03.天融信防火墙技术原理

防火墙技术原理防火墙基本概念防火墙发展历程防火墙核心技术防火墙体系结构防火墙功能与原理防火墙的接入方式防火墙的典型应用防火墙性能防火墙局限性防火墙的两个争议目录一种高级访问控制设备，置于不同网络安全域之间，它通过相关的安全策略来控制（允许、拒绝、监视、记录）进出网络的访问行为。两个安全域之间通信流的唯一通道安全域1HostAHostB安全域2HostCHostDUDPBlockHostCHostBTCPPassHostCHostADestinationProtocolPermitSource根据访问控制规则决定进出网络的行为防火墙的概念防火墙基本概念防火墙发展历程防火墙核心技术防火墙体系结构防火墙功能与原理防火墙的接入方式防火墙的典型应用防火墙性能防火墙局限性防火墙的两个争议目录基于路由器的防火墙•软件防火墙的初级形式，具有审计和告警功能•对数据包的访问控制过滤通过专门的软件实现•与第一代防火墙相比，安全性提高了，价格降低了•在路由器中通过ACL规则来实现对数据包的控制；•过滤判断依据：地址、端口号、协议号等特征•是批量上市的专用软件防火墙产品•安装在通用操作系统之上•安全性依靠软件本身和操作系统本身的整体安全防火墙厂商具有操作系统的源代码，并可实现安全内核功能强大，安全性很高易于使用和管理是目前广泛应用的防火墙产品基于安全操作系统的防火墙基于通用操作系统的防火墙防火墙工具套防火墙的发展历程防火墙执行标准GB/T18019-1999信息技术包过滤防火墙安全技术要求GB/T18020-1999信息技术应用级防火墙安全技术要求GB/T18336-2001信息技术安全性评估准则GB/T17900-1999网络代理服务器的安全技术要求GB/T18018-1999路由器安全技术要求这些标准从安全环境、安全目标、安全要求、基本原理等方面对防火墙的各种指标进行了规定。防火墙基本概念防火墙发展历程防火墙核心技术防火墙体系结构防火墙功能与原理防火墙的接入方式防火墙的典型应用防火墙性能防火墙局限性防火墙的两个争议目录1.包过滤（Packetfiltering）：工作在网络层，仅根据数据包头中的IP地址、端口号、协议类型等标志确定是否允许数据包通过。2.应用代理（ApplicationProxy）：工作在应用层，通过编写不同的应用代理程序，实现对应用层数据的检测和分析。3.状态检测（StatefulInspection）：工作在2~4层，访问控制方式与1同，但处理的对象不是单个数据包，而是整个连接，通过规则表和连接状态表，综合判断是否允许数据包通过。4.完全内容检测（CompeleteContentInspection）：工作在2~7层，不仅分析数据包头信息、状态信息，而且对应用层协议进行还原和内容分析，有效防范混合型安全威胁。防火墙的检测与过滤技术应用层传输层IP层网络接口层DataSegmentPacketFrameBitFlow应用层TCP层IP层网络接口层TCP开始攻击IP开始攻击TCPTCP开始攻击IPETH开始攻击TCP开始攻击IP应用层TCP层IP层网络接口层TCP开始攻击IP开始攻击TCPTCP开始攻击IPETH开始攻击只检查报头101001001001010010000011100111101111011001001001010010000011100111101111011包过滤防火墙的工作原理1.简单包过滤防火墙不检查数据区2.简单包过滤防火墙不建立连接状态表3.前后报文无关4.应用层控制很弱应用层TCP层IP层网络接口层TCP开始攻击IP开始攻击TCPTCP开始攻击IPETH开始攻击TCP开始攻击IP应用层TCP层IP层网络接口层TCP开始攻击IP开始攻击TCPTCP开始攻击IPETH开始攻击只检查数据101001001001010010000011100111101111011001001001010010000011100111101111011应用代理防火墙的工作原理1.不检查IP、TCP报头2.不建立连接状态表3.网络层保护比较弱应用层TCP层IP层网络接口层TCP开始攻击IP开始攻击TCPTCP开始攻击IPETH开始攻击TCP开始攻击IP应用层TCP层IP层网络接口层TCP开始攻击IP开始攻击TCPTCP开始攻击IPETH开始攻击只检查报头101001001001010010000011100111101111011001001001010010000011100111101111011状态检测防火墙的工作原理1.不检查数据区2.建立连接状态表3.前后报文相关4.应用层控制很弱建立连接状态表建立状态连接表应用层TCP层IP层网络接口层TCP开始攻击IP开始攻击TCPTCP开始攻击IPETH开始攻击主服务器硬盘数据TCP开始攻击IP应用层TCP层IP层网络接口层TCP开始攻击IP开始攻击TCPTCP开始攻击IPETH开始攻击主服务器硬盘数据检查应用层协议和数据内容101001001001010010000011100111101111011001001001010010000011100111101111011完全内容检测防火墙的工作原理TCP主服务器IPTCP硬盘数据IP开始攻击还原会话主服务器硬盘数据报文1报文2报文31.网络层保护强2.应用层保护强3.会话保护很强4.上下文相关5.前后报文有联系检查报头防火墙基本概念防火墙发展历程防火墙核心技术防火墙体系结构防火墙功能与原理防火墙的接入方式防火墙的典型应用防火墙性能防火墙局限性防火墙的两个争议目录过滤路由器多宿主主机被屏蔽主机被屏蔽子网防火墙体系结构防火墙的体系结构(1)•过滤路由器（FilteringRouter）:–过滤路由器作为内外网连接的唯一通道，通过ACL策略要求所有的报文都必须在此通过检查，实现报文过滤功能。–它的缺点是一旦被攻陷后很难发现，而且不能识别不同的用户（没有日志记录）。防火墙的体系结构(2)•双宿主主机（DualHomedGateway）：–双宿主主机优于过滤路由器的地方是：堡垒主机的系统软件可用于维护系统日志。–它的致命弱点是：一旦入侵者侵入堡垒主机，则无法保证内部网络的安全。防火墙的体系结构(3)•被屏蔽主机（ScreenedHostGateway）：–通常在路由器上设立ACL过滤规则，并通过堡垒主机进行数据转发，来确保内部网络的安全。–弱点：如果攻击者进入屏蔽主机内，内网中的就会受到很大威胁；这与双宿主主机受攻击时的情形差不多。防火墙的体系结构(4)•被屏蔽子网（ScreenedSubnet）：–这种结构是在内部网络和外部网络之间建立一个被隔离的子网，用两台过滤路由器分别与内部网络和外部网络连接，中间通过堡垒主机进行数据转发。–特点：如果攻击者试图进入内网或者子网，他必须攻破过滤路由器和双宿主主机，然后才可以进入子网主机，整个过程中将引发警报机制。防火墙基本概念防火墙发展历程防火墙核心技术防火墙体系结构防火墙功能与原理防火墙的接入方式防火墙的典型应用防火墙性能防火墙局限性防火墙的两个争议目录•基本功能–地址转换–访问控制–VLAN支持–带宽管理（QoS）–入侵检测和攻击防御–用户认证–IP/MAC绑定–动态IP环境支持–数据库长连接应用支持–路由支持–ADSL拨号功能–SNMP网管支持–日志审计–高可用性防火墙的功能•扩展功能–防病毒–VPN•IPSECVPN•PPTP/L2TPInternet202.102.93.54HostA受保护网络HostCHostD192.168.1.21192.168.1.25防火墙Eth2：192.168.1.23Eth0：101.211.23.1数据IP报头数据IP报头源地址：192.168.1.21目地址：202.102.93.54源地址：101.211.23.1目地址：202.102.93.54101.211.23.2隐藏了内部网络的结构内部网络可以使用私有IP地址公开地址不足的网络可以使用这种方式提供IP复用功能地址转换(NAT)Internet公开服务器可以使用私有地址隐藏内部网络的结构：80TO202.102.1.3：80MAP199.168.1.3：21TO202.102.1.3：21MAP199.168.1.4：53TO202.102.1.3：53MAP199.168.1.5：25TO202.102.1.3：25(地址/端口映射)HostCHostD防火墙的基本访问控制功能Accesslist192.168.1.3to202.2.33.2Accessnat192.168.3.0toanypassAccess202.1.2.3to192.168.1.3blockAccessdefaultpass规则匹配成功基于源IP地址基于目的IP地址基于源端口基于目的端口基于时间基于用户基于流量基于文件基于网址基于MAC地址时间控制策略HostCHostD在防火墙上制定基于时间的访问控制策略上班时间不允许访问Internet上班时间可以访问公司的网络InternetTrunk口Trunk口VLAN1VLAN2支持VLAN的交换机Trunk口Trunk口VLAN1VLAN2Switch1Switch2同一交换机的不同VLAN之间通讯不同交换机的同一VLAN之间通讯只有支持TRUNK的防火墙才能在这种环境下工作只有支持TRUNK的防火墙才能在这种环境下工作VLAN间控制--对TRUNK模式的支持QoS带宽管理Internet财务子网采购子网生产子网生产部子网防火墙具有内置的IDS模块，可以有效检测并抵御常见的攻击行为，用户通过简单设置即可保护指定的网络对象免于受到以下类型的攻击：1.统计型攻击，包括：SynFlood、UDPFLOOD、ICMPFLOOD、IPSWEEP、PORTSCAN。2.异常包攻击，包括：Land、Smurf、PingofDeath、Winnuke、TcpScan、IpOption等内置入侵检测功能抗DOS攻击功能防火墙的SYN代理实现原理:在服务器和外部网络之间部署防火墙系统;防火墙在收到客户端的Syn包后，防火墙代替服务器向客户端发送Syn/Ack包;如果防火墙收到客户端的Ack信息，表明访问正常,由防火墙向服务器发送Syn包并完成后续的TCP握手,建立客户端到服务器的连接。通过这种Syn代理技术，保证每个Syn包源的真实有效性，确保虚假请求不被发往服务器，从而彻底防范对服务器的Syn-Flood攻击。SYNSYN/ACKACKSYNSYN/ACKACKSYNSYN/ACKACKClientServerSYNSYNHostCHostDHostBHostA受保护网络InternetIDS黑客发起攻击发送通知报文验证报文并采取措施发送响应报文识别出攻击行为阻断连接或者报警等与IDS的安全联动丰富的认证方式和第三方认证支持InternetRADIUS服务器OTP认证服务器liming******防火墙将认证信息传给真正的RADIUS服务器进行认证将认证结果传给防火墙1.本地认证、内置OTP服务器认证2.支持第三方RADIUS服务器认证3.支持TACAS/TACAS+服务器认证4.支持S/KEY、SECUID、VIECA、LDAP、域认证