《防火墙技术原理》PPT课件(PPT 75页)

1、防火墙技术原理防火墙技术培训专用材料第1页，共75页。 防火墙概述 防火墙分类 防火墙硬件技术 防火墙软件技术 防火墙分级 防火墙功能 防火墙性能 防火墙安全性 防火墙的“胖”与“瘦” 防火墙部署 防火墙管理 防火墙可靠性 防火墙典型应用 防火墙技术发展展望 怎样选择防火墙提 纲 第2页，共75页。Internet一种高级访问控制设备，置于不同网络安全域之间的一系列部件的组合，它是不同网络安全域间通信流的唯一通道，能根据企业有关的安全政策控制（允许、拒绝、监视、记录）进出网络的访问行为。两个安全域之间通信流的唯一通道UDPBlockHost CHost BTCPPassHost CHost A

2、DestinationProtocolPermitSource根据访问控制规则决定进出网络的行为内部网防火墙定义第3页，共75页。Intranet通过部署防火墙，可以实现比VLAN、路由器更为强大、有效的访问控制功能；大大提高抗攻击的能力禁止访问禁止访问防火墙作用第4页，共75页。防火墙执行标准 GB/T 18019-1999 信息技术包过滤防火墙安全技术要求 GB/T 18020-1999 信息技术应用级防火墙安全技术要求 GB/T 18336-2001 信息技术安全性评估准则 （ ISO 15408 ） GB/T 17900-1999 网络代理服务器的安全技术要求 GB/T 18018-1

3、999 路由器安全技术要求GB/T 18020-1999GB/T 18010-1999GB/T 18336-2001（ISO/IEC 15408）国 内 标 准国 际 标 准规范需求分析、设计、编码、测试、评估等环节第5页，共75页。 防火墙概述 防火墙分类 防火墙硬件技术 防火墙软件技术 防火墙分级 防火墙功能 防火墙性能 防火墙安全性 防火墙的“胖”与“瘦” 防火墙部署 防火墙管理 防火墙可靠性 防火墙典型应用 防火墙技术发展展望 怎样选择防火墙提 纲 第6页，共75页。Internet软件防火墙硬件防火墙按形态分类按保护对象分类Internet防火墙的分类保护整个网络保护单台主机网络防火

4、墙单机防火墙第7页，共75页。Internet单机防火墙网络防火墙保护单台主机安全策略分散安全功能简单普通用户维护安全隐患较大策略设置灵活保护整个网络安全策略集中安全功能复杂多样专业管理员维护安全隐患小策略设置复杂单机防火墙网络防火墙产品形态软件硬件或者软件安装点单台独立的 Host网络边界处安全策略分散在各个安全点对整个网络有效保护范围单台主机一个网段管理方式分散管理集中管理功能功能单一功能复杂、多样管理人员普通计算机用户专业网管人员安全措施单点安全措施全局安全措施结论单机防火墙是网络防火墙的有益补充，但不能代替网络防火墙为内部网络提供强大的保护功能单机防火墙&网络防火墙第8页，共75页。I

5、nternet硬件防火墙&软件防火墙Internet硬件防火墙软件防火墙操作系统平台安全性性能稳定性网络适应性分发升级成本硬件防火墙基于精简专用OS高高较高强不易较容易Price=firewall+Server软件防火墙基于庞大通用OS较高较高高较强非常容易容易Price=Firewall仅获得Firewall软件，需要准备额外的OS平台安全性依赖低层的OS网络适应性弱（主要以路由模式工作）稳定性高软件分发、升级比较方便硬件+软件，不用准备额外的OS平台安全性完全取决于专用的OS网络适应性强（支持多种接入模式）稳定性较高升级、更新不太灵活第9页，共75页。 防火墙概述 防火墙分类 防火墙硬件技

6、术 防火墙软件技术 防火墙分级 防火墙功能 防火墙性能 防火墙安全性 防火墙的“胖”与“瘦” 防火墙部署 防火墙管理 防火墙可靠性 防火墙典型应用 防火墙技术发展展望 怎样选择防火墙提 纲 第10页，共75页。CPU存储器网络接口总线位数总线频率总线带宽32 b33M1G64 b33M2G32 b133M4G64 b133M8G总线网络接口1342防火墙单总线结构NPU1存储器NPU2存储器ASIC防火墙的硬件瓶颈：处理器的计算能力：CPU+NPU+ASIC总线带宽：设计多总线产品存储器的存储速度I/O 接口速度第11页，共75页。CPU存储器网络接口总线位数总线频率总线带宽32 b33M1G

7、64 b33M2G32 b133M4G64 b133M8G总线1网络接口防火墙多总线结构存储器存储器ASIC防火墙的硬件瓶颈：处理器的计算能力：CPU+NPU+ASIC（提高主频或者采用多处理器）总线带宽：设计多总线产品（提高总线带宽或者采用多总线结构）存储器的存储速度I/O 接口速度总线2NPU1NPU2第12页，共75页。CPU + 33M总线 + 10/100/1000M网络接口CPU + 133M总线 + 10/100/1000M网络接口CPU + ASIC + 133M总线 + 10/100/1000M网络接口CPU + NPU + 133M总线 + 10/100/1000M网络接口

8、CPU + NPU + ASIC + 133M总线 + 10/100/1000M网络接口n个CPU + n个NPU + n个ASIC + n条总线 + n个10/100/1000网络接口 防火墙硬件结构种类逐步提高处理能力逐步提高总线带宽逐步提高接口速率第13页，共75页。CPU存储器网络接口总线位数总线频率总线带宽32 b33M1G64 b33M2G32 b133M4G64 b133M8G33M总线网络接口1342CPU + 33M + 10/100M防火墙的处理能力：处理器的计算能力：普通CPU总线带宽：33M存储器的存储速度I/O 接口速度：比较适合中低端百兆防火墙第14页，共75页。C

9、PU存储器网络接口总线位数总线频率总线带宽32 b33M1G64 b33M2G32 b133M4G64 b133M8G网络接口1342CPU + 133M + 10/100M/1000M防火墙的处理能力：处理器的计算能力：普通CPU总线带宽：133M存储器的存储速度I/O 接口速度：比较适合中低端千兆防火墙或者高端百兆防火墙133M总线第15页，共75页。CPU存储器网络接口总线位数总线频率总线带宽32 b33M1G64 b33M2G32 b133M4G64 b133M8G133M总线网络接口1342CPU + ASIC + 133M + 10/100M/1000M防火墙的处理能力：处理器的计

10、算能力：普通CPU + ASIC总线带宽：133M存储器的存储速度I/O 接口速度：高端百兆、千兆ASIC第16页，共75页。总线位数总线频率总线带宽32 b33M1G64 b33M2G32 b133M4G64 b133M8GCPU + NPU + 133M + 10/100M/1000M防火墙的处理能力：处理器的计算能力：普通CPU + NPU总线带宽：133M存储器的存储速度I/O 接口速度：高端百兆、千兆网络接口总线1网络接口存储器存储器NPU1NPU2CPU存储器总线2第17页，共75页。总线位数总线频率总线带宽32 b33M1G64 b33M2G32 b133M4G64 b133M8

11、G网络接口总线1网络接口存储器存储器NPU1NPU2CPU存储器总线2ASIC防火墙的硬件瓶颈：处理器的计算能力：CPU+NPU+ASIC总线带宽：多总线存储器的存储速度I/O 接口速度：高端百兆、千兆CPU + NPU +ASIC + 133M + 10/100M/1000M第18页，共75页。基于通用CPU的防火墙的特点通用CPU的优点：高灵活性、高扩展性通用CPU由于考虑了各种应用的需要，具有一般化的通用体系结构和指令集，容易支持复杂的运算并容易开发新的功能。随着通用CPU性能的快速提高，基于通用CPU防火墙的处理速度和能力将会大幅度提高，能够很好的适应多接口百兆、千兆防火墙的计算要求第

12、19页，共75页。基于ASIC加速技术防火墙的特点ASIC：Application Specific Integrated Circuit，特定用途集成电路。ASIC专用硬件加速技术主要是部分国外厂商的防火墙产品采用，如NetScreen的高端防火墙。ASIC作为硬件集成电路，它把指令或计算逻辑固化到硬件中，获得高处理能力，提升防火墙性能。ASIC最大缺点是缺乏灵活性，支持有限的应用和服务。一旦指令或计算逻辑固化到硬件中，就很难修改升级、增加新的功能或提高性能，使得资源重用率很低。而且，ASIC设计和制造周期长（设计和制造复杂ASIC一般需要花费1218个月），研发费用高，也使ASIC很难应对

13、万变的网络新应用，所以基于ASIC技术，很难快速推出能满足用户需求不断变化的防火墙产品。 第20页，共75页。网络处理器（Network Processor，简称NP）顾名思义即专为网络数据处理而设计的芯片或芯片组。能够直接完成网络数据处理的一般性任务，如TCP/IP数据的校验和计算、包分类、路由查找等，同时，硬件体系结构的设计也弥补了传统IA体系的不足，它们大多采用高速的接口技术和总线规范，具有较高的I/O能力。基于网络处理器的网络设备的包处理能力得到了很大提升，很多需要高性能的领域，如千兆交换机、防火墙、路由器的设计都可以采用网络处理器来实现。 Intel 公司第一代NP芯片NP产品远未成

14、熟，包括Terago公司倒闭（10Gbit/sNP）NP不少，产品接口却不统一，无法完成无缝的整合；NPU论坛（网络处理器论坛（NPF）正在推动相关标准的制定，但还很不完善；NP防火墙产品的测试标准并没有推出，有关测试方法的Benchmark都还没有制定出来对复杂应用数据， NP的表现就不令人满意。例如分片数据包的重组和加密的处理。目前在网络数据厂商中，采用NP技术的数量非常有限。基于NP加速技术防火墙的特点第21页，共75页。CPU + 33M总线 + 10/100/1000M网络接口CPU + 133M总线 + 10/100/1000M网络接口CPU + ASIC + 133M总线 + 1

15、0/100/1000M网络接口CPU + NPU + 133M总线 + 10/100/1000M网络接口CPU + NPU + ASIC + 133M总线 + 10/100/1000M网络接口n个CPU + n个NPU + n个ASIC + n条总线 + n个10/100/1000网络接口 TopSEC 防火墙硬件结构种类中低端中高端电信级产品加密处理： 采用 ASIC 芯片内容过滤：采用通用 CPU 网络报文处理：采用 NPU第22页，共75页。 防火墙概述 防火墙分类 防火墙硬件技术 防火墙软件技术 防火墙分级 防火墙功能 防火墙性能 防火墙安全性 防火墙的“胖”与“瘦” 防火墙部署 防火

16、墙管理 防火墙可靠性 防火墙典型应用 防火墙技术发展展望 怎样选择防火墙提 纲 第23页，共75页。防火墙软件技术简单包过滤防火墙状态检测包过滤防火墙应用代理防火墙核检测防火墙第24页，共75页。应用层表示层会话层传输层网络层链路层物理层应用层表示层会话层传输层网络层链路层物理层网络层链路层物理层优点： 速度快，性能高 对应用程序透明缺点： 安全性低 不能根据状态信息进行控制 不能处理网络层以上的信息 伸缩性差 维护不直观简单包过滤技术介绍第25页，共75页。应用层TCP 层IP 层网络接口层TCP101010101IP101010101TCPTCP101010101IPETH10101010

17、1TCP101010101IP应用层TCP 层IP 层网络接口层TCP101010101IP101010101TCPTCP101010101IPETH101010101只检查报头101001001001010010000011100111101111011001001001010010000011100111101111011简单包过滤 防火墙的工作原理简单包过滤防火墙不检查数据区简单包过滤防火墙不建立连接状态表前后报文无关应用层控制很弱第26页，共75页。应用层表示层会话层传输层网络层链路层物理层应用层表示层会话层传输层网络层链路层物理层状态检测技术介绍应用层表示层会话层传输层网络层链路层物

18、理层安全性高能够检测所有进入防火墙网关的数据包根据通信和应用程序状态确定是否允许包的通行性能高在数据包进入防火墙时就进行识别和判断伸缩性好可以识别不同的数据包已经支持160多种应用，包括Internet应用、数据库应用、多媒体应用等用户可方便添加新应用对用户、应用程序透明抽取各层的状态信息建立动态状态表第27页，共75页。应用层TCP 层IP 层网络接口层TCP101010101IP101010101TCPTCP101010101IPETH101010101TCP101010101IP应用层TCP 层IP 层网络接口层TCP101010101IP101010101TCPTCP101010101

19、IPETH101010101只检查报头101001001001010010000011100111101111011001001001010010000011100111101111011状态检测包过滤 防火墙的工作原理不检查数据区建立连接状态表前后报文相关应用层控制很弱建立连接状态表第28页，共75页。应用层表示层会话层传输层网络层链路层物理层应用层表示层会话层传输层网络层链路层物理层应用代理技术介绍应用层表示层会话层传输层网络层链路层物理层优点： 安全性高 提供应用层的安全缺点： 性能差 伸缩性差 只支持有限的应用 不透明FTPHTTPSMTP第29页，共75页。应用层TCP 层IP 层网

20、络接口层TCP101010101IP101010101TCPTCP101010101IPETH101010101TCP101010101IP应用层TCP 层IP 层网络接口层TCP101010101IP101010101TCPTCP101010101IPETH101010101只检查数据101001001001010010000011100111101111011001001001010010000011100111101111011应用代理 防火墙的工作原理不检查IP、TCP报头不建立连接状态表网络层保护比较弱第30页，共75页。 防火墙概述 防火墙分类 防火墙硬件技术 防火墙软件技术 防火

21、墙分级 防火墙功能 防火墙性能 防火墙安全性 防火墙的“胖”与“瘦” 防火墙部署 防火墙管理 防火墙可靠性 防火墙典型应用 防火墙技术发展展望 怎样选择防火墙提 纲 第31页，共75页。Host C Host D 访问控制功能Access list to Access nat to any pass Access to blockAccess default pass1010010101规则匹配成功 基于源IP地址 基于目的IP地址 基于源端口 基于目的端口 基于时间基于用户 基于流量 基于文件 基于网址 基于MAC地址第32页，共75页。Internet RADIUS服务器S/KEY 认证服

22、务器RADIUS服务器TACAS+ 服务器chenaifeng12354876防火墙将认证信息传给真正的RADIUS服务器将认证结果传给防火墙根据认证结果决定用户对资源的访问权限 身份认证功能第33页，共75页。审计功能-日志分析无日志通信日志：即传统日志通信源地址、目的地址、源目端口、通信时间、通信协议、字节数、是否允许通过应用层命令日志：在通信日志的基础之上，记录下各个应用层命令及其参数。例如HTTP请求及其要取的网页名。访问日志：即在通信日志的基础之上，记录下用户对网络资源的访问。它和应用层命令日志的区别是：应用层命令日志可以记录下大量的数据，有些用户可能不需要，如协商通信参数过程等。例

23、如针对FTP协议，访问日志只记录下读、写文件的动作 内容日志：即在应用层命令日志的基础之上，还记录下用户传输的内容。如用户发送的邮件，用户取下的网页等。但因为这个功能涉及到隐私问题，所以在普通的防火墙中没有包含 Firewall 5G 对所有的应用层协议都可以进行通信日志，而命令日志、访问日志、内容日志目前支持HTTP、FTP、SMTP、POP3、TELNET、RSH、RLOGIN等协议 日志分析工具自动产生各种报表，智能化的指出网络可能的安全漏洞第34页，共75页。Clint响应请求发送请求通信日志通信日志通信信息6970 初步审计-通信日志第35页，共75页。Clint响应请求发送请求命令

24、日志命令日志6970 深度审计1-应用层命令日志命令信息第36页，共75页。Clint响应请求发送请求访问日志访问日志6970深度审计2-访问日志访问信息第37页，共75页。Clint响应请求发送请求内容日志内容日志6970深度审计3-内容日志内容信息第38页，共75页。支持集中审计安全审计中心1010101Intranet 第39页，共75页。 灵活的带宽管理功能WWW MailDNS 出口带宽 512KDMZ 区保留 256K分配 70K 带宽分配 90K 带宽分配 96K 带宽DMZ 区域内部网络总带宽512 K内网256 KDMZ 256 K70 K90 K96 K+财务子网采购子网生

25、产子网财务子网采购子网生产子网Internet 第40页，共75页。WWW 1WWW 2WWW 3服务器负载均衡功能负载均衡算法：顺序选择地址+权值根据PING的时间间隔来选择地址+权值根据Connect的时间间隔来选择地址+权值根据Connect然后发送请求并得到应答的时间间隔来选择地址+权值根据负载均衡算法将数据重定位到一台WWW服务器服务器阵列响应请求第41页，共75页。受保护网络InternetIDS黑客发送通知报文验证报文并采取措施发送响应报文识别出攻击行为阻断连接或者报警等联动功能1- 与IDS 的安全联动能与国内30多家主流IDS产品进行无缝联动第42页，共75页。联动功能2-与

26、病毒网关的安全联动Internet110010101病毒服务器100010101000010101待发数据110010101100010101000010101110010101100010101000010101passpass无病毒转发最后一个报文，如带有病毒则丢弃最后一个报文协议还原 检查病毒没有发现病毒可以放过最后一个报文接收数据接收数据第43页，共75页。内部网络InternetURL 服务器可以访问 吗？Ok!联动功能3-与URL服务器的安全联动第44页，共75页。InternetHost A Host BHost CHost D00-50-04-BB-71-A600-50-04-

27、BB-71-BCBIND To 00-50-04-BB-71-A6BIND To 00-50-04-BB-71-BCIP与MAC地址绑定后，不允许Host B假冒Host A的IP地址上网防火墙允许Host A上网跨路由器IP与MAC（用户）绑定功能第45页，共75页。Internet 公开服务器可以使用私有地址 隐藏内部网络的结构WWW FTP MAIL DNS MAP ：80 TO ：80MAP ：21 TO ：21MAP ：53 TO ：53MAP ：25 TO ：25MAP (端口映射)功能第46页，共75页。Internet4Host A受保护网络Host C Host D 15防火

28、墙Eth2：3Eth0：数据IP报头数据IP报头源地址：1目地址：4源地址：目地址：4 隐藏了内部网络的结构 内部网络可以使用私有IP地址 公开地址不足的网络可以使用这种方式提供IP复用功能NAT (地址转换)功能第47页，共75页。Trunk 口Trunk 口VLAN 1VLAN 2支持VLAN的交换机Trunk 口Trunk 口VLAN 1VLAN 2Switch1Switch 2同一交换机的不同 VLAN 之间通讯不同交换机的同一 VLAN 之间通讯不支持TRUNK的防火墙无法在这种环境下工作不支持TRUNK的防火墙无法在这种环境下工作适应性1-VLAN应用环境天融信防火墙支持802.1

29、Q、ISL封装协议第48页，共75页。适应性2-DHCP应用环境InternetDHCP服务器Host AHost BHost CHost DHost EHost F没有固定IP地址只允许Host B上网设定Host B的MAC地址设定Host B的IP地址为空根据Host B的MAC地址进行访问控制天融信防火墙支持基于MAC地址的过滤，对于跨网段环境防火墙还提供一个自动运行的客户端来获取动态IP第49页，共75页。客户机建立连接并维持连接状态直到查询结束适应性3 - 数据库应用环境FR数据库查询一般需要比较长的时间，这些通讯连接建立成功后可能暂时没有数据通过（空连接），需要在防火墙里面维护这

30、个连接状态，直到查询结束，普通防火墙在连接建立一段时间后如果没有数据通讯会自动切断连接，导致业务不能正常运行需要较长的查询时间天融信防火墙支持普通连接、长连接等选择模式，可以灵活设置连接时间第50页，共75页。中国教育网InternetHost A：Host B：Host C：内网根据源、目地址来进行路由主机B直接连接Internet主机A通过教育网上Internet适应性4 - 源目路由环境第51页，共75页。NETBEUI协议OSPF协议RIP协议H.323协议INTERNET适应性4 - 复杂应用环境第52页，共75页。 防火墙概述 防火墙分类 防火墙硬件技术 防火墙软件技术 防火墙分级

31、 防火墙功能 防火墙性能 防火墙安全性 防火墙的“胖”与“瘦” 防火墙部署 防火墙管理 防火墙可靠性 防火墙典型应用 防火墙技术发展展望 怎样选择防火墙提 纲 第53页，共75页。防火墙的“胖”与“瘦” 由于防火墙在网络中所处的重要位置，因此，人们对防火墙可以说是寄予厚望。现在防火墙正在不断增加各种各样的新功能，因此防火墙正在急剧“长胖”。第54页，共75页。“胖”防火墙是指功能大而全的防火墙，它力图将安全功能尽可能多地包含在内，从而成为用户网络的一个安全平台；“瘦”防火墙是指功能少而精的防火墙，它只作访问控制的专职工作，对于综合安全解决方案，则采用多家安全厂商联盟的方式来实现。 “胖”、“瘦

32、”防火墙的定义访问控制病毒防护入侵检测交换路由内容过滤信息审计传输加密其他胖防火墙第55页，共75页。胖防火墙的优势首先是功能全其次是控制力度细第三是协作能力强降低采购和管理成本第56页，共75页。胖防火墙的不足主要表现在性能降低其次是自身安全性差还有专业性不强，表现为功能模块的拼凑第四是稳定性差，系统越大，BUG越多最后是配置复杂，不合理的配置会带来更大的安全隐患。 第57页，共75页。瘦防火墙的优势访问控制病毒防护入侵检测交换路由内容过滤信息审计传输加密其他瘦防火墙 性能高 注重核心功能，专业性强 整体安全性高 配置简单，简化对管理员的专业要求相互联动第58页，共75页。瘦防火墙的不足首先

33、是功能单一其次是整体防护能力较弱第59页，共75页。胖瘦防火墙之争一种观点认为，要采取分工协作，防火墙应该做得精瘦，只做防火墙的专职工作，可采取多家安全厂商联盟的方式来解决；另一种观点认为，把防火墙做得尽量的胖，把所有安全功能尽可能多地附加在防火墙上，成为一个集成化的网络安全平台。 第60页，共75页。用户的价值取向一 “胖”防火墙追求的是一站式服务，目前它只适应中小型企业，尤其是低端用户。他们出于经济上的考虑以及管理上的成本，更主要的是出于安全的实际需求，希望一个设备可以为这种小型网络实现整体安全防护，所以对这种大而全的“胖”东西非常感兴趣。 第61页，共75页。用户的价值取向二 大型用户倾

34、向使用独立安全设备，发挥每种产品最大效果。安全需求广泛，专业性要求强，安全投入较大，自身安全管理能力较高。针对这类用户，为了要满足多种安全需求，在设计安全解决方案时，通常会考虑以安全管理为核心，以多种安全产品的联动为基础，如防火墙与IDS和防病毒全面互动形成动态防御体系。第62页，共75页。防火墙：胖瘦总相宜 随着安全需求的细化、硬件计算能力的增加，胖防火墙和瘦防火墙之间的界限也会逐步走向统一。一方面硬件处理能力的大幅度提高（ASIS芯片、NP等）使得防火墙可以集成更多的功能模块成为可能；另一方面安全标准技术的推进，使得不同安全产品之间的联动变得更加容易，这样推出功能更简单性能更高且支持标准联

35、动协议的专业防火墙更为适应市场的需要。以后更多的趋势是考虑现有成熟安全产品之间如何通过标准的协议和接口进行更好的互动，从而构建一个相当于“胖防火墙”作用的整体防御体系，这个体系将更加灵活、方便、易于构建，而且会具有更大的可扩展性。第63页，共75页。构建联动一体的安全体系 无论是“胖”防火墙的集成，还是“瘦”防火墙的联动，安全产品正在朝着体系化的结构发展，所谓“胖瘦”不过是这种体系结构的两种表现方式，“胖”将这种体系表现在一个产品中，而“瘦”将这种体系表现在一组产品或是说一个方案中。同时，这种体系化的结构需要完善的安全管理，也就是说，通过安全管理中心产品，整合系列安全产品，构架成联动一体的产品体系，实现对用户、资源和策略的统一管理，确保整体解决方案的安全一致性，是构建网络安全系统的大趋势。 第64页，共75页。 防火墙概述 防火墙分类 防火墙硬件技术 防火墙软件技术 防火墙分级 防火墙功能 防火墙性能 防火墙安全性 防火墙的“胖”与“瘦” 防火墙部署 防火墙管理 防火墙可靠性 防火墙典型应用 防火墙技术发展展望 怎样选择防火墙提 纲 第65页，共7