防火墻基本功能教程演示文稿

防火墻基本功能教程演示文稿當(dāng)前第1頁\共有47頁\編于星期六\19點目錄第一節(jié)防火墻的定義第二節(jié)防火墻的主要功能第三節(jié)防火墻的分類第四節(jié)防火墻工作模式第五節(jié)防火墻處理流程第六節(jié)防火墻基本概念當(dāng)前第2頁\共有47頁\編于星期六\19點引入隨著Internet的日益普及，開放式的網(wǎng)絡(luò)帶來了許多不安全的隱患。在開放網(wǎng)絡(luò)式的網(wǎng)絡(luò)上，我們的周圍存在著許多不能信任的計算機（包括在一個LAN之間），這種這些計算機對我們私有的一些敏感信息造成了很大的威脅。在大廈的構(gòu)造中，防火墻被設(shè)計用來防止火災(zāi)從大廈的一部分傳播到大廈的另一部分。我們所涉及的“防火墻”具有類似的目的：“防止Internet的危險傳播到你的內(nèi)部網(wǎng)絡(luò)”。當(dāng)前第3頁\共有47頁\編于星期六\19點什么是防火墻?防火墻(FireWall)：網(wǎng)絡(luò)安全的第一道防線，是位于兩個信任程度不同的網(wǎng)絡(luò)之間（如企業(yè)內(nèi)部網(wǎng)絡(luò)和Internet之間）的設(shè)備，它對兩個網(wǎng)絡(luò)之間的通信進(jìn)行控制，通過強制實施統(tǒng)一的安全策略，防止對重要信息資源的非法存取和訪問以達(dá)到保護系統(tǒng)安全的目的。防火墻=硬件+軟件+控制策略寬松控制策略：除非明確禁止，否則允許。限制控制策略：除非明確允許，否則禁止。當(dāng)前第4頁\共有47頁\編于星期六\19點防火墻在安全體系中的位置門防火墻監(jiān)視器入侵檢測系統(tǒng)保安員掃描器、漏洞查找安全傳輸加密、VPN門禁系統(tǒng)身份認(rèn)證、訪問控制監(jiān)控室安全管理中心加固的房間系統(tǒng)加固、免疫當(dāng)前第5頁\共有47頁\編于星期六\19點目錄第一節(jié)防火墻的定義第二節(jié)防火墻的主要功能第三節(jié)防火墻的分類第四節(jié)防火墻工作模式第五節(jié)防火墻處理流程第六節(jié)防火墻基本概念當(dāng)前第6頁\共有47頁\編于星期六\19點防火墻的功能防火墻能提供的功能：監(jiān)控和審計網(wǎng)絡(luò)的存取和訪問，過濾進(jìn)出網(wǎng)絡(luò)的數(shù)據(jù)，管理進(jìn)出網(wǎng)絡(luò)的訪問行為部署于網(wǎng)絡(luò)邊界，兼?zhèn)涮峁┚W(wǎng)絡(luò)地址翻譯(NAT)、虛擬專用網(wǎng)(VPN)等功能防病毒、入侵檢測、認(rèn)證、加密、遠(yuǎn)程管理、代理……深度檢測對某些協(xié)議進(jìn)行相關(guān)控制攻擊防范，掃描檢測等當(dāng)前第7頁\共有47頁\編于星期六\19點防火墻的基本功能模塊應(yīng)用程序代理包過濾&狀態(tài)檢測用戶認(rèn)證NATVPN日志IDS與報警內(nèi)容過濾當(dāng)前第8頁\共有47頁\編于星期六\19點先進(jìn)的

防火墻先進(jìn)的硬件體系結(jié)構(gòu)。強大的功能，豐富的業(yè)務(wù)支持。電信級的高可靠性。增強的日志統(tǒng)計功能。當(dāng)前第9頁\共有47頁\編于星期六\19點防火墻的局限性防火墻不是解決所有網(wǎng)絡(luò)安全問題的萬能藥方，只是網(wǎng)絡(luò)安全政策和策略中的一個組成部分，是保衛(wèi)網(wǎng)絡(luò)安全的第一道門戶。當(dāng)前第10頁\共有47頁\編于星期六\19點防火墻和路由器的差異路由器的特點：1、保證互聯(lián)互通。2、按照最長匹配算法逐包轉(zhuǎn)發(fā)。3、路由協(xié)議是核心特性。防火墻的特點：1、邏輯子網(wǎng)之間的訪問控制，關(guān)注邊界安全2、基于連接的轉(zhuǎn)發(fā)特性。3、安全防范是防火墻的核心特性。LANWAN當(dāng)前第11頁\共有47頁\編于星期六\19點目錄第一節(jié)防火墻的定義第二節(jié)防火墻的主要功能第三節(jié)防火墻的分類第四節(jié)防火墻工作模式第五節(jié)防火墻處理流程第六節(jié)防火墻基本概念當(dāng)前第12頁\共有47頁\編于星期六\19點防火墻的分類按照防火墻實現(xiàn)的方式，一般把防火墻分為如下幾類：包過濾防火墻(PacketFiltering)代理型防火墻（ApplicationGateway）狀態(tài)檢測防火墻(StateDetect)目前防火墻的主流產(chǎn)品為狀態(tài)檢測防火墻當(dāng)前第13頁\共有47頁\編于星期六\19點包過濾防火墻(PacketFiltering)當(dāng)前第14頁\共有47頁\編于星期六\19點包過濾防火墻(PacketFiltering)-（續(xù)）規(guī)則的定義就是按照IP數(shù)據(jù)包的特點定義的，可以充分利用上述條件定義通過防火墻數(shù)據(jù)包的條件。協(xié)議號源地址目的地址源端口目的端口IP報頭TCP/UDP報頭數(shù)據(jù)訪問控制列表由這5個元素來組成定義的規(guī)則當(dāng)前第15頁\共有47頁\編于星期六\19點包過濾防火墻(PacketFiltering)-（續(xù)）

優(yōu)點：設(shè)計簡單，非常易于實現(xiàn)，而且價格便宜。其缺點也缺點：基于網(wǎng)絡(luò)層的安全技術(shù)，對于應(yīng)用層的黑客行為無能為力。包過濾防火墻對于任何應(yīng)用需要配置雙方向的ACL規(guī)則，不能提供差異性保護。隨著ACL復(fù)雜度和長度的增加，其過濾性能成指數(shù)下降趨勢。靜態(tài)的ACL規(guī)則難以適應(yīng)動態(tài)的安全要求。當(dāng)前第16頁\共有47頁\編于星期六\19點代理型防火墻(ApplicationGateway)當(dāng)前第17頁\共有47頁\編于星期六\19點代理服務(wù)作用于網(wǎng)絡(luò)的應(yīng)用層，其實質(zhì)是把內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)用戶之間直接進(jìn)行的業(yè)務(wù)由代理接管。代理檢查來自用戶的請求。認(rèn)證通過后，該防火墻將代表客戶與真正的服務(wù)器建立連接，轉(zhuǎn)發(fā)客戶請求，并將真正服務(wù)器返回的響應(yīng)回送給客戶。服務(wù)器客戶機轉(zhuǎn)發(fā)請求請求響應(yīng)發(fā)送請求轉(zhuǎn)發(fā)響應(yīng)安全策略、審計監(jiān)控、報警WWW、FTP、Email……代理代理型防火墻(ApplicationGateway)-（續(xù)）當(dāng)前第18頁\共有47頁\編于星期六\19點代理型防火墻(ApplicationGateway)-（續(xù)）優(yōu)點：代理防火墻能夠完全控制網(wǎng)絡(luò)信息的交換，控制會話過程，具有較高的安全性。缺點：軟件實現(xiàn)限制了處理速度，易于遭受拒絕服務(wù)攻擊；需要針對每一種協(xié)議開發(fā)應(yīng)用層代理，升級很困難。因此代理型防火墻不能支持很豐富的業(yè)務(wù)，只能針對某些應(yīng)用提供代理支持；代理型防火墻使得防火墻做為一個訪問的中間節(jié)點，對Client來說防火墻是一個Server，對Server來說防火墻是一個Client，轉(zhuǎn)發(fā)性能低；代理型防火墻很難組成雙機熱備的組網(wǎng)，因為狀態(tài)無法保持同步；當(dāng)前第19頁\共有47頁\編于星期六\19點狀態(tài)檢測防火墻(StateDetect)當(dāng)前第20頁\共有47頁\編于星期六\19點狀態(tài)檢測是一種高級通信過濾。狀態(tài)分析技術(shù)是包過濾技術(shù)的擴展（非正式的也可稱為“動態(tài)包過濾”）。狀態(tài)檢測防火墻(StateDetect)-（續(xù)）當(dāng)前第21頁\共有47頁\編于星期六\19點狀態(tài)檢測防火墻(StateDetect)-（續(xù)）狀態(tài)防火墻具有以下優(yōu)點：

速度快安全性高當(dāng)前第22頁\共有47頁\編于星期六\19點性能衡量指標(biāo)吞吐量延時最大并發(fā)連接數(shù)最大新建并發(fā)連接數(shù)當(dāng)前第23頁\共有47頁\編于星期六\19點吞吐量(Throughput)吞吐量：防火墻能同時處理的最大數(shù)據(jù)量。有效吞吐量：除掉TCP因為丟包和超時重發(fā)的數(shù)據(jù),實際的每秒傳輸有效速率。當(dāng)前第24頁\共有47頁\編于星期六\19點時間間隔Smartbits6000B最后一個比特進(jìn)入第一個比特輸出包需要在隊列中被檢測后才可以轉(zhuǎn)發(fā)包到達(dá)延遲延時定義：數(shù)據(jù)包的最后一個比特進(jìn)入防火墻到第一個比特輸出防火墻的時間間隔指標(biāo)：延時是用于測量防火墻處理數(shù)據(jù)的速度當(dāng)前第25頁\共有47頁\編于星期六\19點最大并發(fā)連接數(shù)定義：由于防火墻是針對連接進(jìn)行處理報文的，并發(fā)連接數(shù)目是指的防火墻可以同時容納的最大的連接數(shù)目，一個連接就是一個TCP/UDP的訪問。該參數(shù)是用來衡量主機和服務(wù)器間能同時建立的最大連接數(shù)并發(fā)連接并發(fā)連接當(dāng)前第26頁\共有47頁\編于星期六\19點最大新建并發(fā)連接數(shù)

指每秒鐘可以通過防火墻建立起來的完整TCP連接。該指標(biāo)是用來衡量防火墻隨數(shù)據(jù)流的實時處理能力當(dāng)前第27頁\共有47頁\編于星期六\19點目錄第一節(jié)防火墻的定義第二節(jié)防火墻的主要功能第三節(jié)防火墻的分類第四節(jié)防火墻工作模式第五節(jié)防火墻處理流程第六節(jié)防火墻基本概念當(dāng)前第28頁\共有47頁\編于星期六\19點防火墻的工作模式（Mode）防火墻能夠工作在三種模式下：路由模式透明模式混合模式當(dāng)前第29頁\共有47頁\編于星期六\19點路由模式（Mode）當(dāng)前第30頁\共有47頁\編于星期六\19點透明模式（Mode）當(dāng)前第31頁\共有47頁\編于星期六\19點混合模式（Mode）當(dāng)前第32頁\共有47頁\編于星期六\19點目錄第一節(jié)防火墻的定義第二節(jié)防火墻的主要功能第三節(jié)防火墻的分類第四節(jié)防火墻工作模式第五節(jié)防火墻處理流程第六節(jié)防火墻基本概念當(dāng)前第33頁\共有47頁\編于星期六\19點路由器的基本工作流程當(dāng)前第34頁\共有47頁\編于星期六\19點防火墻概要處理流程圖－路由模式當(dāng)前第35頁\共有47頁\編于星期六\19點透明模式：概要處理流程圖當(dāng)前第36頁\共有47頁\編于星期六\19點防火墻上行處理－流程圖收包增強的SYNFlood攻擊防范處理黑名單處理單包攻擊防范非法報文丟棄基于五元組查找會話表IPSpoofing攻擊？查找Servermap表上行處理完成NAT處理找到未找到當(dāng)前第37頁\共有47頁\編于星期六\19點防火墻下行處理－流程圖當(dāng)前第38頁\共有47頁\編于星期六\19點防火墻轉(zhuǎn)發(fā)處理－快速轉(zhuǎn)發(fā)防火墻快轉(zhuǎn)流程只適用于200，處理過程和上面類似。（1）為了提高轉(zhuǎn)發(fā)效率（2）為了進(jìn)一步提高防火墻的轉(zhuǎn)發(fā)效率，采用了cache機制（3）實現(xiàn)了會話表的觸發(fā)更新當(dāng)前第39頁\共有47頁\編于星期六\19點目錄第一節(jié)防火墻的定義第二節(jié)防火墻的主要功能第三節(jié)防火墻的分類第四節(jié)防火墻工作模式第五節(jié)防火墻處理流程第六節(jié)防火墻基本概念當(dāng)前第40頁\共有47頁\編于星期六\19點防火墻基本概念—安全區(qū)域（Zone）防火墻的內(nèi)部劃分為多個區(qū)域，所有的轉(zhuǎn)發(fā)接口都唯一的屬于某個區(qū)域域（Zone）:

域是防火墻上引入的一個重要的邏輯概念；通過將接口加入域并在安全區(qū)域之間啟動安全檢查（稱為安全策略），從而對流經(jīng)不同安全區(qū)域的信息流進(jìn)行安全過濾。當(dāng)前第41頁\共有47頁\編于星期六\19點防火墻基本概念—安全區(qū)域（Zone）續(xù)根據(jù)防火墻的內(nèi)部劃分的安全區(qū)域關(guān)系，確定其所連接網(wǎng)絡(luò)的安全區(qū)域

防火墻上預(yù)定義了4個安全區(qū)域：本地區(qū)域Local（指防火墻本身）、受信區(qū)域Trust、非軍事化區(qū)域DMZ（DemilitarizedZone）、非受信區(qū)域Untrust，用戶可以根據(jù)需要自行添加新的安全區(qū)域。當(dāng)前第42頁\共有47頁\編于星期六\19點會話會話（Session） 防火墻是狀態(tài)防火墻，采用會話表維持通信狀態(tài)。會話表包括五個元素：源IP地址、源端口、目的IP地址、目的端口和協(xié)議號。當(dāng)防火墻收到報文后，根據(jù)上述五個元素查詢會話表，并根據(jù)具體情況進(jìn)行如下操作：條件操作報文的五元組匹配會話表轉(zhuǎn)發(fā)該報文報文的五元組不匹配會話表域間規(guī)則允許通過轉(zhuǎn)發(fā)該報文，并創(chuàng)建會話表表項域間規(guī)則不允許通過丟棄該報文當(dāng)前第43頁\共有47頁\編于星期六\19點防火墻基本概念—多通道協(xié)議＆服務(wù)表項多通道協(xié)議：應(yīng)用在進(jìn)行通訊或提供服務(wù)時需要建立兩個以上的會話（通道），其中有一個控制通道，其他的通道是根據(jù)控制通道中雙方協(xié)商的信息動態(tài)創(chuàng)建的，一般我們稱之為數(shù)據(jù)通道或子通道，這樣的協(xié)議我們稱為多通道協(xié)議。ServerMap：對于多通道協(xié)議（比如FTP），五元組過于嚴(yán)厲，導(dǎo)致多通道協(xié)議無法通過會話檢查，所以為了達(dá)到對多通道協(xié)議的支持，開發(fā)除了ServerMap這樣的數(shù)據(jù)結(jié)構(gòu)。

當(dāng)前第44頁\共有47頁\編于星期六\19點防火墻基本概念——ASPF動態(tài)創(chuàng)建和刪除過濾規(guī)則監(jiān)視通信過程中的報文豐富的ASPF功能保證開展業(yè)務(wù)時安全性得到保證ASPF(ApplicationSpecificPacketFilter)：是一種改進(jìn)的高級通信過濾技術(shù)，ASPF不但對報文的網(wǎng)絡(luò)層的信息進(jìn)行檢測，還能對豐富的應(yīng)用層協(xié)議進(jìn)行深度檢測，支持多媒體業(yè)務(wù)的NAT以及安全防范功能。當(dāng)前第45頁\共有47頁\編于星期六\19點可以針對某些多通道協(xié)議（例如FTP）報文中的內(nèi)容動態(tài)決定是否允許其通過防火墻。ASPF對多通道協(xié)議的支持用戶防火墻FTPserver三次握手防火墻創(chuàng)建Servermap表項三次握手Port:89