防火墙产品原理介绍.ppt

防火墙产品原理介绍 （V1.1）,网御神州 客服中心 2008.05,学习目标,学习完本课程，您应该能够 了解网御神州的防火墙产品 了解防火墙的工作原理 了解防火墙的发展趋势 理解防火墙的典型应用,课程内容,网御神州产品型录 信息安全的层次模型 防火墙的发展历程 防火墙关键技术 防火墙评价指标 防火墙的部署 防火墙的发展趋势 典型应用 FAQ,1 网御神州产品型录,SecFox 安全管理平台及相关产品,SecGate 3600-G10,SecGate 3600-G7,SecGate 3600-F5,SecGate 3600-F4,SecGate 3600-F3,SecIDS 3600-G,SecIDS 3600-I5,SecIDS 3600-I4,文件交换 安全浏览 FTP交换 邮件访问与同步 数据库访问与同步,防火墙系列,IDS系列,安全隔离网闸,SecGate 3600-F2,内网安全管理系统,安全PC/安全笔记本,硬 件 构 架,3.1 防火墙概述,3.1 防火墙概述,在信任网络与非信任网络之间，通过预定义的安全策略，对内外网通信强制实施访问控制的安全应用设备。,3.1 防火墙概述,内部网络,内部网络2,内部网络1,防火墙的功能： 实现内部网与internet的隔离； 不同安全级别内部网之间的隔离。,一切未被允许的就是禁止的！,Internet,3.1 防火墙概述,防火墙能做什么？,1. 转发正常的通信行为 2. 禁止未经授权的访问 3. 网络地址转换（NAT） 4. VPN网关 5. 记录通过防火墙的通信活动,3.1 防火墙概述,防火墙不能做什么？,不能控制不经防火墙的通信活动 2. 无法控制内网中通信行为 3. 目前不能进行深度内容检测,3.2 防火墙的技术发展,防火墙技术几乎与路由器同时出现，采用了包过滤（Packet filter）技术。,1989年，贝尔实验室的Dave Presotto和Howard Trickey推出了电路层防火墙，同时提出了应用层防火墙（代理防火墙）的初步结构。,1992年，USC信息科学院的BobBraden开发出了基于动态包过滤（Dynamic packet filter）技术的防火墙，后来演变为状态检测（Stateful inspection）技术。,1994年，以色列CheckPoint公司开发出了第一个采用这种技术的商业化的产品。,3.2 防火墙的技术发展,包过滤防火墙,外网,防火墙,内网,数据包,包过滤引擎,3.2 防火墙的技术发展,IP 包,检测包头,检查路由,安全策略：过滤规则,路由表,包过滤防火墙,丢弃,IP包源地址 IP包目的地址 TCP/UDP端口,3.2 防火墙的技术发展,包过滤防火墙的特点,1. 实现容易,2. 数据吞吐率较高,4. 对应用完全透明,5. 对会话内容无法监控，安全性能较低,3. 易配置,3.2 防火墙的技术发展,应用代理防火墙,外网,防火墙,内网,数据包,3.2 防火墙的技术发展,应用代理防火墙的特点,1. 可以对应用层数据进行处理,3. 双向通信必须经过应用代理，禁止IP转发,5. 处理速度慢,2. 对数据包的检测能力比较强,4. 难于配置,3.2 防火墙的技术发展,状态检测包过滤防火墙,外网,防火墙,内网,状态检测引擎,3.2 防火墙的技术发展,IP 包,检测包头,下一步 处理,安全策略：过滤规则,会话连接状态缓存表,状态检测包过滤防火墙,丢弃,IP包源地址/目的地址 TCP/UDP源端口 TCP会话连接状态,3.2 防火墙的技术发展,状态包过滤防火墙的特点,2. 可以对网络数据进行更细粒度的检测,3. 数据吞吐率较高,4. 对会话内容的处理不够,1. 可重组会话，记录会话状态,3.2 防火墙的技术发展,产品现状,1. 状态检测包过滤 技术,2. 应用代理 技术,4 防火墙关键技术,4.1 访问控制 4.2 地址绑定 4.3 NAT 4.4 端口映射 4.5 VPN 4.6 抗攻击 4.7 复杂协议支持 4.8 HA,4.1 访问控制,4.2 地址绑定,4/mac1,4/mac2,4.2 地址绑定,4.3 NAT技术,内部网络,Host A,Host B,,,源地址： 目地址：6,源地址：8 目地址：6,eth1: ,eth2: 8,4.3 NAT技术,4.4 端口映射,Internet,,输入：,,1: 80 - : 80 2:21 - : 21 3 :25- :25 4:53 - :53,4.4 端口映射,4.5 VPN,Internet,,VPN客户端 8,,VPN规则 Permit - ,4.5 VPN,4.5 VPN,支持基于策略的VPN应用 2. 支持基于路由的VPN应用 3. 支持VPN的星型、网状等多种接入方式 4. 支持VPN的NAT穿越 5. 支持DHCP over IPSec VPN 6. 支持VPN远端状态探测DPD 7. 支持PPTP/L2TP 拨号VPN,4.5 VPN,当用户将防火墙作为安全设备来使用时，安全策略是用户关注的重点。用户需要基于策略的VPN，安全策略直接控制数据包进入哪一条隧道。,当用户使用防火墙的重点是远程VPN组网时，防火墙实际上是当作安全路由设备使用的。这时通过添加路由表就可以控制数据包进入哪一条隧道。此时使用的是基于路由的VPN。,策略VPN or 路由VPN,4.6 抗攻击,对资源的请求大大超过正常值，致使服务超载，使得被访资源无法再对合理的请求进行响应，称为拒绝服务。恶意造成拒绝服务的行为，就称为拒绝服务攻击（Denial of Service，DoS） 资源 网络带宽 文件系统容量 开放的进程 向内的连接,4.6 抗攻击,SYN flood 以多个随机的源主机地址向目标主机发送SYN包 收到目标主机的SYN ACK后并不回应 继续发送SYN请求 目标主机建立了大量的连接，由于没有收到ACK一直维护着这些连接，造成了资源大量消耗而不能向正常请求提供服务。,4.6 抗攻击,（a）TCP三次握手 （b） SYN风暴,4.7 复杂协议支持,H.323协议被普遍认为是目前在分组网上支持语音、图像和数据业务最成熟的协议。采用H.323协议，各个不同厂商的多媒体产品和应用可以进行互相操作，用户不必考虑兼容性问题。该协议为商业和个人用户基于LAN、MAN的多媒体产品协同开发奠定了基础。,H.323,H.323是一套在分组网上提供实时音频、视频和数据通信的标准，是ITU-T制订的在各种网络上提供多媒体通信的系列协议H.32x的一部分。,4.7 复杂协议支持,SIP,SIP（Session Initiation Protocol）会话初始协议是IETF制订的，用于多方多媒体通信。,按照IETF RFC 2543的定义，SIP是一个基于文本的应用层控制协议，独立于底层传输协议TCP/UDP/SCTP，用于建立、修改和终止IP网上的双方或多方多媒体会话。,SIP协议借鉴了HTTP、SMTP等协议，支持代理、重定向及登记定位用户等功能，支持用户移动。通过与RTP/R TCP、SDP、RTSP等协议及DNS配合，SIP支持语音、视频、数据、E-mail、状态、IM、聊天、游戏等。SIP协议可在TCP或UDP之上传送，由于SIP本身具有握手机制，可首选UDP。,4.7 复杂协议支持,RIP,Routing information Protocol 路由信息协议,是推出时间最长，最简单的路由协议，是一种内部网关协议(Interior Gateway Protocol,简称IGP)，适用于小型同类网络，是典型的距离向量(distance-vector)协议。,RIP主要传递路由信息（路由表）来广播路由，每隔30秒广播一次路由表，维护与相邻路由器的关系，同时根据收到的路由表计算自己的路由表。,4.7 复杂协议支持,OSPF,作为一种链路状态的路由协议，OSPF具备许多优点：快速收敛，支持变长网络屏蔽码，支持CIDR以及地址summary，具有层次化的网络结构，支持路由信息验证等。,它通过传递链路状态（连接信息）来得到网络信息，维护一张网络有向拓扑图，利用最小生成树算法（SPF算法）得到路由表。OSPF是一种相对复杂的路由协议。,Open Shortest Path First 开放式最短路优先 是由IETF（Internet Engineering Task Force）IGP工作小组提出的一种基于SPF算法的路由协议，目前使用的OSPF协议是其第二版，由RFC1247和RFC1583定义。,4.7 复杂协议支持,BGP,Border Gateway Protocol 边界网关协议,Border Gateway Protocol 边界网关协议,BGP用于处理各ISP之间的路由传递，其特点是有丰富的路由策略。,RIP、OSPF是内部网关协议，适用于单个ISP的统一路由协议的运行。由一个ISP运营的网络称为一个自治系统（AS）。BGP是自治系统间的路由协议，是一种外部网关协议。,4.8 HA,5 防火墙评价指标,1. 性能,2. 功能,3. 可靠性,4. 易用性,5 防火墙评价指标,评价防火墙性能的六个指标,6 防火墙的部署,外部网络,DMZ,内部网络,防火墙,Web Server,Mail Server,6 防火墙的部署,纯路由,6 防火墙的部署,纯透明,6 防火墙的部署,混合,7 防火墙的发