防火墙基本知识课件

WestoneLegendMaker防火墙

FireWallWestoneLegendMaker防火墙

Fire防火墙防火墙设置在不同网络域（如可信任的企业内部网和不可信的公共网）之间，它可通过监测、限制、更改跨越防火墙的数据流，尽可能地对外部屏蔽网络内部的信息、结构和运行状况，以此来实现网络的安全保护。防火墙防火墙设置在不同网络域（如可信任的防火墙采用的阻断策略与放行策略所有进出网络的数据流必须经过防火墙所有穿过防火墙的数据流必须匹配安全策略防火墙策略防火墙采用的阻断策略与放行策略防火墙策略防火墙的作用信息隐藏互联网防火墙安全通信入侵检测审记预警防火墙的作用信息隐藏互联网防火墙安全通信入侵检测审记预警WLM防火墙基本功能概述实时的连接状态监控功能

动态过滤技术

基于网络IP和MAC地址绑定的包过滤

网络地址转换（NAT）透明代理（TransparentProxy）URL级的信息过滤

流量控制管理

支持IDS互动

基于SSL的远程管理

认证、授权、记帐（AAA）

抗攻击和自我保护能力

工作模式的多样性

支持双机热备份功能

审计和告警功能

安全的网络结构和安全的体系结构

提供操作简单的图形化用户界面对防火墙进行配置

WLM防火墙基本功能概述实时的连接状态监控功能实时的连接状态监控功能基于连接的状态检查，将属于同一连接的所有包作为一个整体的数据流看待，构成连接状态表通过规则表与状态表的共同配合，对表中的各个连接状态因素加以识别，大大的提高了系统的性能和安全性连接状态表里的记录可以随意排列，提高系统查询效率对基于UDP协议的连接处理时，会为UDP建立虚拟的连接，对连接过程状态进行监控实时的连接状态监控功能基于连接的状态检查，将属于同一连接的所动态过滤技术利用静态规则打开的极少数端口，作动态的分析，适时打开所需端口，服务结束后，自动关闭端口这样，尽可能地消除“开口”隐患动态过滤技术利用静态规则打开的极少数端口，作动态的分析，适时包过滤技术定制数据包过滤规则，除了对源／目的地址，端口的控制外，还可以对服务，协议，传输方向，源路由以及时间的访问控制。包过滤技术定制数据包过滤规则，除了对源／目的MAC地址绑定将内部网络接口的IP地址同它的硬件物理地址（MAC地址）进行绑定的功能，防止IP地址盗用。同时提供一种自动搜索局域网内给定网段的MAC地址的方法，自动获取所有IP地址对应的MAC地址。主动地探寻到内部网络MAC盗用情况。MAC地址绑定将内部网络接口的IP地址同它的网络地址转换（NAT）一对一的地址映射多对一的地址映射提供源地址转换和目的地址转换动态地址池隐藏了内部网络的真实地址与拓扑结构解决IP地址短缺的问题提高整体的安全性网络地址转换（NAT）一对一的地址映射源地址：端口6：61***目的地址：端口5：80源地址：端口5：80目的地址：端口6：61***回应的包源地址：端口5：80目的地址：端口：1024源地址：端口：1024目的地址：端口5：80源IP包内部网NAT外部网NAT原理图202.106.92.26源地址：端口6：61***目的地址：透明的应用代理访问FTP，TELNET，HTTP，SMTP，POP3，DNS等应用实现了透明的代理服务提供特殊的筛选命令，禁止用户使用容易造成攻击的不安全命令，抵御攻击还能够过滤非安全脚本，如ActiveX，JAVAApplet，JavaScript以及进行邮件过滤。

屏蔽内部网的细节可以对出入防火墙的所有应用层连接进行统一的管理，处理速度快，处理连接多，保证了系统的高效性。

透明的应用代理访问FTP，TELNET，HTTP，SMTP，透明的应用代理访问方式应用层IPTCP透明的应用代理访问方式应用层IPTCPURL级信息过滤控制屏蔽内部网络对某些站点的访问，进行智能分析、过滤功能。提供URL拦截、屏蔽功能，管理员可以根据智能的内容统计结果，手动或计算机自动屏蔽某些URL实达-龙马卫士防火墙提供URL级屏蔽的另一大特点，是能够控制屏蔽用户通过其他代理服务器访问的Web站点。

URL级信息过滤控制屏蔽内部网络对某些站点的访问，进行智能分智能的内容过滤--提供URL级内容拦截、屏蔽功能国际互联网公司职员SexStockGames工作时间游戏人间？浏览色情的网站大量下载电脑游戏，程式...智能的内容过滤--提供URL级内容拦截、屏蔽功能国际互联网公PPP支持国际互联网modemRS232modemRS232PSTN/ISDNPPP支持国际互联网modemRS232modemRS232流量控制基于IP地址与用户的流量控制可以对通过防火墙各个网络接口的流量进行控制，监视所有使用TCP、UDP和ICMP协议通过防火墙的数据连接可以防止某些应用或用户占用过大的资源以及资源的不正常消耗，从而保证了关键接口以及重要用户的连接，有效地管理网络资源，更有效地利用宝贵的带宽资源，进而保证网络的正常运行，防止网络阻塞。

流量控制基于IP地址与用户的流量控制可以对通过防火墙各个网络IDS系统互动入侵检测（IDS-IntrusionDetectionSystem）技术作为主动的安全防御技术，通过分析网络数据流实时发现和跟踪网络攻击和违规活动，对网络进行实时检测，提供对内部攻击、外部攻击和误操作的主动保护。但其技术局限性在于它在网络中的物理位置，通常情况下它并不是网络的一个关口，因此它的阻断功能并不能保证百分之百的成功率。实达-龙马卫士防火墙结合入侵检测技术与防火墙技术各自的优势，实现IDS系统互动。IDS系统互动入侵检测（IDS-IntrusionDeIDS系统互动

实达-龙马卫士防火墙实现两系统互动，当IDS系统在检测到异常情况时，实现IDS系统向防火墙发送阻断命令的功能。其中IDS系统到防火墙的通讯使用加密通道，并对发送者的身份进行认证，从而防火墙能够只接受那些来自具有合法身份的发送者所发出的阻断命令。

IDS系统互动实达-龙马卫士防火墙实现两系统互动，当IIDS系统互动防火牆STOP!ALERT!ATTACKDETECTED入侵检测IDS系统互动防火牆STOP!ALERT!入侵检测IDS系统互动防火牆STOP!入侵检测IDS系统互动防火牆STOP!入侵检测基于SSL的远程管理防火墙支持远程设置和管理，用户即使不在本地，也可以直接对防火墙进行管理，配置各项服务和网络功能，方便易行。管理客户端和防火墙的通讯采用SSL加密技术，所有配置管理信息在网络上全部以密文传输，可以防止恶意攻击者使用网络监听工具窃取信息。

基于SSL的远程管理认证、授权、记帐（AAA）防火墙提供基于用户的认证、授权以及记帐（即AAA体系）功能。

认证、授权、记帐（AAA）可以对所有用户进行分组管理，对用户组进行授权。当用户通过防火墙进行访问时，首先需要对其身份进行认证，认证方式简单方便，认证的工具可以是任何支持认证的网页浏览器如IE或Netscape。身份认证是基于密码技术的，在传输时进行加密，并且，对防火墙和控制端之间通过网络传输的所有数据全部加密，这样有效地防止了在网络传输过程中数据被窃听、篡改，达到更高可靠性的身份认证。认证通过后确定用户所属的用户组，系统将检查安全策略中对此用户组的授权。用户被授权后所有的资源访问能够进行记录实现记帐。

用户身份认证可以对所有用户进行分组管理，对用户组进行授权。当用户通过防火抗攻击和自我保护能力除了专用的服务口外，不接受来自任何其它端口的直接访问禁止所有的常规服务和用户的直接登录防火墙能够处理一些常见的对于TCP、UDP、ICMP协议的攻击或探测，如Flooding攻击、Jolt2、PingofDeath、ICMPSmurfAttack、操作系统探测等多种攻击，并能对这些异常情况做出忽略、记录日志、警告以及拒绝等操作。

抗攻击和自我保护能力除了专用的服务口外，不接受来自任何其它端工作模式的多样性在保留现有功能的前提下，支持透明的网络连接，使用户无需更改现有网络的任何配置，使系统安装更方便工作模式的多样性在保留现有功能的前提下，支持透明的网工作模式系统能提供：路由模式透明模式混合模式外部路由器非军事区（DMZ）WWWFTPHTTPDNSIP：控制区（Control）外部网络

外部DNS服务器IP：

内部网络（LAN）IP:IP:IP:Switcheth3（透明）IP：eth0（透明）IP：WLM防火墙eth1（非透明）IP：eth2（透明）IP：单机混合模式--路由、透明模式工作模式系统能提供：外部路由器WWWFCfgGUIIP：控制区（Control）

IP：IP：IP：WWW服务器FTP服务器DNS服务器非军事区（DMZ）

内部网络（LAN）IP:eth3（非透明）IP：eth0（透明）IP：WLM防火墙（主）外部网络

eth3（非透明）IP：eth0（透明）IP：WLM防火墙（从）IP:HUBHUBHUBHUB外部路由器IP：IP:外部DNS服务器IP：Switcheth1（非透明）IP：eth2（透明）IP：eth2（透明）IP：eth1（非透明）IP：SwitchSwitch网桥IP：双机热备份混合模式--路由、混合模式工作模式

双机热备份常规运作的时候分为主服务器和备份服务器如果因网络或某些因素使主防火墙服务器不能正常运作时，备份服务器会在数秒钟内自动启动，保护网络安全，并发出警告通知网络管理员。提高系统的稳定性、容错性双机热备份常规运作的时候分为主服务器和备份服务器双机热备份集线器集线器Internet双机热备份集线器集线器Internet双机热备份切换条件一：主机DOWN机集线器集线器双机热备份切换条件一：集线器集线器双机热备份切换条件二：网络故障集线器集线器双机热备份切换条件二：集线器集线器双机热备份切换条件三：性能下降CPU内存8030集线器集线器双机热备份切换条件三：CPU内存8030集线器集线器双机热备份切换条件四：关键进程错误集线器集线器双机热备份切换条件四：集线器集线器安全的网络结构区域隔离LAN区—不对外提供服务DMZ区—对外提供服务Control区—专用来配置防火墙的区域

WWW服务器

FTP服务器

SMTP等服务器

开放区DMZ实达-龙马卫士防火墙互联网络TheInternet用户控制区

内部网内部网络安全的网络结构区域隔离安全的体系结构在应用层、传输层、网络层，数据链路层对内外通讯进行监控表示层网络层传输层会话层应用层物理层数据链路层实达-龙马卫士防火墙包过滤网络地址转换透明代理实达-龙马卫士防火墙IP包头DATAUDPTCPICMP安全的体系结构在应用层、传输层、网络层，数据链路层表示层网络实时监视与事件告警利用事件分析机制，实时监控分析网络活动，一旦发现有入侵倾向或行为时（如地址盗用，网络连接错误，系统错误等），立即向系统管理员发出报警提示，对受到的攻击进行完备的记录。真正实现了内部监控，使防火墙处于主动地位，能及时有效地防止入侵行为的攻击。实时监视与事件告警利用事件分析机制，实时监控分析网络活动，审计审计日志提供网络访问活动情况、对防火墙的访问操作等的审计日志

数据记录提供基于各种网络的数据记录；提供基于数据记录的数据内容分析，包括Telnet、FTP、WWW等各项服务及带宽使用，网络传输等内容的查看和分析。

日志文件系统管理员可以实时地查询配置更改日志，告警日志，一般事件日志，包过滤日志或代理服务的日志信息。也可以根据需要查看存档在数据库中的日志，日志