防火墙知识介绍培训讲学

1、防火墙知识介绍网络安全现状网络安全现状 随着信息化进程的深入和互联网的迅速发展，网络安全问题已成为信息时代人类共同面临的挑战，国内的网络安全问题也日益突出。具体表现为： 计算机系统受病毒感染和破坏的情况相当严重 电脑黑客活动已形成重要威胁 信息基础设施面临网络安全的挑战 信息系统在预测、防范、反应和恢复能力方面存在许多薄弱环节 网络政治颠覆活动频繁 网络安全现状网络安全现状 据统计，目前美国每年由于网络安全问题而遭受的经济损失超过170亿美元，德国、英国也均在数十亿美元以上，法国为100亿法郎，日本、新加坡问题也很严重。在国际刑法界列举的现代社会新型犯罪排行榜上，计算机犯罪已名列榜首。 200

2、3年，CSI/FBI调查所接触的524个组织中，有56%遇到电脑安全事件，其中38%遇到15起、16%以上遇到11起以上。因与互联网连接而成为频繁攻击点的组织连续3年不断增加；遭受拒绝服务攻击(DoS)则从2000年的27%上升到2003年的42%。调查显示，521个接受调查的组织中96%有网站，其中30%提供电子商务服务，这些网站在2003年1年中有20%发现未经许可入侵或误用网站现象。更令人不安的是，有33%的组织说他们不知道自己的网站是否受到损害。据统计，全球平均每20s就发生1次网上入侵事件，黑客一旦找到系统的薄弱环节，所有用户均会遭殃。 国内网络安全现状国内网络安全现状 从国内情况来

3、看，目前我国95%与互联网相联的网络管理中心都遭受过境内外黑客的攻击或侵入，其中银行、金融和证券机构是黑客攻击的重点。 据2001年调查，我国约73%的计算机用户曾感染病毒，2003年上半年升至83%。其中，感染3次以上的用户高达59%，而且病毒的破坏性较大，被病毒破坏全部数据的占14%，破坏部分数据的占57%。 近年来，国内与网络有关的各类违法行为以每年30%的速度递增。据某市信息安全管理部门统计，2003年第1季度内，该市共遭受近37万次黑客攻击、2.1万次以上病毒入侵和57次信息系统瘫痪。 网络风险网络风险 业内安全专家公认：所谓的“周界杀手”蠕虫和“零日攻击”将大量增加，这将是目前及今

4、后网络安全面临的最大威胁。 （“周界杀手”：那些不通过传统的电子邮件方式传播而是通过进攻系统、软件的漏洞而对网络实施攻击的病毒软件） （“零日攻击”： 病毒或蠕虫利用操作系统或者软件某个未知和未修补的漏洞发起攻击） 基于“零日”漏洞而制造的一种“冲击波”式的蠕虫可以毁坏计算机网络，并使管理人员对网络保护束手无策。 部署防火墙的必要性部署防火墙的必要性 基于目前网络安全的现状，为了保证网络的安全，防止机密信息被盗取，各企业、政府机关、高校等均纷纷采取相应的安全措施，而防火墙则一般是众多网络安全产品中首要考虑的重要一环，是网络的第一道安全门坎。提纲提纲 网络安全现状 防火墙概念防火墙概念 防火墙关

5、键技术 防火墙功能一览 防火墙性能指标 防火墙发展及趋势什么是防火墙什么是防火墙信任网络非信任网络网络的唯一通路防火墙，Firewall，是一种高级访问控制设备，置于不同网络安全域之间的一系列部件的组合，它是不同网络安全域间通信流的唯一通道，能根据有关的安全政策控制（允许、拒绝、监视、记录）进出网络的行为，本身具有较强的抗网络攻击能力。它是提供信息安全服务，实现网络和信息安全的基础设施。 防火墙的分类防火墙的分类 从产品形式上分为： 软件防火墙：纯软件防火墙，安装在操作系统之上 硬件防火墙：硬件/软件一体化防火墙（X86结构）、ASIC芯片级防火墙、网络处理器（Network Processo

6、r，NP处理器）架构防火墙 从部署位置上分为： 网关防火墙：边界防火墙，部署于网络边界出口处 个人防火墙：多为软件防火墙，安装在单个主机系统上 分布式防火墙：包括边界防火墙、主机防火墙以及集中管理平台，把防火墙的安全防护系统延伸到网络中各台主机，准确地说，它不是一个单一的产品，而是一个完整的体系防火墙的分类防火墙的分类 从产品性能上分为： 百兆防火墙 千兆防火墙 从发展历程上分为： 包过滤防火墙：基本包过滤访问控制功能，安全性差 应用代理防火墙：应用代理功能，支持应用层内容级控制，但是支持协议有限 状态检测防火墙：跟踪网络会话状态实现访问控制，性能好，安全性高 复合型防火墙：结合状态检测、应用

7、代理以及众多其他功能，功能强大，安全性高提纲提纲 网络安全现状 防火墙概念 防火墙关键技术防火墙关键技术 防火墙功能一览 防火墙性能指标 防火墙发展及趋势（一）包过滤访问控制（一）包过滤访问控制源目标许可协议Host AHost C允许TCPHost BHost C阻止UDPHost CHost AHost D数据包数据包拆数据包查询控制策略根据策略决定如何处理数据包数据包IP包头TCP/udp包头 数据包过滤的判断信息数据包包过滤工作原理包过滤工作原理应用层TCP层 I P 层网络接口层应用层TCP层 I P 层网络接口层数据数据TCPIP数据TCPETHIP数据TCP数据IP数据TCPET

8、HIP数据TCP数据TCPIP数据TCP只检查包头 IP 源地址 IP目的地址 封装协议 TCP/UDP源端口 TCP/UDP目的端口 ICMP包类型 包输入接口 包输出接口（二）状态检测工作原理（二）状态检测工作原理Host A数据包数据包拆数据包查询控制策略根据策略决定如何处理数据包数据包IP包头TCP包头数据数据包控制策略状态检测可以结合前一数据包里的数据信息进行综合分析，以此来判别数据包是否允许通过。IP包头TCP包头数据IP包头TCP包头数据状态检测的判断信息建立连接状态表状态检测工作原理状态检测工作原理应用层TCP层 I P 层网络接口层应用层TCP层 I P 层网络接口层数据数据

9、TCPIP数据TCPETHIP数据TCP数据IP数据TCPETHIP数据TCP数据TCPIP 数 据 TCP只检查包头建立连接状态表检查检查 IP 源地址 IP目的地址 封装协议 TCP/UDP源端口 TCP/UDP目的端口 ICMP包类型 包输入接口 包输出接口 TCP通信的连接状态 UDP/ICMP通信的通信状态（三）应用代理的工作原理（三）应用代理的工作原理Host CHost AHost D数据包数据包拆数据包查询控制策略根据策略决定如何处理数据包数据包IP报头TCP报头数据包过滤及状态检测的判断信息数据包控制策略应用代理的判断信息应用代理可以对数据包的数据区进行分析，以此来判别数据包

10、是否允许通过。应用代理工作原理应用代理工作原理应用层TCP层 I P 层网络接口层应用层TCP层 I P 层网络接口层数据数据TCPIP数据TCPETHIP数据TCP数据IP数据TCPETHIP数据TCP数据TCPIP 数 据 TCP只检查数据（四）地址转换（四）地址转换 网络地址转换，Network Address Translation，简称NAT，是用于将一个地址域如专用Intranet映射到另一个地址域如Internet的标准方法。NAT对终端用户是透明的，用于全球唯一注册地址连接私有地址域到外部域。 RFC1597 “专用网络地址分配”规定，以下地址为保留地址，路由器不在互联网上对这

11、些地址进行路由选择：--55--55--55 一般在内部网络均选用以上保留地址作为私有地址进行NAT，转换成合法注册地址访问互联网。地址转换技术种类地址转换技术种类 NAT技术有三种类型：静态NAT(Static NAT)、动态地址NAT(Pooled NAT)、网络地址端口转换NAPT（PortLevel NAT） 静态NAT：内部网络中的每个主机都被永久映射成外部网络中的某个合法的地址（一个公有地址对应一个私有地址 ） 动态NAT：在外部网络中定义了一系列的合

12、法地址，采用动态分配的方法分配给内部网络私有地址（多个公有地址对应一大群私有地址） NAPT：把内部地址映射到外部网络的一个IP地址的不同端口上（一个公有地址对应一大群私有地址）地址转换工作原理地址转换工作原理WANA:0S=0:2733D=:80B:0LAN-ALAN-BNAPT：/24 静态NAT：0 S=:3236D=:80S=:3236D=:80S=202.2.2

13、.2:3236D=0:80网络A中A主机访问网络B中B服务器www服务的NAT过程地址转换的作用地址转换的作用 解决IP地址不足的问题 隐藏内部网络的网络结构，加强内部网络的安全提纲提纲 网络安全现状 防火墙概念 防火墙关键技术 防火墙功能一览防火墙功能一览 防火墙性能指标 防火墙发展及趋势防火墙功能一览（防火墙功能一览（1） 访问控制：根据数据包的源/目的IP地址、源/目的端口、协议、流量、时间等参数对数据包进行访问控制 地址转换：源地址转换（SNAT）、目的地址转换（DNAT）、双向地址转换（IP映射） 静态路由/策略路由：静态路由：基于目的地址的路由选择；策略路由：基

14、于源地址和目的地址的策略路由选择 工作模式：路由模式、网桥模式（交换/透明模式）、混杂模式（路由+网桥模式并存） 接入支持：防火墙接口类型一般有GBIC、以太网接口等；接入支持静态IP设置、DHCP、PPPoE（比如ADSL接入）等防火墙功能一览（防火墙功能一览（2） VPN： 分为点到端传输模式（PPTP协议）和端到端隧道模式（IPSec，IPIP，GRE隧道），支持DES、3DES、Blowfish、AES、Cast128、Twofish等加密算法，支持MD5、SHA-1认证算法；VPN功能支持NAT穿越 IP/MAC绑定：IP地址与MAC地址绑定，防止IP盗用，防止内网机器有意/无意抢占

15、关键服务器IP DHCP：内置DHCP Server为网络中计算机动态分配IP地址；DHCP Relay的支持能为防火墙不同端口的DHCP Server和计算机之间动态分配IP地址 虚拟防火墙：在一台物理防火墙设备上提供多个逻辑上完全独立的虚拟防火墙，每个虚拟防火墙为一个特定的用户群提供安全服务 应用代理：HTTP、FTP、SMTP等协议应用代理，大多数内容级过滤通过应用代理实现 防火墙功能一览（防火墙功能一览（3） 认证支持：是指防火墙支持的身份认证协议，一般情况下具有一个或多个认证方案，如内置用户认证、数字证书、RADIUS、OTP、LDAP、SECURE ID、Kerberos、TACA

16、CS/TACACS等等。防火墙能够为本地或远程用户提供经过认证与授权的对网络资源的访问，防火墙管理员必须决定客户以何种方式通过认证 ARP代理：防火墙代理应答特定的ARP请求，在特殊网络环境中可能用到该功能 内容过滤：内容级过滤，比如URL过滤、WEB网页内容过滤、Java/JavaScript/Active X控件过滤、FTP命令过滤、邮件过滤、入侵过滤（特征字匹配）等等 VLAN支持：支持802.1Q、VTP、Cisco专有的Trunk 封装协议ISL，识别VLAN数据包，实现VLAN间的数据包转发 协议/应用支持：H.323、SIP、IPX、NETBEUI、AppleTalk、RIP、

17、OSPF 、BGP、DECnet、RTSP、VOIP、VOD、视频会议、组播协议等等 防火墙功能一览（防火墙功能一览（4） 流量控制：流量控制，流量优先级，带宽允许条件下的优先保障关键业务带宽 防攻击：防止各类TCP、UDP端口扫描，源路由攻击，IP碎片包攻击，DoS、DDoS攻击，蠕虫病毒以及其他网络攻击行为 内置IDS：内置IDS模块，加强防火墙的防攻击能力 内置防病毒模块：内置防病毒模块，在网关级进行病毒防护 内置安全评估模块：内置安全评估模块，对网络中的计算机、网络设备等进行漏洞扫描，做出安全评估分析，提供安全建议，及时弥补网络中存在的安全隐患 安全产品联动：防火墙与其他安全产品比如I

18、DS、Scanner、防病毒等的联动功能 防火墙功能一览（防火墙功能一览（5） 链路备份/双机热备：在可靠性要求高的环境中，防火墙的多端口的链路备份以及双机热备功能提供了一个较好的解决方案 配置文件上传/下载：配置文件的备份/恢复功能 SNMP：支持SNMP协议，方便网络管理员对防火墙状态进行监控管理 负载均衡：分为链路负载均衡和服务器负载均衡 日志审计：日志存储、备份、查询、过滤、分析统计报表等 入侵响应：日志记录、消息框报警、邮件报警、声音报警、发送SNMP Trap信息、手机短信报警等 提纲提纲 网络安全现状 防火墙概念 防火墙关键技术 防火墙功能一览 防火墙性能指标防火墙性能指标 防火

19、墙发展及趋势防火墙性能指标（防火墙性能指标（1） 吞吐量：吞吐量是指防火墙在不丢包的情况下能够达到的最大包转发速率。吞吐量越大，说明防火墙数据处理能力越强 延迟：延迟是指防火墙转发数据包的延迟时间，延迟越低，防火墙数据处理速度越快 丢包率：丢包率是指在正常稳定网络状态下，应该被转发由于缺少资源而没有被转发的数据包占全部数据包 的百分比。较低的丢包率，意味着防火墙在强大的负载压力下，能够稳定地工作，以适应各种网络的复杂应用和较大数据流量对处理性能的高要求 背对背（Back to Back）：是用于衡量网络设备缓冲数据包能力的一个指标，指的是固定长度的数据帧以合法的最小帧间隔在传输媒介上突发一段较

20、短的时间（以太网标准规定最小帧间隔为96bits），一般以帧数多少来表示，背对背帧数越大，缓冲能力就越强。网络上经常有一些 应用会产生大量的突发数据包（例如：NFS，备份，路由更新等），而且这样的数据包的丢失可能会 产生更多的数据包，防火墙强大的缓冲能力可以减小这种突发数据对网络造成拥塞等不良影响防火墙性能指标（防火墙性能指标（2） 平均无故障时间：平均无故障时间（MTBF）是指防火墙连续无故障正常运行的平均时间 并发连接数：并发连接数是防火墙能够同时处理的点对点连接的最大数目，它反映出防火墙设备对多个连接的访问控制能力和连接状态跟踪能力，这个参数的大小直接影响到防火墙所能支持的最大信息点数

21、最大连接速率：是指在指定时间（比如1秒）内防火墙能成功建立的最大连接数目 乍看并发连接数越大越好，其实不然：并发连接数的增大意味着对系统内存资源的消耗 并发连接数的增大应当充分考虑CPU的处理能力 物理链路的实际承载能力将严重影响防火墙发挥出其对海量并发连接的处理能力 提纲提纲 网络安全现状 防火墙概念 防火墙关键技术 防火墙功能一览 防火墙性能指标 防火墙发展及趋势防火墙发展及趋势（一）防火墙发展历程（一）防火墙发展历程 目前防火墙技术主要经历了四个发展历程： 简单包过滤技术阶段 应用代理网关技术阶段 状态检测包过滤技术阶段 复合型防火墙第一代简单包过滤防火墙第一代简单包过滤防火墙 优点：

22、包过滤工作在网络层和传输层，只对数据包的头部信息进行控制，过滤效率较高，性能较好 缺点： 早期的包过滤技术无法分辨IP具体来源，即无法区分该IP处于内部网络还是外部网络，这样便不能防止IP欺骗 只对数据包的头部信息进行过滤，不支持应用层协议，访问控制粒度粗糙，灵活性低 不能处理新的安全威胁，它不能跟踪TCP状态，所以对TCP层的控制有漏洞。比如当它配置了仅允许从内到外的TCP访问时，一些以TCP应答包的形式从外部对内网进行的攻击仍可以穿透防火墙 第二代应用代理防火墙第二代应用代理防火墙 优点： 跟应用层紧密结合，可以检查应用层、传输层和网络层的协议特征，对数据包的检测能力比较强，具备应用层内容

23、级的高级访问控制能力，安全性较高 缺点： 并发连接数低，吞吐量小，性能非常差。对于内网的每个访问请求，应用代理都需要开一个单独的代理进程；要保护内网的Web服务器、数据库服务器、文件服务器、邮件服务器，及业务程序等，就需要建立一个个的服务代理，以处理客户端的访问请求。这样，应用代理的处理延迟会很大，内网用户的正常访问难以及时得到响应 支持协议有限。针对每一种应用都需要相应的协议分析，应用代理网关防火墙只能支持一些常见常用的协议，而针对众多的其他协议、各行业的业务应用难以支持，不用不够广泛第三代状态检测包过滤防火墙第三代状态检测包过滤防火墙 优点： 状态检测防火墙在内核部分建立状态连接表，并利用

24、状态表跟踪每一个数据包的会话状态，提供了完整的对传输层的控制能力，安全性较高 状态监测技术采用了一系列优化技术，使防火墙性能大幅度提升 缺点： 与具体应用结合程度较低，无法做到应用层内容级控制 对一些网络攻击、病毒难以防范，比如红色代码、nimda、冲击波、振荡波等。第四代复合型防火墙第四代复合型防火墙 优点： 融合了状态检测、应用代理技术，并结合了其他众多辅助功能比如：用户认证、VPN、IPMAC绑定、策略路由等等，安全性高，功能强大，适应范围广泛 缺点： 使用应用代理功能时，性能不够高；使用包过滤功能时，由于不检查数据包内容，难以防范一些网络攻击、病毒入侵（二）防火墙发展趋势（二）防火墙发

25、展趋势 随着新的网络攻击的出现，对防火墙的挑战也越来越严峻，必然要求防火墙新技术的出现来满足不断增长的新需求。这主要可以从以下四个方面来体现 ： 包过滤技术 硬件体系结构 系统管理体制 产品联动体系（1）过滤技术发展趋势）过滤技术发展趋势 采用多级过滤技术： 在网络层，分组过滤掉所有的源路由攻击数据包和假冒IP源地址的数据包； 在传输层，遵循过滤规则，过滤掉所有禁止出或/和入的协议和非法数据包、蠕虫病毒等； 在应用层，对数据包进行协议分析并还原，控制和监测Internet提供的常见服务，比如HTTP、FTP、SMTP等，提供细粒度内容级过滤。 深度包检测技术深度包检测技术 下一代过滤技术：深度

26、包检测技术（Deep Packet Inspection） 深度包检测技术，不仅检查IP包头，并且能对IP包进行重组、拆包，检查数据包的具体内容，深入检查信息包流，查出恶意行为，可以根据特征检测和内容过滤，来寻找已知的攻击，阻止异常的访问，很好地提供了入侵检测和攻击防范的功能 深度包检测技术成功地解决了普遍存在的拒绝服务攻击（DDoS）的问题、病毒传播问题和高级应用入侵问题，能识别并有效地阻断恶意数据流量，有效地切断恶意病毒或木马的流量攻击；能防范黑客攻击，能识别黑客的恶意扫描，并有效地阻断或欺骗恶意扫描者。深度包检测技术代表着防火墙的主流发展方向（2）硬件体系结构发展趋势）硬件体系结构发展趋

27、势 随着网络应用的增加、多媒体应用的普及，对网络带宽提出了更高的要求，这意味着防火墙要能够以非常高的速率处理数据，延迟足够小，传统的X86结构防火墙已经难以满足如此高性能的要求。 防火墙的硬件体系结构目前已经处于一个更新换代的门槛上，未来的发展趋势基本上是网络处理器（Network Processor，简称NP处理器）与ASIC芯片两种解决方案，各有优劣。 硬件体系结构另外一个需要考虑的问题，为了避免运输等过程中造成内存等接插件的松动、脱落，尽量少使用接插件，采取贴片等方式避免此类问题X86结构方案特点结构方案特点 优点 X86架构的高灵活性和扩展性 在百兆防火墙上获得了巨大成功 有较丰富的软件资源可以利用 丰富的有经验的开发人员以及OpenSource代码 功能扩展和升级方便 缺点 通用硬件架构和通用软件体系结构极大地限制了性能的提高 通用操作系统易受到攻击ASIC方案特点方案特点 ASIC优点 ASIC可以很容易达到较高的性能 大批量生产时成本很低 ASIC缺点 固化的逻辑不能灵活地适应应用的变化，要增加新的功能必须重新设计ASI