《網(wǎng)絡(luò)安全設(shè)備原理與應(yīng)用》 課件 07-下一代防火墻概述；08-下一代防火墻組網(wǎng)方案

下一代防火墻概述了解防火墻的定義及其發(fā)展歷程了解防火墻的發(fā)展歷程教學(xué)目標(biāo)防火墻的定義防火墻發(fā)展歷程目錄防火墻的定義什么是防火墻？墻，始于防，忠于守。從古至今，墻予人以安全之意。防火墻的定義防火墻分類按物理特性劃分按性能劃分按防火墻結(jié)構(gòu)劃分按防火墻技術(shù)劃分防火墻分類軟件防火墻硬件防火墻百兆級(jí)防火墻千兆級(jí)防火墻······單一主機(jī)防火墻路由集成防火墻分布式防火墻······包過(guò)濾防火墻應(yīng)用代理防火墻狀態(tài)監(jiān)測(cè)防火墻······防火墻的定義防火墻的功能1.訪問(wèn)控制2.地址轉(zhuǎn)換3.網(wǎng)絡(luò)環(huán)境支持4.帶寬管理功能7.高可用性6.用戶認(rèn)證5.入侵檢測(cè)和攻擊防御防火墻的定義防火墻安全策略定義安全策略是按一定規(guī)則，控制設(shè)備對(duì)流量轉(zhuǎn)發(fā)以及對(duì)流量進(jìn)行內(nèi)容安全一體化檢測(cè)的策略。規(guī)則的本質(zhì)是包過(guò)濾。主要應(yīng)用對(duì)跨防火墻的網(wǎng)絡(luò)互訪進(jìn)行控制對(duì)設(shè)備本身的訪問(wèn)進(jìn)行控制防火墻的定義防火墻安全策略作用根據(jù)定義的規(guī)則對(duì)經(jīng)過(guò)防火墻的流量進(jìn)行過(guò)濾篩選，再進(jìn)行下一步操作。防火墻安全策略的原理入數(shù)據(jù)流出數(shù)據(jù)流

BBAABBBAAAA

AAAAAAPolicy0：允許APolicy1：拒絕B防火墻安全策略步驟1：入數(shù)據(jù)流經(jīng)過(guò)防火墻步驟2：查找防火墻安全策略判斷是否允許下一步操作步驟３：防火墻根據(jù)定義的安全策略對(duì)數(shù)據(jù)包進(jìn)行處理默認(rèn)策略操作防火墻的定義安全策略分類域間安全策略域內(nèi)安全策略接口包過(guò)濾Trust區(qū)域Untrust區(qū)域G0/0/0G0/0/1OutbountInbountTrust區(qū)域G0/0/0InbountOutbount防火墻的定義防火墻發(fā)展歷程目錄防火墻發(fā)展歷程防火墻發(fā)展進(jìn)程防火墻發(fā)展歷程傳統(tǒng)防火墻（包過(guò)濾防火墻）——一個(gè)嚴(yán)格的規(guī)則表判斷信息數(shù)據(jù)包的源IP地址、目的IP地址、協(xié)議類型、源端口、目的端口（五元組）工作范圍網(wǎng)絡(luò)層、傳輸層（3-4層）和路由器的區(qū)別普通的路由器只檢查數(shù)據(jù)包的目標(biāo)地址，并選擇一個(gè)達(dá)到目的地址的最佳路徑。防火墻除了要決定目的路徑以外還需要根據(jù)已經(jīng)設(shè)定的規(guī)則進(jìn)行判斷“是與否”。技術(shù)應(yīng)用包過(guò)濾技術(shù)防火墻發(fā)展歷程傳統(tǒng)防火墻（包過(guò)濾防火墻）——一個(gè)嚴(yán)格的規(guī)則表優(yōu)勢(shì)對(duì)于小型站點(diǎn)容易實(shí)現(xiàn)，處理速度快，價(jià)格便宜劣勢(shì)規(guī)則表很快會(huì)變得龐大復(fù)雜難運(yùn)維，只能基于五元組包過(guò)濾防火墻非信任網(wǎng)絡(luò)信任網(wǎng)絡(luò)匹配規(guī)則：①有允許規(guī)則：是；②有拒絕規(guī)則：否；③無(wú)相關(guān)規(guī)則：否；防火墻發(fā)展歷程傳統(tǒng)防火墻（應(yīng)用代理防火墻）——每個(gè)應(yīng)用添加代理判斷信息所有應(yīng)用層的信息包工作范圍應(yīng)用層（7層）和包過(guò)濾防火墻的區(qū)別包過(guò)濾防火墻工作基于3-4層，通過(guò)檢驗(yàn)報(bào)頭進(jìn)行規(guī)則表匹配。應(yīng)用代理防火墻工作7層，檢查所有的應(yīng)用層信息包，每個(gè)應(yīng)用需要添加對(duì)應(yīng)的代理服務(wù)。技術(shù)應(yīng)用應(yīng)用代理技術(shù)防火墻發(fā)展歷程傳統(tǒng)防火墻（應(yīng)用代理防火墻）——每個(gè)應(yīng)用添加代理優(yōu)勢(shì)檢查了應(yīng)用層的數(shù)據(jù)劣勢(shì)檢測(cè)效率低，配置運(yùn)維難度極高，可伸縮性差代理一：客戶端到防火墻代理一：防火墻到服務(wù)器只檢查數(shù)據(jù)客戶端服務(wù)器防火墻發(fā)展歷程傳統(tǒng)防火墻（狀態(tài)檢測(cè)防火墻）——首次檢查建立會(huì)話表判斷信息IP地址、端口號(hào)、TCP標(biāo)記工作范圍數(shù)據(jù)鏈路層、網(wǎng)絡(luò)層、傳輸層（2-4層）和包過(guò)濾防火墻的區(qū)別包過(guò)濾防火墻工作基于3-4層，通過(guò)檢驗(yàn)報(bào)頭進(jìn)行規(guī)則表匹配。是包過(guò)濾防火墻的升級(jí)版，一次檢查建立會(huì)話表，后期直接按會(huì)話表放行。技術(shù)應(yīng)用狀態(tài)檢測(cè)技術(shù)防火墻發(fā)展歷程傳統(tǒng)防火墻（狀態(tài)檢測(cè)防火墻）——首次檢查建立會(huì)話表優(yōu)勢(shì)主要檢查3-4層能夠保證效率，對(duì)TCP防御較好劣勢(shì)應(yīng)用層控制較弱，不檢查數(shù)據(jù)區(qū)包過(guò)濾防火墻非信任網(wǎng)絡(luò)信任網(wǎng)絡(luò)防火墻發(fā)展歷程入侵檢測(cè)系統(tǒng)（IDS）——網(wǎng)絡(luò)攝像頭部署方式旁路部署，可多點(diǎn)部署工作范圍2-7層工作特點(diǎn)根據(jù)部署位置監(jiān)控到的流量進(jìn)行攻擊事件監(jiān)控，屬于一個(gè)事后呈現(xiàn)的系統(tǒng)，相當(dāng)于網(wǎng)絡(luò)上的監(jiān)控?cái)z像頭目的傳統(tǒng)防火墻只能基于規(guī)則執(zhí)行“是”或“否”的策略，IDS主要是為了幫助管理員清晰的了解到網(wǎng)絡(luò)環(huán)境中發(fā)生了什么事情。防火墻發(fā)展歷程入侵檢測(cè)系統(tǒng)（IDS）——網(wǎng)絡(luò)攝像頭分析方式基于規(guī)則入侵檢測(cè)基于規(guī)則入侵檢測(cè)統(tǒng)計(jì)模型分析呈現(xiàn)防火墻非信任網(wǎng)絡(luò)信任網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)探測(cè)器分析器用戶接口防火墻發(fā)展歷程入侵防御系統(tǒng)（IPS）——抵御2-7層已知威脅部署方式串聯(lián)部署工作范圍2-7層工作特點(diǎn)根據(jù)已知的安全威脅生成對(duì)應(yīng)的過(guò)濾器（規(guī)則），對(duì)于識(shí)別為流量的阻斷，對(duì)于未識(shí)別的放通目的IDS只能對(duì)網(wǎng)絡(luò)環(huán)境進(jìn)行檢測(cè)，但卻無(wú)法進(jìn)行防御，IPS主要是針對(duì)已知威脅進(jìn)行防御防火墻發(fā)展歷程入侵防御系統(tǒng)（IPS）——抵御2-7層已知威脅入侵防御系統(tǒng)非信任網(wǎng)絡(luò)信任網(wǎng)絡(luò)防火墻發(fā)展歷程防病毒網(wǎng)關(guān)（AV）——基于網(wǎng)絡(luò)側(cè)識(shí)別病毒文件判斷信息數(shù)據(jù)包工作范圍2-7層目的防止病毒文件通過(guò)外網(wǎng)絡(luò)進(jìn)入到內(nèi)網(wǎng)環(huán)境數(shù)據(jù)包文件還原防病毒網(wǎng)關(guān)非信任網(wǎng)絡(luò)信任網(wǎng)絡(luò)防火墻發(fā)展歷程防病毒網(wǎng)關(guān)（AV）——基于網(wǎng)絡(luò)側(cè)識(shí)別病毒文件和防火墻的區(qū)別防火墻發(fā)展歷程Web應(yīng)用防火墻（WAF）——專門用來(lái)保護(hù)web應(yīng)用判斷信息http協(xié)議數(shù)據(jù)的request和response工作范圍應(yīng)用層（7層）目的防止基于應(yīng)用層的攻擊影響Web應(yīng)用系統(tǒng)防火墻發(fā)展歷程Web應(yīng)用防火墻（WAF）——專門用來(lái)保護(hù)web應(yīng)用主要技術(shù)原理代理服務(wù)：會(huì)話雙向代理，用戶與服務(wù)器不產(chǎn)生直接鏈接，對(duì)于DDOS攻擊可以抑制特征識(shí)別：通過(guò)正則表達(dá)式的特征庫(kù)進(jìn)行特征識(shí)別算法識(shí)別：針對(duì)攻擊方式進(jìn)行模式化識(shí)別，如SQL注入、DDOS、XSS等Web應(yīng)用防火墻非信任網(wǎng)絡(luò)服務(wù)器防火墻發(fā)展歷程統(tǒng)一威脅管理（UTM）——多合一安全網(wǎng)關(guān)包含功能FW、IDS、IPS、AV工作范圍2-7層（但是不具備web應(yīng)用防護(hù)能力）目的將多種安全問(wèn)題通過(guò)一臺(tái)設(shè)備解決優(yōu)點(diǎn)功能多合一有效降低了硬件成本、人力成本、時(shí)間成本缺點(diǎn)模塊串聯(lián)檢測(cè)效率低，性能消耗大防火墻發(fā)展歷程統(tǒng)一威脅管理（UTM）——多合一安全網(wǎng)關(guān)非信任網(wǎng)絡(luò)信任網(wǎng)絡(luò)UTM防火墻發(fā)展歷程下一代防火墻（NGFW）——升級(jí)版的UTM包含功能FW、IDS、IPS、AV、WAF工作范圍2-7層和UTM的區(qū)別與UTM相比增加的web應(yīng)用防護(hù)功能UTM是串行處理機(jī)制，NGFW是并行處理機(jī)制NGFW的性能更強(qiáng)，管理更高效防火墻的定義防火墻發(fā)展歷程總結(jié)下一代防火墻組網(wǎng)方案了解下一代防火墻組網(wǎng)方案教學(xué)目標(biāo)下一代防火墻組網(wǎng)簡(jiǎn)介下一代防火墻組網(wǎng)方案策略路由解決方案目錄下一代防火墻組網(wǎng)方案路由模式組網(wǎng)需求背景客戶需求：現(xiàn)有的拓?fù)淙缦聢D，使用AF替換現(xiàn)有防火墻部署在出口，實(shí)現(xiàn)對(duì)內(nèi)網(wǎng)用戶和服務(wù)器安全防護(hù)。內(nèi)網(wǎng)用戶服務(wù)器區(qū)下一代防火墻組網(wǎng)方案路由模式組網(wǎng)需求分析：部署前我們需要做哪些準(zhǔn)備工作？了解現(xiàn)有防火墻設(shè)備的內(nèi)外網(wǎng)接口配置內(nèi)網(wǎng)網(wǎng)段如何規(guī)劃，需要寫回程路由內(nèi)網(wǎng)服務(wù)器是否需要做端口映射是否需要做源地址轉(zhuǎn)換代理內(nèi)網(wǎng)電腦上網(wǎng)內(nèi)外網(wǎng)權(quán)限需要做哪些控制需要配置哪些安全防護(hù)策略滿足客戶需求現(xiàn)有拓?fù)涫欠裢暾乱淮阑饓M網(wǎng)方案路由模式組網(wǎng)配置思路配置接口地址，并定義接口對(duì)應(yīng)的區(qū)域：在【網(wǎng)絡(luò)】-【接口/區(qū)域】-【物理接口】中，選擇接口，并配置接口類型、所屬區(qū)域、基本屬性、IP地址配置路由：在【網(wǎng)絡(luò)】-【路由】中，新增靜態(tài)路由，配置默認(rèn)路由和回程路由配置代理上網(wǎng)：在【策略】-【地址轉(zhuǎn)換】中，新增源地址轉(zhuǎn)換配置端口映射：在【策略】-【地址轉(zhuǎn)換】中，新增服務(wù)器映射配置應(yīng)用控制策略，放通內(nèi)網(wǎng)用戶上網(wǎng)權(quán)限：在【策略】-【訪問(wèn)控制】-【應(yīng)用控制策略】中，新增應(yīng)用控制策略，放通內(nèi)到外的數(shù)據(jù)訪問(wèn)權(quán)限配置安全防護(hù)策略：如業(yè)務(wù)防護(hù)策略、用戶防護(hù)策略等下一代防火墻組網(wǎng)方案路由模式組網(wǎng)單臂路由模式單臂路由是指在路由器的一個(gè)接口上通過(guò)配置子接口（邏輯接口，并不存在真正物理接口）的方式，實(shí)現(xiàn)原來(lái)相互隔離的不同VLAN（虛擬局域網(wǎng)）之間的互聯(lián)互通vlan10vlan20trunkEth2.10(vlan10):/24Eth2.20(vlan20):/24下一代防火墻組網(wǎng)方案路由模式組網(wǎng)配置案例某用戶網(wǎng)絡(luò)是跨三層的環(huán)境，購(gòu)買AF設(shè)備打算部署在公網(wǎng)出口，代理內(nèi)網(wǎng)用戶上網(wǎng)，公網(wǎng)線路是光纖接入固定分配IP的，具體網(wǎng)絡(luò)拓?fù)淙鐖D所示54/24/24/24/24/29/29下一代防火墻組網(wǎng)方案路由模式組網(wǎng)配置步驟1配置接口地址，并定義接口對(duì)應(yīng)的區(qū)域：在【網(wǎng)絡(luò)】-【接口/區(qū)域】-【物理接口】中，分別選擇兩個(gè)接口作為內(nèi)外網(wǎng)口，并配置接口類型、所屬區(qū)域、基本屬性、IP地址。下一代防火墻組網(wǎng)方案路由模式組網(wǎng)配置步驟2配置路由：在【網(wǎng)絡(luò)】-【路由】中，新增靜態(tài)路由，配置默認(rèn)路由和回程路由。下一代防火墻組網(wǎng)方案路由模式組網(wǎng)配置步驟3配置代理上網(wǎng)：在【策略】-【地址轉(zhuǎn)換】中，新增NAT，配置源地址轉(zhuǎn)換。下一代防火墻組網(wǎng)方案路由模式組網(wǎng)配置步驟4配置應(yīng)用控制策略，放通內(nèi)網(wǎng)用戶上網(wǎng)權(quán)限：在【策略】-【訪問(wèn)控制】-【應(yīng)用控制策略】中，新增應(yīng)用控制策略，放通內(nèi)到外的數(shù)據(jù)訪問(wèn)權(quán)限。下一代防火墻組網(wǎng)方案路由模式組網(wǎng)注意事項(xiàng)在路由模式部署時(shí)，防火墻位于內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)之間，負(fù)責(zé)在內(nèi)部網(wǎng)絡(luò)、外部網(wǎng)絡(luò)中進(jìn)行路由尋址，相當(dāng)于路由器。其與內(nèi)部網(wǎng)絡(luò)、外部網(wǎng)絡(luò)相連的上下行業(yè)務(wù)接口均工作在三層，需要分別配置不同網(wǎng)段的IP地址路由模式部署支持更多的安全特性，如NAT、策略路由選擇，動(dòng)態(tài)路由協(xié)議（OSPF、BGP、RIP等）等需要修改原網(wǎng)絡(luò)拓?fù)?，?duì)現(xiàn)有環(huán)境改動(dòng)較大一般部署在需要進(jìn)行路由轉(zhuǎn)發(fā)的位置，如出口路由器或替換已有路由器、老防火墻等場(chǎng)景下一代防火墻組網(wǎng)方案透明模式組網(wǎng)需求背景客戶需求：現(xiàn)有的拓?fù)淙缦聢D，需要增加一臺(tái)AF設(shè)備做安全防護(hù)，但不能改動(dòng)現(xiàn)有網(wǎng)絡(luò)環(huán)境內(nèi)網(wǎng)用戶服務(wù)器區(qū)下一代防火墻組網(wǎng)方案透明模式組網(wǎng)需求分析：部署前我們需要做哪些準(zhǔn)備工作？?jī)?nèi)外網(wǎng)接口定義管理地址配置，是否需要帶外管理，還是通過(guò)VLANIP管理配置路由，一般缺省路由用作防火墻上網(wǎng)，回程路由用作防火墻管理內(nèi)外網(wǎng)權(quán)限需要做哪些控制需要配置哪些安全防護(hù)策略滿足客戶需求下一代防火墻組網(wǎng)方案透明模式組網(wǎng)配置思路配置接口類型，并定義接口對(duì)應(yīng)的區(qū)域：在【網(wǎng)絡(luò)】-【接口】-【物理接口】中，選擇接口，并配置接口類型、所屬區(qū)域、基本屬性如所屬access或者trunk配置管理接口：在【網(wǎng)絡(luò)】-【接口】中，新增管理接口，或者配置vlan接口的邏輯接口做為管理接口，并分配管理地址配置路由：在【網(wǎng)絡(luò)】-【路由】中，新增缺省路由和回程路由配置應(yīng)用控制策略，對(duì)不同區(qū)域間的訪問(wèn)權(quán)限進(jìn)行控制：在【策略】-【訪問(wèn)控制】-【應(yīng)用控制策略】中，新增應(yīng)用控制策略，進(jìn)行訪問(wèn)權(quán)限控制配置安全防護(hù)策略：如：業(yè)務(wù)防護(hù)策略、用戶防護(hù)策略等下一代防火墻組網(wǎng)方案透明模式組網(wǎng)虛擬網(wǎng)線部署：虛擬網(wǎng)線部署是透明部署中另外一種特殊情況，和正常透明部署有如下區(qū)別和透明部署一樣，接口也是二層接口，但是被定義成虛擬網(wǎng)線接口虛擬網(wǎng)絡(luò)接口必須成對(duì)存在，轉(zhuǎn)發(fā)數(shù)據(jù)時(shí)，無(wú)需檢查MAC表，直接從虛擬網(wǎng)線配對(duì)的接口轉(zhuǎn)發(fā)虛擬網(wǎng)線接口的轉(zhuǎn)發(fā)性能高于透明接口，一般的網(wǎng)橋環(huán)境下，推薦使用虛擬網(wǎng)線接口部署虛擬網(wǎng)線部署需要通過(guò)其他路由口進(jìn)行管理下一代防火墻組網(wǎng)方案透明模式組網(wǎng)配置案例某用戶網(wǎng)絡(luò)是跨三層的環(huán)境，有路由器部署在公網(wǎng)出口，現(xiàn)購(gòu)買AF設(shè)備，不能改動(dòng)原有環(huán)境，需做透明部署進(jìn)去，具體網(wǎng)絡(luò)拓?fù)淙缦聢D所示/24/24/24/2454/24下一代防火墻組網(wǎng)方案透明模式組網(wǎng)配置步驟1配置接口類型，并定義接口對(duì)應(yīng)的區(qū)域：在【網(wǎng)絡(luò)】-【接口/區(qū)域】-【物理接口】中，分別選擇兩個(gè)接口做上下聯(lián)接口，并配置接口類型、所屬區(qū)域、基本屬性access（如在trunk環(huán)境需選擇trunk口）。下一代防火墻組網(wǎng)方案透明模式組網(wǎng)配置步驟2配置管理接口：在【網(wǎng)絡(luò)】-【接口】-【VLAN接口】中，配置vlan接口的邏輯接口做為管理接口，并分