課題20防火墻的應(yīng)用

課題二十防火墻的應(yīng)用網(wǎng)絡(luò)安全運(yùn)行與維護(hù)課題SUBJECT信息教學(xué)任務(wù)：防火墻的應(yīng)用知識目標(biāo)：掌握現(xiàn)有防火墻的三種核心技術(shù)（三種不同技術(shù)類型的防火墻）的基本原理和優(yōu)缺點(diǎn)，了解防火墻的各種性能指標(biāo)，掌握常用防火墻安裝和規(guī)則配置。能力目標(biāo)：能夠熟練使用各種常用的防火墻（安裝、參數(shù)設(shè)置、規(guī)則配置等）重點(diǎn)：防火墻基本原理、防火墻的配置難點(diǎn)：防火墻參數(shù)、規(guī)則配置教學(xué)方法：演示法、案例教學(xué)法、任務(wù)驅(qū)動法課堂類型：新授課教具：PC機(jī)、教學(xué)軟件防火墻的實(shí)現(xiàn)技術(shù)原理代理防火墻配置其他防火墻防火墻的性能、功能指標(biāo)一、防火墻的實(shí)現(xiàn)技術(shù)原理防火墻實(shí)現(xiàn)技術(shù)原理1簡單包過濾防火墻2動態(tài)包過濾(狀態(tài)檢測)防火墻3應(yīng)用代理防火墻4包過濾與應(yīng)用代理復(fù)合型防火墻一、防火墻的實(shí)現(xiàn)技術(shù)原理1．簡單包過濾防火墻（Packetfiltering）數(shù)據(jù)包過濾技術(shù)的發(fā)展：靜態(tài)包過濾、動態(tài)包過濾。包過濾防火墻在網(wǎng)絡(luò)層實(shí)現(xiàn)數(shù)據(jù)的轉(zhuǎn)發(fā)，包過濾模塊一般檢查網(wǎng)絡(luò)層、傳輸層內(nèi)容，包括下面幾項(xiàng)：①源、目的IP地址；②源、目的端口號；③協(xié)議類型；④TCP報(bào)頭的標(biāo)志位。簡單包過濾防火墻的工作原理1一、防火墻的實(shí)現(xiàn)技術(shù)原理包過濾防火墻的工作流程一、防火墻的實(shí)現(xiàn)技術(shù)原理應(yīng)用實(shí)例【問題】動態(tài)包過濾防火墻如何解決了特殊構(gòu)造了標(biāo)志位的數(shù)據(jù)包？但是還是無法阻擋反彈端口的木馬。1.TCP開始攻擊IP規(guī)則連接表TCP開始攻擊IPTCP開始攻擊IPTCP開始攻擊IPSYNACKSYN2.允許允許TCP開始攻擊IPn.……一、防火墻的實(shí)現(xiàn)技術(shù)原理動態(tài)包過濾防火墻的工作流程一、防火墻的實(shí)現(xiàn)技術(shù)原理狀態(tài)檢測防火墻-UDP防火墻保存通過網(wǎng)關(guān)的每一個(gè)連接的狀態(tài)信息，允許穿過防火墻的UDP請求包被記錄，當(dāng)UDP包在相反方向上通過時(shí)，依據(jù)連接狀態(tài)表確定該UDP包是否被授權(quán)的，若已被授權(quán)，則通過，否則拒絕。一、防火墻的實(shí)現(xiàn)技術(shù)原理3．代理防火墻（ProxyServer）代理防火墻的工作過程：一、防火墻的實(shí)現(xiàn)技術(shù)原理代理防火墻的工作原理一、防火墻的實(shí)現(xiàn)技術(shù)原理代理服務(wù)器的類型HTTP代理：代理客戶機(jī)的http訪問，主要代理瀏覽器訪問網(wǎng)頁，它的端口一般為80、8080、3128等。FTP代理：代理客戶機(jī)上的ftp軟件訪問ftp服務(wù)器，其端口一般為21、2121。POP3代理：代理客戶機(jī)上的郵件軟件用pop3方式收郵件，其端口一般為110。Telnet代理：能夠代理通信機(jī)的telnet，用于遠(yuǎn)程控制，入侵時(shí)經(jīng)常使用。其端口一般為23。Socks代理：是全能代理，支持多種協(xié)議，包括http、ftp請求及其它類型的請求，其標(biāo)準(zhǔn)端口為1080?！?、防火墻的實(shí)現(xiàn)技術(shù)原理應(yīng)用實(shí)例例1：不允許上。方法：1、使用包過濾防火墻把服務(wù)器的所有IP過濾掉。2、使用代理防火墻過濾域名，而不管IP地址怎么改變。clint7,30,31,3233,34,35,40,0,1,2,3,61.172.2015,6服務(wù)器一、防火墻的實(shí)現(xiàn)技術(shù)原理Client用SOCKS5client服務(wù)器61.172.201.*SOCKS5代理服務(wù)器170.1.1.*【問題】圖中的防火墻如果改為代理防火墻，是否可以過濾Client傳過來的數(shù)據(jù)包？一、防火墻的實(shí)現(xiàn)技術(shù)原理Client用“特殊”的HTTP代理【說明】client端發(fā)出HTTP請求時(shí)，不包含的信息，代理防火墻就檢測不到字段，實(shí)現(xiàn)不了過濾。HTTP代理需要“特殊”定制，代理服務(wù)器知道這類client端發(fā)出的請求是要訪問，它會幫助client端下載的內(nèi)容。一、防火墻的實(shí)現(xiàn)技術(shù)原理自適應(yīng)代理防火墻檢測應(yīng)用層的頭部信息，然后在網(wǎng)絡(luò)層轉(zhuǎn)發(fā)。一、防火墻的實(shí)現(xiàn)技術(shù)原理應(yīng)用特征庫已經(jīng)收錄了超過3000種互聯(lián)網(wǎng)應(yīng)用，還包括700余種移動互聯(lián)網(wǎng)應(yīng)用下一代防火墻NextGenerationFirewall二、代理防火墻配置防火墻的應(yīng)用實(shí)驗(yàn)代理類型—CCProxy1.設(shè)置IE的HTTP代理參數(shù)，觀察經(jīng)過代理后，數(shù)據(jù)包頭的變化。2.設(shè)置IE的socks代理參數(shù)，觀察經(jīng)過代理后，數(shù)據(jù)包頭的變化。3.CCProxy常用功能的設(shè)置：用戶

IP+MAC

內(nèi)容流量二、代理防火墻配置CCProxy的應(yīng)用二、代理防火墻配置CCProxy的應(yīng)用三、其他防火墻下一代防火墻著名市場分析咨詢機(jī)構(gòu)Gartner曾于2009年發(fā)表文章《定義下一代防火墻》，文章指出下一代防火墻在具有傳統(tǒng)防火墻功能與特點(diǎn)的同時(shí)，還要具有“支持聯(lián)動的集成化IPS”、“應(yīng)用管控與可視化”以及“智能化聯(lián)動”相關(guān)特性。具有“基于用戶防護(hù)”、“面向應(yīng)用安全”、“高效轉(zhuǎn)發(fā)平臺”、“多層級冗余架構(gòu)”、“全方位可視化”及“安全技術(shù)融合”六大產(chǎn)品特性。三、其他防火墻補(bǔ)充：防火墻其它功能安全審計(jì)負(fù)載均衡雙機(jī)熱備防御功能端口映射DHCP環(huán)境支持MAC綁定功能帶寬管理聯(lián)動功能內(nèi)容過濾VPN功能雙地址路由多協(xié)議支持三、其他防火墻思科ASA5520-K8參數(shù)四、防火墻的性能、功能指標(biāo)

防火墻性能指標(biāo)吞吐量丟包率最大并發(fā)連接數(shù)延時(shí)最大并發(fā)連接建立速率四、防火墻的性能、功能指標(biāo)定義：在不丟包的情況下能夠達(dá)到的最大速率衡量標(biāo)準(zhǔn)：吞吐量作為衡量防火墻性能的重要指標(biāo)之一,吞吐量小就會造成網(wǎng)絡(luò)新的瓶頸，以至影響到整個(gè)網(wǎng)絡(luò)的性能

吞吐量四、防火墻的性能、功能指標(biāo)定義：指穿越防火墻的主機(jī)之間或主機(jī)與防火墻之間能同時(shí)建立的最大連接數(shù)衡量標(biāo)準(zhǔn)：并發(fā)連接數(shù)的測試主要用來測試被測防火墻建立和維持TCP連接的性能，同時(shí)也能通過并發(fā)連接數(shù)的大小體現(xiàn)被測防火墻對來自于客戶端的TCP連接請求的響應(yīng)能力。

并發(fā)連接數(shù)并發(fā)連接數(shù)指標(biāo)可以用來衡量穿越防火墻的主機(jī)之間能同時(shí)建立的最大連接數(shù)四、防火墻的性能、功能指標(biāo)定義：在連續(xù)負(fù)載的情況下，防火墻設(shè)備由于資源不足應(yīng)轉(zhuǎn)發(fā)但卻未轉(zhuǎn)發(fā)的幀百分比衡量標(biāo)準(zhǔn)：防火墻的丟包率對其穩(wěn)定性、可靠性有很大的影響防火墻由于資源不足只轉(zhuǎn)發(fā)了800個(gè)包丟包率=（1000-800）/1000=20%丟包率四、防火墻的性能、功能指標(biāo)定義：入口處輸入幀最后1個(gè)比特到達(dá)至出口處輸出幀的第一個(gè)比特輸出所用的時(shí)間間隔衡量標(biāo)準(zhǔn)：防火墻的時(shí)延能夠體現(xiàn)它處理數(shù)據(jù)的速度延時(shí)四、防火墻的性能、功能指標(biāo)定義：指穿越防火墻的主機(jī)之間或主機(jī)與防火墻之間單位時(shí)間內(nèi)建立的最大連接數(shù)。衡量標(biāo)準(zhǔn)：最大并發(fā)連接數(shù)建立速率主要用來衡量防火墻單位時(shí)間內(nèi)建立和維持TCP連接的能力單位時(shí)間內(nèi)增加的并發(fā)連接數(shù)最大并發(fā)連接建立速率四、防火墻的性能、功能指標(biāo)防火墻功能指標(biāo)分級帶寬管理LAN接口多協(xié)議支持認(rèn)證支持高級訪問控制四、防火墻的性能、功能指標(biāo)防火墻的部署四、防火墻的性能、功能指標(biāo)四、防火墻的性能、功能指標(biāo)四