防火墙产品原理介绍20080407.ppt

防火墙产品原理介绍 V1 1 网御神州客服中心 学习目标 学习完本课程 您应该能够了解网御神州的防火墙产品了解防火墙的工作原理理解防火墙的典型应用 课程内容 防火墙的基础知识防火墙的发展历程防火墙关键技术防火墙评价指标防火墙的部署FAQ 3 1防火墙概述 3 1防火墙概述 在不同安全级别的网络区域的边界 进行访问控制的设备 3 1防火墙概述 防火墙 IDS IPS 3 1防火墙概述 内部网络 内部网络2 内部网络1 防火墙的功能 根据预设的规则 进行访问控制 一切未被允许的就是禁止的 Internet 3 1防火墙概述 防火墙能做什么 1 转发正常的通信行为2 禁止未经授权的访问3 网络地址转换 NAT 4 VPN网关5 记录通过防火墙的通信活动 3 1防火墙概述 防火墙不能做什么 不能控制不经防火墙的通信活动2 无法控制内网中通信行为3 目前不能进行深度内容检测 3 2防火墙的技术发展 防火墙技术几乎与路由器同时出现 采用了包过滤 Packetfilter 技术 1989年 贝尔实验室的DavePresotto和HowardTrickey推出了电路层防火墙 同时提出了应用层防火墙 代理防火墙 的初步结构 1992年 USC信息科学院的BobBraden开发出了基于动态包过滤 Dynamicpacketfilter 技术的防火墙 后来演变为状态检测 Statefulinspection 技术 1994年 以色列CheckPoint公司开发出了第一个采用这种技术的商业化的产品 3 2防火墙的技术发展 包过滤防火墙 外网 防火墙 内网 数据包 包过滤引擎 3 2防火墙的技术发展 IP包 检测包头 检查路由 安全策略 过滤规则 路由表 包过滤防火墙 丢弃 IP包源地址IP包目的地址TCP UDP端口 3 2防火墙的技术发展 包过滤防火墙的特点 1 实现容易 2 数据吞吐率较高 4 对应用完全透明 5 对会话内容无法监控 安全性能较低 3 易配置 3 2防火墙的技术发展 应用代理防火墙 外网 防火墙 内网 数据包 3 2防火墙的技术发展 应用代理防火墙的特点 1 可以对应用层数据进行处理 3 双向通信必须经过应用代理 禁止IP转发 5 处理速度慢 2 对数据包的检测能力比较强 4 难于配置 3 2防火墙的技术发展 状态检测包过滤防火墙 外网 防火墙 内网 状态检测引擎 3 2防火墙的技术发展 IP包 检测包头 下一步处理 安全策略 过滤规则 会话连接状态缓存表 状态检测包过滤防火墙 丢弃 IP包源地址 目的地址TCP UDP源端口TCP会话连接状态 3 2防火墙的技术发展 状态包过滤防火墙的特点 2 可以对网络数据进行更细粒度的检测 3 数据吞吐率较高 4 对会话内容的处理不够 1 可重组会话 记录会话状态 3 2防火墙的技术发展 产品现状 1 状态检测包过滤技术 2 应用代理技术 4防火墙关键技术 4 1访问控制4 2地址绑定4 3NAT4 4端口映射4 5VPN4 6抗攻击4 7复杂协议支持4 8HA 4 1访问控制 4 2地址绑定 10 50 10 44 mac1 10 50 10 44 mac2 4 2地址绑定 4 3NAT技术 内部网络 HostA HostB 192 168 0 3 192 168 0 5 源地址 192 168 0 3目地址 202 202 99 56 源地址 10 50 10 88目地址 202 202 99 56 eth1 192 168 0 2 eth2 10 50 10 88 4 3NAT技术 4 4端口映射 Internet 192 168 1 2 输入 http 202 102 10 8 202 102 10 8 192 168 1 11 80 202 102 10 8 80192 168 1 22 21 202 102 10 8 21192 168 1 33 25 202 102 10 8 25192 168 1 44 53 202 102 10 8 53 4 4端口映射 4 5VPN Internet 192 168 1 2 VPN客户端10 50 10 88 202 102 10 8 VPN规则Permit10 50 10 1 192 168 1 1 4 5VPN 4 5VPN 支持基于策略的VPN应用2 支持基于路由的VPN应用3 支持VPN的星型 网状等多种接入方式4 支持VPN的NAT穿越5 支持DHCPoverIPSecVPN6 支持VPN远端状态探测DPD7 支持PPTP L2TP拨号VPN 4 5VPN 当用户将防火墙作为安全设备来使用时 安全策略是用户关注的重点 用户需要基于策略的VPN 安全策略直接控制数据包进入哪一条隧道 当用户使用防火墙的重点是远程VPN组网时 防火墙实际上是当作安全路由设备使用的 这时通过添加路由表就可以控制数据包进入哪一条隧道 此时使用的是基于路由的VPN 策略VPNor路由VPN 4 6抗攻击 对资源的请求大大超过正常值 致使服务超载 使得被访资源无法再对合理的请求进行响应 称为拒绝服务 恶意造成拒绝服务的行为 就称为拒绝服务攻击 DenialofService DoS 资源网络带宽文件系统容量开放的进程向内的连接 4 6抗攻击 SYNflood以多个随机的源主机地址向目标主机发送SYN包收到目标主机的SYNACK后并不回应继续发送SYN请求目标主机建立了大量的连接 由于没有收到ACK一直维护着这些连接 造成了资源大量消耗而不能向正常请求提供服务 4 6抗攻击 a TCP三次握手 b SYN风暴 4 7复杂协议支持 H 323协议被普遍认为是目前在分组网上支持语音 图像和数据业务最成熟的协议 采用H 323协议 各个不同厂商的多媒体产品和应用可以进行互相操作 用户不必考虑兼容性问题 该协议为商业和个人用户基于LAN MAN的多媒体产品协同开发奠定了基础 H 323 H 323是一套在分组网上提供实时音频 视频和数据通信的标准 是ITU T制订的在各种网络上提供多媒体通信的系列协议H 32x的一部分 4 7复杂协议支持 SIP SIP SessionInitiationProtocol 会话初始协议是IETF制订的 用于多方多媒体通信 按照IETFRFC2543的定义 SIP是一个基于文本的应用层控制协议 独立于底层传输协议TCP UDP SCTP 用于建立 修改和终止IP网上的双方或多方多媒体会话 SIP协议借鉴了HTTP SMTP等协议 支持代理 重定向及登记定位用户等功能 支持用户移动 通过与RTP RTCP SDP RTSP等协议及DNS配合 SIP支持语音 视频 数据 E mail 状态 IM 聊天 游戏等 SIP协议可在TCP或UDP之上传送 由于SIP本身具有握手机制 可首选UDP 4 7复杂协议支持 RIP RoutinginformationProtocol路由信息协议 是推出时间最长 最简单的路由协议 是一种内部网关协议 InteriorGatewayProtocol 简称IGP 适用于小型同类网络 是典型的距离向量 distance vector 协议 RIP主要传递路由信息 路由表 来广播路由 每隔30秒广播一次路由表 维护与相邻路由器的关系 同时根据收到的路由表计算自己的路由表 4 7复杂协议支持 OSPF 作为一种链路状态的路由协议 OSPF具备许多优点 快速收敛 支持变长网络屏蔽码 支持CIDR以及地址summary 具有层次化的网络结构 支持路由信息验证等 它通过传递链路状态 连接信息 来得到网络信息 维护一张网络有向拓扑图 利用最小生成树算法 SPF算法 得到路由表 OSPF是一种相对复杂的路由协议 OpenShortestPathFirst开放式最短路优先是由IETF InternetEngineeringTaskForce IGP工作小组提出的一种基于SPF算法的路由协议 目前使用的OSPF协议是其第二版 由RFC1247和RFC1583定义 4 7复杂协议支持 BGP BorderGatewayProtocol边界网关协议 BorderGatewayProtocol边界网关协议 BGP用于处理各ISP之间的路由传递 其特点是有丰富的路由策略 RIP OSPF是内部网关协议 适用于单个ISP的统一路由协议的运行 由一个ISP运营的网