《信息安全产品配置与应用》课程防火墙篇体系结构【技术与原理部分】

1、主要内容防火墙的功能基本功能基本功能地址转换地址转换访问控制访问控制VLAN支持支持带宽管理（带宽管理（QoS）入侵检测和攻击防御入侵检测和攻击防御用户认证用户认证IP/MACIP/MAC绑定绑定动态动态IP环境支持环境支持数据库长连接应用支持数据库长连接应用支持路由支持路由支持ADSL拨号功能拨号功能SNMPSNMP网管支持网管支持日志审计日志审计高可用性高可用性扩展功能防病毒IPSVPNIPSEC VPNPPTP/L2TPGRE地址转换（NAT）4Host A受保护网络Host C Host D 15防火墙Eth2：192

2、.168.1.23Eth0：数据IP报头数据IP报头源地址：1目地址：4源地址：目地址：4v 隐藏了内部网络的结构v 内部网络可以使用私有IP地址v 公开地址不足的网络可以使用这种方式提供IP复用功能MAP（地址/端口映射）Internetv 公开服务器可以使用私有地址v 隐藏内部网络的结构WWW FTP MAIL DNS 202

3、.102.1.3MAP ：80 TO ：80MAP ：21 TO ：21MAP ：53 TO ：53MAP ：25 TO ：25防火墙的基本访问控制功能Host C Host D Access list to Access nat to any pass Access

4、 to blockAccess default pass规则匹配成功v 基于源IP地址v 基于目的IP地址v 基于源端口v 基于目的端口v 基于时间v基于用户v 基于流量v 基于文件v 基于网址v 基于MAC地址时间控制策略Host C Host D 在防火墙上制定基于时间的访问控制策略上班时间不允许访问Internet上班时间可以访问公司的网络InternetVLAN间控制-对TRUNK的支持只有支持TRUNK的防火墙才能在这种环境下工作只有支持TRUNK的防火墙才能在这种环境下工作QoS带宽管理内置入侵检测功能防火墙具有内置的IDS模块，可以有效检测并抵御常见的攻击

5、行为，用户通过简单设置即可保护指定的网络对象免于受到以下类型的攻击：1.统计型攻击，包括：Syn Flood、UDP FLOOD、ICMP FLOOD、IP SWEEP、PORT SCAN。2.异常包攻击，包括：Land、Smurf、PingofDeath、Winnuke、TcpScan、IpOption等抗Dos攻击功能防火墙的SYN代理实现原理:v在服务器和外部网络之间部署防火墙系统;v防火墙在收到客户端的Syn包后，防火墙代替服务器向客户端发送Syn/Ack包;v如果防火墙收到客户端的Ack信息，表明访问正常,由防火墙向服务器发送Syn包并完成后续的TCP握手,建立客户端到服务器的连接。

6、v通过这种Syn代理技术，保证每个Syn包源的真实有效性，确保虚假请求不被发往服务器，从而彻底防范对服务器的Syn-Flood攻击。 与IDS的安全联动Host C Host D Host B Host A 受保护网络InternetIDS黑客发起攻击发送通知报文验证报文并采取措施发送响应报文识别出攻击行为阻断连接或者报警等对认证方式和第三方认证支持liming*IP与MAC（用户）的绑定InternetHost A Host BHost CHost D00-50-04-BB-71-A600-50-04-B

7、B-71-BCBIND To 00-50-04-BB-71-A6BIND To 00-50-04-BB-71-BCIP与MAC地址绑定后，不允许Host B假冒Host A的IP地址上网防火墙允许Host A上网对DHCP应用环境的支持DHCP服务器Host AHost BHost CHost DHost EHost F没有固定IP地址只允许Host B上网设定Host B的MAC地址设定Host B的IP地址为空根据Host B的MAC地址进行访问控制对数据库长连接的支持客户机数据库查询一般需要比较长的时间，这些通讯连接建

8、立成功后可能暂时没有数据通过（空连接），普通防火墙在连接建立一段时间后如果没有数据通讯会自动切断连接，导致业务不能正常运行需要在防火墙里面维护这个连接状态，直到查询结束。该功能是可选的。策略路由功能动态路由-RIP动态路由-OSPFADSL拨号功能支持SNMP网络管理Host C Host D Host B Host A 受保护网络Internet日志分析功能会话日志：即普通连接日志v通信源地址、目的地址、源目端口、通信时间、通信协议、字节数、是否允许通过命令日志和内容日志：即深度分析日志v在通信日志的基础之上，记录下各个应用层命令参数和内容。例如HTTP请求及其要取的网页名。提供日志分析工具

9、自动产生各种报表，智能化的指出网络可能的安全漏洞常见日志格式：Syslog、Webtrent普通连接日志-会话日志深度分析日志（1）-命令日志深度分析日志（2）-内容日志高可用性-双机热备功能内部网外网或者不信任域Eth 0Eth 0Eth1Eth1Eth2Eth2心跳线Active FirewallStandby Firewall检测Active Firewall的状态发现出故障，立即接管其工作 正常情况下由主防火墙工作主防火墙出故障以后，接管它的工作高可用性-服务器服务器负载均衡高可用性-网络链路备份功能高可用性-双系统冗余扩展功能-病毒过滤功能(1)扩展功能-病毒过滤功能(2)扩展功能-

10、 IPSEC VPN功能L2TP/PPTP/GRE VPN功能DDNS功能主要内容防火墙提供的通讯模式在这种模式下，网络卫士防火墙的所有接口均作为交换接口工作。也就是说，对于同一VLAN 的数据包在转发时不作任何改动，包括IP 和MAC 地址，直接把包转发出去。同时，网络卫士防火墙可以在设置了IP 的VLAN 之间进行路由转发。在这种模式下，网络卫士防火墙类似于一台路由器转发数据包，将接收到的数据包的源MAC 地址替换为相应接口的MAC 地址，然后转发。该模式适用于每个区域都不在同一个网段的情况。和路由器一样，网络卫士防火墙的每个接口均要根据区域规划配置IP 地址。顾名思义，这种模式是前两种模

11、式的混合。也就是说某些区域（接口）工作在透明模式下，而其他的区域（接口）工作在路由模式下。该模式适用于较复杂的网络环境。说明：防火墙采用何种通讯方式是由用户的网络环境决定的，用户需要根据自己的网络情况，合理的确定防火墙的通讯模式；并且防火墙采用何种通讯方式都不会影响防火墙的访问控制功能。NO.1透明模式ETH0ETH0：ETH1ETH1：ETH2ETH2：0/24 网段0/24 网段外网、SSN、内

12、网在同一个广播域，防火墙做透明设置。此时防火墙为透明模式。NO.2路由模式ETH0ETH0：ETH1ETH1：ETH2ETH2：/24 网段/24 网段外网、SSN区、内网都不在同一网段，防火墙做路由方式。这时，防火墙相当于一个路由器。NO.3混合模式ETH1ETH1：0202ETH2ETH2：00/24 1

13、00/24 网段网段/24 /24 网段网段此时整个防火墙工作于透明+路由模式，我们称之为综合模式或者混合模式/24 /24 网段网段ETH0ETH0：两接口在不同网段，防火墙处于路由模式两接口在不同网段，防火墙处于路由模式两接口在同一网段，防火墙处于透明模式主要内容防火墙典型应用（一）负载模式：基于轮询 基于加权轮询最少链接加权最少链接对真实主机的自动探测 防火墙典型应用（二）交换：多接口 高性能完全的协议支持路由：全面的路由协议防火墙典型应用（三）多层多链路的热备：完成复杂组网 支持复杂路由交换完全的协议支持防火墙典型应用（四）交换机的接口备份：支持交换 生成树技术防火墙典型应用（五）总部 防火墙典型应用（六）Internet 主要