《防火墙技术项目化教程》课件-防火墙体系结构与分类-1

《防火墙技术》

——防火墙体系结构与分类本讲主要任务与学习目标任务目标任务1：学习防火墙基本概念和工作原理任务2：学习防火墙体系结构和性能指标意义任务3：学习防火墙典型部署方式和应用方式学习目标掌握防火墙的基本概念及原理掌握防火墙的性能指标意义，及选型参考方式掌握防火墙典型应用主要内容防火墙基本概念防火墙发展历程防火墙核心技术防火墙体系结构防火墙功能与原理防火墙的接入方式防火墙的典型应用防火墙性能各种类型的防火墙软件防火墙硬件防火墙按形态分类按保护对象分类Internet保护整个网络保护单台主机网络防火墙单机防火墙InternetInternet单机防火墙网络防火墙保护单台主机安全策略分散安全功能简单普通用户维护安全隐患较大策略设置灵活保护整个网络安全策略集中安全功能复杂多样专业管理员维护安全隐患小策略设置复杂单机防火墙网络防火墙产品形态软件硬件或者软件安装点单台独立的Host网络边界处安全策略分散在各个安全点对整个网络有效保护范围单台主机一个网段管理方式分散管理集中管理功能功能单一功能复杂、多样管理人员普通计算机用户专业网管人员安全措施单点安全措施全局安全措施结论单机防火墙是网络防火墙的有益补充，但不能代替网络防火墙为内部网络提供强大的保护功能InternetInternet硬件防火墙软件防火墙操作系统平台安全性性能稳定性网络适应性分发升级成本硬件防火墙基于精简专用OS高高高强不易较容易Price=firewall+Server软件防火墙基于庞大通用OS较低低较低强非常容易容易Price=Firewall仅获得Firewall软件，需要准备额外的OS平台安全性依赖低层的OS网络适应性弱（主要以路由模式工作）稳定性高软件分发、升级比较方便硬件+软件，不用准备额外的OS平台安全性完全取决于专用的OS网络适应性强（支持多种接入模式）稳定性较高升级、更新不太灵活防火墙基本概念

防火墙发展历程防火墙核心技术防火墙体系结构防火墙功能与原理防火墙的接入方式防火墙的典型应用防火墙性能防火墙的发展历史纯软件防火墙软硬结合防火墙ASIC硬件防火墙基于PC机，运行在通用操作系统（UNIX、WINDOWS等）之上通用操作系统不是为网络安全定制的，不可避免的存在许多漏洞和BUG防火墙没有专用的资源，与其他任务进程一起共享CPU、RAM、PCI总线等资源性能一般、安全性也一般不再使用通用的操作系统采用专用或者自主研发（优化）的操作系统，由于这些系统是为网络安全定制的，因而从根本上解决了软件防火墙存在的安全隐患该类防火墙仍然属于X86结构，但在性能和安全性上比软件防火墙有了很大的提高优良的性价比，在市场上占据了主导地位采用ASIC芯片和多总线、并行处理方式；使原先需要上万条指令才能完成的工作在瞬间由数个循环就能完成多总线结构保证在端口上有数据传输时，防火墙内部仍能进行高效数据处理，不再受“中断”的限制采用专用操作系统，具有很高的安全性彻底摆脱X86架构的影响性能和安全性有很大的突破，尤其是性能指标硬件防火墙技术的发展历程多功能防火墙的发展历程防火墙执行标准GB/T18019-1999信息技术包过滤防火墙安全技术要求GB/T18020-1999信息技术应用级防火墙安全技术要求GB/T18336-2001信息技术安全性评估准则GB/T17900-1999网络代理服务器的安全技术要求GB/T18018-1999路由器安全技术要求这些标准从安全环境、安全目标、安全要求、基本原理等方面对防火墙的各种指标进行了规定。防火墙基本概念防火墙发展历程

防火墙核心技术防火墙体系结构防火墙功能与原理防火墙的接入方式防火墙的典型应用防火墙性能简单包过滤防火墙状态检测包过滤防火墙应用代理防火墙包过滤与应用代理复合型防火墙核检测防火墙防火墙技术应用层TCP层IP层网络接口层TCP开始攻击IP开始攻击TCPTCP开始攻击IPETH开始攻击TCP开始攻击IP应用层TCP层IP层网络接口层TCP开始攻击IP开始攻击TCPTCP开始攻击IPETH开始攻击只检查报头101001001001010010000011100111101111011001001001010010000011100111101111011包过滤防火墙的工作原理简单包过滤防火墙不检查数据区简单包过滤防火墙不建立连接状态表前后报文无关应用层控制很弱应用层TCP层IP层网络接口层TCP开始攻击IP开始攻击TCPTCP开始攻击IPETH开始攻击TCP开始攻击IP应用层TCP层IP层网络接口层TCP开始攻击IP开始攻击TCPTCP开始攻击IPETH开始攻击只检查数据101001001001010010000011100111101111011001001001010010000011100111101111011应用代理防火墙的工作原理不检查IP、TCP报头不建立连接状态表网络层保护比较弱应用层TCP层IP层网络接口层TCP开始攻击IP开始攻击TCPTCP开始攻击IPETH开始攻击TCP开始攻击IP应用层TCP层IP层网络接口层TCP开始攻击IP开始攻击TCPTCP开始攻击IPETH开始攻击只检查报头101001001001010010000011100111101111011001001001010010000011100111101111011状态检测防火墙的工作原理不检查数据区建立连接状态表前后报文相关应用层控制很弱建立连接状态表建立状态连接表应用层TCP层IP层网络接口层TCP开始攻击IP开始攻击TCPTCP开始攻击IPETH开始攻击主服务器硬盘数据TCP开始攻击IP应用层TCP层IP层网络接口层TCP开始攻击IP开始攻击TCPTCP开始攻击IPETH开始攻击主服务器硬盘数据检查应用层协议和数据内容101001001001010010000010111011110110010010010100100000110111101111011完全内容检测防火墙的工作原理TCP主服务器IPTCP硬盘数据IP开始攻击还原会话主服务器硬盘数据报文1报文2报文3网络层保护强应用层保护强会话保护很强上下文相关前后报文有联系检查报头防火墙核心技术比较综合安全性网络层保护应用层保护应用层透明整体性能处理对象简单包过滤防火墙状态检测包过滤防火墙应用代理防火墙复合型防火墙完全内容检测防火墙

单个包报头

单个包报头

单个包数据

单个包全部

一次会话1001001001TCPIP1001001001TCPIP防火墙基本概念防火墙发展历程防火墙核心技术

防火墙体系结构防火墙功能与原理防火墙的接入方式防火墙的典型应用防火墙性能可扩展的百兆防火墙外观构造防火墙模块封装板根据需要可以通过扩充模块，增加端口的数量根据需要可以选择处理能力更好的机箱与引擎防火墙机箱与引擎防火墙接口模块千兆级防火墙外观构造GBIC卡插槽10/100/1000M以太口AUX接口热拔插冗余电源大功率散热风扇防火墙引擎防火墙内部系统内核技术——经过专门加固、精简、安全化的操作系统模块化结构设计、可扩展性好、方便用户定制与升级系统大小——约5M代码，可以驻留在稳定的Flash盘上配置文件存取在NVRAM里，可以保证配置文件的安全性TopsecOS架构应用层GTA配置日志路由认证报警监控管理QoSHA文件系统健壮中心底层交换底层路由硬件抽象层专用安全操作系统内核多线程处理器、ASIC、NPU、MIPS、x86、ARM内核层基础层服务层硬件FWIPSECSSLIPSAntiVirusGAPAntiSpamWEBGuardAuditDesk基于内核的会话检测技术Clint6970010101001010000111110000010010101001010010010110010010协议还原模块协议还原模块输入队列输入队列底层驱动010101001010000111110000010010101001010010010110010010符合安全策略？符合安全策略？防火墙逻辑图010100101001010010010100101001010010010100101001010010010100101001010010010100010101发起请求响应请求虚拟客户端虚拟服务器端在操作系统内核模拟出典型的应用层协议，在内核实现对应用层协议的过滤，从而得到极高的性能基于内核的会话检测技术101001010111000010101000011101001010111000010101000011110100000001100000001111100100100010010000100111110001101001001001001001010010进行规则匹配、应用层过滤频繁在系统核心和应用层之间切换消耗掉大量的系统资源生成大量的进程影响防火墙的性能应用层系统核心101001010111000010101000011101001010111000010101000011100100010010000100111110001101001001001001001010010直接在系统核心进行应用层过滤不需要频繁在系统核心和应用层之间切换在大量并发情况下不会生成大量进程，有效的保护系统资源大大提高会话检测的效率应用层系统核心防火墙基本概念防火墙发展历程防火墙核心技术防火墙体系结构

防火墙功能与原理防火墙的接入方式防火墙的典型应用防火墙性能防火墙的功能基本功能地址转换访问控制VLAN支持带宽管理（QoS）入侵检测和攻击防御用户认证IP/MAC绑定动态IP环境支持数据库长连接应用支持路由支持ADSL拨号功能SNMP网管支持日志审计高可用性扩展功能防病毒IPSVPNIPSECVPNPPTP/L2TPGRE地址转换（NAT）Internet4HostA受保护网络HostCHostD15防火墙Eth2：3Eth0：数据IP报头数据IP报头源地址：1目地址：4源地址：目地址：4隐藏了内部网络的结构

内部网络可以使用私有IP地址公开地址不足的网络可以使用这种方式提供IP复用功能防火墙基本概念防火墙发展历程防火墙核心技术防火墙体系结构防火墙功能与原理

防火墙的接入方式防火墙的典型应用防火墙性能防火墙提供的通讯模式透明模式(提供桥接功能)在这种模式下，网络卫士防火墙的所有接口均作为交换接口工作。也就是说，对于同一VLAN的数据包在转发时不作任何改动，包括IP和MAC地址，直接把包转发出去。同时，网络卫士防火墙可以在设置了IP的VLAN之间进行路由转发。路由模式(静态路由功能)在这种模式下，网络卫士防火墙类似于一台路由器转发数据包，将接收到的数据包的源MAC地址替换为相应接口的MAC地址，然后转发。该模式适用于每个区域都不在同一个网段的情况。和路由器一样，网络卫士防火墙的每个接口均要根据区域规划配置IP地址。综合模式(透明+路由功能)顾名思义，这种模式是前两种模式的混合。也就是说某些区域（接口）工作在透明模式下，而其他的区域（接口）工作在路由模式下。该模式适用于较复杂的网络环境。说明：防火墙采用何种通讯方式是由用户的网络环境决定的，用户需要根据自己的网络情况，合理的确定防火墙的通讯模式；并且防火墙采用何种通讯方式都不会影响防火墙的访问控制功能。NO.1透明模式Internet内部网ETH0：ETH1：ETH2：0/24网段0/24网段外网、SSN、内网在同一个广播域，防火墙做透明设置。此时防火墙为透明模式。NO.2路由模式Internet内部网ETH0：ETH1：ETH2：/24网段/24网段外网、SSN区、内网都不在同一网段，防火墙做路由方式。这时，防火墙相当于一个路由器。NO.3混合模式ETH1：02ETH2：00/24网段/24网段此时整个防火墙工作于透明+路由模式，我们称之为综合模式或者混合模式/24网段ETH0：两接口在不同网段，防火墙处于路由模式两接口在不同网段，防火墙处于路由模式两接口在同一网段，防火墙处于透明模式防火墙基本概念防火墙发展历程防火墙核心技术防火墙体系结构防火墙功能与原理防火墙的接入方式防火墙的典型应用

防火墙性能衡量防火墙性能的五大指标吞吐量：该指标直接影响网络的性能，吞吐量时延：入口处输入帧最后1个比特到达至出口处输出帧的第1个比特输出所用的时间间隔丢包率：在稳态负载下，应由网络设备传输，但由于资源缺乏而被丢弃的帧的百分比背靠背：从空闲状态开始，以达到传输介质最小合法间隔极限的传输速率发送相当数量的固定长度的帧，当出现第一个帧丢失时，发送的帧数并发连结数：并发连接数是指穿越防火墙的主机之间或主机与防火墙之间能同时建立的最大连接数

吞吐量定义：在不丢包的情况下能够达到的最大速率衡量标准：吞吐量越大，防火墙的性能越高~;%#^&*&^#**(&Smartbits6000B测试仪10110010100001111100101001001000以最大速率发包