防火墙基本技术和原理

防火墙基本技术和原理严峻的网络安全形势，促进了防火墙技术的不断发展。防火墙是一种综合性的科学技术，涉及网络通信、数据加密、安全决策、信息安全、硬件研制、软件开发等综合性课题。防火墙的分类按形态分类软件防火墙硬件防火墙保护整个网络按保护对象分类网络防火墙保护单台主机单机防火墙防火墙简介单机防火墙&网络防火墙1、保护单台主机2、安全策略分散3、安全功能简单4、普通用户维护5、安全隐患较大6、策略设置灵活单机防火墙网络防火墙1、保护整个网络2、安全策略集中3、安全功能复杂多样4、专业管理员维护5、安全隐患小6、策略设置复杂单机防火墙网络防火墙产品形态软件硬件安装点每台独立的Host网络边界处安全策略分散在各个安全点对整个网络有效保护范围单台主机一个网段管理方式分散管理集中管理功能功能单一功能复杂、多样管理人员普通计算机用户专业网管人员安全措施单点安全措施全局安全措施结论单机防火墙是网络防火墙的有益补充，但不能代替网络防火墙为内部网络提供强大的保护功能防火墙简介软件防火墙&硬件防火墙硬件防火墙1、硬件+软件，不用准备额外的OS平台2、安全性完全取决于专用的OS3、网络适应性强(支持多种接入模式)4、稳定性较高5、升级、更新不太灵活1、仅获得Firewall软件，需要额外的OS平台2、安全性依赖低层的OS3、网络适应性弱4、稳定性高5、软件分发、升级比较方便操作系统平台安全性性能稳定性网络适应性分发升级成本硬件防火墙基于精简专用OS高高较高强不易较容易Firewall+Server软件防火墙基于庞大通用OS较高较高高较强非常容易容易Firewall软件防火墙防火墙简介防火墙的概念防火墙是设置在被保护网络和外部网络之间的一道屏障，实现网络的安全保护，以防止发生不可预测的、潜在破坏性的侵入。防火墙本身具有较强的抗攻击能力，它是提供信息安全服务、实现网络和信息安全的基础设施。防火墙是置于不同网络安全域之间的高级访问控制设备，是不同网络安全域间通信流的唯一通道，能根据企业有关的安全政策控制(允许、拒绝、监视、记录)进出网络的访问行为。防火墙简介防火墙的功能特点1、限制人们从一个特别的控制点进入；2、防止入侵者接近你的其它防御设施；3、限定人们从一个特别的点离开；4、有效地阻止破坏者对你的计算机系统进行破坏。禁止访问禁止访问防火墙简介防火墙的硬件技术1、基于Intelx86系列架构的产品，又被称为工控机防火墙2、基于专用集成电路（ASIC）技术的防火墙3、基于网络处理器（NP）技术的防火墙防火墙简介基于Intelx86系列架构的防火墙优点：﹡高灵活性、高扩展性、系统升级容易﹡考虑了各种应用的需要，具有一般化的通用体系结构和指令集，容易支持复杂的运算并容易开发新的功能﹡随着CPU性能的快速提高，防火墙的处理速度和能力将会大幅度提高，能很好的适应多接口百兆，千兆防火墙的计算要求基于PC架构，运行经过简化的Unix、Linux或FreeBSD，适用于低端市场缺点：﹡性能较差，对数据包的转发性弱﹡国内厂商并不能完全掌握x86架构的核心技术，BIOS或操作系统可能存在隐藏的漏洞，影响防火墙的安全可靠性﹡抗攻击能力较差防火墙简介基于Intelx86系列架构的防火墙SOHO防火墙普通百兆防火墙高端百兆防火墙千兆防火墙防火墙简介基于专用集成电路（ASIC）技术的防火墙ASIC作为硬件集成电路，它把指令或计算逻辑固化到硬件中，获得高处理能力，提升防火墙性能。主要应用在国外厂商的产品中，如NetScreen。是公认的使防火墙达到线速千兆的技术方案。优点：﹡性能上占有很大优势﹡抗攻击能力强﹡技术成熟、稳定缺点：﹡很难修改升级、增加新功能或提高性能﹡设计和制造周期长、研发费用高，难以满足用户需求的不断变化防火墙简介基于ASIC架构的防火墙防火墙简介FortiGateNetscreenwatchguardFirebox首信基于网络处理器（NP）技术的防火墙NP（网络处理器）是专门为处理数据包而设计的可编程处理器，它具有完全的可编程性、简单的编程模式、最大化系统灵活性、高处理能力、高度功能集成、开放的编程接口以及第三方支持能力优点：﹡能够直接完成网络数据处理的一般性任务，大多采用高速的接口技术和总路线规范，具有较高的I/O能力，性能上与x86架构防火墙比有很大提高﹡支持编程，一旦有新的技术或需求出现，设计师可方便地通过微码编程实现缺点：﹡技术方面还不成熟﹡各厂商NP产品的接口不统一，无法完成无缝的整合﹡对复杂应用数据，如分片数据包的重组和加密处理，表现较差﹡NP防火墙的测试标准还没有推出﹡防火墙的稳定性和高性能还需检验防火墙简介基于NP架构的防火墙防火墙简介东软NetEyeNP墙中科网威NP墙联想NP墙联想网御基于多NP技术万兆级防火墙防火墙的类型1、简单包过滤防火墙2、状态检测包过滤防火墙3、应用代理防火墙防火墙简介简单包过滤防火墙优点：1、速度快、性能高2、对应用程序透明防火墙简介缺点：1、安全性低2、不能根据状态信息进行控制3、不能处理网络层以上的信息4、伸缩性差5、维护不直观应用层表达层会话层传输层网络层链路层物理层网络层链路层物理层应用层表达层会话层传输层网络层链路层物理层简单包过滤防火墙的工作原理防火墙简介应用层TCP层IP层网络接口层网络接口层IP层TCP层应用层101111111000101101001010001110010111111100010110100101000111001101001011010010TCP11010010IPTCP11010010TCPIPETH11010010IPTCP11010010TCPIPETH11010010IPTCP11010010TCP11010010只检查报头1、简单包过滤防火墙不检查数据区2、简单包过滤防火墙不建立连接状态表3、前后报文无关4、应用层控制很弱状态检测包过滤防火墙1、安全性高能够检测所有进入防火墙网关的数据包根据通信和应用程序状态确定是否允许包的通过2、性能高在数据包进入防火墙时就进行识别和判断3、伸缩性好可以识别不同的数据包支持160多种应用，包括Internet应用、数据库应用、多媒体应用等用户可方便添加新应用4、对用户、应用程序透明防火墙简介应用层表达层会话层传输层网络层链路层物理层应用层表达层会话层传输层网络层链路层物理层应用层表达层会话层传输层网络层链路层物理层抽取各层的状态信息建立动态状态表状态检测包过滤防火墙的工作原理防火墙简介应用层TCP层IP层网络接口层网络接口层IP层TCP层应用层101111111000101101001010001110010111111100010110100101000111001101001011010010TCP11010010IPTCP11010010TCPIPETH11010010IPTCP11010010TCPIPETH11010010IPTCP11010010TCP11010010只检查报头1、不检查数据区2、建立连接状态表3、前后报文相关4、应用层控制很弱建立连接状态表应用代理防火墙优点：1、安全性高2、提供应用层的安全防火墙简介缺点：1、性能差2、伸缩性差3、只支持有限的应用4、不透明应用层表达层会话层传输层网络层链路层物理层应用层表达层会话层传输层网络层链路层物理层应用层表达层会话层传输层网络层链路层物理层●●HTTPFTPSMTP应用代理防火墙的工作原理防火墙简介应用层TCP层IP层网络接口层网络接口层IP层TCP层应用层101111111000101101001010001110010111111100010110100101000111001101001011010010TCP11010010IPTCP11010010TCPIPETH11010010IPTCP11010010TCPIPETH11010010IPTCP11010010TCP11010010只检查数据1、不检查IP、TCP报头2、不建立连接状态表3、网络层保护较弱核检测防火墙的工作原理防火墙简介应用层TCP层IP层网络接口层网络接口层IP层TCP层应用层10111111100010110100101000111001011111110001011010010100011100开始攻击主服务器硬盘数据开始攻击TCP开始攻击IPTCP开始攻击TCPIPETH开始攻击IPTCP开始攻击TCPIPETH开始攻击IPTCP开始攻击TCP报文1主服务器IPTCP报文2硬盘数据IPTCP报文3重写会话开始攻击主服务器硬盘数据检查多个报文组成的会话建立连接状态表开始攻击主服务器硬盘数据1、网络层保护强2、应用层保护强3、会话保护强4、上下文相关5、前后报文有联系防火墙核心技术比较防火墙简介综合安全性网络层保护应用层保护应用层透明整体性能处理对象简单包过滤防火墙状态检测包过滤防火墙应用代理防火墙核检测防火墙★★★★★★★★★★★★★★★★★★★★★★★★★★★★★★★★★★★★★★★★★★★★★★★★★★★★★★★★★★★★★★★★★★★★★单个包报头单个包报头单个包数据一次会话防火墙的三种工作模式1、路由模式防火墙的工作模式2、透明模式3、混合模式路由模式防火墙的工作模式192.168.1.0/24GW:192.168.1.25410.1.1.0/24GW:10.1.1.254192.168.1.25410.1.1.254路由模式下的防火墙有两个局限：1、工作于路由模式时，防火墙各网口所接的局域网必须是不同的网段，如处于同一网段，它们之间将无法进行通信。2、如果用户试图在一个已经形成了的网络里添加防火墙，而此防火墙又只能工作于路由方式，则与防火墙所接的主机（或路由器）的网关都要指向防火墙。如果用户的网络非常复杂时，设置时就会很麻烦。透明模式防火墙的工作模式192.168.2.0/24GW:192.168.2.254192.168.2.254透明模式的特点：1、对用户是透明的，即用户意思不到防火墙的存在。2、防火墙没有IP地址，网络不需要重新设定。3、无法探测到防火墙的服务端口，也就无法对防火墙进行攻击，大大提高了防火墙的安全性与抗攻击性。混合模式防火墙的工作模式192.168.1.0/24GW:192.168.1.3192.168.2.0/24GW:192.168.2.3192.168.1.3192.168.2.3192.168.99.253防火墙192.168.6.2192.168.100.2192.168.99.2192.168.100.0/24GW:192.168.100.2192.168.99.254混合模式是路由与透明相结合的模式，它同时具备路由与透明模式的优点，提高了防火墙在各种复杂环境下的适应性。防火墙的功能访问控制透明代理身份认证URL过滤地址绑定正向及反向NAT流量控制入侵检测日志审计IDS、防病毒联动VLAN支持VPN功能双机热备防火墙的功能访问控制防火墙的功能11010110Accesslist192.168.1.3to202.2.33.2Accessnat192.168.3.0toanypassAccess202.1.2.3to192.168.1.3blockAccessdefaultpass规则匹配成功1、基于源IP地址2、基于目的IP地址3、基于源端口4、基于目的端口5、基于时间6、基于用户7、基于流量8、基于文件9、基于网址10、基于MAC地址透明代理防火墙的功能：Accessanyto：转发域名为sina.com.cn转发到210.72.249.226SMTP：附件不能超过3.0M×禁止发送主要包括：HTTP代理、FTP代理、TELNET代理、SMTP代理POP3代理、SOCKS代理、自定义服务代理身份认证防火墙的功能admi