防火墙技术原理

山东天融信网络安全公司电话：0531-88111395/396-300热线：800-810-5119防火墙技术原理与维护操作-TCSP培训讲稿防火墙基本概念防火墙分类防火墙发展趋势防火墙核心技术防火墙设计结构防火墙功能防火墙性能防火墙部署防火墙可靠性防火墙典型应用Internet一种高级访问控制设备，置于不同网络安全域之间的一系列部件的组合，它是不同网络安全域间通信流的唯一通道，能根据企业有关的安全政策控制（允许、拒绝、监视、记录）进出网络的访问行为。两个安全域之间通信流的唯一通道UDPBlockHostCHostBTCPPassHostCHostADestinationProtocolPermitSource根据访问控制规则决定进出网络的行为防火墙定义内部网防火墙外观桌面型防火墙普通百兆防火墙防火墙+VPN高端百兆防火墙高端千兆防火墙天融信防火墙产品系列线通过在安全边界部署防火墙，可以实比VLAN、路由器更为强大、有效的访问控制功能；大大提高抗攻击的能力，实现边界防护。高端电信级千兆防火墙防火墙执行标准GB/T18019-1999信息技术包过滤防火墙安全技术要求GB/T18020-1999信息技术应用级防火墙安全技术要求GB/T18336-2001信息技术安全性评估准则GB/T17900-1999网络代理服务器的安全技术要求GB/T18018-1999路由器安全技术要求这些标准从安全环境、安全目标、安全要求、基本原理等方面对防火墙的各种指标进行了规定。Firewall防火墙基本概念防火墙分类防火墙发展趋势防火墙核心技术防火墙设计结构防火墙功能防火墙性能防火墙部署防火墙可靠性防火墙典型应用软件防火墙硬件防火墙按形态分类按保护对象分类Internet各种类型的防火墙保护整个网络保护单台主机网络防火墙单机防火墙InternetInternet单机防火墙网络防火墙1.保护单台主机2.安全策略分散3.安全功能简单4.普通用户维护5.安全隐患较大6.策略设置灵活1.保护整个网络2.安全策略集中3.安全功能复杂多样4.专业管理员维护5.安全隐患小6.策略设置复杂单机防火墙网络防火墙产品形态软件硬件或者软件安装点单台独立的Host网络边界处安全策略分散在各个安全点对整个网络有效保护范围单台主机一个网段管理方式分散管理集中管理功能功能单一功能复杂、多样管理人员普通计算机用户专业网管人员安全措施单点安全措施全局安全措施结论单机防火墙是网络防火墙的有益补充，但不能代替网络防火墙为内部网络提供强大的保护功能单机防火墙&网络防火墙Internet硬件防火墙&软件防火墙Internet硬件防火墙软件防火墙操作系统平台安全性性能稳定性网络适应性分发升级成本硬件防火墙基于精简专用OS高高较高强不易较容易Price=firewall+Server软件防火墙基于庞大通用OS较高较高高较强非常容易容易Price=Firewall1.仅获得Firewall软件，需要准备额外的OS平台2.安全性依赖低层的OS3.网络适应性弱（主要以路由模式工作）4.稳定性高5.软件分发、升级比较方便1.硬件+软件，不用准备额外的OS平台2.安全性完全取决于专用的OS3.网络适应性强（支持多种接入模式）4.稳定性较高5.升级、更新不太灵活Firewall防火墙基本概念防火墙分类防火墙发展趋势防火墙核心技术防火墙设计结构防火墙功能防火墙性能防火墙部署防火墙可靠性防火墙典型应用防火墙的发展历史纯软件防火墙软硬结合防火墙ASIC硬件防火墙•基于PC机，运行在通用操作系统（UNIX、WINDOWS等）之上•通用操作系统不是为网络安全定制的，不可避免的存在许多漏洞和BUG•防火墙没有专用的资源，与其他任务进程一起共享CPU、RAM、PCI总线等资源•性能一般、安全性也一般•不再使用通用的操作系统•采用专用或者自主研发（优化）的操作系统，由于这些系统是为网络安全定制的，因而从根本上解决了软件防火墙存在的安全隐患•该类防火墙仍然属于X86结构，但在性能和安全性上比软件防火墙有了很大的提高•优良的性价比，在市场上占据了主导地位•采用ASIC芯片和多总线、并行处理方式；使原先需要上万条指令才能完成的工作在瞬间由数个循环就能完成•多总线结构保证在端口上有数据传输时，防火墙内部仍能进行高效数据处理，不再受“中断”的限制•采用专用操作系统，具有很高的安全性•彻底摆脱X86架构的影响•性能和安全性有很大的突破，尤其是性能指标防火墙技术的发展历程天融信防火墙的发展历程天融信防火墙硬件平台的发展Firewall防火墙基本概念防火墙分类防火墙发展趋势防火墙核心技术防火墙设计结构防火墙功能防火墙性能防火墙部署防火墙管理防火墙可靠性防火墙典型应用防火墙技术1.简单包过滤防火墙2.状态检测包过滤防火墙3.应用代理防火墙4.包过滤与应用代理复合型防火墙5.核检测防火墙应用层表示层会话层传输层网络层链路层物理层应用层表示层会话层传输层网络层链路层物理层网络层链路层物理层优点：•速度快，性能高•对应用程序透明•缺点：•安全性低•不能根据状态信息进行控制•不能处理网络层以上的信息•伸缩性差•维护不直观简单包过滤技术介绍应用层TCP层IP层网络接口层TCP101010101IP101010101TCPTCP101010101IPETH101010101TCP101010101IP应用层TCP层IP层网络接口层TCP101010101IP101010101TCPTCP101010101IPETH101010101只检查报头101001001001010010000011100111101111011001001001010010000011100111101111011简单包过滤防火墙的工作原理1.简单包过滤防火墙不检查数据区2.简单包过滤防火墙不建立连接状态表3.前后报文无关4.应用层控制很弱应用层表示层会话层传输层网络层链路层物理层应用层表示层会话层传输层网络层链路层物理层状态检测技术介绍应用层表示层会话层传输层网络层链路层物理层•安全性高–能够检测所有进入防火墙网关的数据包–根据通信和应用程序状态确定是否允许包的通行•性能高–在数据包进入防火墙时就进行识别和判断•伸缩性好–可以识别不同的数据包–支持多种应用，包括Internet应用、数据库应用、多媒体应用等–用户可方便添加新应用抽取各层的状态信息建立动态状态表应用层TCP层IP层网络接口层TCP101010101IP101010101TCPTCP101010101IPETH101010101TCP101010101IP应用层TCP层IP层网络接口层TCP101010101IP101010101TCPTCP101010101IPETH101010101只检查报头101001001001010010000011100111101111011001001001010010000011100111101111011状态检测包过滤防火墙的工作原理1.不检查数据区2.建立连接状态表3.前后报文相关4.应用层控制很弱建立连接状态表应用层表示层会话层传输层网络层链路层物理层应用层表示层会话层传输层网络层链路层物理层应用代理技术介绍应用层表示层会话层传输层网络层链路层物理层优点：•安全性高•提供应用层的安全缺点：•性能差•伸缩性差•只支持有限的应用•不透明FTPHTTPSMTP应用层TCP层IP层网络接口层TCP101010101IP101010101TCPTCP101010101IPETH101010101TCP101010101IP应用层TCP层IP层网络接口层TCP101010101IP101010101TCPTCP101010101IPETH101010101只检查数据101001001001010010000011100111101111011001001001010010000011100111101111011应用代理防火墙的工作原理1.不检查IP报头2.不建立连接状态表3.网络层保护比较弱应用层TCP层IP层网络接口层TCP101010101IP101010101TCPTCP101010101IPETH101010101TCP101010101IP应用层TCP层IP层网络接口层TCP101010101IP101010101TCPTCP101010101IPETH101010101检查整个报文内容101001001001010010000011100111101111011001001001010010000011100111101111011复合型防火墙的工作原理1.可以检查整个数据包内容2.根据需要建立连接状态表3.网络层保护强4.应用层控制细5.会话控制较弱建立连接状态表应用层TCP层IP层网络接口层TCP开始攻击IP开始攻击TCPTCP开始攻击IPETH开始攻击主服务器硬盘数据TCP开始攻击IP应用层TCP层IP层网络接口层TCP开始攻击IP开始攻击TCPTCP开始攻击IPETH开始攻击主服务器硬盘数据检查多个报文组成的会话101001001001010010000011100111101111011001001001010010000011100111101111011核检测防火墙的工作原理建立连接状态表TCP主服务器IPTCP硬盘数据IP开始攻击重写会话主服务器硬盘数据报文1报文2报文31.网络层保护强2.应用层保护强3.会话保护很强4.上下文相关5.前后报文有联系防火墙核心技术比较综合安全性网络层保护应用层保护应用层透明整体性能处理对象简单包过滤防火墙状态检测包过滤防火墙应用代理防火墙复合型防火墙核检测防火墙单个包报头单个包报头单个包数据单个包全部一次会话1001001001TCPIP1001001001TCPIPFirewall防火墙基本概念防火墙分类防火墙发展趋势防火墙核心技术防火墙设计结构防火墙功能防火墙性能防火墙部署防火墙管理防火墙可靠性防火墙典型应用百兆防火墙外观构造防火墙模块封装板1.根据需要可以通过扩充模块，增加端口的数量2.根据需要可以选择处理能力更好的机箱与引擎防火墙机箱与引擎防火墙接口模块千兆电信级防火墙外观构造GBIC卡插槽10/100/1000M以太口AUX接口热拔插冗余电源大功率散热风扇防火墙引擎防火墙内部软件1.内核技术——经过专门加固、精简、安全化的操作系统2.模块化结构设计、可扩展性好、方便用户定制与升级3.系统大小——约5M代码，可以驻留在稳定的Flash盘上4.配置文件存取在NVRAM里，可以保证配置文件的安全性防火墙内部硬件主板：专用系统板Talent-NS嵌入式模块设计处理器：高速处理器内存：大容量内存存储设备：电子盘、NVRAM网络接口：10/100/1000M自适应以太网接口、FDDI-------------------------------------------------------------------------支持双电源支持双机热备、负载均衡对于千兆防火墙采用服务器级的硬件，使用多个处理器硬件：ASIC,NPU,MIPS,X86，ARM…TopsecOS架构IPSSSLVPN监控报警管理QOSHA接入OS层基础层安全引擎层AntispamIPSEC服务层健壮中心文件系统交换FW硬件抽象层OS核认证路由日志配置GTAAV硬件TOS应用防火墙内部系统设计路由模块透明模块规则检查还原模块FTP还原HTTP还原SMTP还原POP3还原……日志守护进程病毒守护进程应用层日志病毒应用层过滤KernelApplication……001010101010101111001010100111101010101011连接表在操作系统内核完成应用协议的还原，极大的提高了系统的整体性能基于内核的会话检测技术