网络技术培训系列课程：安全技术-防火墙技术理论

防火墙技术理论

防火墙技术理论学习目标掌握防火墙技术原理掌握防火墙对ALG的处理方式了解防火墙硬件架构分类掌握锐捷防火墙产品分类及特点2课程内容第一章防火墙技术原理第二章防火墙硬件架构第三章锐捷防火墙产品3什么是防火墙防火墙概述所谓防火墙指的是一个由软件和硬件组合而成安全设备应用场景内部网和外部网之间专用网与公共网之间

4internetintranetServer根据访问控制规则决定网络进出行为根据访问控制规则决定网络进出行为简单包过滤技术简介概述类似交换机、路由ACL实现原理检查IP、TCP、UDP信息5http:80允许访问简单包过滤技术优缺点优点速度快，性能高，可以用硬件实现实现原理检查IP、TCP、UDP信息缺点不能根据状态信息进行控制前后报文无关不能处理网络层以上的信息状态检测技术简介概述根据通信和应用程序状态确定是否允许包的通行用于识别或者控制数据流是返回的数据流还是首发的数据流在数据包进入防火墙时就根据状态表进行识别和判断，无需重复查找规则7状态检测技术原理原理示意图安全规则表状态表（五元组及扩展字段）8http:80规则表：permitany80http状态表：permit1234580httppermit8012345http状态检测技术原理（续）原理流程图优点更加安全缺点状态表庞大不能检测应用层协议内容，如URL过滤9状态表规则表数据流转发规则NY状态检测技术存在的问题问题FTP协议（被动模式）10ftp:21规则表：permitany21ftp状态表：permit1234521ftp?状态检测技术的改进ALG一个应用由多个通道组成（控制面、数据面）管理通道或者其他通道由内嵌式IP地址或者端口号例：FTP、H.323、SIP、PPTP等FTP解析（passivemode）识别FTP协议读取协议字段11应用代理防火墙简介概述用户数据先到达代理服务器，再由代理服务器进行目标地址访问分类非透明代理透明代理12应用代理防火墙原理原理13http:800应用代理防火墙优缺点优点用户数据不与访问目标直接通讯，增强了访问安全性缺点支持的协议比较少HTTPFTPSMTP/POP3TELNET主要是明文协议并且基本是比较老的协议不支持BT这些应用程序14防火墙技术总结15项目优点缺点简单包过滤速度快，性能高不能基于状态的检测，对网络层以上的信息不能处理，不能识别动态协议状态检测根据状态信息过滤数据包，不用重复的ACL查找（类似一次路由，多次交换），对动态协议支持比较好。不检查数据部分，应用层控制比较弱应用代理在应用层识别数据，更加安全处理速度慢，协议支持少课程内容第一章防火墙技术原理第二章防火墙硬件架构第三章锐捷防火墙产品16防火墙硬件架构硬件架构分类X86RISC

混合其他安全设备硬件架构UTMAVIDS/IPS17x86硬件架构18X86通用PC，又称工控机。X86构架优点

X86平台防火墙具有比较成熟可靠的技术，功能的实现方法灵活多样，具有较多的功能。X86构架缺点系统控制和数据转发都使用相同的CPU资源，CPU成为系统瓶颈。X86构架的应用防火墙，UTM，IDS，AV，VPN等X86构架的防火墙锐捷RG-WALL120/160/160A/1600/1600A、国内大部分防火墙、PIX/ASA、juniper中低端防火墙、阿姆瑞特防火墙等RISC硬件架构NPIXP—IXP425,IXP2400Hifn-5NP4G（即IBM的4GS3）RMI最高款是一个8核的，每个核1.2Ghz，总的处理能力也是9.6GhzCAVIUM最高款是一个16核的，每个核600Mhz，总的处理能力是9.6Ghz19混合平台X86+ASICRG-WALL2000X86+FPGA天融信-猎豹20ASIC硬件构架21ASIC使用ASIC来完成防火墙的功能，即将大部分或全部的防火墙功能都固化到ASIC芯片中，由ASIC芯片完成主要的防火墙功能。ASIC构架优点具有较高处理速度和吞吐量，系统运行效率高，功耗相对较低。ASIC构架缺点ASIC架构的防火墙功能相对固定可升级空间小，此外防火墙功能多样灵活，需要处理的数据含盖第二到第七层，许多功能难以用硬件实现。另外ASIC设计和生产费用庞大、周期长ASIC构架的应用高速度交换机，路由器，防火墙等ASIC构架的防火墙锐捷RG-WALL2000、juniper5400等高端防火墙课程内容第一章防火墙技术原理第二章防火墙硬件架构第三章锐捷防火墙产品22RG-WALL160系列防火墙Roadmap23Y：接口/参数4口8口RG-WALL160E并发1000用户RG-WALL160M并发500用户X：性能/规模RG-WALL60并发50用户RG-WALL160T并发750个用户RG-WALL60RG-WALL160MRG-WALL160TRG-WALL160ERG-WALL160系列防火墙参数24技术参数参数描述产品型号RG-WALL160ERG-WALL160TRG-WALL160MRG-WALL60物理特性

容错/电源备份100-240V/50-60Hz100-240V/50-60Hz100-240V/50-60Hz100-240V/50-60Hz电源双电源单电源单电源单电源系统性能

产品架构x86x86x86NP接口4个GE口+1个FE口4个GE口+2个SFP口+1个FE口固化4个GE口+1个FE口固化7个FE口扩展插槽提供1个模块化插槽，支持4GE/4SFP/2GE/2SFP扩展无提供1个模块化插槽，支持4GE/4SFP/2GE/2SFP扩展无安全策略数65535655356553510000VLAN数量4096409640964096吞吐性能400-600Mbps300-400Mbps200-300Mbps60Mbps以下RG-WALL1600系列防火墙Roadmap25Y：固化接口8口RG-WALL2000并发10000用户RG-WALL1600T/M并发4000用户X：性能/规模RG-WALL1600S并发2000用户RG-WALL1800/1600E并发6000个用户RG-WALL2000RG-WALL1600MRG-WALL1600T4口12口RG-WALL1600ERG-WALL1800RG-WALL1600SRG-WALL1600系列防火墙参数26技术参数参数描述产品型号RG-WALL1600SRG-WALL1600MRG-WALL1600T物理特性

容错/电源备份100-240V/50-60Hz100-240V/50-60Hz100-240V/50-60Hz电源双电源双电源双电源系统性能

产品架构x86多核x86多核x86多核接口固化6GE接口＋2SFP接光口固化6GE电口+2个SPF光口固化6GE电口+6个SPF光口扩展插槽2个扩展插槽，支持8GE/SFP、4GE/SFP扩展2个扩展插槽，支持8GE/SFP、4GE/SFP扩展2个扩展插槽，支持8GE/SFP、4GE/SFP扩展安全策略数655356553565535VLAN数量409640964096吞叶性能600-800Mbps800-1000Mbos800-1000MbpsRG-WALL1600系列防火墙参数（续）27技术参数参数描述产品型号RG-WALL1600ERG-WALL1800RG-WALL2000物理特性

容错/电源备份100-240V/50-60Hz100-240V/50-60Hz100-240V/50-60Hz电源双电源双电源双电源系统性能

产品架构x86多核x86多核ASIC+x86接口全模块化4个GE口+4个SFP口4个10/100/1000BaseT+4个SFP口+2个百兆管理口扩展插槽3个扩展插槽，支持8GE/