防火墻原理與實(shí)踐_第1頁(yè)
防火墻原理與實(shí)踐_第2頁(yè)
防火墻原理與實(shí)踐_第3頁(yè)
防火墻原理與實(shí)踐_第4頁(yè)
防火墻原理與實(shí)踐_第5頁(yè)
已閱讀5頁(yè),還剩92頁(yè)未讀, 繼續(xù)免費(fèi)閱讀

下載本文檔

版權(quán)說(shuō)明:本文檔由用戶(hù)提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請(qǐng)進(jìn)行舉報(bào)或認(rèn)領(lǐng)

文檔簡(jiǎn)介

防火墻技術(shù)原理與維護(hù)操作

防火墻基本概念

防火墻分類(lèi)防火墻發(fā)展趨勢(shì)防火墻核心技術(shù)防火墻設(shè)計(jì)結(jié)構(gòu)防火墻功能防火墻性能防火墻部署防火墻可靠性防火墻典型應(yīng)用Internet一種高級(jí)訪(fǎng)問(wèn)控制設(shè)備,置于不同網(wǎng)絡(luò)安全域之間的一系列部件的組合,它是不同網(wǎng)絡(luò)安全域間通信流的唯一通道,能根據(jù)企業(yè)有關(guān)的安全政策控制(允許、拒絕、監(jiān)視、記錄)進(jìn)出網(wǎng)絡(luò)的訪(fǎng)問(wèn)行為。兩個(gè)安全域之間通信流的唯一通道UDPBlockHostCHostBTCPPassHostCHostADestinationProtocolPermitSource根據(jù)訪(fǎng)問(wèn)控制規(guī)則決定進(jìn)出網(wǎng)絡(luò)的行為防火墻定義內(nèi)部網(wǎng)防火墻外觀桌面型防火墻普通百兆防火墻防火墻+VPN高端百兆防火墻高端千兆防火墻天融信防火墻產(chǎn)品系列線(xiàn)通過(guò)在安全邊界部署防火墻,可以實(shí)比VLAN、路由器更為強(qiáng)大、有效的訪(fǎng)問(wèn)控制功能;大大提高抗攻擊的能力,實(shí)現(xiàn)邊界防護(hù)。高端電信級(jí)千兆防火墻防火墻執(zhí)行標(biāo)準(zhǔn)GB/T18019-1999信息技術(shù)包過(guò)濾防火墻安全技術(shù)要求GB/T18020-1999信息技術(shù)應(yīng)用級(jí)防火墻安全技術(shù)要求GB/T18336-2001信息技術(shù)安全性評(píng)估準(zhǔn)則GB/T17900-1999網(wǎng)絡(luò)代理服務(wù)器的安全技術(shù)要求GB/T18018-1999路由器安全技術(shù)要求這些標(biāo)準(zhǔn)從安全環(huán)境、安全目標(biāo)、安全要求、基本原理等方面對(duì)防火墻的各種指標(biāo)進(jìn)行了規(guī)定。Firewall防火墻基本概念

防火墻分類(lèi)防火墻發(fā)展趨勢(shì)防火墻核心技術(shù)防火墻設(shè)計(jì)結(jié)構(gòu)防火墻功能防火墻性能防火墻部署防火墻可靠性防火墻典型應(yīng)用軟件防火墻硬件防火墻按形態(tài)分類(lèi)按保護(hù)對(duì)象分類(lèi)Internet各種類(lèi)型的防火墻保護(hù)整個(gè)網(wǎng)絡(luò)保護(hù)單臺(tái)主機(jī)網(wǎng)絡(luò)防火墻單機(jī)防火墻InternetInternet單機(jī)防火墻網(wǎng)絡(luò)防火墻保護(hù)單臺(tái)主機(jī)安全策略分散安全功能簡(jiǎn)單普通用戶(hù)維護(hù)安全隱患較大策略設(shè)置靈活保護(hù)整個(gè)網(wǎng)絡(luò)安全策略集中安全功能復(fù)雜多樣專(zhuān)業(yè)管理員維護(hù)安全隱患小策略設(shè)置復(fù)雜單機(jī)防火墻網(wǎng)絡(luò)防火墻產(chǎn)品形態(tài)軟件硬件或者軟件安裝點(diǎn)單臺(tái)獨(dú)立的Host網(wǎng)絡(luò)邊界處安全策略分散在各個(gè)安全點(diǎn)對(duì)整個(gè)網(wǎng)絡(luò)有效保護(hù)范圍單臺(tái)主機(jī)一個(gè)網(wǎng)段管理方式分散管理集中管理功能功能單一功能復(fù)雜、多樣管理人員普通計(jì)算機(jī)用戶(hù)專(zhuān)業(yè)網(wǎng)管人員安全措施單點(diǎn)安全措施全局安全措施結(jié)論單機(jī)防火墻是網(wǎng)絡(luò)防火墻的有益補(bǔ)充,但不能代替網(wǎng)絡(luò)防火墻為內(nèi)部網(wǎng)絡(luò)提供強(qiáng)大的保護(hù)功能單機(jī)防火墻&網(wǎng)絡(luò)防火墻Internet硬件防火墻&軟件防火墻Internet硬件防火墻軟件防火墻操作系統(tǒng)平臺(tái)安全性性能穩(wěn)定性網(wǎng)絡(luò)適應(yīng)性分發(fā)升級(jí)成本硬件防火墻基于精簡(jiǎn)專(zhuān)用OS高高較高強(qiáng)不易較容易Price=firewall+Server軟件防火墻基于龐大通用OS較高較高高較強(qiáng)非常容易容易Price=Firewall僅獲得Firewall軟件,需要準(zhǔn)備額外的OS平臺(tái)安全性依賴(lài)低層的OS網(wǎng)絡(luò)適應(yīng)性弱(主要以路由模式工作)穩(wěn)定性高軟件分發(fā)、升級(jí)比較方便硬件+軟件,不用準(zhǔn)備額外的OS平臺(tái)安全性完全取決于專(zhuān)用的OS網(wǎng)絡(luò)適應(yīng)性強(qiáng)(支持多種接入模式)穩(wěn)定性較高升級(jí)、更新不太靈活Firewall防火墻基本概念

防火墻分類(lèi)

防火墻發(fā)展趨勢(shì)防火墻核心技術(shù)防火墻設(shè)計(jì)結(jié)構(gòu)防火墻功能防火墻性能防火墻部署防火墻可靠性防火墻典型應(yīng)用防火墻的發(fā)展歷史純軟件防火墻軟硬結(jié)合防火墻ASIC硬件防火墻基于PC機(jī),運(yùn)行在通用操作系統(tǒng)(UNIX、WINDOWS等)之上通用操作系統(tǒng)不是為網(wǎng)絡(luò)安全定制的,不可避免的存在許多漏洞和BUG防火墻沒(méi)有專(zhuān)用的資源,與其他任務(wù)進(jìn)程一起共享CPU、RAM、PCI總線(xiàn)等資源性能一般、安全性也一般不再使用通用的操作系統(tǒng)采用專(zhuān)用或者自主研發(fā)(優(yōu)化)的操作系統(tǒng),由于這些系統(tǒng)是為網(wǎng)絡(luò)安全定制的,因而從根本上解決了軟件防火墻存在的安全隱患該類(lèi)防火墻仍然屬于X86結(jié)構(gòu),但在性能和安全性上比軟件防火墻有了很大的提高優(yōu)良的性?xún)r(jià)比,在市場(chǎng)上占據(jù)了主導(dǎo)地位采用ASIC芯片和多總線(xiàn)、并行處理方式;使原先需要上萬(wàn)條指令才能完成的工作在瞬間由數(shù)個(gè)循環(huán)就能完成多總線(xiàn)結(jié)構(gòu)保證在端口上有數(shù)據(jù)傳輸時(shí),防火墻內(nèi)部仍能進(jìn)行高效數(shù)據(jù)處理,不再受“中斷”的限制采用專(zhuān)用操作系統(tǒng),具有很高的安全性徹底擺脫X86架構(gòu)的影響性能和安全性有很大的突破,尤其是性能指標(biāo)防火墻技術(shù)的發(fā)展歷程

天融信防火墻的發(fā)展歷程

天融信防火墻硬件平臺(tái)的發(fā)展Firewall防火墻基本概念

防火墻分類(lèi)防火墻發(fā)展趨勢(shì)

防火墻核心技術(shù)防火墻設(shè)計(jì)結(jié)構(gòu)防火墻功能防火墻性能防火墻部署防火墻管理防火墻可靠性防火墻典型應(yīng)用防火墻技術(shù)簡(jiǎn)單包過(guò)濾防火墻狀態(tài)檢測(cè)包過(guò)濾防火墻應(yīng)用代理防火墻包過(guò)濾與應(yīng)用代理復(fù)合型防火墻5.核檢測(cè)防火墻應(yīng)用層表示層會(huì)話(huà)層傳輸層網(wǎng)絡(luò)層鏈路層物理層應(yīng)用層表示層會(huì)話(huà)層傳輸層網(wǎng)絡(luò)層鏈路層物理層網(wǎng)絡(luò)層鏈路層物理層優(yōu)點(diǎn):速度快,性能高對(duì)應(yīng)用程序透明缺點(diǎn):安全性低不能根據(jù)狀態(tài)信息進(jìn)行控制不能處理網(wǎng)絡(luò)層以上的信息伸縮性差維護(hù)不直觀簡(jiǎn)單包過(guò)濾技術(shù)介紹應(yīng)用層TCP層IP層網(wǎng)絡(luò)接口層TCP101010101IP101010101TCPTCP101010101IPETH101010101TCP101010101IP應(yīng)用層TCP層IP層網(wǎng)絡(luò)接口層TCP101010101IP101010101TCPTCP101010101IPETH101010101只檢查報(bào)頭101001001001010010000011100111101111011001001001010010000011100111101111011簡(jiǎn)單包過(guò)濾防火墻的工作原理簡(jiǎn)單包過(guò)濾防火墻不檢查數(shù)據(jù)區(qū)簡(jiǎn)單包過(guò)濾防火墻不建立連接狀態(tài)表前后報(bào)文無(wú)關(guān)應(yīng)用層控制很弱應(yīng)用層表示層會(huì)話(huà)層傳輸層網(wǎng)絡(luò)層鏈路層物理層應(yīng)用層表示層會(huì)話(huà)層傳輸層網(wǎng)絡(luò)層鏈路層物理層狀態(tài)檢測(cè)技術(shù)介紹應(yīng)用層表示層會(huì)話(huà)層傳輸層網(wǎng)絡(luò)層鏈路層物理層安全性高能夠檢測(cè)所有進(jìn)入防火墻網(wǎng)關(guān)的數(shù)據(jù)包根據(jù)通信和應(yīng)用程序狀態(tài)確定是否允許包的通行性能高在數(shù)據(jù)包進(jìn)入防火墻時(shí)就進(jìn)行識(shí)別和判斷伸縮性好可以識(shí)別不同的數(shù)據(jù)包支持多種應(yīng)用,包括Internet應(yīng)用、數(shù)據(jù)庫(kù)應(yīng)用、多媒體應(yīng)用等用戶(hù)可方便添加新應(yīng)用抽取各層的狀態(tài)信息建立動(dòng)態(tài)狀態(tài)表應(yīng)用層TCP層IP層網(wǎng)絡(luò)接口層TCP101010101IP101010101TCPTCP101010101IPETH101010101TCP101010101IP應(yīng)用層TCP層IP層網(wǎng)絡(luò)接口層TCP101010101IP101010101TCPTCP101010101IPETH101010101只檢查報(bào)頭101001001001010010000011100111101111011001001001010010000011100111101111011狀態(tài)檢測(cè)包過(guò)濾防火墻的工作原理不檢查數(shù)據(jù)區(qū)建立連接狀態(tài)表前后報(bào)文相關(guān)應(yīng)用層控制很弱建立連接狀態(tài)表應(yīng)用層表示層會(huì)話(huà)層傳輸層網(wǎng)絡(luò)層鏈路層物理層應(yīng)用層表示層會(huì)話(huà)層傳輸層網(wǎng)絡(luò)層鏈路層物理層應(yīng)用代理技術(shù)介紹應(yīng)用層表示層會(huì)話(huà)層傳輸層網(wǎng)絡(luò)層鏈路層物理層優(yōu)點(diǎn):安全性高提供應(yīng)用層的安全缺點(diǎn):性能差伸縮性差只支持有限的應(yīng)用不透明FTPHTTPSMTP應(yīng)用層TCP層IP層網(wǎng)絡(luò)接口層TCP101010101IP101010101TCPTCP101010101IPETH101010101TCP101010101IP應(yīng)用層TCP層IP層網(wǎng)絡(luò)接口層TCP101010101IP101010101TCPTCP101010101IPETH101010101只檢查數(shù)據(jù)101001001001010010000011100111101111011001001001010010000011100111101111011應(yīng)用代理防火墻的工作原理不檢查IP報(bào)頭不建立連接狀態(tài)表網(wǎng)絡(luò)層保護(hù)比較弱應(yīng)用層TCP層IP層網(wǎng)絡(luò)接口層TCP101010101IP101010101TCPTCP101010101IPETH101010101TCP101010101IP應(yīng)用層TCP層IP層網(wǎng)絡(luò)接口層TCP101010101IP101010101TCPTCP101010101IPETH101010101檢查整個(gè)報(bào)文內(nèi)容101001001001010010000011100111101111011001001001010010000011100111101111011復(fù)合型防火墻的工作原理可以檢查整個(gè)數(shù)據(jù)包內(nèi)容根據(jù)需要建立連接狀態(tài)表網(wǎng)絡(luò)層保護(hù)強(qiáng)應(yīng)用層控制細(xì)會(huì)話(huà)控制較弱建立連接狀態(tài)表應(yīng)用層TCP層IP層網(wǎng)絡(luò)接口層TCP開(kāi)始攻擊IP開(kāi)始攻擊TCPTCP開(kāi)始攻擊IPETH開(kāi)始攻擊主服務(wù)器硬盤(pán)數(shù)據(jù)TCP開(kāi)始攻擊IP應(yīng)用層TCP層IP層網(wǎng)絡(luò)接口層TCP開(kāi)始攻擊IP開(kāi)始攻擊TCPTCP開(kāi)始攻擊IPETH開(kāi)始攻擊主服務(wù)器硬盤(pán)數(shù)據(jù)檢查多個(gè)報(bào)文組成的會(huì)話(huà)101001001001010010000011100111101111011001001001010010000011100111101111011核檢測(cè)防火墻的工作原理建立連接狀態(tài)表TCP主服務(wù)器IPTCP硬盤(pán)數(shù)據(jù)IP開(kāi)始攻擊重寫(xiě)會(huì)話(huà)主服務(wù)器硬盤(pán)數(shù)據(jù)報(bào)文1報(bào)文2報(bào)文3網(wǎng)絡(luò)層保護(hù)強(qiáng)應(yīng)用層保護(hù)強(qiáng)會(huì)話(huà)保護(hù)很強(qiáng)上下文相關(guān)前后報(bào)文有聯(lián)系防火墻核心技術(shù)比較綜合安全性網(wǎng)絡(luò)層保護(hù)應(yīng)用層保護(hù)應(yīng)用層透明整體性能處理對(duì)象簡(jiǎn)單包過(guò)濾防火墻狀態(tài)檢測(cè)包過(guò)濾防火墻應(yīng)用代理防火墻復(fù)合型防火墻核檢測(cè)防火墻單個(gè)包報(bào)頭單個(gè)包報(bào)頭單個(gè)包數(shù)據(jù)單個(gè)包全部一次會(huì)話(huà)1001001001TCPIP1001001001TCPIPFirewall防火墻基本概念

防火墻分類(lèi)防火墻發(fā)展趨勢(shì)防火墻核心技術(shù)防火墻設(shè)計(jì)結(jié)構(gòu)防火墻功能防火墻性能防火墻部署防火墻管理防火墻可靠性防火墻典型應(yīng)用百兆防火墻外觀構(gòu)造防火墻模塊封裝板根據(jù)需要可以通過(guò)擴(kuò)充模塊,增加端口的數(shù)量根據(jù)需要可以選擇處理能力更好的機(jī)箱與引擎防火墻機(jī)箱與引擎防火墻接口模塊千兆電信級(jí)防火墻外觀構(gòu)造GBIC卡插槽10/100/1000M以太口AUX接口熱拔插冗余電源大功率散熱風(fēng)扇防火墻引擎防火墻內(nèi)部軟件內(nèi)核技術(shù)——經(jīng)過(guò)專(zhuān)門(mén)加固、精簡(jiǎn)、安全化的操作系統(tǒng)模塊化結(jié)構(gòu)設(shè)計(jì)、可擴(kuò)展性好、方便用戶(hù)定制與升級(jí)系統(tǒng)大小——約5M代碼,可以駐留在穩(wěn)定的Flash盤(pán)上配置文件存取在NVRAM里,可以保證配置文件的安全性防火墻內(nèi)部硬件主板:專(zhuān)用系統(tǒng)板Talent-NS嵌入式模塊設(shè)計(jì)處理器:高速處理器內(nèi)存:大容量?jī)?nèi)存存儲(chǔ)設(shè)備:電子盤(pán)、NVRAM網(wǎng)絡(luò)接口:10/100/1000M自適應(yīng)以太網(wǎng)接口、FDDI-------------------------------------------------------------------------支持雙電源支持雙機(jī)熱備、負(fù)載均衡對(duì)于千兆防火墻采用服務(wù)器級(jí)的硬件,使用多個(gè)處理器硬件:ASIC,NPU,MIPS,X86,ARM…TopsecOS架構(gòu)IPSSSLVPN監(jiān)控報(bào)警管理QOSHA接入OS層基礎(chǔ)層安全引擎層AntispamIPSEC服務(wù)層健壯中心文件系統(tǒng)交換FW硬件抽象層OS核認(rèn)證路由日志配置GTAAV硬件TOS應(yīng)用防火墻內(nèi)部系統(tǒng)設(shè)計(jì)路由模塊透明模塊規(guī)則檢查還原模塊FTP還原HTTP還原SMTP還原POP3還原……日志守護(hù)進(jìn)程病毒守護(hù)進(jìn)程應(yīng)用層日志病毒應(yīng)用層過(guò)濾KernelApplication

……001010101010101111001010100111101010101011連接表在操作系統(tǒng)內(nèi)核完成應(yīng)用協(xié)議的還原,極大的提高了系統(tǒng)的整體性能基于內(nèi)核的會(huì)話(huà)檢測(cè)技術(shù)Clint6970010101001010000111110000010010101001010010010110010010協(xié)議還原模塊協(xié)議還原模塊輸入隊(duì)列輸入隊(duì)列底層驅(qū)動(dòng)010101001010000111110000010010101001010010010110010010符合安全策略?符合安全策略?防火墻邏輯圖010100101001010010010100101001010010010100101001010010010100101001010010010100010101發(fā)起請(qǐng)求響應(yīng)請(qǐng)求虛擬客戶(hù)端虛擬服務(wù)器端在操作系統(tǒng)內(nèi)核模擬出典型的應(yīng)用層協(xié)議,在內(nèi)核實(shí)現(xiàn)對(duì)應(yīng)用層協(xié)議的過(guò)濾,從而得到極高的性能101001010111000010101000011101001010111000010101000011110100000001100000001111100100100010010000100111110001101001001001001001010010進(jìn)行規(guī)則匹配、應(yīng)用層過(guò)濾頻繁在系統(tǒng)核心和應(yīng)用層之間切換消耗掉大量的系統(tǒng)資源生成大量的進(jìn)程影響防火墻的性能應(yīng)用層系統(tǒng)核心101001010111000010101000011101001010111000010101000011100100010010000100111110001101001001001001001010010直接在系統(tǒng)核心進(jìn)行應(yīng)用層過(guò)濾不需要頻繁在系統(tǒng)核心和應(yīng)用層之間切換在大量并發(fā)情況下不會(huì)生成大量進(jìn)程,有效的保護(hù)系統(tǒng)資源大大提高會(huì)話(huà)檢測(cè)的效率應(yīng)用層系統(tǒng)核心基于內(nèi)核的會(huì)話(huà)檢測(cè)技術(shù)防火墻基本概念

防火墻分類(lèi)防火墻發(fā)展趨勢(shì)防火墻核心技術(shù)防火墻設(shè)計(jì)結(jié)構(gòu)防火墻功能防火墻性能防火墻部署防火墻可靠性防火墻典型應(yīng)用HostCHostD基本的訪(fǎng)問(wèn)控制技術(shù)AccesslistpasstoAccessnattoanyAccessblocktoAccessdefaultpass1010010101規(guī)則匹配成功基于源IP地址基于目的IP地址基于MAC地址基于源端口基于目的端口基于時(shí)間基于用戶(hù)名基于文件基于網(wǎng)址基于關(guān)鍵字基于郵件地址WWW1WWW2WWW3服務(wù)器負(fù)載均衡負(fù)載均衡算法:基于輪詢(xún)基于加權(quán)輪詢(xún)最少鏈接加權(quán)最少鏈接對(duì)真實(shí)主機(jī)的自動(dòng)探測(cè)根據(jù)負(fù)載均衡算法將數(shù)據(jù)重定位到一臺(tái)WWW服務(wù)器服務(wù)器陣列響應(yīng)請(qǐng)求

日志審計(jì)不做日志做通信日志:即傳統(tǒng)日志通信源地址、目的地址、源目端口、通信時(shí)間、通信協(xié)議、字節(jié)數(shù)、是否允許通過(guò)做應(yīng)用層命令日志:在通信日志的基礎(chǔ)之上,記錄下各個(gè)應(yīng)用層命令及其參數(shù)。例如HTTP請(qǐng)求及其要取的網(wǎng)頁(yè)名。做訪(fǎng)問(wèn)日志:即在通信日志的基礎(chǔ)之上,記錄下用戶(hù)對(duì)網(wǎng)絡(luò)資源的訪(fǎng)問(wèn)。它和應(yīng)用層命令日志的區(qū)別是:應(yīng)用層命令日志可以記錄下大量的數(shù)據(jù),有些用戶(hù)可能不需要,如協(xié)商通信參數(shù)過(guò)程等。例如針對(duì)FTP協(xié)議,訪(fǎng)問(wèn)日志只記錄下讀、寫(xiě)文件的動(dòng)作

提供日志分析工具自動(dòng)產(chǎn)生各種報(bào)表,智能化的指出網(wǎng)絡(luò)可能的安全漏洞Clint響應(yīng)請(qǐng)求發(fā)送請(qǐng)求通信日志通信日志通信信息6970

做通信日志Clint響應(yīng)請(qǐng)求發(fā)送請(qǐng)求命令日志命令日志6970

做應(yīng)用層命令日志命令信息Clint響應(yīng)請(qǐng)求發(fā)送請(qǐng)求訪(fǎng)問(wèn)日志訪(fǎng)問(wèn)日志6970

做訪(fǎng)問(wèn)日志訪(fǎng)問(wèn)信息與URL服務(wù)器的安全聯(lián)動(dòng)內(nèi)部網(wǎng)絡(luò)InternetURL服務(wù)器可以訪(fǎng)問(wèn)嗎?Ok!通過(guò)T-SCP安全產(chǎn)品協(xié)作平臺(tái)實(shí)現(xiàn)防火墻與URL服務(wù)器的互動(dòng),從而控制對(duì)外部WEB站點(diǎn)的訪(fǎng)問(wèn)與病毒服務(wù)器安全聯(lián)動(dòng)Internet110010101病毒服務(wù)器100010101000010101待發(fā)數(shù)據(jù)110010101100010101000010101110010101100010101000010101passpass無(wú)病毒轉(zhuǎn)發(fā)最后一個(gè)報(bào)文,如帶有病毒則丟棄最后一個(gè)報(bào)文協(xié)議還原檢查病毒沒(méi)有發(fā)現(xiàn)病毒可以放過(guò)最后一個(gè)報(bào)文接收數(shù)據(jù)接收數(shù)據(jù)HostCHostDHostBHostA受保護(hù)網(wǎng)絡(luò)netIDS黑客發(fā)起攻擊發(fā)送通知報(bào)文驗(yàn)證報(bào)文并采取措施發(fā)送響應(yīng)報(bào)文識(shí)別出攻擊行為阻斷連接或者報(bào)警等與IDS的安全聯(lián)動(dòng)

支持第三方認(rèn)證服務(wù)器InternetRADIUS服務(wù)器OTP認(rèn)證服務(wù)器Zhanglongyong12354876防火墻將認(rèn)證信息傳給真正的RADIUS服務(wù)器進(jìn)行認(rèn)證將認(rèn)證結(jié)果傳給防火墻支持內(nèi)置VRC/OTP認(rèn)證服務(wù)器支持第三方RADIUS認(rèn)證服務(wù)器支持TACACS及TACAVS+認(rèn)證服務(wù)器支持S/KEY、SECUID、VIECA、LDAP等認(rèn)證根據(jù)認(rèn)證結(jié)果決定用戶(hù)對(duì)資源的訪(fǎng)問(wèn)權(quán)限策略路由功能中國(guó)教育網(wǎng)InternetHostA:HostB:HostC:內(nèi)網(wǎng)根據(jù)源、目地址來(lái)進(jìn)行路由主機(jī)B直接連接Internet主機(jī)A通過(guò)教育網(wǎng)上InternetInternetHostA

HostBHostCHostD00-50-04-BB-71-A600-50-04-BB-71-BCBINDTo00-50-04-BB-71-A6BINDTo00-50-04-BB-71-BCIP與MAC地址綁定后,不允許HostB假冒HostA的IP地址上網(wǎng)防火墻允許HostA上網(wǎng)跨路由器功能IP與MAC(用戶(hù))的綁定對(duì)MAC地址得控制netDHCP服務(wù)器HostAHostBHostCHostDHostEHostF沒(méi)有固定IP地址只允許HostB上網(wǎng)設(shè)定HostB的MAC地址設(shè)定HostB的IP地址為空根據(jù)HostB的MAC地址進(jìn)行訪(fǎng)問(wèn)控制對(duì)DHCP應(yīng)用環(huán)境的支持netInternet4HostA受保護(hù)網(wǎng)絡(luò)HostCHostD15防火墻Eth2:3Eth0:數(shù)據(jù)IP報(bào)頭數(shù)據(jù)IP報(bào)頭源地址:1目地址:4源地址:目地址:4隱藏了內(nèi)部網(wǎng)絡(luò)的結(jié)構(gòu)

內(nèi)部網(wǎng)絡(luò)可以使用私有IP地址公開(kāi)地址不足的網(wǎng)絡(luò)可以使用這種方式提供IP復(fù)用功能NAT改變的是源地址,天融信公司的防火墻支持靜態(tài)和動(dòng)態(tài)兩種轉(zhuǎn)換模式,支持一對(duì)一、多對(duì)一、多對(duì)多以及雙向NAT功能功能NAT(地址轉(zhuǎn)換)Internet公開(kāi)服務(wù)器可以使用私有地址

隱藏內(nèi)部網(wǎng)絡(luò)的結(jié)構(gòu)MAP改變的是目的地址,天融信公司防火墻支持I地址映射以及端口映射WWWFTPMAILDNSMAP:80TO:80MAP:21TO:21MAP:53TO:53MAP:25TO:25功能MAP(端口/IP映射)Trunk口Trunk口VLAN1VLAN2支持VLAN的交換機(jī)Trunk口Trunk口VLAN1VLAN2Switch1Switch2同一交換機(jī)的不同VLAN之間通訊不同交換機(jī)的同一VLAN之間通訊不支持TRUNK的防火墻無(wú)法在這種環(huán)境下工作不支持TRUNK的防火墻無(wú)法在這種環(huán)境下工作防火墻對(duì)TRUNK協(xié)議的支持防火墻對(duì)TRUNK協(xié)議的支持防火墻不但支持TRUNK數(shù)據(jù)包穿過(guò)防火墻,并且防火墻的接口也可以封裝TRUNK數(shù)據(jù)包,即支持VLAN間路由(3層交換機(jī)功能)。Vlan20Vlan30Vlan10TRUNK鏈路客戶(hù)機(jī)建立連接并維持連接狀態(tài)直到查詢(xún)結(jié)束對(duì)長(zhǎng)連接應(yīng)用的支持FR數(shù)據(jù)庫(kù)查詢(xún)一般需要比較長(zhǎng)的時(shí)間,這些通訊連接建立成功后可能暫時(shí)沒(méi)有數(shù)據(jù)通過(guò)(空連接),需要在防火墻里面維護(hù)這個(gè)連接狀態(tài),直到查詢(xún)結(jié)束,普通防火墻在連接建立一段時(shí)間后如果沒(méi)有數(shù)據(jù)通訊會(huì)自動(dòng)切斷連接,導(dǎo)致業(yè)務(wù)不能正常運(yùn)行需要較長(zhǎng)的查詢(xún)時(shí)間抗DOS/DDOS攻擊-----SYN代理防火墻的SYN代理實(shí)現(xiàn)原理:在服務(wù)器和外部網(wǎng)絡(luò)之間部署防火墻系統(tǒng);防火墻在收到客戶(hù)端的Syn包后,防火墻代替服務(wù)器向客戶(hù)端發(fā)送Syn/Ack包;如果防火墻收到客戶(hù)端的Ack信息,表明訪(fǎng)問(wèn)正常,由防火墻向服務(wù)器發(fā)送Syn包并完成后續(xù)的TCP握手,建立客戶(hù)端到服務(wù)器的連接。通過(guò)這種Syn代理技術(shù),保證每個(gè)Syn包源的真實(shí)有效性,確保虛假請(qǐng)求不被發(fā)往服務(wù)器,從而徹底防范對(duì)服務(wù)器的Syn-Flood攻擊。240萬(wàn)并發(fā)連接數(shù)SYNSYN/ACKACKSYNSYN/ACKACKSYNSYN/ACKACKClientServerHostCHostDHostBHostA受保護(hù)網(wǎng)絡(luò)netInternet

SNMP報(bào)文獲取硬件配置信息資源使用狀況信息防火墻的流量信息防火墻的連接信息防火墻的版本信息防火墻的用戶(hù)信息防火墻的規(guī)則信息防火墻的路由信息……SNMP服務(wù)器端SNMP客戶(hù)端SNMP管理人性化的管理-防火墻的接口狀態(tài)查看人性化的管理-防火墻的性能查看人性化的管理-防火墻實(shí)時(shí)流量查看通過(guò)對(duì)連接信息的查看,用戶(hù)可以了解當(dāng)前通過(guò)、未通過(guò)、已建立或已斷開(kāi)連接的源地址、目的地址、發(fā)送流量、接收流量等信息,及時(shí)了解網(wǎng)絡(luò)應(yīng)用情況,另外利用此功能還可以及時(shí)的排除故障。防火墻雙機(jī)熱備內(nèi)部網(wǎng)外網(wǎng)或者不信任域Eth0Eth0Eth1Eth1Eth2Eth2心跳線(xiàn)ActiveFirewallStandbyFirewall檢測(cè)ActiveFirewall的狀態(tài)發(fā)現(xiàn)出故障,立即接管其工作

正常情況下由主防火墻工作主防火墻出故障以后,接管它的工作HuborSwitchHuborSwitch通過(guò)STP協(xié)議可以交換兩臺(tái)防火墻的狀態(tài)信息當(dāng)一臺(tái)防火墻故障時(shí),這臺(tái)防火墻的連接不需要重新建立就可以透明的遷移到另一臺(tái)防火墻上,用戶(hù)不會(huì)察覺(jué)到客戶(hù)機(jī)建立連接并維持連接狀態(tài)直到查詢(xún)結(jié)束對(duì)長(zhǎng)連接應(yīng)用的支持FR數(shù)據(jù)庫(kù)查詢(xún)一般需要比較長(zhǎng)的時(shí)間,這些通訊連接建立成功后可能暫時(shí)沒(méi)有數(shù)據(jù)通過(guò)(空連接),需要在防火墻里面維護(hù)這個(gè)連接狀態(tài),直到查詢(xún)結(jié)束,普通防火墻在連接建立一段時(shí)間后如果沒(méi)有數(shù)據(jù)通訊會(huì)自動(dòng)切斷連接,導(dǎo)致業(yè)務(wù)不能正常運(yùn)行。需要較長(zhǎng)的查詢(xún)時(shí)間Trunk口Trunk口VLAN1VLAN2支持VLAN的交換機(jī)Trunk口Trunk口VLAN1VLAN2Switch1Switch2同一交換機(jī)的不同VLAN之間通訊不同交換機(jī)的同一VLAN之間通訊不支持TRUNK的防火墻無(wú)法在這種環(huán)境下工作不支持TRUNK的防火墻無(wú)法在這種環(huán)境下工作防火墻對(duì)TRUNK協(xié)議的支持防火墻不禁支持TRUNK數(shù)據(jù)包穿過(guò)防火墻,并且防火墻的接口也可以封裝TRUNK數(shù)據(jù)包。防火墻對(duì)TRUNK協(xié)議的支持防火墻不禁支持TRUNK數(shù)據(jù)包穿過(guò)防火墻,并且防火墻的接口也可以封裝TRUNK數(shù)據(jù)包,即支持VLAN間路由。Vlan20Vlan30Vlan10TRUNK鏈路高可用性的支持二層環(huán)境?三層環(huán)境?抗DOS/DDOS攻擊-----SYN代理防火墻的SYN代理實(shí)現(xiàn)原理:在服務(wù)器和外部網(wǎng)絡(luò)之間部署防火墻系統(tǒng);防火墻在收到客戶(hù)端的Syn包后,防火墻代替服務(wù)器向客戶(hù)端發(fā)送Syn/Ack包;如果防火墻收到客戶(hù)端的Ack信息,表明訪(fǎng)問(wèn)正常,由防火墻向服務(wù)器發(fā)送Syn包并完成后續(xù)的TCP握手,建立客戶(hù)端到服務(wù)器的連接。通過(guò)這種Syn代理技術(shù),保證每個(gè)Syn包源的真實(shí)有效性,確保虛假請(qǐng)求不被發(fā)往服務(wù)器,從而徹底防范對(duì)服務(wù)器的Syn-Flood攻擊。160萬(wàn)并發(fā)連接數(shù)SYNSYN/ACKACKSYNSYN/ACKACKSYNSYN/ACKACKClientServer支持眾多網(wǎng)絡(luò)通信協(xié)議和應(yīng)用協(xié)議:如DHCP、VLAN、PPPOE、ISL、802.1Q、Spanningtree、IPSEC、H.323、RTSP、MMS、IGMP、GRE、ORACLE-SQLNET等,保證用戶(hù)的網(wǎng)絡(luò)應(yīng)用,方便用戶(hù)擴(kuò)展IP寬帶接入及IP電話(huà)、視頻會(huì)議、VOD點(diǎn)播等多媒體應(yīng)用。支持核心網(wǎng)絡(luò)中生成樹(shù)(STP)的計(jì)算:通過(guò)生成樹(shù)計(jì)算,防火墻能夠同核心交換機(jī)一起進(jìn)行生成樹(shù)計(jì)算,實(shí)現(xiàn)了核心網(wǎng)絡(luò)的全連接拓?fù)浣Y(jié)構(gòu),能夠進(jìn)行鏈路的自動(dòng)切換,保證了整個(gè)網(wǎng)絡(luò)的穩(wěn)定。支持交換機(jī)主干鏈路:防火墻的物理接口實(shí)現(xiàn)了D0t1q封裝格式,能夠同交換機(jī)的Trunk接口對(duì)接,實(shí)現(xiàn)了VLAN間路由的功能,保證了防火墻對(duì)于各種網(wǎng)絡(luò)環(huán)境的易接入性。支持動(dòng)態(tài)路由協(xié)議,不但可以讓動(dòng)態(tài)路由協(xié)議穿過(guò)防火墻設(shè)備,并且防火墻的接口也可以參與動(dòng)態(tài)路由協(xié)議的運(yùn)算,目前支持OSFP/RIP2。支持多種網(wǎng)絡(luò)應(yīng)用Firewall防火墻基本概念

防火墻分類(lèi)防火墻發(fā)展趨勢(shì)防火墻核心技術(shù)防火墻設(shè)計(jì)結(jié)構(gòu)防火墻功能防火墻性能防火墻部署防火墻可靠性防火墻典型應(yīng)用常見(jiàn)防火墻性能指標(biāo)吞吐量延時(shí)丟包率背靠背最大并發(fā)連接數(shù)最大并發(fā)連接建立速率吞吐量定義:在不丟包的情況下能夠達(dá)到的最大速率衡量標(biāo)準(zhǔn):吞吐量作為衡量防火墻性能的重要指標(biāo)之一,吞吐量小就會(huì)造成網(wǎng)絡(luò)新的瓶頸,以至影響到整個(gè)網(wǎng)絡(luò)的性能

~;%#@*$^&*&^#**(&Smartbits6000B測(cè)試儀101100101000011111001010010001001000以最大速率發(fā)包直到出現(xiàn)丟包時(shí)的最大值防火墻吞吐量小就會(huì)成為網(wǎng)絡(luò)的瓶頸100M60M數(shù)據(jù)包首先排隊(duì)待防火墻檢查后轉(zhuǎn)發(fā)延時(shí)定義:入口處輸入幀最后1個(gè)比特到達(dá)至出口處輸出幀的第一個(gè)比特輸出所用的時(shí)間間隔衡量標(biāo)準(zhǔn):防火墻的時(shí)延能夠體現(xiàn)它處理數(shù)據(jù)的速度

10101001001001001010Smartbits6000B測(cè)試儀101100101000011111001010010001001000最后1個(gè)比特到達(dá)第一個(gè)比特輸出時(shí)間間隔101010011100111010101001110011101010010010100100010100010101010100100100100100100010造成數(shù)據(jù)包延遲到達(dá)目標(biāo)地丟包率定義:在連續(xù)負(fù)載的情況下,防火墻設(shè)備由于資源不足應(yīng)轉(zhuǎn)發(fā)但卻未轉(zhuǎn)發(fā)的幀百分比

衡量標(biāo)準(zhǔn):防火墻的丟包率對(duì)其穩(wěn)定性、可靠性有很大的影響

Smartbits6000B測(cè)試儀發(fā)送了1000個(gè)包防火墻由于資源不足只轉(zhuǎn)發(fā)了800個(gè)包丟包率=(1000-800)/1000=20%1001010100101001000100100110010101001010010001001001背靠背定義:從空閑狀態(tài)開(kāi)始,以達(dá)到傳輸介質(zhì)最小合法間隔極限的傳輸速率發(fā)送相當(dāng)數(shù)量的固定長(zhǎng)度的幀,當(dāng)出現(xiàn)第一個(gè)幀丟失時(shí),發(fā)送的幀數(shù)。衡量標(biāo)準(zhǔn):背對(duì)背包的測(cè)試結(jié)果能體現(xiàn)出被測(cè)防火墻的緩沖容量,網(wǎng)絡(luò)上經(jīng)常有一些應(yīng)用會(huì)產(chǎn)生大量的突發(fā)數(shù)據(jù)包(例如:NFS,備份,路由更新等),而且這樣的數(shù)據(jù)包的丟失可能會(huì)產(chǎn)生更多的數(shù)據(jù)包,強(qiáng)大緩沖能力可以減小這種突發(fā)對(duì)網(wǎng)絡(luò)造成的影響Smartbits6000B測(cè)試儀時(shí)間(t)包數(shù)量(n)少量包包增多峰值包減少?zèng)]有數(shù)據(jù)背靠背指標(biāo)體現(xiàn)防火墻對(duì)突發(fā)數(shù)據(jù)的處理能力并發(fā)連接數(shù)定義:指穿越防火墻的主機(jī)之間或主機(jī)與防火墻之間能同時(shí)建立的最大連接數(shù)。衡量標(biāo)準(zhǔn):并發(fā)連接數(shù)的測(cè)試主要用來(lái)測(cè)試被測(cè)防火墻建立和維持TCP連接的性能,同時(shí)也能通過(guò)并發(fā)連接數(shù)的大小體現(xiàn)被測(cè)防火墻對(duì)來(lái)自于客戶(hù)端的TCP連接請(qǐng)求的響應(yīng)能力

并發(fā)連接數(shù)指標(biāo)可以用來(lái)衡量穿越防火墻的主機(jī)之間能同時(shí)建立的最大連接數(shù)并發(fā)連接并發(fā)連接最大并發(fā)連接數(shù)建立速率定義:指穿越防火墻的主機(jī)之間或主機(jī)與防火墻之間單位時(shí)間內(nèi)建立的最大連接數(shù)。衡量標(biāo)準(zhǔn):最大并發(fā)連接數(shù)建立速率主要用來(lái)衡量防火墻單位時(shí)間內(nèi)建立和維持TCP連接的能力并發(fā)連接并發(fā)連接單位時(shí)間內(nèi)增加的并發(fā)連接數(shù)Firewall防火墻基本概念

防火墻分類(lèi)防火墻發(fā)展趨勢(shì)防火墻核心技術(shù)防火墻設(shè)計(jì)結(jié)構(gòu)防火墻構(gòu)造體系防火墻功能防火墻性能

防火墻部署防火墻可靠性防火墻典型應(yīng)用受保護(hù)網(wǎng)絡(luò)Internet如果防火墻支持透明模式,則內(nèi)部網(wǎng)絡(luò)主機(jī)的配置不用調(diào)整HostA

HostCHostDHostB同一網(wǎng)段透明模式下,這里不用配置IP地址透明模式下,這里不用配置IP地址DefaultGateway=防火墻相當(dāng)于網(wǎng)橋,原網(wǎng)絡(luò)結(jié)構(gòu)沒(méi)有改變NO.1

透明接入受保護(hù)網(wǎng)絡(luò)InternetHostA

HostCHostDHostBDefaultGateway=防火墻相當(dāng)于一個(gè)簡(jiǎn)單的路由器67提供簡(jiǎn)單的路由功能NO.2

路由接入NO.3

綜合接入ETH1:02ETH2:00/24網(wǎng)段/24網(wǎng)段此時(shí)整個(gè)防火墻工作于透明+路由模式,我們稱(chēng)之為綜合模式或者混合模式/24網(wǎng)段ETH1:兩接口在不同網(wǎng)段,防火墻處于路由模式兩接口在不同網(wǎng)段,防火墻處于路由模式兩接口在同一網(wǎng)段,防火墻處于透明模式Firewall防火墻基本概念

防火墻分類(lèi)防

溫馨提示

  • 1. 本站所有資源如無(wú)特殊說(shuō)明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請(qǐng)下載最新的WinRAR軟件解壓。
  • 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請(qǐng)聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶(hù)所有。
  • 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁(yè)內(nèi)容里面會(huì)有圖紙預(yù)覽,若沒(méi)有圖紙預(yù)覽就沒(méi)有圖紙。
  • 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
  • 5. 人人文庫(kù)網(wǎng)僅提供信息存儲(chǔ)空間,僅對(duì)用戶(hù)上傳內(nèi)容的表現(xiàn)方式做保護(hù)處理,對(duì)用戶(hù)上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對(duì)任何下載內(nèi)容負(fù)責(zé)。
  • 6. 下載文件中如有侵權(quán)或不適當(dāng)內(nèi)容,請(qǐng)與我們聯(lián)系,我們立即糾正。
  • 7. 本站不保證下載資源的準(zhǔn)確性、安全性和完整性, 同時(shí)也不承擔(dān)用戶(hù)因使用這些下載資源對(duì)自己和他人造成任何形式的傷害或損失。

評(píng)論

0/150

提交評(píng)論