《网络安全设备原理与应用》 课件 07-下一代防火墙概述；08-下一代防火墙组网方案

下一代防火墙概述了解防火墙的定义及其发展历程了解防火墙的发展历程教学目标防火墙的定义防火墙发展历程目录防火墙的定义什么是防火墙？墙，始于防，忠于守。从古至今，墙予人以安全之意。防火墙的定义防火墙分类按物理特性划分按性能划分按防火墙结构划分按防火墙技术划分防火墙分类软件防火墙硬件防火墙百兆级防火墙千兆级防火墙······单一主机防火墙路由集成防火墙分布式防火墙······包过滤防火墙应用代理防火墙状态监测防火墙······防火墙的定义防火墙的功能1.访问控制2.地址转换3.网络环境支持4.带宽管理功能7.高可用性6.用户认证5.入侵检测和攻击防御防火墙的定义防火墙安全策略定义安全策略是按一定规则，控制设备对流量转发以及对流量进行内容安全一体化检测的策略。规则的本质是包过滤。主要应用对跨防火墙的网络互访进行控制对设备本身的访问进行控制防火墙的定义防火墙安全策略作用根据定义的规则对经过防火墙的流量进行过滤筛选，再进行下一步操作。防火墙安全策略的原理入数据流出数据流

BBAABBBAAAA

AAAAAAPolicy0：允许APolicy1：拒绝B防火墙安全策略步骤1：入数据流经过防火墙步骤2：查找防火墙安全策略判断是否允许下一步操作步骤３：防火墙根据定义的安全策略对数据包进行处理默认策略操作防火墙的定义安全策略分类域间安全策略域内安全策略接口包过滤Trust区域Untrust区域G0/0/0G0/0/1OutbountInbountTrust区域G0/0/0InbountOutbount防火墙的定义防火墙发展历程目录防火墙发展历程防火墙发展进程防火墙发展历程传统防火墙（包过滤防火墙）——一个严格的规则表判断信息数据包的源IP地址、目的IP地址、协议类型、源端口、目的端口（五元组）工作范围网络层、传输层（3-4层）和路由器的区别普通的路由器只检查数据包的目标地址，并选择一个达到目的地址的最佳路径。防火墙除了要决定目的路径以外还需要根据已经设定的规则进行判断“是与否”。技术应用包过滤技术防火墙发展历程传统防火墙（包过滤防火墙）——一个严格的规则表优势对于小型站点容易实现，处理速度快，价格便宜劣势规则表很快会变得庞大复杂难运维，只能基于五元组包过滤防火墙非信任网络信任网络匹配规则：①有允许规则：是；②有拒绝规则：否；③无相关规则：否；防火墙发展历程传统防火墙（应用代理防火墙）——每个应用添加代理判断信息所有应用层的信息包工作范围应用层（7层）和包过滤防火墙的区别包过滤防火墙工作基于3-4层，通过检验报头进行规则表匹配。应用代理防火墙工作7层，检查所有的应用层信息包，每个应用需要添加对应的代理服务。技术应用应用代理技术防火墙发展历程传统防火墙（应用代理防火墙）——每个应用添加代理优势检查了应用层的数据劣势检测效率低，配置运维难度极高，可伸缩性差代理一：客户端到防火墙代理一：防火墙到服务器只检查数据客户端服务器防火墙发展历程传统防火墙（状态检测防火墙）——首次检查建立会话表判断信息IP地址、端口号、TCP标记工作范围数据链路层、网络层、传输层（2-4层）和包过滤防火墙的区别包过滤防火墙工作基于3-4层，通过检验报头进行规则表匹配。是包过滤防火墙的升级版，一次检查建立会话表，后期直接按会话表放行。技术应用状态检测技术防火墙发展历程传统防火墙（状态检测防火墙）——首次检查建立会话表优势主要检查3-4层能够保证效率，对TCP防御较好劣势应用层控制较弱，不检查数据区包过滤防火墙非信任网络信任网络防火墙发展历程入侵检测系统（IDS）——网络摄像头部署方式旁路部署，可多点部署工作范围2-7层工作特点根据部署位置监控到的流量进行攻击事件监控，属于一个事后呈现的系统，相当于网络上的监控摄像头目的传统防火墙只能基于规则执行“是”或“否”的策略，IDS主要是为了帮助管理员清晰的了解到网络环境中发生了什么事情。防火墙发展历程入侵检测系统（IDS）——网络摄像头分析方式基于规则入侵检测基于规则入侵检测统计模型分析呈现防火墙非信任网络信任网络入侵检测系统探测器分析器用户接口防火墙发展历程入侵防御系统（IPS）——抵御2-7层已知威胁部署方式串联部署工作范围2-7层工作特点根据已知的安全威胁生成对应的过滤器（规则），对于识别为流量的阻断，对于未识别的放通目的IDS只能对网络环境进行检测，但却无法进行防御，IPS主要是针对已知威胁进行防御防火墙发展历程入侵防御系统（IPS）——抵御2-7层已知威胁入侵防御系统非信任网络信任网络防火墙发展历程防病毒网关（AV）——基于网络侧识别病毒文件判断信息数据包工作范围2-7层目的防止病毒文件通过外网络进入到内网环境数据包文件还原防病毒网关非信任网络信任网络防火墙发展历程防病毒网关（AV）——基于网络侧识别病毒文件和防火墙的区别防火墙发展历程Web应用防火墙（WAF）——专门用来保护web应用判断信息http协议数据的request和response工作范围应用层（7层）目的防止基于应用层的攻击影响Web应用系统防火墙发展历程Web应用防火墙（WAF）——专门用来保护web应用主要技术原理代理服务：会话双向代理，用户与服务器不产生直接链接，对于DDOS攻击可以抑制特征识别：通过正则表达式的特征库进行特征识别算法识别：针对攻击方式进行模式化识别，如SQL注入、DDOS、XSS等Web应用防火墙非信任网络服务器防火墙发展历程统一威胁管理（UTM）——多合一安全网关包含功能FW、IDS、IPS、AV工作范围2-7层（但是不具备web应用防护能力）目的将多种安全问题通过一台设备解决优点功能多合一有效降低了硬件成本、人力成本、时间成本缺点模块串联检测效率低，性能消耗大防火墙发展历程统一威胁管理（UTM）——多合一安全网关非信任网络信任网络UTM防火墙发展历程下一代防火墙（NGFW）——升级版的UTM包含功能FW、IDS、IPS、AV、WAF工作范围2-7层和UTM的区别与UTM相比增加的web应用防护功能UTM是串行处理机制，NGFW是并行处理机制NGFW的性能更强，管理更高效防火墙的定义防火墙发展历程总结下一代防火墙组网方案了解下一代防火墙组网方案教学目标下一代防火墙组网简介下一代防火墙组网方案策略路由解决方案目录下一代防火墙组网方案路由模式组网需求背景客户需求：现有的拓扑如下图，使用AF替换现有防火墙部署在出口，实现对内网用户和服务器安全防护。内网用户服务器区下一代防火墙组网方案路由模式组网需求分析：部署前我们需要做哪些准备工作？了解现有防火墙设备的内外网接口配置内网网段如何规划，需要写回程路由内网服务器是否需要做端口映射是否需要做源地址转换代理内网电脑上网内外网权限需要做哪些控制需要配置哪些安全防护策略满足客户需求现有拓扑是否完整下一代防火墙组网方案路由模式组网配置思路配置接口地址，并定义接口对应的区域：在【网络】-【接口/区域】-【物理接口】中，选择接口，并配置接口类型、所属区域、基本属性、IP地址配置路由：在【网络】-【路由】中，新增静态路由，配置默认路由和回程路由配置代理上网：在【策略】-【地址转换】中，新增源地址转换配置端口映射：在【策略】-【地址转换】中，新增服务器映射配置应用控制策略，放通内网用户上网权限：在【策略】-【访问控制】-【应用控制策略】中，新增应用控制策略，放通内到外的数据访问权限配置安全防护策略：如业务防护策略、用户防护策略等下一代防火墙组网方案路由模式组网单臂路由模式单臂路由是指在路由器的一个接口上通过配置子接口（逻辑接口，并不存在真正物理接口）的方式，实现原来相互隔离的不同VLAN（虚拟局域网）之间的互联互通vlan10vlan20trunkEth2.10(vlan10):/24Eth2.20(vlan20):/24下一代防火墙组网方案路由模式组网配置案例某用户网络是跨三层的环境，购买AF设备打算部署在公网出口，代理内网用户上网，公网线路是光纤接入固定分配IP的，具体网络拓扑如图所示54/24/24/24/24/29/29下一代防火墙组网方案路由模式组网配置步骤1配置接口地址，并定义接口对应的区域：在【网络】-【接口/区域】-【物理接口】中，分别选择两个接口作为内外网口，并配置接口类型、所属区域、基本属性、IP地址。下一代防火墙组网方案路由模式组网配置步骤2配置路由：在【网络】-【路由】中，新增静态路由，配置默认路由和回程路由。下一代防火墙组网方案路由模式组网配置步骤3配置代理上网：在【策略】-【地址转换】中，新增NAT，配置源地址转换。下一代防火墙组网方案路由模式组网配置步骤4配置应用控制策略，放通内网用户上网权限：在【策略】-【访问控制】-【应用控制策略】中，新增应用控制策略，放通内到外的数据访问权限。下一代防火墙组网方案路由模式组网注意事项在路由模式部署时，防火墙位于内部网络和外部网络之间，负责在内部网络、外部网络中进行路由寻址，相当于路由器。其与内部网络、外部网络相连的上下行业务接口均工作在三层，需要分别配置不同网段的IP地址路由模式部署支持更多的安全特性，如NAT、策略路由选择，动态路由协议（OSPF、BGP、RIP等）等需要修改原网络拓扑，对现有环境改动较大一般部署在需要进行路由转发的位置，如出口路由器或替换已有路由器、老防火墙等场景下一代防火墙组网方案透明模式组网需求背景客户需求：现有的拓扑如下图，需要增加一台AF设备做安全防护，但不能改动现有网络环境内网用户服务器区下一代防火墙组网方案透明模式组网需求分析：部署前我们需要做哪些准备工作？内外网接口定义管理地址配置，是否需要带外管理，还是通过VLANIP管理配置路由，一般缺省路由用作防火墙上网，回程路由用作防火墙管理内外网权限需要做哪些控制需要配置哪些安全防护策略满足客户需求下一代防火墙组网方案透明模式组网配置思路配置接口类型，并定义接口对应的区域：在【网络】-【接口】-【物理接口】中，选择接口，并配置接口类型、所属区域、基本属性如所属access或者trunk配置管理接口：在【网络】-【接口】中，新增管理接口，或者配置vlan接口的逻辑接口做为管理接口，并分配管理地址配置路由：在【网络】-【路由】中，新增缺省路由和回程路由配置应用控制策略，对不同区域间的访问权限进行控制：在【策略】-【访问控制】-【应用控制策略】中，新增应用控制策略，进行访问权限控制配置安全防护策略：如：业务防护策略、用户防护策略等下一代防火墙组网方案透明模式组网虚拟网线部署：虚拟网线部署是透明部署中另外一种特殊情况，和正常透明部署有如下区别和透明部署一样，接口也是二层接口，但是被定义成虚拟网线接口虚拟网络接口必须成对存在，转发数据时，无需检查MAC表，直接从虚拟网线配对的接口转发虚拟网线接口的转发性能高于透明接口，一般的网桥环境下，推荐使用虚拟网线接口部署虚拟网线部署需要通过其他路由口进行管理下一代防火墙组网方案透明模式组网配置案例某用户网络是跨三层的环境，有路由器部署在公网出口，现购买AF设备，不能改动原有环境，需做透明部署进去，具体网络拓扑如下图所示/24/24/24/2454/24下一代防火墙组网方案透明模式组网配置步骤1配置接口类型，并定义接口对应的区域：在【网络】-【接口/区域】-【物理接口】中，分别选择两个接口做上下联接口，并配置接口类型、所属区域、基本属性access（如在trunk环境需选择trunk口）。下一代防火墙组网方案透明模式组网配置步骤2配置管理接口：在【网络】-【接口】-【VLAN接口】中，配置vlan接口的逻辑接口做为管理接口，并分