防火墻產(chǎn)品原理介紹0407

防火墻產(chǎn)品原理介紹〔V1.1〕網(wǎng)御神州客服中心2021.05學(xué)習(xí)目標(biāo)學(xué)習(xí)完本課程，您應(yīng)該能夠了解網(wǎng)御神州的防火墻產(chǎn)品了解防火墻的工作原理了解防火墻的開展趨勢(shì)理解防火墻的典型應(yīng)用課程內(nèi)容網(wǎng)御神州產(chǎn)品型錄信息平安的層次模型防火墻的開展歷程防火墻關(guān)鍵技術(shù)防火墻評(píng)價(jià)指標(biāo)防火墻的部署防火墻的開展趨勢(shì)典型應(yīng)用FAQ1網(wǎng)御神州產(chǎn)品型錄SecFox平安管理平臺(tái)及相關(guān)產(chǎn)品SecGate3600-G10SecGate3600-G7SecGate3600-F5SecGate3600-F4SecGate3600-F3SecIDS3600-GSecIDS3600-I5SecIDS3600-I4文件交換平安瀏覽FTP交換郵件訪問與同步數(shù)據(jù)庫(kù)訪問與同步防火墻系列IDS系列平安隔離網(wǎng)閘SecGate3600-F2內(nèi)網(wǎng)平安管理系統(tǒng)平安PC/平安筆記本

硬件構(gòu)架產(chǎn)品分類代號(hào)產(chǎn)品描述架構(gòu)吞吐率接口數(shù)機(jī)箱SecGate3600電信級(jí)千兆線速防火墻G10NP4G4GE2U大型企業(yè)級(jí)千兆防火墻G7X862G16GE2U大型企業(yè)級(jí)百兆防火墻F5X86800M4/6/8FE1U中型企業(yè)級(jí)百兆防火墻F4X86600M4/6FE1U小型企業(yè)級(jí)百兆防火墻F3X86400M4FE1U分支機(jī)構(gòu)級(jí)百兆防火墻F2NP150M3FE+4SW1USecIDS3600企業(yè)級(jí)千兆入侵檢測(cè)系統(tǒng)GX86架構(gòu)，2U機(jī)箱企業(yè)級(jí)百兆入侵檢測(cè)系統(tǒng)I5X86架構(gòu)，1U機(jī)箱中小企業(yè)級(jí)入侵檢測(cè)系統(tǒng)I4X86架構(gòu)，1U機(jī)箱SecSIS3600安全隔離與信息交換系統(tǒng)

X86架構(gòu)，2U機(jī)箱SecFox安全管理平臺(tái)

軟件產(chǎn)品/項(xiàng)目(服務(wù))

內(nèi)網(wǎng)安全管理系統(tǒng)軟件產(chǎn)品＋硬件網(wǎng)關(guān)聯(lián)想安全PC/安全筆記本產(chǎn)品/系統(tǒng)安全解決方案3.1防火墻概述3.1防火墻概述在信任網(wǎng)絡(luò)與非信任網(wǎng)絡(luò)之間，通過預(yù)定義的平安策略，對(duì)內(nèi)外網(wǎng)通信強(qiáng)制實(shí)施訪問控制的平安應(yīng)用設(shè)備。信任網(wǎng)絡(luò)非信任網(wǎng)絡(luò)防火墻3.1防火墻概述內(nèi)部網(wǎng)絡(luò)內(nèi)部網(wǎng)絡(luò)2內(nèi)部網(wǎng)絡(luò)1防火墻的功能：實(shí)現(xiàn)內(nèi)部網(wǎng)與internet的隔離；不同平安級(jí)別內(nèi)部網(wǎng)之間的隔離。 一切未被允許的就是禁止的！Internet3.1防火墻概述防火墻能做什么？1.轉(zhuǎn)發(fā)正常的通信行為2.禁止未經(jīng)授權(quán)的訪問3.網(wǎng)絡(luò)地址轉(zhuǎn)換〔NAT〕4.VPN網(wǎng)關(guān)5.記錄通過防火墻的通信活動(dòng)3.1防火墻概述防火墻不能做什么？不能控制不經(jīng)防火墻的通信活動(dòng)2.無(wú)法控制內(nèi)網(wǎng)中通信行為3.目前不能進(jìn)行深度內(nèi)容檢測(cè)3.2防火墻的技術(shù)開展防火墻技術(shù)幾乎與路由器同時(shí)出現(xiàn)，采用了包過濾〔Packetfilter〕技術(shù)。1989年，貝爾實(shí)驗(yàn)室的DavePresotto和HowardTrickey推出了電路層防火墻，同時(shí)提出了應(yīng)用層防火墻〔代理防火墻〕的初步結(jié)構(gòu)。1992年，USC信息科學(xué)院的BobBraden開發(fā)出了基于動(dòng)態(tài)包過濾〔Dynamicpacketfilter〕技術(shù)的防火墻，后來(lái)演變?yōu)闋顟B(tài)檢測(cè)〔Statefulinspection〕技術(shù)。1994年，以色列CheckPoint公司開發(fā)出了第一個(gè)采用這種技術(shù)的商業(yè)化的產(chǎn)品。3.2防火墻的技術(shù)開展包過濾防火墻應(yīng)用層表示層會(huì)話層傳輸層網(wǎng)絡(luò)層數(shù)據(jù)鏈路層物理層外網(wǎng)防火墻內(nèi)網(wǎng)應(yīng)用層表示層會(huì)話層傳輸層網(wǎng)絡(luò)層數(shù)據(jù)鏈路層物理層應(yīng)用層表示層會(huì)話層傳輸層網(wǎng)絡(luò)層數(shù)據(jù)鏈路層物理層數(shù)據(jù)包包過濾引擎3.2防火墻的技術(shù)開展IP包檢測(cè)包頭檢查路由平安策略：過濾規(guī)那么路由表包過濾防火墻轉(zhuǎn)發(fā)符合不符合丟棄IP包源地址IP包目的地址TCP/UDP端口3.2防火墻的技術(shù)開展包過濾防火墻的特點(diǎn)1.實(shí)現(xiàn)容易2.數(shù)據(jù)吞吐率較高4.對(duì)應(yīng)用完全透明5.對(duì)會(huì)話內(nèi)容無(wú)法監(jiān)控，平安性能較低3.易配置3.2防火墻的技術(shù)開展應(yīng)用代理防火墻應(yīng)用層表示層會(huì)話層傳輸層網(wǎng)絡(luò)層數(shù)據(jù)鏈路層物理層外網(wǎng)防火墻內(nèi)網(wǎng)應(yīng)用層表示層會(huì)話層傳輸層網(wǎng)絡(luò)層數(shù)據(jù)鏈路層物理層應(yīng)用層表示層會(huì)話層傳輸層網(wǎng)絡(luò)層數(shù)據(jù)鏈路層物理層數(shù)據(jù)包3.2防火墻的技術(shù)開展應(yīng)用代理防火墻的特點(diǎn)1.可以對(duì)應(yīng)用層數(shù)據(jù)進(jìn)行處理3.雙向通信必須經(jīng)過應(yīng)用代理，禁止IP轉(zhuǎn)發(fā)5.處理速度慢2.對(duì)數(shù)據(jù)包的檢測(cè)能力比較強(qiáng)4.難于配置3.2防火墻的技術(shù)開展?fàn)顟B(tài)檢測(cè)包過濾防火墻應(yīng)用層表示層會(huì)話層傳輸層網(wǎng)絡(luò)層數(shù)據(jù)鏈路層物理層外網(wǎng)防火墻內(nèi)網(wǎng)應(yīng)用層表示層會(huì)話層傳輸層網(wǎng)絡(luò)層數(shù)據(jù)鏈路層物理層應(yīng)用層表示層會(huì)話層傳輸層網(wǎng)絡(luò)層數(shù)據(jù)鏈路層物理層狀態(tài)檢測(cè)引擎3.2防火墻的技術(shù)開展IP包檢測(cè)包頭下一步處理平安策略：過濾規(guī)那么會(huì)話連接狀態(tài)緩存表狀態(tài)檢測(cè)包過濾防火墻不符合丟棄符合符合IP包源地址/目的地址TCP/UDP源端口TCP會(huì)話連接狀態(tài)3.2防火墻的技術(shù)開展?fàn)顟B(tài)包過濾防火墻的特點(diǎn)2.可以對(duì)網(wǎng)絡(luò)數(shù)據(jù)進(jìn)行更細(xì)粒度的檢測(cè)3.數(shù)據(jù)吞吐率較高4.對(duì)會(huì)話內(nèi)容的處理不夠1.可重組會(huì)話，記錄會(huì)話狀態(tài)3.2防火墻的技術(shù)開展產(chǎn)品現(xiàn)狀1.狀態(tài)檢測(cè)包過濾技術(shù)2.應(yīng)用代理技術(shù)4防火墻關(guān)鍵技術(shù)4.1訪問控制4.2地址綁定4.3NAT4.4端口映射4.5VPN4.6抗攻擊4.7復(fù)雜協(xié)議支持4.8HA4.1訪問控制4.2地址綁定4.2地址綁定4.3NAT技術(shù)Internet6HostC內(nèi)部網(wǎng)絡(luò)HostAHostB數(shù)據(jù)IP報(bào)頭數(shù)據(jù)IP報(bào)頭源地址：目地址：源地址：目地址：eth1:eth2:4.3NAT技術(shù)4.4端口映射InternetWWW1FTP2MAIL3DNS4輸入：1:80->:802:21->:213:25->:254:53->:534.4端口映射4.5VPNInternetWWW1FTP2MAIL3DNS4VPN客戶端VPN規(guī)那么4.5VPN4.5VPN支持基于策略的VPN應(yīng)用2.支持基于路由的VPN應(yīng)用3.支持VPN的星型、網(wǎng)狀等多種接入方式4.支持VPN的NAT穿越5.支持DHCPoverIPSecVPN6.支持VPN遠(yuǎn)端狀態(tài)探測(cè)DPD7.支持PPTP/L2TP撥號(hào)VPN4.5VPN當(dāng)用戶將防火墻作為平安設(shè)備來(lái)使用時(shí)，平安策略是用戶關(guān)注的重點(diǎn)。用戶需要基于策略的VPN，平安策略直接控制數(shù)據(jù)包進(jìn)入哪一條隧道。當(dāng)用戶使用防火墻的重點(diǎn)是遠(yuǎn)程VPN組網(wǎng)時(shí)，防火墻實(shí)際上是當(dāng)作平安路由設(shè)備使用的。這時(shí)通過添加路由表就可以控制數(shù)據(jù)包進(jìn)入哪一條隧道。此時(shí)使用的是基于路由的VPN。策略VPNor路由VPN4.6抗攻擊對(duì)資源的請(qǐng)求大大超過正常值，致使效勞超載，使得被訪資源無(wú)法再對(duì)合理的請(qǐng)求進(jìn)行響應(yīng)，稱為拒絕效勞。惡意造成拒絕效勞的行為，就稱為拒絕效勞攻擊〔DenialofService，DoS〕資源網(wǎng)絡(luò)帶寬文件系統(tǒng)容量開放的進(jìn)程向內(nèi)的連接4.6抗攻擊SYNflood以多個(gè)隨機(jī)的源主機(jī)地址向目標(biāo)主機(jī)發(fā)送SYN包收到目標(biāo)主機(jī)的SYNACK后并不回應(yīng)繼續(xù)發(fā)送SYN請(qǐng)求目標(biāo)主機(jī)建立了大量的連接，由于沒有收到ACK一直維護(hù)著這些連接，造成了資源大量消耗而不能向正常請(qǐng)求提供效勞。

4.6抗攻擊〔a〕TCP三次握手〔b〕SYN風(fēng)暴4.7復(fù)雜協(xié)議支持H.323協(xié)議被普遍認(rèn)為是目前在分組網(wǎng)上支持語(yǔ)音、圖像和數(shù)據(jù)業(yè)務(wù)最成熟的協(xié)議。采用H.323協(xié)議，各個(gè)不同廠商的多媒體產(chǎn)品和應(yīng)用可以進(jìn)行互相操作，用戶不必考慮兼容性問題。該協(xié)議為商業(yè)和個(gè)人用戶基于LAN、MAN的多媒體產(chǎn)品協(xié)同開發(fā)奠定了根底。H.323H.323是一套在分組網(wǎng)上提供實(shí)時(shí)音頻、視頻和數(shù)據(jù)通信的標(biāo)準(zhǔn)，是ITU-T制訂的在各種網(wǎng)絡(luò)上提供多媒體通信的系列協(xié)議H.32x的一局部。4.7復(fù)雜協(xié)議支持SIPSIP〔SessionInitiationProtocol〕會(huì)話初始協(xié)議是IETF制訂的，用于多方多媒體通信。按照IETFRFC2543的定義，SIP是一個(gè)基于文本的應(yīng)用層控制協(xié)議，獨(dú)立于底層傳輸協(xié)議TCP/UDP/SCTP，用于建立、修改和終止IP網(wǎng)上的雙方或多方多媒體會(huì)話。SIP協(xié)議借鑒了HTTP、SMTP等協(xié)議，支持代理、重定向及登記定位用戶等功能，支持用戶移動(dòng)。通過與RTP/RTCP、SDP、RTSP等協(xié)議及DNS配合，SIP支持語(yǔ)音、視頻、數(shù)據(jù)、E-mail、狀態(tài)、IM、聊天、游戲等。SIP協(xié)議可在TCP或UDP之上傳送，由于SIP本身具有握制，可首選UDP。4.7復(fù)雜協(xié)議支持RIPRoutinginformationProtocol路由信息協(xié)議是推出時(shí)間最長(zhǎng)，最簡(jiǎn)單的路由協(xié)議，是一種內(nèi)部網(wǎng)關(guān)協(xié)議(InteriorGatewayProtocol,簡(jiǎn)稱IGP)，適用于小型同類網(wǎng)絡(luò)，是典型的距離向量(distance-vector)協(xié)議。RIP主要傳遞路由信息〔路由表〕來(lái)播送路由，每隔30秒播送一次路由表，維護(hù)與相鄰路由器的關(guān)系，同時(shí)根據(jù)收到的路由表計(jì)算自己的路由表。4.7復(fù)雜協(xié)議支持OSPF作為一種鏈路狀態(tài)的路由協(xié)議，OSPF具備許多優(yōu)點(diǎn)：快速收斂，支持變長(zhǎng)網(wǎng)絡(luò)屏蔽碼，支持CIDR以及地址summary，具有層次化的網(wǎng)絡(luò)結(jié)構(gòu)，支持路由信息驗(yàn)證等。它通過傳遞鏈路狀態(tài)〔連接信息〕來(lái)得到網(wǎng)絡(luò)信息，維護(hù)一張網(wǎng)絡(luò)有向拓?fù)鋱D，利用最小生成樹算法〔SPF算法〕得到路由表。OSPF是一種相對(duì)復(fù)雜的路由協(xié)議。OpenShortestPathFirst開放式最短路優(yōu)先是由IETF〔InternetEngineeringTaskForce〕IGP工作小組提出的一種基于SPF算法的路由協(xié)議，目前使用的OSPF協(xié)議是其第二版，由RFC1247和RFC1583定義。4.7復(fù)雜協(xié)議支持BGPBorderGatewayProtocol

邊界網(wǎng)關(guān)協(xié)議BorderGatewayProtocol

邊界網(wǎng)關(guān)協(xié)議BGP用于處理各ISP之間的路由傳遞，其特點(diǎn)是有豐富的路由策略。RIP、OSPF是內(nèi)部網(wǎng)關(guān)協(xié)議，適用于單個(gè)ISP的統(tǒng)一路由協(xié)議的運(yùn)行。由一個(gè)ISP運(yùn)營(yíng)的網(wǎng)絡(luò)稱為一個(gè)自治系統(tǒng)〔AS〕。BGP是自治系統(tǒng)間的路由協(xié)議，是一種外部網(wǎng)關(guān)協(xié)議。4.8HA5防火墻評(píng)價(jià)指標(biāo)

1.性能

2.功能

3.可靠性

4.易用性5防火墻評(píng)價(jià)指標(biāo)性能指標(biāo)定義重要程度吞吐量單位時(shí)間內(nèi)通過防火墻的數(shù)據(jù)包數(shù)量（不丟包）★★★★★

最大并發(fā)連接數(shù)防火墻可同時(shí)維護(hù)的網(wǎng)絡(luò)連接數(shù)★★★背靠背防火墻對(duì)網(wǎng)絡(luò)數(shù)據(jù)包的緩存能力★★新建連接速率防火墻建新連接的快慢程度★★★★延遲防火墻處理和轉(zhuǎn)發(fā)數(shù)據(jù)包所需要的時(shí)間★★★★丟包率丟包數(shù)占發(fā)送包總數(shù)的比例（吞吐量范圍內(nèi)）★★★評(píng)價(jià)防火墻性能的六個(gè)指標(biāo)6防火墻的部署外部網(wǎng)絡(luò)DMZ內(nèi)部網(wǎng)絡(luò)防火墻WebServerMailServer6防火墻的