MIE-311 Mobile Network Security
Windows 防火墙 硬件防火墙产品 - 下一代防火墙 - eg. Palo alto - 7050 (概述、功能、部署 ) Firewalls Windows 防火墙 硬件防火墙产品 - 下一代防火墙 - eg. Palo alto - 7050 (概述、功能、部署 )
Windows 防火墙 Windows操作系统自带的软件防火墙
允许应用 “允许程序或功能通过windows防火墙 ”即进入如图界面,即最基础的设置 应用的通行与否。
自定义 更改通知设置 /启动关闭 windows防火 墙 可打开和关闭 windows防火 墙,家庭或工 作网络和公用 网络是分开的 。
高级设置 出/入 站规则 连接安 全规则 监视 出入站规则 自定义 – 禁止访问特定网站
连接安全规则 规则类型 https://msdn.microsoft.com/zh-cn/cc811522 链接安全规则详细设置 https://en.wikipedia.org/wiki/Comparison_of_firewalls 各防火墙软件基本过滤规则支持比较
硬件防火墙 软件防火墙 网络到计算机 硬件防火墙 网络到网络
性能指标 吞吐量:在不丢包的情况下单位时间内通过防火墙的数据包 数量。(中小型企业 百兆级;电信金融保险等大型公司企业 千兆级) 吞吐量:在不丢包的情况下单位时间内通过防火墙的数据包 数量。(中小型企业 百兆级;电信金融保险等大型公司企业 千兆级) 最大并发连接数:由于防火墙是针对连接进行处理报文的, 并发连接数目是指的防火墙可以同时容纳的最大的连接数目 ,一个连接就是一个TCP/UDP的访问。 并发连接表 防火墙系统启动后动态分配进程的内存空间 越大越好? 考虑:1.系统内存资源;2.cpu处理能力;3.物理链路实际承载能 力;4.实际需求(中小型企业2w~3w;大型企事业单位10w~12w ;大型电信运营商和ISP,电信级千兆防火墙12w~20w)。 数据包转发率:是指在所有安全规则配置正确的情况下,防 火墙对数据流量的处理速度。 其他:协议优先级、扩展性、审计和日志以及存储方式 ……
Gartner 魔力象限 Gartner 全球最 权威的IT研究 与顾问咨询公 司 魔力象限是在 某一特定时间 内的对市场情 况进行的图形 化描述。 挑战者 领导者 特定领域者 有远见者 执行力 题外话 发展前景完备性(对市场的影响力)
Gartner 2015新兴技术发展周期报告 题外话 创新触发(潜在的技术突破揭开序幕),膨胀预期的顶峰(早期宣传的成功案例),幻灭的低谷(减少的回馈),启蒙运动(第二和第三代产品出现)和生产力平稳期(主流应用的开始)。
Gartner魔力象限
Palo alto networks 2004年硅谷的传奇防火墙安全公司NetScreen被 Juniper40亿美金收购。 Palo Alto Networks是由前NetScreen员工Nir Zuk 等被Juniper收购后不久辞职创办,并于2012年 在纽约股票交易所成功上市,现市值高达30亿 美金。 PAN的工程师团队实力强大,拥有多项跨时代 技术专利:状态检测(stateful inspection),入 侵检测(intrusion prevention)等,有丰富的网 络安全行业经验。
下一代防火墙 Next Generation Firewall 本质上:防火墙 安全管理模式: 白名单:缺省阻断 仅业务必须的才通过 黑名单:缺省放行(IPS) 背景1:超过90%的网络应用运行在HTTP 80和443端口上 ,大量应用可以进行端口复用。一些应用使用随机端口。 端口号不等于应用。 背景2:网络应用平台化,应用集成了更多功能。如QQ, 集成文字、语音、文件传输、邮件等。如何对不同操作进 行控制? 背景3:IP地址修改。移动终端的发展。IP地址不等于用户 。
下一代防火墙 Next Generation Firewall 传统防火墙 主要是包过滤,网络层控制 Applies packet filters based on access rules Source address Destination address Application or protocol Source port number Destination port number
下一代防火墙 Next Generation Firewall 简称NGFW,可以全面应对应用层威胁的高性能 防火墙。 五方面的核心安全能力: 对应用、用户、内容的精细化识别与管控 Identity-based security 将用户id作为规则配置的一部分。将用户身份作为网络协议栈的第八层(HUMAN Layer) 全网可视化 一体化安全引擎 外部智能 高性能架构
可视化 不是简单的图形化分类呈现 清 全 透 可以根据应用的行为和特征实现对应用的识别。 多种认证系统对接(AD、LDAP),人-内容-应用 可以在应用层上构建安全,可以有效抵御应用层威胁 。不同安全模块智能联动。 与UTM(统一威胁管理/安全网关:防火墙、病毒防 护、IDS、IPS、VPN、流量整形等)区别。 透 基于安全策略实时防御。 应具备一定的智能分析能力,帮助管理者定位可疑行 为以预测风险。
可视化 防火墙日志分析 http://wenku.baidu.com/view/8495480676c66137ee06196a.html?pn=501 http://wenku.baidu.com/view/11c35c41be1e650e52ea99c7.html
PAN核心技术
PAN核心技术 1. App ID 通过专利的应用识别技术,可以分析各种标准 和非标准的协议。基于应用程序而不是端口来 对通信分类 2. User ID 根据用户或用户组配置和实施防火墙策略。 3. Content ID 可提供网络钓鱼保护,防护漏洞攻击,恶意软 件和恶意C&C流量。 http://www.docin.com/p-787169386.html
PA-7050概述 设备类型 下一代防火墙 并发连接数 24,000,000 网络吞吐量 120 Gbps 防火墙吞吐量(启用 App-ID) 100 Gbps 威胁防御吞吐量(启用应用控制加上AV和IPS的高端性能) 60 Gbps 威胁防御吞吐量 24 Gbps IPSec VPN 吞吐量 VPN支持 通过 IPSec VPN 实现安全的站点到站点连接 其他性能 每秒720000 个新会话 25/225个虚拟系统
PA-7050功能 安全功能 网络功能 管理功能 应用程序可视性 解密 集中管理 用户可视性 IPV6 设备管理 防病毒 网络 策略控制 IPS VPN 冗余性 数据过滤 虚拟化安全 虚拟系统 当今恶意软件防护 URL过滤 移动安全性 http://www.paloaltonetworks.cn/products/platforms/firewalls/pa-7050/features.html
PA-7050功能 安全功能 应用程序可视性 通过查看经过网络的应用程序、用户和内容有关的详细信息,快速确定它们具有的任何风险并快速应对。 用户可视性 查看在网络上使用应用程序的用户;基于用户设置策略;执行取证分析并生成用户行为报告 防病毒 通过 App-ID 阻止不良的应用程序,然后扫描允许使用的应用程序中是否存在恶意软件。 IPS 阻止广泛的已知和未知漏洞攻击;DoS/DDoS 攻击防护 数据过滤 识别和控制敏感数据模式传输;深入到有效负载中识别文件类型,确定根据策略是否允许所传输的文件。 当今恶意软件防护 URL过滤 自定义阻止页面;URL 过滤阻止和继续;URL 过滤覆盖。 移动安全性 管理移动设备;保护移动设备;控制数据 http://www.paloaltonetworks.cn/products/platforms/firewalls/pa-7050/features.html
PA-7050功能
PAN NGFW部署 如果在内部网络中存在共享资源的话,那么这将是一个非常危险的部署方式。一旦这些共享服务器为黑客攻击和安装木马渗透病毒的话,那么内部网络的客户端及其资源将没有任何安全可言。 因为在这种情况下,木马和病毒已经在内网中存在,而客户端和共享资源服务器在同一个网段,这无异于内网的安全隐患。
PAN NGFW部署 所有的部署方式最终需要基于安全域的(Zone)的安 全策略控制。 安全区域用于根据接口所承载通信的相对风险来对 接口进行分组。 支持以下部署模式 “虚拟线路部署” “第2 层部署” “第3 层部署” “旁接模式部署”
PAN NGFW旁路部署 E1/3接口连接负责流量镜像设备。 无法做到控制,仅提供可视性分析。
PAN NGFW虚拟线路部署 —多用于后期测试 通过将两个端口关联在一起,将防火墙透明地安装在网段中 此部署模式接口是没有MAC地址、IP地址等信息,不参与Mac表转发,大大减轻了设备部署复杂程度。 虚拟线路是默认配置,只应在不需要交换、路由或NAT时使用
PAN NGFW虚拟线路部署 可以实现: 安全策略控制 启用应用识别/威胁识别/应用威 胁日志/数据挖掘分析 应用识别-系统缺省 威胁识别(病毒、间谍软件、漏 洞攻击-IPS)控制 URL过滤控制 文件识别控制功能,对进出各种 应用传输的文件进行控制
PAN NGFW三层部署(路由/NAT模式) —多用于生产环境 防火墙在多个端口之间进行路由通信。必须向每个接口分配IP地址,并定义虚拟路由器(Virtual Routers)来进行路由通信。 替换现有防火墙、实现完整威胁防护和策略控制
安全策略 安全策略基于如应用程序、源和目标安全区域、源 和目标地址以及应用程序服务等通信属性来确定阻 止或允许新的网络会话。
Thanks 2016/05/04