《CIW-570-06(防火墙技术修改版)》由会员分享,可在线阅读,更多相关《CIW-570-06(防火墙技术修改版)(73页珍藏版)》请在金锄头文库上搜索。
1、CIW网络安全认证培训 施能坤施能坤 13609551586防火墙介绍白金网络高级工程师系列教程白金网络高级工程师系列教程防火墙的基本概念防火墙的基本概念防火墙发展历程防火墙发展历程防火墙核心技术防火墙核心技术防火墙体系结构防火墙体系结构防火墙构造体系防火墙构造体系防火墙的功能与原理防火墙的功能与原理防火墙的接入方式防火墙的接入方式防火墙的性能防火墙的性能防火墙的配置防火墙的配置防火墙的局限性防火墙的局限性白金网络高级工程师系列教程白金网络高级工程师系列教程传统防火墙的概念白金网络高级工程师系列教程白金网络高级工程师系列教程网络领域防火墙的概念网络领域防火墙的概念白金网络高级工程师系列教程白
2、金网络高级工程师系列教程防火墙的作用过滤进出网络的数据包; 管理进出网络的访问行为; 封堵某些禁止的访问行为; 记录通过防火墙的信息内容和活动; 对网络攻击进行检测和告警能过滤大部分的危险端口设置严格的外向内的状态过滤规则抵挡大部分的拒绝服务攻击加强了访问控制能力白金网络高级工程师系列教程白金网络高级工程师系列教程防火墙的基本概念防火墙的基本概念防火墙发展历程防火墙发展历程防火墙核心技术防火墙核心技术防火墙体系结构防火墙体系结构防火墙构造体系防火墙构造体系防火墙的功能与原理防火墙的功能与原理防火墙的接入方式防火墙的接入方式防火墙的性能防火墙的性能防火墙的配置防火墙的配置防火墙的局限性防火墙的局
3、限性白金网络高级工程师系列教程白金网络高级工程师系列教程防火墙的发展历程防火墙的发展历程白金网络高级工程师系列教程白金网络高级工程师系列教程防火墙的基本概念防火墙的基本概念防火墙发展历程防火墙发展历程防火墙核心技术防火墙核心技术防火墙体系结构防火墙体系结构防火墙构造体系防火墙构造体系防火墙的功能与原理防火墙的功能与原理防火墙的接入方式防火墙的接入方式防火墙的性能防火墙的性能防火墙的配置防火墙的配置防火墙的局限性防火墙的局限性白金网络高级工程师系列教程白金网络高级工程师系列教程现有防火墙的核心技术现有防火墙的核心技术白金网络高级工程师系列教程白金网络高级工程师系列教程简单包过滤防火墙的工作原理白
4、金网络高级工程师系列教程白金网络高级工程师系列教程包过滤防火墙缺点没有用户的使用记录,这样我们就不能得到入侵者没有用户的使用记录,这样我们就不能得到入侵者的攻击记录的攻击记录 。只能只能IP层的攻击行为层的攻击行为 。包过滤防火墙还具有配置繁琐的缺点。包过滤防火墙还具有配置繁琐的缺点。 不能在用户级别上进行过滤不能在用户级别上进行过滤, ,即不能鉴别不同的用户即不能鉴别不同的用户和防止和防止IPIP地址盗用。地址盗用。 白金网络高级工程师系列教程白金网络高级工程师系列教程状态检测包过滤防火墙的工作原理状态检测包过滤防火墙的工作原理白金网络高级工程师系列教程白金网络高级工程师系列教程状态检测防火
5、墙优缺点监测引擎支持多种协议和应用程序,并可以很容易监测引擎支持多种协议和应用程序,并可以很容易地实现应用和服务的扩充。地实现应用和服务的扩充。 一旦某个访问违反安全规定,就会拒绝该访问,并一旦某个访问违反安全规定,就会拒绝该访问,并报告有关状态作日志记录。报告有关状态作日志记录。 它会监测无连接状态的远程过程调用(它会监测无连接状态的远程过程调用(RPCRPC)和用户和用户数据报(数据报(UDPUDP)之类的端口信息,而包过滤和应用网之类的端口信息,而包过滤和应用网关防火墙都不支持此类应用。关防火墙都不支持此类应用。 非常坚固非常坚固 ,但会,但会降低网络的速度,而且配置也比较降低网络的速度
6、,而且配置也比较复杂复杂 。白金网络高级工程师系列教程白金网络高级工程师系列教程应用代理防火墙的工作原理应用代理防火墙的工作原理白金网络高级工程师系列教程白金网络高级工程师系列教程应用级防火墙优缺点访问控制效果较好,但效率不高。访问控制效果较好,但效率不高。实现技术麻烦,缺乏透明度。实现技术麻烦,缺乏透明度。每一个特定的每一个特定的InternetInternet协议协议( (服务服务) )安装相应的代理安装相应的代理服务软件服务软件 。对每一类服务要使用特殊的客户端软件。对每一类服务要使用特殊的客户端软件。 白金网络高级工程师系列教程白金网络高级工程师系列教程复合型防火墙的工作原理复合型防火
7、墙的工作原理白金网络高级工程师系列教程白金网络高级工程师系列教程防火墙核心技术比较防火墙核心技术比较白金网络高级工程师系列教程白金网络高级工程师系列教程防火墙的基本概念防火墙的基本概念防火墙发展历程防火墙发展历程防火墙核心技术防火墙核心技术防火墙体系结构防火墙体系结构防火墙构造体系防火墙构造体系防火墙的功能与原理防火墙的功能与原理防火墙的接入方式防火墙的接入方式防火墙的性能防火墙的性能防火墙的配置防火墙的配置防火墙的局限性防火墙的局限性白金网络高级工程师系列教程白金网络高级工程师系列教程防火墙的体系结构防火墙的体系结构白金网络高级工程师系列教程白金网络高级工程师系列教程防火墙形态 1纯硬防火墙
8、:纯硬防火墙:一般分为一般分为ASIC(专用集成电路)、(专用集成电路)、NP(通用网络处理器)(通用网络处理器)和和FPGA 3种核心处理器种核心处理器-同时同时 采用采用MIPSARMPOWER PCRISA芯片的芯片的CPU平台处理器(平台处理器(CPU的成本低)的成本低)ASIC:如:如NETSCREEN,原理上性能最好,缺点是设计复杂、开发周期长,原理上性能最好,缺点是设计复杂、开发周期长,改动不灵活(需要更换芯片);随着通用硬件的发展,在百兆通常的应用上已改动不灵活(需要更换芯片);随着通用硬件的发展,在百兆通常的应用上已经没有优势;性能价格比也不占优,在千兆上优势明显。经没有优势
9、;性能价格比也不占优,在千兆上优势明显。NP:网络处理器是一种非基于:网络处理器是一种非基于ASIC的的IC或或IC芯片组,利用软件编程,可以像芯片组,利用软件编程,可以像ASIC那样快速地处理数据包。同时升级芯片上的固件增加新的那样快速地处理数据包。同时升级芯片上的固件增加新的 功能,其固件功能,其固件可以有网络设备商或第三方加载到处理器中。厂商有可以有网络设备商或第三方加载到处理器中。厂商有INTER、IBM、摩托罗拉、摩托罗拉、SIBYTE等公司。等公司。国内出现的一般使用国内出现的一般使用INTEL的的NPU,原理上性能界于,原理上性能界于ASIC和通用和通用INTEL构架构架之间;灵
10、活性也是在中间。国内目前大多采用之间;灵活性也是在中间。国内目前大多采用INTER IXP1200 处理能力低,处理能力低,一般需要多片并行工作才能满足需求,还需要其他协处理芯片配合,对硬件设一般需要多片并行工作才能满足需求,还需要其他协处理芯片配合,对硬件设计能力要求较高,最终成本不会太低同样在百兆通常的应用上已经没有优势;计能力要求较高,最终成本不会太低同样在百兆通常的应用上已经没有优势;同时在百兆级未见应用,千兆国内有几家在开发。同时在百兆级未见应用,千兆国内有几家在开发。FPCA可编程芯片。可编程芯片。白金网络高级工程师系列教程白金网络高级工程师系列教程防火墙形态2纯软防火墙:纯软防火
11、墙:CHECKPOINT、SYMACTEC3.软硬一体化防火墙:软硬一体化防火墙:决大多数国产防火墙。决大多数国产防火墙。PC硬件硬件+通用操作系统通用操作系统+防火墙软件模块,在硬件平台上运行防火墙软件模块,在硬件平台上运行Linux、FreeBSD、Solaris等等经经 过最小化安全处理后的操作系统及继承的防火墙软件。基于共享系过最小化安全处理后的操作系统及继承的防火墙软件。基于共享系统总成,接口以及统总成,接口以及CPU的处理能力不可能成倍增加,共享总线的架构的处理能力不可能成倍增加,共享总线的架构还直接与防火墙网卡的各种性能有关,网卡越多,性能影响越大还直接与防火墙网卡的各种性能有关
12、,网卡越多,性能影响越大白金网络高级工程师系列教程白金网络高级工程师系列教程防火墙的基本概念防火墙的基本概念防火墙发展历程防火墙发展历程防火墙核心技术防火墙核心技术防火墙体系结构防火墙体系结构防火墙构造体系防火墙构造体系防火墙的功能与原理防火墙的功能与原理防火墙的接入方式防火墙的接入方式防火墙的性能防火墙的性能防火墙的配置防火墙的配置防火墙的局限性防火墙的局限性白金网络高级工程师系列教程白金网络高级工程师系列教程防火墙构造体系防火墙构造体系白金网络高级工程师系列教程白金网络高级工程师系列教程筛选路由器筛选路由器白金网络高级工程师系列教程白金网络高级工程师系列教程双宿主主机双宿主主机白金网络高级
13、工程师系列教程白金网络高级工程师系列教程被屏蔽主机被屏蔽主机白金网络高级工程师系列教程白金网络高级工程师系列教程被屏蔽子网被屏蔽子网白金网络高级工程师系列教程白金网络高级工程师系列教程防火墙的基本概念防火墙的基本概念防火墙发展历程防火墙发展历程防火墙核心技术防火墙核心技术防火墙体系结构防火墙体系结构防火墙构造体系防火墙构造体系防火墙的功能与原理防火墙的功能与原理防火墙的接入方式防火墙的接入方式防火墙的性能防火墙的性能防火墙的配置防火墙的配置防火墙的局限性防火墙的局限性白金网络高级工程师系列教程白金网络高级工程师系列教程访问控制功能访问控制功能白金网络高级工程师系列教程白金网络高级工程师系列教程
14、日志分析日志分析白金网络高级工程师系列教程白金网络高级工程师系列教程通信日志通信日志白金网络高级工程师系列教程白金网络高级工程师系列教程应用层命令日志应用层命令日志白金网络高级工程师系列教程白金网络高级工程师系列教程访问日志访问日志白金网络高级工程师系列教程白金网络高级工程师系列教程内容日志内容日志白金网络高级工程师系列教程白金网络高级工程师系列教程防火墙双机热备防火墙双机热备白金网络高级工程师系列教程白金网络高级工程师系列教程防火墙负载均衡防火墙负载均衡白金网络高级工程师系列教程白金网络高级工程师系列教程IPIP与与MACMAC地址绑定地址绑定白金网络高级工程师系列教程白金网络高级工程师系列
15、教程时间策略时间策略白金网络高级工程师系列教程白金网络高级工程师系列教程端口映射端口映射白金网络高级工程师系列教程白金网络高级工程师系列教程地址转换地址转换(NAT)(NAT)白金网络高级工程师系列教程白金网络高级工程师系列教程带宽管理带宽管理白金网络高级工程师系列教程白金网络高级工程师系列教程支持第三方认证服务器支持第三方认证服务器白金网络高级工程师系列教程白金网络高级工程师系列教程防火墙的基本概念防火墙的基本概念防火墙发展历程防火墙发展历程防火墙核心技术防火墙核心技术防火墙体系结构防火墙体系结构防火墙构造体系防火墙构造体系防火墙的功能与原理防火墙的功能与原理防火墙的接入方式防火墙的接入方式
16、防火墙的性能防火墙的性能防火墙的配置防火墙的配置防火墙的局限性防火墙的局限性白金网络高级工程师系列教程白金网络高级工程师系列教程透明接入透明接入白金网络高级工程师系列教程白金网络高级工程师系列教程路由接入路由接入白金网络高级工程师系列教程白金网络高级工程师系列教程混合接入混合接入白金网络高级工程师系列教程白金网络高级工程师系列教程Internet/公网公网内部网内部网路由器路由器NEsec300 FW2035968?告警内网接口外网接口电源控制台控制台服务器服务器服务器服务器服务器服务器主机主机主机主机内外网络隔离内外网络隔离 截取IP包,根据安全策略控制其进/出 双向网络地址转换(NAT)
17、基于一次性口令对移动访问进行身份识别和控制 IPMAC捆绑,防止IP地址的滥用安全记录安全记录 通信事件记录 操作事件记录 违规事件记录 异常情况告警移动用户移动用户拨号用户拨号用户局域网用户局域网用户(内部地址)内部地址)(内部地址)内部地址)白金网络高级工程师系列教程白金网络高级工程师系列教程路由器路由器HTTPHTTP服务器服务器DNSDNS服务器服务器EmailEmail服务器服务器防火墙防火墙DMZDMZ区区内部专用网络内部专用网络InternetInternetDDNDDNPSTNPSTNATMATMISDNISDNX.25X.25帧中继帧中继防火墙管理器防火墙管理器外部网络外部网
18、络安装方式之一安装方式之一白金网络高级工程师系列教程白金网络高级工程师系列教程防火墙防火墙防火墙管理工作站防火墙管理工作站分支机构分支机构受保护局域网受保护局域网防火墙防火墙防火墙防火墙资源子网资源子网路由器路由器路由器路由器路由器路由器分支机构分支机构受保护局域网受保护局域网公共网络公共网络总部总部路由器路由器路由器路由器安装方式之二安装方式之二白金网络高级工程师系列教程白金网络高级工程师系列教程防火墙的基本概念防火墙的基本概念防火墙发展历程防火墙发展历程防火墙核心技术防火墙核心技术防火墙体系结构防火墙体系结构防火墙构造体系防火墙构造体系防火墙的功能与原理防火墙的功能与原理防火墙的接入方式防
19、火墙的接入方式防火墙的性能防火墙的性能防火墙的配置防火墙的配置防火墙的局限性防火墙的局限性白金网络高级工程师系列教程白金网络高级工程师系列教程衡量防火墙性能的指标衡量防火墙性能的指标白金网络高级工程师系列教程白金网络高级工程师系列教程时延时延白金网络高级工程师系列教程白金网络高级工程师系列教程丢包率丢包率白金网络高级工程师系列教程白金网络高级工程师系列教程并发连接数并发连接数白金网络高级工程师系列教程白金网络高级工程师系列教程防火墙的基本概念防火墙的基本概念防火墙发展历程防火墙发展历程防火墙核心技术防火墙核心技术防火墙体系结构防火墙体系结构防火墙构造体系防火墙构造体系防火墙的功能与原理防火墙的
20、功能与原理防火墙的接入方式防火墙的接入方式防火墙的性能防火墙的性能防火墙的配置防火墙的配置防火墙的局限性防火墙的局限性白金网络高级工程师系列教程白金网络高级工程师系列教程安全公理/定理/推理公理:所有的程序都有缺陷(摩菲定理)公理:所有的程序都有缺陷(摩菲定理)大程序定律:大程序的缺陷甚至比它包含的内容还多大程序定律:大程序的缺陷甚至比它包含的内容还多推理:一个安全相关程序有安全性缺陷推理:一个安全相关程序有安全性缺陷定理:只要不运行这个程序,那么这个程序有缺陷,也无关紧要定理:只要不运行这个程序,那么这个程序有缺陷,也无关紧要推理:只要不运行这个程序,那么这个程序有安全性漏洞,也无关推理:只
21、要不运行这个程序,那么这个程序有安全性漏洞,也无关紧要紧要定理:对外暴露的计算机,应尽可能少地运行程序,且运行的程序定理:对外暴露的计算机,应尽可能少地运行程序,且运行的程序也尽可能地小也尽可能地小推论:防火墙基本法则:防火墙必须配置得尽可能地小,才能降低推论:防火墙基本法则:防火墙必须配置得尽可能地小,才能降低风险。风险。白金网络高级工程师系列教程白金网络高级工程师系列教程防火墙配置策略的基本准则防火墙配置策略的基本准则一切未被允许的就是禁止的一切未被允许的就是禁止的。防火墙缺省封锁所有的信息流,然后对希望提供的服务逐项开放。优点 : 实用,安全,可靠性高。按规则链来进行匹配按规则链来进行匹
22、配使用源地址、目的地址、源端口、目的端口、协议、时间段进行匹配从头到尾的匹配方式从头到尾的匹配方式匹配成功马上停止匹配成功马上停止立刻使用该规则的立刻使用该规则的”接受、禁止、拒绝接受、禁止、拒绝”白金网络高级工程师系列教程白金网络高级工程师系列教程走出非军事化区的误区设立非军事化区(设立非军事化区(DMZ)的最大意义)的最大意义设置防火墙时,务必要严格遵守一条黄金法则设置防火墙时,务必要严格遵守一条黄金法则但在实际操作中,执行上述法则存在难度但在实际操作中,执行上述法则存在难度白金网络高级工程师系列教程白金网络高级工程师系列教程最简单安全的防火墙架构 Internet办公办公PC机机内网区内
23、网区办公办公PC机机白金网络高级工程师系列教程白金网络高级工程师系列教程貌似安全的防火墙架构 Internet内网区内网区办公办公PC机机WWW Server白金网络高级工程师系列教程白金网络高级工程师系列教程最安全的防火墙架构WWW Server Internet非军事化区非军事化区(DMZ区区) 外网区外网区Mail Server内网区内网区白金网络高级工程师系列教程白金网络高级工程师系列教程不安全的防火墙架构WWW ServerInternet非军事化区非军事化区(DMZ区区)外网区外网区Mail Server内网区内网区DB Server白金网络高级工程师系列教程白金网络高级工程师系列
24、教程 隔离内外网络通信隔离内外网络通信 控制外部用户进入内部专网控制外部用户进入内部专网 限制内部用户出访限制内部用户出访鉴别移动或异地办公用户的网络访问鉴别移动或异地办公用户的网络访问 支持内部网络主机和服务器采用私有地址,对外界隐藏内部网络拓扑支持内部网络主机和服务器采用私有地址,对外界隐藏内部网络拓扑 防止内部主机防止内部主机IPIP地址的滥用和误用地址的滥用和误用 对来自外部、内部的网络违规和入侵行为进行检测和集中监控对来自外部、内部的网络违规和入侵行为进行检测和集中监控 系统安全审计对违规通信、安全事件进行实时报警和处置系统安全审计对违规通信、安全事件进行实时报警和处置 统计网络通信
25、流量,并根据策略进行流量控制统计网络通信流量,并根据策略进行流量控制 采用基于策略的方式对防火墙设备进行配置采用基于策略的方式对防火墙设备进行配置产品应用功能产品应用功能白金网络高级工程师系列教程白金网络高级工程师系列教程防火墙的基本概念防火墙的基本概念防火墙发展历程防火墙发展历程防火墙核心技术防火墙核心技术防火墙体系结构防火墙体系结构防火墙构造体系防火墙构造体系防火墙的功能与原理防火墙的功能与原理防火墙的接入方式防火墙的接入方式防火墙的性能防火墙的性能防火墙的配置防火墙的配置防火墙的局限性防火墙的局限性白金网络高级工程师系列教程白金网络高级工程师系列教程防火墙的局限性防火墙防外难于防内。防火
26、墙难于管理和配置。管理困难,容易出现配置的安全误区,并且紧急情况下无法做到迅速响应难于为用户在防火墙内外提供一致的安全策略。性能和稳定性制约了大范围的使用不能关闭需提供对外服务的端口只实现了粗粒度的访问控制对新出现的漏洞和攻击方式不能迅速提供有效的防御方法解决办法:解决办法: (1)与其它安全产品配合,构筑整体安全体系与其它安全产品配合,构筑整体安全体系 (2)可实施的安全体系:防火墙入侵检测可实施的安全体系:防火墙入侵检测白金网络高级工程师系列教程白金网络高级工程师系列教程知名的防火墙产品知名的防火墙产品Netscreen 5400白金网络高级工程师系列教程白金网络高级工程师系列教程知名的防
27、火墙产品知名的防火墙产品Netscreen 1000白金网络高级工程师系列教程白金网络高级工程师系列教程知名的防火墙产品知名的防火墙产品Netscreen 208白金网络高级工程师系列教程白金网络高级工程师系列教程知名的防火墙产品知名的防火墙产品CISCO PIX 525CISCO K9板卡白金网络高级工程师系列教程白金网络高级工程师系列教程Nokia 防火墙(Check Point FireWall-1TM企业安全套件 )知名的防火墙产品知名的防火墙产品白金网络高级工程师系列教程白金网络高级工程师系列教程知名的防火墙产品知名的防火墙产品天融信 FW3000天融信 FW4000白金网络高级工程师系列教程白金网络高级工程师系列教程知名的防火墙产品知名的防火墙产品福建省 黑盾防火墙白金网络高级工程师系列教程白金网络高级工程师系列教程
