第2部分锐捷防火墙分类解析课件

计算机网络安全技术与实施第二部分锐捷防火墙技术计算机网络安全技术与实施第二部分目录

防火墙的分类1地址转换防火墙536状态防火墙14应用网关防火墙包过滤防火墙26透明防火墙目录 防火墙的分类1地址转换防火墙536状态防火墙14应防火墙的分类防火墙分类按照操作对象主机防火墙网络防火墙按照实现方式软件防火墙硬件防火墙按照过滤和检测方式包过滤防火墙状态防火墙应用网关防火墙地址转换防火墙透明防火墙混合防火墙防火墙的分类防火墙分类主机防火墙与网络防火墙主机防火墙位置优势低成本难于部署、维护缺乏透明度功能局限性示例MicrosoftICFNortonPersonalFirewall网络防火墙功能强大性能高透明度强成本高内部攻击保护性差示例RuijieRG-WALLJuniperNetscreenCiscoPIX/ASAFortinetFortiGate天融信NetGuard主机防火墙与网络防火墙主机防火墙网络防火墙软件防火墙与硬件防火墙软件防火墙应用层控制和检测功能丰富性能低自身安全性问题示例MicrosoftISASunScreenCheckPointFirewall硬件防火墙性能高自身安全性高易于维护缺乏高级功能示例RuijieRG-WALLJuniperNetscreenCiscoPIX/ASAFortinetFortiGate天融信NetGuard软件防火墙与硬件防火墙软件防火墙硬件防火墙包过滤防火墙无状态包过滤防火墙技术最基本的防火墙过滤方式根据L3/L4信息进行过滤源和目的IP协议ICMP消息和类型TCP/UDP源和目的端口处理速度快无法阻止应用层攻击部署复杂，维护量大部署方式作为Internet边界的第一层防线隐式拒绝，显示允许示例使用ACL过滤的路由器包过滤防火墙无状态包过滤防火墙技术包过滤防火墙（续）无状态包过滤防火墙示例包过滤防火墙（续）无状态包过滤防火墙示例状态防火墙有状态包过滤防火墙技术与无状态包过滤防火墙执行相似的操作保持对连接状态的跟踪，状态表无需开放高端口访问权限不属于现有会话的访问将被拒绝检查更高级的信息TCPFlag、TCPSeq.更多的DoS防护特定应用层协议检测不能阻止应用层攻击状态表导致的系统开销部署方式作为主要的防御措施需要更加严格的控制状态防火墙有状态包过滤防火墙技术状态防火墙（续）无状态包过滤的问题有状态包过滤防火墙的实现跟踪连接的状态状态防火墙（续）无状态包过滤的问题状态防火墙（续）无应用层检测的状态防火墙状态防火墙（续）无应用层检测的状态防火墙状态防火墙（续）支持应用层检测的状态防火墙动态协议检测（FTP、NetBIOS、SQLNET、SIP…..)检测应用层报头中的信息（应用层命令）状态防火墙（续）支持应用层检测的状态防火墙应用网关防火墙应用网关防火墙技术通常称为代理防火墙（ProxyFirewall）操作在L3/L4/L5/L7支持身份认证监控和过滤应用层信息通过软件处理支持的应用有限可能需要部署客户端软件部署方式作为主要的的防御措施需要更严格的身份及会话验证应用网关防火墙应用网关防火墙（续）连接网关防火墙执行传统的应用网关防火墙检测方式直通代理防火墙（Cut-Through）简化的应用网关防火墙对于初始连接请求进行身份验证会话的后续信息执行L3/L4过滤更好的性能应用网关防火墙（续）地址转换防火墙NAT防火墙技术解决了公有IP地址匮乏的问题在L3/L4操作隐藏了内部网络结构引入了延时破坏了IP的端到端模型对应用的支持限制一些应用将连接信息嵌入到应用层报文中NATALG（ApplicationLayerGateway）地址转换防火墙地址转换防火墙（续）NATALG（SQLNET）地址转换防火墙（续）NATALG（SQLNET）地址转换防火墙（续）NATALG（DNS）地址转换防火墙（续）NATALG（DNS）透明防火墙透明防火墙充当网桥的角色可操作于L2/L3/L4/L5/L7易于部署即插即用零配置无需更改编制结构无需更改路由拓扑隐蔽性高透明设备，0跳无IP，无连接可达到透明防