您好,欢迎访问三七文档
防火墙技术本章内容防火墙技术防火墙的分类防火墙部署方式配置RG-WALL防火墙课程议题防火墙技术什么是防火墙?传统意义的防火墙用于控制实际的火灾,使火灾被限制在建筑物的某部分,不会蔓延到其他区域网络安全中的防火墙用于保护网络免受恶意行为的侵害,并阻止其非法行为的网络设备或系统作为一个安全网络的边界点在不同的网络区域之间进行流量的访问控制防火墙的作用防火墙能够做什么?控制和管理网络访问保护网络和系统资源数据流量的深度检测身份验证扮演中间人角色记录和报告事件防火墙与OSI基本防火墙NetworkTransport高级防火墙DataLinkSessionApplication课程议题防火墙分类防火墙的分类防火墙分类按照操作对象主机防火墙网络防火墙按照实现方式软件防火墙硬件防火墙按照过滤和检测方式包过滤防火墙状态防火墙应用网关防火墙地址转换防火墙透明防火墙混合防火墙主机防火墙与网络防火墙主机防火墙位置优势低成本难于部署、维护缺乏透明度功能局限性示例MicrosoftICFNortonPersonalFirewall网络防火墙功能强大性能高透明度强成本高内部攻击保护性差示例RuijieRG-WALLJuniperNetscreenCiscoPIX/ASAFortinetFortiGate天融信NetGuard软件防火墙与硬件防火墙软件防火墙应用层控制和检测功能丰富性能低自身安全性问题示例MicrosoftISASunScreenCheckPointFirewall硬件防火墙性能高自身安全性高易于维护缺乏高级功能示例RuijieRG-WALLJuniperNetscreenCiscoPIX/ASAFortinetFortiGate天融信NetGuard包过滤防火墙无状态包过滤防火墙技术最基本的防火墙过滤方式根据L3/L4信息进行过滤源和目的IP协议ICMP消息和类型TCP/UDP源和目的端口处理速度快无法阻止应用层攻击部署复杂,维护量大部署方式作为Internet边界的第一层防线隐式拒绝,显示允许示例使用ACL过滤的路由器包过滤防火墙(续)无状态包过滤防火墙示例状态防火墙有状态包过滤防火墙技术与无状态包过滤防火墙执行相似的操作保持对连接状态的跟踪,状态表无需开放高端口访问权限不属于现有会话的访问将被拒绝检查更高级的信息TCPFlag、TCPSeq.更多的DoS防护特定应用层协议检测不能阻止应用层攻击状态表导致的系统开销部署方式作为主要的防御措施需要更加严格的控制状态防火墙(续)无状态包过滤的问题有状态包过滤防火墙的实现跟踪连接的状态状态防火墙(续)无应用层检测的状态防火墙状态防火墙(续)支持应用层检测的状态防火墙动态协议检测(FTP、NetBIOS、SQLNET、SIP…..)检测应用层报头中的信息(应用层命令)应用网关防火墙应用网关防火墙技术通常称为代理防火墙(ProxyFirewall)操作在L3/L4/L5/L7支持身份认证监控和过滤应用层信息通过软件处理支持的应用有限可能需要部署客户端软件部署方式作为主要的的防御措施需要更严格的身份及会话验证应用网关防火墙(续)连接网关防火墙执行传统的应用网关防火墙检测方式直通代理防火墙(Cut-Through)简化的应用网关防火墙对于初始连接请求进行身份验证会话的后续信息执行L3/L4过滤更好的性能地址转换防火墙NAT防火墙技术解决了公有IP地址匮乏的问题在L3/L4操作隐藏了内部网络结构引入了延时破坏了IP的端到端模型对应用的支持限制一些应用将连接信息嵌入到应用层报文中NATALG(ApplicationLayerGateway)地址转换防火墙(续)NATALG(SQLNET)地址转换防火墙(续)NATALG(DNS)透明防火墙透明防火墙充当网桥的角色可操作于L2/L3/L4/L5/L7易于部署即插即用零配置无需更改编制结构无需更改路由拓扑隐蔽性高透明设备,0跳无IP,无连接可达到混合防火墙高级防火墙包过滤(无状态/有状态)NAT操作应用内容过滤透明防火墙防攻击入侵检测VPN安全管理课程议题防火墙部署防火墙区域防火墙拓扑位置专用(内部)和公共(外部)网络之间网络的出口和入口处专用网络内部:关键的网段,如数据中心防火墙区域Trust(内部)Untrust(外部,Internet)DMZ(DemilitarizedZone,非武装军事区)DMZ中的系统通常为提供对外服务的系统增强信任区域中设备的安全性特殊的访问策略信任区域中的设备也会对DMZ中的系统进行访问防火墙区域(续)防火墙区域设计双接口无DMZ区域网络无需对外提供服务防火墙区域设计(续)带边界路由器的单防火墙双接口DMZ区域双层次防火墙设计的替代方案防火墙区域设计(续)单防火墙三接口DMZ区域最通用的部署方式防火墙区域设计(续)单防火墙多DMZ区域常用于ISP设计防火墙区域设计(续)背靠背防火墙设计课程议题配置RG-WALL防火墙RG-WALL防火墙介绍锐捷RG-WALL防火墙状态过滤应用层检测NAT防攻击透明防火墙流量控制高可用性VPNRG-WALL防火墙管理界面登录RG-WALL防火墙RG-WALL防火墙默认配置WAN接口为管理接口,IP为192.168.10.100默认管理员帐号“admin”,密码“firewall”登录方式证书认证导入管理员证书到浏览器电子钥匙认证插入电子钥匙并认证证书认证导入证书证书认证(续)登录防火墙电子钥匙认证电子钥匙认证电子钥匙认证(续)登录防火墙配置管理主机配置管理主机只有管理主机可以对防火墙进行管理配置管理员配置管理员及其权限级别配置接口配置物理特性、工作模式等配置接口(续)配置接口地址及管理选项配置路由配置路由、路由负载均衡配置对象地址对象地址列表&地址组定义IP地址的集合可被包过滤规则、NAT规则引用服务器地址定义服务器地址的集合可被IP映射规则、端口映射规则引用NAT地址池定义NAT转换地址的集合可被NAT规则引用服务器对象服务器列表&服务组定义服务的集合,包括协议、端口号、ICMP类型等可被任何规则引用配置对象(续)时间对象时间列表&时间组定义时间的集合可被任何规则引用带宽列表定义带宽限制参数可被任何规则引用URL列表定义URL集合可被任何规则引用配置规则包过滤规则对用户的连接请求进行访问控制NAT规则执行NAT转换操作IP映射规则配置内部主机与公有地址间的映射,用于服务器发布端口映射规则配置内部服务与外部服务间的映射,用于对外发布服务配置规则(续)包过滤规则指定源地址信息指定源目的地址信息指定协议或服务信息指定过滤动作NAT规则指定被转换报文的源地址信息指定转换后的地址指定被转换报文的目的地址信息指定被转换报文的服务信息IP映射规则指定外部用户可访问的公有地址指定内部主机的地址端口映射规则指定外部用户可访问的公有地址指定内部服务器的地址内部服务器的服务信息指定对外发布的服务信息配置IP/MAC绑定当未检查到匹配条目时采取的操作若使绑定生效,必须启用接口的IP/MAC绑定功能使防火墙自动探测绑定信息手工添加绑定信息IP/MAC绑定防止IP/MAC欺骗配置IP/MAC绑定(续)配置防攻击配置连接限制配置连接限制连接限制用于保护服务器资源如果连接超出了策略限制,则对主机进行阻断,禁止其再访问服务器资源限制方式主机保护服务保护主机限制服务限制主机保护限制对服务器地址的访问服务保护限制对服务器的服务的访问主机限制对发起访问的源进行限制服务限制对访问某类服务的源进行限制启用连接限制在安全规则中启用连接限制启用连接限制
本文标题:锐捷防火墙
链接地址:https://www.777doc.com/doc-4474260 .html