防火墙技术应用

防火墙技术防火墙基本概念防火墙分类防火墙发展趋势防火墙核心技术防火墙功能防火墙性能防火墙部署防火墙可靠性防火墙典型应用FirewallInternet一种高级访问控制设备，置于不同网络安全域之间的一系列部件的组合，它是不同网络安全域间通信流的唯一通道，能根据企业有关的安全政策控制（允许、拒绝、监视、记录）进出网络的访问行为。两个安全域之间通信流的唯一通道UDPBlockHostCHostBTCPPassHostCHostADestinationProtocolPermitSource根据访问控制规则决定进出网络的行为防火墙定义内部网Firewall防火墙基本概念防火墙分类防火墙发展趋势防火墙核心技术防火墙功能防火墙性能防火墙部署防火墙可靠性防火墙典型应用Internet软件防火墙硬件防火墙按技术层面分类按保护对象分类Internet各种类型的防火墙保护整个网络保护单台主机网络防火墙单机防火墙Internet单机防火墙网络防火墙1.保护单台主机2.安全策略分散3.安全功能简单4.普通用户维护5.安全隐患较大6.策略设置灵活1.保护整个网络2.安全策略集中3.安全功能复杂多样4.专业管理员维护5.安全隐患小6.策略设置复杂单机防火墙网络防火墙产品形态软件硬件安装点单台独立的Host网络边界处安全策略分散在各个安全点对整个网络有效保护范围单台主机一个网段管理方式分散管理集中管理功能功能单一功能复杂、多样管理人员普通计算机用户专业网管人员安全措施单点安全措施全局安全措施结论单机防火墙是网络防火墙的有益补充，但不能代替网络防火墙为内部网络提供强大的保护功能单机防火墙&网络防火墙Internet硬件防火墙&软件防火墙Internet硬件防火墙软件防火墙操作系统平台安全性性能稳定性网络适应性分发升级成本硬件防火墙基于精简专用OS高高较高强不易较容易Price=firewall+Server软件防火墙基于庞大通用OS较高较高高较强非常容易容易Price=Firewall1.仅获得Firewall软件，需要准备额外的OS平台2.安全性依赖低层的OS3.网络适应性弱（主要以路由模式工作）4.稳定性高5.软件分发、升级比较方便1.硬件，不用准备额外的OS平台2.安全性完全取决于专用的OS3.网络适应性强（支持多种接入模式）4.稳定性较高5.升级、更新不太灵活Firewall防火墙基本概念防火墙分类防火墙发展趋势防火墙核心技术防火墙功能防火墙性能防火墙部署防火墙可靠性防火墙典型应用防火墙的发展趋势纯软件防火墙软硬结合防火墙ASIC硬件防火墙•基于PC机，运行在通用操作系统（UNIX、WINDOWS等）之上•通用操作系统不是为网络安全定制的，不可避免的存在许多漏洞和BUG•防火墙没有专用的资源，与其他任务进程一起共享CPU、RAM、PCI总线等资源•性能一般、安全性也一般•不再使用通用的操作系统•采用专用或者自主研发（优化）的操作系统，由于这些系统是为网络安全定制的，因而从根本上解决了软件防火墙存在的安全隐患•该类防火墙仍然属于PC结构，但在性能上比软件防火墙有了很大的提高•性能和安全性都比软件防火墙高•采用ASIC芯片和多总线、并行处理方式；使原先需要上万条指令才能完成的工作在瞬间由数个循环就能完成•多总线结构保证在端口上有数据传输时，防火墙内部仍能进行高效数据处理，不再受“中断”的限制•采用专用操作系统，具有很高的安全性•彻底摆脱PC架构的影响•性能和安全性有很大的突破，尤其是性能指标Firewall防火墙基本概念防火墙分类防火墙发展趋势防火墙技术的基本原理防火墙功能防火墙性能防火墙部署防火墙可靠性防火墙典型应用应用层TCP层IP层网络接口层TCP开始攻击IP开始攻击TCPTCP开始攻击IPETH开始攻击主服务器硬盘数据TCP开始攻击IP应用层TCP层IP层网络接口层TCP开始攻击IP开始攻击TCPTCP开始攻击IPETH开始攻击主服务器硬盘数据检查多个报文组成的会话101001001001010010000011100111101111011001001001010010000011100111101111011防火墙的工作原理建立连接状态表TCP主服务器IPTCP硬盘数据IP开始攻击重写会话主服务器硬盘数据报文1报文2报文31.网络层保护强2.应用层保护戗3.会话保护很强4.上下文相关5.前后报文有联系Firewall防火墙基本概念防火墙分类防火墙发展趋势防火墙技术的基本原理防火墙功能防火墙性能防火墙部署防火墙可靠性防火墙典型应用HostCHostD基本的访问控制技术Accesslist192.168.1.3to202.2.33.2Accessnat192.168.3.0toanypassAccess202.1.2.3to192.168.1.3blockAccessdefaultpass1010010101规则匹配成功基于源IP地址基于目的IP地址基于源端口基于目的端口基于时间基于用户基于流量基于文件基于网址基于MAC地址响应请求发送请求通信日志通信日志通信信息192.168.6.169192.168.6.170日志分析记录防火墙双机热备内部网外网或者不信任域Eth0Eth0Eth1Eth1Eth2Eth2心跳线ActiveFirewallStandbyFirewall检测ActiveFirewall的状态发现出故障，立即接管其工作正常情况下由主防火墙工作主防火墙出故障以后，接管它的工作SwitchSwitch通过STP协议可以交换两台防火墙的状态信息当一台防火墙故障时，这台防火墙的连接不需要重新建立就可以透明的迁移到另一台防火墙上，用户不会察觉到双地址路由功能中国教育网Internet202.10.1.264.10.6.5200.34.22.2200.34.22.1192.168.1.1HostA：192.168.1.2HostB：192.168.1.3HostC：192.168.1.4200.34.22.3内网根据源、目地址来进行路由主机B直接连接Internet主机A通过教育网上InternetInternetHostA199.168.1.2HostB199.168.1.3HostC199.168.1.4HostD199.168.1.500-50-04-BB-71-A600-50-04-BB-71-BCBIND199.168.1.2To00-50-04-BB-71-A6BIND199.168.1.4To00-50-04-BB-71-BCIP与MAC地址绑定后，不允许HostB假冒HostA的IP地址上网防火墙允许HostA上网跨路由器IP与MAC（用户）的绑定对DHCP应用环境的支持InternetDHCP服务器HostAHostBHostCHostDHostEHostF没有固定IP地址只允许HostB上网设定HostB的MAC地址设定HostB的IP地址为空根据HostB的MAC地址进行访问控制Internet公开服务器可以使用私有地址隐藏内部网络的结构：80TO202.102.1.3：80MAP199.168.1.3：21TO202.102.1.3：21MAP199.168.1.4：53TO202.102.1.3：53MAP199.168.1.5：25TO202.102.1.3：25(端口、地址映射)Internet202.102.93.54HostA受保护网络HostCHostD192.168.1.21192.168.1.25防火墙Eth2：192.168.1.23Eth0：101.211.23.1数据IP报头数据IP报头源地址：192.168.1.21目地址：202.102.93.54源地址：101.211.23.1目地址：202.102.93.54101.211.23.2隐藏了内部网络的结构内部网络可以使用私有IP地址公开地址不足的网络可以使用这种方式提供IP复用功能NAT(地址转换)1.对OSPF路由协议的支持2.对RIP、RIP2协议的支持3.对NETBEUI、VOD协议的支持4.支持802.1q和Cisco的ISL协议等VLAN专用协议5.支持DHCP、BOOTP协议6.……多协议支持Firewall防火墙基本概念防火墙分类防火墙发展趋势防火墙技术的基本原理防火墙功能防火墙性能防火墙部署防火墙可靠性防火墙典型应用常见防火墙性能指标1.转发率2.吞吐量3.延时4.丢包率5.最大并发连接数6.每秒新建连接数7.最大策略数8.平均无故障间隔时间9.支持的最大用户数Firewall防火墙基本概念防火墙分类防火墙发展趋势防火墙技术的基本原理防火墙功能防火墙性能防火墙部署防火墙可靠性防火墙典型应用受保护网络Internet如果防火墙支持透明模式，则内部网络主机的配置不用调整HostA199.168.1.2HostC199.168.1.4HostD199.168.1.5HostB199.168.1.3199.168.1.8同一网段透明模式下，这里不用配置IP地址透明模式下，这里不用配置IP地址DefaultGateway=199.168.1.8防火墙相当于网桥，原网络结构没有改变NO.1透明接入Internet内部网202.99.88.1ETH0：202.99.88.2ETH1：202.99.88.3ETH2：202.99.88.4202.99.88.10/24网段202.99.88.20/24网段外网、SSN、内网在同一个广播域，防火墙做透明设置。此时防火墙为透明模式。透明模式的典型应用受保护网络InternetHostA199.168.1.2HostC199.168.1.4HostD199.168.1.5HostB199.168.1.3199.168.1.8DefaultGateway=199.168.1.8防火墙相当于一个简单的路由器203.12.34.56203.12.34.57提供简单的路由功能199.168.1.8NO.2路由接入Internet内部网202.99.88.1ETH0：202.99.88.2ETH1：10.1.1.2ETH2：192.168.7.210.1.1.0/24网段192.168.7.0/24网段外网、SSN区、内网都不在同一网段，防火墙做路由方式。这时，防火墙相当于一个路由器。路由模式的典型应用NO.3综合接入ETH1：192.168.7.102ETH2：192.168.7.2192.168.1.100/24网段192.168.7.0/24网段此时整个防火墙工作于透明+路由模式，我们称之为综合模式或者混合模式202.11.22.1/24网段ETH1：202.11.22.2两接口在不同网段，防火墙处于路由模式两接口在不同网段，防火墙处于路由模式两接口在同一网段，防火墙处于透明模式Firewall防火墙基本概念防火墙分类防火墙发展趋势防火墙技术的基本原理防火墙功能防火墙性能防火墙部署防火墙可靠性防火墙典型应用防火墙双机热备内部网外网或者不信任域Eth0Eth0Eth1Eth1Eth2Eth2心跳线ActiveFirewallStandbyFirewall检测ActiveFirewall的状态发现出故障，立即接管其工作正常情况下由主防火墙工作主防火墙出故障以后，接管它的工作HuborSwitchHuborSwitch通过STP协议可以交换两台防火墙的状态信息当一台防火墙故障时，这台防火墙的连接不需要重新建立就可以透明的迁移到另一台防火墙上，用户不会察觉到负载均衡负载均衡算法：顺