防火墙技术与应用

1、防火墙技术与应用 为什么需要防火墙 防火墙基本概念 防火墙软硬件技术 防火墙设计结构 防火墙的功能 防火墙的性能标准 防火墙的接入方式 防火墙的典型应用 防火墙局限性协议 OSI七层协议数据链路层会话层传输层网络层应用层表示层物理层承上启下的作用协议TCP/IP四层协议传输层网络层应用层物理层TCP/IP 服务常见的服务FTP - File Transfer Protocol,用于文件传输。SMTP - Simple Mail Transfer Protocol, 用于发送、接收电子邮件。TELNET - 可以远程登陆到网络的每个主机上,直接使用他的资源DNS - Domain Name Se

2、rvice, 被 TELNET、FTP、WWW及其它服务所用，可以把主机名字转换为 IP 地址。WWW - World Wide Web, 是 FTP、 gopher、WAIS及其它信息服务的结合体,使用超文本传输协议 ( )。RPC -远程过程调用服务。如 NFS - Network File System, 可允许系统共享目录与磁盘。NIS - Network Information Services, 网络信息服务容许多个系统共享数据库,如 password file容许集中管理。 X Window System ：一个图形化的窗口系统。 TCP与UDP端口一个TCP或UDP连接由下述要

3、素唯一确定：源IP地址、目的地IP地址、源端口、目的地端口。TCP或UDP用协议端口标识通信进程，端口是一种抽象的软件结构（包括一些数据结构和I/O缓冲区）。应用程序（即进程）通过系统调用与某些端口建立连接后，传输层传给该端口的数据被相应进程所接收。接口又是进程访问传输服务的人口点。每个端口拥有一个叫端口号的16位整数标识符，用于区分不同端口。TCP和UDP软件分别可以提供65536个不同的端口。端口有两部分，一部分是保留端口（端口号小于1024，对应于服务器进程），一部分是自由端口（以本地方式分配）。TCP与UDP端口某些服务进程通常对应于特定的端口防火墙技术与应用 为什么需要防火墙 防火墙

4、基本概念 防火墙软硬件技术 防火墙设计结构 防火墙的功能 防火墙的性能标准 防火墙的接入方式 防火墙的典型应用 防火墙局限性网络安全现状来自黑客的攻击蠕虫病毒对网络的影响协议的漏洞 系统的漏洞网络管理困难2003被称为”蠕虫年” ，年初的SQL蠕虫年中的冲击波,年底的邮件型病毒 Sobig都对网络造成很大的影响。不正常的流量经常会导致网络瘫痪TCP/IP 协议MS Windows2000/XP不断发布的漏洞其他操作系统也不可避免的存在漏洞企业网络日益庞大，传统办法管理困难很容易出现问题来自黑客的攻击Database serverInternet发起攻击页面被篡改 Web server服务器宕机

5、蠕虫病毒对网络的影响Database serverInternet Web server外部病毒源网络阻塞蠕虫病毒对网络的影响Database serverInternet Web server外部病毒源网络正常运行网络管理困难Database serverInternet Web server外部资源内容控制流量控制访问日志防火墙技术与应用 为什么需要防火墙 防火墙基本概念 防火墙软硬件技术 防火墙设计结构 防火墙的功能 防火墙的性能标准 防火墙的接入方式 防火墙的典型应用 防火墙局限性防火墙基本概念ServerClient 防火墙是指设置在不同网络或网络安全域（公共网和企业内部网） 之间的

6、一系列部件的组合。 它是不同网络（安全域）之间的唯一出入口防火墙的分类按形态分类软件防火墙硬件防火墙防火墙的分类按保护对象分类单机防火墙网络防火墙InternetInternet保护整个网络防火墙的发展过程基于路由器的防火墙将过滤功能从路由器中独立出来，并加上审计和告警功能针对用户需求，提供模块化的软件包软件可通过网络发送，用户可根据需要构造防火墙与第一代防火墙相比，安全性提高了，价格降低了利用路由器本身对分组的解析,进行分组过滤过滤判断依据：地址、端口号、IP旗标及其它网络特征防火墙与路由器合为一体，只有过滤功能适用于对安全性要求不高的网络环境是批量上市的专用防火墙产品包括分组过滤或者借用路

7、由器的分组过滤功能装有专用的代理系统，监控所有协议的数据和指令保护用户编程空间和用户可配置内核参数的设置安全性和速度大为提高。防火墙厂商具有操作系统的源代码，并可实现安全内核去掉了不必要的系统特性，加固内核，强化安全保护在功能上包括了分组过滤、应用网关、电路级网关增加了许多附加功能：加密、鉴别、审计、NAT转换透明性好，易于使用基于安全操作系统的防火墙基于通用操作系统的防火墙防火墙工具套防火墙技术与应用 为什么需要防火墙 防火墙基本概念 防火墙软硬件技术 防火墙设计结构 防火墙的功能 防火墙的性能标准 防火墙的接入方式 防火墙的典型应用 防火墙局限性防火墙硬件技术Intel X86 工控机架构

8、ASIC硬件技术网络处理器(NP)架构多核处理器架构防火墙硬件技术Intel X86 工控机架构Intel X86架构的防火墙以其高灵活性和扩展性一直受到国内、国外众多防火墙厂商的青睐X86 CPU由于考虑了各种应用的需要，具有一般化的通用体系结构和指令集，容易支持复杂的运算并容易开发新的功能随着Intel X86 架构的性能不断提升，基于Intel X86架构的防火墙已能满足大多数网络对带宽的需求防火墙硬件技术ASIC硬件技术ASIC：Application Specific Integrated Circuit 特定用途集成电路ASIC专用硬件加速技术主要是部分国外厂商的防火墙产品采用 如

9、NetScreen 作为硬件集成电路，它把指令或计算逻辑固化到硬件中，获得高处理性能ASIC最大的缺点是缺乏灵活性。指令或计算逻辑固化到硬件中，就很难修改升级、增加新的功能；而且，ASIC的设计和制造周期长，很难根据万变的网络新应用进行调整防火墙硬件技术网络处理器(NP)技术 什么是NP技术？ NP的理论优点 乐观者如是认为 NP技术发展现实什么是NP技术？网络处理器(Network Processor,简称NP) 顾名思义即专为网络数据处理而设计的芯片或芯片组能够直接完成网络数据处理的一般任务，如TCP/IP数据的校验和计算、包分类、路由查找等；同时，硬件体系结构的设计也弥补了传统IA体系的

10、不足，他们大多采用高速的接口技术和总线规范，具有较高的I/O能力基于网络处理器的网络设备的包处理能力得到了很大提升，很多需要高性能的领域，如千兆交换机、路由器、防火墙的设计都可以采用NP来实现NP的理论优点NP技术可以很好的解决硬件加速和软件可扩展的折忠问题： 一方面，网络处理器独立于CPU之外，是专门为进行网络分组处理而开发的，具有优化的体系结构和指令集，因此它比CPU有着更高的处理性能，能够满足网络高速发展的需求 另一方面，它具有的专门的指令集和配套的软件开发系统，具有很强的编程能力，能够很方便的开发各种应用，支持可扩展的服务，从而能够很好的满足网络业务多样化的发展趋势，比ASIC更灵活的

11、应对日益更新的网络需求乐观者如是认为 网络处理器以其杰出的包处理性能及可编程性成为构筑网络转发引擎不可替代的核心，它将成为新一代网络设备的核心处理器，是未来网络设备的发展趋势 它被认为是推动下一代网络发展的一项核心技术，并开始原来越多的受到业界的关注 国内外许多公司和大学纷纷投入力量展开了对网络处理器的相关研究，并对将其用于中高端网络设备的研究与开发之中NP技术发展现实 NP产品远未成熟 NP不少，产品接口却不统一，无法完成无缝的整合 NPU论坛（网络处理器论坛NPF）正在推动相关标准的 制定但还很不完善 NP防火墙的测试标准并没有推出，有关测试方法的Benchmark都还没有制定出来 对复杂

12、应用数据，NP的表现就不令人满意，例如分片数据包的重据和加密的处理 目前在网络数据厂商中，采用NP技术的数量非常有限多核处理器 多核处理器多核处理器是指在一枚处理器中集成两个或多个完整的计算引擎(内核)。多核芯片，使之满足“横向扩展”（而非“纵向扩充”）方法，从而提高性能。该架构实现了“分治法”战略。通过划分任务，线程应用能够充分利用多个执行内核，并可在特定的时间内执行更多任务。多核技术的瓶颈可编程性是多核处理器面临的最大问题。一旦核心多过八个，就需要执行程序能够并行处理。尽管在并行计算上，人类已经探索了超过40年，但编写、调试、优化并行处理程序的能力还非常弱。 一味增加并行的处理单元是行不通

13、的。并行计算机的发展历史表明，并行粒度超过100以后，程序就很难写，能做到128个以上的应用程序很少。CPU到了100个核以上后，现在并行计算机系统遇到的问题，在CPU一样会存在。英特尔虽然已向外界展示了80核处理器原型，但尴尬的是，目前还没有能够利用这一处理器的操作系统。防火墙软件技术简单包过滤防火墙状态检测包过滤防火墙新兴过滤技术防火墙应用代理防火墙简单包过滤防火墙应用层TCP 层IP 层网络接口层TCP开始攻击IP开始攻击TCPTCP开始攻击IPETH开始攻击TCP开始攻击IP应用层TCP 层IP 层网络接口层TCP开始攻击IP开始攻击TCPTCP开始攻击IPETH开始攻击只检查报头简单

14、包过滤防火墙不检查数据区简单包过滤防火墙不建立连接状态表前后报文无关应用层控制很弱状态检测包过滤防火墙应用层TCP 层IP 层网络接口层TCP开始攻击IP开始攻击TCPTCP开始攻击IPETH开始攻击TCP开始攻击IP应用层TCP 层IP 层网络接口层TCP开始攻击IP开始攻击TCPTCP开始攻击IPETH开始攻击只检查报头不检查数据区建立连接状态表前后报文相关应用层控制很弱建立连接状态表应用代理防火墙应用层TCP 层IP 层网络接口层TCP开始攻击IP开始攻击TCPTCP开始攻击IPETH开始攻击TCP开始攻击IP应用层TCP 层IP 层网络接口层TCP开始攻击IP开始攻击TCPTCP开始攻

15、击IPETH开始攻击只检查数据不检查IP、TCP报头不建立连接状态表网络层保护比较弱新兴的检测技术 核检测应用层TCP 层IP 层网络接口层TCP开始攻击IP开始攻击TCPTCP开始攻击IPETH开始攻击应用层TCP 层IP 层网络接口层TCP开始攻击IP开始攻击TCPTCP开始攻击IPETH开始攻击TCP开始攻击IP检查多个报文组成的会话建立连接状态表TCP主服务器IPTCP硬盘数据IP开始攻击重写会话主服务器硬盘数据报文1报文2报文3防火墙技术与应用 为什么需要防火墙 防火墙基本概念 防火墙软硬件技术 防火墙设计结构 防火墙的功能 防火墙的性能标准 防火墙的接入方式 防火墙的典型应用 防火

16、墙局限性防火墙的设计结构防火墙技术与应用 为什么需要防火墙 防火墙基本概念 防火墙软硬件技术 防火墙设计结构 防火墙的功能 防火墙的性能标准 防火墙的接入方式 防火墙的典型应用 防火墙局限性防火墙的功能 从总体上看，防火墙应具有以下五大基本功能：过滤进、出网络的数据；管理进、出网络的访问行为；封堵某些禁止的业务；记录通过防火墙的信息内容和活动；对网络攻击的检测和告警。基本的访问控制Access nat to any pass Access to blockAccess default pass规则匹配成功Database server 基于源IP地址 基于目的IP地址 基于源端口 基于目的端口

17、 基于时间 基于流量 基于文件 基于网址 基于MAC地址 基于用户 Web server审计和报警机制 在防火墙结合网络配置和安全策略对网络数据分析完成后，就要作出接受、丢弃、拒绝等动作；并通过审计功能做日志记录 通过日志的记录，我们可以找出网络中存在的问题审计功能Clint响应请求发送请求通信日志通信日志审计功能Clint响应请求发送请求命令日志命令日志命令信息路由功能中国教育网Internet内网主机B直接连接Internet主机A通过教育网上Internet地址转换功能 NATInternetHost A受保护网络Host C Host D 防火墙数据IP报头数据IP报头端口映射 PAT

18、 Internet 公开服务器可以使用私有地址 隐藏内部网络的结构WWW FTP MAIL DNS MAP ：80 TO ：80MAP ：21 TO ：21MAP ：53 TO ：53MAP ：25 TO ：25IP和MAC的绑定InternetHost A Host BHost CHost DBIND To 00-50-04-BB-71-A6BIND To 00-50-04-BB-71-BCIP与MAC地址绑定后，不允许Host B假冒Host A的IP地址上网防火墙允许Host A上网 时间策略Host C Host D 在防火墙上制定基于时间的访问控制策略上班时间不允许访问Interne

19、t上班时间可以访问公司的网络Internet1.在访问策略中配置某条规则起 作用的时间2.假如配置了时间策略，防火墙 在规则匹配时将跳过那些当前 时间不在策略时间段内的规则防火墙与入侵检测联动Host C Host D Host B Host A 受保护网络InternetIDS黑客发起攻击发送通知报文验证报文并采取措施发送响应报文识别出攻击行为阻断连接或者报警等防火墙与防病毒服务器的联动Internet110010101病毒服务器100010101000010101待发数据110010101100010101000010101110010101100010101000010101passpa

20、ss无病毒转发最后一个报文，如带有病毒则丢弃最后一个报文协议还原 检查病毒没有发现病毒可以放过最后一个报文接收数据接收数据防火墙技术与应用 为什么需要防火墙 防火墙基本概念 防火墙软硬件技术 防火墙设计结构 防火墙的功能 防火墙的性能标准 防火墙的接入方式 防火墙的典型应用 防火墙局限性衡量防火墙性能的5大指标吞吐量：该指标直接影响网络的性能，吞吐量时延：入口处输入帧最后1个比特到达至出口处输出帧的第1个比特输出所用的时间间隔丢包率：在稳态负载下，应由网络设备传输，但由于资源缺乏而被丢弃的帧的百分比背靠背：从空闲状态开始，以达到传输介质最小合法间隔极限的传输速率发送相当数量的固定长度的帧，当出

21、现第一个帧丢失时，发送的帧数并发连结数：并发连接数是指穿越防火墙的主机之间或主机与防火墙之间能同时建立的最大连接数 吞吐率定义：在不丢包的情况下能够达到的最大速率衡量标准：吞吐量作为衡量防 火墙性能的重要指标之一,吞吐量小就会造成网络新的瓶颈，以至影响到整个网络的性能 ;%#*$&*&#*(&Smartbits 6000B 测试仪以最大速率发包防火墙吞吐量小就会成为网络的瓶颈100M60M时延数据包首先排队待防火墙检查后转发定义：入口处输入帧最后1个比特到达至出口处输出帧的第一个比特输出所用的时间间隔衡量标准：防火墙的时延能够体现它处理数据的速度 Smartbits 6000B 测试仪最后1个

22、比特到达第一个比特输出时间间隔造成数据包延迟到达目标地丢包率定义：在连续负载的情况下，防火墙设备由于资源不足应转发但却未转发的帧百分比 衡量标准：防火墙的丢包率对其稳定性、可靠性有很大的影响 Smartbits 6000B 测试仪发送了1000个包防火墙由于资源不足只转发了800个包丢包率=（1000-800）/1000=20%背靠背定义：从空闲状态开始，以达到传输介质最小合法间隔极限的传输速率发送相当数量的固定长度的帧，当出现第一个帧丢失时，发送的帧数。衡量标准：背对背包的测试结果能体现出被测防火墙的缓冲容量 ,网络上经常有一些应用会产生大量的突发数据包（例如：NFS,备份，路由更新等），而

23、且这样的数据包的丢失可能会产生更多的数据包，强大缓冲能力可以减小这种突发对网络造成的影响Smartbits 6000B 测试仪时间（t）包数量（n）少量包包增多峰值包减少没有数据背靠背指标体现防火墙对突发数据的处理能力并发连接数定义：指穿越防火墙的主机之间或主机与防火墙之间能同时建立的最大连接数 。衡量标准：并发连接数的测试主要用来测试被测防火墙建立和维持TCP连接的性能，同时也能通过并发连 接数的大小体现被测防火墙对来自于客户端的TCP连接请求的响应能力 并发连接数指标可以用来衡量穿越防火墙的主机之间能同时建立的最大连接数并发连接并发连接防火墙技术与应用 为什么需要防火墙 防火墙基本概念 防

24、火墙软硬件技术 防火墙设计结构 防火墙的功能 防火墙的性能标准 防火墙的接入方式 防火墙的典型应用 防火墙局限性NO.1 透明接入受保护网络Internet如果防火墙支持透明模式，则内部网络主机的配置不用调整Host A Host CHost DHost B同一网段透明模式下，这里不用配置IP地址透明模式下，这里不用配置IP地址防火墙相当于网桥，原网络结构没有改变NO.2 路由接入受保护网络InternetHost A Host CHost DHost B防火墙相当于一个简单的路由器提供简单的路由功能NO.3 混合接入路由路由透明DMZ 区的概念Demilitarized Zone 非军事化区域非安全区域DMZ安全区硬件网络防火墙形态Console口内网外网DMZ防火墙技术与应用 为什么需要防火墙 防火墙基本概念 防火墙软硬件技术 防火墙设计结构 防火墙的功能 防火墙的性能 防火墙的接入方式 防火墙的典型应用 防火墙局限性案例 1Inter