防火墙原理与实践

防火墙技术原理与维护操作

防火墙基本概念

防火墙分类防火墙发展趋势防火墙核心技术防火墙设计结构防火墙功能防火墙性能防火墙部署防火墙可靠性防火墙典型应用Internet一种高级访问控制设备，置于不同网络安全域之间的一系列部件的组合，它是不同网络安全域间通信流的唯一通道，能根据企业有关的安全政策控制（允许、拒绝、监视、记录）进出网络的访问行为。两个安全域之间通信流的唯一通道UDPBlockHostCHostBTCPPassHostCHostADestinationProtocolPermitSource根据访问控制规则决定进出网络的行为防火墙定义内部网防火墙外观桌面型防火墙普通百兆防火墙防火墙+VPN高端百兆防火墙高端千兆防火墙天融信防火墙产品系列线通过在安全边界部署防火墙，可以实比VLAN、路由器更为强大、有效的访问控制功能；大大提高抗攻击的能力，实现边界防护。高端电信级千兆防火墙防火墙执行标准GB/T18019-1999信息技术包过滤防火墙安全技术要求GB/T18020-1999信息技术应用级防火墙安全技术要求GB/T18336-2001信息技术安全性评估准则GB/T17900-1999网络代理服务器的安全技术要求GB/T18018-1999路由器安全技术要求这些标准从安全环境、安全目标、安全要求、基本原理等方面对防火墙的各种指标进行了规定。Firewall防火墙基本概念

防火墙分类防火墙发展趋势防火墙核心技术防火墙设计结构防火墙功能防火墙性能防火墙部署防火墙可靠性防火墙典型应用软件防火墙硬件防火墙按形态分类按保护对象分类Internet各种类型的防火墙保护整个网络保护单台主机网络防火墙单机防火墙InternetInternet单机防火墙网络防火墙保护单台主机安全策略分散安全功能简单普通用户维护安全隐患较大策略设置灵活保护整个网络安全策略集中安全功能复杂多样专业管理员维护安全隐患小策略设置复杂单机防火墙网络防火墙产品形态软件硬件或者软件安装点单台独立的Host网络边界处安全策略分散在各个安全点对整个网络有效保护范围单台主机一个网段管理方式分散管理集中管理功能功能单一功能复杂、多样管理人员普通计算机用户专业网管人员安全措施单点安全措施全局安全措施结论单机防火墙是网络防火墙的有益补充，但不能代替网络防火墙为内部网络提供强大的保护功能单机防火墙&网络防火墙Internet硬件防火墙&软件防火墙Internet硬件防火墙软件防火墙操作系统平台安全性性能稳定性网络适应性分发升级成本硬件防火墙基于精简专用OS高高较高强不易较容易Price=firewall+Server软件防火墙基于庞大通用OS较高较高高较强非常容易容易Price=Firewall仅获得Firewall软件，需要准备额外的OS平台安全性依赖低层的OS网络适应性弱（主要以路由模式工作）稳定性高软件分发、升级比较方便硬件+软件，不用准备额外的OS平台安全性完全取决于专用的OS网络适应性强（支持多种接入模式）稳定性较高升级、更新不太灵活Firewall防火墙基本概念

防火墙分类

防火墙发展趋势防火墙核心技术防火墙设计结构防火墙功能防火墙性能防火墙部署防火墙可靠性防火墙典型应用防火墙的发展历史纯软件防火墙软硬结合防火墙ASIC硬件防火墙基于PC机，运行在通用操作系统（UNIX、WINDOWS等）之上通用操作系统不是为网络安全定制的，不可避免的存在许多漏洞和BUG防火墙没有专用的资源，与其他任务进程一起共享CPU、RAM、PCI总线等资源性能一般、安全性也一般不再使用通用的操作系统采用专用或者自主研发（优化）的操作系统，由于这些系统是为网络安全定制的，因而从根本上解决了软件防火墙存在的安全隐患该类防火墙仍然属于X86结构，但在性能和安全性上比软件防火墙有了很大的提高优良的性价比，在市场上占据了主导地位采用ASIC芯片和多总线、并行处理方式；使原先需要上万条指令才能完成的工作在瞬间由数个循环就能完成多总线结构保证在端口上有数据传输时，防火墙内部仍能进行高效数据处理，不再受“中断”的限制采用专用操作系统，具有很高的安全性彻底摆脱X86架构的影响性能和安全性有很大的突破，尤其是性能指标防火墙技术的发展历程

天融信防火墙的发展历程

天融信防火墙硬件平台的发展Firewall防火墙基本概念

防火墙分类防火墙发展趋势

防火墙核心技术防火墙设计结构防火墙功能防火墙性能防火墙部署防火墙管理防火墙可靠性防火墙典型应用防火墙技术简单包过滤防火墙状态检测包过滤防火墙应用代理防火墙包过滤与应用代理复合型防火墙5.核检测防火墙应用层表示层会话层传输层网络层链路层物理层应用层表示层会话层传输层网络层链路层物理层网络层链路层物理层优点：速度快，性能高对应用程序透明缺点：安全性低不能根据状态信息进行控制不能处理网络层以上的信息伸缩性差维护不直观简单包过滤技术介绍应用层TCP层IP层网络接口层TCP101010101IP101010101TCPTCP101010101IPETH101010101TCP101010101IP应用层TCP层IP层网络接口层TCP101010101IP101010101TCPTCP101010101IPETH101010101只检查报头101001001001010010000011100111101111011001001001010010000011100111101111011简单包过滤防火墙的工作原理简单包过滤防火墙不检查数据区简单包过滤防火墙不建立连接状态表前后报文无关应用层控制很弱应用层表示层会话层传输层网络层链路层物理层应用层表示层会话层传输层网络层链路层物理层状态检测技术介绍应用层表示层会话层传输层网络层链路层物理层安全性高能够检测所有进入防火墙网关的数据包根据通信和应用程序状态确定是否允许包的通行性能高在数据包进入防火墙时就进行识别和判断伸缩性好可以识别不同的数据包支持多种应用，包括Internet应用、数据库应用、多媒体应用等用户可方便添加新应用抽取各层的状态信息建立动态状态表应用层TCP层IP层网络接口层TCP101010101IP101010101TCPTCP101010101IPETH101010101TCP101010101IP应用层TCP层IP层网络接口层TCP101010101IP101010101TCPTCP101010101IPETH101010101只检查报头101001001001010010000011100111101111011001001001010010000011100111101111011状态检测包过滤防火墙的工作原理不检查数据区建立连接状态表前后报文相关应用层控制很弱建立连接状态表应用层表示层会话层传输层网络层链路层物理层应用层表示层会话层传输层网络层链路层物理层应用代理技术介绍应用层表示层会话层传输层网络层链路层物理层优点：安全性高提供应用层的安全缺点：性能差伸缩性差只支持有限的应用不透明FTPHTTPSMTP应用层TCP层IP层网络接口层TCP101010101IP101010101TCPTCP101010101IPETH101010101TCP101010101IP应用层TCP层IP层网络接口层TCP101010101IP101010101TCPTCP101010101IPETH101010101只检查数据101001001001010010000011100111101111011001001001010010000011100111101111011应用代理防火墙的工作原理不检查IP报头不建立连接状态表网络层保护比较弱应用层TCP层IP层网络接口层TCP101010101IP101010101TCPTCP101010101IPETH101010101TCP101010101IP应用层TCP层IP层网络接口层TCP101010101IP101010101TCPTCP101010101IPETH101010101检查整个报文内容101001001001010010000011100111101111011001001001010010000011100111101111011复合型防火墙的工作原理可以检查整个数据包内容根据需要建立连接状态表网络层保护强应用层控制细会话控制较弱建立连接状态表应用层TCP层IP层网络接口层TCP开始攻击IP开始攻击TCPTCP开始攻击IPETH开始攻击主服务器硬盘数据TCP开始攻击IP应用层TCP层IP层网络接口层TCP开始攻击IP开始攻击TCPTCP开始攻击IPETH开始攻击主服务器硬盘数据检查多个报文组成的会话101001001001010010000011100111101111011001001001010010000011100111101111011核检测防火墙的工作原理建立连接状态表TCP主服务器IPTCP硬盘数据IP开始攻击重写会话主服务器硬盘数据报文1报文2报文3网络层保护强应用层保护强会话保护很强上下文相关前后报文有联系防火墙核心技术比较综合安全性网络层保护应用层保护应用层透明整体性能处理对象简单包过滤防火墙状态检测包过滤防火墙应用代理防火墙复合型防火墙核检测防火墙单个包报头单个包报头单个包数据单个包全部一次会话1001001001TCPIP1001001001TCPIPFirewall防火墙基本概念

防火墙分类防火墙发展趋势防火墙核心技术防火墙设计结构防火墙功能防火墙性能防火墙部署防火墙管理防火墙可靠性防火墙典型应用百兆防火墙外观构造防火墙模块封装板根据需要可以通过扩充模块，增加端口的数量根据需要可以选择处理能力更好的机箱与引擎防火墙机箱与引擎防火墙接口模块千兆电信级防火墙外观构造GBIC卡插槽10/100/1000M以太口AUX接口热拔插冗余电源大功率散热风扇防火墙引擎防火墙内部软件内核技术——经过专门加固、精简、安全化的操作系统模块化结构设计、可扩展性好、方便用户定制与升级系统大小——约5M代码，可以驻留在稳定的Flash盘上配置文件存取在NVRAM里，可以保证配置文件的安全性防火墙内部硬件主板：专用系统板Talent-NS嵌入式模块设计处理器：高速处理器内存：大容量内存存储设备：电子盘、NVRAM网络接口：10/100/1000M自适应以太网接口、FDDI-------------------------------------------------------------------------支持双电源支持双机热备、负载均衡对于千兆防火墙采用服务器级的硬件，使用多个处理器硬件：ASIC,NPU,MIPS,X86，ARM…TopsecOS架构IPSSSLVPN监控报警管理QOSHA接入OS层基础层安全引擎层AntispamIPSEC服务层健壮中心文件系统交换FW硬件抽象层OS核认证路由日志配置GTAAV硬件TOS应用防火墙内部系统设计路由模块透明模块规则检查还原模块FTP还原HTTP还原SMTP还原POP3还原……日志守护进程病毒守护进程应用层日志病毒应用层过滤KernelApplication

……001010101010101111001010100111101010101011连接表在操作系统内核完成应用协议的还原，极大的提高了系统的整体性能基于内核的会话检测技术Clint6970010101001010000111110000010010101001010010010110010010协议还原模块协议还原模块输入队列输入队列底层驱动010101001010000111110000010010101001010010010110010010符合安全策略？符合安全策略？防火墙逻辑图010100101001010010010100101001010010010100101001010010010100101001010010010100010101发起请求响应请求虚拟客户端虚拟服务器端在操作系统内核模拟出典型的应用层协议，在内核实现对应用层协议的过滤，从而得到极高的性能101001010111000010101000011101001010111000010101000011110100000001100000001111100100100010010000100111110001101001001001001001010010进行规则匹配、应用层过滤频繁在系统核心和应用层之间切换消耗掉大量的系统资源生成大量的进程影响防火墙的性能应用层系统核心101001010111000010101000011101001010111000010101000011100100010010000100111110001101001001001001001010010直接在系统核心进行应用层过滤不需要频繁在系统核心和应用层之间切换在大量并发情况下不会生成大量进程，有效的保护系统资源大大提高会话检测的效率应用层系统核心基于内核的会话检测技术防火墙基本概念

防火墙分类防火墙发展趋势防火墙核心技术防火墙设计结构防火墙功能防火墙性能防火墙部署防火墙可靠性防火墙典型应用HostCHostD基本的访问控制技术AccesslistpasstoAccessnattoanyAccessblocktoAccessdefaultpass1010010101规则匹配成功基于源IP地址基于目的IP地址基于MAC地址基于源端口基于目的端口基于时间基于用户名基于文件基于网址基于关键字基于邮件地址WWW1WWW2WWW3服务器负载均衡负载均衡算法：基于轮询基于加权轮询最少链接加权最少链接对真实主机的自动探测根据负载均衡算法将数据重定位到一台WWW服务器服务器阵列响应请求

日志审计不做日志做通信日志：即传统日志通信源地址、目的地址、源目端口、通信时间、通信协议、字节数、是否允许通过做应用层命令日志：在通信日志的基础之上，记录下各个应用层命令及其参数。例如HTTP请求及其要取的网页名。做访问日志：即在通信日志的基础之上，记录下用户对网络资源的访问。它和应用层命令日志的区别是：应用层命令日志可以记录下大量的数据，有些用户可能不需要，如协商通信参数过程等。例如针对FTP协议，访问日志只记录下读、写文件的动作

提供日志分析工具自动产生各种报表，智能化的指出网络可能的安全漏洞Clint响应请求发送请求通信日志通信日志通信信息6970

做通信日志Clint响应请求发送请求命令日志命令日志6970

做应用层命令日志命令信息Clint响应请求发送请求访问日志访问日志6970

做访问日志访问信息与URL服务器的安全联动内部网络InternetURL服务器可以访问吗？Ok!通过T-SCP安全产品协作平台实现防火墙与URL服务器的互动，从而控制对外部WEB站点的访问与病毒服务器安全联动Internet110010101病毒服务器100010101000010101待发数据110010101100010101000010101110010101100010101000010101passpass无病毒转发最后一个报文，如带有病毒则丢弃最后一个报文协议还原检查病毒没有发现病毒可以放过最后一个报文接收数据接收数据HostCHostDHostBHostA受保护网络netIDS黑客发起攻击发送通知报文验证报文并采取措施发送响应报文识别出攻击行为阻断连接或者报警等与IDS的安全联动

支持第三方认证服务器InternetRADIUS服务器OTP认证服务器Zhanglongyong12354876防火墙将认证信息传给真正的RADIUS服务器进行认证将认证结果传给防火墙支持内置VRC/OTP认证服务器支持第三方RADIUS认证服务器支持TACACS及TACAVS+认证服务器支持S/KEY、SECUID、VIECA、LDAP等认证根据认证结果决定用户对资源的访问权限策略路由功能中国教育网InternetHostA：HostB：HostC：内网根据源、目地址来进行路由主机B直接连接Internet主机A通过教育网上InternetInternetHostA

HostBHostCHostD00-50-04-BB-71-A600-50-04-BB-71-BCBINDTo00-50-04-BB-71-A6BINDTo00-50-04-BB-71-BCIP与MAC地址绑定后，不允许HostB假冒HostA的IP地址上网防火墙允许HostA上网跨路由器功能IP与MAC（用户）的绑定对MAC地址得控制netDHCP服务器HostAHostBHostCHostDHostEHostF没有固定IP地址只允许HostB上网设定HostB的MAC地址设定HostB的IP地址为空根据HostB的MAC地址进行访问控制对DHCP应用环境的支持netInternet4HostA受保护网络HostCHostD15防火墙Eth2：3Eth0：数据IP报头数据IP报头源地址：1目地址：4源地址：目地址：4隐藏了内部网络的结构

内部网络可以使用私有IP地址公开地址不足的网络可以使用这种方式提供IP复用功能NAT改变的是源地址，天融信公司的防火墙支持静态和动态两种转换模式，支持一对一、多对一、多对多以及双向NAT功能功能NAT(地址转换)Internet公开服务器可以使用私有地址

隐藏内部网络的结构MAP改变的是目的地址，天融信公司防火墙支持I地址映射以及端口映射WWWFTPMAILDNSMAP：80TO：80MAP：21TO：21MAP：53TO：53MAP：25TO：25功能MAP(端口/IP映射)Trunk口Trunk口VLAN1VLAN2支持VLAN的交换机Trunk口Trunk口VLAN1VLAN2Switch1Switch2同一交换机的不同VLAN之间通讯不同交换机的同一VLAN之间通讯不支持TRUNK的防火墙无法在这种环境下工作不支持TRUNK的防火墙无法在这种环境下工作防火墙对TRUNK协议的支持防火墙对TRUNK协议的支持防火墙不但支持TRUNK数据包穿过防火墙，并且防火墙的接口也可以封装TRUNK数据包，即支持VLAN间路由(3层交换机功能)。Vlan20Vlan30Vlan10TRUNK链路客户机建立连接并维持连接状态直到查询结束对长连接应用的支持FR数据库查询一般需要比较长的时间，这些通讯连接建立成功后可能暂时没有数据通过（空连接），需要在防火墙里面维护这个连接状态，直到查询结束，普通防火墙在连接建立一段时间后如果没有数据通讯会自动切断连接，导致业务不能正常运行需要较长的查询时间抗DOS/DDOS攻击-----SYN代理防火墙的SYN代理实现原理:在服务器和外部网络之间部署防火墙系统;防火墙在收到客户端的Syn包后，防火墙代替服务器向客户端发送Syn/Ack包;如果防火墙收到客户端的Ack信息，表明访问正常,由防火墙向服务器发送Syn包并完成后续的TCP握手,建立客户端到服务器的连接。通过这种Syn代理技术，保证每个Syn包源的真实有效性，确保虚假请求不被发往服务器，从而彻底防范对服务器的Syn-Flood攻击。240万并发连接数SYNSYN/ACKACKSYNSYN/ACKACKSYNSYN/ACKACKClientServerHostCHostDHostBHostA受保护网络netInternet

SNMP报文获取硬件配置信息资源使用状况信息防火墙的流量信息防火墙的连接信息防火墙的版本信息防火墙的用户信息防火墙的规则信息防火墙的路由信息……SNMP服务器端SNMP客户端SNMP管理人性化的管理－防火墙的接口状态查看人性化的管理－防火墙的性能查看人性化的管理－防火墙实时流量查看通过对连接信息的查看，用户可以了解当前通过、未通过、已建立或已断开连接的源地址、目的地址、发送流量、接收流量等信息，及时了解网络应用情况，另外利用此功能还可以及时的排除故障。防火墙双机热备内部网外网或者不信任域Eth0Eth0Eth1Eth1Eth2Eth2心跳线ActiveFirewallStandbyFirewall检测ActiveFirewall的状态发现出故障，立即接管其工作

正常情况下由主防火墙工作主防火墙出故障以后，接管它的工作HuborSwitchHuborSwitch通过STP协议可以交换两台防火墙的状态信息当一台防火墙故障时，这台防火墙的连接不需要重新建立就可以透明的迁移到另一台防火墙上，用户不会察觉到客户机建立连接并维持连接状态直到查询结束对长连接应用的支持FR数据库查询一般需要比较长的时间，这些通讯连接建立成功后可能暂时没有数据通过（空连接），需要在防火墙里面维护这个连接状态，直到查询结束，普通防火墙在连接建立一段时间后如果没有数据通讯会自动切断连接，导致业务不能正常运行。需要较长的查询时间Trunk口Trunk口VLAN1VLAN2支持VLAN的交换机Trunk口Trunk口VLAN1VLAN2Switch1Switch2同一交换机的不同VLAN之间通讯不同交换机的同一VLAN之间通讯不支持TRUNK的防火墙无法在这种环境下工作不支持TRUNK的防火墙无法在这种环境下工作防火墙对TRUNK协议的支持防火墙不禁支持TRUNK数据包穿过防火墙，并且防火墙的接口也可以封装TRUNK数据包。防火墙对TRUNK协议的支持防火墙不禁支持TRUNK数据包穿过防火墙，并且防火墙的接口也可以封装TRUNK数据包，即支持VLAN间路由。Vlan20Vlan30Vlan10TRUNK链路高可用性的支持二层环境？三层环境？抗DOS/DDOS攻击-----SYN代理防火墙的SYN代理实现原理:在服务器和外部网络之间部署防火墙系统;防火墙在收到客户端的Syn包后，防火墙代替服务器向客户端发送Syn/Ack包;如果防火墙收到客户端的Ack信息，表明访问正常,由防火墙向服务器发送Syn包并完成后续的TCP握手,建立客户端到服务器的连接。通过这种Syn代理技术，保证每个Syn包源的真实有效性，确保虚假请求不被发往服务器，从而彻底防范对服务器的Syn-Flood攻击。160万并发连接数SYNSYN/ACKACKSYNSYN/ACKACKSYNSYN/ACKACKClientServer支持众多网络通信协议和应用协议：如DHCP、VLAN、PPPOE、ISL、802.1Q、Spanningtree、IPSEC、H.323、RTSP、MMS、IGMP、GRE、ORACLE-SQLNET等,保证用户的网络应用，方便用户扩展IP宽带接入及IP电话、视频会议、VOD点播等多媒体应用。支持核心网络中生成树（STP）的计算：通过生成树计算，防火墙能够同核心交换机一起进行生成树计算，实现了核心网络的全连接拓扑结构，能够进行链路的自动切换，保证了整个网络的稳定。支持交换机主干链路：防火墙的物理接口实现了D0t1q封装格式，能够同交换机的Trunk接口对接，实现了VLAN间路由的功能，保证了防火墙对于各种网络环境的易接入性。支持动态路由协议，不但可以让动态路由协议穿过防火墙设备，并且防火墙的接口也可以参与动态路由协议的运算，目前支持OSFP/RIP2。支持多种网络应用Firewall防火墙基本概念

防火墙分类防火墙发展趋势防火墙核心技术防火墙设计结构防火墙功能防火墙性能防火墙部署防火墙可靠性防火墙典型应用常见防火墙性能指标吞吐量延时丢包率背靠背最大并发连接数最大并发连接建立速率吞吐量定义：在不丢包的情况下能够达到的最大速率衡量标准：吞吐量作为衡量防火墙性能的重要指标之一,吞吐量小就会造成网络新的瓶颈，以至影响到整个网络的性能

~;%#@*$^&*&^#**(&Smartbits6000B测试仪101100101000011111001010010001001000以最大速率发包直到出现丢包时的最大值防火墙吞吐量小就会成为网络的瓶颈100M60M数据包首先排队待防火墙检查后转发延时定义：入口处输入帧最后1个比特到达至出口处输出帧的第一个比特输出所用的时间间隔衡量标准：防火墙的时延能够体现它处理数据的速度

10101001001001001010Smartbits6000B测试仪101100101000011111001010010001001000最后1个比特到达第一个比特输出时间间隔101010011100111010101001110011101010010010100100010100010101010100100100100100100010造成数据包延迟到达目标地丢包率定义：在连续负载的情况下，防火墙设备由于资源不足应转发但却未转发的帧百分比

衡量标准：防火墙的丢包率对其稳定性、可靠性有很大的影响

Smartbits6000B测试仪发送了1000个包防火墙由于资源不足只转发了800个包丢包率=（1000-800）/1000=20%1001010100101001000100100110010101001010010001001001背靠背定义：从空闲状态开始，以达到传输介质最小合法间隔极限的传输速率发送相当数量的固定长度的帧，当出现第一个帧丢失时，发送的帧数。衡量标准：背对背包的测试结果能体现出被测防火墙的缓冲容量,网络上经常有一些应用会产生大量的突发数据包（例如：NFS,备份，路由更新等），而且这样的数据包的丢失可能会产生更多的数据包，强大缓冲能力可以减小这种突发对网络造成的影响Smartbits6000B测试仪时间（t）包数量（n）少量包包增多峰值包减少没有数据背靠背指标体现防火墙对突发数据的处理能力并发连接数定义：指穿越防火墙的主机之间或主机与防火墙之间能同时建立的最大连接数。衡量标准：并发连接数的测试主要用来测试被测防火墙建立和维持TCP连接的性能，同时也能通过并发连接数的大小体现被测防火墙对来自于客户端的TCP连接请求的响应能力

并发连接数指标可以用来衡量穿越防火墙的主机之间能同时建立的最大连接数并发连接并发连接最大并发连接数建立速率定义：指穿越防火墙的主机之间或主机与防火墙之间单位时间内建立的最大连接数。衡量标准：最大并发连接数建立速率主要用来衡量防火墙单位时间内建立和维持TCP连接的能力并发连接并发连接单位时间内增加的并发连接数Firewall防火墙基本概念

防火墙分类防火墙发展趋势防火墙核心技术防火墙设计结构防火墙构造体系防火墙功能防火墙性能

防火墙部署防火墙可靠性防火墙典型应用受保护网络Internet如果防火墙支持透明模式，则内部网络主机的配置不用调整HostA

HostCHostDHostB同一网段透明模式下，这里不用配置IP地址透明模式下，这里不用配置IP地址DefaultGateway=防火墙相当于网桥，原网络结构没有改变NO.1

透明接入受保护网络InternetHostA

HostCHostDHostBDefaultGateway=防火墙相当于一个简单的路由器67提供简单的路由功能NO.2

路由接入NO.3

综合接入ETH1：02ETH2：00/24网段/24网段此时整个防火墙工作于透明+路由模式，我们称之为综合模式或者混合模式/24网段ETH1：两接口在不同网段，防火墙处于路由模式两接口在不同网段，防火墙处于路由模式两接口在同一网段，防火墙处于透明模式Firewall防火墙基本概念

防火墙分类防