中国科学技术大学 肖 明 军 xiaomj@ustc.edu.cn 《网络信息安全》 中国科学技术大学 肖 明 军 xiaomj@ustc.edu.cn.

Slides:



Advertisements
Similar presentations
5.9 TCP 的运输连接管理 1. 运输连接的三个阶段 运输连接就有三个阶段,即:连接建立、数据传送和连接释放。运输连接的管理就是使运输连接的建立和释放都能正常地进行。 连接建立过程中要解决以下三个问题: 要使每一方能够确知对方的存在。 要允许双方协商一些参数(如最大报文段长度,最大窗口大小,服务质量等)。
Advertisements

项目四:Internet基础与接入方法 第八章 应用服务器安装配置
第6章:计算机网络基础 网考小组.
先介绍计算机网络基础知识,再分析网络视频监 控系统的架构、原理与维护。
朝阳区统计系统 网络基础知识培训 计算机中心
《网络基础与Internet应用》.
第三章 駭客入侵流程解析.
第7章 防 火 墙 技 术 7.1 防火墙概念 7.2 防火墙原理及实现方法 7.3 防火墙体系结构 7.4 防火墙的构成
计算机网络(第 6 版) 第 6 章 应用层 青岛理工大学通信与电子工程学院.
第一章 概述 第二章 用户需求分析 第三章 现有网络分析 第四章 逻辑网络设计 第五章 网络设备选择 第六章 WAN接入设计
了 解 从 Internet IP 开 始.
MIE-311 Mobile Network Security
因特网 TCP/IP协议 IP路由技术 Internet接入技术 Internet服务.
思考 问题十:大学生如何提高英语能力? (听说读写能力).
网络协议及架构安全 培训机构名称 讲师名字.
计算机网络安全技术实验 启动虚拟机、GIF、measpoilt、.
第6章 计算机网络基础.
第三章 管理信息系统的技术基础 主要内容: 数据处理 数据组织 数据库技术 4. 计算机网络.
电子商务的网络技术 德州学院计算机系.
数据转发过程.
了 解 Internet 从 ip 开 始.
2017/4/6 课程整体设计 计算机组网技术 梁建华.
海信FW3010PF防火墙介绍 北京海信数码科技有限公司
第一章 網路攻防概述.
计算机系统安全 第10章 常用攻击手段.
计算机应用专业系列教材 计算机网络.
網路基本概念與設定方法 林文宗 資管系助理教授
教学目的:通过本章的学习大家要掌握端口 教学重点:端口的分类的两大类,静态端口 教学难点:几种常见的端口.
宽带路由器配置与应用.
基于WinSock的邮件系统 1 设计目标: 1.1 SMTP发送邮件服务器(c语言) 1.2 POP3接受邮件服务器(c语言)
网络地址转换(NAT) 及其实现.
第7章 计算机网络基础.
学习目标: 1)理解包和包过滤 2)理解包过滤的方法 3)设置特殊的包过滤规则
網路概論.
传输层是整个协议层次的核心,其任务是在源机器和目标机器之间提供可靠的、性价比合理的数据传输功能,并与当前所使用的物理网络完全独立
教师:陈有为 TCP/IP与Internet(A) 教师:陈有为
網路基本概念 本章主要是為讀者建立有關網路的基本知識, 作為後續章節的基礎。首先我們會說明網路的基本概念, 接著介紹網路的各種類型與相關的作業系統, 最後則是介紹 OSI 與 DoD 等兩種網路模型, 讓讀者能進一步了解網路運作的方式。
David liang 数据通信安全教程 防火墙技术及应用 David liang
計資中心教學研究組唐瑤瑤 電腦與網路 計資中心教學研究組唐瑤瑤
华南师范大学 防火墙 华南师范大学
第3讲 网络安全协议基础 此为封面页,需列出课程编码、课程名称和课程开发室名称。
(C) Active Network CO., Ltd
第 16 章 Internet架構.
網路伺服器應用 Linux Server Andres, Wen-Yuan Liao
TCP和UDP基本原理.
網路服務 家庭和小型企業網路 – 第六章.
访问控制列表(ACL) Version 1.0.
第 2 章 TCP / IP 簡介.
防火墙技术介绍   严峻的网络安全形势,促进了防火墙技术的不断发展。防火墙是一种综合性的科学技术,涉及网络通信、数据加密、安全决策、信息安全、硬件研制、软件开发等综合性课题。
第十讲 TCP协议 协议概述 报文段格式 差错控制 流控和拥塞控制 TCP连接管理 TCP性能问题 TCP软件设计 2018/12/7
考试题型 填空题(30) 选择题(20) 名词解释(10) 问答题(24) 计算题(16) 附加题(30) 成绩核算:
计算机网络(第 5 版) 第 5 章 传输层.
江西财经大学信息管理学院 《组网技术》课程组
工业数据通信与控制网络.
NetST®防火墙培训教程 清华得实® 保留所有权利.
第2讲 网络安全协议基础 此为封面页,需列出课程编码、课程名称和课程开发室名称。
ISA Server 2004.
第7章 传输层协议——TCP与UDP 任课教师 卢豫开.
Network Application Programming(3rd Edition)
网络工程 苏兆品 QQ:
防火墙.
3.1 通訊協定 3.2 開放系統參考模式(OSI) 3.3 公眾數據網路 3.4 TCP/IP通訊協定
Windows XP 簡易網路檢查 edo.
Source: Journal of Network and Computer Applications, Vol. 125, No
網路安全管理 期末報告 A 許之青 24/04/2019.
科学架设和优化校园组网结构 提升内部网络访问和管理水平
第10讲 Web服务.
Internet课程设计 教师:陈 妍 朱海萍 西安交通大学计算机系
信息安全防护技术—— 防火墙和入侵检测 万明
第7章 传输层协议——TCP与UDP 任课教师 卢豫开.
Presentation transcript:

中国科学技术大学 肖 明 军 xiaomj@ustc.edu.cn 《网络信息安全》 中国科学技术大学 肖 明 军 xiaomj@ustc.edu.cn

提 纲 防火墙概述 防火墙分类 防火墙硬件技术 防火墙软件技术 防火墙分级 防火墙功能 防火墙性能 防火墙安全性 防火墙部署 防火墙管理 防火墙可靠性 防火墙典型应用 防火墙技术发展展望 怎样选择防火墙

定义 核心思想 目的 防火墙(Firewall)定义 防火墙是一种访问控制技术,是位于两个信任程度不同的网络之间(如企业内部网络和Internet之间)的软件或硬件设备的组合,它对两个网络之间的通信进行控制,通过强制实施统一的安全策略,防止对重要信息资源的非法存取和访问,以达到保护系统安全的目的。 防火墙是放置在两个网络之间的一组组件,这组组件具有下列性质:只允许本地安全策略授权的通信信息通过;双向通信信息必须通过防火墙;防火墙本身不会影响信息的流通。 核心思想 在不安全的网际网环境中构造一个相对安全的子网环境。 目的 都是为了在被保护的内部网与不安全的非信任网络之间设立唯一的通道,以按照事先制定的策略控制信息的流入和流出,监督和控制使用者的操作。

防火墙(Firewall)定义 防火墙可在链路层、网络层和应用层上实现; 其功能的本质特征是隔离内外网络和对进出信息流实施访问控制。隔离方法可以是基于物理的,也可以是基于逻辑的; 从网络防御体系上看,防火墙是一种被动防御的保护装置 。

防火墙(Firewall)相关概念 堡垒主机是一台完全暴露给外网攻击的主机。由于堡垒主机完全暴露在外网安全威胁之下,需要做许多工作来设计和配置堡垒主机,使它遭到外网攻击成功的风险性减至最低。常见的堡垒主机包括:Web,Mail,DNS,FTP服务器。 双宿主主机(Dual-Homed Host)结构是围绕着至少具有两个网络接口的双宿主主机而构成的。双宿主主机内外的网络均可与双宿主主机实施通信,但内外网络之间不可直接通信,内外部网络之间的IP数据流被双宿主主机完全切断。双宿主主机可以通过代理或让用户直接注册到其上来提供很高程度的网络控制。 包过滤:对进出网络的数据包进行有选择的控制与操作。 DMZ(demilitarized zone):隔离区也称为非军事区域,内外网络之间增加的一层网络,起到缓冲作用。 代理服务器:代表内部用户与外部服务器进行信息交换的计算机系统。

防火墙图示 两个安全域之间通信流的唯一通道 Internet 内部网 UDP Block Host C Host B TCP Pass Host A Destination Protocol Permit Source 根据访问控制规则决定进出网络的行为 一种高级访问控制设备,置于不同网络安全域之间的一系列部件的组合,它是不同网络安全域间通信流的唯一通道,能根据企业有关的安全政策控制(允许、拒绝、监视、记录)进出网络的访问行为。

形形色色的防火墙 根据不同网络应用环境选择合适的防火墙 高端千兆防火墙 高端百兆防火墙 防火墙 + VPN 普通百兆防火墙 桌面型防火墙

防火墙整体外观介绍 内 网 外 网 SSN 网络接口 控制口 样式:标准1U-----4U机箱,根据接口数量、处理性能等不同而异 网络接口数量:标准一般配置3 个 10/100M 自适应接口,根据需要可以定制更多接口,有些还可热拔插 网络接口类型:标准一般是 10/100-Base-TX接口,也可定制其他类型接口 电源:一般单电源,特殊场合可以配置双电源,但需要定制 硬件平台架构:大多基于X86工控平台,正在开发基于NP加速的新产品 处理器:大多是CPU,极少数CPU+NPU 软件平台:部分自主开发、优化,也有直接基于开放LINUX架构改造,使用免费代码构建

防火墙外观的演变 新结构防火墙 防火墙模块 老结构防火墙 新老结构的变化,体现了防火墙的发展方向: 集成化方向发展 模块化方向发展 选择更加灵活,部署更加方便,处理能力更加强大 老结构防火墙

防火墙设计结构的变化 防火墙接口模块 防火墙模块封装板 防火墙机箱与引擎 根据需要可以通过扩充模块,增加端口的数量 根据需要可以通过更换模块,改变端口的类型 根据需要可以选择 处理能力更好的机箱与引擎

千兆电信级防火墙结构 防火墙引擎 GBIC卡插槽 10/100M接口 AUX接口 大功率散热风扇 热拔插冗余电源

SSN (Secure Server Network,相当于DMZ)区域 防火墙连线图 串口线 直通线 交叉线 交叉线 管理机 内网 外网 SSN (Secure Server Network,相当于DMZ)区域

防火墙作用 Intranet 禁止访问 通过部署防火墙,可以实现比VLAN、 禁止访问 路由器更为强大、有效的访问控制功能; 大大提高抗攻击的能力 禁止访问

规范需求分析、设计、编码、测试、评估等环节 防火墙执行标准 GB/T 18019-1999 信息技术包过滤防火墙安全技术要求 GB/T 18020-1999 信息技术应用级防火墙安全技术要求 GB/T 18336-2001 信息技术安全性评估准则 ( ISO 15408 ) GB/T 17900-1999 网络代理服务器的安全技术要求 GB/T 18018-1999 路由器安全技术要求 国 内 标 准 国 际 标 准 GB/T 18336---2001 (ISO/IEC 15408) GB/T 18010---1999 规范需求分析、设计、编码、测试、评估等环节 GB/T 18020---1999

提 纲 防火墙概述 防火墙分类 防火墙硬件技术 防火墙软件技术 防火墙分级 防火墙功能 防火墙性能 防火墙安全性 防火墙部署 防火墙管理 防火墙可靠性 防火墙典型应用 防火墙技术发展展望 怎样选择防火墙

1.个人防火墙 是在操作系统上运行的软件,可为个人计算机提供简单的防火墙功能; 防火墙简单分类 1.个人防火墙 是在操作系统上运行的软件,可为个人计算机提供简单的防火墙功能; 大家常用的个人防火墙有:Norton Personal Firewall、天网个人防火墙、瑞星个人防火墙等; 安装在个人PC上,而不是放置在网络边界,因此,个人防火墙关心的不是一个网络到另外一个网络的安全,而是单个主机和与之相连接的主机或网络之间的安全。

防火墙简单分类 2.软件防火墙 个人防火墙也是一种纯软件防火墙,但其应用范围较小,且只支持Windows系统,功能相对来说要弱很多,并且安全性和并发连接处理能力较差; 作为网络防火墙的软件防火墙具有比个人防火墙更强的控制功能和更高的性能。不仅支持Windows系统,并且多数都支持Unix或Linux系统。如十分著名的Check Point FireWall-1,Microsoft ISA Server 2000等 。

3.一般硬件防火墙 不等同于采用专用芯片的纯硬件防火墙,但和纯软件防火墙有很大差异 ; 防火墙简单分类 3.一般硬件防火墙 不等同于采用专用芯片的纯硬件防火墙,但和纯软件防火墙有很大差异 ; 一般由小型的防火墙厂商开发,或者是大型厂商开发的中低端产品,应用于中小型企业,功能比较全,但性能一般; 一般都采用PC架构(就是一台嵌入式主机),但使用的各个配件都量身定制 。

国内自主开发的防火墙大部分都属于这种类型。 防火墙简单分类 其操作系统一般都采用经过精简和修改过内核的Linux或Unix,安全性比使用通用操作系统的纯软件防火墙要好很多,并且不会在上面运行不必要的服务,这样的操作系统基本就没有什么漏洞。但是,这种防火墙使用的操作系统内核一般是固定的,是不可升级的,因此新发现的漏洞对防火墙来说可能是致命的 ; 国内自主开发的防火墙大部分都属于这种类型。

防火墙简单分类 4.纯硬件防火墙 采用专用芯片(非X86芯片)来处理防火墙核心策略的一种硬件防火墙,也称为芯片级防火墙。(专用集成电路(ASIC)芯片或者网络处理器(NP)芯片); 最大的亮点:高性能,非常高的并发连接数和吞吐量; 采用ASIC芯片的方法在国外比较流行,技术也比较成熟,如美国NetScreen公司的高端防火墙产品;国内芯片级防火墙大多还处于开发发展的阶段,采用的是NP技术。

5.分布式防火墙 前面提到的几种防火墙都属于边界防火墙(Perimeter Firewall),它无法对内部网络实现有效地保护; 防火墙简单分类 5.分布式防火墙 前面提到的几种防火墙都属于边界防火墙(Perimeter Firewall),它无法对内部网络实现有效地保护; 随着人们对网络安全防护要求的提高,产生了一种新型的防火墙体系结构——分布式防火墙。近几年,分布式防火墙技术已逐渐兴起,并在国外一些大的网络设备开发商中得到实现,由于其优越的安全防护体系,符合未来的发展趋势,这一技术一出现就得到了许多用户的认可和接受。

按部署结构分类 防火墙其它分类 从防火墙结构分为单一主机防火墙、路由器集成式防火墙和分布式防火墙三种。 单一主机防火墙:是最为传统的防火墙,独立于其它网络设备,它位于网络边界。与一台计算机结构差不多,价格昂贵。 路由器集成式防火墙:这种防火墙通常是较低级的包过滤型。许多中、高档路由器中集成了防火墙功能,如CiscoIOS防火墙系列。这样企业就不用再同时购买路由器和防火墙,大大降低了网络设备购买成本。 分布式防火墙:不只是位于网络边界,而是渗透于网络的每一台主机,对整个内部网络的主机实施保护。在网络服务器中,通常会安装一个用于防火墙系统管理软件,在服务器及各主机上安装有集成网卡功能的PCI防火墙卡。

按部署位置分类 按性能分类 按防火墙的应用部署位置分为边界防火墙、个人防火墙和混合式防火墙三大类。 防火墙其它分类 按部署位置分类 按防火墙的应用部署位置分为边界防火墙、个人防火墙和混合式防火墙三大类。 按性能分类 按防火墙性能分为百兆级防火墙和千兆级防火墙两类。目前还针对小企业用户(网络流量小、用户数量较少)生产出了桌面型防火墙。

防火墙的分类 按形态分类 软件防火墙 硬件防火墙 按保护对象分类 Internet Internet 网络防火墙 单机防火墙 保护整个网络 保护单台主机 网络防火墙 单机防火墙

单机防火墙&网络防火墙 单机防火墙 网络防火墙 Internet 产品形态 软件 硬件或者软件 安装点 单台独立的 Host 网络边界处 安全策略 分散在各个安全点 对整个网络有效 保护范围 单台主机 一个网段 管理方式 分散管理 集中管理 功能 功能单一 功能复杂、多样 管理人员 普通计算机用户 专业网管人员 安全措施 单点安全措施 全局安全措施 结论 单机防火墙是网络防火墙的有益补充,但不能代替网络防火墙为内部网络提供强大的保护功能 Internet 网络防火墙 单机防火墙 保护单台主机 安全策略分散 安全功能简单 普通用户维护 安全隐患较大 策略设置灵活 保护整个网络 安全策略集中 安全功能复杂多样 专业管理员维护 安全隐患小 策略设置复杂

硬件防火墙&软件防火墙 Internet Internet 软件防火墙 硬件防火墙 仅获得Firewall软件,需要准备额外的OS平台 网络适应性弱(主要以路由模式工作) 稳定性高 软件分发、升级比较方便 硬件+软件,不用准备额外的OS平台 安全性完全取决于专用的OS 网络适应性强(支持多种接入模式) 稳定性较高 升级、更新不太灵活 操作系统平台 安全性 性能 稳定性 网络适应性 分发 升级 成本 硬件防火墙 基于精简专用OS 高 较高 强 不易 较容易 Price=firewall+Server 软件防火墙 基于庞大通用OS 较强 非常容易 容易 Price=Firewall

提 纲 防火墙概述 防火墙分类 防火墙硬件技术 防火墙软件技术 防火墙分级 防火墙功能 防火墙性能 防火墙安全性 防火墙部署 防火墙管理 防火墙体系结构 防火墙硬件技术 防火墙软件技术 防火墙分级 防火墙功能 防火墙性能 防火墙安全性 防火墙部署 防火墙管理 防火墙可靠性 防火墙典型应用 防火墙技术发展展望 怎样选择防火墙

防火墙的体系结构一般有以下几种: 1. 包过滤型防火墙 2. 双宿网关防火墙 3. 屏蔽主机防火墙 4. 屏蔽子网防火墙 防火墙体系结构 防火墙的体系结构一般有以下几种: 1. 包过滤型防火墙 2. 双宿网关防火墙 3. 屏蔽主机防火墙 4. 屏蔽子网防火墙 5. 其它结构的防火墙

包过滤型防火墙 包过滤型防火墙往往可以用一台过滤路由器来实现对所接收的每个数据包做允许拒绝的决定。路由器审查每个数据包,以便确定其是否与某一条包过滤规则匹配。过滤规则基于IP包头信息。 包头信息中包括IP源地址、IP目标端地址、内装协议(TCP,UDP,ICMP或IP Tunnel)、TCP/UDP目标端口、ICMP消息类型以及TCP包头中的ACK位。包的进入接口和出接口如果有匹配,并且规则允许该数据包通过,该数据包会按照路由表转发。如果匹配规则拒绝,则该数据包就会被丢弃。如果没有匹配规则,用户配置的缺省参数会决定是转发还是丢弃数据包。

包过滤型防火墙

优点 缺点 处理包的速度快。过滤路由器为用户提供了一种透明的服务,用户不能改变客户端程序或改变自己的行为。 包过滤型防火墙 优点 处理包的速度快。过滤路由器为用户提供了一种透明的服务,用户不能改变客户端程序或改变自己的行为。 实现包过滤几乎不再需要费用(或极少的费用),因为这些特点都包含在标准的路由器软件中。 包过滤路由器对用户和应用来讲都是透明的,所以不必对用户进行特殊的培训,也不必在每台主机上安装特定的软件。 缺点 防火墙的维护比较困难。定义数据包过滤会比较复杂,

因为网络管理员需要对各种互联网服务、包头格式以及每个域的意义有非常深入的理解。 包过滤型防火墙 因为网络管理员需要对各种互联网服务、包头格式以及每个域的意义有非常深入的理解。 只能阻止一种类型的IP欺骗,即外部主机伪装内部主机的IP,对于外部主机伪装其它可信任的外部主机的IP却不可能阻止。 一些包过滤网关不支持有效的用户认证。因为IP地址是可以伪造的,因此如果没有基于用户的认证,仅通过IP地址来判断是不安全的。 不可能提供有用的日志,或根本就不提供。 随着过滤器数目的增加,路由器的吞吐量会下降。

包过滤型防火墙 IP包过滤器可能无法对网络上流动的信息提供全面的控制。包过滤路由器能够允许或拒绝特定的服务,但是不能理解特定服务的上下文环境和数据。 适用场合 非集中化管理的机构 没有强大的集中安全策略的机构 网络的主机数非常少 主要依赖于主机安全来防止入侵,但是当主机数增加到一定程度的时候,仅靠主机安全是不够的。 没有使用DHCP这样的动态IP地址分配协议

用户直接登录到双重宿主主机上:开设账户危险,用户行为不可测 双宿网关防火墙 一个双重宿主主机是一种防火墙,拥有两个连接到不同网络上的网络接口。例如,一个网络接口连到外部的不可信任的网络上,另一个网络接口连接到内部的可信任网络上 这种防火墙的最大特点是IP层的通信是被阻止的,两个网络之间的通信可通过应用层数据共享或应用层代理服务来完成。一般情况下,人们采用代理服务的方法,能够为用户提供更为方便的访问手段。 双重宿主主机用两种方式来提供服务 用户直接登录到双重宿主主机上:开设账户危险,用户行为不可测 在双重宿主主机运行代理服务器:“存储转发”型的服务HTTP等

双宿网关防火墙 应用层代理 应用层数据共享

双宿网关防火墙 注意事项 双重宿主主机是唯一的隔开内部网和外部网络之间的屏障,如果入侵者得到了双重宿主主机的访问权,内部网络就会被入侵,所以双重宿主主机应具有强大的身份认证系统 为了防止防火墙被入侵,应尽量减少防火墙上用户的账户数目。 使用双重宿主主机应首先禁用网络层的路由功能。在Unix内实现路由禁止,必须重新配置和重建核心,除了要禁止IP转发,还应清除一些Unix系统中的工具程序和服务。 双重宿主主机作为中间转接点,性能非常重要。

屏蔽主机防火墙由包过滤路由器和堡垒主机组成,堡垒主机配置在内部网络,包过滤路由器则放置在内部网络和外部网络之间。 屏蔽主机防火墙强迫所有的外部主机与一个堡垒主机相连,而不让它们直接与内部主机相连。在路由器上进行规则配置,使得外部系统只能访问堡垒主机,去往内部系统上其它主机的信息全部被阻塞。 由于内部主机和堡垒主机处于同一个网络,内部系统是否允许直接访问Internet,或者是要求使用堡垒主机上的代理服务来访问,由机构的安全策略来决定。对路由器的过滤规则进行设置,使得其只接受来自堡垒主机的内部数据包,就可以强制内部用户使用代理服务

屏蔽主机防火墙 堡垒主机是互联网上的主机能连接到内部网络上的系统的桥梁 数据包过滤也允许堡垒主机开放可允许的连接到外部世界

特点 安全等级比包过滤防火墙要高,因为它实现了网络层安全(包过滤)和应用层安全(代理服务) 该主机可完成多种代理,如FTP、Telnet, 屏蔽主机防火墙 特点 安全等级比包过滤防火墙要高,因为它实现了网络层安全(包过滤)和应用层安全(代理服务) 该主机可完成多种代理,如FTP、Telnet, 还可以完成认证和交互作用, 能提供完善的Internet访问控制。 这种防火墙主机是网络的单失效点,也是网络黑客集中攻击的目标,安全保障仍不够理想。 但这种防火墙投资少,功能容易实现,也便于扩充,因而应用比较广泛。 过滤路由器是否正确配置是这种防火墙安全与否的关键。过滤路由器的路由表应当受到严格保护,如果遭到破坏,则数据包就不会被路由到堡垒主机上,使堡垒主机被越过

屏蔽主机防火墙

外部路由器拥有防范通常的外部攻击,并管理外部网到DMZ网络的访问,它只允许外部系统访问堡垒主机(还可能有信息服务器) 屏蔽子网防火墙 屏蔽子网防火墙用了两个包过滤路由器和一个堡垒主机。它在两个包过滤路由器之间定义了“非军事区DMZ”网络,并将堡垒主机、信息服务器以及其它公用服务器放在DMZ网络中。 DMZ网络很小,处于Internet和内部网络之间。一般情况下,把DMZ配置成使用Internet和内部网络系统对其访问受限制的系统,而通过DMZ网络直接进行信息传输是严格禁止的 外部路由器拥有防范通常的外部攻击,并管理外部网到DMZ网络的访问,它只允许外部系统访问堡垒主机(还可能有信息服务器)

堡垒主机上则可以运行各种各样的代理服务器 屏蔽子网防火墙 内部路由器又称为阻塞路由器,位于内部网和DMZ之间,提供第二层防御,用于保护内部网络不受DMZ和Internet的侵害。它负责管理DMZ到内部网络的访问(只接受源于堡垒主机的数据包)以及内部网络到DMZ网络的访问。它执行了大部分的过滤工作。 堡垒主机上则可以运行各种各样的代理服务器

其它结构防火墙 1.合并DMZ的外部路由器和堡垒主机的结构 由双宿堡垒主机来执行原来的外部路由器的功能。由双宿主机进行路由会缺乏专用路由器的灵活性及性能,但在网络速度不高的情况下,可以胜任路由的工作。缺点是堡垒主机完全暴露在Internet上,需小心保护。

其它结构防火墙 2.合并DMZ的内部路由器和堡垒主机的结构 堡垒主机的一个网络接口接到DMZ,另一网络接口接到内部网络。过滤路由器必须加以配置,以便它能把外部网络传到内部网络的所有网络流量发给堡垒主机的“inside”网络接口,只有被过滤路由器规则允许的网络流才能转发给堡垒主机。

3.合并DMZ的内部路由器和外部路由器的结构 其它结构防火墙 3.合并DMZ的内部路由器和外部路由器的结构 当拥有强大的路由器时,可以合并内外部路由器,这种结构中,堡垒主机处于DMZ的位置,在过滤路由器上一般设置internet只能访问堡垒主机。

4.两个堡垒主机和两个DMZ的结构 其它结构防火墙

其它结构防火墙 5.牺牲主机结构 如果一个组织想提供公共信息服务,如匿名FTP等,它就可以在外部非军事区提供一个主机作为牺牲主机。堡垒主机不能相信来自牺牲主机的流量。

其它结构防火墙 6.使用多台外部路由器的体系结构

提 纲 防火墙概述 防火墙分类 防火墙硬件技术 防火墙软件技术 防火墙分级 防火墙功能 防火墙性能 防火墙安全性 防火墙部署 防火墙管理 防火墙体系结构 防火墙硬件技术 防火墙软件技术 防火墙分级 防火墙功能 防火墙性能 防火墙安全性 防火墙部署 防火墙管理 防火墙可靠性 防火墙典型应用 防火墙技术发展展望 怎样选择防火墙

CPU 防火墙单总线结构 NPU2 NPU1 ASIC 存储器 存储器 存储器 总线 网络接口 网络接口 防火墙的硬件瓶颈: 4 1 2 3 ASIC 总线 网络接口 网络接口 总线位数 总线频率 总线带宽 32 b 33M 1G 64 b 2G 133M 4G 8G 防火墙的硬件瓶颈: 处理器的计算能力:CPU+NPU+ASIC 总线带宽:设计多总线产品 存储器的存储速度 I/O 接口速度

CPU 防火墙多总线结构 NPU2 NPU1 ASIC 总线2 存储器 存储器 存储器 总线1 网络接口 网络接口 总线位数 总线频率 总线带宽 32 b 33M 1G 64 b 2G 133M 4G 8G 防火墙的硬件瓶颈: 处理器的计算能力:CPU+NPU+ASIC(提高主频或者采用多处理器) 总线带宽:设计多总线产品(提高总线带宽或者采用多总线结构) 存储器的存储速度 I/O 接口速度

CPU + ASIC + 133M总线 + 10/100/1000M网络接口 防火墙硬件结构种类 CPU + 33M总线 + 10/100/1000M网络接口 CPU + 133M总线 + 10/100/1000M网络接口 CPU + ASIC + 133M总线 + 10/100/1000M网络接口 CPU + NPU + 133M总线 + 10/100/1000M网络接口 CPU + NPU + ASIC + 133M总线 + 10/100/1000M网络接口 n个CPU + n个NPU + n个ASIC + n条总线 + n个10/100/1000网络接口 逐步提高处理能力 逐步提高总线带宽 逐步提高接口速率

CPU CPU + 33M + 10/100M 存储器 33M总线 网络接口 网络接口 防火墙的处理能力: 处理器的计算能力:普通CPU 4 1 2 3 33M总线 网络接口 网络接口 总线位数 总线频率 总线带宽 32 b 33M 1G 64 b 2G 133M 4G 8G 防火墙的处理能力: 处理器的计算能力:普通CPU 总线带宽:33M 存储器的存储速度 I/O 接口速度:比较适合中低端百兆防火墙

CPU CPU + 133M + 10/100M/1000M 存储器 133M总线 网络接口 网络接口 防火墙的处理能力: 4 1 2 3 133M总线 网络接口 网络接口 总线位数 总线频率 总线带宽 32 b 33M 1G 64 b 2G 133M 4G 8G 防火墙的处理能力: 处理器的计算能力:普通CPU 总线带宽:133M 存储器的存储速度 I/O 接口速度:比较适合中低端千兆防火墙或者高端百兆防火墙

CPU CPU + ASIC + 133M + 10/100M/1000M ASIC 存储器 133M总线 网络接口 网络接口 4 1 2 3 133M总线 网络接口 网络接口 总线位数 总线频率 总线带宽 32 b 33M 1G 64 b 2G 133M 4G 8G 防火墙的处理能力: 处理器的计算能力:普通CPU + ASIC 总线带宽:133M 存储器的存储速度 I/O 接口速度:高端百兆、千兆

CPU CPU + NPU + 133M + 10/100M/1000M NPU2 NPU1 总线2 存储器 存储器 存储器 总线1 网络接口 网络接口 总线位数 总线频率 总线带宽 32 b 33M 1G 64 b 2G 133M 4G 8G 防火墙的处理能力: 处理器的计算能力:普通CPU + NPU 总线带宽:133M 存储器的存储速度 I/O 接口速度:高端百兆、千兆

CPU CPU + NPU +ASIC + 133M + 10/100M/1000M NPU2 NPU1 ASIC 总线2 存储器 存储器 总线1 网络接口 网络接口 总线位数 总线频率 总线带宽 32 b 33M 1G 64 b 2G 133M 4G 8G 防火墙的硬件瓶颈: 处理器的计算能力:CPU+NPU+ASIC 总线带宽:多总线 存储器的存储速度 I/O 接口速度:高端百兆、千兆

基于通用CPU的防火墙的特点 通用CPU的优点:高灵活性、高扩展性

基于ASIC加速技术防火墙的特点 ASIC:Application Specific Integrated Circuit,特定用途集成电路。 ASIC专用硬件加速技术主要是部分国外厂商的防火墙产品采用,如NetScreen的高端防火墙。ASIC作为硬件集成电路,它把指令或计算逻辑固化到硬件中,获得高处理能力,提升防火墙性能。 ASIC最大缺点是缺乏灵活性,支持有限的应用和服务。一旦指令或计算逻辑固化到硬件中,就很难修改升级、增加新的功能或提高性能,使得资源重用率很低。而且,ASIC设计和制造周期长(设计和制造复杂ASIC一般需要花费12~18个月),研发费用高,也使ASIC很难应对万变的网络新应用,所以基于ASIC技术,很难快速推出能满足用户需求不断变化的防火墙产品。

基于NP加速技术防火墙的特点 Intel 公司第一代NP芯片 网络处理器(Network Processor,简称NP)顾名思义即专为网络数据处理而设计的芯片或芯片组。 能够直接完成网络数据处理的一般性任务,如TCP/IP数据的校验和计算、包分类、路由查找等,同时,硬件体系结构的设计也弥补了传统IA体系的不足,它们大多采用高速的接口技术和总线规范,具有较高的I/O能力。 基于网络处理器的网络设备的包处理能力得到了很大提升,很多需要高性能的领域,如千兆交换机、防火墙、路由器的设计都可以采用网络处理器来实现。 NP产品远未成熟,包括Terago公司倒闭(10Gbit/sNP) NP不少,产品接口却不统一,无法完成无缝的整合; NPU论坛(网络处理器论坛(NPF))正在推动相关标准的制定,但还很不完善; NP防火墙产品的测试标准并没有推出,有关测试方法的Benchmark都还没有制定出来 对复杂应用数据, NP的表现就不令人满意。例如分片数据包的重组和加密的处理。 目前在网络数据厂商中,采用NP技术的数量非常有限。 Intel 公司第一代NP芯片

CPU + ASIC + 133M总线 + 10/100/1000M网络接口 TopSEC 防火墙硬件结构种类 CPU + 33M总线 + 10/100/1000M网络接口 CPU + 133M总线 + 10/100/1000M网络接口 CPU + ASIC + 133M总线 + 10/100/1000M网络接口 CPU + NPU + 133M总线 + 10/100/1000M网络接口 CPU + NPU + ASIC + 133M总线 + 10/100/1000M网络接口 n个CPU + n个NPU + n个ASIC + n条总线 + n个10/100/1000网络接口 中低端 中高端 电信级产品 加密处理: 采用 ASIC 芯片 内容过滤:采用通用 CPU 网络报文处理:采用 NPU

提 纲 防火墙概述 防火墙分类 防火墙硬件技术 防火墙软件技术 防火墙分级 防火墙功能 防火墙性能 防火墙安全性 防火墙部署 防火墙管理 防火墙可靠性 防火墙典型应用 防火墙技术发展展望 怎样选择防火墙

防火墙软件技术 包过滤与状态检测技术 代理技术 网络地址转换 核检测技术

包过滤技术 包过滤(Packet filtering)工作在OSI网络参考模型的网络层和传输层,它根据数据包头源地址、目的地址、端口号和协议类型等标志确定是否允许通过。只有满足过滤条件的数据包才被转发到相应的目的地,其余数据包则被从数据流中丢弃。 数据包过滤是通过在网络层检查数据包的IP头和在传输层检查数据包的TCP头或UDP头的方式来实现的,主要信息有: IP源地址 IP目标地址 协议(TCP包、UDP包和ICMP包) TCP或UDP包的源端口 TCP或UDP包的目标端口 ICMP消息类型 TCP包头中的ACK位 数据包到达的端口 数据包出去的端口

过滤器的实现 数据包过滤一般使用过滤路由器来实现,这种路由器与普通的路由器有所不同。 包过滤技术 过滤器的实现 数据包过滤一般使用过滤路由器来实现,这种路由器与普通的路由器有所不同。 普通的路由器只检查数据包的目标地址,并选择一个达到目的地址的最佳路径。它处理数据包是以目标地址为基础的,存在着两种可能性:若路由器可以找到一个路径到达目标地址则发送出去;若路由器不知道如何发送数据包则通知数据包的发送者“数据包不可达”。 过滤路由器会更加仔细地检查数据包,除了决定是否有到达目标地址的路径外,还要决定是否应该发送数据包。“应该与否”是由路由器的过滤策略决定并强行执行的。

包过滤技术 包过滤模型

包过滤技术 包过滤技术分类 静态包过滤技术,也称为简单包过滤技术,是一种基于路由器的技术,根据预先定义好的过滤规则审查每个数据包的报头信息,以便确定其是否与某一条包过滤规则匹配,从而决定是否应该转发该数据包。 动态包过滤技术,也称为状态检测技术,是防火墙近几年才应用的新技术。传统的包过滤防火墙只是通过检测IP包头的相关信息来决定数据流的通过还是拒绝,而状态检测技术采用的是一种基于连接的状态检测机制,将属于同一连接的所有包作为一个整体的数据流看待,构成连接状态表,通过规则表与状态表的共同配合,对表中的各个连接状态因素加以识别。这里动态连接状态表中的记录可以是以前的通信信息,也可以是其他相关应用程序的信息,因此,与传统包过滤防火墙的静态过滤规则表相比,它具有更好的灵活性和安全性。

规则库是一组由拒绝或者允许规则组成的规则集。包过滤规 则往往是在路由器上配置的,是防火墙实际执行的基本安全 功能。 包过滤规则 规则库是一组由拒绝或者允许规则组成的规则集。包过滤规 则往往是在路由器上配置的,是防火墙实际执行的基本安全 功能。 创建规则库的基本原则 遵循“拒绝所有”安全策略。也就是说,防火墙或者包过滤器应该一开始就阻止所有类型的通信流量,然后有选择地开放需要的服务。 规则库应该阻止除了网络管理人员的任何其他人连接到防火墙。这是因为可以访问防火墙的任何人可以了解到内部网络的所有IP地址信息,并可以访问内部网络。 规则库应该阻止任何来自外网的对位于包过滤器或者防火墙后的主机的访问。 规则库应该允许访问位于DMZ区的Web等应用服务器,并且应该允许保护网内的用户访问外网。

通过IP地址或TCP端口进行包过滤 数据包过滤 例子:假定防火墙所在的主机IP地址为192.168.1.1,Email服务器的IP地址为192.168.1.2,WEB服务器的IP地址为192.168.1.3,以及DNS服务器的IP地址为192.168.1.4, 192.168.1.0代表内部网络 规则编号 源地址 源端口 目的地址 目标端口 动作 1 192.168.1.1 Any 拒绝 2 3 192.168.1.0 允许 4 192.168.1.4 53 5 192.168.1.2 25 6 110 7 192.168.1.3 80 8

包过滤规则 规则1:阻止防火墙本身发出任何网络连接 规则2:不仅阻止防火墙与其他任何主机的连接,同时也阻止了与其自身的连接。一个试图控制这台防火墙的黑客可能打算建立这样的一个连接,这条规则将阻止它。 规则3:允许内部用户访问外部计算机 规则4:允许内部用户访问DNS服务器 规则5:允许外部用户及内部用户使用SMTP协议端口号25访问Email服务器 规则6:允许内部用户使用POPS协议端口号110访问Email服务器 规则7:使外部及内部用户使用端口80访问WEB服务器 规则8:这条清除规则拒绝了没有被前述规则明确允许的其他任何传输。

包过滤规则 通过SYN/ACK标识位过滤 TCP包头中存在许多位字段,表示包的传输状态以及方式。在IETF RFC793中,指定了TCP报头中的6个控制位:URG(紧急指针字段位),ACK(确认字段位),PSH(本报文请求推进操作位),RST(连接复位字段位),SYN(序号同步字段位)和FIN(发送方字节流结束字段位)。最常用的控制位是SYN以及ACK。

包过滤规则 拒绝服务攻击原理:一个正常的TCP连接需要三次握手。首先客户端发送一个包含SYN标志的数据包,其后服务器返回一个SYN/ACK的应答包,表示客户端的请求被接受,最后客户端再返回一个确认包ACK,这样才能完成TCP连接。在服务器端发送应答包后,如果客户端不发出确认,服务器会等待到超时,其间这些半连接状态都保存在一个空间有限的缓存队列中,如果大量的SYN包发送到服务器端后没有应答,就会使服务器的TCP资源迅速耗尽,导致正常的连接不能进入,甚至会导致服务器的系统崩溃。 服务器 客户端 TCP三次握手 我可以连接到你么? 序号=x,SYN=1,ACK=0 序号=y,确认号=x+1,当然可以 SYN=1,ACK=1 序号=x+1,确认号=y+1, SYN=1,ACK=1 ?Zzz….

包过滤规则 三种SYN/ACK位过滤方式 SYN网关:SYN网关防火墙收到客户端的SYN包时,直接转发给 服务器,防火墙收到服务器的SYN/ACK包后,一方面将SYN/ACK 包转发给客户端,另一方面以客户端的名义给服务器回送一个 ACK包,完成TCP的三次握手,让服务器端由半连接状态进入连 接状态。当客户端真正的ACK包到达时,有数据则转发给服务器 ,否则丢弃该包。由于服务器能承受连接状态要比半连接状态高 得多,所以能有效减轻DoS攻击 被动式SYN网关:被动式SYN网关设置防火墙的SYN请求超时参 数,让它远小于服务器的超时期限。防火墙负责转发客户端发往 服务器的ACK包。这样,如果客户端在防火墙计时器到期时还没 有发送ACK包,防火墙则往服务器发送RST包,以使服务器从队 列中删除该半连接。由于防火墙的超时参数远小于服务器的超时 期限,因此可以有效防止DoS攻击 SYN中继防火墙: SYN中继防火墙在收到客户端的SYN包后,并 不向服务器转发而是记录该状态信息然后主动给客户端回送 SYN/ACK包,如果收到客户端的ACK包,表明是正常访问,由防 火墙向服务器发送SYN包并完成三次握手。这样由防火墙作为代 理来实现客户端和服务器的连接。

包过滤技术的缺点 包过滤规则难于配置,一旦配置,数据包过滤规则也难于检验; 包过滤仅可以访问包头信息中的有限信息; 简单包过滤是无状态的,因为包过滤不能保持与传输相关的状态信息或应用相关的状态信息; 包过滤对信息的处理能力非常有限; 一些协议不适合数据包过滤,如基于RPC应用的“r”命令。

状态检测技术介绍 在状态检测机制里, 信息包被截取后, 防火墙从接收到的数据 包中提取与安全策略相关的状态信息, 将这些信息保存在一 个动态状态表中, 其目的是为了验证后续的连接请求。状态 检测防火墙截取到数据包时, 首先检查其是否属于状态表中 某一有效连接, 若是, 则说明该包所属的数据流已通过安全规 则检查, 从而不需要再进行规则检查, 而只需要检查其在数据 流中的状态是否正确即可。只有当数据包不属于任何有效连 接或状态不匹配时, 才对其进行规则检查。这样, 避开了复杂 的安全规则检查, 可极大地提高防火墙的整体效率。 状态表:状态包过滤器会维护一个名叫状态表的文件,它包含了所有当前连接纪录的信息。状态过滤器将仅允许已连接的,并且在状态表中有记录的来自外部主机的包穿过防火墙,进入内部网络。

先进的状态检测防火墙读取、分析和利用了全面的网络通信信息和状态,包括: 状态检测技术介绍 先进的状态检测防火墙读取、分析和利用了全面的网络通信信息和状态,包括: 通信信息:即所有7层协议的当前信息。防火墙的检测模块位于操作系统的内核,在网络层之下,能在数据包到达网关操作系统之前对它们进行分析。防火墙先在低协议层上检查数据包是否满足企业的安全策略,对于满足的数据包,再从更高协议层上进行分析。它验证数据的源地址、目的地址和端口号、协议类型、应用信息等多层的标志,因此具有更全面的安全性。 通信状态:即以前的通信信息。对于简单的包过滤防火墙,如果要允许FTP通过,就必须作出让步而打开许多端口,这样就降低了安全性。状态检测防火墙在状态表中保存以前的通信信息,记录从受保护网络发出的数据包的状态信息,例如FTP请求的服务器地址和端口、客户端地址和为满足此次FTP临时打开的端口,然后,防火墙根据该表内容对返回受保护网络的数据包进行分析判断,这样,只有响应受保护网络请求的数据包才被放行。这里,对于UDP或者RPC等无连接的协议,检测模块可创建虚会话信息用来进行跟踪。

状态检测技术介绍 应用状态:即其他相关应用的信息。状态检测模块能够理解并学习各种协议和应用,以支持各种最新的应用,它比代理服务器支持的协议和应用要多得多;并且,它能从应用程序中收集状态信息存入状态表中,以供其他应用或协议做检测策略。例如,已经通过防火墙认证的用户可以通过防火墙访问其他授权的服务。 操作信息:即在数据包中能执行逻辑或数学运算的信息。状态监测技术,采用强大的面向对象的方法,基于通信信息、通信状态、应用状态等多方面因素,利用灵活的表达式形式,结合安全规则、应用识别知识、状态关联信息以及通信数据,构造更复杂的、更灵活的、满足用户特定安全要求的策略规则。

Passive Open:本地用户的被动打开连接 rcv:本地TCP在引发事件中收到TCP控制消息 CLOSED LISTEN ESTAB CLOSING TIME WAIT FIN WAIT_1 CLOSE WAIT LAST_ACK SYS SENT REVD passive OPEN create TCB WAIT_2 delete TCB active OPEN send SYN SEND rcv SYN send SYN,ACK send ACK rcv SYN,ACK rcv ACK of SYN x send FIN rcv FIN rcv ACK of FIN Timeout=2MSL Passive Open:本地用户的被动打开连接 rcv:本地TCP在引发事件中收到TCP控制消息 Active Open:本地用户的主动打开连接 send:本地TCP在结果动作中发出TCP控制消息 CLOSE:关闭连接请求 x:无动作 create TCB:本地TCP创建了对应虚电路的协议控制块; create TCB:本地TCP撤消TCP协议控制块并结束通信连接; Timeout=2MSL: 本地TCP等待超时2MSL(2倍的最大段生存期);

TCP连接是有状态的,连接进入不同的阶段具有不同的状态; 在TCP连接中客户机与服务器的状态不相同,如客户机不能进入LISTEN状态,服务器不可能进入SYN_SEND状态; TCP包中有6个标志位:FIN、SYS、RST、PSH、ACK、URG,其中一些不能同时存在,如SYS不能和FIN、RST、PSH同时存在。 这些特征就是设置状态检测包过滤规则的基础。状态信息可以从数据包中的源地址、目的地址、协议类型、连接状态、超时时间以及其他信息(如TCP/UDP协议的端口号,ICMP的ID号等)中获得。 在检测中,一旦发现数据包的状态不符,就可以认为是状态异常包而加以拒绝。

代理技术可以在不同的网络层次上进行。主要的实现层次在应用层和传输层,分别称为应用级代理和电路级代理。它们的工作原理有所不同。 代理技术的基本思想就是在两个网络之间设置一个“中间检查站”,两边的网络应用可以通过这个检查站相互通信,但是它们不能越过它直接通信。这个“中间检查站”就是代理服务器,它运行在两个网络之间,对网络之间的每一个请求进行检查。当代理服务器收到用户请求后,它先对该用户身份进行验证,检查用户的请求是否合法。如果合法,就把请求转发到真实的服务器上,并将答复再转发给客户。因此,代理既是服务器又是客户机,它在接受进入的请求时作为服务器,在转发请求时作为客户机。代理服务器对被截获的客户机和服务器之间的通信能进行访问控制。 代理技术可以在不同的网络层次上进行。主要的实现层次在应用层和传输层,分别称为应用级代理和电路级代理。它们的工作原理有所不同。 被保护网络内部 客 户 服务器 客户 代理 访问 控制 代 理 代理服务 请求 请求转发 转发 应答

应用级代理技术 应用级代理技术 内部网络通过代理访问外部网络 应用层网关上的代理服务事实上分为一个客户代理和一个服务器代理。以Telnet代理服务为例。Telnet代理服务器执行内部网络向外部网络申请服务时起着中间转接的作用。其中 Telnetd是一个Telnet的服务器守护进程,它侦听Telnet连接。当一个连接到来之后,它首先要进行相应的身份认证,并根据安全策略来决定是否中转连接。当决定转发的时候,代理服务器上的Telnet客户进程向真正的Telnet服务器发出请求,Telnet服务器返回时的数据由代理服务器转发给Telnet客户机。对外部网络来说,外部网所见到的只是代理服务器,它收到的请求都是从代理服务器来的;对内部网络来说,客户机所能直接访问的只是代理服务器,它的请求首先发给了代理服务器。

应用级代理技术 内部 接口 外部 客户 公共服务 时 间 请求页 URL检查 返回页 内容过滤 应用级代理的基本工作过程

应用级代理技术 外部网络通过代理访问内部网络 内部网只接受代理提出的服务请求,拒绝外部网络其他节点的直接请求。代理服务器接受外部网络节点提出的服务请求过程为:它先对该用户的身份进行验证,若为合法用户,则把该请求转发给真正的某个内部网络主机(真正的服务提供者),而且在整个服务过程中,应用代理一直监控着用户的操作,一旦发现用户非法操作,就可以进行干涉,并对每一个操作进行记录。若为不合法用户,则拒绝访问。

应用级代理技术 应用级代理没有通用的安全机制和安全规则描述,它们通用性差,对不同的应用具有很强的针对性和专用性。它们不但转发流量而且对应用层协议做出解释。如果不为特定的应用程序安装代理程序代码,该服务是不会被支持的,不能建立任何连接。这种方式可以拒绝任何没有明确配置的连接,从而提供了额外的安全性和控制性。 FTP 代理 TELNET HTTP POP SMTP DNS out in … 外部客户 内部服务器 客户—代理连接 代理—服务器连接 外部 内部

应用级代理的一些功能: 应用级代理技术 阻断路由与URL 代理是通过侦听网络内部客户的服务请求,然后把这些请求发向外部网络。在这一过程中,代理要重新产生服务级请求。例如,一个Web客户向外部发出一个请求时,这个请求会被代理服务器“拦截”,再由代理服务器向目标服务器发出一个请求。服务协议(如HTTP)才可以通过代理服务器,而TCP/IP和其他低级协议不能通过,必须由代理服务器重新产生。因此外部主机与内部机器之间并不存在直接连接,从而可以防止传输层因源路由、分段和不同的服务拒绝造成的攻击,确保没有建立代理服务的协议不会被发送的外部网络。 隐藏客户 应用级代理既可以隐藏内部IP地址,也可以给单个用户授权,即使攻击者盗用了一个合法的IP地址,也通不过严格的身份认证。因此应用级代理比数据包过滤具有更高的安全性。但是这种认证使得应用网关不透明,用户每次连接都要受到认证,这给用户带来许多不便。这种代理技术需要为每个应用写专门的程序。

应用级代理技术 安全监控 代理服务是一种服务程序,它位于客户机与服务器之间,完全阻挡了二者间的数据交流。从客户机来看,代理服务器相当于一台真正的服务器;而从服务器来看,代理服务器又是一台真正的客户机。当客户机需要使用服务器上的数据时,首先将数据请求发给代理服务器,代理服务器再根据这一请求向服务器索取数据,然后再由代理服务器将数据传输给客户机。由于外部系统与内部服务器之间没有直接的数据通道,外部的恶意侵害也就很难伤害到企业内部网络系统。

电路级网关依赖于TCP连接,并且只用来在两个通信端点之间转接,进行简单的字节复制式的数据包转接。数据包处理是要在应用层进行。 电路级代理技术 电路级代理即通常意义的代理服务器,它适用于多个协议,但不能解释应用协议,需要通过其他方式来获得信息,只对数据包进行转发。电路级代理也称电路级网关,其工作原理如图所示。 传输层 网络层 数据链路/物理层 电路级网关 TCP端口 电路级网关依赖于TCP连接,并且只用来在两个通信端点之间转接,进行简单的字节复制式的数据包转接。数据包处理是要在应用层进行。 电路级网关对外像一个代理,对内又像一个过滤器。这种特点使它可以为各种不同的协议提供服务。简单的电路级网关仅传输TCP的数据段,增强的电路级网关还具有认证作用。

SOCKS代理技术 SOCKS协议(套接字协议)是一个电路级网关协议。一个SOCKS代理主要由两部分组成: 电路级代理技术 SOCKS代理技术 SOCKS协议(套接字协议)是一个电路级网关协议。一个SOCKS代理主要由两部分组成: (1)SOCKS客户程序:经过修改的Internet客户程序,改造的目的是使运行客户程序的主机从与Internet通信改为与运行SOCKS代理的主机通信。 (2)SOCKS服务程序:既可以Internet通信又可以和内部网络通信的程序。

电路级代理技术 SOCKS代理的工作过程如下: 1)当一个经过SOCKS化的客户程序要连接到Internet时,SOCKS就会截获这个这个连接,将之连接到运行SOCKS服务器的主机上。 2)连接建立后,SOCKS客户程序发送如下信息: • 版本号 • 连接请求命令 • 客户端端口号 • 发起连接的用户名 3)经过确认后,SOCKS服务器才与外部的服务器建立连接。 对用户来说,受保护网与外部网的信息交换是透明的,感觉不到代理的存在,那是因为网络用户不需要登录到代理上。但是客户端的应用软件必须支持 “Socketsified API”,受保护网络用户访问公共网所使用的IP地址也都是代理服务器的IP地址。

关于代理技术 代理使得网络管理员能够实现比包过滤路由器更严格的安全策略。应用层网关不用依赖包过滤工具来管理Internet服务在防火墙系统中进出,而是采用为每种所需服务安装代理服务的方式来管理Internet服务,应用层网关能够让网络管理员对服务进行全面的控制。 提供代理服务的可以是一台双宿网关,也可以是一台堡垒主机 优点 应用层网关有能力支持可靠的用户认证并提供详细的注册信息 用于应用层的过滤规则相对于包过滤路由器来说更容易配置和测试 代理工作在客户机和真实服务器之间完全控制会话,所以可以提供很详细的日志和安全审计功能 提供代理服务的防火墙可以被配置成唯一的可被外部看见的主机,这样可以隐藏内部网的IP地址,可以保护内部主机免受外部主机的攻击 通过代理访问Internet,可以解决合法IP地址不够用的问题,因为Internet所见到的只是代理服务器的地址,内部不合法的IP通过代理可以访问Internet

缺点 有限的连接性。代理服务器一般具有解释应用层命令的功能,那么这种代理服务器就只能用于一种服务 关于代理技术 缺点 有限的连接性。代理服务器一般具有解释应用层命令的功能,那么这种代理服务器就只能用于一种服务 有限的技术。应用层网关不能为RPC和其他一些基于通用协议族的服务提供代理 性能明显下降 每个应用程序都必须有一个代理程序来进行安全控制,每一种应用升级时,代理服务程序也要升级

网络地址转换 网络地址转换(Network Address Translation,NAT)就是使用使用两套IP地址——内部IP地址(也称私有IP地址)和外部IP地址(也称公共IP地址)。当受保护的内部网连接到Internet并且有用户要访问Internet时,它首先使用自己网络的内部IP地址,到了NAT后,NAT就会从公共IP地址集中选一个未分配的地址分配给该用户,该用户即可使用这个合法的IP地址进行通信。同时,对于内部的某些服务器如Web服务器,网络地址转换器允许为其分配一个固定的合法地址。外部网络的用户就可通过NAT来访问内部的服务器。这种技术既缓解了少量的IP地址和大量的主机之间的矛盾——被保护网络中的主机不必拥有固定的IP地址;又对外隐藏了内部主机的IP地址,提高了安全性。

NAT的工作过程 NAT的工作过程如图所示。 源地址 234.56.7.8 目的地址 abc.com.cn 123.456.111.3 Internet 被保护 内部网 源IP包 目的IP包 NAT的工作过程如图所示。 在内部网络通过安全网卡访问外部网络时,将产生一个映射记录。系统将外出的源地址和源端口映射为一个伪装的地址和端口,让这个伪装的地址和端口通过非安全网卡与外部网络连接,这样对外就隐藏了真实的内部网络地址。在外部网络通过非安全网卡访问内部网络时,它并不知道内部网络的连接情况,而只是通过一个开放的IP地址和端口来请求访问。NAT据预先定义好的映射规则来判断这个访问是否安全:当符合规则时,防火墙认为访问是安全的,可以接受访问请求,也可以将连接请求映射到不同的内部计算机中;当不符合规则时,被认为该访问是不安全的,不能被接受,外部的连接请求即被屏蔽。网络地址转换的过程对于用户来说是透明的,不需要用户进行设置,用户只要进行常规操作即可。

NAT实现TCP负载均衡

NAT虽然可以保障内部网络的安全,但也是一些局限。例如,内网用户可以利用某些木马程序通过NAT做外部连接。 NAT使内部网络的计算机不可能直接访问外部网络:通过包过滤分析,当所有传入的包如果没有专门指定配置到NAT,就将之丢弃。同时使所有内部的IP地址对外部是隐蔽的。因此,网络之外没有谁可以通过指定IP地址的方式直接对网络内的任何一台特定的计算机发起攻击。NAT还可以使多个内部主机共享数量有限的IP地址,还可以启用基本的包过滤安全机制。 NAT虽然可以保障内部网络的安全,但也是一些局限。例如,内网用户可以利用某些木马程序通过NAT做外部连接。

核检测技术 基本原理 来自网络的数据包经底层网络设备到达本地主机后,在操作系统内核进行了高层应用协议的还原。在会话检测方面,当客户端发起一个访问请求提交给防火墙以后,防火墙可以模拟成服务器端在必要的时候利用内核对高层协议进行还原,并与预先制定的安全策略进行匹配,如果符合就将数据重新封包转发给服务器,同样对于服务器返回的数据信息也是经过上述过程转发给客户端。应用核检测技术的防火墙在操作系统内核模拟出典型的应用层协议,在内核实现了对应用层协议的过滤。

核检测防火墙设计结构 还原模块 规则检查 路由模块 透明模块 在操作系统内核完成应用协议的还原,极大的提高了系统的整体性能 日志守护进程 病毒守护进程 …… Application 应用层日志 病毒 应用层过滤 FTP 还原 HTTP 还原 SMTP 还原 POP3 还原 …… 连接表 Kernel 还原模块 规则检查 路由模块 透明模块 11101010101011 11110010101001 00101010101010

基于内核的会话检测技术 协议还原模块协议还原模块 符合安全策略? 符合安全策略? 输入队列 输入队列 010101001 010000111 在操作系统内核模拟出典型的应用层协议,在内核实现对应用层协议的过滤,从而得到极高的性能 协议还原模块协议还原模块 符合安全策略? 符合安全策略? 输入队列 输入队列 010101001 010000111 110000010 010010010 110010010 010101001 010000111 110000010 010010010 110010010 虚拟客户端 虚拟服务器端 响应请求 发起请求 www.sina.com.cn Clint 010100 010101 底层驱动 010100101001010010 010100101001010010 010100101001010010 010100101001010010 防火墙逻辑图 192.168.6.169 192.168.6.170

核检测技术 优点 与传统防火墙的核心技术相比核检测技术的优点在于:对于应用传统技术的防火墙,每当接收到数据包将其传给系统核心,系统核心再将其传递给应用层的防火墙程序进行检查和还原,如果符合安全策略,则将数据又转发给系统核心,由系统核心再将其转发出去。在这个过程中,要在系统核心和应用层之间进行频繁的数据拷贝和进程切换,耽误了时间,如果此时存在大量的并发连接(会话),也会生成很多进程,这样就会消耗掉宝贵的系统资源,极大影响了防火墙的性能。而对于核检测技术防火墙接收到数据包以后,由操作系统核心的还原模块和高层的过滤模块对数据进行处理,完毕后再由系统核心对其进行转发。这样就省下了频繁的数据拷贝与进程切换的时间,尤其在存在大量并发连接的情况下也不会产生大量进程,与传统技术相比极大提高了系统性能。

基于内核 的会话检测技术 应用层 系统核心 应用层 系统核心 进行规则匹配、应用层过滤 频繁在系统核心和应用层之间切换 消耗掉大量的系统资源 生成大量的进程 影响防火墙的性能 应用层 110100000001 100000001111 系统核心 101001010 111000010 101000011 101001010 111000010 101000011 010 010 1001001000100100001001111 10001101001001001001001 应用层 直接在系统核心进行应用层过滤 不需要频繁在系统核心和应用层之间切换 在大量并发情况下不会生成大量进程,有效的保护系统资源 大大提高会话检测的效率 系统核心 101001010 111000010 101000011 101001010 111000010 101000011 010 010 1001000100100001001111 10001101001001001001001

几种常见防火墙技术对比比较

简单包过滤技术介绍 优点: 速度快,性能高 对应用程序透明 缺点: 安全性低 不能根据状态信息进行控制 不能处理网络层以上的信息 伸缩性差 维护不直观 应用层 应用层 表示层 表示层 会话层 会话层 传输层 传输层 网络层 网络层 网络层 链路层 链路层 链路层 物理层 物理层 物理层

简单包过滤 防火墙的工作原理 应用层 101010101 应用层 101010101 TCP 层 TCP 101010101 TCP 层 101010101 TCP IP 层 IP TCP 101010101 IP 层 TCP 101010101 IP 只检查报头 网络接口层 ETH TCP 101010101 IP 网络接口层 TCP 101010101 IP ETH 简单包过滤防火墙不检查数据区 简单包过滤防火墙不建立连接状态表 前后报文无关 应用层控制很弱 TCP 101010101 IP 101001001001010010000011100111101111011 001001001010010000011100111101111011

状态检测技术介绍 应用层 应用层 应用层 表示层 表示层 表示层 会话层 会话层 会话层 传输层 传输层 传输层 网络层 网络层 网络层 安全性高 能够检测所有进入防火墙网关的数据包 根据通信和应用程序状态确定是否允许包的通行 性能高 在数据包进入防火墙时就进行识别和判断 伸缩性好 可以识别不同的数据包 已经支持160多种应用,包括Internet应用、数据库应用、多媒体应用等 用户可方便添加新应用 对用户、应用程序透明 应用层 应用层 应用层 表示层 表示层 表示层 会话层 会话层 会话层 传输层 传输层 传输层 网络层 网络层 网络层 链路层 链路层 链路层 物理层 物理层 物理层 抽取各层的状态信息建立动态状态表

状态检测包过滤 防火墙的工作原理 建立连接状态表 只检查报头 101001001001010010000011100111101111011 应用层 101010101 应用层 101010101 TCP 层 TCP 101010101 TCP 层 101010101 TCP 建立连接状态表 IP 层 IP TCP 101010101 IP 层 TCP 101010101 IP 只检查报头 网络接口层 ETH TCP 101010101 IP 网络接口层 TCP 101010101 IP ETH TCP 101010101 IP 不检查数据区 建立连接状态表 前后报文相关 应用层控制很弱 101001001001010010000011100111101111011 001001001010010000011100111101111011

应用代理技术介绍 FTP HTTP SMTP 应用层 应用层 应用层 表示层 表示层 表示层 会话层 会话层 会话层 传输层 传输层 传输层 优点: 安全性高 提供应用层的安全 缺点: 性能差 伸缩性差 只支持有限的应用 不透明 FTP HTTP SMTP 应用层 应用层 应用层 表示层 表示层 表示层 会话层 会话层 会话层 传输层 传输层 传输层 网络层 网络层 网络层 链路层 链路层 链路层 物理层 物理层 物理层

应用代理 防火墙的工作原理 应用层 101010101 应用层 101010101 TCP 层 TCP 101010101 TCP 层 101010101 TCP IP 层 IP TCP 101010101 IP 层 TCP 101010101 IP 不检查IP、TCP报头 不建立连接状态表 网络层保护比较弱 只检查数据 网络接口层 ETH TCP 101010101 IP 网络接口层 TCP 101010101 IP ETH TCP 101010101 IP 101001001001010010000011100111101111011 001001001010010000011100111101111011

核检测 防火墙的工作原理 建立连接状态表 检查多个报文组成的会话 应用层 开始攻击 主服务器 硬盘数据 建立连接状态表 开始攻击 主服务器 硬盘数据 应用层 检查多个报文组成的会话 TCP 层 TCP 开始攻击 TCP 层 开始攻击 TCP IP 层 IP TCP 开始攻击 IP 层 网络层保护强 应用层保护戗 会话保护很强 上下文相关 前后报文有联系 TCP 开始攻击 IP 开始攻击 主服务器 硬盘数据 重写会话 网络接口层 ETH TCP 开始攻击 IP 网络接口层 TCP 开始攻击 IP ETH 报文3 TCP 硬盘数据 IP 报文2 TCP 主服务器 IP 报文1 TCP 开始攻击 IP 101001001001010010000011100111101111011 001001001010010000011100111101111011

防火墙核心技术比较                综合安全性 网络层保护 应用层保护 应用层透明 整体性能 处理对象 简单包过滤防火墙 状态检测包过滤防火墙 应用代理防火墙 核检测防火墙      单个包报头      单个包报头      单个包数据      一次会话 1001001001 TCP IP 1001001001 TCP IP

提 纲 防火墙概述 防火墙分类 防火墙硬件技术 防火墙软件技术 防火墙分级 防火墙功能 防火墙性能 防火墙安全性 防火墙部署 防火墙管理 防火墙可靠性 防火墙典型应用 防火墙技术发展展望 怎样选择防火墙

不同行业,对防火墙的安全性要求也不一样? 防火墙安全保障级别 EAL7 级 EAL6 级 EAL5 级 EAL4 级 EAL3 级 如何来评价防火墙的安全保证级别? 《CC》对防火墙的安全保证分为七级! EAL2 级 EAL1 级 军 队 不同行业,对防火墙的安全性要求也不一样? 金 融 市场需求 证 券 政 府 不同品牌,不同类型的防火墙,谁更安全? 企 业

防火墙七个安全认证级别 EAL1 级 EAL2 级 EAL3 级 防火墙 EAL4 级 EAL5 级 EAL6 级 EAL7 级 功能测试 结构测试 EAL3 级 方法测试和检查 防火墙 安全级别 EAL4 级 方法设计、测试和检查 EAL5 级 半形式设计和测试 EAL6 级 半形式验证设计和测试 EAL7 级 形式验证设计和测试

提 纲 防火墙概述 防火墙分类 防火墙硬件技术 防火墙软件技术 防火墙分级 防火墙功能 防火墙性能 防火墙安全性 防火墙的“胖”与“瘦” 防火墙部署 防火墙管理 防火墙可靠性 防火墙典型应用 防火墙技术发展展望 怎样选择防火墙

访问控制功能 基于源IP地址 基于目的IP地址 基于源端口 基于目的端口 基于时间 基于用户 基于流量 基于文件 基于网址 基于MAC地址 Access list 192.168.1.3 to 202.2.33.2 Access nat 192.168.3.0 to any pass Access 202.1.2.3 to 192.168.1.3 block Access default pass 规则匹配成功 Host C Host D 1010010101

身份认证功能 Internet 将认证结果传给防火墙 根据认证结果决定用户对资源的访问权限 防火墙将认证信息传给真正的RADIUS服务器 TACAS+ 服务器 RADIUS服务器 Internet RADIUS服务器 S/KEY 认证服务器 chenaifeng 12354876 将认证结果传给防火墙 根据认证结果决定用户对资源的访问权限 防火墙将认证信息传给真正的RADIUS服务器

审计功能----日志分析 无日志 通信日志:即传统日志 应用层命令日志: 访问日志: 内容日志: 日志分析工具 通信源地址、目的地址、源目端口、通信时间、通信协议、字节数、是否允许通过 应用层命令日志: 在通信日志的基础之上,记录下各个应用层命令及其参数。例如HTTP请求及其要取的网页名。 访问日志: 即在通信日志的基础之上,记录下用户对网络资源的访问。它和应用层命令日志的区别是:应用层命令日志可以记录下大量的数据,有些用户可能不需要,如协商通信参数过程等。例如针对FTP协议,访问日志只记录下读、写文件的动作 内容日志: 即在应用层命令日志的基础之上,还记录下用户传输的内容。如用户发送的邮件,用户取下的网页等。但因为这个功能涉及到隐私问题,所以在普通的防火墙中没有包含 Firewall 5G 对所有的应用层协议都可以进行通信日志,而命令日志、访问日志、内容日志目前支持HTTP、FTP、SMTP、POP3、TELNET、RSH、RLOGIN等协议 日志分析工具 自动产生各种报表,智能化的指出网络可能的安全漏洞

初步审计----通信日志 响应请求 www.sina.com.cn Clint 发送请求 192.168.6.169 http://www.sina.com.cn 响应请求 www.sina.com.cn Clint 发送请求 192.168.6.169 192.168.6.170 通信日志 通信日志 通信信息

深度审计1----应用层命令日志 响应请求 www.sina.com.cn Clint 发送请求 192.168.6.169 http://www.sina.com.cn 响应请求 www.sina.com.cn Clint 发送请求 192.168.6.169 192.168.6.170 命令日志 命令日志 命令信息

深度审计2-----访问日志 响应请求 www.sina.com.cn Clint 发送请求 192.168.6.169 http://www.sina.com.cn 响应请求 www.sina.com.cn Clint 发送请求 192.168.6.169 192.168.6.170 访问日志 访问日志 访问信息

深度审计3-----内容日志 内容信息 响应请求 www.sina.com.cn Clint 发送请求 192.168.6.169 内容日志 http://www.sina.com.cn 响应请求 www.sina.com.cn Clint 发送请求 192.168.6.169 内容日志 内容日志 192.168.6.170

支持集中审计 1010101 安全审计中心 Intranet

灵活的带宽管理功能 + + + Internet 总带宽512 K WWW Mail DNS 内网256 K DMZ 256 K 财务子网 采购子网 生产子网 分配 70K 带宽 分配 90K 带宽 分配 96K 带宽 财务子网 生产子网 采购子网 内部网络

根据负载均衡算法将数据重定位到一台WWW服务器 服务器负载均衡功能 响应请求 负载均衡算法: 顺序选择地址+权值 根据PING的时间间隔来选择地址+权值 根据Connect的时间间隔来选择地址+权值 根据Connect然后发送请求并得到应答的时间间隔来选择地址+权值 WWW 1 WWW 2 WWW 3 服务器阵列 http://www.sina.com.cn 根据负载均衡算法将数据重定位到一台WWW服务器

联动功能1----- 与IDS 的安全联动 Internet 能与国内30多家主流IDS产品进行无缝联动 受保护网络 黑客 IDS 识别出攻击行为 发送通知报文 发送响应报文 阻断连接或者报警等 验证报文并 采取措施 Internet 能与国内30多家主流IDS产品进行无缝联动

联动功能2-----与病毒网关的安全联动 病毒服务器 接收数据 000010101 100010101 110010101 协议还原 检查病毒 接收数据 000010101 待发数据 100010101 110010101 000010101 100010101 没有发现病毒可以放过最后一个报文 110010101 pass pass Internet 无病毒转发最后一个报文,如带有病毒则丢弃最后一个报文

联动功能3-----与URL服务器的安全联动 可以访问http://www.sina.com.cn 吗? Ok! 内部网络 Internet

IP与MAC地址绑定后,不允许Host B假冒Host A的IP地址上网 00-50-04-BB-71-A6 00-50-04-BB-71-BC Host A 199.168.1.2 199.168.1.3 199.168.1.4 199.168.1.5 Host B Host D Host C BIND 199.168.1.2 To 00-50-04-BB-71-A6 BIND 199.168.1.4 To 00-50-04-BB-71-BC IP与MAC地址绑定后,不允许Host B假冒Host A的IP地址上网 防火墙允许Host A上网 Internet 跨路由器

MAP (端口映射)功能 Internet FTP 199.168.1.3 WWW 199.168.1.2 DNS 199.168.1.5 MAIL 199.168.1.4 公开服务器可以使用私有地址 隐藏内部网络的结构 199.168.1.6 MAP 199.168.1.2:80 TO 202.102.1.3:80 MAP 199.168.1.3:21 TO 202.102.1.3:21 MAP 199.168.1.5:25 TO 202.102.1.3:25 http://202.102.1.3 http://199.168.1.2 MAP 199.168.1.4:53 TO 202.102.1.3:53 202.102.1.3 12.4.1.5 Internet

NAT (地址转换)功能 防火墙 Internet 202.102.93.54 Host A 源地址:101.211.23.1 目地址:202.102.93.54 源地址:192.168.1.21 目地址:202.102.93.54 101.211.23.2 Host C Host D 192.168.1.21 192.168.1.25 防火墙 Eth2:192.168.1.23 Eth0:101.211.23.1 数据 IP报头 数据 IP报头 受保护网络 隐藏了内部网络的结构 内部网络可以使用私有IP地址 公开地址不足的网络可以使用这种方式提供IP复用功能

提 纲 防火墙概述 防火墙分类 防火墙硬件技术 防火墙软件技术 防火墙分级 防火墙功能 防火墙性能 防火墙安全性 防火墙的“胖”与“瘦” 防火墙部署 防火墙管理 防火墙可靠性 防火墙典型应用 防火墙技术发展展望 怎样选择防火墙

常见防火墙性能指标 最大位转发率 吞吐量 延时 丢包率 背靠背 最大并发连接数 最大并发连接建立速率 最大策略数 平均无故障间隔时间 支持的最大用户数

最大位转发率 定义:防火墙的位转发率指在特定负载下每秒钟防火墙将允许的数据流转发至正确的目的接口的位数。 最大位转发率指在不同的负载下反复测量得出的位转发率数值中的最大值 101100101000011111001010010001001000 100100100100100010101 在特定负载下 防火墙正确转发的数据流位数 Smartbits 6000B 测试仪 备注:将测试结果乘以帧长就是位转发率

吞吐量 定义:在不丢包的情况下能够达到的最大包转发速率。 衡量标准:吞吐量越大,说明防火墙数据处理能力越强; 吞吐量小就会造成网络新的瓶颈,以至影响到整个网络的性能 吞吐量是防火墙在各种帧长的满负载(100M或1000M)双向(Bidirectional Traffic)UDP数据包情况下的稳定性表现,是其它指标的基础。 以太网吞吐量最大理论值称为线速,即指网络设备有足够的能力以全速处理最小的数据封包转发。 101100101000011111001010010001001000 ~;%#@*$^&*&^#**(& 以最大速率发包 直到出现丢包时的最大值 Smartbits 6000B 测试仪 100M 60M 防火墙吞吐量小就会成为网络的瓶颈

吞吐量测试结果

延时 定义:延迟通常是指从测试数据帧的最后一个比特进入被测设备端口开始,至测试数据包的第一个比特从被测设备另一端口离开的时间间隔。 衡量标准:现在网络的应用种类非常复杂,许多应用对延迟非常敏感(例如:音频,视频等),而网络中加入防火墙必然会增加传输延迟,所以较低的延迟对防火墙来说也是不可或缺的。 时间间隔 最后1个比特到达 第一个比特输出 101100101000011111001010010001001000 10101001001001001010 造成数据包延迟到达目标地 Smartbits 6000B 测试仪 数据包首先排队待 防火墙检查后转发 1010100111001110 1010100111001110 1010010010100100010100010 101010100100100100100100010

延时测试结果

丢包率 定义:在连续负载的情况下,防火墙设备由于资源不足应转发但却未转发的帧百分比 衡量标准:是用来确定防火墙在不同传输速率下丢失数据包的百分数,目的在于测试防火墙在超负载情况下的性能 较低的丟包率,意味着防火墙在强大的负载压力下,能够稳定地工作,以适应各种网络的复杂应用和较大数据流量对处理性能的高要求。 丢包率=(1000-800)/1000=20% Smartbits 6000B 测试仪 发送了1000个包 防火墙由于资源不足只转发了800个包 10010101001010010001001001 10010101001010010001001001

丢包率测试结果

背靠背指标体现防火墙对突发数据的处理能力 定义:从空闲状态开始,以达到传输介质最小合法间隔极限的传输速率发送相当数量的固定长度的帧,当出现第一个帧丢失时,发送的帧数。即以最小帧间隔发送最多数据包而不引起丢包时的数据包数量 衡量标准:背对背包的测试结果能体现出被测防火墙的缓冲容量 ,网络上经常有一些应用会产生大量的突发数据包(例如:NFS,备份,路由更新等),而且这样的数据包的丢失可能会产生更多的数据包,强大缓冲能力可以减小这种突发对网络造成的影响 包数量(n) 背靠背指标体现防火墙对突发数据的处理能力 Smartbits 6000B 测试仪 峰值 时间(t) 少量包 包增多 包减少 没有数据

背靠背测试结果

并发连接数 定义:指穿越防火墙的主机之间或主机与防火墙之间能同时建立的最大连接数 。 衡量标准:并发连接数的测试主要用来测试被测防火墙建立和维持TCP连接的性能,同时也能通过并发连 接数的大小体现被测防火墙对来自于客户端的TCP连接请求的响应能力 理解细化:是防火墙能够同时处理的点对点会话连接的最大数目,它反映防火墙对多个连接的访问控制能力和连接状态跟踪能力。这个参数的大小可以直接影响到防火墙所能支持的最大信息点数 并发连接数指标可以用来衡量穿越防火墙的主机之间能同时建立的最大连接数 并发连接

最大并发连接数建立速率 定义:指穿越防火墙的主机之间或主机与防火墙之间单位时间内建立的最大连接数 。 衡量标准:最大并发连接数建立速率主要用来衡量防火墙单位时间内建立和维持TCP连接的能力 测试防火墙每秒所能建立起的TCP/HTTP连接数及防火墙所能保持的最大TCP/HTTP连接数 单位时间内增加的并发连接数 并发连接

提 纲 防火墙概述 防火墙分类 防火墙硬件技术 防火墙软件技术 防火墙分级 防火墙功能 防火墙性能 防火墙安全性 防火墙的“胖”与“瘦” 防火墙部署 防火墙管理 防火墙可靠性 防火墙典型应用 防火墙技术发展展望 怎样选择防火墙

防火墙如何在抗DOS/DDOS攻击中发挥作用? 遭受拒绝服务攻击 防火墙如何在抗DOS/DDOS攻击中发挥作用? Intranet 产生的后果: 服务器计算资源被耗尽 网络带宽资源被耗尽

抗DOS/DDOS攻击-----SYN代理 Syn-Cookie(主机)/Syn-Gate(网关) 在服务器和外部网络之间部署代理服务器 通过代理服务器发送Syn/Ack报文,在收到客户端的Syn包后,防火墙代替服务器向客户端发送Syn/Ack包,如果客户端在一段时间内没有应答或中间的网络设备发回了ICMP错误消息,防火墙则丢弃此状态信息 如果客户端的Ack到达,防火墙代替客户端向服务器发送Syn包,并完成后续的握手最终建立客户端到服务器的连接。 通过这种Syn-Cookie技术,保证每个Syn包源的真实有效性,确保服务器不被虚假请求浪费资源,从而彻底防范对服务器的Syn-Flood攻击。 SYN SYN/ACK ACK SYN SYN SYN/ACK SYN/ACK ACK ACK Client Server

抗DOS/DDOS攻击-----Random Drop算法 当流量达到一定的数量限度时,所采取的一种通过降低性能,保证服务的不得已的方法。 具体过程是:当流量达到一定的阀值的时候,开始按照一定的算法丢弃后续的报文,保持主机的处理能力,这样对于用户而言,许多合法的请求可能被主机随机丢弃,但是有部分请求还是可以得到服务器响应,保证服务不间断运行的。 192.168.1.1 1518 202.121.12.11 80 TCP 192.168.1.2 1538 192.168.11.1 2518 192.168.1.13 3518 192.168.1.4 192.168.1.5 丢弃连接 丢弃连接 连接表 SYN SYN/ACK ACK Client Server

抗DOS/DDOS攻击-----带宽限制和QoS保证 通过对报文种类、来源等各种特性设置阀值参数,保证主要服务稳定可靠的资源供给。 保证在高强度攻击环境下一定的连接保持率和新连接发起成功率 192.168.1.1 1518 202.121.12.11 80 TCP 192.168.1.2 1538 192.168.11.1 2518 192.168.1.13 3518 192.168.1.4 192.168.1.5 Internet 内部网络

提 纲 防火墙概述 防火墙分类 防火墙硬件技术 防火墙软件技术 防火墙分级 防火墙功能 防火墙性能 防火墙安全性 防火墙部署 防火墙管理 防火墙可靠性 防火墙典型应用 防火墙技术发展展望 怎样选择防火墙

如果防火墙支持透明模式,则内部网络主机的配置不用调整 NO.1 透明接入 Host B 199.168.1.3 Host A 199.168.1.2 Host D 199.168.1.5 Host C 199.168.1.4 Default Gateway=199.168.1.8 受保护网络 透明模式下,这里不用配置IP地址 如果防火墙支持透明模式,则内部网络主机的配置不用调整 防火墙相当于网桥,原网络结构没有改变 199.168.1.8 透明模式下,这里不用配置IP地址 同一网段 Internet

透明模式的典型应用 Internet 202.99.88.1 ETH0:202.99.88.2 ETH1:202.99.88.3 202.99.88.10/24 网段 外网、SSN、内网在同一个广播域,防火墙做透明设置。此时防火墙为透明模式。 内部网 202.99.88.20/24 网段

NO.2 路由接入 提供简单的路由功能 Internet Host B 199.168.1.3 Host A 199.168.1.2 Host D 199.168.1.5 Host C 199.168.1.4 Default Gateway=199.168.1.8 受保护网络 199.168.1.8 提供简单的路由功能 防火墙相当于一个简单的路由器 203.12.34.56 199.168.1.8 203.12.34.57 Internet

路由模式的典型应用 Internet 202.99.88.1 ETH0:202.99.88.2 ETH1:10.1.1.2 10.1.1.0/24 网段 外网、SSN区、内网都不在同一网段,防火墙做路由方式。这时,防火墙相当于一个路由器。 内部网 192.168.7.0/24 网段

NO.3 综合接入 两接口在不同网段,防火墙处于路由模式 202.11.22.1/24 网段 ETH1:202.11.22.2 192.168.1.100/24 网段 两接口在同一网段,防火墙处于透明模式 两接口在不同网段,防火墙处于路由模式 此时整个防火墙工作于透明+路由模式,我们称之为综合模式或者混合模式 192.168.7.0/24 网段

提 纲 防火墙概述 防火墙分类 防火墙硬件技术 防火墙软件技术 防火墙分级 防火墙功能 防火墙性能 防火墙安全性 防火墙部署 防火墙管理 防火墙可靠性 防火墙典型应用 防火墙技术发展展望 怎样选择防火墙

本地串口管理 管理机 本地串口管理比较安全 但是缺乏灵活性,用户必须在现场才能进行操作 防火墙的初始化配置一般都通过串口来进行设置,比如各个接口的IP地址、路由信息等 管理机

防火墙集中管理 广域网 防火墙集中管理器 通过集中管理器  实现了对防火墙的集中管理

SNMP 管理 SNMP报文 Internet 受保护网络 SNMP服务器端 获取硬件配置信息 资源使用状况信息 防火墙的流量信息 防火墙的连接信息 防火墙的版本信息 防火墙的用户信息 防火墙的规则信息 防火墙的路由信息 …… SNMP客户端(HP OpenView)

瑞星个人防火墙的设置与使用

瑞星个人防火墙的设置与使用

瑞星个人防火墙的设置与使用

瑞星个人防火墙的设置与使用

趋势05网络安全版设置与使用

趋势05网络安全版设置与使用

趋势05网络安全版设置与使用

趋势05网络安全版设置与使用

提 纲 防火墙概述 防火墙分类 防火墙硬件技术 防火墙软件技术 防火墙分级 防火墙功能 防火墙性能 防火墙安全性 防火墙部署 防火墙管理 防火墙可靠性 防火墙典型应用 防火墙技术发展展望 怎样选择防火墙

通过STP协议可以交换两台防火墙的状态信息 防火墙双机热备 外网或者不信任域 通过STP协议可以交换两台防火墙的状态信息 Hub or Switch 发现出故障,立即接管其工作 Eth 0 Eth 0 Eth1 心跳线 Eth1 Standby Firewall Active Firewall Eth2 检测Active Firewall的状态 Eth2 正常情况下由主防火墙工作 主防火墙出故障以后,接管它的工作 Hub or Switch 内部网 当一台防火墙故障时,这台防火墙的连接不需要重新建立就可以透明的迁移到另一台防火墙上,用户不会察觉到

防火墙接口备份 eth2 接管 eth1接口的全部通信 0# 墙的其他接口继续参与通信 Hub 1# 墙 0# 墙 eth0 eth0 外网或者不信任域 eth2 接管 eth1接口的全部通信 0# 墙的其他接口继续参与通信 Hub 1# 墙 0# 墙 eth0 eth0 eth3 状态同步端口 eth3 eth2 eth1 eth2 eth2 eth1 发生故障 eth1 前提:防火墙工作在负载均衡模式下 如果某台防火墙的一个接口出现故障,另外一台均衡防火墙的接口将接管故障接口的全部通信 故障防火墙的其他接口则继续参与通信 Hub Hub 子网A 子网B

防火墙负载均衡 Hub Hub 外网或者不信任域 发现出故障,立即接管其工作 Eth 0 Eth 0 Eth1 心跳线 Eth1 1 # 0 # Eth2 检测 0 # Firewall的状态 Eth2 防火墙根据 与0 # 防火墙一起工作 Hub 内部网

防火墙的自动检测与恢复能力 防火墙引擎 内置专门的 WatchDog 电路 WatchDog 产生高低电平的条件可以通过软件编程设定,比如核心软件出现严重错误,防火墙自身遭遇DOS/DDOS攻击、发生非常不安全事件等

提 纲 防火墙概述 防火墙分类 防火墙硬件技术 防火墙软件技术 防火墙分级 防火墙功能 防火墙性能 防火墙安全性 防火墙部署 防火墙管理 防火墙可靠性 防火墙典型应用 防火墙技术发展展望 怎样选择防火墙

总部 下列情况部署防火墙遇到的问题? 如何保证防火墙的状态同步 包过滤防火墙可以正常部署 状态检测防火墙部署后将会导致业务时断时通 如果该网络工作于备份模式,则至少需要两台对称防火墙的状态同步 如果该网络工作于均衡模式,必须保证四台防火墙的状态都同步 101001001 101001001

大型行业用户防火墙解决方案 Internet F R 大型行业用户总部 互联网可以考虑:NGFW3000 骨干网可以考虑:NGFW4000 分支机构 B 分支机构 A Modem 池 营业点接入网考虑:ARES防火墙 办事处 B 办事处 A PSTN/ISDN

Internet 企业用户防火墙方解决方案? NGFW4000 NGFW3000 ARES ARES 高端 低端 移动用户B 黑 客 总 部

应用:防BT

BitTorrent 是一种分发文件的协议。它通过URL来识别内容,并且可以无缝地和Web进行交互。它基于HTTP协议。 BT协议 BitTorrent 是一种分发文件的协议。它通过URL来识别内容,并且可以无缝地和Web进行交互。它基于HTTP协议。  一个BT文件分布系统由下列实体组成: 一个普通的web服务器、一个静态的“元信息”文件 (torrent文件)、一个跟踪(tracker)服务器、终端下载者。 其中tracker从所有下载者处接收信息,并返回给它们一个随机的peers的列表,这种交互是通过HTTP或HTTPS协议来完成的。 下载者周期性的向tracker登记,使得tracker能了解它们的进度,下载者之间通过直接连接进行数据的上传和下载,这种连接使用的是 BitTorrent 对等协议,它基于TCP。

禁止访问tracker服务器 封闭BT下载端口 限制用户带宽 限制最大连接数 BT一般使用TCP的6881~6889的端口,然后把一些特定的种子发布站点和端口给封掉 限制用户带宽 限制每个用户使用的网络带宽,可以明显缓解BT对网络的危害;如可以将BT用户下载的优先级限制为5(0最高,7最低),带宽限制为64 kbps。 限制最大连接数 由于BT使用TCP,因此可以限制TCP最大连接数。

当源主机在1秒内发起的连接数达到门限值时,在该秒内的剩余时段和下一秒中,丢弃该源主机发起的同类连接 防Flood攻击 Hacker ICMP Flood 目标网络 UDP Flood TCP Flood 基于数据流的防范 基于数据包的防范 当源主机在1秒内发起的连接数达到门限值时,在该秒内的剩余时段和下一秒中,丢弃该源主机发起的同类连接 当源主机在1秒内发出的数据包达到门限值时,在该秒内的剩余时段和下一秒中,丢弃该源主机发出的同类数据

提 纲 防火墙概述 防火墙分类 防火墙硬件技术 防火墙软件技术 防火墙分级 防火墙功能 防火墙性能 防火墙安全性 防火墙部署 防火墙管理 防火墙可靠性 防火墙典型应用 防火墙技术发展展望 怎样选择防火墙

IPS让防火墙与IDS走向统一 IPS(Intrusion Prevention System,入侵防御系统) IDS(Intrusion Detection System,入侵检测系统) 防火墙 交换机 攻击源 TCP重置 规则变更 内部网络 IDS传感器 防火墙 攻击被阻截 攻击源 在线IPS 内部网络

IPS与IDS简要介绍 IPS注重接入控制,而IDS则进行网络监控; IPS基于策略实现,IDS则只能进行审核跟踪; 传统的IDS只能被动监视通信,这是通过跟踪交换机端口的信息包来实现的;而IPS则能实现在线监控,主动阻截和转发信息包。通过在线配置,IPS能基于策略设置舍弃信息包或中止连接; 传统的IDS响应机制有限,如重设TCP连接或请求变更防火墙规则都存在诸多不足。

统一的两种方式 紧密集成实现互动 IDP技术与防火墙技术集成到同一个硬件平台上,在统一的操作系统管理下有序地运行。这种方式实际上是把两种产品集成到一起,所有通过这个硬件平台的数据不仅要接受防火墙规则的验证,还要被检测判断是否有攻击,以达到真正的实时阻断。 对于这种紧密集成的安全平台,由于IDP产品和防火墙本身都是很庞大的系统,所以实施的难度比较大,集成后的性能也会受很大的影响。同时,如果集成的话,不会仅仅只集成IDP与防火墙两种技术,而一定会把更多的安全技术集成到一起,从而构成多个安全产品的紧密结合——入侵防御系统(IPS)。 通过开放接口实现互动 一种是通过开放接口来实现互动。即防火墙或者IPS产品开放一个接口供对方调用,按照一定的协议进行通信,传输警报。这种方式比较灵活,防火墙可以行使它第一层防御的功能——访问控制,IPS系统可以行使它第二层防御的功能——检测入侵,丢弃恶意通信,确保这个通信不能到达目的地,并通知防火墙进行阻断。而且,这种方式不影响防火墙和IDP产品的性能,对于两个产品的自身发展比较好。

以防火墙为核心的安全联动应用体系将是一个发展方向 以防火墙为核心形成开放的安全联动应用体系将形成一种防火墙系统的发展方向。防火墙在这一体系中充当主体角色,同时它也是一个服务中心,将得到其他安全产品的大力支持,真正成为名副其实的防火墙系统。

提 纲 防火墙概述 防火墙分类 防火墙硬件技术 防火墙软件技术 防火墙分级 防火墙功能 防火墙性能 防火墙安全性 防火墙部署 防火墙管理 防火墙可靠性 防火墙典型应用 防火墙技术发展展望 怎样选择防火墙

选购防火墙的依据 适应性-----------能适应将要部署的网络和应用是前提 安全性-----------符合国家政策、主管单位的策略、自身设计等 成熟性-----------投放市场多年,应用广泛 性能----------满足应用环境的要求 易管理性-----------容易配置和调整策略 功能---------功能的多样性 美观----------外观美观、适用 价格----------便宜、实惠

本章小结 防火墙是隔离在本地网络与外界网络之间执行访问控制策略的一道防御系统,目的是保护网络不被他人侵扰。防火墙在企业内网与Internet之间或与其他外部网络互相隔离、限制网络互访,从而实现内网保护。 典型的防火墙具有三个基本特性:①内部网络和外部网络之间的所有网络数据流都必须经过防火墙;②只有符合安全策略的数据流才能通过防火墙;③防火墙自身应具有非常强的抗攻击免疫力。 防火墙具有以下几种功能:①限定内部用户访问特殊站点;②防止未授权用户访问内部网络;③允许内部网络中的用户访问外部网络的服务和资源而不泄漏内部网络的数据和资源;④记录通过防火墙的信息内容和活动;⑤对网络攻击进行监测和报警。 防火墙的体系结构有以下几种: ①包过滤型; ②双宿主机;③屏蔽主机体系结构;④屏蔽子网体系结构,等。 防火墙的类型有多种分类方法:技术上分“包过滤型”、“代理型”、“核检测型”;结构上分单一主机防火墙、路由器集成式防火墙和分布式防火墙三种;应用部署位置分为边界防火墙、个人防火墙和混合式防火墙;性能上分为百兆级防火墙和千兆级防火墙。 防火墙的发展趋势:①功能性能不断突破;②下一代网络的新需求;③高速、安全、可用。

谢谢!