收藏
下载资源

防火墙产品原理介绍.ppt

上传人:夏** 文档编号:579543384 上传时间:2024-08-26 格式:PPT 页数:55 大小:2.57MB
返回 下载 相关 举报
防火墙产品原理介绍.ppt_第1页
第1页 / 共55页
防火墙产品原理介绍.ppt_第2页
第2页 / 共55页
防火墙产品原理介绍.ppt_第3页
第3页 / 共55页
防火墙产品原理介绍.ppt_第4页
第4页 / 共55页
防火墙产品原理介绍.ppt_第5页
第5页 / 共55页
点击查看更多>>
资源描述

《防火墙产品原理介绍.ppt》由会员分享,可在线阅读,更多相关《防火墙产品原理介绍.ppt(55页珍藏版)》请在金锄头文库上搜索。

1、防火墙产品原理介绍(V1.1)网御神州 客服中心2008.05学习目标学习完本课程,您应该能够了解网御神州的防火墙产品了解防火墙的工作原理了解防火墙的发展趋势理解防火墙的典型应用课程内容1.网御神州产品型录网御神州产品型录2.信息安全的层次模型信息安全的层次模型3.防火墙的发展历程防火墙的发展历程4.防火墙关键技术防火墙关键技术5.防火墙评价指标防火墙评价指标6.防火墙的部署防火墙的部署7.防火墙的发展趋势防火墙的发展趋势8.典型应用典型应用9.FAQ1 网御神州产品型录防火墙系列防火墙系列IDS系列系列安全隔离网闸安全隔离网闸 硬硬 件件 构构 架架产品分类产品分类代号代号产品描述产品描述架

2、构架构吞吐率吞吐率接口数接口数机箱机箱SecGate 3600电信级千兆线速防火墙电信级千兆线速防火墙G10NP4G4 GE2U大型企业级千兆防火墙大型企业级千兆防火墙G7X862G16 GE2U大型企业级百兆防火墙大型企业级百兆防火墙F5X86800M4/6/8 FE1U中型企业级百兆防火墙中型企业级百兆防火墙F4X86600M4/6 FE1U小型企业级百兆防火墙小型企业级百兆防火墙F3X86400M4 FE1U分支机构级百兆防火墙分支机构级百兆防火墙F2NP150M3FE+4SW1USecIDS 3600企业级千兆入侵检测系统企业级千兆入侵检测系统GX86架构,架构,2U机箱机箱企业级百兆

3、入侵检测系统企业级百兆入侵检测系统I5X86架构,架构,1U机箱机箱中小企业级入侵检测系统中小企业级入侵检测系统I4X86架构,架构,1U机箱机箱SecSIS 3600安全隔离与信息交换系统安全隔离与信息交换系统X86架构,架构,2U机箱机箱SecFox安全管理平台安全管理平台软软件件产产品品/ /项项目目( (服服务务) )内网安全管理系统内网安全管理系统软件产品硬件网关软件产品硬件网关联想安全联想安全PC/安全笔记本安全笔记本产品产品/系统安全解决方案系统安全解决方案3.1 防火墙概述3.1 防火墙概述在信任网络与非信任网络之间,通过预定义的安全策略,在信任网络与非信任网络之间,通过预定义

4、的安全策略,对内外网通信强制实施访问控制的安全应用设备。对内外网通信强制实施访问控制的安全应用设备。信任网络信任网络非信任网络非信任网络防火墙3.1 防火墙概述内部网络内部网络2内部网络1防火墙的功能:实现内部网与internet的隔离;不同安全级别内部网之间的隔离。一切未被允一切未被允许的就是禁许的就是禁止的!止的!Internet3.1 防火墙概述防火墙能做什么?防火墙能做什么?1. 转发正常的通信行为转发正常的通信行为2. 禁止未经授权的访问禁止未经授权的访问3. 网络地址转换(网络地址转换(NAT)4. VPN网关网关5. 记录通过防火墙的通信活动记录通过防火墙的通信活动3.1 防火墙

5、概述防火墙不能做什么?防火墙不能做什么?1. 不能控制不经防火墙的通信活动不能控制不经防火墙的通信活动2. 无法控制内网中通信行为无法控制内网中通信行为3. 目前不能进行深度内容检测目前不能进行深度内容检测3.2 防火墙的技术发展防火墙技术几乎与路由器同时出现,采用了包过滤防火墙技术几乎与路由器同时出现,采用了包过滤防火墙技术几乎与路由器同时出现,采用了包过滤防火墙技术几乎与路由器同时出现,采用了包过滤(Packet filterPacket filter)技术。)技术。)技术。)技术。 19891989年,贝尔实验室的年,贝尔实验室的年,贝尔实验室的年,贝尔实验室的Dave Dave Pre

6、sottoPresotto和和和和Howard Howard TrickeyTrickey推出了电路层防火墙,同时提出了应用层防推出了电路层防火墙,同时提出了应用层防推出了电路层防火墙,同时提出了应用层防推出了电路层防火墙,同时提出了应用层防火墙(代理防火墙)的初步结构。火墙(代理防火墙)的初步结构。火墙(代理防火墙)的初步结构。火墙(代理防火墙)的初步结构。 19921992年,年,年,年,USCUSC信息科学院的信息科学院的信息科学院的信息科学院的BobBradenBobBraden开发出了基于开发出了基于开发出了基于开发出了基于动态包过滤(动态包过滤(动态包过滤(动态包过滤(Dynami

7、c packet filterDynamic packet filter)技术的防火墙,)技术的防火墙,)技术的防火墙,)技术的防火墙,后来演变为状态检测(后来演变为状态检测(后来演变为状态检测(后来演变为状态检测(StatefulStateful inspection inspection)技术。)技术。)技术。)技术。 19941994年,以色列年,以色列年,以色列年,以色列CheckPointCheckPoint公司开发出了第一个采用公司开发出了第一个采用公司开发出了第一个采用公司开发出了第一个采用这种技术的商业化的产品。这种技术的商业化的产品。这种技术的商业化的产品。这种技术的商业化的

8、产品。 3.2 防火墙的技术发展包过滤防火墙包过滤防火墙应用层应用层表示层表示层会话层会话层传输层传输层网络层网络层数据链路层数据链路层物理层物理层外网外网防火墙防火墙内网内网应用层应用层表示层表示层会话层会话层传输层传输层网络层网络层数据链路层数据链路层物理层物理层应用层应用层表示层表示层会话层会话层传输层传输层网络层网络层数据链路层数据链路层物理层物理层数据包数据包包过滤引擎包过滤引擎3.2 防火墙的技术发展IP 包包检测包头检测包头检查路由检查路由安全策略:过滤规则安全策略:过滤规则路由表路由表包过滤防火墙包过滤防火墙转发转发符合符合不符合不符合丢弃丢弃IP包源地址包源地址IP包目的地址

9、包目的地址TCP/UDP端口端口3.2 防火墙的技术发展包过滤防火墙的特点包过滤防火墙的特点1. 实现容易实现容易2. 数据吞吐率较高数据吞吐率较高4. 对应用完全透明对应用完全透明5. 对会话内容无法监控,安全性能较低对会话内容无法监控,安全性能较低3. 易配置易配置3.2 防火墙的技术发展应用代理防火墙应用代理防火墙应用层应用层表示层表示层会话层会话层传输层传输层网络层网络层数据链路层数据链路层物理层物理层外网外网防火墙防火墙内网内网应用层应用层表示层表示层会话层会话层传输层传输层网络层网络层数据链路层数据链路层物理层物理层应用层应用层表示层表示层会话层会话层传输层传输层网络层网络层数据链

10、路层数据链路层物理层物理层数据包数据包3.2 防火墙的技术发展应用代理防火墙的特点应用代理防火墙的特点1. 1. 可以对应用层数据进行处理可以对应用层数据进行处理 3. 3. 双向通信必须经过应用代理,禁止双向通信必须经过应用代理,禁止IPIP转发转发5. 5. 处理速度慢处理速度慢2. 2. 对数据包的检测能力比较强对数据包的检测能力比较强4. 4. 难于配置难于配置3.2 防火墙的技术发展状态检测包过滤防火墙状态检测包过滤防火墙应用层应用层表示层表示层会话层会话层传输层传输层网络层网络层数据链路层数据链路层物理层物理层外网外网防火墙防火墙内网内网应用层应用层表示层表示层会话层会话层传输层传

11、输层网络层网络层数据链路层数据链路层物理层物理层应用层应用层表示层表示层会话层会话层传输层传输层网络层网络层数据链路层数据链路层物理层物理层状态检测引擎状态检测引擎3.2 防火墙的技术发展IP 包包检测包头检测包头下一步下一步处理处理安全策略:过滤规则安全策略:过滤规则会话连接状态缓存表会话连接状态缓存表状态检测包过滤防火墙状态检测包过滤防火墙不符合不符合丢弃丢弃符合符合符合符合IP包源地址包源地址/目的地目的地址址TCP/UDP源端口源端口TCP会话连接状态会话连接状态3.2 防火墙的技术发展状态包过滤防火墙的特点状态包过滤防火墙的特点2. 可以对网络数据进行更细粒度的检测可以对网络数据进行

12、更细粒度的检测3. 数据吞吐率较高数据吞吐率较高4. 对会话内容的处理不够对会话内容的处理不够1. 可重组会话,记录会话状态可重组会话,记录会话状态3.2 防火墙的技术发展产品现状产品现状1. 1. 1. 1. 状态检测包过滤状态检测包过滤状态检测包过滤状态检测包过滤技术技术技术技术2. 2. 2. 2. 应用代理应用代理应用代理应用代理技术技术技术技术4 防火墙关键技术4.1 访问控制4.2 地址绑定4.3 NAT4.4 端口映射4.5 VPN4.6 抗攻击4.7 复杂协议支持4.8 HA4.1 访问控制4.2 地址绑定10.50.10.44/mac110.50.10.44/mac24.2

13、地址绑定4.3 NAT技术InternetInternet202.202.99.56Host C内部网络Host A Host B 192.168.0.3192.168.0.5数据IP报头数据IP报头源地址:192.168.0.3目地址:202.202.99.56源地址:10.50.10.88目地址:202.202.99.56eth1:192.168.0.2eth2:10.50.10.884.3 NAT技术4.4 端口映射InternetWWW 192.168.1.11FTP 192.168.1.22MAIL 192.168.1.33DNS 192.168.1.44192.168.1.2输入:

14、http:/202.102.10.8202.102.10.8192.168.1.11: 80 - 202.102.10.8: 80192.168.1.22:21 - 202.102.10.8: 21192.168.1.33 :25- 202.102.10.8:25192.168.1.44:53 - 202.102.10.8:534.4 端口映射4.5 VPNInternetWWW 192.168.1.11FTP 192.168.1.22MAIL 192.168.1.33DNS 192.168.1.44192.168.1.2VPN客户端10.50.10.88202.102.10.8VPN规则规则

15、Permit 10.50.10.1 - 192.168.1.14.5 VPN4.5 VPN1.支持基于策略的VPN应用2. 支持基于路由的VPN应用3. 支持VPN的星型、网状等多种接入方式4. 支持VPN的NAT穿越5. 支持DHCP over IPSec VPN6. 支持VPN远端状态探测DPD7. 支持PPTP/L2TP 拨号VPN 4.5 VPN当用户将防火墙作为安全设备来使用时,安全策略是用户当用户将防火墙作为安全设备来使用时,安全策略是用户当用户将防火墙作为安全设备来使用时,安全策略是用户当用户将防火墙作为安全设备来使用时,安全策略是用户关注的重点。用户需要基于策略的关注的重点。用

16、户需要基于策略的关注的重点。用户需要基于策略的关注的重点。用户需要基于策略的VPNVPN,安全策略直接控,安全策略直接控,安全策略直接控,安全策略直接控制数据包进入哪一条隧道。制数据包进入哪一条隧道。制数据包进入哪一条隧道。制数据包进入哪一条隧道。当用户使用防火墙的重点是远程当用户使用防火墙的重点是远程当用户使用防火墙的重点是远程当用户使用防火墙的重点是远程VPNVPN组网时,防火墙实际组网时,防火墙实际组网时,防火墙实际组网时,防火墙实际上是当作安全路由设备使用的。这时通过添加路由表就可上是当作安全路由设备使用的。这时通过添加路由表就可上是当作安全路由设备使用的。这时通过添加路由表就可上是当

17、作安全路由设备使用的。这时通过添加路由表就可以控制数据包进入哪一条隧道。此时使用的是基于路由的以控制数据包进入哪一条隧道。此时使用的是基于路由的以控制数据包进入哪一条隧道。此时使用的是基于路由的以控制数据包进入哪一条隧道。此时使用的是基于路由的VPNVPN。策略策略VPN or 路由路由VPN4.6 抗攻击对资源的请求大大超过正常值,致使服务超载,使得被访资源无法再对合理的请求进行响应,称为拒绝服务。恶意造成拒绝服务的行为,就称为拒绝服务攻击(Denial of Service,DoS)资源网络带宽文件系统容量开放的进程向内的连接4.6 抗攻击SYN flood以多个随机的源主机地址向目标主机

18、发送SYN包收到目标主机的SYN ACK后并不回应继续发送SYN请求目标主机建立了大量的连接,由于没有收到ACK一直维护着这些连接,造成了资源大量消耗而不能向正常请求提供服务。 4.6 抗攻击(a)TCP三次握手 (b) SYN风暴4.7 复杂协议支持H.323协议被普遍认为是目前在分组网上支持语音、图像协议被普遍认为是目前在分组网上支持语音、图像和数据业务最成熟的协议。采用和数据业务最成熟的协议。采用H.323协议,各个不同厂协议,各个不同厂商的多媒体产品和应用可以进行互相操作,用户不必考虑商的多媒体产品和应用可以进行互相操作,用户不必考虑兼容性问题。该协议为商业和个人用户基于兼容性问题。该

19、协议为商业和个人用户基于LAN、MAN的的多媒体产品协同开发奠定了基础。多媒体产品协同开发奠定了基础。 H.323H.323是一套在分组网上提供实时音频、视频和数据通信是一套在分组网上提供实时音频、视频和数据通信的标准,是的标准,是ITU-T制订的在各种网络上提供多媒体通信的制订的在各种网络上提供多媒体通信的系列协议系列协议H.32x的一部分。的一部分。4.7 复杂协议支持SIPSIP(Session Initiation Protocol)会话初始协议是)会话初始协议是IETF制订的,用于多方多媒体通信。制订的,用于多方多媒体通信。按照按照IETF RFC 2543的定义,的定义,SIP是一

20、个基于文本的应用是一个基于文本的应用层控制协议,独立于底层传输协议层控制协议,独立于底层传输协议TCP/UDP/SCTP,用,用于建立、修改和终止于建立、修改和终止IP网上的双方或多方多媒体会话。网上的双方或多方多媒体会话。SIP协议借鉴了协议借鉴了HTTP、SMTP等协议,支持代理、重定等协议,支持代理、重定向及登记定位用户等功能,支持用户移动。通过与向及登记定位用户等功能,支持用户移动。通过与RTP/R TCP、SDP、RTSP等协议及等协议及DNS配合,配合,SIP支持支持语音、视频、数据、语音、视频、数据、E-mail、状态、状态、IM、聊天、游戏等。、聊天、游戏等。SIP协议可在协议

21、可在TCP或或UDP之上传送,由于之上传送,由于SIP本身具有握本身具有握手机制,可首选手机制,可首选UDP。4.7 复杂协议支持RIPRouting information Protocol路由信息协议是推出时间最长,最简单的路由协议,是一种内部网关协议(Interior Gateway Protocol,简称IGP),适用于小型同类网络,是典型的距离向量(distance-vector)协议。 RIP主要传递路由信息(路由表)来广播路由,每隔30秒广播一次路由表,维护与相邻路由器的关系,同时根据收到的路由表计算自己的路由表。 4.7 复杂协议支持OSPF作为一种链路状态的路由协议,OSPF

22、具备许多优点:快速收敛,支持变长网络屏蔽码,支持CIDR以及地址summary,具有层次化的网络结构,支持路由信息验证等。它通过传递链路状态(连接信息)来得到网络信息,维护一张网络有向拓扑图,利用最小生成树算法(SPF算法)得到路由表。OSPF是一种相对复杂的路由协议。 Open Shortest Path First 开放式最短路优先开放式最短路优先 是由IETF(Internet Engineering Task Force)IGP工作小组提出的一种基于SPF算法的路由协议,目前使用的OSPF协议是其第二版,由RFC1247和RFC1583定义。 4.7 复杂协议支持BGPBorder G

23、ateway Protocol边界网关协议Border Gateway Protocol边界网关协议BGP用于处理各ISP之间的路由传递,其特点是有丰富的路由策略。 RIP、OSPF是内部网关协议,适用于单个ISP的统一路由协议的运行。由一个ISP运营的网络称为一个自治系统(AS)。BGP是自治系统间的路由协议,是一种外部网关协议。 4.8 HA5 防火墙评价指标 1. 性能性能 2. 功能功能 3. 可靠性可靠性 4. 易用性易用性5 防火墙评价指标性能指标性能指标定定 义义重要程度重要程度吞吐量吞吐量单位时间内通过防火墙的数据包数量(不丢包) 最大并发连接数最大并发连接数防火墙可同时维护的

24、网络连接数 背靠背背靠背防火墙对网络数据包的缓存能力 新建连接速率新建连接速率防火墙建新连接的快慢程度 延迟延迟防火墙处理和转发数据包所需要的时间 丢包率丢包率丢包数占发送包总数的比例(吞吐量范围内) 评价防火墙性能的六个指标评价防火墙性能的六个指标6 防火墙的部署外部网络外部网络DMZDMZ内部网络内部网络防火墙防火墙Web ServerMail Server6 防火墙的部署纯路由纯路由6 防火墙的部署纯透明纯透明6 防火墙的部署混合混合7 防火墙的发展趋势UTMUTMUsersUsersServersServers设备层面整合设备层面整合设备层面整合设备层面整合-UTM-UTM7 防火墙的发展趋势7 防火墙的发展趋势集中管理系统集中管理系统集中管理系统集中管理系统可管理安全可管理安全可管理安全可管理安全管理层面整合管理层面整合管理层面整合管理层面整合8 典型应用8 典型应用8 典型应用9 FAQ

展开阅读全文
相关资源
正为您匹配相似的精品文档
相关搜索

最新文档


当前位置:首页 > 高等教育 > 研究生课件

电脑版 |金锄头文库版权所有
经营许可证:蜀ICP备13022795号 | 川公网安备 51140202000112号