防火墙基本技术和原理课件

防火墙基本技术和原理严峻的网络安全形势，促进了防火墙技术的不断发展。防火墙是一种综合性的科学技术，涉及网络通信、数据加密、安全决策、信息安全、硬件研制、软件开发等综合性课题。防火墙基本技术和原理严峻的网络安全形势，促进了防火防火墙的分类按形态分类软件防火墙硬件防火墙保护整个网络按保护对象分类网络防火墙保护单台主机单机防火墙防火墙简介防火墙的分类按形态分类软件防火墙硬件防火墙保护整个网络按保护单机防火墙&网络防火墙1、保护单台主机2、安全策略分散3、安全功能简单4、普通用户维护5、安全隐患较大6、策略设置灵活单机防火墙网络防火墙1、保护整个网络2、安全策略集中3、安全功能复杂多样4、专业管理员维护5、安全隐患小6、策略设置复杂单机防火墙网络防火墙产品形态软件硬件安装点每台独立的Host网络边界处安全策略分散在各个安全点对整个网络有效保护范围单台主机一个网段管理方式分散管理集中管理功能功能单一功能复杂、多样管理人员普通计算机用户专业网管人员安全措施单点安全措施全局安全措施结论单机防火墙是网络防火墙的有益补充，但不能代替网络防火墙为内部网络提供强大的保护功能防火墙简介单机防火墙&网络防火墙1、保护单台主机单机防火墙网络防火墙1软件防火墙&硬件防火墙硬件防火墙1、硬件+软件，不用准备额外的OS平台2、安全性完全取决于专用的OS3、网络适应性强(支持多种接入模式)4、稳定性较高5、升级、更新不太灵活1、仅获得Firewall软件，需要额外的OS平台2、安全性依赖低层的OS3、网络适应性弱4、稳定性高5、软件分发、升级比较方便操作系统平台安全性性能稳定性网络适应性分发升级成本硬件防火墙基于精简专用OS高高较高强不易较容易Firewall+Server软件防火墙基于庞大通用OS较高较高高较强非常容易容易Firewall软件防火墙防火墙简介软件防火墙&硬件防火墙硬件防火墙1、硬件+软件，不用准备额外防火墙的概念

防火墙是设置在被保护网络和外部网络之间的一道屏障，实现网络的安全保护，以防止发生不可预测的、潜在破坏性的侵入。防火墙本身具有较强的抗攻击能力，它是提供信息安全服务、实现网络和信息安全的基础设施。防火墙是置于不同网络安全域之间的高级访问控制设备，是不同网络安全域间通信流的唯一通道，能根据企业有关的安全政策控制(允许、拒绝、监视、记录)进出网络的访问行为。防火墙简介防火墙的概念防火墙是设置在被保护网络和外部网络之间防火墙的功能特点1、限制人们从一个特别的控制点进入；2、防止入侵者接近你的其它防御设施；3、限定人们从一个特别的点离开；4、有效地阻止破坏者对你的计算机系统进行破坏。

禁止访问禁止访问防火墙简介防火墙的功能特点1、限制人们从一个特别的控制点进入；禁止访防火墙的硬件技术1、基于Intelx86系列架构的产品，又被称为工控机防火墙2、基于专用集成电路（ASIC）技术的防火墙3、基于网络处理器（NP）技术的防火墙

防火墙简介防火墙的硬件技术1、基于Intelx86系列架构的产品，又基于Intelx86系列架构的防火墙优点：﹡

高灵活性、高扩展性、系统升级容易

﹡

考虑了各种应用的需要，具有一般化的通用体系结构和指令集，容易支持复杂的运算并容易开发新的功能

﹡

随着CPU性能的快速提高，防火墙的处理速度和能力将会大幅度提高，能很好的适应多接口百兆，千兆防火墙的计算要求基于PC架构，运行经过简化的Unix、Linux或FreeBSD，适用于低端市场缺点：﹡性能较差，对数据包的转发性弱

﹡国内厂商并不能完全掌握x86架构的核心技术，BIOS或操作系统可能存在隐藏的漏洞，影响防火墙的安全可靠性

﹡抗攻击能力较差防火墙简介基于Intelx86系列架构的防火墙优点：﹡高灵活性、高基于Intelx86系列架构的防火墙SOHO防火墙普通百兆防火墙高端百兆防火墙千兆防火墙防火墙简介基于Intelx86系列架构的防火墙SOHO防火墙普通百兆基于专用集成电路（ASIC）技术的防火墙ASIC作为硬件集成电路，它把指令或计算逻辑固化到硬件中，获得高处理能力，提升防火墙性能。主要应用在国外厂商的产品中，如NetScreen。是公认的使防火墙达到线速千兆的技术方案。优点：﹡性能上占有很大优势

﹡抗攻击能力强

﹡技术成熟、稳定缺点：﹡很难修改升级、增加新功能或提高性能

﹡设计和制造周期长、研发费用高，难以满足用户需求的不断变化防火墙简介基于专用集成电路（ASIC）技术的防火墙ASIC作为硬件集基于ASIC架构的防火墙防火墙简介FortiGateNetscreenwatchguardFirebox首信基于ASIC架构的防火墙防火墙简介FortiGateNets基于网络处理器（NP）技术的防火墙NP（网络处理器）是专门为处理数据包而设计的可编程处理器，它具有完全的可编程性、简单的编程模式、最大化系统灵活性、高处理能力、高度功能集成、开放的编程接口以及第三方支持能力优点：﹡能够直接完成网络数据处理的一般性任务，大多采用高速的接口技术和总路线规范，具有较高的I/O能力，性能上与x86架构防火墙比有很大提高

﹡支持编程，一旦有新的技术或需求出现，设计师可方便地通过微码编程实现缺点：﹡技术方面还不成熟

﹡各厂商NP产品的接口不统一，无法完成无缝的整合

﹡对复杂应用数据，如分片数据包的重组和加密处理，表现较差

﹡NP防火墙的测试标准还没有推出

﹡防火墙的稳定性和高性能还需检验防火墙简介基于网络处理器（NP）技术的防火墙NP（网络处理器）是专门为基于NP架构的防火墙防火墙简介东软NetEyeNP墙中科网威NP墙联想NP墙联想网御基于多NP技术万兆级防火墙基于NP架构的防火墙防火墙简介东软NetEyeNP墙中科网防火墙的类型1、简单包过滤防火墙2、状态检测包过滤防火墙3、应用代理防火墙防火墙简介防火墙的类型1、简单包过滤防火墙防火墙简介简单包过滤防火墙优点：1、速度快、性能高2、对应用程序透明防火墙简介缺点：1、安全性低2、不能根据状态信息进行控制3、不能处理网络层以上的信息4、伸缩性差5、维护不直观应用层表达层会话层传输层网络层链路层物理层网络层链路层物理层应用层表达层会话层传输层网络层链路层物理层简单包过滤防火墙优点：防火墙简介缺点：应用层表达层会话层传输简单包过滤防火墙的工作原理防火墙简介应用层TCP层IP层网络接口层网络接口层IP层TCP层应用层101111111000101101001010001110010111111100010110100101000111001101001011010010TCP11010010IPTCP11010010TCPIPETH11010010IPTCP11010010TCPIPETH11010010IPTCP11010010TCP11010010只检查报头1、简单包过滤防火墙不检查数据区2、简单包过滤防火墙不建立连接状态表3、前后报文无关4、应用层控制很弱简单包过滤防火墙的工作原理防火墙简介应用层TCP层IP层网络状态检测包过滤防火墙1、安全性高能够检测所有进入防火墙网关的数据包根据通信和应用程序状态确定是否允许包的通过2、性能高在数据包进入防火墙时就进行识别和判断3、伸缩性好可以识别不同的数据包支持160多种应用，包括Internet应用、数据库应用、多媒体应用等用户可方便添加新应用4、对用户、应用程序透明防火墙简介应用层表达层会话层传输层网络层链路层物理层应用层表达层会话层传输层网络层链路层物理层应用层表达层会话层传输层网络层链路层物理层抽取各层的状态信息建立动态状态表状态检测包过滤防火墙1、安全性高防火墙简介应用层表达层会话层状态检测包过滤防火墙的工作原理防火墙简介应用层TCP层IP层网络接口层网络接口层IP层TCP层应用层101111111000101101001010001110010111111100010110100101000111001101001011010010TCP11010010IPTCP11010010TCPIPETH11010010IPTCP11010010TCPIPETH11010010IPTCP11010010TCP11010010只检查报头1、不检查数据区2、建立连接状态表3、前后报文相关4、应用层控制很弱建立连接状态表状态检测包过滤防火墙的工作原理防火墙简介应用层TCP层IP层应用代理防火墙优点：1、安全性高2、提供应用层的安全防火墙简介缺点：1、性能差2、伸缩性差3、只支持有限的应用4、不透明应用层表达层会话层传输层网络层链路层物理层应用层表达层会话层传输层网络层链路层物理层应用层表达层会话层传输层网络层链路层物理层●●HTTPFTPSMTP应用代理防火墙优点：防火墙简介缺点：应用层表达层会话层传输层应用代理防火墙的工作原理防火墙简介应用层TCP层IP层网络接口层网络接口层IP层TCP层应用层101111111000101101001010001110010111111100010110100101000111001101001011010010TCP11010010IPTCP11010010TCPIPETH11010010IPTCP11010010TCPIPETH11010010IPTCP11010010TCP11010010只检查数据1、不检查IP、TCP报头2、不建立连接状态表3、网络层保护较弱应用代理防火墙的工作原理防火墙简介应用层TCP层IP层网络接核检测防火墙的工作原理防火墙简介应用层TCP层IP层网络接口层网络接口层IP层TCP层应用层10111111100010110100101000111001011111110001011010010100011100开始攻击主服务器硬盘数据开始攻击TCP开始攻击IPTCP开始攻击TCPIPETH开始攻击IPTCP开始攻击TCPIPETH开始攻击IPTCP开始攻击TCP报文1主服务器IPTCP报文2硬盘数据IPTCP报文3重写会话开始攻击主服务器硬盘数据检查多个报文组成的会话建立连接状态表开始攻击主服务器硬盘数据1、网络层保护强2、应用层保护强3、会话保护强4、上下文相关5、前后报文有联系核检测防火墙的工作原理防火墙简介应用层TCP层IP层网络接口防火墙核心技术比较防火墙简介综合安全性网络层保护应用层保护应用层透明整体性能处理对象简单包过滤防火墙状态检测包过滤防火墙应用代理防火墙核检测防火墙★★★★★★★★★★★★★★★★★★★★★★★★★★★★★★★★★★★★★★★★★★★★★★★★★★★★★★★★★★★★★★★★★★★★★单个包报头单个包报头单个包数据一次会话防火墙核心技术比较防火墙简介综合安全性网络层保护应用层保护应防火墙的三种工作模式1、路由模式防火墙的工作模式2、透明模式3、混合模式防火墙的三种工作模式1、路由模式防火墙的工作模式2、透明模式路由模式防火墙的工作模式/24GW:54/24GW:545454路由模式下的防火墙有两个局限：1、工作于路由模式时，防火墙各网口所接的局域网必须是不同的网段，如处于同一网段，它们之间将无法进行通信。2、如果用户试图在一个已经形成了的网络里添加防火墙，而此防火墙又只能工作于路由方式，则与防火墙所接的主机（或路由器）的网关都要指向防火墙。如果用户的网络非常复杂时，设置时就会很麻烦。路由模式防火墙的工作模式/2410.1透明模式防火墙的工作模式/24GW:5454透明模式的特点：1、对用户是透明的，即用户意思不到防火墙的存在。2、防火墙没有IP地址，网络不需要重新设定。3、无法探测到防火墙的服务端口，也就无法对防火墙进行攻击，大大提高了防火墙的安全性与抗攻击性。

透明模式防火墙的工作模式/24192.混合模式防火墙的工作模式/24GW:/24GW:53防火墙/24GW:54混合模式是路由与透明相结合的模式，它同时具备路由与透明模式的优点，提高了防火墙在各种复杂环境下的适应性。混合模式防火墙的工作模式/24192.防火墙的功能访问控制透明代理身份认证URL过滤地址绑定正向及反向NAT流量控制入侵检测日志审计IDS、防病毒联动VLAN支持VPN功能双机热备防火墙的功能防火墙的功能访问控制防火墙的功能访问控制防火墙的功能11010110AccesslisttoAccessnattoanypassAccesstoblockAccessdefaultpass规则匹配成功1、基于源IP地址2、基于目的IP地址3、基于源端口4、基于目的端口5、基于时间6、基于用户7、基于流量8、基于文件9、基于网址10、基于MAC地址访问控制防火墙的功能11010110Accesslist透明代理防火墙的功能HTTP：AccessanytoSina返回给

的数据包发送请求Sina服务器响应请求5SMTP：转发域名为

转发到26SMTP：附件不能超过3.0M×禁止发送主要包括：HTTP代理、FTP代理、TELNET代理、SMTP代理POP3代理、SOCKS代理、自定义服务代理透明代理防火墙的功能.身份认证防火墙的功能administrator123456RADIUS服务器本地认证根据认证结果决定用户结资源的访问权限防火墙将认证信息传给RADIUS服务器将认证结果传回防火墙身份认证防火墙的功能administrator123456RURL过滤防火墙的功能URL服务器可以访问吗？OK1、URL过滤模块可同时为包过滤和透明代理服务提供URL过滤功能，支持对中文域名的过滤。2、可以根据不同时间段的实际要求设定不同的URL过滤规则集，实现时间控制。3、基于黑名单/白名单的安全过滤策略。当用户设置黑名单时，首先允许访问所有的URL，只对黑名单中定义的URL进行封杀；当用户设置白名单时，首先禁止访问所有的URL，然后只允许访问白名单中的URL。4、提供基于内容分类的URL过滤管理URL过滤防火墙的功能地址绑定防火墙的功能00-50-04-BB-71-A600-50-04-BB-71-BC00-50-04-BB-71-C4HOSTAHOSTBHOSTCHOSTAHOSTBHOSTCBINDTO00-50-04-BB-71-A6BINDTO00-50-04-BB-71-BCMAC地址与绑定的MAC地址不一致，丢弃该包1、自动学习2、防止IP盗用地址绑定防火墙的功能00-50-04-BB-71-A600-正向NAT转换防火墙的功能ETH2：5ETH0：IP报头数据IP报头数据源地址：目的地址：4源地址：目的地址：441、隐藏了内部网络的结构2、内部网络可以使用私有IP地址3、解决了公有IP地址不足的问题正向NAT转换防火墙的功能ETH2：E防火墙的功能反向NAT转换/24GW:5454www/24GW:54FTP/24GW:54MAIL/24GW:54DNS/24GW:54544MAP:80TO4:80MAP:21TO4:21MAP:25TO4:25MAP:53TO4:5341、公开服务器可以使用私有地址2、隐藏内部网络结构3、服务器负载均衡防火墙的功能反向NAT转换/2410.1流量控制防火墙的功能出口带宽512KwwwmailftpDMZ区分配给DMZ512K生产组分配生产组96K销售组财务组分配销售组70K分配财务组90K总带宽512KDMZ256K内网256K生产组96K销售组70K财务组90K流量控制防火墙的功能出口带宽512KwwwmailftpDM日志审记防火墙的功能日志服务器1、安全的传输机制：防火墙日志的发送采用TCP连接并对数据进行了加密处理，其完善的确认和校验机制，避免了日志的丢失和泄漏。2、集中的日志管理：日志服务器可以集中接收管理多台防火墙的日志。3、方便友好的日志查询：对日志进行组合查询，并提供对查询结果的编辑和打印。4、实时日志扫描：对包过滤日志准确有效的分析，检测出可能的网络攻击。5、控制台和邮件告警机制：及时地将入侵和系统告警显示或利用邮件发送给管理员。6、流量统计：统计流量，形成报表并可打印报表。日志审记防火墙的功能日志服务器1、安全的传输机制：防火墙日志入侵检测防火墙的功能DMZ黑客扫描攻击检测FTP攻击检测TELNET攻击检测DoS/DDoS攻击检测MS-SQL攻击检测检测到攻击×1、可检测多种黑客攻击手段和攻击行为2、除对内部网的保护外，还可保护DMZ区3、实时检测、报警、追踪4、攻击库可以升级黑客入侵检测防火墙的功能DMZ黑客扫描攻击检测FTP攻击检测TE与IDS联动防火墙的功能IDS识别出攻击行为发送通知报文验证报文并采取措施阻断连接或报警发送响应报文与IDS联动防火墙的功能IDS识别出发送通知报文验证报文阻断与防病毒网关联动防火墙的功能101011011101001110110110待发数据接收数据1010110110101101110100111101001110110110接收数据协议还原，检查病毒没有发现病毒放过最后一个报文PASSPASS无病毒则转发最后一个报文，有病毒就丢弃它10110110与防病毒网关联动防火墙的功能1010110111010011VLAN支持防火墙的功能支持VLAN的交换机VLAN1VLAN2Trunk口Trunk口同一交换机的不同VLAN间通讯防火墙要支持Trunk口Switch1Switch2VLAN1VLAN2Trunk口Trunk口不同交换机的同一VLAN间通讯防火墙要支持Trunk口VLAN支持防火墙的功能支持VLAN的交换机VLAN1VLAVPN功能防火墙的功能固定IP网关－－固定IP网关固定IP网关－－动态IP网关动态IP网关－－动态IP网关网关－－不经NAT客户端网关－－经NAT客户端VPN功能防火墙的功能固定IP网关－－固定IP网关双机热备防火墙的功能ActiveFirewallStandbyFirewallEth0Eth1Eth2Eth0Eth1Eth2心跳线当一台防火墙故障时，这台防火墙的连接不需要重新建立就可以透明的迁移到另一台防火墙上正常情况下由主防火墙工作检测ActiveFirewall的状态发现出故障，立即接管其工作主防火墙出故障以后，接管它的工作×双机热备防火墙的功能ActiveFirewallStand常见的防火墙性能指标1、最大位转发率2、吞吐量3、延迟4、丢包率5、背靠背6、最大并发连接数7、最大并发连接建立速率8、最大策略数9、平均无故障间隔时间10、支持的最大用户数防火墙的性能常见的防火墙性能指标1、最大位转发率防火墙的性能最大位转发率1、定义：防火墙的位转发率指在特定负载下每秒钟防火墙将允许的数据流转发至正确的目的接口的位数2、最大位转发率指在不同的负载下反复测量得出的位转发率数值中的最大值防火墙的性能最大位转发率1、定义：防火墙的位转发率指在特定负载下每秒钟防吞吐量1、定义：在不丢包的情况下能够达到的最大包转发率。2、衡量标准：吞吐量越大，说明防火墙数据处理能力越强；吞吐量小就会造成网络新的瓶颈，以至影响到整个网络的性能。3、吞吐量是防火墙在各种帧长的満负载（100M或1000M）双向UDP数据包情况下的稳定性表现，是其它指标的基础。4、以太网吞吐量最大理论值称为线速，即指网络设备有足够的能力以全速处理最小的数据封包转发。防火墙的性能吞吐量1、定义：在不丢包的情况下能够达到的最大包转发率。防火延迟1、定义：延迟通常是指从测试数据帧的最后一个比特进入被测设备端口开始，至测试数据包的第一个比特从被测设备另一端口离开的时间间隔。2、衡量标准：现在的网络应用种类非常复杂，许多应用对延迟非常敏感（如音频、视频等）而网络中加入防火墙必然会增加传输延迟，所以较低的延迟对防火墙来说也是不可或缺的。防火墙的性能延迟1、定义：延迟通常是指从测试数据帧的最后一个比特进入被测丢包率1、定义：在连续负载的情况下，防火墙设备由于资源不足应转发但是未转发的帧百分比。2、衡量标准：是用来确定防火墙在不同传输速率下丢失数据包的百分数，目的在于测试防火墙在超负载情况下的性能。3、较低的丢包率，意味着防火墙在强大的负载压力下，能够稳定地工作，以适应各种网络的复杂应用和较大数据流量对处理性能的高要求。防火墙的性能丢包率1、定义：在连续负载的情况下，防火墙设备由于资源不足应背靠背 1、定义：从空闲状态开始，以达到传输介质最小合法间隔极限的传输速率发送相当数量的固定长度的帧，当出现第一个帧丢失时，发送的帧数。即以最小帧间隔发送最多数据包而不引起丢包时的数据包数量。2、衡量标准：背对背包的测试结果能体现出被测防火墙的缓冲容量，网络上经常有一些应用会产生大量的突发数据包（例如：NFS、备份、路由更新等），而且这样的数据包的丢失可能会产生更多的数据包，强大缓冲能力可以减小这种突发对网络造成的影响防火墙的性能背靠背 1、定义：从空闲状态开始，以达到传输介质最小合法间隔最大并发连接数1、定义：指穿越防火墙的主机之间或主机与防火墙之间能同时建立的最大连接数。2、衡量标准：并发连接数的测试主要用来测试被测防火墙建立和维持TCP连接的性能，同时也能通过并发连接数的大小体现被测防火墙对来自于客户端的TCP连接请求的响应能力。3、最大并发连接数是防火墙能够同时处理的点对点会话连接的最大数目，它反映防火墙对多个连接的访问控制能力和连接状态跟踪能力。这个参数的大小可以直接影响到防火墙所能支持的最大信息点数防火墙的性能最大并发连接数1、定义：指穿越防火墙的主机之间或主机与防火墙最大并发连接建立数率1、定义：指穿越防火墙的主机之间或主机与防火墙之间单位时间内建立的最大连接数。2、衡量标准：最大并发连接数建立速率主要用来衡量防火墙单位时间内建立和维持TCP连接的能力。3、测试防火墙每秒所能建立起的TCP/HTTP连接数及防火墙所能保持的最大TCP/HTTP连接数防火墙的性能最大并发连接建立数率1、定义：指穿越防火墙的主机之间或主机与防火墙的“胖”与“瘦”访问控制病毒防护入侵检测交换路由信息审计内容过滤传输加密其他＋＝胖防火墙1、胖”防火墙是指功能大而全的防火墙，它力图将安全功能尽可能多地包含在内，从而成为用户网络的一个安全平台2、“瘦”防火墙是指功能少而精的防火墙，它只作访问控制的专职工作，对于综合安全解决方案，则采用多家安全厂商联盟的方式来实现。防火墙的“胖”与“瘦”访问控制病毒防护入侵检测交换路由信息审“胖”防火墙的优点与缺点优点：1、功能全2、控制力度细3、协作能力强4、降低采购和管理成本防火墙的“胖”与“瘦”缺点：1、性能低2、自身安全性差3、专业性不强4、稳定性差，系统越大BUG越多5、配置复杂，不合理的配置会带来更大的安全隐患“胖”防火墙的优点与缺点优点：防火墙的“胖”与“瘦”缺点：“瘦”防火墙的优点与缺点优点：1、性能高2、注重核心功能，专业性强3、整体安全性高4、配置简单，简化对管理员的专业要求防火墙的“胖”与“瘦”缺点：功能单一访问控制病毒防护入侵检测交换路由信息审计内容过滤传输加密其他＝瘦防火墙互相联动“瘦”防火墙的优点与缺点优点：防火墙的“胖”与“瘦”缺点：访用户的价值取向防火墙的“胖”与“瘦”“胖”防火墙追求的是一站式服务，适应中小型企业，尤其是低端用户。他们出于经济上的考虑以及管理上的成本，更主要是出于安全的实际需求，希望一个设备可以实现小型网络的整体安全防护。所以对功能全的“胖”防火墙感兴趣。大型用户倾向使用独立安全设备，发挥每种产品最大效果。安全需求广泛，专业性要求强，安全投入较大，自身安全管理能力较高。他们在设计安全解决方案时，通常会考虑以安全管理为核心，以多种安全产品的联动为基础，如防火墙与IDS和防病毒全面互动形成动态防御体系。用户的价值取向防火墙的“胖”与“瘦”“胖”防火墙追求的是防火墙：胖瘦总相宜防火墙的“胖”与“瘦”1、“胖、瘦”防火墙没有好坏之分，只有需求上的差别。2、随着安全需求的细化、硬件计算能力的增加，胖防火墙和瘦防火墙之间的界限也会逐渐走向统一。3、硬件处理能力的大幅度提高（ASIS芯片、NP等）使得防火墙可以集成更多的功能模块。4、安全标准技术的推进，使不同安全产品之间的联动变得更加容易，这样功能更简单性能更高且支持标准联动协议的专业防火墙更适应市场需要。防火墙：胖瘦总相宜防火墙的“胖”与“瘦”1、“胖、瘦”防火墙构建联动一体的安全体系防火墙的“胖”与“瘦”无论是“胖”防火墙的集成，还是“瘦”防火墙的联动，安全产品正在朝着体系化的结构发展，所谓“胖瘦”不过是这种体系结构的两种表现方式，“胖”将这种体系表现在一个产品中而“瘦”将这种体系表现在一组产品或是说一个方案中。体系化的结构需要非常完善的安全管理，也就是说，通过安全管理中心产品,整合系列安全产品，构架成联动和一体的产品体系,实现对用户、资源和策略的统一管理，确保整体解决方案的安全一致性，是构建网络安全系统的大趋势。构建联动一体的安全体系防火墙的“胖”与“瘦”无论是“胖防火墙的选购适应性－－－能适应将要部署的网络和应用是前提安全性－－－符合国家政策、主管单位的策略、自身设计等成熟性－－－投放市场多年，应用广泛性能－－－－满足应用环境的要求易管理化－－容易配置和调整策略功能－－－－功能的多样性美观－－－－外观美观、适用价格－－－－便宜防火墙的选购适应性－－－能适应将要部署的网络和应用是前提防火墙的选购主要防火墙品牌3COMAmaranten/阿姆瑞特CHECKPOINTCISCO/思科FortiGateNETGEARSONICWALLWatchGuard安氏北大青鸟东方龙马东软方正海信汉邦华堂华依浪潮Lenovo/联想能士诺基亚清华得实清华紫光比威瑞星SAMSUNG/三星神州数码苏富特速通天融信天网网新易尚亿阳信通中软华泰中网VPNStar实达锐捷冠群金辰NetScreen清华紫光AboComADNS恒宇视野

diguardD-LinkFORECASTFORTINETNASINESCOSVASYMANTECVTInfo蓝点软卫甲迈普趋势锐捷网络首信Juniper三一通讯金捷博达科大量星艾泰Westone/卫士通神獒中怡数宽SinoCDNSINFORI-SECURITYShareTech华为3COMNUSOFT/新软KILL兆维ADTRANSVNET/兴硅谷ZyXEL/合勤Vigor/华盖AstaroArray防火墙的选购主要防火墙品牌3COMAmaranten/阿姆

1、拒绝的规则一定要放在允许的规则前面。

2、永远不要在商业网络中使用Allow4ALL规则（Allowallusersuseallprotocolsfromallnetworkstoallnetworks），这样只是让你的防火墙形同虚设。

3、如果可以通过配置系统策略来实现，就没有必要再建立自定义规则。

4、无论作为访问规则中的目的还是源，最好使用IP地址。

5、请不要忘了，防火墙策略的最后还有一条DENY4ALL。

6、最后，请记住，防火墙策略的测试是必需的。

防火墙的配置防火墙的配置知识回顾KnowledgeReview祝您成功！知识回顾KnowledgeReview祝您成功！防火墙基本技术和原理严峻的网络安全形势，促进了防火墙技术的不断发展。防火墙是一种综合性的科学技术，涉及网络通信、数据加密、安全决策、信息安全、硬件研制、软件开发等综合性课题。防火墙基本技术和原理严峻的网络安全形势，促进了防火防火墙的分类按形态分类软件防火墙硬件防火墙保护整个网络按保护对象分类网络防火墙保护单台主机单机防火墙防火墙简介防火墙的分类按形态分类软件防火墙硬件防火墙保护整个网络按保护单机防火墙&网络防火墙1、保护单台主机2、安全策略分散3、安全功能简单4、普通用户维护5、安全隐患较大6、策略设置灵活单机防火墙网络防火墙1、保护整个网络2、安全策略集中3、安全功能复杂多样4、专业管理员维护5、安全隐患小6、策略设置复杂单机防火墙网络防火墙产品形态软件硬件安装点每台独立的Host网络边界处安全策略分散在各个安全点对整个网络有效保护范围单台主机一个网段管理方式分散管理集中管理功能功能单一功能复杂、多样管理人员普通计算机用户专业网管人员安全措施单点安全措施全局安全措施结论单机防火墙是网络防火墙的有益补充，但不能代替网络防火墙为内部网络提供强大的保护功能防火墙简介单机防火墙&网络防火墙1、保护单台主机单机防火墙网络防火墙1软件防火墙&硬件防火墙硬件防火墙1、硬件+软件，不用准备额外的OS平台2、安全性完全取决于专用的OS3、网络适应性强(支持多种接入模式)4、稳定性较高5、升级、更新不太灵活1、仅获得Firewall软件，需要额外的OS平台2、安全性依赖低层的OS3、网络适应性弱4、稳定性高5、软件分发、升级比较方便操作系统平台安全性性能稳定性网络适应性分发升级成本硬件防火墙基于精简专用OS高高较高强不易较容易Firewall+Server软件防火墙基于庞大通用OS较高较高高较强非常容易容易Firewall软件防火墙防火墙简介软件防火墙&硬件防火墙硬件防火墙1、硬件+软件，不用准备额外防火墙的概念

防火墙是设置在被保护网络和外部网络之间的一道屏障，实现网络的安全保护，以防止发生不可预测的、潜在破坏性的侵入。防火墙本身具有较强的抗攻击能力，它是提供信息安全服务、实现网络和信息安全的基础设施。防火墙是置于不同网络安全域之间的高级访问控制设备，是不同网络安全域间通信流的唯一通道，能根据企业有关的安全政策控制(允许、拒绝、监视、记录)进出网络的访问行为。防火墙简介防火墙的概念防火墙是设置在被保护网络和外部网络之间防火墙的功能特点1、限制人们从一个特别的控制点进入；2、防止入侵者接近你的其它防御设施；3、限定人们从一个特别的点离开；4、有效地阻止破坏者对你的计算机系统进行破坏。

禁止访问禁止访问防火墙简介防火墙的功能特点1、限制人们从一个特别的控制点进入；禁止访防火墙的硬件技术1、基于Intelx86系列架构的产品，又被称为工控机防火墙2、基于专用集成电路（ASIC）技术的防火墙3、基于网络处理器（NP）技术的防火墙

防火墙简介防火墙的硬件技术1、基于Intelx86系列架构的产品，又基于Intelx86系列架构的防火墙优点：﹡

高灵活性、高扩展性、系统升级容易

﹡

考虑了各种应用的需要，具有一般化的通用体系结构和指令集，容易支持复杂的运算并容易开发新的功能

﹡

随着CPU性能的快速提高，防火墙的处理速度和能力将会大幅度提高，能很好的适应多接口百兆，千兆防火墙的计算要求基于PC架构，运行经过简化的Unix、Linux或FreeBSD，适用于低端市场缺点：﹡性能较差，对数据包的转发性弱

﹡国内厂商并不能完全掌握x86架构的核心技术，BIOS或操作系统可能存在隐藏的漏洞，影响防火墙的安全可靠性

﹡抗攻击能力较差防火墙简介基于Intelx86系列架构的防火墙优点：﹡高灵活性、高基于Intelx86系列架构的防火墙SOHO防火墙普通百兆防火墙高端百兆防火墙千兆防火墙防火墙简介基于Intelx86系列架构的防火墙SOHO防火墙普通百兆基于专用集成电路（ASIC）技术的防火墙ASIC作为硬件集成电路，它把指令或计算逻辑固化到硬件中，获得高处理能力，提升防火墙性能。主要应用在国外厂商的产品中，如NetScreen。是公认的使防火墙达到线速千兆的技术方案。优点：﹡性能上占有很大优势

﹡抗攻击能力强

﹡技术成熟、稳定缺点：﹡很难修改升级、增加新功能或提高性能

﹡设计和制造周期长、研发费用高，难以满足用户需求的不断变化防火墙简介基于专用集成电路（ASIC）技术的防火墙ASIC作为硬件集基于ASIC架构的防火墙防火墙简介FortiGateNetscreenwatchguardFirebox首信基于ASIC架构的防火墙防火墙简介FortiGateNets基于网络处理器（NP）技术的防火墙NP（网络处理器）是专门为处理数据包而设计的可编程处理器，它具有完全的可编程性、简单的编程模式、最大化系统灵活性、高处理能力、高度功能集成、开放的编程接口以及第三方支持能力优点：﹡能够直接完成网络数据处理的一般性任务，大多采用高速的接口技术和总路线规范，具有较高的I/O能力，性能上与x86架构防火墙比有很大提高

﹡支持编程，一旦有新的技术或需求出现，设计师可方便地通过微码编程实现缺点：﹡技术方面还不成熟

﹡各厂商NP产品的接口不统一，无法完成无缝的整合

﹡对复杂应用数据，如分片数据包的重组和加密处理，表现较差

﹡NP防火墙的测试标准还没有推出

﹡防火墙的稳定性和高性能还需检验防火墙简介基于网络处理器（NP）技术的防火墙NP（网络处理器）是专门为基于NP架构的防火墙防火墙简介东软NetEyeNP墙中科网威NP墙联想NP墙联想网御基于多NP技术万兆级防火墙基于NP架构的防火墙防火墙简介东软NetEyeNP墙中科网防火墙的类型1、简单包过滤防火墙2、状态检测包过滤防火墙3、应用代理防火墙防火墙简介防火墙的类型1、简单包过滤防火墙防火墙简介简单包过滤防火墙优点：1、速度快、性能高2、对应用程序透明防火墙简介缺点：1、安全性低2、不能根据状态信息进行控制3、不能处理网络层以上的信息4、伸缩性差5、维护不直观应用层表达层会话层传输层网络层链路层物理层网络层链路层物理层应用层表达层会话层传输层网络层链路层物理层简单包过滤防火墙优点：防火墙简介缺点：应用层表达层会话层传输简单包过滤防火墙的工作原理防火墙简介应用层TCP层IP层网络接口层网络接口层IP层TCP层应用层101111111000101101001010001110010111111100010110100101000111001101001011010010TCP11010010IPTCP11010010TCPIPETH11010010IPTCP11010010TCPIPETH11010010IPTCP11010010TCP11010010只检查报头1、简单包过滤防火墙不检查数据区2、简单包过滤防火墙不建立连接状态表3、前后报文无关4、应用层控制很弱简单包过滤防火墙的工作原理防火墙简介应用层TCP层IP层网络状态检测包过滤防火墙1、安全性高能够检测所有进入防火墙网关的数据包根据通信和应用程序状态确定是否允许包的通过2、性能高在数据包进入防火墙时就进行识别和判断3、伸缩性好可以识别不同的数据包支持160多种应用，包括Internet应用、数据库应用、多媒体应用等用户可方便添加新应用4、对用户、应用程序透明防火墙简介应用层表达层会话层传输层网络层链路层物理层应用层表达层会话层传输层网络层链路层物理层应用层表达层会话层传输层网络层链路层物理层抽取各层的状态信息建立动态状态表状态检测包过滤防火墙1、安全性高防火墙简介应用层表达层会话层状态检测包过滤防火墙的工作原理防火墙简介应用层TCP层IP层网络接口层网络接口层IP层TCP层应用层101111111000101101001010001110010111111100010110100101000111001101001011010010TCP11010010IPTCP11010010TCPIPETH11010010IPTCP11010010TCPIPETH11010010IPTCP11010010TCP11010010只检查报头1、不检查数据区2、建立连接状态表3、前后报文相关4、应用层控制很弱建立连接状态表状态检测包过滤防火墙的工作原理防火墙简介应用层TCP层IP层应用代理防火墙优点：1、安全性高2、提供应用层的安全防火墙简介缺点：1、性能差2、伸缩性差3、只支持有限的应用4、不透明应用层表达层会话层传输层网络层链路层物理层应用层表达层会话层传输层网络层链路层物理层应用层表达层会话层传输层网络层链路层物理层●●HTTPFTPSMTP应用代理防火墙优点：防火墙简介缺点：应用层表达层会话层传输层应用代理防火墙的工作原理防火墙简介应用层TCP层IP层网络接口层网络接口层IP层TCP层应用层101111111000101101001010001110010111111100010110100101000111001101001011010010TCP11010010IPTCP11010010TCPIPETH11010010IPTCP11010010TCPIPETH11010010IPTCP11010010TCP11010010只检查数据1、不检查IP、TCP报头2、不建立连接状态表3、网络层保护较弱应用代理防火墙的工作原理防火墙简介应用层TCP层IP层网络接核检测防火墙的工作原理防火墙简介应用层TCP层IP层网络接口层网络接口层IP层TCP层应用层10111111100010110100101000111001011111110001011010010100011100开始攻击主服务器硬盘数据开始攻击TCP开始攻击IPTCP开始攻击TCPIPETH开始攻击IPTCP开始攻击TCPIPETH开始攻击IPTCP开始攻击TCP报文1主服务器IPTCP报文2硬盘数据IPTCP报文3重写会话开始攻击主服务器硬盘数据检查多个报文组成的会话建立连接状态表开始攻击主服务器硬盘数据1、网络层保护强2、应用层保护强3、会话保护强4、上下文相关5、前后报文有联系核检测防火墙的工作原理防火墙简介应用层TCP层IP层网络接口防火墙核心技术比较防火墙简介综合安全性网络层保护应用层保护应用层透明整体性能处理对象简单包过滤防火墙状态检测包过滤防火墙应用代理防火墙核检测防火墙★★★★★★★★★★★★★★★★★★★★★★★★★★★★★★★★★★★★★★★★★★★★★★★★★★★★★★★★★★★★★★★★★★★★★单个包报头单个包报头单个包数据一次会话防火墙核心技术比较防火墙简介综合安全性网络层保护应用层保护应防火墙的三种工作模式1、路由模式防火墙的工作模式2、透明模式3、混合模式防火墙的三种工作模式1、路由模式防火墙的工作模式2、透明模式路由模式防火墙的工作模式/24GW:54/24GW:545454路由模式下的防火墙有两个局限：1、工作于路由模式时，防火墙各网口所接的局域网必须是不同的网段，如处于同一网段，它们之间将无法进行通信。2、如果用户试图在一个已经形成了的网络里添加防火墙，而此防火墙又只能工作于路由方式，则与防火墙所接的主机（或路由器）的网关都要指向防火墙。如果用户的网络非常复杂时，设置时就会很麻烦。路由模式防火墙的工作模式/2410.1透明模式防火墙的工作模式/24GW:5454透明模式的特点：1、对用户是透明的，即用户意思不到防火墙的存在。2、防火墙没有IP地址，网络不需要重新设定。3、无法探测到防火墙的服务端口，也就无法对防火墙进行攻击，大大提高了防火墙的安全性与抗攻击性。

透明模式防火墙的工作模式/24192.混合模式防火墙的工作模式/24GW:/24GW:53防火墙/24GW:54混合模式是路由与透明相结合的模式，它同时具备路由与透明模式的优点，提高了防火墙在各种复杂环境下的适应性。混合模式防火墙的工作模式/24192.防火墙的功能访问控制透明代理身份认证URL过滤地址绑定正向及反向NAT流量控制入侵检测日志审计IDS、防病毒联动VLAN支持VPN功能双机热备防火墙的功能防火墙的功能访问控制防火墙的功能访问控制防火墙的功能11010110AccesslisttoAccessnattoanypassAccesstoblockAccessdefaultpass规则匹配成功1、基于源IP地址2、基于目的IP地址3、基于源端口4、基于目的端口5、基于时间6、基于用户7、基于流量8、基于文件9、基于网址10、基于MAC地址访问控制防火墙的功能11010110Accesslist透明代理防火墙的功能HTTP：AccessanytoSina返回给

的数据包发送请求Sina服务器响应请求5SMTP：转发域名为

转发到26SMTP：附件不能超过3.0M×禁止发送主要包括：HTTP代理、FTP代理、TELNET代理、SMTP代理POP3代理、SOCKS代理、自定义服务代理透明代理防火墙的功能.身份认证防火墙的功能administrator123456RADIUS服务器本地认证根据认证结果决定用户结资源的访问权限防火墙将认证信息传给RADIUS服务器将认证结果传回防火墙身份认证防火墙的功能administrator123456RURL过滤防火墙的功能URL服务器可以访问吗？OK1、URL过滤模块可同时为包过滤和透明代理服务提供URL过滤功能，支持对中文域名的过滤。2、可以根据不同时间段的实际要求设定不同的URL过滤规则集，实现时间控制。3、基于黑名单/白名单的安全过滤策略。当用户设置黑名单时，首先允许访问所有的URL，只对黑名单中定义的URL进行封杀；当用户设置白名单时，首先禁止访问所有的URL，然后只允许访问白名单中的URL。4、提供基于内容分类的URL过滤管理URL过滤防火墙的功能地址绑定防火墙的功能00-50-04-BB-71-A600-50-04-BB-71-BC00-50-04-BB-71-C4HOSTAHOSTBHOSTCHOSTAHOSTBHOSTCBINDTO00-50-04-BB-71-A6BINDTO00-50-04-BB-71-BCMAC地址与绑定的MAC地址不一致，丢弃该包1、自动学习2、防止IP盗用地址绑定防火墙的功能00-50-04-BB-71-A600-正向NAT转换防火墙的功能ETH2：5ETH0：IP报头数据IP报头数据源地址：目的地址：4源地址：目的地址：441、隐藏了内部网络的结构2、内部网络可以使用私有IP地址3、解决了公有IP地址不足的问题正向NAT转换防火墙的功能ETH2：E防火墙的功能反向NAT转换/24GW:5454www/24GW:54FTP/24GW:54MAIL/24GW:54DNS/24GW:54544MAP:80TO4:80MAP:21TO4:21MAP:25TO4:25MAP:53TO4:5341、公开服务器可以使用私有地址2、隐藏内部网络结构3、服务器负载均衡防火墙的功能反向NAT转换/2410.1流量控制防火墙的功能出口带宽512KwwwmailftpDMZ区分配给DMZ512K生产组分配生产组96K销售组财务组分配销售组70K分配财务组90K总带宽512KDMZ256K内网256K生产组96K销售组70K财务组90K流量控制防火墙的功能出口带宽512KwwwmailftpDM日志审记防火墙的功能日志服务器1、安全的传输机制：防火墙日志的发送采用TCP连接并对数据进行了加密处理，其完善的确认和校验机制，避免了日志的丢失和泄漏。2、集中的日志管理：日志服务器可以集中接收管理多台防火墙的日志。3、方便友好的日志查询：对日志进行组合查询，并提供对查询结果的编辑和打印。4、实时日志扫描：对包过滤日志准确有效的分析，检测出可能的网络攻击。5、控制台和邮件告警机制：及时地将入侵和系统告警显示或利用邮件发送给管理员。6、流量统计：统计流量，形成报表并可打印报表。日志审记防火墙的功能日志服务器1、安全的传输机制：防火墙日志入侵检测防火墙的功能DMZ黑客扫描攻击检测FTP攻击检测TELNET攻击检测DoS/DDoS攻击检测MS-SQL攻击检测检测到攻击×1、可检测多种黑客攻击手段和攻击行为2、除对内部网的保护外，还可保护DMZ区3、实时检测、报警、追踪4、攻击库可以升级黑客入侵检测防火墙的功能DMZ黑客扫描攻击检测FTP攻击检测TE与IDS联动防火墙的功能IDS识别出攻击行为发送通知报文验证报文并采取措施阻断连接或报警发送响应报文与IDS联动防火墙的功能IDS识别出发送通知报文验证报文阻断与防病毒网关联动防火墙的功能101011011101001110110110待发数据接收数据1010110110101101110100111101001110110110接收数据协议还原，检查病毒没有发现病毒放过最后一个报文PASSPASS无病毒则转发最后一个报文，有病毒就丢弃它10110110与防病毒网关联动防火墙的功能1010110111010011VLAN支持防火墙的功能支持VLAN的交换机VLAN1VLAN2Trunk口Trunk口同一交换机的不同VLAN间通讯防火墙要支持Trunk口Switch1Switch2VLAN1VLAN2Trunk口Trunk口不同交换机的同一VLAN间通讯防火墙要支持Trunk口VLAN支持防火墙的功能支持VLAN的交换机VLAN1VLAVPN功能防火墙的功能固定IP网关－－固定IP网关固定IP网关－－动态IP网关动态IP网关－－动态IP网关网关－－不经NAT客户端网关－－经NAT客户端VPN功能防火墙的功能固定IP网关－－固定IP网关双机热备防火墙的功能ActiveFirewallStandbyFirewallEth0Eth1Eth2Eth0Eth1Eth2心跳线当一台防火墙故障时，这台防火墙的连接不需要重新建立就可以透明的迁移到另一台防火墙上正常情况下由主防火墙工作检测ActiveFirewall的状态发现出故障，立即接管其工作主防火墙出故障以后，接管它的工作×双机热备防火墙的功能ActiveFirewallStand常见的防火墙性能指标1、最大位转发率2、吞吐量3、延迟4、丢包率5、背靠背6、最大并发连接数7、最大并发连接建立速率8、最大策略数9、平均无故障间隔时间10、支持的最大用户数防火墙的性能常见的防火墙性能指标1、最大位转发率防火墙的性能最大位转发率1、定义：防火墙的位转发率指在特定负载下每秒钟防火墙将允许的数据流转发至正确的目的接口的位数2、最大位转发率指在不同的负载下反复测量得出的位转发率数值中的最大值防火墙的性能最大位转发率1、定义：防火墙的位转发率指在特定负载下每秒钟防吞吐量1、定义：在不丢包的情况下能够达到的最大包转发率。2、衡量标准：吞吐量越大，说明防火墙数据处理能力越强；吞吐量小就会造成网络新的瓶颈，以至影响到整个网络的性能。3、吞吐量是防火墙在各种帧长的満负载（100M或1000M）双向UDP数据包情况下的稳定性表现，是其它指标的基础。4、以太网吞吐量最大理论值称为线速，即指网络设备有足够的能力以全速处理最小的数据封包转发。防火墙的性能吞吐量1、定义：在不丢包的情况下能够达到的最大包转发率。防火延迟1、定义：延迟通常是指从测试数据帧的最后一个比特进入被测设备端口开始，至测试数据包的第一个比特从被测设备另一端口离开的时间间隔。2、衡量标准：现在的网络应用种类非常复杂，许多应用对延迟非常敏感（如音频、视频等）而网络中加入防火墙必然会增加传输延迟，所以较低的延迟对防火墙来说也是不可或缺的。防火墙的性能延迟1、定义：延迟通常是指从测试数据帧的最后一个比特进入被测丢包率1、定义：在连续负载的情况下，防火墙设备由于资源不足应转发但是未转发的帧百分比。2、衡量标准：是用来确定防火墙在不同传输速率下丢失数据包的百分数，目的在于测试防火墙在超负载情况下的性能。3、较低的丢包率，意味着防火墙在强大的负载压力下，能够稳定地工作，以适应各种网络的复杂应用和较大数据流量对处理性能的高要求。防火墙的性能丢包率1、定义：在连续负载的情况下，防火墙设备由于资源不足应背靠背 1、定义：从空闲状态开始，以达到传输介质最小合法间隔极限的传输速率发送相当数量的固定长度的帧，当出现第一个帧丢失时，发送的帧数。即以最小帧间隔发送最多数据包而不引起丢包时的数据包数量。2、衡量标准：背对背包的测试结果能体现出被测防火墙的缓冲容量，网络上经常有一些应用会产生大量的突发数据包（例如：NFS、备份、路由更新等），而且这样的数据包的丢失可能会产生更多的数据包，强大缓冲能力可以减小这种突发对网络造成的影响防火墙的性能背靠背 1、定义：从空闲状态开始，以达到传输介质最小合法间隔最大并发连接数1、定义：指穿越防火墙的主机之间或主机与防火墙之间能同时建立的最大连接数。2、衡量标准：并发连接数的测试主要用来测试被测防火墙建立和维持TCP连接的性能，同时也能通过并发连接数的大小体现被测防火墙对来自于客户端的TCP连接请求的响应能力。3、最大并发连接数是防火墙能够同时处理的点对点会话连接的最大数目，它反映防火墙对多个连接的访问控制能力和连接状态跟踪能力。这个参数的大小可以直接影响到防火墙所能支持的最大信息点数防火墙的性能最大并发连接数1、定义：指穿越防火墙的主机之间或主机与防火墙最大并发连接建立数率1、定义：指穿越防火墙的主机之间或主机与防火墙之间单位时间内建立的最大连接数。2、衡量标准：最