《[IT认证]防火墙》由会员分享,可在线阅读,更多相关《[IT认证]防火墙(92页珍藏版)》请在金锄头文库上搜索。
1、网络防火墙技术及发展北京天融信北京天融信 南昌办事处南昌办事处关于天融信关于天融信1995年成立,国内最早的信息安全厂商北京为总部,全国设有32+个分支机构用户超过5万,产品部署超过22万,在线产品超过15万国内最大的专业安全产品、服务和解决方案提供商关于天融信技术支持本地化服务:全国32+个分支机构;专业化服务人员:400+服务工程师分布全国;完善的CallCenter系统:800-810-5119,400-610-5119;人才储备人员构成:1200+员工,技术人员700多名,占70%以上;研发人员300+,占30%以上;人才储备:博士后流动站,博士后1名;博士多名;硕士近200人;核心团
2、队TOPLAB前沿安全实验室:国际水平的前沿安全技术研究团队;核心服务团队:拥有若干CCIE、CISP、ISO27001等专业人员;行业咨询专家团队:熟悉政府、电信、金融、电力、教育科研等行业;关于天融信中国安全网关市场的第一品牌连续11年防火墙市场排名第一中国信息安全市场占有率第一国内专业信息安全公司,连续9年整体安全市场排名第一亚太第三亚太第三全球第九全球第九关于天融信中国电脑商之供应商100强企业中国电子政务100强企业中关村10大软件品牌亚太地区高科技、高成长100强企业中国软件100强企业中国第1套防火墙国家规划布局重点软件企业福布斯2012年中国最具潜力非上市公司关于天融信安全服务
3、工程类二级/应急类一级国家级应急服务支持单位涉密甲级、系统集成二级关于天融信v 防火墙基本概念v 防火墙发展历程v 防火墙核心技术v 防火墙体系结构v 防火墙功能与原理v 防火墙的接入方式v 防火墙的典型应用v 防火墙性能v 防火墙局限性v 防火墙的两个争议目录一种高级访问控制设备,置于不同一种高级访问控制设备,置于不同网络安全域网络安全域之间,它通过相关的安全策略来之间,它通过相关的安全策略来控制控制(允(允许、拒绝、监视、记录)进出网络的访问行为。许、拒绝、监视、记录)进出网络的访问行为。两个安全域之间通信流的唯一通道安全域1Host A Host B 安全域2Host C Host D
4、UDPBlockHost CHost BTCPPassHost CHost ADestinationProtocolPermitSource根据访问控制规则决定进出网络的行为防火墙的概念v 防火墙基本概念v 防火墙发展历程v 防火墙核心技术v 防火墙体系结构v 防火墙功能与原理v 防火墙的接入方式v 防火墙的典型应用v 防火墙性能v 防火墙局限性v 防火墙的两个争议目录 基于路由器的防火墙 软件防火墙的初级形式,具有审计和告警功能软件防火墙的初级形式,具有审计和告警功能 对数据包的访问控制过滤通过专门的软件实现对数据包的访问控制过滤通过专门的软件实现 与第一代防火墙相比,安全性提高了,价格降低
5、了与第一代防火墙相比,安全性提高了,价格降低了 在路由器中通过在路由器中通过ACLACL规则来实现对数据包的控制;规则来实现对数据包的控制; 过滤判断依据:地址、端口号、协议号等特征过滤判断依据:地址、端口号、协议号等特征 是批量上市的专用软件防火墙产品是批量上市的专用软件防火墙产品 安装在通用操作系统之上安装在通用操作系统之上 安全性依靠软件本身和操作系统本身的整体安全安全性依靠软件本身和操作系统本身的整体安全 防火墙厂商具有操作系统的源代码,并可实现安全内核防火墙厂商具有操作系统的源代码,并可实现安全内核 功能强大,安全性很高功能强大,安全性很高 易于使用和管理易于使用和管理 是目前广泛应
6、用的防火墙产品是目前广泛应用的防火墙产品基于安全操作系统的防火墙基于通用操作系统的防火墙防火墙工具套防火墙的发展历程防火墙执行标准v GB/T 18019-1999 GB/T 18019-1999 信息技术包过滤防火墙安全技术要求信息技术包过滤防火墙安全技术要求v GB/T 18020-1999 GB/T 18020-1999 信息技术应用级防火墙安全技术要求信息技术应用级防火墙安全技术要求v GB/T 18336-2001 GB/T 18336-2001 信息技术安全性评估准则信息技术安全性评估准则v GB/T 17900-1999 GB/T 17900-1999 网络代理服务器的安全技术要
7、求网络代理服务器的安全技术要求v GB/T 18018-1999 GB/T 18018-1999 路由器安全技术要求路由器安全技术要求 这些标准从安全环境、安全目标、安全要求、基本原理等方面对防火墙的各种指标进行了规定。v 防火墙基本概念v 防火墙发展历程v 防火墙核心技术v 防火墙体系结构v 防火墙功能与原理v 防火墙的接入方式v 防火墙的典型应用v 防火墙性能v 防火墙局限性v 防火墙的两个争议目录 1.1.包过滤(包过滤(Packet filteringPacket filtering):):工作在网络层,工作在网络层,仅根据数据包头中的仅根据数据包头中的IPIP地址、端口号、协议类地址
8、、端口号、协议类型等标志确定是否允许数据包通过。型等标志确定是否允许数据包通过。2.2.应用代理(应用代理(Application ProxyApplication Proxy):):工作在应用工作在应用层,通过编写不同的应用代理程序,实现对应层,通过编写不同的应用代理程序,实现对应用层数据的检测和分析。用层数据的检测和分析。3.3.状态检测(状态检测(Stateful InspectionStateful Inspection):工作在):工作在2424层,访问控制方式与层,访问控制方式与1 1同,但处理的对象不同,但处理的对象不是单个数据包,而是整个连接,通过规则表和是单个数据包,而是整个
9、连接,通过规则表和连接状态表,综合判断是否允许数据包通过。连接状态表,综合判断是否允许数据包通过。4.4.完全内容检测(完全内容检测(CompeleteCompelete Content Content InspectionInspection):工作在:工作在2 2 7 7层,不仅分析数据包层,不仅分析数据包头信息、状态信息,而且对应用层协议进行还头信息、状态信息,而且对应用层协议进行还原和内容分析,有效防范混合型安全威胁。原和内容分析,有效防范混合型安全威胁。防火墙的检测与过滤技术应用层应用层传输层传输层IPIP层层网络接网络接口层口层DataDataSegmentSegmentPacke
10、tPacketFrameFrameBit FlowBit Flow应用层应用层TCP TCP 层层IP IP 层层网络接口层网络接口层TCPTCP开始攻击开始攻击IPIP开始攻击开始攻击TCPTCPTCPTCP开始攻击开始攻击IPIPETHETH开始攻击开始攻击TCPTCP开始攻击开始攻击IPIP应用层应用层TCP TCP 层层IP IP 层层网络接口层网络接口层TCPTCP开始攻击开始攻击IPIP开始攻击开始攻击TCPTCPTCPTCP开始攻击开始攻击IPIPETHETH开始攻击开始攻击只检查报只检查报头头1010010010010100100000111001111101001001001
11、01001000001110011110111101101111011001001001010010000011100111100010010010100100000111001111011110111111011包过滤防火墙的工作原理1.1.简单包过滤防火墙不检查简单包过滤防火墙不检查数据区数据区2.2.简单包过滤防火墙不建立简单包过滤防火墙不建立连接状态表连接状态表3.3.前后报文无关前后报文无关4.4.应用层控制很弱应用层控制很弱应用层应用层TCP TCP 层层IP IP 层层网络接口层网络接口层TCPTCP开始攻击开始攻击IPIP开始攻击开始攻击TCPTCPTCPTCP开始攻击开始攻击
12、IPIPETHETH开始攻击开始攻击TCPTCP开始攻击开始攻击IPIP应用层应用层TCP TCP 层层IP IP 层层网络接口层网络接口层TCPTCP开始攻击开始攻击IPIP开始攻击开始攻击TCPTCPTCPTCP开始攻击开始攻击IPIPETHETH开始攻击开始攻击只检查数只检查数据据101001001001010010000011100111110100100100101001000001110011110111101101111011001001001010010000011100111100010010010100100000111001111011110111111011应用代理防火
13、墙的工作原理1.1.不检查不检查IPIP、TCPTCP报头报头2.2.不建立连接状态表不建立连接状态表3.3.网络层保护比较弱网络层保护比较弱应用层应用层TCP TCP 层层IP IP 层层网络接口层网络接口层TCPTCP开始攻击开始攻击IPIP开始攻击开始攻击TCPTCPTCPTCP开始攻击开始攻击IPIPETHETH开始攻开始攻击击TCPTCP开始攻击开始攻击IPIP应用层应用层TCP TCP 层层IP IP 层层网络接口层网络接口层TCPTCP开始攻击开始攻击IPIP开始攻击开始攻击TCPTCPTCPTCP开始攻击开始攻击IPIPETHETH开始攻开始攻击击只检查报只检查报头头10100
14、1001001010010000011100111110100100100101001000001110011110111101101111011001001001010010000011100111100010010010100100000111001111011110111111011状态检测防火墙的工作原理1.1.不检查数据区不检查数据区2.2.建立连接状态表建立连接状态表3.3.前后报文相关前后报文相关4.4.应用层控制很弱应用层控制很弱建立连接状态建立连接状态表表建立建立状态连接状态连接表表应用层应用层TCP TCP 层层IP IP 层层网络接口层网络接口层TCPTCP开始攻击开始攻
15、击IPIP开始攻击开始攻击TCPTCPTCPTCP开始攻击开始攻击IPIPETHETH开始攻击开始攻击 主服务器主服务器 硬盘数硬盘数据据TCPTCP开始攻击开始攻击IPIP应用层应用层TCP TCP 层层IP IP 层层网络接口层网络接口层TCPTCP开始攻击开始攻击IPIP开始攻击开始攻击TCPTCPTCPTCP开始攻击开始攻击IPIPETHETH开始攻击开始攻击 主服务器主服务器 硬盘数硬盘数据据检查应用层协议和数据检查应用层协议和数据内容内容1010010010010100100000111001111101001001001010010000011100111101111011011
16、11011001001001010010000011100111100010010010100100000111001111011110111111011完全内容检测防火墙的工作原理TCPTCP主服务器主服务器IPIPTCPTCP硬盘数据硬盘数据IPIP开始攻击开始攻击还原会话还原会话主服务器主服务器硬盘数据硬盘数据报文报文1 1报文报文2 2报文报文3 31.1.网络层保护强网络层保护强2.2.应用层保护强应用层保护强3.3.会话保护很强会话保护很强4.4.上下文相关上下文相关5.5.前后报文有联系前后报文有联系检查报头检查报头v 防火墙基本概念v 防火墙发展历程v 防火墙核心技术v 防火墙
17、体系结构v 防火墙功能与原理v 防火墙的接入方式v 防火墙的典型应用v 防火墙性能v 防火墙局限性v 防火墙的两个争议目录 v 过滤路由器v 多宿主主机v 被屏蔽主机v 被屏蔽子网防火墙体系结构防火墙的体系结构(1)过滤路由器(Filtering Router):过滤路由器作为内外网连接的唯一通道,通过ACL策略要求所有的报文都必须在此通过检查,实现报文过滤功能。 它的缺点是一旦被攻陷后很难发现,而且不能识别不同的用户(没有日志记录)。 防火墙的体系结构(2)双宿主主机(Dual Homed Gateway):双宿主主机优于过滤路由器的地方是:堡垒主机的系统软件可用于维护系统日志。它的致命弱点
18、是:一旦入侵者侵入堡垒主机,则无法保证内部网络的安全。 防火墙的体系结构(3)被屏蔽主机(Screened Host Gateway):通常在路由器上设立ACL过滤规则,并通过堡垒主机进行数据转发,来确保内部网络的安全。 弱点:如果攻击者进入屏蔽主机内,内网中的就会受到很大威胁;这与双宿主主机受攻击时的情形差不多。 防火墙的体系结构(4)被屏蔽子网 (Screened Subnet):这种结构是在内部网络和外部网络之间建立一个被隔离的子网,用两台过滤路由器分别与内部网络和外部网络连接,中间通过堡垒主机进行数据转发。 特点:如果攻击者试图进入内网或者子网,他必须攻破过滤路由器和双宿主主机 ,然后
19、才可以进入子网主机,整个过程中将引发警报机制。 v 防火墙基本概念v 防火墙发展历程v 防火墙核心技术v 防火墙体系结构v 防火墙功能与原理v 防火墙的接入方式v 防火墙的典型应用v 防火墙性能v 防火墙局限性v 防火墙的两个争议目录 基本功能基本功能地址转换地址转换访问控制访问控制VLAN支持支持带宽管理(带宽管理(QoS)入侵检测和攻击防御入侵检测和攻击防御用户认证用户认证IP/MACIP/MAC绑定绑定动态动态IP环境支持环境支持数据库长连接应用支数据库长连接应用支持持路由支持路由支持ADSL拨号功能拨号功能SNMPSNMP网管支持网管支持日志审计日志审计高可用性高可用性防火墙的功能扩展
20、功能防病毒VPNIPSEC VPNPPTP/L2TPInternetInternet202.102.93.54Host A受保护网络Host C Host D 192.168.1.21 192.168.1.25防火墙Eth2:192.168.1.23Eth0:101.211.23.1数据IP报头数据IP报头源地址:192.168.1.21目地址:202.102.93.54源地址:101.211.23.1目地址:202.102.93.54101.211.23.2v 隐藏了内部网络的结构v 内部网络可以使用私有IP地址v 公开地址不足的网络可以使用这种方式提供IP复用功能地址转换 (NAT)Int
21、ernetv 公开服务器可以使用私有地址v 隐藏内部网络的结构WWW 199.168.1.2FTP 199.168.1.3MAIL 199.168.1.4DNS 199.168.1.5199.168.1.612.4.1.5202.102.1.3MAP 199.168.1.2:80 TO 202.102.1.3:80MAP 199.168.1.3:21 TO 202.102.1.3:21MAP 199.168.1.4:53 TO 202.102.1.3:53MAP 199.168.1.5:25 TO 202.102.1.3:25http:/199.168.1.2http:/202.102.1.3
22、MAP (地址/端口映射)Host C Host D 防火墙的基本访问控制功能Access list 192.168.1.3 to 202.2.33.2Access nat 192.168.3.0 to any pass Access 202.1.2.3 to 192.168.1.3 blockAccess default pass规则匹配成功v 基于源IP地址v 基于目的IP地址v 基于源端口v 基于目的端口v 基于时间v基于用户v 基于流量v 基于文件v 基于网址v 基于MAC地址时间控制策略Host C Host D 在防火墙上制定基于时间的访问控制策略上班时间不允许访问Internet
23、上班时间可以访问公司的网络InternetTrunk Trunk 口口Trunk Trunk 口口VLAN 1VLAN 1VLAN 2VLAN 2支持支持VLANVLAN的交换机的交换机Trunk Trunk 口口Trunk Trunk 口口VLAN 1VLAN 1VLAN 2VLAN 2Switch1Switch1Switch 2Switch 2同一交换机的不同同一交换机的不同 VLAN VLAN 之间通讯之间通讯不同交换机的同一不同交换机的同一 VLAN VLAN 之间通讯之间通讯只有支持TRUNK的防火墙才能在这种环境下工作只有支持TRUNK的防火墙才能在这种环境下工作VLAN间控制-对
24、TRUNK模式的支持 QoS带宽管理Internet Internet WWW WWW MailMailDNS DNS 财务部子财务部子网网采购部子采购部子网网出口带宽出口带宽 512 512K KDMZ DMZ 区保留区保留 256256K K分配分配 70 70K K 带带宽宽分配分配 90 90K K 带带宽宽分配分配 96 96K K 带带宽宽DMZ DMZ 区域区域内部网络内部网络总带宽总带宽512 512 K K内网内网256 256 K KDMZ 256 DMZ 256 K K70 70 K K90 90 K K96 96 K K+ + + +财务子财务子网网采购子采购子网网生产
25、子生产子网网生产部子网生产部子网 防火墙具有内置的IDS模块,可以有效检测并抵御常见的攻击行为,用户通过简单设置即可保护指定的网络对象免于受到以下类型的攻击:1.统计型攻击,包括:Syn Flood、UDP FLOOD、ICMP FLOOD、IP SWEEP、PORT SCAN。2.异常包攻击,包括:Land、Smurf、PingofDeath、Winnuke、TcpScan、IpOption等 内置入侵检测功能抗DOS攻击功能防火墙的SYN代理实现原理:v在服务器和外部网络之间部署防火墙系统;v防火墙在收到客户端的Syn包后,防火墙代替服务器向客户端发送Syn/Ack包;v如果防火墙收到客户
26、端的Ack信息,表明访问正常,由防火墙向服务器发送Syn包并完成后续的TCP握手,建立客户端到服务器的连接。v通过这种Syn代理技术,保证每个Syn包源的真实有效性,确保虚假请求不被发往服务器,从而彻底防范对服务器的Syn-Flood攻击。 SYNSYNSYN/ACKSYN/ACKACKACKSYNSYNSYN/ACKSYN/ACKACKACKSYNSYNSYN/ACKSYN/ACKACKACKClientClientServer Server SYNSYNSYNSYNHost C Host D Host B Host A 受保护网络InternetIDS黑客发起攻击发送通知报文验证报文并采取
27、措施发送响应报文识别出攻击行为阻断连接或者报警等与 IDS 的安全联动 丰富的认证方式和第三方认证支持Internet Internet RADIUSRADIUS服务服务器器OTP OTP 认证服务认证服务器器liming*防火墙将认证防火墙将认证信息传给真正信息传给真正的的RADIUSRADIUS服服务器务器进行认证进行认证将认证结将认证结果传给防果传给防火墙火墙1.1.本地认证、内置本地认证、内置OTPOTP服务器认服务器认证证2.2.支持第三方支持第三方RADIUSRADIUS服务器认证服务器认证3.3.支持支持TACAS/TACAS+TACAS/TACAS+服务器认证服务器认证4.4.
28、支持支持S/KEY S/KEY 、SECUIDSECUID、VIECAVIECA、LDAPLDAP、域认证等认证、域认证等认证根据认证结果决根据认证结果决定用户对资源的定用户对资源的访问权限访问权限InternetHost A 199.168.1.2Host B199.168.1.3Host C199.168.1.4Host D199.168.1.500-50-04-BB-71-A600-50-04-BB-71-BCBIND 199.168.1.2 To 00-50-04-BB-71-A6BIND 199.168.1.4 To 00-50-04-BB-71-BCIP与MAC地址绑定后,不允许H
29、ost B假冒Host A的IP地址上网防火墙允许Host A上网IP与MAC(用户)的绑定199.168.1.2对DHCP应用环境的支持InternetInternetDHCP服务器Host A Host BHost CHost D Host EHost F没有固定IP地址只允许Host B上网设定Host B的MAC地址设定Host B的IP地址为空根据Host B的MAC地址进行访问控制客户机建立连接并维持建立连接并维持连接状态直到查连接状态直到查询结束询结束对数据库长连接的支持FRFR数据库查询一般需要比较长的时间,这些通讯连接建立成功后可能暂时没有数据通过(空连接),普通防火墙在连接
30、建立一段时间后如果没有数据通讯会自动切断连接,导致业务不能正常运行需要较长的查需要较长的查询时间询时间需要在防火墙里面维护这个连接状态,直到查询结束。该功能是可选的。动态路由功能-RIP动态路由功能-OSPFADSL拨号功能PPPOEHost C Host D Host B Host A 受保护网络InternetInternetInternet SNMPSNMP报文报文获取硬件配置信息获取硬件配置信息资源使用状况信息资源使用状况信息防火墙的流量信息防火墙的流量信息防火墙的连接信息防火墙的连接信息防火墙的版本信息防火墙的版本信息防火墙的用户信息防火墙的用户信息防火墙的规则信息防火墙的规则信息防
31、火墙的路由信息防火墙的路由信息SNMPSNMP服务器服务器端端SNMPSNMP客户端客户端( (HP HP openview)openview)支持SNMP 网络管理 日志分析功能1.会话日志:即普通连接日志v通信源地址、目的地址、源目端口、通信时间、通信协议、字节数、是否允许通过2.命令日志和内容日志:即深度分析日志v在通信日志的基础之上,记录下各个应用层命令参数和内容。例如HTTP请求及其要取的网页名。3.提供日志分析工具自动产生各种报表,智能化的指出网络可能的安全漏洞 nClintClinthttp:/http:/响应请求响应请求发送请求发送请求通信日通信日志志通信日通信日志志通信信息通
32、信信息192.168.6.169192.168.6.169192.168.6.170192.168.6.170普通连接日志会话日志 nClintClinthttp:/http:/响应请求响应请求发送请求发送请求命令日命令日志志命令日命令日志志192.168.6.169192.168.6.169192.168.6.170192.168.6.170深度分析日志(1) 命令日志命令信息命令信息 nClintClinthttp:/http:/响应请求响应请求发送请求发送请求访问日访问日志志访问日访问日志志192.168.6.169192.168.6.169192.168.6.170192.168.6.
33、170深度分析日志(2) 内容日志访问信息访问信息高可用性-双机热备功能内部网外网或者不信任域Eth 0Eth 0Eth1Eth1Eth2Eth2心跳线Active FirewallStandby Firewall检测Active Firewall的状态发现出故障,立即接管其工作 正常情况下由主防火墙工作主防火墙出故障以后,接管它的工作Hub or Hub or SwitchSwitchHub or Hub or SwitchSwitch通过通过ISTPISTP协议可以协议可以交换两台防火墙的交换两台防火墙的状态信息状态信息当一台防火墙故障时,这台防火墙当一台防火墙故障时,这台防火墙的连接不需
34、要重新建立就可以透明的连接不需要重新建立就可以透明的迁移到另一台防火墙上,用户不的迁移到另一台防火墙上,用户不会察觉到会察觉到WWW 1WWW 1WWW 2WWW 2WWW 3WWW 3负载均衡算法:负载均衡算法:vv轮流轮流vv轮流轮流+ +权值权值vv最少连接最少连接vv最少连接最少连接+ +权值权值http:/http:/根据负载均衡算根据负载均衡算法将数据重定位法将数据重定位到一台到一台WWWWWW服服务器务器服务器阵服务器阵列列响应请求响应请求高可用性-服务器负载均衡 防火墙提供了防火墙提供了“链路备份链路备份”功能来实时监视整个链路的工作情况,一功能来实时监视整个链路的工作情况,一
35、旦发现异常,就立即启动旦发现异常,就立即启动“链路备份链路备份”功能自动切换到另一条备用链功能自动切换到另一条备用链路,以确保网络的正常通信。路,以确保网络的正常通信。 高可用性-网络链路备份功能高可用性-双系统冗余 防火墙作为网络中的关键设备,对于维护网络的正常通信以及安全防火墙作为网络中的关键设备,对于维护网络的正常通信以及安全保障起着举足轻重的作用。所以,对防火墙本身的有效性和可用性就有保障起着举足轻重的作用。所以,对防火墙本身的有效性和可用性就有了很高的要求。防火墙内置备份系统,这样,在主系统出现异常或由于了很高的要求。防火墙内置备份系统,这样,在主系统出现异常或由于升级失败而不能正常
36、引导系统的情况下,用户可以手工选择使用备份系升级失败而不能正常引导系统的情况下,用户可以手工选择使用备份系统。统。 扩展功能-病毒过滤功能(1)扩展功能-病毒过滤功能(2)扩展功能- IPSEC VPN功能支持L2TP/PPTP VPN功能支持DDNS功能v 防火墙基本概念v 防火墙发展历程v 防火墙核心技术v 防火墙体系结构v 防火墙功能与原理v 防火墙的接入方式v 防火墙的典型应用v 防火墙性能v 防火墙局限性v 防火墙的两个争议目录 受保护网络Internet如果防火墙支持透明模式,则内部网络主机的配置不用调整Host A 199.168.1.2Host C199.168.1.4Host
37、 D199.168.1.5Host B199.168.1.3199.168.1.8同一网段透明模式下,这里不用配置IP地址透明模式下,这里不用配置IP地址Default Gateway=199.168.1.8防火墙相当于网桥,原网络结构没有改变透明接入受保护网络InternetHost A 199.168.1.2Host C199.168.1.4Host D199.168.1.5Host B199.168.1.3199.168.1.8Default Gateway=199.168.1.8防火墙相当于一个简单的路由器203.12.34.56203.12.34.57提供简单的路由提供简单的路由功能
38、功能199.168.1.8路由接入Host AHost A192.168.1.192.168.1.3737Host B Host B 192.168.1.38192.168.1.38Host CHost C10.1.2.310.1.2.3Host DHost D192.168.1.192.168.1.4040不同子网通过防火墙不同子网通过防火墙路做静态路由进行通路做静态路由进行通讯讯同一网段地址通过防同一网段地址通过防火墙的透明模式进行火墙的透明模式进行通讯通讯防火墙此时工防火墙此时工作在混合模式作在混合模式下下综合接入v 防火墙基本概念v 防火墙发展历程v 防火墙核心技术v 防火墙体系结构v
39、 防火墙功能与原理v 防火墙的接入方式v 防火墙的典型应用v 防火墙性能v 防火墙局限性v 防火墙的两个争议目录 DDN/DDN/帧中继帧中继总行总行省中支省中支A A省中支省中支B BDDN/PSTNDDN/PSTN地市行地市行 A A地市行地市行 B B防火墙的典型应用(梯形结构)总部总部分部分部分部分部访问控制访问控制访问授权访问授权信息审计信息审计访问控制访问控制访问授权访问授权信息审计信息审计访问控制访问控制访问授权访问授权信息审计信息审计防火墙的典型应用(星型结构)帧中继专网帧中继专网InternetInternetDDN/PSTNDDN/PSTN内部专网内部专网黑客攻击病毒非授权
40、访问恶意代码阻断阻断防火墙的典型应用三(简单结构)分支网分支网络络v 防火墙基本概念v 防火墙发展历程v 防火墙核心技术v 防火墙体系结构v 防火墙功能与原理v 防火墙的接入方式v 防火墙的典型应用v 防火墙性能v 防火墙局限性v 防火墙的两个争议目录 衡量防火墙性能的五大指标1.1.吞吐量:该指标直接影响网络的性能,吞吐量吞吐量:该指标直接影响网络的性能,吞吐量2.2.时延:入口处输入帧最后时延:入口处输入帧最后1 1个比特到达至出口处输出帧的第个比特到达至出口处输出帧的第1 1个比个比特输出所用的时间间隔特输出所用的时间间隔3.3.丢包率:在稳态负载下,应由网络设备传输,但由于资源缺乏而丢
41、包率:在稳态负载下,应由网络设备传输,但由于资源缺乏而被丢弃的帧的百分比被丢弃的帧的百分比4.4.背靠背:从空闲状态开始,以达到传输介质最小合法间隔极限的背靠背:从空闲状态开始,以达到传输介质最小合法间隔极限的传输速率发送相当数量的固定长度的帧,当出现第一个帧丢失时,传输速率发送相当数量的固定长度的帧,当出现第一个帧丢失时,发送的帧数发送的帧数5.5.并发连结数:并发连结数:并并发连发连接数是指穿越防火接数是指穿越防火墙墙的主机之的主机之间间或主机与防或主机与防火火墙墙之之间间能同能同时时建立的最大建立的最大连连接数接数 吞吐量1.1.定义:定义:在不丢包的情况下能够达到的最大速率在不丢包的情
42、况下能够达到的最大速率2.2.衡量标准:衡量标准:吞吐量越大,防火吞吐量越大,防火墙墙的性能越高的性能越高 ;%#*$&*&#*(&Smartbits 6000B Smartbits 6000B 测试测试仪仪101100101000011111001010010001011001010000111110010100100010010001001000以最大速率发包以最大速率发包直到出现丢包时的最大直到出现丢包时的最大值值防火墙吞吐量小就会成为网络防火墙吞吐量小就会成为网络的瓶颈的瓶颈100100MM6060MM数据包首先排队待数据包首先排队待防火墙检查后转发防火墙检查后转发时延1.1.定义:定
43、义:入口处输入帧最后入口处输入帧最后1 1个比特到达至出口处输出帧的个比特到达至出口处输出帧的第一个比特输出所用的时间间隔第一个比特输出所用的时间间隔2.2.衡量标准:衡量标准:延延时时越小,表示防火越小,表示防火墙墙的性能越高的性能越高 1010100100100100101010010010010010101010Smartbits 6000B Smartbits 6000B 测试测试仪仪101100101000011111001010010001011001010000111110010100100010010001001000最后最后1 1个比特到个比特到达达第一个比特输第一个比特输出
44、出时间间时间间隔隔1011010100100110111001001111110 01011010100100110111001001111110 010100100101001000101101001001010010001010001000010101010100100100100100101010100100100100100100010100010造成数据造成数据包延迟到包延迟到达目标地达目标地丢包率1.1.定义:定义:在连续负载的情况下,防火墙设备由于资源不足应在连续负载的情况下,防火墙设备由于资源不足应转发但却未转发的帧百分比转发但却未转发的帧百分比 2.2.衡量标准:丢包率越小,
45、防火墙的性能越高衡量标准:丢包率越小,防火墙的性能越高Smartbits 6000B Smartbits 6000B 测试仪测试仪发送了发送了10001000个包个包防火墙由于资源不足只转发了防火墙由于资源不足只转发了800800个包个包丢包率丢包率= =(1000-8001000-800)/1000=20%/1000=20%10010101001010010001100101010010100100010010010010011001010100101001000110010101001010010001001001001001背靠背1.1.定义:定义:从空闲状态开始,以达到传输介质最小合法
46、间隔极限的传输速率发从空闲状态开始,以达到传输介质最小合法间隔极限的传输速率发送相当数量的固定长度的帧,当出现第一个帧丢失时,发送的帧数。送相当数量的固定长度的帧,当出现第一个帧丢失时,发送的帧数。2.2.衡量标准:衡量标准:背对背包主要是指防火墙缓冲容量的大小背对背包主要是指防火墙缓冲容量的大小, ,网络上经常有一些应网络上经常有一些应用会产生大量的突发数据包(例如:用会产生大量的突发数据包(例如:NFS,NFS,备份,路由更新等),而且这样备份,路由更新等),而且这样的数据包的丢失可能会产生更多的数据包的丢失,强大缓冲能力可以减小的数据包的丢失可能会产生更多的数据包的丢失,强大缓冲能力可以
47、减小这种突发对网络造成的影响。这种突发对网络造成的影响。Smartbits 6000B Smartbits 6000B 测试仪测试仪时间时间(t t)包数量包数量(n n)少量包少量包 包增多包增多峰值峰值包减少包减少没有数没有数据据背靠背是体现防火墙背靠背是体现防火墙对突发数据的处理能对突发数据的处理能力力 并发连接数1.1.定义:定义:指数据包穿越防火墙时同时建立的最大连接数指数据包穿越防火墙时同时建立的最大连接数 。2.2.衡量标准:衡量标准:并并发连发连接数主要用来接数主要用来测试测试防火防火墙墙建立和建立和维维持持TCPTCP连连接的性能,接的性能,并并发连发连接数越大,防火接数越大
48、,防火墙墙的的处处理性能越高。理性能越高。并发连接数指标可以用来衡量并发连接数指标可以用来衡量穿越防火墙时同时建立的最大穿越防火墙时同时建立的最大连接数连接数并发连接并发连接并发连接并发连接v 防火墙基本概念v 防火墙发展历程v 防火墙核心技术v 防火墙体系结构v 防火墙功能与原理v 防火墙的接入方式v 防火墙的典型应用v 防火墙性能v 防火墙局限性v防火墙的两个争议目录 防火墙的局限性防火墙虽然是保护网络安全的基础性设施,但是防火墙虽然是保护网络安全的基础性设施,但是它还存在着一些不易防范的安全威胁:它还存在着一些不易防范的安全威胁:首先防火墙首先防火墙不能防范未经过防火墙或绕过防火墙的攻不
49、能防范未经过防火墙或绕过防火墙的攻击击。例如,如果允许从受保护的网络内部向外拨号,。例如,如果允许从受保护的网络内部向外拨号,一些用户就可能形成与一些用户就可能形成与Internet的直接连接。的直接连接。防火墙基于数据包包头信息的检测阻断方式,主要对防火墙基于数据包包头信息的检测阻断方式,主要对主机提供或请求的服务进行访问控制,主机提供或请求的服务进行访问控制,无法阻断通过无法阻断通过开放端口流入的有害流量开放端口流入的有害流量,并不是对蠕虫或者黑客攻,并不是对蠕虫或者黑客攻击的解决方案。击的解决方案。另外,防火墙另外,防火墙很难防范来自于网络内部的攻击或滥用很难防范来自于网络内部的攻击或滥
50、用。v 防火墙基本概念v 防火墙发展历程v 防火墙核心技术v 防火墙体系结构v 防火墙功能与原理v 防火墙的接入方式v 防火墙的典型应用v 防火墙性能v 防火墙局限性v 防火墙的两个争议目录 v 防火墙的胖瘦之争v防火墙的硬件架构之争争议防火墙的“胖”与“瘦” 由于防火墙在网络中所处的重要位置,因此,人们对防火墙可以说是寄予厚望。现在防火墙正在不断增加各种各样的新功能,因此防火墙正在急剧“长胖”。 “胖胖胖胖”防火墙是指功能大而全的防火墙,它力图将安全功能尽可能多地包含在内,防火墙是指功能大而全的防火墙,它力图将安全功能尽可能多地包含在内,防火墙是指功能大而全的防火墙,它力图将安全功能尽可能多
51、地包含在内,防火墙是指功能大而全的防火墙,它力图将安全功能尽可能多地包含在内,从而成为用户网络的一个安全平台;从而成为用户网络的一个安全平台;从而成为用户网络的一个安全平台;从而成为用户网络的一个安全平台;胖防火墙的定义访问控制访问控制病毒防护病毒防护入侵检测入侵检测交换路由交换路由内容过滤内容过滤信息审计信息审计传输加密传输加密其他其他胖防火墙胖防火墙的优势与不足优势:优势:优势:优势: 首先是功能全首先是功能全首先是功能全首先是功能全 其次是控制力度细其次是控制力度细其次是控制力度细其次是控制力度细 第三是协作能力强第三是协作能力强第三是协作能力强第三是协作能力强 降低采购和管理成本降低采
52、购和管理成本降低采购和管理成本降低采购和管理成本不足:不足:不足:不足: 主要表现在性能降低主要表现在性能降低主要表现在性能降低主要表现在性能降低 其次是自身安全性相对较弱其次是自身安全性相对较弱其次是自身安全性相对较弱其次是自身安全性相对较弱 还有专业性不强,表现为功能模块的拼凑还有专业性不强,表现为功能模块的拼凑还有专业性不强,表现为功能模块的拼凑还有专业性不强,表现为功能模块的拼凑 第四是稳定性不强,系统越大,第四是稳定性不强,系统越大,第四是稳定性不强,系统越大,第四是稳定性不强,系统越大,BUGBUG越多越多越多越多 最后是配置复杂,不合理的配置会带来更大的安全隐患最后是配置复杂,不
53、合理的配置会带来更大的安全隐患最后是配置复杂,不合理的配置会带来更大的安全隐患最后是配置复杂,不合理的配置会带来更大的安全隐患访问控制访问控制病毒防护病毒防护入侵检测入侵检测交换路由交换路由内容过滤内容过滤信息审计信息审计传输加密传输加密其他其他瘦防火墙瘦防火墙安全联动安全联动 “瘦瘦瘦瘦”防火墙是指功能少而精的防火墙,它只作访问控制的专职工作,对于综合安防火墙是指功能少而精的防火墙,它只作访问控制的专职工作,对于综合安防火墙是指功能少而精的防火墙,它只作访问控制的专职工作,对于综合安防火墙是指功能少而精的防火墙,它只作访问控制的专职工作,对于综合安全解决方案,则采用多家安全厂商联盟的方式来实
54、现。全解决方案,则采用多家安全厂商联盟的方式来实现。全解决方案,则采用多家安全厂商联盟的方式来实现。全解决方案,则采用多家安全厂商联盟的方式来实现。 瘦防火墙的定义瘦防火墙的优势与不足优势:优势: uu性能高性能高性能高性能高uu注重核心功能,专业性强注重核心功能,专业性强注重核心功能,专业性强注重核心功能,专业性强uu整体安全性高整体安全性高整体安全性高整体安全性高uu配置简单,简化对管理员的专业要求配置简单,简化对管理员的专业要求配置简单,简化对管理员的专业要求配置简单,简化对管理员的专业要求不足:不足:不足:不足:uu功能单一功能单一功能单一功能单一uu整体防护能力不能满足需求整体防护能
55、力不能满足需求整体防护能力不能满足需求整体防护能力不能满足需求uu整体采购成本较高整体采购成本较高整体采购成本较高整体采购成本较高构建联动、统一的动态安全防护体系 无论是无论是无论是无论是“胖胖胖胖”防火墙的集成,还是防火墙的集成,还是防火墙的集成,还是防火墙的集成,还是“瘦瘦瘦瘦”防火墙的联动,安全产品正防火墙的联动,安全产品正防火墙的联动,安全产品正防火墙的联动,安全产品正在朝着体系化的结构发展,所谓在朝着体系化的结构发展,所谓在朝着体系化的结构发展,所谓在朝着体系化的结构发展,所谓“胖瘦胖瘦胖瘦胖瘦”不过是这种体系结构的具体不过是这种体系结构的具体不过是这种体系结构的具体不过是这种体系结
56、构的具体表现方式,表现方式,表现方式,表现方式,“胖胖胖胖”将这种体系表现在一个产品中,而将这种体系表现在一个产品中,而将这种体系表现在一个产品中,而将这种体系表现在一个产品中,而“瘦瘦瘦瘦”将这种体将这种体将这种体将这种体系表现在一系列产品或是说一个整体方案中。系表现在一系列产品或是说一个整体方案中。系表现在一系列产品或是说一个整体方案中。系表现在一系列产品或是说一个整体方案中。同时,不管哪种体系结构,都必须通过安全管理中心来监控、协调、同时,不管哪种体系结构,都必须通过安全管理中心来监控、协调、同时,不管哪种体系结构,都必须通过安全管理中心来监控、协调、同时,不管哪种体系结构,都必须通过安
57、全管理中心来监控、协调、管理网络中的其他安全产品和网络产品,构建联动、统一的动态安全管理网络中的其他安全产品和网络产品,构建联动、统一的动态安全管理网络中的其他安全产品和网络产品,构建联动、统一的动态安全管理网络中的其他安全产品和网络产品,构建联动、统一的动态安全防护体系。防护体系。防护体系。防护体系。 争议v 防火墙的胖瘦之争v防火墙的硬件架构之争防火墙硬件架构 基于基于X86体系的通用体系的通用CPU架构架构基于网络处理器的基于网络处理器的NPU架构架构 基于专用处理芯片的基于专用处理芯片的ASIC架构架构最佳组合:最佳组合: 在系统控制与管理、数据高速处理转发等方面,通用在系统控制与管理
58、、数据高速处理转发等方面,通用CPU和可编程和可编程ASIC将各司其职,共同为防火墙系统提供灵活将各司其职,共同为防火墙系统提供灵活的服务!的服务!防火墙硬件架构的发展趋势下一代防火墙由控制IP到控制用户由控制通信端口到控制应用线速应用层防护性能动态安全知识库边界安全可视化内部安全联动由控制IP到控制用户传统防火墙以MAC/IP作为访问控制策略的元素,但如今,MAC和IP都可以非常简单的伪造,传统访问控制策略的效用已经大打折扣;以用户/角色为控制元素的基础是对用户进行身份认证,如:WEB认证、客户端认证、与AD或外部RADIUS结合等,下一代防火墙支持数字证书认证,确保认证强度和行为不可抵赖性
59、;策略由“允许192.168.1.20访问XXXXXX”变为“允许张三访问XXXXX”,网络访问权限做到了“与人对应、实名制”;以“应用识别”为控制基础当前的互联网应用大多没有固定的通信端口,TCPXXX不再代表一个应用,在网络层面已经不具备明显的特征;在互联网访问中,系统管理员关注的恰恰是应用,而不是通信端口,他想知道网络流量都用来干了什么,而不是哪哥通信端口占用了多少流量;哪个才是你想看到的?哪个才是你想看到的?线速应用层防护性能纯粹的网络吞吐量指标对防火墙来说没有太多的实际意义,下一代防火墙考量的是应用层处理性能,应用层线速度处理性能才真正符合无瓶颈部署要求;当然,如果没有良好的底层数据
60、转发框架和性能,也无法支撑应用层数据处理;应用层数据处理考验的是处理器的计算能力,最新架构的X86处理在应用层数据处理方面比MIPS64强大N倍,并可通过协处理器来进行VPN加解密、数据转发等工作,同事保障数据处理和数据转发;边界安全可视化多种边界威胁防护能力的融合边界问题:外访/内网的权限、非法内/外连、攻击行为、病毒传播、通信加密、应用行为、带宽合理分配。;下一代防火墙的推出目的,是为了解决目前和未来复杂的网络应用环境中诸多边界威胁相互感染的问题;所有功能模块之间不再相互独立,而是共享数据,进行有序的联动,提高威胁识别的准确率、效率(如:VPN模块解密数据后,同时送给IPS模块和AV模块作攻击和病毒检测);谢 谢
