《防火墻技術(shù)項目化教程》課件-防火墻體系結(jié)構(gòu)與分類-1

《防火墻技術(shù)》

——防火墻體系結(jié)構(gòu)與分類本講主要任務(wù)與學(xué)習(xí)目標(biāo)任務(wù)目標(biāo)任務(wù)1：學(xué)習(xí)防火墻基本概念和工作原理任務(wù)2：學(xué)習(xí)防火墻體系結(jié)構(gòu)和性能指標(biāo)意義任務(wù)3：學(xué)習(xí)防火墻典型部署方式和應(yīng)用方式學(xué)習(xí)目標(biāo)掌握防火墻的基本概念及原理掌握防火墻的性能指標(biāo)意義，及選型參考方式掌握防火墻典型應(yīng)用主要內(nèi)容防火墻基本概念防火墻發(fā)展歷程防火墻核心技術(shù)防火墻體系結(jié)構(gòu)防火墻功能與原理防火墻的接入方式防火墻的典型應(yīng)用防火墻性能各種類型的防火墻軟件防火墻硬件防火墻按形態(tài)分類按保護對象分類Internet保護整個網(wǎng)絡(luò)保護單臺主機網(wǎng)絡(luò)防火墻單機防火墻InternetInternet單機防火墻網(wǎng)絡(luò)防火墻保護單臺主機安全策略分散安全功能簡單普通用戶維護安全隱患較大策略設(shè)置靈活保護整個網(wǎng)絡(luò)安全策略集中安全功能復(fù)雜多樣專業(yè)管理員維護安全隱患小策略設(shè)置復(fù)雜單機防火墻網(wǎng)絡(luò)防火墻產(chǎn)品形態(tài)軟件硬件或者軟件安裝點單臺獨立的Host網(wǎng)絡(luò)邊界處安全策略分散在各個安全點對整個網(wǎng)絡(luò)有效保護范圍單臺主機一個網(wǎng)段管理方式分散管理集中管理功能功能單一功能復(fù)雜、多樣管理人員普通計算機用戶專業(yè)網(wǎng)管人員安全措施單點安全措施全局安全措施結(jié)論單機防火墻是網(wǎng)絡(luò)防火墻的有益補充，但不能代替網(wǎng)絡(luò)防火墻為內(nèi)部網(wǎng)絡(luò)提供強大的保護功能InternetInternet硬件防火墻軟件防火墻操作系統(tǒng)平臺安全性性能穩(wěn)定性網(wǎng)絡(luò)適應(yīng)性分發(fā)升級成本硬件防火墻基于精簡專用OS高高高強不易較容易Price=firewall+Server軟件防火墻基于龐大通用OS較低低較低強非常容易容易Price=Firewall僅獲得Firewall軟件，需要準(zhǔn)備額外的OS平臺安全性依賴低層的OS網(wǎng)絡(luò)適應(yīng)性弱（主要以路由模式工作）穩(wěn)定性高軟件分發(fā)、升級比較方便硬件+軟件，不用準(zhǔn)備額外的OS平臺安全性完全取決于專用的OS網(wǎng)絡(luò)適應(yīng)性強（支持多種接入模式）穩(wěn)定性較高升級、更新不太靈活防火墻基本概念

防火墻發(fā)展歷程防火墻核心技術(shù)防火墻體系結(jié)構(gòu)防火墻功能與原理防火墻的接入方式防火墻的典型應(yīng)用防火墻性能防火墻的發(fā)展歷史純軟件防火墻軟硬結(jié)合防火墻ASIC硬件防火墻基于PC機，運行在通用操作系統(tǒng)（UNIX、WINDOWS等）之上通用操作系統(tǒng)不是為網(wǎng)絡(luò)安全定制的，不可避免的存在許多漏洞和BUG防火墻沒有專用的資源，與其他任務(wù)進程一起共享CPU、RAM、PCI總線等資源性能一般、安全性也一般不再使用通用的操作系統(tǒng)采用專用或者自主研發(fā)（優(yōu)化）的操作系統(tǒng)，由于這些系統(tǒng)是為網(wǎng)絡(luò)安全定制的，因而從根本上解決了軟件防火墻存在的安全隱患該類防火墻仍然屬于X86結(jié)構(gòu)，但在性能和安全性上比軟件防火墻有了很大的提高優(yōu)良的性價比，在市場上占據(jù)了主導(dǎo)地位采用ASIC芯片和多總線、并行處理方式；使原先需要上萬條指令才能完成的工作在瞬間由數(shù)個循環(huán)就能完成多總線結(jié)構(gòu)保證在端口上有數(shù)據(jù)傳輸時，防火墻內(nèi)部仍能進行高效數(shù)據(jù)處理，不再受“中斷”的限制采用專用操作系統(tǒng)，具有很高的安全性徹底擺脫X86架構(gòu)的影響性能和安全性有很大的突破，尤其是性能指標(biāo)硬件防火墻技術(shù)的發(fā)展歷程多功能防火墻的發(fā)展歷程防火墻執(zhí)行標(biāo)準(zhǔn)GB/T18019-1999信息技術(shù)包過濾防火墻安全技術(shù)要求GB/T18020-1999信息技術(shù)應(yīng)用級防火墻安全技術(shù)要求GB/T18336-2001信息技術(shù)安全性評估準(zhǔn)則GB/T17900-1999網(wǎng)絡(luò)代理服務(wù)器的安全技術(shù)要求GB/T18018-1999路由器安全技術(shù)要求這些標(biāo)準(zhǔn)從安全環(huán)境、安全目標(biāo)、安全要求、基本原理等方面對防火墻的各種指標(biāo)進行了規(guī)定。防火墻基本概念防火墻發(fā)展歷程

防火墻核心技術(shù)防火墻體系結(jié)構(gòu)防火墻功能與原理防火墻的接入方式防火墻的典型應(yīng)用防火墻性能簡單包過濾防火墻狀態(tài)檢測包過濾防火墻應(yīng)用代理防火墻包過濾與應(yīng)用代理復(fù)合型防火墻核檢測防火墻防火墻技術(shù)應(yīng)用層TCP層IP層網(wǎng)絡(luò)接口層TCP開始攻擊IP開始攻擊TCPTCP開始攻擊IPETH開始攻擊TCP開始攻擊IP應(yīng)用層TCP層IP層網(wǎng)絡(luò)接口層TCP開始攻擊IP開始攻擊TCPTCP開始攻擊IPETH開始攻擊只檢查報頭101001001001010010000011100111101111011001001001010010000011100111101111011包過濾防火墻的工作原理簡單包過濾防火墻不檢查數(shù)據(jù)區(qū)簡單包過濾防火墻不建立連接狀態(tài)表前后報文無關(guān)應(yīng)用層控制很弱應(yīng)用層TCP層IP層網(wǎng)絡(luò)接口層TCP開始攻擊IP開始攻擊TCPTCP開始攻擊IPETH開始攻擊TCP開始攻擊IP應(yīng)用層TCP層IP層網(wǎng)絡(luò)接口層TCP開始攻擊IP開始攻擊TCPTCP開始攻擊IPETH開始攻擊只檢查數(shù)據(jù)101001001001010010000011100111101111011001001001010010000011100111101111011應(yīng)用代理防火墻的工作原理不檢查IP、TCP報頭不建立連接狀態(tài)表網(wǎng)絡(luò)層保護比較弱應(yīng)用層TCP層IP層網(wǎng)絡(luò)接口層TCP開始攻擊IP開始攻擊TCPTCP開始攻擊IPETH開始攻擊TCP開始攻擊IP應(yīng)用層TCP層IP層網(wǎng)絡(luò)接口層TCP開始攻擊IP開始攻擊TCPTCP開始攻擊IPETH開始攻擊只檢查報頭101001001001010010000011100111101111011001001001010010000011100111101111011狀態(tài)檢測防火墻的工作原理不檢查數(shù)據(jù)區(qū)建立連接狀態(tài)表前后報文相關(guān)應(yīng)用層控制很弱建立連接狀態(tài)表建立狀態(tài)連接表應(yīng)用層TCP層IP層網(wǎng)絡(luò)接口層TCP開始攻擊IP開始攻擊TCPTCP開始攻擊IPETH開始攻擊主服務(wù)器硬盤數(shù)據(jù)TCP開始攻擊IP應(yīng)用層TCP層IP層網(wǎng)絡(luò)接口層TCP開始攻擊IP開始攻擊TCPTCP開始攻擊IPETH開始攻擊主服務(wù)器硬盤數(shù)據(jù)檢查應(yīng)用層協(xié)議和數(shù)據(jù)內(nèi)容101001001001010010000010111011110110010010010100100000110111101111011完全內(nèi)容檢測防火墻的工作原理TCP主服務(wù)器IPTCP硬盤數(shù)據(jù)IP開始攻擊還原會話主服務(wù)器硬盤數(shù)據(jù)報文1報文2報文3網(wǎng)絡(luò)層保護強應(yīng)用層保護強會話保護很強上下文相關(guān)前后報文有聯(lián)系檢查報頭防火墻核心技術(shù)比較綜合安全性網(wǎng)絡(luò)層保護應(yīng)用層保護應(yīng)用層透明整體性能處理對象簡單包過濾防火墻狀態(tài)檢測包過濾防火墻應(yīng)用代理防火墻復(fù)合型防火墻完全內(nèi)容檢測防火墻

單個包報頭

單個包報頭

單個包數(shù)據(jù)

單個包全部

一次會話1001001001TCPIP1001001001TCPIP防火墻基本概念防火墻發(fā)展歷程防火墻核心技術(shù)

防火墻體系結(jié)構(gòu)防火墻功能與原理防火墻的接入方式防火墻的典型應(yīng)用防火墻性能可擴展的百兆防火墻外觀構(gòu)造防火墻模塊封裝板根據(jù)需要可以通過擴充模塊，增加端口的數(shù)量根據(jù)需要可以選擇處理能力更好的機箱與引擎防火墻機箱與引擎防火墻接口模塊千兆級防火墻外觀構(gòu)造GBIC卡插槽10/100/1000M以太口AUX接口熱拔插冗余電源大功率散熱風(fēng)扇防火墻引擎防火墻內(nèi)部系統(tǒng)內(nèi)核技術(shù)——經(jīng)過專門加固、精簡、安全化的操作系統(tǒng)模塊化結(jié)構(gòu)設(shè)計、可擴展性好、方便用戶定制與升級系統(tǒng)大小——約5M代碼，可以駐留在穩(wěn)定的Flash盤上配置文件存取在NVRAM里，可以保證配置文件的安全性TopsecOS架構(gòu)應(yīng)用層GTA配置日志路由認(rèn)證報警監(jiān)控管理QoSHA文件系統(tǒng)健壯中心底層交換底層路由硬件抽象層專用安全操作系統(tǒng)內(nèi)核多線程處理器、ASIC、NPU、MIPS、x86、ARM內(nèi)核層基礎(chǔ)層服務(wù)層硬件FWIPSECSSLIPSAntiVirusGAPAntiSpamWEBGuardAuditDesk基于內(nèi)核的會話檢測技術(shù)Clint6970010101001010000111110000010010101001010010010110010010協(xié)議還原模塊協(xié)議還原模塊輸入隊列輸入隊列底層驅(qū)動010101001010000111110000010010101001010010010110010010符合安全策略？符合安全策略？防火墻邏輯圖010100101001010010010100101001010010010100101001010010010100101001010010010100010101發(fā)起請求響應(yīng)請求虛擬客戶端虛擬服務(wù)器端在操作系統(tǒng)內(nèi)核模擬出典型的應(yīng)用層協(xié)議，在內(nèi)核實現(xiàn)對應(yīng)用層協(xié)議的過濾，從而得到極高的性能基于內(nèi)核的會話檢測技術(shù)101001010111000010101000011101001010111000010101000011110100000001100000001111100100100010010000100111110001101001001001001001010010進行規(guī)則匹配、應(yīng)用層過濾頻繁在系統(tǒng)核心和應(yīng)用層之間切換消耗掉大量的系統(tǒng)資源生成大量的進程影響防火墻的性能應(yīng)用層系統(tǒng)核心101001010111000010101000011101001010111000010101000011100100010010000100111110001101001001001001001010010直接在系統(tǒng)核心進行應(yīng)用層過濾不需要頻繁在系統(tǒng)核心和應(yīng)用層之間切換在大量并發(fā)情況下不會生成大量進程，有效的保護系統(tǒng)資源大大提高會話檢測的效率應(yīng)用層系統(tǒng)核心防火墻基本概念防火墻發(fā)展歷程防火墻核心技術(shù)防火墻體系結(jié)構(gòu)

防火墻功能與原理防火墻的接入方式防火墻的典型應(yīng)用防火墻性能防火墻的功能基本功能地址轉(zhuǎn)換訪問控制VLAN支持帶寬管理（QoS）入侵檢測和攻擊防御用戶認(rèn)證IP/MAC綁定動態(tài)IP環(huán)境支持?jǐn)?shù)據(jù)庫長連接應(yīng)用支持路由支持ADSL撥號功能SNMP網(wǎng)管支持日志審計高可用性擴展功能防病毒IPSVPNIPSECVPNPPTP/L2TPGRE地址轉(zhuǎn)換（NAT）Internet4HostA受保護網(wǎng)絡(luò)HostCHostD15防火墻Eth2：3Eth0：數(shù)據(jù)IP報頭數(shù)據(jù)IP報頭源地址：1目地址：4源地址：目地址：4隱藏了內(nèi)部網(wǎng)絡(luò)的結(jié)構(gòu)

內(nèi)部網(wǎng)絡(luò)可以使用私有IP地址公開地址不足的網(wǎng)絡(luò)可以使用這種方式提供IP復(fù)用功能防火墻基本概念防火墻發(fā)展歷程防火墻核心技術(shù)防火墻體系結(jié)構(gòu)防火墻功能與原理

防火墻的接入方式防火墻的典型應(yīng)用防火墻性能防火墻提供的通訊模式透明模式(提供橋接功能)在這種模式下，網(wǎng)絡(luò)衛(wèi)士防火墻的所有接口均作為交換接口工作。也就是說，對于同一VLAN的數(shù)據(jù)包在轉(zhuǎn)發(fā)時不作任何改動，包括IP和MAC地址，直接把包轉(zhuǎn)發(fā)出去。同時，網(wǎng)絡(luò)衛(wèi)士防火墻可以在設(shè)置了IP的VLAN之間進行路由轉(zhuǎn)發(fā)。路由模式(靜態(tài)路由功能)在這種模式下，網(wǎng)絡(luò)衛(wèi)士防火墻類似于一臺路由器轉(zhuǎn)發(fā)數(shù)據(jù)包，將接收到的數(shù)據(jù)包的源MAC地址替換為相應(yīng)接口的MAC地址，然后轉(zhuǎn)發(fā)。該模式適用于每個區(qū)域都不在同一個網(wǎng)段的情況。和路由器一樣，網(wǎng)絡(luò)衛(wèi)士防火墻的每個接口均要根據(jù)區(qū)域規(guī)劃配置IP地址。綜合模式(透明+路由功能)顧名思義，這種模式是前兩種模式的混合。也就是說某些區(qū)域（接口）工作在透明模式下，而其他的區(qū)域（接口）工作在路由模式下。該模式適用于較復(fù)雜的網(wǎng)絡(luò)環(huán)境。說明：防火墻采用何種通訊方式是由用戶的網(wǎng)絡(luò)環(huán)境決定的，用戶需要根據(jù)自己的網(wǎng)絡(luò)情況，合理的確定防火墻的通訊模式；并且防火墻采用何種通訊方式都不會影響防火墻的訪問控制功能。NO.1透明模式Internet內(nèi)部網(wǎng)ETH0：ETH1：ETH2：0/24網(wǎng)段0/24網(wǎng)段外網(wǎng)、SSN、內(nèi)網(wǎng)在同一個廣播域，防火墻做透明設(shè)置。此時防火墻為透明模式。NO.2路由模式Internet內(nèi)部網(wǎng)ETH0：ETH1：ETH2：/24網(wǎng)段/24網(wǎng)段外網(wǎng)、SSN區(qū)、內(nèi)網(wǎng)都不在同一網(wǎng)段，防火墻做路由方式。這時，防火墻相當(dāng)于一個路由器。NO.3混合模式ETH1：02ETH2：00/24網(wǎng)段/24網(wǎng)段此時整個防火墻工作于透明+路由模式，我們稱之為綜合模式或者混合模式/24網(wǎng)段ETH0：兩接口在不同網(wǎng)段，防火墻處于路由模式兩接口在不同網(wǎng)段，防火墻處于路由模式兩接口在同一網(wǎng)段，防火墻處于透明模式防火墻基本概念防火墻發(fā)展歷程防火墻核心技術(shù)防火墻體系結(jié)構(gòu)防火墻功能與原理防火墻的接入方式防火墻的典型應(yīng)用

防火墻性能衡量防火墻性能的五大指標(biāo)吞吐量：該指標(biāo)直接影響網(wǎng)絡(luò)的性能，吞吐量時延：入口處輸入幀最后1個比特到達(dá)至出口處輸出幀的第1個比特輸出所用的時間間隔丟包率：在穩(wěn)態(tài)負(fù)載下，應(yīng)由網(wǎng)絡(luò)設(shè)備傳輸，但由于資源缺乏而被丟棄的幀的百分比背靠背：從空閑狀態(tài)開始，以達(dá)到傳輸介質(zhì)最小合法間隔極限的傳輸速率發(fā)送相當(dāng)數(shù)量的固定長度的幀，當(dāng)出現(xiàn)第一個幀丟失時，發(fā)送的幀數(shù)并發(fā)連結(jié)數(shù)：并發(fā)連接數(shù)是指穿越防火墻的主機之間或主機與防火墻之間能同時建立的最大連接數(shù)

吞吐量定義：在不丟包的情況下能夠達(dá)到的最大速率衡量標(biāo)準(zhǔn)：吞吐量越大，防火墻的性能越高~;%#^&*&^#**(&Smartbits6000B測試儀10110010100001111100101001001000以最大速率發(fā)包