《防火墙基本功能教程.ppt》由会员分享,可在线阅读,更多相关《防火墙基本功能教程.ppt(48页珍藏版)》请在taowenge.com淘文阁网|工程机械CAD图纸|机械工程制图|CAD装配图下载|SolidWorks_CaTia_CAD_UG_PROE_设计图分享下载上搜索。
1、Page0培训目标l学完本课程后,您应该能:p了解防火墙的定义p掌握防火墙的主要功能p了解防火墙的分类Page1目录目录第一节第一节防火墙的定义防火墙的定义第二节第二节防火墙的主要功能防火墙的主要功能第三节第三节防火墙的分类防火墙的分类第四节第四节防火墙工作模式防火墙工作模式第五节第五节防火墙处理流程防火墙处理流程第六节第六节防火墙基本概念防火墙基本概念Page2引入l随着Internet的日益普及,开放式的网络带来了许多不安全的隐患。在开放网络式的网络上,我们的周围存在着许多不能信任的计算机(包括在一个LAN之间),这种这些计算机对我们私有的一些敏感信息造成了很大的威胁。l在大厦的构造中,防
2、火墙被设计用来防止火灾从大厦的一部分传播到大厦的另一部分。我们所涉及的“防火墙”具有类似的目的:“防止Internet的危险传播到你的内部网络”。Page3什么是防火墙?l防火墙(Fire Wall):网络安全的第一道防线,是位于两个信任程度不同的网络之间(如企业内部网络和Internet之间)的设备,它对两个网络之间的通信进行控制,通过强制实施统一的安全策略,防止对重要信息资源的非法存取和访问以达到保护系统安全的目的。l防火墙=硬件+软件+控制策略p宽松控制策略:除非明确禁止,否则允许。p限制控制策略:除非明确允许,否则禁止。Page4防火墙在安全体系中的位置门门防火墙防火墙监视器监视器入侵
3、检测系统入侵检测系统保安员保安员扫描器、漏洞查找扫描器、漏洞查找安全传输安全传输加密、加密、VPNVPN门禁系统门禁系统身份认证、访问控制身份认证、访问控制监控室监控室安全管理中心安全管理中心加固的房间加固的房间系统加固、免疫系统加固、免疫Page5目录第一节第一节防火墙的定义防火墙的定义第二节第二节防火墙的主要功能防火墙的主要功能第三节第三节防火墙的分类防火墙的分类第四节第四节防火墙工作模式防火墙工作模式第五节第五节防火墙处理流程防火墙处理流程第六节第六节防火墙基本概念防火墙基本概念Page6防火墙的功能l防火墙能提供的功能:p监控和审计网络的存取和访问,过滤进出网络的数据,管理进出网络的访
4、问行为p部署于网络边界,兼备提供网络地址翻译(NAT)、虚拟专用网(VPN)等功能p防病毒、入侵检测、认证、加密、远程管理、代理p深度检测对某些协议进行相关控制p攻击防范,扫描检测等Page7防火墙的基本功能模块防火墙的基本功能模块应用程序代理应用程序代理包过滤包过滤&状态检测状态检测用户认证用户认证NATNATVPNVPN日志日志IDSIDS与报警与报警内容过内容过滤滤Page8先进的 防火墙l先进的硬件体系结构。l强大的功能,丰富的业务支持。l电信级的高可靠性。l增强的日志统计功能。Page9防火墙的局限性l防火墙不是解决所有网络安全问题的万能药方,只是网络安全政策和策略中的一个组成部分,
5、是保卫网络安全的第一道门户。Page10防火墙和路由器的差异路由器的特点:路由器的特点:1 1、保证互联互通。、保证互联互通。2 2、按照最长匹配算法逐包转发。、按照最长匹配算法逐包转发。3 3、路由协议是核心特性、路由协议是核心特性。防火墙的特点:防火墙的特点:1 1、逻辑子网之间的访问控制,关注边界安全、逻辑子网之间的访问控制,关注边界安全2 2、基于连接的转发特性。、基于连接的转发特性。3 3、安全防范是防火墙的核心特性。、安全防范是防火墙的核心特性。LANWANPage11目录目录第一节第一节防火墙的定义防火墙的定义第二节第二节防火墙的主要功能防火墙的主要功能第三节第三节防火墙的分类防
6、火墙的分类第四节第四节防火墙工作模式防火墙工作模式第五节第五节防火墙处理流程防火墙处理流程第六节第六节防火墙基本概念防火墙基本概念Page12防火墙的分类按照防火墙实现的方式,一般把防火墙分为如下几类:l包过滤防火墙(Packet Filtering)l代理型防火墙(Application Gateway)l状态检测防火墙(State Detect)目前防火墙的主流产品为状态检测防火墙目前防火墙的主流产品为状态检测防火墙Page13包过滤防火墙(Packet Filtering)Page14包过滤防火墙(Packet Filtering)-(续)l规则的定义就是按照IP数据包的特点定义的,可以
7、充分利用上述条件定义通过防火墙数据包的条件。协议号源地址目的地址源端口目的端口IP 报头TCP/UDP 报头数据访问控制列表由这5个元素来组成定义的规则Page15包过滤防火墙(Packet Filtering)-(续)优点:设计简单,非常易于实现,而且价格便宜。其缺点也缺点:p基于网络层的安全技术,对于应用层的黑客行为无能为力。p包过滤防火墙对于任何应用需要配置双方向的ACL规则,不能提供差异性保护。p随着ACL复杂度和长度的增加,其过滤性能成指数下降趋势。p静态的ACL规则难以适应动态的安全要求。Page16代理型防火墙(Application Gateway)Page17l代理服务作用于
8、网络的应用层,其实质是把内部网络和外部网络用户之间直接进行的业务由代理接管。代理检查来自用户的请求。认证通过后,该防火墙将代表客户与真正的服务器建立连接,转发客户请求,并将真正服务器返回的响应回送给客户。服务器服务器客户机客户机转发请求请求响应发送请求转发响应安全策略、审计监控、报警WWW、FTP、Email代理代理型防火墙(Application Gateway)-(续)Page18代理型防火墙(Application Gateway)-(续)l优点:代理防火墙能够完全控制网络信息的交换,控制会话过程,具有较高的安全性。l缺点:p软件实现限制了处理速度,易于遭受拒绝服务攻击;p需要针对每一种
9、协议开发应用层代理,升级很困难。因此代理型防火墙不能支持很丰富的业务,只能针对某些应用提供代理支持;p代理型防火墙使得防火墙做为一个访问的中间节点,对Client来说防火墙是一个Server,对Server来说防火墙是一个Client,转发性能低;p代理型防火墙很难组成双机热备的组网,因为状态无法保持同步;Page19状态检测防火墙(State Detect)Page20l状态检测是一种高级通信过滤。l状态分析技术是包过滤技术的扩展(非正式的也可称为“动态包过滤”)。状态检测防火墙(State Detect)-(续)Page21状态检测防火墙(State Detect)-(续)l状态防火墙具有
10、以下优点:速度快安全性高Page22性能衡量指标l吞吐量l延时l最大并发连接数l最大新建并发连接数Page23吞吐量(Throughput)l吞吐量:防火墙能同时处理的最大数据量。l有效吞吐量:除掉TCP因为丢包和超时重发的数据,实际的每秒传输有效速率。Page24时间间隔Smartbits 6000B最后一个比特进入第一个比特输出包需要在队列中被检测后才可以转发包到达延迟延时定义:数据包的最后一个比特进入防火墙到第一个比特输出防火墙的时间间隔指标:延时是用于测量防火墙处理数据的速度Page25最大并发连接数定义:由于防火墙是针对连接进行处理报文的,并发连接数目是指的防火墙定义:由于防火墙是针
11、对连接进行处理报文的,并发连接数目是指的防火墙可以同时容纳的最大的连接数目,一个连接就是一个可以同时容纳的最大的连接数目,一个连接就是一个TCP/UDP的访问。的访问。该参数是用来衡量主机和服务器间能同时建立的最大连接数并发连接并发连接Page26最大新建并发连接数 指每秒钟可以通过防火墙建立起来的完整TCP连接。该指标是用来衡量防火墙随数据流的实时处理能力Page27目录目录第一节第一节防火墙的定义防火墙的定义第二节第二节防火墙的主要功能防火墙的主要功能第三节第三节防火墙的分类防火墙的分类第四节第四节防火墙工作模式防火墙工作模式第五节第五节防火墙处理流程防火墙处理流程第六节第六节防火墙基本概
12、念防火墙基本概念Page28防火墙的工作模式(Mode)l防火墙能够工作在三种模式下:p路由模式p透明模式p混合模式Page29路由模式(Mode)Page30透明模式(Mode)Page31混合模式(Mode)Page32目录目录第一节第一节防火墙的定义防火墙的定义第二节第二节防火墙的主要功能防火墙的主要功能第三节第三节防火墙的分类防火墙的分类第四节第四节防火墙工作模式防火墙工作模式第五节第五节防火墙处理流程防火墙处理流程第六节第六节防火墙基本概念防火墙基本概念Page33路由器的基本工作流程Page34防火墙概要处理流程图路由模式Page35透明模式:概要处理流程图Page36防火墙上行处
13、理流程图收包收包增强的增强的SYN Flood攻击防范处理攻击防范处理黑名单处理黑名单处理单包攻击防范单包攻击防范非法报文丢弃非法报文丢弃基于五元组基于五元组查找会话表查找会话表IP Spoofing 攻击?攻击?查找查找Servermap表表上行处理完成上行处理完成NAT处理处理找到未找到Page37防火墙下行处理流程图Page38防火墙转发处理快速转发防火墙快转流程只适用于200,处理过程和上面类似。(1)为了提高转发效率(2)为了进一步提高防火墙的转发效率,采用了cache机制(3)实现了会话表的触发更新Page39目录目录第一节第一节防火墙的定义防火墙的定义第二节第二节防火墙的主要功能
14、防火墙的主要功能第三节第三节防火墙的分类防火墙的分类第四节第四节防火墙工作模式防火墙工作模式第五节第五节防火墙处理流程防火墙处理流程第六节第六节防火墙基本概念防火墙基本概念Page40防火墙基本概念安全区域(Zone)防火墙的内部划分为多个区域,所有的转发接口都唯一的属于某个区域防火墙的内部划分为多个区域,所有的转发接口都唯一的属于某个区域l域(Zone):域是防火墙上引入的一个重要的逻辑概念;通过将接口加入域并在安全区域之间启动安全检查(称为安全策略),从而对流经不同安全区域的信息流进行安全过滤。Page41防火墙基本概念安全区域(Zone)续根据防火墙的内部划分的安全区域关系,确定其所连接
15、网络的安全区域根据防火墙的内部划分的安全区域关系,确定其所连接网络的安全区域 防火墙上预定义了4个安全区域:本地区域Local(指防火墙本身)、受信区域Trust、非军事化区域DMZ(Demilitarized Zone)、非受信区域Untrust,用户可以根据需要自行添加新的安全区域。Page42会话l会话(Session)防火墙是状态防火墙,采用会话表维持通信状态。会话表包括五个元素:源IP地址、源端口、目的IP地址、目的端口和协议号。当防火墙收到报文后,根据上述五个元素查询会话表,并根据具体情况进行如下操作:条件条件操作操作报文的五元组匹配会话表转发该报文报文的五元组不匹配会话表域间规则
16、允许通过转发该报文,并创建会话表表项域间规则不允许通过丢弃该报文Page43防火墙基本概念多通道协议服务表项l多通道协议:应用在进行通讯或提供服务时需要建立两个以上的会话(通道),其中有一个控制通道,其他的通道是根据控制通道中双方协商的信息动态创建的,一般我们称之为数据通道或子通道,这样的协议我们称为多通道协议。lServerMap:对于多通道协议(比如FTP),五元组过于严厉,导致多通道协议无法通过会话检查,所以为了达到对多通道协议的支持,开发除了ServerMap这样的数据结构。Page44防火墙基本概念 ASPF动态创建和删除过滤规则动态创建和删除过滤规则监视通信过程中的报文监视通信过程
17、中的报文丰富的丰富的ASPFASPF功能保证开展业务时安全性得到保证功能保证开展业务时安全性得到保证lASPF(Application Specific Packet Filter):p是一种改进的高级通信过滤技术,ASPF不但对报文的网络层的信息进行检测,还能对丰富的应用层协议进行深度检测,支持多媒体业务的NAT以及安全防范功能。Page45可以针对某些多通道协议(例如可以针对某些多通道协议(例如FTPFTP)报文中的内容动态决定是)报文中的内容动态决定是否允许其通过防火墙。否允许其通过防火墙。ASPF 对多通道协议的支持用户防火墙FTP server三次握手防火墙创建Servermap表项三次握手Port 192.168.0.1:89Port 192.168.0.1:89200 Port Command OKRETR Sample.txtRETR Sample.txt200 Port Command OK150 Opening ASCII connection150 Opening ASCII connectionSYN检测Servermap表项,创建临时规则,打开FTP通道192.168.0.1:22787192.168.0.1:22787SYNPage46防火墙产品技术发展趋势软件软件ASIC技术技术软硬结合软硬结合NPNP技术技术多核技术多核技术谢谢