《防火墻基本功能教程.ppt》由會員分享，可在線閱讀，更多相關(guān)《防火墻基本功能教程.ppt（48頁珍藏版）》請在裝配圖網(wǎng)上搜索。

培訓目標,學完本課程后，您應(yīng)該能：了解防火墻的定義掌握防火墻的主要功能了解防火墻的分類,目錄,第一節(jié)防火墻的定義第二節(jié)防火墻的主要功能第三節(jié)防火墻的分類第四節(jié)防火墻工作模式第五節(jié)防火墻處理流程第六節(jié)防火墻基本概念,引入,隨著Internet的日益普及，開放式的網(wǎng)絡(luò)帶來了許多不安全的隱患。在開放網(wǎng)絡(luò)式的網(wǎng)絡(luò)上，我們的周圍存在著許多不能信任的計算機（包括在一個LAN之間），這種這些計算機對我們私有的一些敏感信息造成了很大的威脅。在大廈的構(gòu)造中，防火墻被設(shè)計用來防止火災(zāi)從大廈的一部分傳播到大廈的另一部分。我們所涉及的“防火墻”具有類似的目的：“防止Internet的危險傳播到你的內(nèi)部網(wǎng)絡(luò)”。,什么是防火墻?,防火墻(FireWall)：網(wǎng)絡(luò)安全的第一道防線，是位于兩個信任程度不同的網(wǎng)絡(luò)之間（如企業(yè)內(nèi)部網(wǎng)絡(luò)和Internet之間）的設(shè)備，它對兩個網(wǎng)絡(luò)之間的通信進行控制，通過強制實施統(tǒng)一的安全策略，防止對重要信息資源的非法存取和訪問以達到保護系統(tǒng)安全的目的。防火墻=硬件+軟件+控制策略寬松控制策略：除非明確禁止，否則允許。限制控制策略：除非明確允許，否則禁止。,防火墻在安全體系中的位置,,,,,,門防火墻,監(jiān)視器入侵檢測系統(tǒng),,保安員掃描器、漏洞查找,安全傳輸加密、VPN,門禁系統(tǒng)身份認證、訪問控制,監(jiān)控室安全管理中心,,加固的房間系統(tǒng)加固、免疫,,目錄,第一節(jié)防火墻的定義第二節(jié)防火墻的主要功能第三節(jié)防火墻的分類第四節(jié)防火墻工作模式第五節(jié)防火墻處理流程第六節(jié)防火墻基本概念,防火墻的功能,防火墻能提供的功能：監(jiān)控和審計網(wǎng)絡(luò)的存取和訪問，過濾進出網(wǎng)絡(luò)的數(shù)據(jù)，管理進出網(wǎng)絡(luò)的訪問行為部署于網(wǎng)絡(luò)邊界，兼?zhèn)涮峁┚W(wǎng)絡(luò)地址翻譯(NAT)、虛擬專用網(wǎng)(VPN)等功能防病毒、入侵檢測、認證、加密、遠程管理、代理……深度檢測對某些協(xié)議進行相關(guān)控制攻擊防范，掃描檢測等,防火墻的基本功能模塊,先進的防火墻,先進的硬件體系結(jié)構(gòu)。強大的功能，豐富的業(yè)務(wù)支持。電信級的高可靠性。增強的日志統(tǒng)計功能。,防火墻的局限性,防火墻不是解決所有網(wǎng)絡(luò)安全問題的萬能藥方，只是網(wǎng)絡(luò)安全政策和策略中的一個組成部分，是保衛(wèi)網(wǎng)絡(luò)安全的第一道門戶。,防火墻和路由器的差異,路由器的特點：1、保證互聯(lián)互通。2、按照最長匹配算法逐包轉(zhuǎn)發(fā)。3、路由協(xié)議是核心特性。,防火墻的特點：1、邏輯子網(wǎng)之間的訪問控制，關(guān)注邊界安全2、基于連接的轉(zhuǎn)發(fā)特性。3、安全防范是防火墻的核心特性。,,,,,,,LAN,WAN,目錄,第一節(jié)防火墻的定義第二節(jié)防火墻的主要功能第三節(jié)防火墻的分類第四節(jié)防火墻工作模式第五節(jié)防火墻處理流程第六節(jié)防火墻基本概念,防火墻的分類,按照防火墻實現(xiàn)的方式，一般把防火墻分為如下幾類：包過濾防火墻(PacketFiltering)代理型防火墻（ApplicationGateway）狀態(tài)檢測防火墻(StateDetect)目前防火墻的主流產(chǎn)品為狀態(tài)檢測防火墻,包過濾防火墻(PacketFiltering),包過濾防火墻(PacketFiltering)-（續(xù)）,規(guī)則的定義就是按照IP數(shù)據(jù)包的特點定義的，可以充分利用上述條件定義通過防火墻數(shù)據(jù)包的條件。,協(xié)議號源地址目的地址,源端口目的端口,IP報頭,TCP/UDP報頭,數(shù)據(jù),包過濾防火墻(PacketFiltering)-（續(xù)）,優(yōu)點：設(shè)計簡單，非常易于實現(xiàn)，而且價格便宜。其缺點也缺點：基于網(wǎng)絡(luò)層的安全技術(shù)，對于應(yīng)用層的黑客行為無能為力。包過濾防火墻對于任何應(yīng)用需要配置雙方向的ACL規(guī)則，不能提供差異性保護。隨著ACL復雜度和長度的增加，其過濾性能成指數(shù)下降趨勢。靜態(tài)的ACL規(guī)則難以適應(yīng)動態(tài)的安全要求。,代理型防火墻(ApplicationGateway),代理服務(wù)作用于網(wǎng)絡(luò)的應(yīng)用層，其實質(zhì)是把內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)用戶之間直接進行的業(yè)務(wù)由代理接管。代理檢查來自用戶的請求。認證通過后，該防火墻將代表客戶與真正的服務(wù)器建立連接，轉(zhuǎn)發(fā)客戶請求，并將真正服務(wù)器返回的響應(yīng)回送給客戶。,服務(wù)器,客戶機,,,,,,,,,安全策略、審計監(jiān)控、報警,WWW、FTP、Email……代理,代理型防火墻(ApplicationGateway)-（續(xù)）,代理型防火墻(ApplicationGateway)-（續(xù)）,優(yōu)點：代理防火墻能夠完全控制網(wǎng)絡(luò)信息的交換，控制會話過程，具有較高的安全性。缺點：軟件實現(xiàn)限制了處理速度，易于遭受拒絕服務(wù)攻擊；需要針對每一種協(xié)議開發(fā)應(yīng)用層代理，升級很困難。因此代理型防火墻不能支持很豐富的業(yè)務(wù)，只能針對某些應(yīng)用提供代理支持；代理型防火墻使得防火墻做為一個訪問的中間節(jié)點，對Client來說防火墻是一個Server，對Server來說防火墻是一個Client，轉(zhuǎn)發(fā)性能低；代理型防火墻很難組成雙機熱備的組網(wǎng)，因為狀態(tài)無法保持同步；,狀態(tài)檢測防火墻(StateDetect),狀態(tài)檢測是一種高級通信過濾。狀態(tài)分析技術(shù)是包過濾技術(shù)的擴展（非正式的也可稱為“動態(tài)包過濾”）。,狀態(tài)檢測防火墻(StateDetect)-（續(xù)）,狀態(tài)檢測防火墻(StateDetect)-（續(xù)）,狀態(tài)防火墻具有以下優(yōu)點：,速度快,安全性高,性能衡量指標,吞吐量延時最大并發(fā)連接數(shù)最大新建并發(fā)連接數(shù),吞吐量(Throughput),吞吐量：防火墻能同時處理的最大數(shù)據(jù)量。有效吞吐量：除掉TCP因為丟包和超時重發(fā)的數(shù)據(jù),實際的每秒傳輸有效速率。,時間間隔,Smartbits6000B,,,最后一個比特進入,第一個比特輸出,,,包需要在隊列中被檢測后才可以轉(zhuǎn)發(fā),包到達延遲,延時,定義：數(shù)據(jù)包的最后一個比特進入防火墻到第一個比特輸出防火墻的時間間隔指標：延時是用于測量防火墻處理數(shù)據(jù)的速度,最大并發(fā)連接數(shù),定義：由于防火墻是針對連接進行處理報文的，并發(fā)連接數(shù)目是指的防火墻可以同時容納的最大的連接數(shù)目，一個連接就是一個TCP/UDP的訪問。,該參數(shù)是用來衡量主機和服務(wù)器間能同時建立的最大連接數(shù),,,并發(fā)連接,并發(fā)連接,最大新建并發(fā)連接數(shù),指每秒鐘可以通過防火墻建立起來的完整TCP連接。,該指標是用來衡量防火墻隨數(shù)據(jù)流的實時處理能力,,,目錄,第一節(jié)防火墻的定義第二節(jié)防火墻的主要功能第三節(jié)防火墻的分類第四節(jié)防火墻工作模式第五節(jié)防火墻處理流程第六節(jié)防火墻基本概念,防火墻的工作模式（Mode）,防火墻能夠工作在三種模式下：路由模式透明模式混合模式,路由模式（Mode）,,透明模式（Mode）,,,混合模式（Mode）,,,目錄,第一節(jié)防火墻的定義第二節(jié)防火墻的主要功能第三節(jié)防火墻的分類第四節(jié)防火墻工作模式第五節(jié)防火墻處理流程第六節(jié)防火墻基本概念,路由器的基本工作流程,防火墻概要處理流程圖－路由模式,,透明模式：概要處理流程圖,防火墻上行處理－流程圖,收包,增強的SYNFlood攻擊防范處理,黑名單處理,單包攻擊防范,非法報文丟棄,基于五元組查找會話表,IPSpoofing攻擊？,查找Servermap表,上行處理完成,NAT處理,,,,,,,,,,,,找到,未找到,防火墻下行處理－流程圖,防火墻轉(zhuǎn)發(fā)處理－快速轉(zhuǎn)發(fā),防火墻快轉(zhuǎn)流程只適用于200，處理過程和上面類似。（1）為了提高轉(zhuǎn)發(fā)效率（2）為了進一步提高防火墻的轉(zhuǎn)發(fā)效率，采用了cache機制（3）實現(xiàn)了會話表的觸發(fā)更新,目錄,第一節(jié)防火墻的定義第二節(jié)防火墻的主要功能第三節(jié)防火墻的分類第四節(jié)防火墻工作模式第五節(jié)防火墻處理流程第六節(jié)防火墻基本概念,防火墻基本概念—安全區(qū)域（Zone）,防火墻的內(nèi)部劃分為多個區(qū)域，所有的轉(zhuǎn)發(fā)接口都唯一的屬于某個區(qū)域,域（Zone）:域是防火墻上引入的一個重要的邏輯概念；通過將接口加入域并在安全區(qū)域之間啟動安全檢查（稱為安全策略），從而對流經(jīng)不同安全區(qū)域的信息流進行安全過濾。,防火墻基本概念—安全區(qū)域（Zone）續(xù),根據(jù)防火墻的內(nèi)部劃分的安全區(qū)域關(guān)系，確定其所連接網(wǎng)絡(luò)的安全區(qū)域,防火墻上預定義了4個安全區(qū)域：本地區(qū)域Local（指防火墻本身）、受信區(qū)域Trust、非軍事化區(qū)域DMZ（DemilitarizedZone）、非受信區(qū)域Untrust，用戶可以根據(jù)需要自行添加新的安全區(qū)域。,會話,會話（Session）防火墻是狀態(tài)防火墻，采用會話表維持通信狀態(tài)。會話表包括五個元素：源IP地址、源端口、目的IP地址、目的端口和協(xié)議號。當防火墻收到報文后，根據(jù)上述五個元素查詢會話表，并根據(jù)具體情況進行如下操作：,防火墻基本概念—多通道協(xié)議＆服務(wù)表項,多通道協(xié)議：應(yīng)用在進行通訊或提供服務(wù)時需要建立兩個以上的會話（通道），其中有一個控制通道，其他的通道是根據(jù)控制通道中雙方協(xié)商的信息動態(tài)創(chuàng)建的，一般我們稱之為數(shù)據(jù)通道或子通道，這樣的協(xié)議我們稱為多通道協(xié)議。ServerMap：對于多通道協(xié)議（比如FTP），五元組過于嚴厲，導致多通道協(xié)議無法通過會話檢查，所以為了達到對多通道協(xié)議的支持，開發(fā)除了ServerMap這樣的數(shù)據(jù)結(jié)構(gòu)。,,防火墻基本概念——ASPF,豐富的ASPF功能保證開展業(yè)務(wù)時安全性得到保證,ASPF(ApplicationSpecificPacketFilter)：是一種改進的高級通信過濾技術(shù)，ASPF不但對報文的網(wǎng)絡(luò)層的信息進行檢測，還能對豐富的應(yīng)用層協(xié)議進行深度檢測，支持多媒體業(yè)務(wù)的NAT以及安全防范功能。,可以針對某些多通道協(xié)議（例如FTP）報文中的內(nèi)容動態(tài)決定是否允許其通過防火墻。,ASPF對多通道協(xié)議的支持,用戶192.168.0.1,防火墻,FTPserver19.49.10.10,,,三次握手,防火墻創(chuàng)建Servermap表項,,,三次握手,Port192.168.0.1:89,,Port192.168.0.1:89,,,,200PortCommandOK,,,RETRSample.txt,RETRSample.txt,200PortCommandOK,,,150OpeningASCIIconnection,150OpeningASCIIconnection,,,SYN,檢測Servermap表項，創(chuàng)建臨時規(guī)則，打開FTP通道,192.168.0.1:22787,192.168.0.1:22787,SYN,,防火墻產(chǎn)品技術(shù)發(fā)展趨勢,軟件,ASIC技術(shù),,處理性能,軟硬結(jié)合,NP技術(shù),,技術(shù)發(fā)展,多核技術(shù),