防火墙技术原理演示文稿

防火墙技术原理演示文稿本文档共77页；当前第1页；编辑于星期二\22点23分防火墙技术原理本文档共77页；当前第2页；编辑于星期二\22点23分防火墙基本概念防火墙发展历程防火墙核心技术防火墙功能与原理防火墙的接入方式防火墙的典型应用防火墙性能防火墙局限性防火墙的两个争议目录本文档共77页；当前第3页；编辑于星期二\22点23分一种高级访问控制设备，置于不同网络安全域之间的一系列部件的组合，它是不同网络安全域间通信流的唯一通道，能根据企业有关的安全政策控制（允许、拒绝、监视、记录）进出网络的访问行为。两个安全域之间通信流的唯一通道安全域1HostAHostB安全域2HostCHostDUDPBlockHostCHostBTCPPassHostCHostADestinationProtocolPermitSource根据访问控制规则决定进出网络的行为防火墙的概念本文档共77页；当前第4页；编辑于星期二\22点23分防火墙基本概念

防火墙发展历程防火墙核心技术防火墙功能与原理防火墙的接入方式防火墙的典型应用防火墙性能防火墙局限性防火墙的两个争议目录本文档共77页；当前第5页；编辑于星期二\22点23分基于路由器的防火墙软件防火墙的初级形式，具有审计和告警功能对数据包的访问控制过滤通过专门的软件实现与第一代防火墙相比，安全性提高了，价格降低了在路由器中通过ACL规则来实现对数据包的控制；过滤判断依据：地址、端口号、协议号等特征是批量上市的专用软件防火墙产品安装在通用操作系统之上安全性依靠软件本身和操作系统本身的整体安全防火墙厂商具有操作系统的源代码，并可实现安全内核功能强大，安全性很高易于使用和管理是目前广泛应用的防火墙产品基于安全操作系统的防火墙基于通用操作系统的防火墙防火墙工具套防火墙的发展历程本文档共77页；当前第6页；编辑于星期二\22点23分防火墙基本概念防火墙发展历程

防火墙核心技术防火墙体系结构防火墙功能与原理防火墙的接入方式防火墙的典型应用防火墙性能防火墙局限性防火墙的两个争议目录本文档共77页；当前第7页；编辑于星期二\22点23分包过滤（Packetfiltering）：工作在网络层，仅根据数据包头中的IP地址、端口号、协议类型等标志确定是否允许数据包通过。应用代理（ApplicationProxy）：工作在应用层，通过编写不同的应用代理程序，实现对应用层数据的检测和分析。状态检测（StatefulInspection）：工作在2~4层，访问控制方式与1同，但处理的对象不是单个数据包，而是整个连接，通过规则表和连接状态表，综合判断是否允许数据包通过。完全内容检测（Compelete

ContentInspection）：工作在2~7层，不仅分析数据包头信息、状态信息，而且对应用层协议进行还原和内容分析，有效防范混合型安全威胁。防火墙的检测与过滤技术应用层传输层IP层网络接口层DataSegmentPacketFrameBitFlow本文档共77页；当前第8页；编辑于星期二\22点23分防火墙基本概念防火墙发展历程防火墙核心技术防火墙功能与原理防火墙的接入方式防火墙的典型应用防火墙性能防火墙局限性防火墙的两个争议目录本文档共77页；当前第9页；编辑于星期二\22点23分防火墙的作用集中的访问控制集中的加密保护集中的认证授权集中的内容检查集中的病毒防护集中的邮件过滤集中的流量控制集中的安全审计本文档共77页；当前第10页；编辑于星期二\22点23分基本功能地址转换访问控制VLAN支持带宽管理（QoS）入侵检测和攻击防御用户认证IP/MAC绑定动态IP环境支持数据库长连接应用支持路由支持ADSL拨号功能SNMP网管支持日志审计高可用性防火墙的功能扩展功能防病毒VPNIPSECVPNPPTP/L2TP本文档共77页；当前第11页；编辑于星期二\22点23分Internet4HostA受保护网络HostCHostD15防火墙Eth2：3Eth0：数据IP报头数据IP报头隐藏了内部网络的结构

内部网络可以使用私有IP地址公开地址不足的网络可以使用这种方式提供IP复用功能地址转换(NAT)本文档共77页；当前第12页；编辑于星期二\22点23分Internet公开服务器可以使用私有地址

隐藏内部网络的结构WWWFTPMAILDNSMAP：80TO：80MAP：21TO：21MAP：53TO：53MAP：25TO：25MAP(地址/端口映射)本文档共77页；当前第13页；编辑于星期二\22点23分HostCHostD防火墙的基本访问控制功能AccessnattoanypassAccesstoblockAccessdefaultpass规则匹配成功基于源IP地址基于目的IP地址基于源端口基于目的端口基于时间基于用户基于流量基于文件基于网址基于MAC地址本文档共77页；当前第14页；编辑于星期二\22点23分时间控制策略HostCHostD在防火墙上制定基于时间的访问控制策略上班时间不允许访问Internet上班时间可以访问公司的网络Internet本文档共77页；当前第15页；编辑于星期二\22点23分QoS带宽管理InternetWWWMailDNS财务部子网采购部子网出口带宽512KDMZ区保留256K分配70K带宽分配90K带宽分配96K带宽DMZ区域内部网络总带宽512K内网256KDMZ256K70K90K96K+++财务子网采购子网生产子网生产部子网本文档共77页；当前第16页；编辑于星期二\22点23分防火墙具有内置的IDS模块，可以有效检测并抵御常见的攻击行为，用户通过简单设置即可保护指定的网络对象免于受到以下类型的攻击：1.统计型攻击，包括：SynFlood、UDPFLOOD、ICMPFLOOD、IPSWEEP、PORTSCAN。2.异常包攻击，包括：Land、Smurf、PingofDeath、Winnuke、TcpScan、IpOption等

内置入侵检测功能本文档共77页；当前第17页；编辑于星期二\22点23分抗DOS攻击功能防火墙的SYN代理实现原理:在服务器和外部网络之间部署防火墙系统;防火墙在收到客户端的Syn包后，防火墙代替服务器向客户端发送Syn/Ack包;如果防火墙收到客户端的Ack信息，表明访问正常,由防火墙向服务器发送Syn包并完成后续的TCP握手,建立客户端到服务器的连接。通过这种Syn代理技术，保证每个Syn包源的真实有效性，确保虚假请求不被发往服务器，从而彻底防范对服务器的Syn-Flood攻击。SYNSYN/ACKACKSYNSYN/ACKACKSYNSYN/ACKACKClientServerSYNSYN本文档共77页；当前第18页；编辑于星期二\22点23分HostCHostDHostBHostA受保护网络InternetIDS黑客发起攻击发送通知报文验证报文并采取措施发送响应报文识别出攻击行为阻断连接或者报警等与IDS的安全联动本文档共77页；当前第19页；编辑于星期二\22点23分

丰富的认证方式和第三方认证支持InternetRADIUS服务器OTP认证服务器liming******防火墙将认证信息传给真正的RADIUS服务器进行认证将认证结果传给防火墙本地认证、内置OTP服务器认证支持第三方RADIUS服务器认证支持TACAS/TACAS+服务器认证支持S/KEY、SECUID、VIECA、LDAP、域认证等认证根据认证结果决定用户对资源的访问权限本文档共77页；当前第20页；编辑于星期二\22点23分InternetHostA

HostBHostCHostD00-50-04-BB-71-A600-50-04-BB-71-BCBINDTo00-50-04-BB-71-A6BINDTo00-50-04-BB-71-BCIP与MAC地址绑定后，不允许HostB假冒HostA的IP地址上网防火墙允许HostA上网IP与MAC（用户）的绑定199.168.1.2本文档共77页；当前第21页；编辑于星期二\22点23分对DHCP应用环境的支持InternetDHCP服务器HostAHostBHostCHostDHostEHostF没有固定IP地址只允许HostB上网设定HostB的MAC地址设定HostB的IP地址为空根据HostB的MAC地址进行访问控制本文档共77页；当前第22页；编辑于星期二\22点23分客户机建立连接并维持连接状态直到查询结束对数据库长连接的支持FR数据库查询一般需要比较长的时间，这些通讯连接建立成功后可能暂时没有数据通过（空连接），普通防火墙在连接建立一段时间后如果没有数据通讯会自动切断连接，导致业务不能正常运行需要较长的查询时间需要在防火墙里面维护这个连接状态，直到查询结束。该功能是可选的。本文档共77页；当前第23页；编辑于星期二\22点23分动态路由功能--RIP本文档共77页；当前第24页；编辑于星期二\22点23分动态路由功能--OSPF本文档共77页；当前第25页；编辑于星期二\22点23分ADSL拨号功能－PPPOE本文档共77页；当前第26页；编辑于星期二\22点23分HostCHostDHostBHostA受保护网络InternetInternet

SNMP报文获取硬件配置信息资源使用状况信息防火墙的流量信息防火墙的连接信息防火墙的版本信息防火墙的用户信息防火墙的规则信息防火墙的路由信息……SNMP服务器端SNMP客户端(HPopenview)支持SNMP网络管理本文档共77页；当前第27页；编辑于星期二\22点23分

日志分析功能会话日志：即普通连接日志通信源地址、目的地址、源目端口、通信时间、通信协议、字节数、是否允许通过命令日志和内容日志：即深度分析日志在通信日志的基础之上，记录下各个应用层命令参数和内容。例如HTTP请求及其要取的网页名。提供日志分析工具自动产生各种报表，智能化的指出网络可能的安全漏洞本文档共77页；当前第28页；编辑于星期二\22点23分Clint响应请求发送请求通信日志通信日志通信信息普通连接日志－会话日志本文档共77页；当前第29页；编辑于星期二\22点23分Clint响应请求发送请求命令日志命令日志深度分析日志(1)－命令日志命令信息本文档共77页；当前第30页；编辑于星期二\22点23分Clint响应请求发送请求访问日志访问日志深度分析日志(2)－内容日志访问信息本文档共77页；当前第31页；编辑于星期二\22点23分高可用性--双机热备功能内部网外网或者不信任域Eth0Eth0Eth1Eth1Eth2Eth2心跳线ActiveFirewallStandbyFirewall检测ActiveFirewall的状态发现出故障，立即接管其工作

正常情况下由主防火墙工作主防火墙出故障以后，接管它的工作HuborSwitchHuborSwitch通过ISTP协议可以交换两台防火墙的状态信息当一台防火墙故障时，这台防火墙的连接不需要重新建立就可以透明的迁移到另一台防火墙上，用户不会察觉到本文档共77页；当前第32页；编辑于星期二\22点23分丰富的链路备份功能网口单combo口双链路备份网口网口双端口环形光纤链路备份HAHA双机备份全冗余备份防火墙路由器交换机本文档共77页；当前第33页；编辑于星期二\22点23分WWW1WWW2WWW3负载均衡算法：轮流轮流+权值最少连接最少连接+权值根据负载均衡算法将数据重定位到一台WWW服务器服务器阵列响应请求高可用性--服务器负载均衡本文档共77页；当前第34页；编辑于星期二\22点23分防火墙提供了“链路备份”功能来实时监视整个链路的工作情况，一旦发现异常，就立即启动“链路备份”功能自动切换到另一条备用链路，以确保网络的正常通信。高可用性--网络链路备份功能本文档共77页；当前第35页；编辑于星期二\22点23分高可用性-双系统冗余防火墙作为网络中的关键设备，对于维护网络的正常通信以及安全保障起着举足轻重的作用。所以，对防火墙本身的有效性和可用性就有了很高的要求。防火墙内置备份系统，这样，在主系统出现异常或由于升级失败而不能正常引导系统的情况下，用户可以手工选择使用备份系统。本文档共77页；当前第36页；编辑于星期二\22点23分扩展功能--病毒过滤功能(1)本文档共77页；当前第37页；编辑于星期二\22点23分扩展功能--病毒过滤功能(2)本文档共77页；当前第38页；编辑于星期二\22点23分扩展功能--

IPSECVPN功能本文档共77页；当前第39页；编辑于星期二\22点23分支持L2TP/PPTPVPN功能本文档共77页；当前第40页；编辑于星期二\22点23分支持DDNS功能本文档共77页；当前第41页；编辑于星期二\22点23分防火墙基本概念防火墙发展历程防火墙核心技术

防火墙体系结构防火墙功能与原理防火墙的接入方式防火墙的典型应用防火墙性能防火墙局限性防火墙的两个争议目录本文档共77页；当前第42页；编辑于星期二\22点23分受保护网络Internet如果防火墙支持透明模式，则内部网络主机的配置不用调整HostA

HostCHostDHostB同一网段透明模式下，这里不用配置IP地址透明模式下，这里不用配置IP地址防火墙相当于网桥，原网络结构没有改变透明接入本文档共77页；当前第43页；编辑于星期二\22点23分受保护网络InternetHostA

HostCHostDHostB防火墙相当于一个简单的路由器提供简单的路由功能路由接入本文档共77页；当前第44页；编辑于星期二\22点23分ETH0：ETH2：网段网段此时整个防火墙工作于透明+路由模式，我们称之为综合模式或者混合模式网段ETH1：两接口在不同网段，防火墙处于路由模式两接口在不同网段，防火墙处于路由模式两接口在同一网段，防火墙处于透明模式灵活的接入方式－综合接入本文档共77页；当前第45页；编辑于星期二\22点23分防火墙基本概念防火墙发展历程防火墙核心技术防火墙体系结构防火墙功能与原理防火墙的接入方式防火墙的典型应用防火墙性能防火墙局限性防火墙的两个争议目录本文档共77页；当前第46页；编辑于星期二\22点23分DDN/帧中继总行省中支A省中支BDDN/PSTN地市行A地市行B防火墙的典型应用（梯形结构）本文档共77页；当前第47页；编辑于星期二\22点23分总部分部分部访问控制访问授权信息审计……访问控制访问授权信息审计……访问控制访问授权信息审计……防火墙的典型应用（星型结构）帧中继专网本文档共77页；当前第48页；编辑于星期二\22点23分InternetDDN/PSTN内部专网黑客攻击病毒非授权访问恶意代码……阻断防火墙的典型应用三（简单结构）分支网络本文档共77页；当前第49页；编辑于星期二\22点23分防火墙基本概念防火墙发展历程防火墙核心技术防火墙功能与原理防火墙的接入方式防火墙的典型应用防火墙性能防火墙局限性防火墙的两个争议目录本文档共77页；当前第50页；编辑于星期二\22点23分衡量防火墙性能的五大指标吞吐量：该指标直接影响网络的性能，吞吐量时延：入口处输入帧最后1个比特到达至出口处输出帧的第1个比特输出所用的时间间隔丢包率：在稳态负载下，应由网络设备传输，但由于资源缺乏而被丢弃的帧的百分比背靠背：从空闲状态开始，以达到传输介质最小合法间隔极限的传输速率发送相当数量的固定长度的帧，当出现第一个帧丢失时，发送的帧数并发连结数：并发连接数是指穿越防火墙的主机之间或主机与防火墙之间能同时建立的最大连接数

本文档共77页；当前第51页；编辑于星期二\22点23分吞吐量定义：在不丢包的情况下能够达到的最大速率衡量标准：吞吐量越大，防火墙的性能越高

~;%#@*$^&*&^#**(&Smartbits6000B测试仪以最大速率发包直到出现丢包时的最大值防火墙吞吐量小就会成为网络的瓶颈100M60M本文档共77页；当前第52页；编辑于星期二\22点23分数据包首先排队待防火墙检查后转发时延定义：入口处输入帧最后1个比特到达至出口处输出帧的第一个比特输出所用的时间间隔衡量标准：延时越小，表示防火墙的性能越高

Smartbits6000B测试仪最后1个比特到达第一个比特输出时间间隔造成数据包延迟到达目标地本文档共77页；当前第53页；编辑于星期二\22点23分丢包率定义：在连续负载的情况下，防火墙设备由于资源不足应转发但却未转发的帧百分比

衡量标准：丢包率越小，防火墙的性能越高Smartbits6000B测试仪发送了1000个包防火墙由于资源不足只转发了800个包丢包率=（1000-800）/1000=20%本文档共77页；当前第54页；编辑于星期二\22点23分背靠背定义：从空闲状态开始，以达到传输介质最小合法间隔极限的传输速率发送相当数量的固定长度的帧，当出现第一个帧丢失时，发送的帧数。衡量标准：背对背包主要是指防火墙缓冲容量的大小,网络上经常有一些应用会产生大量的突发数据包（例如：NFS,备份，路由更新等），而且这样的数据包的丢失可能会产生更多的数据包的丢失，强大缓冲能力可以减小这种突发对网络造成的影响。Smartbits6000B测试仪时间（t）包数量（n）少量包包增多峰值包减少没有数据背靠背是体现防火墙对突发数据的处理能力本文档共77页；当前第55页；编辑于星期二\22点23分并发连接数定义：指数据包穿越防火墙时同时建立的最大连接数。衡量标准：并发连接数主要用来测试防火墙建立和维持TCP连接的性能，并发连接数越大，防火墙的处理性能越高。并发连接数指标可以用来衡量穿越防火墙时同时建立的最大连接数并发连接并发连接本文档共77页；当前第56页；编辑于星期二\22点23分防火墙基本概念防火墙发展历程防火墙核心技术防火墙功能与原理防火墙的接入方式防火墙的典型应用防火墙性能防火墙局限性防火墙的两个争议目录本文档共77页；当前第57页；编辑于星期二\22点23分防火墙的局限性防火墙虽然是保护网络安全的基础性设施，但是它还存在着一些不易防范的安全威胁：首先防火墙不能防范未经过防火墙或绕过防火墙的攻击。例如，如果允许从受保护的网络内部向外拨号，一些用户就可能形成与Internet的直接连接。防火墙基于数据包包头信息的检测阻断方式，主要对主机提供或请求的服务进行访问控制，无法阻断通过开放端口流入的有害流量，并不是对蠕虫或者黑客攻击的解决方案。另外，防火墙很难防范来自于网络内部的攻击或滥用。本文档共77页；当前第58页；编辑于星期二\22点23分防火墙基本概念防火墙发展历程防火墙核心技术防火墙体系结构防火墙功能与原理防火墙的接入方式防火墙的典型应用防火墙性能防火墙局限性防火墙的两个争议目录本文档共77页；当前第59页；编辑于星期二\22点23分

防火墙的胖－瘦之争防火墙的硬件架构之争争议本文档共77页；当前第60页；编辑于星期二\22点23分防火墙的“胖”与“瘦”

由于防火墙在网络中所处的重要位置，因此，人们对防火墙可以说是寄予厚望。现在防火墙正在不断增加各种各样的新功能，因此防火墙正在急剧“长胖”。本文档共77页；当前第61页；编辑于星期二\22点23分“胖”防火墙是指功能大而全的防火墙，它力图将安全功能尽可能多地包含在内，从而成为用户网络的一个安全平台；胖防火墙的定义访问控制病毒防护入侵检测交换路由内容过滤信息审计传输加密其他胖防火墙本文档共77页；当前第62页；编辑于星期二\22点23分胖防火墙的优势与不足优势：首先是功能全其次是控制力度细第三是协作能力强降低采购和管理成本不足：主要表现在性能降低其次是自身安全性相对较弱还有专业性不强，表现为功能模块的拼凑第四是稳定性不强，系统越大，BUG越多最后是配置复杂，不合理的配置会带来更大的安全隐患本文档共77页；当前第63页；编辑于星期二\22点23分访问控制病毒防护入侵检测交换路由内容过滤信息审计传输加密其他瘦防火墙安全联动“瘦”防火墙是指功能少而精的防火墙，它只作访问控制的专职工作，对于综合安全解决方案，则采用多家安全厂商联盟的方式来实现。

瘦防火墙的定义本文档共77页；当前第64页；编辑于星期二\22点23分瘦防火墙的优势与不足优势：

性能高注重核心功能，专业性强整体安全性高配置简单，简化对管理员的专业要求不足：功能单一整体防护能力不能满足需求整体采购成本较高本文档共77页；当前第65页；编辑于星期二\22点23分构建联动、统一的动态安全防护体系无论是“胖”防火墙的集成，还是“瘦”防火墙的联动，安全产品正在朝着体系化的结构发展，所谓“胖瘦”不过是这种体系结构的具体表现方式，“胖”将这种体系表现在一个产品中，而“瘦”将这种体系表现在一系列产品或是说一个整体方案中。同时，不管哪种体系结构，都必须通过安全管理中心来监控、协调、管理网络中的其他安全产品和网络产品，构建联动、统一的动态安全防护体系。

本文档共77页；当前第66页；编辑于星期二\22点23分争议防火墙的胖－瘦之争防火墙的硬件架构之争本文档共77页；当前第67页；编辑于星期二\22点23分防火墙硬件架构基于X86体系的通用CPU架构基于网络处理器的NPU架构

基于专用处理芯片的ASIC架构本文档共77页；当前第68页；编辑于星期二\22点23分基于X86架构的防火墙X86架构防火墙中，其CPU具有高灵活性、高扩展性的特性；通用CPU具有体系化的指令集和系统结构，容易支持复杂的运算和开发新的功能；基于X86架构防火墙的处理速度和能力能够很好的适应各种百兆网络环境和一般千兆网络环境的需求；基于X86防火墙由于受CPU处理能力和PCI总线的制约，在更高的千兆环境下其性能和功能则日益不能满足于需求；本文档共77页；当前第69页；编辑于星期二\22点23分硬件平台技术分析-x86基于X86的平台主要提供商Intel，AMDX86特点：软件开发比较灵活便于快速推出产品投资少发热比较大受总线带宽的限制难以满足高速环境本文档共77页；当前第70页；编辑于星期二\22点23分硬件平台技术分析-其他嵌入式基于其他