《防火墻基本功能教程.ppt》由會員分享，可在線閱讀，更多相關(guān)《防火墻基本功能教程.ppt（48頁珍藏版）》請?jiān)谘b配圖網(wǎng)上搜索。

培訓(xùn)目標(biāo),學(xué)完本課程后，您應(yīng)該能：了解防火墻的定義掌握防火墻的主要功能了解防火墻的分類,目錄,第一節(jié)防火墻的定義第二節(jié)防火墻的主要功能第三節(jié)防火墻的分類第四節(jié)防火墻工作模式第五節(jié)防火墻處理流程第六節(jié)防火墻基本概念,引入,隨著Internet的日益普及，開放式的網(wǎng)絡(luò)帶來了許多不安全的隱患。在開放網(wǎng)絡(luò)式的網(wǎng)絡(luò)上，我們的周圍存在著許多不能信任的計(jì)算機(jī)（包括在一個(gè)LAN之間），這種這些計(jì)算機(jī)對我們私有的一些敏感信息造成了很大的威脅。在大廈的構(gòu)造中，防火墻被設(shè)計(jì)用來防止火災(zāi)從大廈的一部分傳播到大廈的另一部分。我們所涉及的“防火墻”具有類似的目的：“防止Internet的危險(xiǎn)傳播到你的內(nèi)部網(wǎng)絡(luò)”。,什么是防火墻?,防火墻(FireWall)：網(wǎng)絡(luò)安全的第一道防線，是位于兩個(gè)信任程度不同的網(wǎng)絡(luò)之間（如企業(yè)內(nèi)部網(wǎng)絡(luò)和Internet之間）的設(shè)備，它對兩個(gè)網(wǎng)絡(luò)之間的通信進(jìn)行控制，通過強(qiáng)制實(shí)施統(tǒng)一的安全策略，防止對重要信息資源的非法存取和訪問以達(dá)到保護(hù)系統(tǒng)安全的目的。防火墻=硬件+軟件+控制策略寬松控制策略：除非明確禁止，否則允許。限制控制策略：除非明確允許，否則禁止。,防火墻在安全體系中的位置,,,,,,門防火墻,監(jiān)視器入侵檢測系統(tǒng),,保安員掃描器、漏洞查找,安全傳輸加密、VPN,門禁系統(tǒng)身份認(rèn)證、訪問控制,監(jiān)控室安全管理中心,,加固的房間系統(tǒng)加固、免疫,,目錄,第一節(jié)防火墻的定義第二節(jié)防火墻的主要功能第三節(jié)防火墻的分類第四節(jié)防火墻工作模式第五節(jié)防火墻處理流程第六節(jié)防火墻基本概念,防火墻的功能,防火墻能提供的功能：監(jiān)控和審計(jì)網(wǎng)絡(luò)的存取和訪問，過濾進(jìn)出網(wǎng)絡(luò)的數(shù)據(jù)，管理進(jìn)出網(wǎng)絡(luò)的訪問行為部署于網(wǎng)絡(luò)邊界，兼?zhèn)涮峁┚W(wǎng)絡(luò)地址翻譯(NAT)、虛擬專用網(wǎng)(VPN)等功能防病毒、入侵檢測、認(rèn)證、加密、遠(yuǎn)程管理、代理……深度檢測對某些協(xié)議進(jìn)行相關(guān)控制攻擊防范，掃描檢測等,防火墻的基本功能模塊,先進(jìn)的防火墻,先進(jìn)的硬件體系結(jié)構(gòu)。強(qiáng)大的功能，豐富的業(yè)務(wù)支持。電信級的高可靠性。增強(qiáng)的日志統(tǒng)計(jì)功能。,防火墻的局限性,防火墻不是解決所有網(wǎng)絡(luò)安全問題的萬能藥方，只是網(wǎng)絡(luò)安全政策和策略中的一個(gè)組成部分，是保衛(wèi)網(wǎng)絡(luò)安全的第一道門戶。,防火墻和路由器的差異,路由器的特點(diǎn)：1、保證互聯(lián)互通。2、按照最長匹配算法逐包轉(zhuǎn)發(fā)。3、路由協(xié)議是核心特性。,防火墻的特點(diǎn)：1、邏輯子網(wǎng)之間的訪問控制，關(guān)注邊界安全2、基于連接的轉(zhuǎn)發(fā)特性。3、安全防范是防火墻的核心特性。,,,,,,,LAN,WAN,目錄,第一節(jié)防火墻的定義第二節(jié)防火墻的主要功能第三節(jié)防火墻的分類第四節(jié)防火墻工作模式第五節(jié)防火墻處理流程第六節(jié)防火墻基本概念,防火墻的分類,按照防火墻實(shí)現(xiàn)的方式，一般把防火墻分為如下幾類：包過濾防火墻(PacketFiltering)代理型防火墻（ApplicationGateway）狀態(tài)檢測防火墻(StateDetect)目前防火墻的主流產(chǎn)品為狀態(tài)檢測防火墻,包過濾防火墻(PacketFiltering),包過濾防火墻(PacketFiltering)-（續(xù)）,規(guī)則的定義就是按照IP數(shù)據(jù)包的特點(diǎn)定義的，可以充分利用上述條件定義通過防火墻數(shù)據(jù)包的條件。,協(xié)議號源地址目的地址,源端口目的端口,IP報(bào)頭,TCP/UDP報(bào)頭,數(shù)據(jù),包過濾防火墻(PacketFiltering)-（續(xù)）,優(yōu)點(diǎn)：設(shè)計(jì)簡單，非常易于實(shí)現(xiàn)，而且價(jià)格便宜。其缺點(diǎn)也缺點(diǎn)：基于網(wǎng)絡(luò)層的安全技術(shù)，對于應(yīng)用層的黑客行為無能為力。包過濾防火墻對于任何應(yīng)用需要配置雙方向的ACL規(guī)則，不能提供差異性保護(hù)。隨著ACL復(fù)雜度和長度的增加，其過濾性能成指數(shù)下降趨勢。靜態(tài)的ACL規(guī)則難以適應(yīng)動態(tài)的安全要求。,代理型防火墻(ApplicationGateway),代理服務(wù)作用于網(wǎng)絡(luò)的應(yīng)用層，其實(shí)質(zhì)是把內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)用戶之間直接進(jìn)行的業(yè)務(wù)由代理接管。代理檢查來自用戶的請求。認(rèn)證通過后，該防火墻將代表客戶與真正的服務(wù)器建立連接，轉(zhuǎn)發(fā)客戶請求，并將真正服務(wù)器返回的響應(yīng)回送給客戶。,服務(wù)器,客戶機(jī),,,,,,,,,安全策略、審計(jì)監(jiān)控、報(bào)警,WWW、FTP、Email……代理,代理型防火墻(ApplicationGateway)-（續(xù)）,代理型防火墻(ApplicationGateway)-（續(xù)）,優(yōu)點(diǎn)：代理防火墻能夠完全控制網(wǎng)絡(luò)信息的交換，控制會話過程，具有較高的安全性。缺點(diǎn)：軟件實(shí)現(xiàn)限制了處理速度，易于遭受拒絕服務(wù)攻擊；需要針對每一種協(xié)議開發(fā)應(yīng)用層代理，升級很困難。因此代理型防火墻不能支持很豐富的業(yè)務(wù)，只能針對某些應(yīng)用提供代理支持；代理型防火墻使得防火墻做為一個(gè)訪問的中間節(jié)點(diǎn)，對Client來說防火墻是一個(gè)Server，對Server來說防火墻是一個(gè)Client，轉(zhuǎn)發(fā)性能低；代理型防火墻很難組成雙機(jī)熱備的組網(wǎng)，因?yàn)闋顟B(tài)無法保持同步；,狀態(tài)檢測防火墻(StateDetect),狀態(tài)檢測是一種高級通信過濾。狀態(tài)分析技術(shù)是包過濾技術(shù)的擴(kuò)展（非正式的也可稱為“動態(tài)包過濾”）。,狀態(tài)檢測防火墻(StateDetect)-（續(xù)）,狀態(tài)檢測防火墻(StateDetect)-（續(xù)）,狀態(tài)防火墻具有以下優(yōu)點(diǎn)：,速度快,安全性高,性能衡量指標(biāo),吞吐量延時(shí)最大并發(fā)連接數(shù)最大新建并發(fā)連接數(shù),吞吐量(Throughput),吞吐量：防火墻能同時(shí)處理的最大數(shù)據(jù)量。有效吞吐量：除掉TCP因?yàn)閬G包和超時(shí)重發(fā)的數(shù)據(jù),實(shí)際的每秒傳輸有效速率。,時(shí)間間隔,Smartbits6000B,,,最后一個(gè)比特進(jìn)入,第一個(gè)比特輸出,,,包需要在隊(duì)列中被檢測后才可以轉(zhuǎn)發(fā),包到達(dá)延遲,延時(shí),定義：數(shù)據(jù)包的最后一個(gè)比特進(jìn)入防火墻到第一個(gè)比特輸出防火墻的時(shí)間間隔指標(biāo)：延時(shí)是用于測量防火墻處理數(shù)據(jù)的速度,最大并發(fā)連接數(shù),定義：由于防火墻是針對連接進(jìn)行處理報(bào)文的，并發(fā)連接數(shù)目是指的防火墻可以同時(shí)容納的最大的連接數(shù)目，一個(gè)連接就是一個(gè)TCP/UDP的訪問。,該參數(shù)是用來衡量主機(jī)和服務(wù)器間能同時(shí)建立的最大連接數(shù),,,并發(fā)連接,并發(fā)連接,最大新建并發(fā)連接數(shù),指每秒鐘可以通過防火墻建立起來的完整TCP連接。,該指標(biāo)是用來衡量防火墻隨數(shù)據(jù)流的實(shí)時(shí)處理能力,,,目錄,第一節(jié)防火墻的定義第二節(jié)防火墻的主要功能第三節(jié)防火墻的分類第四節(jié)防火墻工作模式第五節(jié)防火墻處理流程第六節(jié)防火墻基本概念,防火墻的工作模式（Mode）,防火墻能夠工作在三種模式下：路由模式透明模式混合模式,路由模式（Mode）,,透明模式（Mode）,,,混合模式（Mode）,,,目錄,第一節(jié)防火墻的定義第二節(jié)防火墻的主要功能第三節(jié)防火墻的分類第四節(jié)防火墻工作模式第五節(jié)防火墻處理流程第六節(jié)防火墻基本概念,路由器的基本工作流程,防火墻概要處理流程圖－路由模式,,透明模式：概要處理流程圖,防火墻上行處理－流程圖,收包,增強(qiáng)的SYNFlood攻擊防范處理,黑名單處理,單包攻擊防范,非法報(bào)文丟棄,基于五元組查找會話表,IPSpoofing攻擊？,查找Servermap表,上行處理完成,NAT處理,,,,,,,,,,,,找到,未找到,防火墻下行處理－流程圖,防火墻轉(zhuǎn)發(fā)處理－快速轉(zhuǎn)發(fā),防火墻快轉(zhuǎn)流程只適用于200，處理過程和上面類似。（1）為了提高轉(zhuǎn)發(fā)效率（2）為了進(jìn)一步提高防火墻的轉(zhuǎn)發(fā)效率，采用了cache機(jī)制（3）實(shí)現(xiàn)了會話表的觸發(fā)更新,目錄,第一節(jié)防火墻的定義第二節(jié)防火墻的主要功能第三節(jié)防火墻的分類第四節(jié)防火墻工作模式第五節(jié)防火墻處理流程第六節(jié)防火墻基本概念,防火墻基本概念—安全區(qū)域（Zone）,防火墻的內(nèi)部劃分為多個(gè)區(qū)域，所有的轉(zhuǎn)發(fā)接口都唯一的屬于某個(gè)區(qū)域,域（Zone）:域是防火墻上引入的一個(gè)重要的邏輯概念；通過將接口加入域并在安全區(qū)域之間啟動安全檢查（稱為安全策略），從而對流經(jīng)不同安全區(qū)域的信息流進(jìn)行安全過濾。,防火墻基本概念—安全區(qū)域（Zone）續(xù),根據(jù)防火墻的內(nèi)部劃分的安全區(qū)域關(guān)系，確定其所連接網(wǎng)絡(luò)的安全區(qū)域,防火墻上預(yù)定義了4個(gè)安全區(qū)域：本地區(qū)域Local（指防火墻本身）、受信區(qū)域Trust、非軍事化區(qū)域DMZ（DemilitarizedZone）、非受信區(qū)域Untrust，用戶可以根據(jù)需要自行添加新的安全區(qū)域。,會話,會話（Session）防火墻是狀態(tài)防火墻，采用會話表維持通信狀態(tài)。會話表包括五個(gè)元素：源IP地址、源端口、目的IP地址、目的端口和協(xié)議號。當(dāng)防火墻收到報(bào)文后，根據(jù)上述五個(gè)元素查詢會話表，并根據(jù)具體情況進(jìn)行如下操作：,防火墻基本概念—多通道協(xié)議＆服務(wù)表項(xiàng),多通道協(xié)議：應(yīng)用在進(jìn)行通訊或提供服務(wù)時(shí)需要建立兩個(gè)以上的會話（通道），其中有一個(gè)控制通道，其他的通道是根據(jù)控制通道中雙方協(xié)商的信息動態(tài)創(chuàng)建的，一般我們稱之為數(shù)據(jù)通道或子通道，這樣的協(xié)議我們稱為多通道協(xié)議。ServerMap：對于多通道協(xié)議（比如FTP），五元組過于嚴(yán)厲，導(dǎo)致多通道協(xié)議無法通過會話檢查，所以為了達(dá)到對多通道協(xié)議的支持，開發(fā)除了ServerMap這樣的數(shù)據(jù)結(jié)構(gòu)。,,防火墻基本概念——ASPF,豐富的ASPF功能保證開展業(yè)務(wù)時(shí)安全性得到保證,ASPF(ApplicationSpecificPacketFilter)：是一種改進(jìn)的高級通信過濾技術(shù)，ASPF不但對報(bào)文的網(wǎng)絡(luò)層的信息進(jìn)行檢測，還能對豐富的應(yīng)用層協(xié)議進(jìn)行深度檢測，支持多媒體業(yè)務(wù)的NAT以及安全防范功能。,可以針對某些多通道協(xié)議（例如FTP）報(bào)文中的內(nèi)容動態(tài)決定是否允許其通過防火墻。,ASPF對多通道協(xié)議的支持,用戶192.168.0.1,防火墻,FTPserver19.49.10.10,,,三次握手,防火墻創(chuàng)建Servermap表項(xiàng),,,三次握手,Port192.168.0.1:89,,Port192.168.0.1:89,,,,200PortCommandOK,,,RETRSample.txt,RETRSample.txt,200PortCommandOK,,,150OpeningASCIIconnection,150OpeningASCIIconnection,,,SYN,檢測Servermap表項(xiàng)，創(chuàng)建臨時(shí)規(guī)則，打開FTP通道,192.168.0.1:22787,192.168.0.1:22787,SYN,,防火墻產(chǎn)品技術(shù)發(fā)展趨勢,軟件,ASIC技術(shù),,處理性能,軟硬結(jié)合,NP技術(shù),,技術(shù)發(fā)展,多核技術(shù),