000011100111101111011應用代理防火墻的工作原理不檢查IP報頭不建立連接狀態(tài)表網(wǎng)絡層保護比較弱應用層TCP層IP層網(wǎng)絡接口層TCP101010101IP101010101TCPTCP101010101IPETH101010101TCP101010101IP應用層TCP層IP層網(wǎng)絡接口層TCP101010101IP101010101TCPTCP101010101IPETH101010101檢查整個報文內(nèi)容101001001001010010000011100111101111011001001001010010000011100111101111011復合型防火墻的工作原理可以檢查整個數(shù)據(jù)包內(nèi)容根據(jù)需要建立連接狀態(tài)表網(wǎng)絡層保護強應用層控制細會話控制較弱建立連接狀態(tài)表應用層TCP層IP層網(wǎng)絡接口層TCP開始攻擊IP開始攻擊TCPTCP開始攻擊IPETH開始攻擊主服務器硬盤數(shù)據(jù)TCP開始攻擊IP應用層TCP層IP層網(wǎng)絡接口層TCP開始攻擊IP開始攻擊TCPTCP開始攻擊IPETH開始攻擊主服務器硬盤數(shù)據(jù)檢查多個報文組成的會話101001001001010010000011100111101111011001001001010010000011100111101111011核檢測防火墻的工作原理建立連接狀態(tài)表TCP主服務器IPTCP硬盤數(shù)據(jù)IP開始攻擊重寫會話主服務器硬盤數(shù)據(jù)報文1報文2報文3網(wǎng)絡層保護強應用層保護強會話保護很強上下文相關(guān)前后報文有聯(lián)系防火墻核心技術(shù)比較綜合安全性網(wǎng)絡層保護應用層保護應用層透明整體性能處理對象簡單包過濾防火墻狀態(tài)檢測包過濾防火墻應用代理防火墻復合型防火墻核檢測防火墻單個包報頭單個包報頭單個包數(shù)據(jù)單個包全部一次會話1001001001TCPIP1001001001TCPIPFirewall防火墻基本概念

防火墻分類防火墻發(fā)展趨勢防火墻核心技術(shù)防火墻設計結(jié)構(gòu)防火墻功能防火墻性能防火墻部署防火墻管理防火墻可靠性防火墻典型應用百兆防火墻外觀構(gòu)造防火墻模塊封裝板根據(jù)需要可以通過擴充模塊，增加端口的數(shù)量根據(jù)需要可以選擇處理能力更好的機箱與引擎防火墻機箱與引擎防火墻接口模塊千兆電信級防火墻外觀構(gòu)造GBIC卡插槽10/100/1000M以太口AUX接口熱拔插冗余電源大功率散熱風扇防火墻引擎防火墻內(nèi)部軟件內(nèi)核技術(shù)——經(jīng)過專門加固、精簡、安全化的操作系統(tǒng)模塊化結(jié)構(gòu)設計、可擴展性好、方便用戶定制與升級系統(tǒng)大小——約5M代碼，可以駐留在穩(wěn)定的Flash盤上配置文件存取在NVRAM里，可以保證配置文件的安全性防火墻內(nèi)部硬件主板：專用系統(tǒng)板Talent-NS嵌入式模塊設計處理器：高速處理器內(nèi)存：大容量內(nèi)存存儲設備：電子盤、NVRAM網(wǎng)絡接口：10/100/1000M自適應以太網(wǎng)接口、FDDI-------------------------------------------------------------------------支持雙電源支持雙機熱備、負載均衡對于千兆防火墻采用服務器級的硬件，使用多個處理器硬件：ASIC,NPU,MIPS,X86，ARM…TopsecOS架構(gòu)IPSSSLVPN監(jiān)控報警管理QOSHA接入OS層基礎(chǔ)層安全引擎層AntispamIPSEC服務層健壯中心文件系統(tǒng)交換FW硬件抽象層OS核認證路由日志配置GTAAV硬件TOS應用防火墻內(nèi)部系統(tǒng)設計路由模塊透明模塊規(guī)則檢查還原模塊FTP還原HTTP還原SMTP還原POP3還原……日志守護進程病毒守護進程應用層日志病毒應用層過濾KernelApplication

……001010101010101111001010100111101010101011連接表在操作系統(tǒng)內(nèi)核完成應用協(xié)議的還原，極大的提高了系統(tǒng)的整體性能基于內(nèi)核的會話檢測技術(shù)Clint6970010101001010000111110000010010101001010010010110010010協(xié)議還原模塊協(xié)議還原模塊輸入隊列輸入隊列底層驅(qū)動010101001010000111110000010010101001010010010110010010符合安全策略？符合安全策略？防火墻邏輯圖010100101001010010010100101001010010010100101001010010010100101001010010010100010101發(fā)起請求響應請求虛擬客戶端虛擬服務器端在操作系統(tǒng)內(nèi)核模擬出典型的應用層協(xié)議，在內(nèi)核實現(xiàn)對應用層協(xié)議的過濾，從而得到極高的性能101001010111000010101000011101001010111000010101000011110100000001100000001111100100100010010000100111110001101001001001001001010010進行規(guī)則匹配、應用層過濾頻繁在系統(tǒng)核心和應用層之間切換消耗掉大量的系統(tǒng)資源生成大量的進程影響防火墻的性能應用層系統(tǒng)核心101001010111000010101000011101001010111000010101000011100100010010000100111110001101001001001001001010010直接在系統(tǒng)核心進行應用層過濾不需要頻繁在系統(tǒng)核心和應用層之間切換在大量并發(fā)情況下不會生成大量進程，有效的保護系統(tǒng)資源大大提高會話檢測的效率應用層系統(tǒng)核心基于內(nèi)核的會話檢測技術(shù)防火墻基本概念

防火墻分類防火墻發(fā)展趨勢防火墻核心技術(shù)防火墻設計結(jié)構(gòu)防火墻功能防火墻性能防火墻部署防火墻可靠性防火墻典型應用HostCHostD基本的訪問控制技術(shù)AccesslistpasstoAccessnattoanyAccessblocktoAccessdefaultpass1010010101規(guī)則匹配成功基于源IP地址基于目的IP地址基于MAC地址基于源端口基于目的端口基于時間基于用戶名基于文件基于網(wǎng)址基于關(guān)鍵字基于郵件地址WWW1WWW2WWW3服務器負載均衡負載均衡算法：基于輪詢基于加權(quán)輪詢最少鏈接加權(quán)最少鏈接對真實主機的自動探測根據(jù)負載均衡算法將數(shù)據(jù)重定位到一臺WWW服務器服務器陣列響應請求

日志審計不做日志做通信日志：即傳統(tǒng)日志通信源地址、目的地址、源目端口、通信時間、通信協(xié)議、字節(jié)數(shù)、是否允許通過做應用層命令日志：在通信日志的基礎(chǔ)之上，記錄下各個應用層命令及其參數(shù)。例如HTTP請求及其要取的網(wǎng)頁名。做訪問日志：即在通信日志的基礎(chǔ)之上，記錄下用戶對網(wǎng)絡資源的訪問。它和應用層命令日志的區(qū)別是：應用層命令日志可以記錄下大量的數(shù)據(jù)，有些用戶可能不需要，如協(xié)商通信參數(shù)過程等。例如針對FTP協(xié)議，訪問日志只記錄下讀、寫文件的動作

提供日志分析工具自動產(chǎn)生各種報表，智能化的指出網(wǎng)絡可能的安全漏洞Clint響應請求發(fā)送請求通信日志通信日志通信信息6970

做通信日志Clint響應請求發(fā)送請求命令日志命令日志6970

做應用層命令日志命令信息Clint響應請求發(fā)送請求訪問日志訪問日志6970

做訪問日志訪問信息與URL服務器的安全聯(lián)動內(nèi)部網(wǎng)絡InternetURL服務器可以訪問嗎？Ok!通過T-SCP安全產(chǎn)品協(xié)作平臺實現(xiàn)防火墻與URL服務器的互動，從而控制對外部WEB站點的訪問與病毒服務器安全聯(lián)動Internet110010101病毒服務器100010101000010101待發(fā)數(shù)據(jù)110010101100010101000010101110010101100010101000010101passpass無病毒轉(zhuǎn)發(fā)最后一個報文，如帶有病毒則丟棄最后一個報文協(xié)議還原檢查病毒沒有發(fā)現(xiàn)病毒可以放過最后一個報文接收數(shù)據(jù)接收數(shù)據(jù)HostCHostDHostBHostA受保護網(wǎng)絡netIDS黑客發(fā)起攻擊發(fā)送通知報文驗證報文并采取措施發(fā)送響應報文識別出攻擊行為阻斷連接或者報警等與IDS的安全聯(lián)動

支持第三方認證服務器InternetRADIUS服務器OTP認證服務器Zhanglongyong12354876防火墻將認證信息傳給真正的RADIUS服務器進行認證將認證結(jié)果傳給防火墻支持內(nèi)置VRC/OTP認證服務器支持第三方RADIUS認證服務器支持TACACS及TACAVS+認證服務器支持S/KEY、SECUID、VIECA、LDAP等認證根據(jù)認證結(jié)果決定用戶對資源的訪問權(quán)限策略路由功能中國教育網(wǎng)InternetHostA：HostB：HostC：內(nèi)網(wǎng)根據(jù)源、目地址來進行路由主機B直接連接Internet主機A通過教育網(wǎng)上InternetInternetHostA

HostBHostCHostD00-50-04-BB-71-A600-50-04-BB-71-BCBINDTo00-50-04-BB-71-A6BINDTo00-50-04-BB-71-BCIP與MAC地址綁定后，不允許HostB假冒HostA的IP地址上網(wǎng)防火墻允許HostA上網(wǎng)跨路由器功能IP與MAC（用戶）的綁定對MAC地址得控制netDHCP服務器HostAHostBHostCHostDHostEHostF沒有固定IP地址只允許HostB上網(wǎng)設定HostB的MAC地址設定HostB的IP地址為空根據(jù)HostB的MAC地址進行訪問控制對DHCP應用環(huán)境的支持netInternet4HostA受保護網(wǎng)絡HostCHostD15防火墻Eth2：3Eth0：數(shù)據(jù)IP報頭數(shù)據(jù)IP報頭源地址：1目地址：4源地址：目地址：4隱藏了內(nèi)部網(wǎng)絡的結(jié)構(gòu)

內(nèi)部網(wǎng)絡可以使用私有IP地址公開地址不足的網(wǎng)絡可以使用這種方式提供IP復用功能NAT改變的是源地址，天融信公司的防火墻支持靜態(tài)和動態(tài)兩種轉(zhuǎn)換模式，支持一對一、多對一、多對多以及雙向NAT功能功能NAT(地址轉(zhuǎn)換)Internet公開服務器可以使用私有地址

隱藏內(nèi)部網(wǎng)絡的結(jié)構(gòu)MAP改變的是目的地址，天融信公司防火墻支持I地址映射以及端口映射WWWFTPMAILDNSMAP：80TO：80MAP：21TO：21MAP：53TO：53MAP：25TO：25功能MAP(端口/IP映射)Trunk口Trunk口VLAN1VLAN2支持VLAN的交換機Trunk口Trunk口VLAN1VLAN2Switch1Switch2同一交換機的不同VLAN之間通訊不同交換機的同一VLAN之間通訊不支持TRUNK的防火墻無法在這種環(huán)境下工作不支持TRUNK的防火墻無法在這種環(huán)境下工作防火墻對TRUNK協(xié)議的支持防火墻對TRUNK協(xié)議的支持防火墻不但支持TRUNK數(shù)據(jù)包穿過防火墻，并且防火墻的接口也可以封裝TRUNK數(shù)據(jù)包，即支持VLAN間路由(3層交換機功能)。Vlan20Vlan30Vlan10TRUNK鏈路客戶機建立連接并維持連接狀態(tài)直到查詢結(jié)束對長連接應用的支持FR數(shù)據(jù)庫查詢一般需要比較長的時間，這些通訊連接建立成功后可能暫時沒有數(shù)據(jù)通過（空連接），需要在防火墻里面維護這個連接狀態(tài)，直到查詢結(jié)束，普通防火墻在連接建立一段時間后如果沒有數(shù)據(jù)通訊會自動切斷連接，導致業(yè)務不能正常運行需要較長的查詢時間抗DOS/DDOS攻擊-----SYN代理防火墻的SYN代理實現(xiàn)原理:在服務器和外部網(wǎng)絡之間部署防火墻系統(tǒng);防火墻在收到客戶端的Syn包后，防火墻代替服務器向客戶端發(fā)送Syn/Ack包;如果防火墻收到客戶端的Ack信息，表明訪問正常,由防火墻向服務器發(fā)送Syn包并完成后續(xù)的TCP握手,建立客戶端到服務器的連接。通過這種Syn代理技術(shù)，保證每個Syn包源的真實有效性，確保虛假請求不被發(fā)往服務器，從而徹底防范對服務器的Syn-Flood攻擊。240萬并發(fā)連接數(shù)SYNSYN/ACKACKSYNSYN/ACKACKSYNSYN/ACKACKClientServerHostCHostDHostBHostA受保護網(wǎng)絡netInternet

SNMP報文獲取硬件配置信息資源使用狀況信息防火墻的流量信息防火墻的連接信息防火墻的版本信息防火墻的用戶信息防火墻的規(guī)則信息防火墻的路由信息……SNMP服務器端SNMP客戶端SNMP管理人性化的管理－防火墻的接口狀態(tài)查看人性化的管理－防火墻的性能查看人性化的管理－防火墻實時流量查看通過對連接信息的查看，用戶可以了解當前通過、未通過、已建立或已斷開連接的源地址、目的地址、發(fā)送流量、接收流量等信息，及時了解網(wǎng)絡應用情況，另外利用此功能還可以及時的排除故障。防火墻雙機熱備內(nèi)部網(wǎng)外網(wǎng)或者不信任域Eth0Eth0Eth1Eth1Eth2Eth2心跳線ActiveFirewallStandbyFirewall檢測ActiveFirewall的狀態(tài)發(fā)現(xiàn)出故障，立即接管其工作

正常情況下由主防火墻工作主防火墻出故障以后，接管它的工作HuborSwitchHuborSwitch通過STP協(xié)議可以交換兩臺防火墻的狀態(tài)信息當一臺防火墻故障時，這臺防火墻的連接不需要重新建立就可以透明的遷移到另一臺防火墻上，用戶不會察覺到客戶機建立連接并維持連接狀態(tài)直到查詢結(jié)束對長連接應用的支持FR數(shù)據(jù)庫查詢一般需要比較長的時間，這些通訊連接建立成功后可能暫時沒有數(shù)據(jù)通過（空連接），需要在防火墻里面維護這個連接狀態(tài)，直到查詢結(jié)束，普通防火墻在連接建立一段時間后如果沒有數(shù)據(jù)通訊會自動切斷連接，導致業(yè)務不能正常運行。需要較長的查詢時間Trunk口Trunk口VLAN1VLAN2支持VLAN的交換機Trunk口Trunk口VLAN1VLAN2Switch1Switch2同一交換機的不同VLAN之間通訊不同交換機的同一VLAN之間通訊不支持TRUNK的防火墻無法在這種環(huán)境下工作不支持TRUNK的防火墻無法在這種環(huán)境下工作防火墻對TRUNK協(xié)議的支持防火墻不禁支持TRUNK數(shù)據(jù)包穿過防火墻，并且防火墻的接口也可以封裝TRUNK數(shù)據(jù)包。防火墻對TRUNK協(xié)議的支持防火墻不禁支持TRUNK數(shù)據(jù)包穿過防火墻，并且防火墻的接口也可以封裝TRUNK數(shù)據(jù)包，即支持VLAN間路由。Vlan20Vlan30Vlan10TRUNK鏈路高可用性的支持二層環(huán)境？三層環(huán)境？抗DOS/DDOS攻擊-----SYN代理防火墻的SYN代理實現(xiàn)原理:在服務器和外部網(wǎng)絡之間部署防火墻系統(tǒng);防火墻在收到客戶端的Syn包后，防火墻代替服務器向客戶端發(fā)送Syn/Ack包;如果防火墻收到客戶端的Ack信息，表明訪問正常,由防火墻向服務器發(fā)送Syn包并完成后續(xù)的TCP握手,建立客戶端到服務器的連接。通過這種Syn代理技術(shù)，保證每個Syn包源的真實有效性，確保虛假請求不被發(fā)往服務器，從而徹底防范對服務器的Syn-Flood攻擊。160萬并發(fā)連接數(shù)SYNSYN/ACKACKSYNSYN/ACKACKSYNSYN/ACKACKClientServer支持眾多網(wǎng)絡通信協(xié)議和應用協(xié)議：如DHCP、VLAN、PPPOE、ISL、802.1Q、Spanningtree、IPSEC、H.323、RTSP、MMS、IGMP、GRE、ORACLE-SQLNET等,保證用戶的網(wǎng)絡應用，方便用戶擴展IP寬帶接入及IP電話、視頻會議、VOD點播等多媒體應用。支持核心網(wǎng)絡中生成樹（STP）的計算：通過生成樹計算，防火墻能夠同核心交換機一起進行生成樹計算，實現(xiàn)了核心網(wǎng)絡的全連接拓撲結(jié)構(gòu)，能夠進行鏈路的自動切換，保證了整個網(wǎng)絡的穩(wěn)定。支持交換機主干鏈路：防火墻的物理接口實現(xiàn)了D0t1q封裝格式，能夠同交換機的Trunk接口對接，實現(xiàn)了VLAN間路由的功能，保證了防火墻對于各種網(wǎng)絡環(huán)境的易接入性。支持動態(tài)路由協(xié)議，不但可以讓動態(tài)路由協(xié)議穿過防火墻設備，并且防火墻的接口也可以參與動態(tài)路由協(xié)議的運算，目前支持OSFP/RIP2。支持多種網(wǎng)絡應用Firewall防火墻基本概念

防火墻分類防火墻發(fā)展趨勢防火墻核心技術(shù)防火墻設計結(jié)構(gòu)防火墻功能防火墻性能防火墻部署防火墻可靠性防火墻典型應用常見防火墻性能指標吞吐量延時丟包率背靠背最大并發(fā)連接數(shù)最大并發(fā)連接建立速率吞吐量定義：在不丟包的情況下能夠達到的最大速率衡量標準：吞吐量作為衡量防火墻性能的重要指標之一,吞吐量小就會造成網(wǎng)絡新的瓶頸，以至影響到整個網(wǎng)絡的性能

~;%#@*$^&*&^#**(&Smartbits6000B測試儀101100101000011111001010010001001000以最大速率發(fā)包直到出現(xiàn)丟包時的最大值防火墻吞吐量小就會成為網(wǎng)絡的瓶頸100M60M數(shù)據(jù)包首先排隊待防火墻檢查后轉(zhuǎn)發(fā)延時定義：入口處輸入幀最后1個比特到達至出口處輸出幀的第一個比特輸出所用的時間間隔衡量標準：防火墻的時延能夠體現(xiàn)它處理數(shù)據(jù)的速度

10101001001001001010Smartbits6000B測試儀101100101000011111001010010001001000最后1個比特到達第一個比特輸出時間間隔101010011100111010101001110011101010010010100100010100010101010100100100100100100010造成數(shù)據(jù)包延遲到達目標地丟包率定義：在連續(xù)負載的情況下，防火墻設備由于資源不足應轉(zhuǎn)發(fā)但卻未轉(zhuǎn)發(fā)的幀百分比

衡量標準：防火墻的丟包率對其穩(wěn)定性、可靠性有很大的影響

Smartbits6000B測試儀發(fā)送了1000個包防火墻由于資源不足只轉(zhuǎn)發(fā)了800個包丟包率=（1000-800）/1000=20%1001010100101001000100100110010101001010010001001001背靠背定義：從空閑狀態(tài)開始，以達到傳輸介質(zhì)最小合法間隔極限的傳輸速率發(fā)送相當數(shù)量的固定長度的幀，當出現(xiàn)第一個幀丟失時，發(fā)送的幀數(shù)。衡量標準：背對背包的測試結(jié)果能體現(xiàn)出被測防火墻的緩沖容量,網(wǎng)絡上經(jīng)常有一些應用會產(chǎn)生大量的突發(fā)數(shù)據(jù)包（例如：NFS,備份，路由更新等），而且這樣的數(shù)據(jù)包的丟失可能會產(chǎn)生更多的數(shù)據(jù)包，強大緩沖能力可以減小這種突發(fā)對網(wǎng)絡造成的影響Smartbits6000B測試儀時間（t）包數(shù)量（n）少量包包增多峰值包減少沒有數(shù)據(jù)背靠背指標體現(xiàn)防火墻對突發(fā)數(shù)據(jù)的處理能力并發(fā)連接數(shù)定義：指穿越防火墻的主機之間或主機與防火墻之間能同時建立的最大連接數(shù)。衡量標準：并發(fā)連接數(shù)的測試主要用來測試被測防火墻建立和維持TCP連接的性能，同時也能通過并發(fā)連接數(shù)的大小體現(xiàn)被測防火墻對來自于客戶端的TCP連接請求的響應能力

并發(fā)連接數(shù)指標可以用來衡量穿越防火墻的主機之間能同時建立的最大連接數(shù)并發(fā)連接并發(fā)連接最大并發(fā)連接數(shù)建立速率定義：指穿越防火墻的主機之間或主機與防火墻之間單位時間內(nèi)建立的最大連接數(shù)。衡量標準：最大并發(fā)連接數(shù)建立速率主要用來衡量防火墻單位時間內(nèi)建立和維持TCP連接的能力并發(fā)連接并發(fā)連接單位時間內(nèi)增加的并發(fā)連接數(shù)Firewall防火墻基本概念

防火墻分類防火墻發(fā)展趨勢防火墻核心技術(shù)防火墻設計結(jié)構(gòu)防火墻構(gòu)造體系防火墻功能防火墻性能

防火墻部署防火墻可靠性防火墻典型應用受保護網(wǎng)絡Internet如果防火墻支持透明模式，則內(nèi)部網(wǎng)絡主機的配置不用調(diào)整HostA

HostCHostDHostB同一網(wǎng)段透明模式下，這里不用配置IP地址透明模式下，這里不用配置IP地址DefaultGateway=防火墻相當于網(wǎng)橋，原網(wǎng)絡結(jié)構(gòu)沒有改變NO.1

透明接入受保護網(wǎng)絡InternetHostA

HostCHostDHostBDefaultGateway=防火墻相當于一個簡單的路由器67提供簡單的路由功能NO.2

路由接入NO.3

綜合接入ETH1：02ETH2：00/24網(wǎng)段/24網(wǎng)段此時整個防火墻工作于透明+路由模式，我們稱之為綜合模式或者混合模式/24網(wǎng)段ETH1：兩接口在不同網(wǎng)段，防火墻處于路由模式兩接口在不同網(wǎng)段，防火墻處于路由模式兩接口在同一網(wǎng)段，防火墻處于透明模式Firewall防火墻基本概念

防火墻分類防