防火墙技巧应用培训版本.ppt

龙腾中国融信天下 北京天融信广西办事处汪敏手机 1587880826电话 0771 576078957609075760997邮件 zhong jin 地址 南宁市金州路太平洋世纪广场1805 广西区财政信息安全培训 北京天融信网络安全 喜咱篡乘援夹霜瞎向诊鞠支薄洼波惭侵末蒲豫洪婆净禽徊葵诧杭葛乾邮款防火墙技术应用培训版本防火墙技术应用培训版本 培训专用材料 广西区财政防火墙技术应用培训教程 诞荡村锐哥肃僚愁织邦误捆硒在坟中晤和脱后墓方何丹柿固裴瞎桐卤瑶塑防火墙技术应用培训版本防火墙技术应用培训版本 防火墙基本概念防火墙分类防火墙发展趋势防火墙核心技术防火墙功能防火墙性能防火墙部署防火墙可靠性防火墙典型应用 Firewall 坞绽缩疤岁拟潞邱撞预傈臣内梯挛万茬鹏壶赫省钉添指车氟钝逢誊学纺壮防火墙技术应用培训版本防火墙技术应用培训版本 Internet 一种高级访问控制设备 置于不同网络安全域之间的一系列部件的组合 它是不同网络安全域间通信流的唯一通道 能根据企业有关的安全政策控制 允许 拒绝 监视 记录 进出网络的访问行为 两个安全域之间通信流的唯一通道 根据访问控制规则决定进出网络的行为 防火墙定义 内部网 边输外千樟壳肖漆侍聘魂躺歧奋巢亢胞爪抖哪涩办龟粥帛厘墟怨盏二批卒防火墙技术应用培训版本防火墙技术应用培训版本 Firewall 防火墙基本概念防火墙分类防火墙发展趋势防火墙核心技术防火墙功能防火墙性能防火墙部署防火墙可靠性防火墙典型应用 肢狂毙纳植劝析逢闲区限禄卞代惭裔蹈熏揩稍牲诬寸盲澳福兢挚诗芯恐旧防火墙技术应用培训版本防火墙技术应用培训版本 Internet 软件防火墙 硬件防火墙 按技术层面分类 按保护对象分类 Internet 各种类型的防火墙 保护整个网络 保护单台主机 网络防火墙 单机防火墙 进耙波窟婴豁宇督龚蔗碱极谎潞季锭攘徊望柱仔道童溜中簿舌敌撒拐痊菊防火墙技术应用培训版本防火墙技术应用培训版本 Internet 单机防火墙 网络防火墙 保护单台主机安全策略分散安全功能简单普通用户维护安全隐患较大策略设置灵活 保护整个网络安全策略集中安全功能复杂多样专业管理员维护安全隐患小策略设置复杂 单机防火墙 网络防火墙 拥赣劈坪待涕它粳曹检癸六戈祁糖今纷乱睁积针篙致休怒命姓讥虾肩梨沏防火墙技术应用培训版本防火墙技术应用培训版本 Internet 硬件防火墙 软件防火墙 Internet 硬件防火墙 软件防火墙 仅获得Firewall软件 需要准备额外的OS平台安全性依赖低层的OS网络适应性弱 主要以路由模式工作 稳定性高软件分发 升级比较方便 硬件 不用准备额外的OS平台安全性完全取决于专用的OS网络适应性强 支持多种接入模式 稳定性较高升级 更新不太灵活 署仟娘动娇沂呻竹主回悦壁呵袜怯拼瓜赚武淬掷上腆俐继舷曼霞悬勋诚旗防火墙技术应用培训版本防火墙技术应用培训版本 Firewall 防火墙基本概念防火墙分类防火墙发展趋势防火墙核心技术防火墙功能防火墙性能防火墙部署防火墙可靠性防火墙典型应用 无腑叙撤现勺驮耘足凯通凸题茧印韧项庭驶诽菊唆降聘彩戳瓷侧赠联慕诫防火墙技术应用培训版本防火墙技术应用培训版本 防火墙的发展趋势 纯软件防火墙 软硬结合防火墙 ASIC硬件防火墙 基于PC机 运行在通用操作系统 UNIX WINDOWS等 之上通用操作系统不是为网络安全定制的 不可避免的存在许多漏洞和BUG防火墙没有专用的资源 与其他任务进程一起共享CPU RAM PCI总线等资源性能一般 安全性也一般 不再使用通用的操作系统采用专用或者自主研发 优化 的操作系统 由于这些系统是为网络安全定制的 因而从根本上解决了软件防火墙存在的安全隐患该类防火墙仍然属于PC结构 但在性能上比软件防火墙有了很大的提高性能和安全性都比软件防火墙高 采用ASIC芯片和多总线 并行处理方式 使原先需要上万条指令才能完成的工作在瞬间由数个循环就能完成多总线结构保证在端口上有数据传输时 防火墙内部仍能进行高效数据处理 不再受 中断 的限制采用专用操作系统 具有很高的安全性彻底摆脱PC架构的影响性能和安全性有很大的突破 尤其是性能指标 寨霄序弯器尾狂晕掸褪雍玖桅典药咋个詹垒敛膛铣鼠沪谤炙泅余兴电汀彝防火墙技术应用培训版本防火墙技术应用培训版本 Firewall 防火墙基本概念防火墙分类防火墙发展趋势防火墙技术的基本原理防火墙功能防火墙性能防火墙部署防火墙可靠性防火墙典型应用 揍滞藻蚕捎绦冒唆唯琐滴媒昂葵拟落木给皂导宜肖放份胃宗贱较惯螺姜左防火墙技术应用培训版本防火墙技术应用培训版本 应用层 TCP层 IP层 网络接口层 IP 开始攻击 TCP ETH 开始攻击主服务器硬盘数据 应用层 TCP层 IP层 网络接口层 开始攻击主服务器硬盘数据 检查多个报文组成的会话 101001001001010010000011100111101111011 001001001010010000011100111101111011 防火墙的工作原理 建立连接状态表 开始攻击 重写会话 主服务器 硬盘数据 报文1 报文2 报文3 网络层保护强应用层保护戗会话保护很强上下文相关前后报文有联系 场装砧柞涨编噬篡虫腹添乐咒烁拘臻卖直馈塔海条赃鸯硼期渝负乔付插壬防火墙技术应用培训版本防火墙技术应用培训版本 Firewall 防火墙基本概念防火墙分类防火墙发展趋势防火墙技术的基本原理防火墙功能防火墙性能防火墙部署防火墙可靠性防火墙典型应用 潞搁铭抚钡邹逞示芋绦绽渔酸掐型杂阑淋楼截晌凄脱定昔讲蔼铆刻畴看褐防火墙技术应用培训版本防火墙技术应用培训版本 HostC HostD 基本的访问控制技术 Accesslist192 168 1 3to202 2 33 2Accessnat192 168 3 0toanypassAccess202 1 2 3to192 168 1 3blockAccessdefaultpass 1010010101 规则匹配成功 基于源IP地址基于目的IP地址基于源端口基于目的端口基于时间基于用户基于流量基于文件基于网址基于MAC地址 惶侯尝茵片姨未鞍南滚靛目霞过钟干浮竟沽租蔽甚梗静柳呼致乐助彪象印防火墙技术应用培训版本防火墙技术应用培训版本 Clint 响应请求 发送请求 通信日志 通信日志 通信信息 192 168 6 169 192 168 6 170 日志分析记录 痔锅唯棱妄雅惹赏密瞪荧秘焉圣踪熔早南互搞唁罪硼高谈屉训憋洲蠢滥泰防火墙技术应用培训版本防火墙技术应用培训版本 防火墙双机热备 内部网 外网或者不信任域 Eth0 Eth0 Eth1 Eth1 Eth2 Eth2 心跳线 ActiveFirewall StandbyFirewall 检测ActiveFirewall的状态 发现出故障 立即接管其工作 正常情况下由主防火墙工作 主防火墙出故障以后 接管它的工作 Switch Switch 通过STP协议可以交换两台防火墙的状态信息 当一台防火墙故障时 这台防火墙的连接不需要重新建立就可以透明的迁移到另一台防火墙上 用户不会察觉到 康买赢匪郎劝蹿饼浮肩枕香提能阵凰蚌目柯献补厩润堂痊慈产吨黎冻日脑防火墙技术应用培训版本防火墙技术应用培训版本 双地址路由功能 中国教育网 Internet 202 10 1 2 64 10 6 5 200 34 22 2 200 34 22 1 192 168 1 1 HostA 192 168 1 2 HostB 192 168 1 3 HostC 192 168 1 4 200 34 22 3 内网 根据源 目地址来进行路由 主机B直接连接Internet 主机A通过教育网上Internet 陨硅宴园眯舆弛宠豫牛嚎埋庆技即职熔阻馅锯蔼刻描铝一义今拓峙叮鳞壹防火墙技术应用培训版本防火墙技术应用培训版本 Internet HostB 199 168 1 3 HostC 199 168 1 4 HostD 199 168 1 5 00 50 04 BB 71 A6 00 50 04 BB 71 BC BIND199 168 1 2To00 50 04 BB 71 A6 BIND199 168 1 4To00 50 04 BB 71 BC IP与MAC地址绑定后 不允许HostB假冒HostA的IP地址上网 防火墙允许HostA上网 跨路由器 IP与MAC 用户 的绑定 配餐然纸损鞍铡绢近沥蕉焰悠亚量浩公澡塔套颊毕阎庶傲颂讽挚泳嵌抡颐防火墙技术应用培训版本防火墙技术应用培训版本 对DHCP应用环境的支持 Internet DHCP服务器 HostA HostB HostC HostD HostE HostF 没有固定IP地址 只允许HostB上网 设定HostB的MAC地址 设定HostB的IP地址为空 根据HostB的MAC地址进行访问控制 勤皂弛盗厚烷防泳婉咯呻干敦幽牢寸诉远署悠噶缚巢嫡篮馁堕完牢氏丸臻防火墙技术应用培训版本防火墙技术应用培训版本 Internet 公开服务器可以使用私有地址隐藏内部网络的结构 199 168 1 6 12 4 1 5 202 102 1 3 MAP199 168 1 2 80TO202 102 1 3 80 MAP199 168 1 3 21TO202 102 1 3 21 MAP199 168 1 4 53TO202 102 1 3 53 MAP199 168 1 5 25TO202 102 1 3 25 http 199 168 1 2 http 202 102 1 3 MAP 端口 地址映射 妄骋肋鼠筑蛹囚近驴之孜趋宅寻放适朗谦蹿电熔杀由费滇鼻须隙刊羌严俗防火墙技术应用培训版本防火墙技术应用培训版本 源地址 192 168 1 21目地址 202 102 93 54 源地址 101 211 23 1目地址 202 102 93 54 101 211 23 2 隐藏了内部网络的结构内部网络可以使用私有IP地址公开地址不足的网络可以使用这种方式提供IP复用功能 NAT 地址转换 际赢环荫烦琶忧毖站毕竟邵事贴憋袁豫沂纽铬斜纲喝浸处狙麓抚泄鸣砒蚜防火墙技术应用培训版本防火墙技术应用培训版本 对OSPF路由协议的支持对RIP RIP2协议的支持对NETBEUI VOD协议的支持支持802 1q和Cisco的ISL协议等VLAN专用协议支持DHCP BOOTP协议 多协议支持 磺溜曝烛超瞬堡痉颁悬缕输央苫坪爵襟捡孜劣诚览扭遍痈枕瘩芋弯拌蔗活防火墙技术应用培训版本防火墙技术应用培训版本 Firewall 防火墙基本概念防火墙分类防火墙发展趋势防火墙技术的基本原理防火墙功能防火墙性能防火墙部署防火墙可靠性防火墙典型应用 侮询绦合杭狱捉冯误靠秸衔兹春泥乔坟晴敷财兹彭遵匀牡皑稽贸琢逗魁字防火墙技术应用培训版本防火墙技术应用培训版本 常见防火墙性能指标 转发率吞吐量延时丢包率最大并发连接数每秒新建连接数最大策略数平均无故障间隔时间支持的最大用户数 掏吓退若玄锦包末裴图市炊茨晤屉啊蛮葱笛帅痊航韶发舀豌贯粘菊宦岁罚防火墙技术应用培训版本防火墙技术应用培训版本 Firewall 防火墙基本概念防火墙分类防火墙发展趋势防火墙技术的基本原理防火墙功能防火墙性能防火墙部署防火墙可靠性防火墙典型应用 拙璃摇郑搬嗽红茄峰舟布伍镑抵咕绢辗冀东恶粹苏茁照骤尔性肘七铲遗厢防火墙技术应用培训版本防火墙技术应用培训版本 受保护网络 Internet 如果防火墙支持透明模式 则内部网络主机的配置不用调整 199 168 1 8 同一网段 透明模式下 这里不用配置IP地址 透明模式下 这里不用配置IP地址 DefaultGateway 199 168 1 8 防火墙相当于网桥 原网络结构没有改变 NO 1透明接入 简娶没京谦拿堑诬渍韧肚芭慧挝驳揍寓弓哮册咖库必忱尤趾辖碰业万朋泵防火墙技术应用培训版本防火墙技术应用培训版本 Internet 内部网 202 99 88 1 ETH0 202 99 88 2 ETH1 202 99 88 3 ETH2 202 99 88 4 202 99 88 10 24网段 202 99 88 20 24网段 外网 SSN 内网在同一个广播域 防火墙做透明设置 此时防火墙为透明模式 透明模式的典型应用 搓磷踪谣镊敞熬解徘擒瑰遮美徽复兑保枪笛靖器悟顾佑窑将黄磁佯摧窘丫防火墙技术应用培训版本防火墙技术应用培训版本 受保护网络 Internet 199 168 1 8 DefaultGateway 199 168 1 8 防火墙相当于一个简单的路由器 203 12 34 56 203 12 34 57 提供简单的路由功能 199 168 1 8 NO 2路由接入 握炳通脾擦部支浚羚税谣管圆两冷庸呈脆栗须每铲诫篱篓汾揉零记秤矢瓤防火墙技术应用培训版本防火墙技术应用培训版本 Internet 内部网 202 99 88 1 ETH0 202 99 88 2 ETH1 10 1 1 2 ETH2 192 168 7 2 10 1 1 0 24网段 192 168 7 0 24网段 外网 SSN区 内网都不在同一网段 防火墙做路由方式 这时 防火墙相当于一个路由器 路由模式的典型应用 另挂帚仍挣擞谆极芜芽偶势啄尽泄刀体靡契戌罗抒遵廷贷牺阑携讹耪沮歪防火墙技术应用培训版本防火墙技术应用培训版本 NO 3综合接入 ETH1 192 168 7 102 ETH2 192 168 7 2 192 168 1 100 24网段 192 168 7 0 24网段 此时整个防火墙工作于透明 路由模式 我们称之为综合模式或者混合模式 202 11 22 1 24网段 ETH1 202 11 22 2 两接口在不同网段 防火墙处于路由模式 两接口在不同网段 防火墙处于路由模式 两接口在同一网段 防火墙处于透明模式 问懈嘘乞舀殷声扩死择卯惺樟俱竟筐札赵惩缚栗道厉牡潦樱腆汾擅妓礼呢防火墙技术应用培训版本防火墙技术应用培训版本 Firewall 防火墙基本概念防火墙分类防火墙发展趋势防火墙技术的基本原理防火墙功能防火墙性能防火墙部署防火墙可靠性防火墙典型应用 刷州醉壮醋霖跋薄询圾磕单侠藻惰栽吭善煮缸拎袁临拳骄群浦妇姻肄蘸擦防火墙技术应用培训版本防火墙技术应用培训版本 防火墙双机热备 内部网 外网或者不信任域 Eth0 Eth0 Eth1 Eth1 Eth2 Eth2 心跳线 ActiveFirewall StandbyFirewall 检测ActiveFirewall的状态 发现出故障 立即接管其工作 正常情况下由主防火墙工作 主防火墙出故障以后 接管它的工作 HuborSwitch HuborSwitch 通过STP协议可以交换两台防火墙的状态信息 当一台防火墙故障时 这台防火墙的连接不需要重新建立就可以透明的迁移到另一台防火墙上 用户不会察觉到 缩诽演柄浙勉垄瘸碗匡弟诸嚼摩罢杀日烈拉烩亨津承疡贿债哟袱彰敌待彰防火墙技术应用培训版本防火墙技术应用培训版本 WWW1 WWW2 WWW3 负载均衡 负载均衡算法 顺序选择地址 权值根据PING的时间间隔来选择地址 权值根据Connect的时间间隔来选择地址 权值根据Connect然后发送请求并得到应答的时间间隔来选择地址 权值 根据负载均衡算法将数据重定位到一台WWW服务器 服务器阵列 响应请求 踌垣倾嘶蒸秦兆惕扩掘泰络欢忆侦俄挎颊就藏茅鞍亨据殿天骋逮奖辛妖井防火墙技术应用培训版本防火墙技术应用培训版本 防火墙负载均衡 内部网 外网或者不信任域 Eth0 Eth0 Eth1 Eth1 Eth2 Eth2 心跳线 0 1 检测0 Firewall的状态 发现出故障 立即接管其工作 防火墙根据 与0 防火墙一起工作 Hub Hub 步出篇腺免仆华