防火墙理论与实例讲解

防火墙理论与实例讲解第1页，共65页，2023年，2月20日，星期四防火墙的工作原理

根据防范的方式和侧重点的不同,防火墙可分为三大类:

1.数据包过滤

数据包过滤(PacketFiltering)技术是在网络层对数据包进行选择,选择的依据是系统内设置的过滤逻辑,被称为访问控制表(AccessControlTable)。通过检查数据流中每个数据包的源地址、目的地址、所用的端口号、协议状态等因素,或它们的组合来确定是否允许该数据包通过。网络安全培训中心第2页，共65页，2023年，2月20日，星期四内部网络外部网络应用层表示层会话层传输层网络层链路层物理层数据包过滤防火墙实现原理图网络安全培训中心第3页，共65页，2023年，2月20日，星期四蓝盾防火墙过滤规则网络安全培训中心第4页，共65页，2023年，2月20日，星期四2.应用级网关

应用级网关(ApplicationLevelGateways)是在网络应用层上建立协议过滤和转发功能。它针对特定的网络应用服务协议使用指定的数据过滤逻辑,并在过滤的同时,对数据包进行必要的分析、登记和统计,形成报告。实际中的应用网关通常安装在专用工作站系统上。内部网络外部网络应用层表示层会话层转输层网络层链路层物理层应用网防火墙实现原理图第5页，共65页，2023年，2月20日，星期四3.代理服务

代理服务(ProxyService)也称链路级网关或TCP通道(CircuitLevelGatewaysorTCPTunnels),也有人将它归于应用级网关一类。它是针对数据包过滤和应用网关技术存在的缺点而引入的防火墙技术,其特点是将所有跨越防火墙的网络通信链路分为两段。防火墙内外计算机系统间应用层的“链接”,由两个终止代理服务器上的“链接”来实现,外部计算机的网络链路只能到达代理服务器,从而起到了隔离防火墙内外网络安全培训中心第6页，共65页，2023年，2月20日，星期四计算机系统的作用。此外,代理服务也对过往的数据包进行分析、注册登记,形成报告,同时当发现被攻击迹象时会向网络管理员发出警报,并保留攻击痕迹。防火墙代理客户代理访问控制服务器代理客户服务器请求转发应答请求转发应答代理服务防火墙应用数据控制及传输过程图网络安全培训中心第7页，共65页，2023年，2月20日，星期四一、一般防火墙的极限性

我国几大知名网站先后被黑客攻破，充分暴露了一般防火墙存在的极限性--就是“治标不治本”，对新型攻击和变种攻击无法防御，黑客只要改变攻击方式或拥有了新的工具，就有一批网站要遭其黑手。蓝盾安全小组第8页，共65页，2023年，2月20日，星期四二、新一代防御技术--蓝盾智能防御

蓝盾防火墙突破了传统的被动防御观念，从底层做起，自行研制开发出了一套全新的智能防御核心，它不仅能拦截目前的4000多种黑客攻击，对各种新型攻击和“变种攻击”也能自动制定防御策略进行有效防御，彻底解决了一般防火墙对新型攻击无法防御的问题。同时蓝盾防火墙还具备有反端口扫描功能和168位的高加密技术（美国严禁出口）。蓝盾安全小组第9页，共65页，2023年，2月20日，星期四蓝盾智能技术主要有以下几点▉智能防御核心▉自动反扫描▉自动告警蓝盾安全小组第10页，共65页，2023年，2月20日，星期四

1、智能防御核心（图7）

蓝盾防火墙系统有一个独特的智能防御核心，能自动统计、分析通过防火墙的各种连接数据，探测出攻击者，立即断开与该主机的任何连接，保护内网所有服务器和主机的安全。智能分析安全探测器防御策略制定网络核心蓝盾安全小组第11页，共65页，2023年，2月20日，星期四2、自动反扫描技术

扫描是“黑客攻击”的前奏，攻击前，“黑客”一般会先扫描一下目标主机打开的服务端口，然后再进行针对性攻击。蓝盾防火墙在内核设计中引入自动反扫描机制，当“黑客”用扫描器扫描防火墙或防火墙保护的服务器时，将扫不出任何服务端口，使“黑客”无从下手。蓝盾安全小组第12页，共65页，2023年，2月20日，星期四（图8）蓝盾安全小组第13页，共65页，2023年，2月20日，星期四3、自动告警

当你的服务器遭到扫描、攻击时，防火墙系统会自动向你提示告警。电子邮件、手机、Bp机

蓝盾安全小组第14页，共65页，2023年，2月20日，星期四七、蓝盾系统构架●软硬一体化设计●自行开发的操作平台●美观、易用的WEB管理界面蓝盾安全小组第15页，共65页，2023年，2月20日，星期四1、软硬一体化设计

充分发挥硬件的性能，运行效率高；系统更加可靠，安装方便。

蓝盾安全小组第16页，共65页，2023年，2月20日，星期四2、自行开发的操作平台

现在商业操作平台如Win98、NT、UNIX、LINUX存在着不少漏洞，不断被黑客在互联网上公开、传播，作为攻击的目标。蓝盾从底层做起，自行开发出一套防火墙专用平台，对于与流量关系密切的模块进行优化处理，做到了：

●高安全性●高稳定性●高效率

蓝盾安全小组第17页，共65页，2023年，2月20日，星期四3、美观、易用的WEB界面基于WWW管理界面的系统设置，管理员可以通过由HTML、组成的图形界面对系统进行管理。把复杂繁多的系统功能设置变为直观易用的WWW界面，提高了系统的可用性。蓝盾安全小组第18页，共65页，2023年，2月20日，星期四三、蓝盾防火墙系统功能特点

(一)、技术先进

●智能防御

●端口反扫描

●高保密度VPN(168bit)●防外又防内的解决方案蓝盾安全小组第19页，共65页，2023年，2月20日，星期四（二）、实用性强●分组代理计费功能

●URL过滤功能

●地址转换功能(NAT)●MAC绑定功能●物理断开功能

蓝盾安全小组第20页，共65页，2023年，2月20日，星期四（一）、技术先进

●智能防御●端口反扫描●高保密度VPN(168bit)

虚拟专网技术是指在公共网络中建立专用网络，数据通过安全的“加密通道”在公共网络中传播。企业只需要租用本地的数据专线，连接上本地的公众信息网，那么各地的机构就可以互相传递信息。这样使用VPN可以节约成本、提供远程访问、扩展性强、便于管理和实现全面控制等好处。蓝盾的加密技术高达168bit(3DES)，该加密技术美国禁止出口。蓝盾安全小组第21页，共65页，2023年，2月20日，星期四蓝盾安全小组第22页，共65页，2023年，2月20日，星期四某集团公司VPN整体解决方案图

第23页，共65页，2023年，2月20日，星期四防外又防内的解决方案蓝盾安全小组第24页，共65页，2023年，2月20日，星期四（二）、实用性强1分组代理计费功能

网管员可以根据企业内部网的实际情况，将用户划分成不同的组，如“财务组”、“市场组”，再给组中的每一个用户一个独立的帐号（用户/密码）。防火墙对每一帐号的上网情况都做了详细记录，并根据设定的单价表进行记费。

蓝盾安全小组第25页，共65页，2023年，2月20日，星期四蓝盾安全小组第26页，共65页，2023年，2月20日，星期四2、URL过滤功能

对一些黄色站点、反动站点，通过URL过滤功能，可进行访问限制，不给内网人员浏览那些网站或特定页面。（如WWW.SEX.COM）还可指定到具体某种类型文件。

蓝盾安全小组第27页，共65页，2023年，2月20日，星期四3、地址转换功能

NAT功能不仅可以隐藏内部网络地址信息，使外界无法直接访问内部网络设备，同时，它还帮助网络可以超越地址的限制，合理地安排网络中的公有Internet地址和私有IP地址的使用。

主要包括：

A:地址（端口）映射。。。。出去B:重定向。。。。。。。。。进来

蓝盾安全小组第28页，共65页，2023年，2月20日，星期四蓝盾安全小组第29页，共65页，2023年，2月20日，星期四蓝盾安全小组第30页，共65页，2023年，2月20日，星期四

4、MAC绑定功能MAC绑定技术是将IP地址和网卡的硬件地址绑定起来，目的是为了防止IP欺骗、地址伪装，主要用于绑定一些重要的系统管理员IP和特权IP。

比如：IPMACAC:10:5A:63:7C:3F

蓝盾安全小组第31页，共65页，2023年，2月20日，星期四5、物理断开功能

本系统的三个网络硬件接口中，都内置一个物理开关模块，通过设置，可断开任一网络接口的联接，即时中止该网络接口的任何通信，这样，在某些特殊环境下，可进一步提高系统的安全性。蓝盾安全小组第32页，共65页，2023年，2月20日，星期四四、蓝盾防火墙典型方案：方案一：

内网-255（掩码为）通过蓝盾防火墙透明代理上互联网。防火墙地址（内网别名，DMZ区（掩码为），

第33页，共65页，2023年，2月20日，星期四外网（WWW）别名(DNS)别名(EMAIL)（掩码均为48）），DMZ区（掩码均为）），WWW与FTP服务器IP地址为，EMAIL服务器IP地址为，DNS服务器IP地址为0。外部路由器IP地址为（掩码为48）。第34页，共65页，2023年，2月20日，星期四互联网外部路由器蓝盾防火墙内网主机群wwwFTPDNSEMALL0

DNS10.10.10.X第35页，共65页，2023年，2月20日，星期四在内网所有要上互联网的主机的网关设置为蓝盾防火墙内网地址。在内网DNS的辅助DNS服务器设置为。蓝盾防火墙中的设置：

系统设置中设置域名服务器为ISP提供的DNS服务器IP地址。

安全规则中NAT规则设置：（外网部分访问DMZ区）第36页，共65页，2023年，2月20日，星期四

重定向绑定网络设备三目标地址端口80重定向到端口80协议TCP

重定向绑定网络设备三目标地址端口21重定向到端口21协议TCP

映射绑定网络设备三来源主机映射到主机协议TCP/UDP

重定向绑定网络设备三目标地址端口53重定向到端口53协议TCP/UDP第37页，共65页，2023年，2月20日，星期四

重定向绑定网络设备三目标地址端口25重定向到0端口25协议TCP；重定向绑定网络设备三目标地址端口110重定向到0端口110协议TCP；（内网部分访问DMZ区）

重定向绑定网络设备一目标地址端口80重定向到端口80协议TCP；重定向绑定网络设备一目标地址端口21重定向到端口21协议TCP；第38页，共65页，2023年，2月20日，星期四

映射绑定网络设备一来源主机映射到主机协议TCP/UDP重定向绑定网络设备一目标地址端口53重定向到端口53协议TCP/UDP重定向绑定网络设备一目标地址端口25重定向到0端口25协议TCP重定向绑定网络设备一目标地址端口110重定向到0端口110协议TCP（内网部分访问外网）第39页，共65页，2023年，2月20日，星期四

重定向绑定网络设备一目标地址端口80重定向到端口80协议TCP映射绑定网络设备三来源网络子网掩码映射到主机协议TCP/UDP端口映射5000-65000

第40页，共65页，2023年，2月20日，星期四方案二：

内网-255（掩码为）通过了内网中的代理服务器代理上网（内网DNS为)，最后通过蓝盾防火墙出互联网。防火墙地址（内网别名，DMZ区（掩码为），外网（WWW）别名(DNS)别名(EMAIL)(代理上网）

第41页，共65页，2023年，2月20日，星期四互联网外部路由器蓝盾防火墙

DNSwwwFTPDNSEMALL0代理服务器内部主机群第42页，共65页，2023年，2月20日，星期四

在代理服务器上的网关设置为蓝盾防火墙内网地址，内网中上互联网的主机的设置具体与代理服务器相应。在内网DNS的辅助DNS服务器设置为。

蓝盾防火墙中的设置：

系统设置中设置域名服务器为ISP提供的DNS服务器IP地址。

第43页，共65页，2023年，2月20日，星期四

重定向绑定网络设备三目标地址端口80重定向到端口80协议TCP重定向绑定网络设备三目标地址端口21重定向到端口21协议TCP映射绑定网络设备三来源主机映射到主机协议TCP/UDP重定向绑定网络设备三目标地址端安全规则中NAT规则设置：（外网部分访问DMZ区）第44页，共65页，2023年，2月20日，星期四口53重定向到端口53协议TCP/UDP重定向绑定网络设备三目标地址端口25重定向到0端口25协议TCP重定向绑定网络设备三目标地址端口110重定向到0端口110协议TCP

（内网部分访问DMZ区）重定向绑定网络设备一目标地址端口80重定向到端口80协议TCP重定向绑定网络设备一目标地址端口21重定向到端口21协议TCP第45页，共65页，2023年，2月20日，星期四

映射绑定网络设备一来源主机映射到主机协议

TCP/UDP

重定向绑定网络设备一目标地址端口53重定向到端口53协议TCP/UDP

重定向绑定网络设备一目标地址端口25重定向到0端口25协议TCP

重定向绑定网络设备一目标地址端口110重定向到0端口110协议TCP

（使内网中的代理服务器提供出口部分）映射绑定网络设备三来源主机映射到主机协议TCP/UDP

第46页，共65页，2023年，2月20日，星期四方案三：

内网-255（掩码为）HTTP使用蓝盾防火墙透明代理上网，其它协议通过了内网中的代理服务器代理上网（内网DNS为)，最后通过蓝盾防火墙出互联网。防火墙地址（内网别名，DMZ区

（掩码为），外网（WWW）别名(DNS)别名(EMAIL)

第47页，共65页，2023年，2月20日，星期四(代理上网）（掩码均为48）），DMZ区（掩码均为）），WWW与FTP服务器IP地址为，EMAIL服务器IP地址为，DNS服务器IP地址为0。外部路由器IP地址为（掩码为48）。第48页，共65页，2023年，2月20日，星期四互联网外部路由器蓝盾防火墙

DNSwwwFTPDNSEMALL0代理服务器内部主机群10.10.10.X第49页，共65页，2023年，2月20日，星期四在代理服务器上的网关设置为蓝盾防火墙内网地址，内网中上互联网的主机的设置具体与代理服务器相应。在内网DNS的辅助DNS服务器设置为。

蓝盾防火墙中的设置：

系统设置中设置域名服务器为ISP提供的DNS服务器IP地址。

第50页，共65页，2023年，2月20日，星期四安全规则中NAT规则设置：

（外网部分访问DMZ区）

重定向绑定网络设备三目标地址端口80重定向到端口80协议TCP

重定向绑定网络设备三目标地址端口21重定向到端口21协议TCP

映射绑定网络设备三来源主机映射到主机协议TCP/UDP第51页，共65页，2023年，2月20日，星期四

重定向绑定网络设备三目标地址端口53重定向到端口53协议TCP/UDP重定向绑定网络设备三目标地址端口25重定向到0端口25协议TCP重定向绑定网络设备三目标地址端口110重定向到0端口110协议TCP

（内网部分访问DMZ区）

重定向绑定网络设备一目标地址端口80重定向到端口80协议TCP重定向绑定网络设备一目标地址第52页，共65页，2023年，2月20日，星期四端口21重定向到端口21协议TCP

映射绑定网络设备一来源主机映射到主机协议TCP/UDP重定向绑定网络设备一目标地址端口53重定向到端口53协议TCP/UDP重定向绑定网络设备一目标地址端口25重定向到0端口25协议TCP重定向绑定网络设备一目标地址端口110重定向到0端口110协议TCP

（使内网中的代理服务器提供出口部分）

第53页，共65页，2