《防火墙基本知识优秀PPT.ppt》由会员分享,可在线阅读,更多相关《防火墙基本知识优秀PPT.ppt(39页珍藏版)》请在taowenge.com淘文阁网|工程机械CAD图纸|机械工程制图|CAD装配图下载|SolidWorks_CaTia_CAD_UG_PROE_设计图分享下载上搜索。
1、09年年04月月防火墙基础学问防火墙基础学问2主要内容主要内容n防火墙基本学问n防火墙技术n防火墙选择n防火墙部署3防火墙基本学问防火墙基本学问概念概念防火墙的定义:是在两个网络之间执行访问限制策略的一组硬件和软件系统,其目的是爱护本地网络的通信平安。防火墙的爱护功能:防火墙对内部网络的爱护是双向的。从入的方向上,它阻挡外面网络对本地网络的非法访问和入侵;从出的方向上,它限制本地网络对外部不良网络进行访问或者是未经允许的数据输出,防止内部信息的泄露。DMZ区区Trust 可信区域可信区域DPtech 防火墙InternetUntrust 不行信区域不行信区域企业内部须要爱护的区域企业对外供应服
2、务功能属于缓冲区外网,默认是担忧全的对外服务器4防火墙基本学问防火墙基本学问防火墙的作用防火墙的作用防火墙可强迫全部进出信息都通过这个唯一狭窄的检查点,便于集中实施平安策略。防火墙可以实行强制的网络平安策略,如:禁止担忧全的协议防火墙可以对网络存取和访问进行监控审计。如:对P2P流量的监管和限流。运用内部防火墙还可以防止一个网段的问题传播到另一个网段。防火墙主要是让网络“断”,默认全部数据都丢弃,只有合法的数据才能通过。5防火墙基本学问防火墙基本学问防护模型防护模型防火墙主要是针对4层报文进行平安过滤,对7层应用层分析较少。防火墙主要管理范围6主要内容主要内容n防火墙基本学问n防火墙技术n防火
3、墙种类n防火墙发展n防火墙主要技术n防火墙选择n防火墙部署n典型配置案例7主要分为以下主要分为以下3 3种类型防火墙:种类型防火墙:包包 过过 滤滤 防防 火火 墙墙 :依据一组规则允许:依据一组规则允许/堵塞一些数据包。堵塞一些数据包。应用代理型防火墙:作为应用层代理服务器,供应平安防护。应用代理型防火墙:作为应用层代理服务器,供应平安防护。状态检测型防火墙:比包过滤防火墙具有更高的智能和平安性,会话成功建立连接状态检测型防火墙:比包过滤防火墙具有更高的智能和平安性,会话成功建立连接以后记录状态信息并时时更新,全部会话数据都要与状态表信息相匹配;否则会以后记录状态信息并时时更新,全部会话数据
4、都要与状态表信息相匹配;否则会话被阻断。话被阻断。状态检测技术状态检测技术防火墙技术发展介绍防火墙技术发展介绍现代防火墙基本为现代防火墙基本为3 3种类型防火墙的综合体,即接受状态检测型包过滤技术,同时种类型防火墙的综合体,即接受状态检测型包过滤技术,同时供应透亮应用代理功能。供应透亮应用代理功能。8包过滤防火墙包过滤防火墙基本概念:数据包过滤是指在网络中的适当位置对数据包实施有选择的通过。选择的依据就是系统内设置的过滤规则或称访问限制表。包过滤操作过程:包过滤规则必需被存储在包过滤设备的端口;当数据包在端口到达时,包头被提取,同时包过滤设备检查IP、TCP、UDP等包头中的信息;包过滤规则以
5、特定的次序被存储,每一规则依据被存储的次序作用于包;假如一条规则允许传输,包就被通过;假如一条规则阻挡传输,包就被弃掉或进入下一条规则。9检查项IP 包的源地址IP 包的目的地址TCP/UDP 源端口IP 包检测包头检查路由平安策略:过滤规则路由表包过滤防火墙转发符合不符合丢弃包过滤防火墙包过滤防火墙图示图示10包过滤防火墙包过滤防火墙技术评价技术评价优点:速度快,吞吐率高(过滤规则较少时)对应用程序透亮(无帐号口令等)缺点:平安性低不能过滤传输层以上的信息不能监控链路状态信息11ClientServer代理服务器代理客户机恳求应答被转发的恳求被转发的应答应用代理防火墙双向通信必需经过应用代理
6、,禁止IP干脆转发;只允许本地平安策略允许的通信信息通过;应用代理防火墙应用代理防火墙图示图示代理服务器评价来自代理客户的恳求并确定恳求是否被认可。假如恳求被认可,代理服务器便代表客户接触真正的服务器并且转发从代理客户到真正的服务器的恳求以及真正的服务器到代理客户的响应。平安策略访问限制12优点:可以将被爱护网络内部的结构屏蔽起来可以实施较强的数据流监控、记录。可供应应用层的平安(身份验证等)缺点:敏捷性通用性较差,只支持有限的应用。不透亮(用户每次连接可能要受到“盘问”)代理服务的工作量较大,须要特地的硬件(工作站)来担当应用代理防火墙应用代理防火墙技术评价技术评价13基于状态的包过滤防火墙
7、基于状态的包过滤防火墙状态检测技术对于新建立的连接,首先检查预先设置的平安规则,允许符合规则的连接通过,并记录下该连接的相关信息,生成状态表。对该连接的后续数据包,只要是符合状态表的,就可以通过。可对各层的通信进行主动、实时的监控重组会话,对应用进行细粒度检测14基于状态的包过滤防火墙基于状态的包过滤防火墙图示图示IP 包检测包头下一步处理平安策略:过滤规则会话连接状态缓存表状态检测包过滤防火墙符合不符合丢弃符合检查项IP 包的源、目的地址、端口TCP 会话的连接状态上下文信息15特点:平安性得到进一步提高。可监测无连接状态的远程过程调用和用户数据报之类的端口信息。基于状态的包过滤防火墙基于状
8、态的包过滤防火墙技术评价技术评价16主要内容主要内容n防火墙基本学问n防火墙技术n防火墙种类n防火墙发展n防火墙主要技术n防火墙选择n防火墙部署17防火墙技术与产品发展回顾防火墙技术与产品发展回顾防火墙产品的四个发展阶段(四代)基于路由器的防火墙用户化的防火墙工具套件建立在通用操作系统上的防火墙具有平安操作系统的防火墙18第一代:第一代:基于路由器的防火墙基于路由器的防火墙称为包过滤防火墙特征:以访问限制表方式实现包过滤过滤的依据是IP地址、端口号和其它网络特征只有包过滤功能,且防火墙与路由器合为一体缺点:路由协议本身具有平安漏洞路由器上的包过滤规则的设置和配置困难攻击者可假冒地址本质缺陷:防
9、火墙的设置会大大降低路由器的性能(一对冲突)19特征:将过滤功能从路由器中独立出来,并加上审计和告警功能;针对用户需求供应模块化的软件包;纯软件产品。平安性提高,价格降低;缺点:配置和维护过程困难费时;对用户技术要求高;全软件实现,平安性和处理速度均有局限;其次代其次代:用户化的防火墙工具套件用户化的防火墙工具套件20实现方式:软件、硬件、软硬结合。问题:作为基础的操作系统及其内核的平安性无从保证。通用操作系统厂商不会对防火墙的平安性负责;第三代防火墙既要防止来自外部网络的攻击,还要防止来自操作系统漏洞的攻击。用户必需依靠两方面的平安支持:防火墙厂商和操作系统厂商。上述问题在基于Windows
10、/Linux开发的防火墙产品中表现得特别明显。第三代:第三代:建立在通用操作系统上的防火墙建立在通用操作系统上的防火墙21特点:防火墙厂商具有操作系统的源代码,并可实现平安内核;这是一个平安厂商技术实力的体现对平安内核实现加固处理:即去掉不必要的系统特性,强化平安爱护,从而可以供应更高的处理性能在功能上包括了分组过滤、代理服务,且具有加密与鉴别功能;具有独立硬件技术的厂商,平安牢靠性更高第四代:具有平安操作系统的防火墙第四代:具有平安操作系统的防火墙主流平安厂商属于第四代技术。22主要内容主要内容n防火墙基本学问n防火墙技术n防火墙种类n防火墙发展n防火墙主要技术n防火墙选择n防火墙部署23防
11、火墙关键技术汇总防火墙关键技术汇总平安区域:平安区域:ZoneZone,防火墙最基本功能,将网络依据不同防护需求划分为,防火墙最基本功能,将网络依据不同防护需求划分为隔离的区域隔离的区域攻击防范:对各种攻击进行识别和阻断,保障网络内部用户的数据平安攻击防范:对各种攻击进行识别和阻断,保障网络内部用户的数据平安VPNVPN:Virtual Private Network Virtual Private Network,就是虚拟专用网,主要是保证在不行,就是虚拟专用网,主要是保证在不行信的公网上建立用户的信的公网上建立用户的“专线专线”,通过加密实现逻辑上的专线建设,从,通过加密实现逻辑上的专线建
12、设,从而实现远程平安通信而实现远程平安通信NATNAT:Network Address Translation Network Address Translation,就是地址转换,主要用于爱护,就是地址转换,主要用于爱护内网组网架构和地址匮乏内网组网架构和地址匮乏状态检测:保障应用链接是有内网用户发起,并且是依据状态检测:保障应用链接是有内网用户发起,并且是依据 标准状态进行;标准状态进行;对外部发起的任何访问都不响应对外部发起的任何访问都不响应状态热备:状态热备:24平安区域(平安区域(ZONE)平安区域:平安管理基本单位,通过划分不同区域,为其定级不同平安级别,从而执行相应的平安策略,主
13、要是不同区域间的访问限制将接口加入相应平安区域,即意味着与接口相连的网络接入本平安区域Trust、Untrust、DMZ为防火墙默认三个平安区域防火墙防火墙交换机受信区域受信区域TrustTrust非受信区域非受信区域UntrustUntrustDMZDMZ区区受信区域受信区域DMZDMZ区,可以访问区,可以访问POP3POP3和和SMTPSMTP服务服务DMZDMZ 受信区域,不行访问任何受信区域,不行访问任何服务服务应用服务器非受信区域非受信区域DMZDMZ区,可以区,可以访问访问POP3POP3和和SMTPSMTP服务服务DMZDMZ 非受信区域,可以访非受信区域,可以访问任何服务问任何
14、服务非受信区域和受信区域之间非受信区域和受信区域之间不能互访不能互访25攻击防范攻击防范当前主要攻击当前主要攻击Land攻击防范Smurf攻击防范Fraggle攻击防范WinNuke攻击防范Ping of Death攻击防范Tear Drop攻击防范IP Spoofing攻击防范SYN Flood攻击防范ICMP Flood攻击防范UDP Flood攻击防范ARP欺瞒攻击防范ARP主动反向查询TCP报文标记位异样攻击防范超大ICMP报文攻击防范地址扫描的防范端口扫描的防范攻击依据不同划分标准,有不同分类。一般分为畸形报文(利用协议漏洞)、泛洪类(Flood,发起大量恳求)、应用层(操作系统和软
15、件漏洞),下面是当前知名攻击26攻击防范攻击防范各种网络攻击可以归结为:侦测技术:攻击前奏,通过扫描和探测来摸清目标的网络架构、漏洞、操作系统等,为下一步攻击作准备。欺瞒技术:包括IP欺瞒和ARP欺瞒,用来隐藏攻击行为 DOS/DDOS(拒绝服务/分布式拒绝服务攻击):主流攻击模式,利用系统异样和大量虚假报文,让目标无法接着供应正常服务,从而达到攻击目的蠕虫、木马等病毒攻击:应用层攻击,不仅仅是破坏目标应用,更是以获利为主要目的。防火墙就是阻断侦测、识破欺瞒、阻断攻击,实现对网络中平安威逼的防卫。27虚拟专用网(虚拟专用网(VPN)通过组合数据封装和加密技术,实现私有数据通过公共网络平台进行平
16、安传输,从而以经济、敏捷的方式实现两个局域网络通过公共网络平台进行连接,或者供应移动用户平安的通过公共网络平台接入内网。中心站点中心站点分支机构分支机构合作伙伴合作伙伴接入点接入点移动用户移动用户SOHOSOHO用户用户VPNVPN逻辑通道平安加密28网络地址转换技术(网络地址转换技术(NAT)NAT就是将一个IP地址用另一个IP地址代替。应用领域:网络管理员希望隐藏内部网络的IP地址。合法Internet IP地址有限,而且受爱护网络往往有自己的一套IP地址规划(内网私有地址)10.1.5.22 发出恳求应答发给 202.1.1.1 发出恳求202.1.1.1 发出恳求应答发给 应答发给 N
17、AT29状态检测状态检测依据协议的“状态机”识别各种协议的正确状态一般包括H323/MGCP/SIP/H248/RTSP/ICMP/FTP/DNS/PPTP/NBT/ILS等针对应用层协议包括SMTP/HTTP/Java/ActiveX/SQL注入攻击状态检测防火墙防火墙用户用户服务器服务器用户初始化到服用户初始化到服务器的一个会话务器的一个会话该用户会话的后该用户会话的后续数据包被允许续数据包被允许非用户建立外部非用户建立外部发起会话被拒绝发起会话被拒绝监控通信过程中的数据包监控通信过程中的数据包动态建立和删除访问规则动态建立和删除访问规则30状态热备状态热备为避开防火墙故障导致网络不通,一
18、般部署两台相同防火墙进行状态同步热备分为两种模式:主机/备机,主机/主机。两台防火墙互为对方的备份,通过“心跳”监控,当发觉对方无法工作时,干脆接管对方工作接管的切换时间一般为毫秒级,这样才能保障网络业务不中断DPtech ADPtech B黑名单黑名单系统表项系统表项状态表项状态表项黑名单黑名单系统表项系统表项状态表项状态表项心跳监控31主要内容主要内容n防火墙基本学问n防火墙技术n防火墙选择n防火墙部署n典型配置案例32防火墙的选择关键指标防火墙的选择关键指标主要参考以下3种指标:防火墙性能选择:吞吐量、最大并发连接数、每秒新建连接数VPN性能:加密性能、最大并发连接数物理接口的选择:接口
19、数量和速率,主要是考虑部署、HA和性能需求。33防火墙性能防火墙性能主要参考以下3种性能指标:1.整机吞吐量:指防火墙在状态检测机制下能够处理确定包长数据的最大转发实力,业界默认一般都接受大包衡量防火墙对报文的处理实力。2.最大并发连接数:由于防火墙是针对连接进行处理报文的,并发连接数目是指的防火墙可以同时容纳的最大的连接数目,一个连接就是一个TCP/UDP的访问。3.每秒新建连接数:指每秒钟可以通过防火墙建立起来的完整TCP/UDP连接。该指标主要用来衡量防火墙在处理过程中对报文连接的处理速度,假如该指标低会造成用户明显感觉上网速度慢,在用户量较大的状况下简洁造成防火墙处理实力急剧下降,并且
20、会造成防火墙对网络攻击防范实力差。34VPN性能性能主要参考以下2种性能指标:1.加密性能:指VPN设备进行背靠背的连接时,能够以确定的加密算法对确定的包长数据的最大转发实力,业界默认一般都接受大包对这个指标进行衡量。2.最大并发隧道数:指在确定的某种VPN协议的前提下,VPN设备能够并发支持最多的虚拟隧道的数量,这些隧道确定了VPN设备能够供应的连接的设备和移动用户的数量。35主要内容主要内容n防火墙基本学问n防火墙技术n防火墙选择n防火墙部署n典型配置案例36InternetDPtech 防火墙防火墙远程平安互联远程平安互联企业分支合作伙伴移动办公局域网A局域网BIPSec VPNSSL
21、VPN防火墙部署在总部网络出口,便利分支和移动用户接入,同时可以为总部供应攻击防护和NAT功能相对固定的分支的出口也可以部署防火墙,可以供应更高的VPN接入性能37InternetInternet边界防护防火墙最典型应用边界防护防火墙最典型应用分支机构合作伙伴局域网C局域网A局域网BDPtech防火墙防火墙DPtech防火墙防火墙Internet移动办公用户DPtech防火墙防火墙DPtech防火墙防火墙供应最基本的平安防护功能,首先进行平安区域划分,在此基础上供应攻击防范、NAT、状态检测和VPN功能可以部署在路由器前后,一般建议部署在路由器后端。依据部署规模和牢靠性要求,一般建议部署2台,进行状态热备,设备之间可以配置心跳线38数据中心防护数据中心防护分支机构合作伙伴数据服务器群ADPtech防火墙防火墙InternetEmail Server.Web ServerDPtech防火墙防火墙数据服务器群B数据服务器群C为内部核心数据供应防护,通过平安区域划分,将内部数据中心供应访问限制;攻击防范也是基本需求,一般须要和IPS协作运用必需部署2台以上防火墙作为热备