高职大赛培训13-防火墙技术.ppt

《高职大赛培训13-防火墙技术.ppt》由会员分享，可在线阅读，更多相关《高职大赛培训13-防火墙技术.ppt（62页珍藏版）》请在金锄头文库上搜索。

1、防火墙技术防火墙技术本章内容 防火墙技术防火墙技术 防火墙的分类防火墙的分类 防火墙部署方式防火墙部署方式 配置配置RG-WALLRG-WALL防火墙防火墙课程议题防火墙技术防火墙技术防火墙技术防火墙技术什么是防火墙？ 传统意义的防火墙传统意义的防火墙用于控制实际的火灾，使火用于控制实际的火灾，使火灾被限制在建筑物的某部分，灾被限制在建筑物的某部分，不会蔓延到其他区域不会蔓延到其他区域 网络安全中的防火墙网络安全中的防火墙用于保护网络免受恶意行为用于保护网络免受恶意行为的侵害，并阻止其非法行为的侵害，并阻止其非法行为的网络设备或系统的网络设备或系统作为一个安全网络的边界点作为一个安全网络的边界

2、点在不同的网络区域之间进行在不同的网络区域之间进行流量的访问控制流量的访问控制防火墙的作用 防火墙能够做什么？防火墙能够做什么？控制和管理网络访问控制和管理网络访问保护网络和系统资源保护网络和系统资源数据流量的深度检测数据流量的深度检测身份验证身份验证扮演中间人角色扮演中间人角色记录和报告事件记录和报告事件防火墙与OSI 基本防火墙基本防火墙NetworkNetworkTransportTransport 高级防火墙高级防火墙DataLinkDataLinkSessionSessionApplicationApplication课程议题防火墙分类防火墙分类防火墙分类防火墙分类防火墙的分类 防火

3、墙分类防火墙分类按照操作对象按照操作对象主机防火墙网络防火墙按照实现方式按照实现方式软件防火墙硬件防火墙按照过滤和检测方式按照过滤和检测方式包过滤防火墙状态防火墙应用网关防火墙地址转换防火墙透明防火墙混合防火墙主机防火墙与网络防火墙 主机防火墙主机防火墙位置优势位置优势低成本低成本难于部署、维护难于部署、维护缺乏透明度缺乏透明度功能局限性功能局限性示例示例Microsoft ICFNorton Personal Firewall 网络防火墙网络防火墙功能强大功能强大性能高性能高透明度强透明度强成本高成本高内部攻击保护性差内部攻击保护性差示例示例Ruijie RG-WALLJuniper Net

4、screenCisco PIX/ASAFortinet FortiGate天融信NetGuard软件防火墙与硬件防火墙 软件防火墙软件防火墙应用层控制和检测应用层控制和检测功能丰富功能丰富性能低性能低自身安全性问题自身安全性问题示例示例Microsoft ISASunScreenCheckPoint Firewall 硬件防火墙硬件防火墙性能高性能高自身安全性高自身安全性高易于维护易于维护缺乏高级功能缺乏高级功能示例示例Ruijie RG-WALLJuniper NetscreenCisco PIX/ASAFortinet FortiGate天融信NetGuard包过滤防火墙 无状态包过滤防火

5、墙技术无状态包过滤防火墙技术最基本的防火墙过滤方式最基本的防火墙过滤方式根据根据L3/L4L3/L4信息进行过滤信息进行过滤源和目的IP协议ICMP消息和类型TCP/UDP源和目的端口处理速度快处理速度快无法阻止应用层攻击无法阻止应用层攻击部署复杂，维护量大部署复杂，维护量大部署方式部署方式作为Internet边界的第一层防线隐式拒绝，显示允许示例示例使用ACL过滤的路由器包过滤防火墙（续） 无状态包过滤防火墙示例无状态包过滤防火墙示例状态防火墙 有状态包过滤防火墙技术有状态包过滤防火墙技术与无状态包过滤防火墙执行相似的操作与无状态包过滤防火墙执行相似的操作保持对连接状态的跟踪，状态表保持对连

6、接状态的跟踪，状态表无需开放高端口访问权限不属于现有会话的访问将被拒绝检查更高级的信息检查更高级的信息TCP Flag、TCP Seq.更多的DoS防护特定应用层协议检测不能阻止应用层攻击不能阻止应用层攻击状态表导致的系统开销状态表导致的系统开销部署方式部署方式作为主要的防御措施需要更加严格的控制状态防火墙（续） 无状态包过滤的问题无状态包过滤的问题 有状态包过滤防火墙的实现有状态包过滤防火墙的实现跟踪连接的状态跟踪连接的状态状态防火墙（续） 无应用层检测的状态防火墙无应用层检测的状态防火墙状态防火墙（续） 支持应用层检测的状态防火墙支持应用层检测的状态防火墙动态协议检测（动态协议检测（FTP

7、FTP、NetBIOSNetBIOS、SQLNETSQLNET、SIPSIP.).)检测应用层报头中的信息（应用层命令）检测应用层报头中的信息（应用层命令）应用网关防火墙 应用网关防火墙技术应用网关防火墙技术通常称为代理防火墙（通常称为代理防火墙（Proxy FirewallProxy Firewall）操作在操作在L3/L4/L5/L7L3/L4/L5/L7支持身份认证支持身份认证监控和过滤应用层信息监控和过滤应用层信息通过软件处理通过软件处理支持的应用有限可能需要部署客户端软件支持的应用有限可能需要部署客户端软件部署方式部署方式作为主要的的防御措施需要更严格的身份及会话验证应用网关防火墙（

8、续） 连接网关防火墙连接网关防火墙执行传统的应用网关防火墙检测方式执行传统的应用网关防火墙检测方式 直通代理防火墙（直通代理防火墙（Cut-ThroughCut-Through）简化的应用网关防火墙简化的应用网关防火墙对于初始连接请求进行身份验证会话的后续信息执行L3/L4过滤更好的性能更好的性能地址转换防火墙 NATNAT防火墙技术防火墙技术解决了公有解决了公有IPIP地址匮乏的问题地址匮乏的问题在在L3/L4L3/L4操作操作隐藏了内部网络结构隐藏了内部网络结构引入了延时引入了延时破坏了破坏了IPIP的端到端模型的端到端模型对应用的支持限制对应用的支持限制一些应用将连接信息嵌入到应用层报文

9、中NAT ALG（Application Layer Gateway）地址转换防火墙（续） NAT ALGNAT ALG（SQLNETSQLNET）地址转换防火墙（续） NAT ALGNAT ALG（DNSDNS）透明防火墙 透明防火墙透明防火墙充当网桥的角色充当网桥的角色可操作于可操作于L2/L3/L4/L5/L7L2/L3/L4/L5/L7易于部署易于部署即插即用零配置无需更改编制结构无需更改路由拓扑隐蔽性高隐蔽性高透明设备，0跳无IP，无连接可达到混合防火墙 高级防火墙高级防火墙包过滤（无状态包过滤（无状态/ /有状态）有状态）NATNAT操作操作应用内容过滤应用内容过滤透明防火墙透明防

10、火墙防攻击防攻击入侵检测入侵检测VPNVPN安全管理安全管理课程议题防火墙部署防火墙部署防火墙部署防火墙部署防火墙区域 防火墙拓扑位置防火墙拓扑位置专用（内部）和公共（外部）网络之间专用（内部）和公共（外部）网络之间网络的出口和入口处网络的出口和入口处专用网络内部：关键的网段，如数据中心专用网络内部：关键的网段，如数据中心 防火墙区域防火墙区域TrustTrust（内部）（内部）UntrustUntrust（外部，（外部，InternetInternet）DMZDMZ（Demilitarized ZoneDemilitarized Zone，非武装军事区），非武装军事区）DMZ中的系统通常为提

11、供对外服务的系统增强信任区域中设备的安全性特殊的访问策略信任区域中的设备也会对DMZ中的系统进行访问防火墙区域（续）防火墙区域设计 双接口无双接口无DMZDMZ区域区域网络无需对外提供服务网络无需对外提供服务防火墙区域设计（续） 带边界路由器的单防火墙双接口带边界路由器的单防火墙双接口DMZDMZ区域区域双层次防火墙设计的替代方案双层次防火墙设计的替代方案防火墙区域设计（续） 单防火墙三接口单防火墙三接口DMZDMZ区域区域最通用的部署方式最通用的部署方式防火墙区域设计（续） 单防火墙多单防火墙多DMZDMZ区域区域常用于常用于ISPISP设计设计防火墙区域设计（续） 背靠背防火墙设计背靠背防

12、火墙设计课程议题配置配置配置配置RG-WALLRG-WALL防火墙防火墙防火墙防火墙RG-WALL防火墙介绍 锐捷锐捷RG-WALLRG-WALL防火墙防火墙状态过滤状态过滤应用层检测应用层检测NATNAT防攻击防攻击透明防火墙透明防火墙流量控制流量控制高可用性高可用性VPNVPNRG-WALL防火墙管理界面登录RG-WALL防火墙 RG-WALLRG-WALL防火墙默认配置防火墙默认配置WANWAN接口为管理接口，接口为管理接口，IPIP为为192.168.10.100192.168.10.100默认管理员帐号默认管理员帐号“adminadmin”，密码，密码“firewallfirewal

13、l” 登录方式登录方式证书认证证书认证导入管理员证书到浏览器https:/192.168.10.100:6666电子钥匙认证电子钥匙认证插入电子钥匙并认证https:/192.168.10.100:6667证书认证 导入证书导入证书证书认证（续） 登录防火墙登录防火墙电子钥匙认证 电子钥匙认证电子钥匙认证电子钥匙认证（续） 登录防火墙登录防火墙配置管理主机 配置管理主机配置管理主机只有管理主机可以对防火墙进行管理只有管理主机可以对防火墙进行管理配置管理员 配置管理员及其权限级别配置管理员及其权限级别配置接口 配置物理特性、工作模式等配置物理特性、工作模式等配置接口（续） 配置接口地址及管理选项

14、配置接口地址及管理选项配置路由 配置路由、路由负载均衡配置路由、路由负载均衡配置对象 地址对象地址对象地址列表地址列表& &地址组地址组定义IP地址的集合可被包过滤规则、NAT规则引用服务器地址服务器地址定义服务器地址的集合可被IP映射规则、端口映射规则引用NATNAT地址池地址池定义NAT转换地址的集合可被NAT规则引用 服务器对象服务器对象服务器列表服务器列表& &服务组服务组定义服务的集合，包括协议、端口号、ICMP类型等可被任何规则引用配置对象（续） 时间对象时间对象时间列表时间列表& &时间组时间组定义时间的集合可被任何规则引用 带宽列表带宽列表定义带宽限制参数定义带宽限制参数可被任

15、何规则引用可被任何规则引用 URLURL列表列表定义定义URLURL集合集合可被任何规则引用可被任何规则引用配置规则 包过滤规则包过滤规则对用户的连接请求进行访问控制对用户的连接请求进行访问控制 NATNAT规则规则执行执行NATNAT转换操作转换操作 IPIP映射规则映射规则配置内部主机与公有地址间的映射，用于服务器发布配置内部主机与公有地址间的映射，用于服务器发布 端口映射规则端口映射规则配置内部服务与外部服务间的映射，用于对外发布服务配置内部服务与外部服务间的映射，用于对外发布服务配置规则（续）包过滤规则NAT规则IP映射规则端口映射规则配置IP/MAC绑定 IP/MACIP/MAC绑定

16、绑定防止防止IP/MACIP/MAC欺骗欺骗配置IP/MAC绑定（续）配置防攻击配置连接限制 配置连接限制配置连接限制连接限制用于保护服务器资源连接限制用于保护服务器资源如果连接超出了策略限制，则对主机进行阻断，如果连接超出了策略限制，则对主机进行阻断，禁止其再访问服务器资源禁止其再访问服务器资源限制方式限制方式主机保护服务保护主机限制服务限制主机保护 限制对服务器地址的访问限制对服务器地址的访问服务保护 限制对服务器的服务的访问限制对服务器的服务的访问主机限制 对发起访问的源进行限制对发起访问的源进行限制服务限制 对访问某类服务的源进行限制对访问某类服务的源进行限制启用连接限制 在安全规则中启用连接限制在安全规则中启用连接限制