网神防火墙产品原理介绍20080407

防火墙产品原理介绍（V1.1）网御神州客服中心学习目标学习完本课程，您应该能够•了解网御神州的防火墙产品•了解防火墙的工作原理•理解防火墙的典型应用课程内容1.防火墙的基础知识2.防火墙的发展历程3.防火墙关键技术4.防火墙评价指标5.防火墙的部署6.FAQ3.1防火墙概述3.1防火墙概述在不同安全级别的网络区域的边界，进行访问控制的设备。信任网络非信任网络防火墙3.1防火墙概述防火墙IDSIPS3.1防火墙概述内部网络内部网络2内部网络1防火墙的功能：根据预设的规则，进行访问控制。一切未被允许的就是禁止的！Internet3.1防火墙概述防火墙能做什么？1.转发正常的通信行为2.禁止未经授权的访问3.网络地址转换（NAT）4.VPN网关5.记录通过防火墙的通信活动3.1防火墙概述防火墙不能做什么？1.不能控制不经防火墙的通信活动2.无法控制内网中通信行为3.目前不能进行深度内容检测3.2防火墙的技术发展防火墙技术几乎与路由器同时出现，采用了包过滤（Packetfilter）技术。1989年，贝尔实验室的DavePresotto和HowardTrickey推出了电路层防火墙，同时提出了应用层防火墙（代理防火墙）的初步结构。1992年，USC信息科学院的BobBraden开发出了基于动态包过滤（Dynamicpacketfilter）技术的防火墙，后来演变为状态检测（Statefulinspection）技术。1994年，以色列CheckPoint公司开发出了第一个采用这种技术的商业化的产品。3.2防火墙的技术发展包过滤防火墙应用层表示层会话层传输层网络层数据链路层物理层外网防火墙内网应用层表示层会话层传输层网络层数据链路层物理层应用层表示层会话层传输层网络层数据链路层物理层数据包包过滤引擎3.2防火墙的技术发展IP包检测包头检查路由安全策略：过滤规则路由表包过滤防火墙转发符合不符合丢弃IP包源地址IP包目的地址TCP/UDP端口3.2防火墙的技术发展包过滤防火墙的特点1.实现容易2.数据吞吐率较高4.对应用完全透明5.对会话内容无法监控，安全性能较低3.易配置3.2防火墙的技术发展应用代理防火墙应用层表示层会话层传输层网络层数据链路层物理层外网防火墙内网应用层表示层会话层传输层网络层数据链路层物理层应用层表示层会话层传输层网络层数据链路层物理层数据包3.2防火墙的技术发展应用代理防火墙的特点1.可以对应用层数据进行处理3.双向通信必须经过应用代理，禁止IP转发5.处理速度慢2.对数据包的检测能力比较强4.难于配置3.2防火墙的技术发展状态检测包过滤防火墙应用层表示层会话层传输层网络层数据链路层物理层外网防火墙内网应用层表示层会话层传输层网络层数据链路层物理层应用层表示层会话层传输层网络层数据链路层物理层状态检测引擎3.2防火墙的技术发展IP包检测包头下一步处理安全策略：过滤规则会话连接状态缓存表状态检测包过滤防火墙不符合丢弃符合符合IP包源地址/目的地址TCP/UDP源端口TCP会话连接状态3.2防火墙的技术发展状态包过滤防火墙的特点2.可以对网络数据进行更细粒度的检测3.数据吞吐率较高4.对会话内容的处理不够1.可重组会话，记录会话状态3.2防火墙的技术发展产品现状1.状态检测包过滤技术2.应用代理技术4防火墙关键技术4.1访问控制4.2地址绑定4.3NAT4.4端口映射4.5VPN4.6抗攻击4.7复杂协议支持4.8HA4.1访问控制4.2地址绑定10.50.10.44/mac110.50.10.44/mac24.2地址绑定4.3NAT技术Internet202.202.99.56HostC内部网络HostAHostB192.168.0.3192.168.0.5数据IP报头数据IP报头源地址：192.168.0.3目地址：202.202.99.56源地址：10.50.10.88目地址：202.202.99.56eth1:192.168.0.2eth2:10.50.10.884.3NAT技术4.4端口映射Internet输入：:80192.168.1.22:21-202.102.10.8:21192.168.1.33:25-202.102.10.8:25192.168.1.44:53-202.102.10.8:534.4端口映射4.5VPNInternet的星型、网状等多种接入方式4.支持VPN的NAT穿越5.支持DHCPoverIPSecVPN6.支持VPN远端状态探测DPD7.支持PPTP/L2TP拨号VPN4.5VPN当用户将防火墙作为安全设备来使用时，安全策略是用户关注的重点。用户需要基于策略的VPN，安全策略直接控制数据包进入哪一条隧道。当用户使用防火墙的重点是远程VPN组网时，防火墙实际上是当作安全路由设备使用的。这时通过添加路由表就可以控制数据包进入哪一条隧道。此时使用的是基于路由的VPN。策略VPNor路由VPN4.6抗攻击•对资源的请求大大超过正常值，致使服务超载，使得被访资源无法再对合理的请求进行响应，称为拒绝服务。恶意造成拒绝服务的行为，就称为拒绝服务攻击（DenialofService，DoS）•资源–网络带宽–文件系统容量–开放的进程–向内的连接4.6抗攻击•SYNflood–以多个随机的源主机地址向目标主机发送SYN包–收到目标主机的SYNACK后并不回应–继续发送SYN请求–目标主机建立了大量的连接，由于没有收到ACK一直维护着这些连接，造成了资源大量消耗而不能向正常请求提供服务。4.6抗攻击（a）TCP三次握手（b）SYN风暴4.7复杂协议支持H.323协议被普遍认为是目前在分组网上支持语音、图像和数据业务最成熟的协议。采用H.323协议，各个不同厂商的多媒体产品和应用可以进行互相操作，用户不必考虑兼容性问题。该协议为商业和个人用户基于LAN、MAN的多媒体产品协同开发奠定了基础。H.323H.323是一套在分组网上提供实时音频、视频和数据通信的标准，是ITU-T制订的在各种网络上提供多媒体通信的系列协议H.32x的一部分。4.7复杂协议支持SIPSIP（SessionInitiationProtocol）会话初始协议是IETF制订的，用于多方多媒体通信。按照IETFRFC2543的定义，SIP是一个基于文本的应用层控制协议，独立于底层传输协议TCP/UDP/SCTP，用于建立、修改和终止IP网上的双方或多方多媒体会话。SIP协议借鉴了HTTP、SMTP等协议，支持代理、重定向及登记定位用户等功能，支持用户移动。通过与RTP/RTCP、SDP、RTSP等协议及DNS配合，SIP支持语音、视频、数据、E-mail、状态、IM、聊天、游戏等。SIP协议可在TCP或UDP之上传送，由于SIP本身具有握手机制，可首选UDP。4.7复杂协议支持RIPRoutinginformationProtocol路由信息协议是推出时间最长，最简单的路由协议，是一种内部网关协议(InteriorGatewayProtocol,简称IGP)，适用于小型同类网络，是典型的距离向量(distance-vector)协议。RIP主要传递路由信息（路由表）来广播路由，每隔30秒广播一次路由表，维护与相邻路由器的关系，同时根据收到的路由表计算自己的路由表。4.7复杂协议支持OSPF作为一种链路状态的路由协议，OSPF具备许多优点：快速收敛，支持变长网络屏蔽码，支持CIDR以及地址summary，具有层次化的网络结构，支持路由信息验证等。它通过传递链路状态（连接信息）来得到网络信息，维护一张网络有向拓扑图，利用最小生成树算法（SPF算法）得到路由表。OSPF是一种相对复杂的路由协议。OpenShortestPathFirst开放式最短路优先是由IETF（InternetEngineeringTaskForce）IGP工作小组提出的一种基于SPF算法的路由协议，目前使用的OSPF协议是其第二版，由RFC1247和RFC1583定义。4.7复杂协议支持BGPBorderGatewayProtocol边界网关协议BorderGatewayProtocol边界网关协议BGP用于处理各ISP之间的路由传递，其特点是有丰富的路由策略。RIP、OSPF是内部网关协议，适用于单个ISP的统一路由协议的运行。由一个ISP运营的网络称为一个自治系统（AS）。BGP是自治系统间的路由协议，是一种外部网关协议。4.8HA5防火墙评价指标1.性能2.功能3.可靠性4.易用性5防火墙评价指标性能指标定义重要程度吞吐量单位时间内通过防火墙的数据包数量（不丢包）★★★★★最大并发连接数防火墙可同时维护的网络连接数★★★背靠背防火墙对网络数据包的缓存能力★★新建连接速率防火墙建新连接的快慢程度★★★★延迟防火墙处理和转发数据包所需要的时间★★★★丢包率丢包数占发送包总数的比例（吞吐量范围内）★★★评价防火墙性能的六个指标6防火墙的部署外部网络DMZ内部网络防火墙WebServerMailServer6防火墙的部署纯路由6防火墙的部署纯透明6防火墙的部署混合9FAQ