防火墙技术原理课件.ppt

山东天融信网络安全公司,电话396-300热线：800-810-5119,防火墙技术原理与维护操作-TCSP培训讲稿,防火墙基本概念防火墙分类防火墙发展趋势防火墙核心技术防火墙设计结构防火墙功能防火墙性能防火墙部署防火墙可靠性防火墙典型应用,Internet,一种高级访问控制设备，置于不同网络安全域之间的一系列部件的组合，它是不同网络安全域间通信流的唯一通道，能根据企业有关的安全政策控制（允许、拒绝、监视、记录）进出网络的访问行为。,两个安全域之间通信流的唯一通道,根据访问控制规则决定进出网络的行为,防火墙定义,内部网,防火墙外观,桌面型防火墙,普通百兆防火墙,防火墙+VPN,高端百兆防火墙,高端千兆防火墙,天融信防火墙产品系列线,通过在安全边界部署防火墙，可以实比VLAN、路由器更为强大、有效的访问控制功能；大大提高抗攻击的能力，实现边界防护。,高端电信级千兆防火墙,防火墙执行标准,GB/T18019-1999信息技术包过滤防火墙安全技术要求GB/T18020-1999信息技术应用级防火墙安全技术要求GB/T18336-2001信息技术安全性评估准则GB/T17900-1999网络代理服务器的安全技术要求GB/T18018-1999路由器安全技术要求,这些标准从安全环境、安全目标、安全要求、基本原理等方面对防火墙的各种指标进行了规定。,Firewall,防火墙基本概念防火墙分类防火墙发展趋势防火墙核心技术防火墙设计结构防火墙功能防火墙性能防火墙部署防火墙可靠性防火墙典型应用,软件防火墙,硬件防火墙,按形态分类,按保护对象分类,各种类型的防火墙,保护整个网络,保护单台主机,网络防火墙,单机防火墙,Internet,单机防火墙,网络防火墙,保护单台主机安全策略分散安全功能简单普通用户维护安全隐患较大策略设置灵活,保护整个网络安全策略集中安全功能复杂多样专业管理员维护安全隐患小策略设置复杂,单机防火墙防火墙在收到客户端的Syn包后，防火墙代替服务器向客户端发送Syn/Ack包;如果防火墙收到客户端的Ack信息，表明访问正常,由防火墙向服务器发送Syn包并完成后续的TCP握手,建立客户端到服务器的连接。通过这种Syn代理技术，保证每个Syn包源的真实有效性，确保虚假请求不被发往服务器，从而彻底防范对服务器的Syn-Flood攻击。240万并发连接数,SYN,SYN/ACK,ACK,SYN,SYN/ACK,ACK,SYN,SYN/ACK,ACK,Client,Server,HostC,HostD,HostB,HostA,受保护网络,SNMP报文,获取硬件配置信息资源使用状况信息防火墙的流量信息防火墙的连接信息防火墙的版本信息防火墙的用户信息防火墙的规则信息防火墙的路由信息,SNMP服务器端,SNMP客户端,SNMP管理,人性化的管理防火墙的接口状态查看,人性化的管理防火墙的性能查看,人性化的管理防火墙实时流量查看,通过对连接信息的查看，用户可以了解当前通过、未通过、已建立或已断开连接的源地址、目的地址、发送流量、接收流量等信息，及时了解网络应用情况，另外利用此功能还可以及时的排除故障。,防火墙双机热备,内部网,外网或者不信任域,Eth0,Eth0,Eth1,Eth1,Eth2,Eth2,心跳线,ActiveFirewall,StandbyFirewall,检测ActiveFirewall的状态,发现出故障，立即接管其工作,正常情况下由主防火墙工作,主防火墙出故障以后，接管它的工作,HuborSwitch,HuborSwitch,通过STP协议可以交换两台防火墙的状态信息,当一台防火墙故障时，这台防火墙的连接不需要重新建立就可以透明的迁移到另一台防火墙上，用户不会察觉到,建立连接并维持连接状态直到查询结束,对长连接应用的支持,数据库查询一般需要比较长的时间，这些通讯连接建立成功后可能暂时没有数据通过（空连接），需要在防火墙里面维护这个连接状态，直到查询结束，普通防火墙在连接建立一段时间后如果没有数据通讯会自动切断连接，导致业务不能正常运行。,需要较长的查询时间,Trunk口,Trunk口,VLAN1,VLAN2,支持VLAN的交换机,Trunk口,Trunk口,VLAN1,VLAN2,Switch1,Switch2,同一交换机的不同VLAN之间通讯,不同交换机的同一VLAN之间通讯,不支持TRUNK的防火墙无法在这种环境下工作,不支持TRUNK的防火墙无法在这种环境下工作,防火墙对TRUNK协议的支持,防火墙不禁支持TRUNK数据包穿过防火墙，并且防火墙的接口也可以封装TRUNK数据包。,防火墙对TRUNK协议的支持,防火墙不禁支持TRUNK数据包穿过防火墙，并且防火墙的接口也可以封装TRUNK数据包，即支持VLAN间路由。,Vlan20,Vlan30,Vlan10,TRUNK链路,高可用性的支持,二层环境？三层环境？,抗DOS/DDOS攻击-SYN代理,防火墙的SYN代理实现原理:在服务器和外部网络之间部署防火墙系统;防火墙在收到客户端的Syn包后，防火墙代替服务器向客户端发送Syn/Ack包;如果防火墙收到客户端的Ack信息，表明访问正常,由防火墙向服务器发送Syn包并完成后续的TCP握手,建立客户端到服务器的连接。通过这种Syn代理技术，保证每个Syn包源的真实有效性，确保虚假请求不被发往服务器，从而彻底防范对服务器的Syn-Flood攻击。160万并发连接数,SYN,SYN/ACK,ACK,SYN,SYN/ACK,ACK,SYN,SYN/ACK,ACK,Client,Server,支持众多网络通信协议和应用协议：如DHCP、VLAN、PPPOE、ISL、802.1Q、Spanningtree、IPSEC、H.323、RTSP、MMS、IGMP、GRE、ORACLE-SQLNET等,保证用户的网络应用，方便用户扩展IP宽带接入及IP电话、视频会议、VOD点播等多媒体应用。支持核心网络中生成树（STP）的计算：通过生成树计算，防火墙能够同核心交换机一起进行生成树计算，实现了核心网络的全连接拓扑结构，能够进行链路的自动切换，保证了整个网络的稳定。支持交换机主干链路：防火墙的物理接口实现了D0t1q封装格式，能够同交换机的Trunk接口对接，实现了VLAN间路由的功能，保证了防火墙对于各种网络环境的易接入性。支持动态路由协议，不但可以让动态路由协议穿过防火墙设备，并且防火墙的接口也可以参与动态路由协议的运算，目前支持OSFP/RIP2。,支持多种网络应用,Firewall,防火墙基本概念防火墙分类防火墙发展趋势防火墙核心技术防火墙设计结构防火墙功能防火墙性能防火墙部署防火墙可靠性防火墙典型应用,常见防火墙性能指标,吞吐量延时丢包率背靠背最大并发连接数最大并发连接建立速率,吞吐量,定义：在不丢包的情况下能够达到的最大速率衡量标准：吞吐量作为衡量防火墙性能的重要指标之一,吞吐量小就会造成网络新的瓶颈，以至影响到整个网络的性能,;%#*$&*&#*(&,Smartbits6000B测试仪,101100101000011111001010010001001000,以最大速率发包,直到出现丢包时的最大值,防火墙吞吐量小就会成为网络的瓶颈,100M,60M,数据包首先排队待防火墙检查后转发,延时,定义：入口处输入帧最后1个比特到达至出口处输出帧的第一个比特输出所用的时间间隔衡量标准：防火墙的时延能够体现它处理数据的速度,10101001001001001010,Smartbits6000B测试仪,101100101000011111001010010001001000,最后1个比特到达,第一个比特输出,时间间隔,1010100111001110,1010100111001110,1010010010100100010100010,101010100100100100100100010,造成数据包延迟到达目标地,丢包率,定义：在连续负载的情况下，防火墙设备由于资源不足应转发但却未转发的帧百分比衡量标准：防火墙的丢包率对其稳定性、可靠性有很大的影响,发送了1000个包,防火墙由于资源不足只转发了800个包,丢包率=（1000-800）/1000=20%,10010101001010010001001001,10010101001010010001001001,背靠背,定义：从空闲状态开始，以达到传输介质最小合法间隔极限的传输速率发送相当数量的固定长度的帧，当出现第一个帧丢失时，发送的帧数。衡量标准：背对背包的测试结果能体现出被测防火墙的缓冲容量,网络上经常有一些应用会产生大量的突发数据包（例如：NFS,备份，路由更新等），而且这样的数据包的丢失可能会产生更多的数据包，强大缓冲能力可以减小这种突发对网络造成的影响,时间（t）,包数量（n）,少量包,包增多,峰值,包减少,没有数据,背靠背指标体现防火墙对突发数据的处理能力,并发连接数,定义：指穿越防火墙的主机之间或主机与防火墙之间能同时建立的最大连接数。衡量标准：并发连接数的测试主要用来测试被测防火墙建立和维持TCP连接的性能，同时也能通过并发连接数的大小体现被测防火墙对来自于客户端的TCP连接请求的响应能力,并发连接数指标可以用来衡量穿越防火墙的主机之间能同时建立的最大连接数,最大并发连接数建立速率,定义：指穿越防火墙的主机之间或主机与防火墙之间单位时间内建立的最大连接数。衡量标准：最大并发连接数建立速率主要用来衡量防火墙单位时间内建立和维持TCP连接的能力,单位时间内增加的并发连接数,Firewall,防火墙基本概念防火墙分类防火墙发展趋势防火墙核心技术防火墙设计结构防火墙构造体系防火墙功能防火墙性能防火墙部署防火墙可靠性防火墙典型应用,受保护网络,Internet,如果防火墙支持透明模式，则内部网络主机的配置不用调整,199.168.1.8,同一网段,透明模式下，这里不用配置IP地址,透明模式下，这里不用配置IP地址,DefaultGateway=199.168.1.8,防火墙相当于网桥，原网络结构没有改变,NO.1透明接入,受保护网络,Internet,199.168.1.8,DefaultGateway=199.168.1.8,防火墙相当于一个简单的路由器,203.12.34.56,203.12.34.57,提供简单的路由功能,199.168.1.8,NO.2路由接入,NO.3综合接入,ETH1：192.168.7.102,ETH2：192.168.7.2,192.168.7.100/24网段,192.168.7.0/24网段,此时整个防火墙工作于透明+路由模式，我们称之为综合模式或者混合模式,202.11.22.1/24网段,ETH1：202.11.22.2,两接口在不同网段，防火墙处于路由模式,两接口在不同网段，防火墙处于路由模式,两接口在同一网段，防火墙处于透明模式,Firewall,防火墙基本概念防火墙分类防火墙发展趋势防火墙核心技术防火墙设计结构防火墙构造体系防火墙功能防火墙性能防火墙部署防火墙可靠性防火墙典型应用,防火墙双机热备,内部网,外网或者不信任域,Eth0,Eth0,Eth1,Eth1,Eth2,Eth2,心跳线,ActiveFirewall,StandbyFirewall,检测ActiveFirewall的状态,发现出故障，立即接管其工作,正常情况下由主防火墙工作,主防火墙出故障以后，接管它的工作,HuborSwitch,HuborSwitch,通过STP协议可以交换两台防火墙的状态信息,当一台防火墙故障时，这台防火墙的连接不需要重新建立就可以透明的迁移到另一台防火墙上，用户不会察觉到,防火墙负载均衡,内部网,外网或者不信任域,Eth0,Eth0,Eth1,Eth1,Eth2,Eth2,心跳线,0#,1#,检测0#Firewall的状态,发现出故障，立即接管其工作,防火墙根据,与0#防火墙一起工作,Hub,Hub,全交叉冗余连接,二层:生成树协议三层：1、HSRP/VRRP+浮动静态路由2、动态路由协议穿过3、动态路由协议,链路备份,防火墙自动检测和恢复机制,在防火墙硬件系统中嵌入WatchDog电路；在防火墙核心软件中增加对WatchDog电路的支持；一旦WatchDog电路发现防火墙核心软件运行出现严重错误将产生复位信号，促使核心系统复位并正常运行，通过这种自动检测和恢复机制，尽量减少因防火墙系统意外宕机带来的损失；采用NVRAM存取配置文件，保证了配置文件的可靠性；所有硬件采用固化方式，具有很高的抗震性，包括处理器、网络处理器、内存、存取设备等。,Firewall,防火墙基本概念防火墙分类防火墙发展趋势防火墙核心技术防火墙设计结构防火墙构造体系防火墙功能防火墙性能防火墙管理防火墙可靠性防火墙典型应用,防火墙典型案例（1）,负载模式：基于轮询基于加权轮询最少链接加权最少链接对真实主机的自动探测,防火墙典型案例（2）,交换：多接口高性能完全的协议支持路由：全面的路由协议,防火墙典型案例（3）,上网行为管理解决方案：与TA结合低投入高回报,防火墙典型案例（4）,多层多链路的热备：完成复杂组网支持复杂路由交换完全的协议支持,防火墙典型案例（5）,交换机的接口备份：支持交换生成树技术,防火墙典型案例（6）,路由模式的接口备份：动态路由协议,总部,如何保证防火墙的状态同步,101001001,101001001,防火墙典型案例（7）,包过滤防