《防火墙技术原理》PPT课件

防火墙技术原理 防火墙技术培训专用材料 防火墙概述防火墙分类防火墙硬件技术防火墙软件技术防火墙分级防火墙功能防火墙性能防火墙安全性防火墙的 胖 与 瘦 防火墙部署防火墙管理防火墙可靠性防火墙典型应用防火墙技术发展展望怎样选择防火墙 提纲 Internet 一种高级访问控制设备 置于不同网络安全域之间的一系列部件的组合 它是不同网络安全域间通信流的唯一通道 能根据企业有关的安全政策控制 允许 拒绝 监视 记录 进出网络的访问行为 两个安全域之间通信流的唯一通道 根据访问控制规则决定进出网络的行为 内部网 防火墙定义 Intranet 通过部署防火墙 可以实现比VLAN 路由器更为强大 有效的访问控制功能 大大提高抗攻击的能力 禁止访问 禁止访问 防火墙作用 防火墙执行标准 GB T18019 1999信息技术包过滤防火墙安全技术要求GB T18020 1999信息技术应用级防火墙安全技术要求GB T18336 2001信息技术安全性评估准则 ISO15408 GB T17900 1999网络代理服务器的安全技术要求GB T18018 1999路由器安全技术要求 GB T18020 1999 GB T18010 1999 GB T18336 2001 ISO IEC15408 国内标准 国际标准 规范需求分析 设计 编码 测试 评估等环节 防火墙概述防火墙分类防火墙硬件技术防火墙软件技术防火墙分级防火墙功能防火墙性能防火墙安全性防火墙的 胖 与 瘦 防火墙部署防火墙管理防火墙可靠性防火墙典型应用防火墙技术发展展望怎样选择防火墙 提纲 Internet 软件防火墙 硬件防火墙 按形态分类 按保护对象分类 Internet 防火墙的分类 保护整个网络 保护单台主机 网络防火墙 单机防火墙 Internet 单机防火墙 网络防火墙 保护单台主机安全策略分散安全功能简单普通用户维护安全隐患较大策略设置灵活 保护整个网络安全策略集中安全功能复杂多样专业管理员维护安全隐患小策略设置复杂 单机防火墙 网络防火墙 Internet 硬件防火墙 软件防火墙 Internet 硬件防火墙 软件防火墙 仅获得Firewall软件 需要准备额外的OS平台安全性依赖低层的OS网络适应性弱 主要以路由模式工作 稳定性高软件分发 升级比较方便 硬件 软件 不用准备额外的OS平台安全性完全取决于专用的OS网络适应性强 支持多种接入模式 稳定性较高升级 更新不太灵活 防火墙概述防火墙分类防火墙硬件技术防火墙软件技术防火墙分级防火墙功能防火墙性能防火墙安全性防火墙的 胖 与 瘦 防火墙部署防火墙管理防火墙可靠性防火墙典型应用防火墙技术发展展望怎样选择防火墙 提纲 CPU 存储器 总线 1 3 4 2 防火墙单总线结构 防火墙的硬件瓶颈 处理器的计算能力 CPU NPU ASIC总线带宽 设计多总线产品存储器的存储速度I O接口速度 总线1 防火墙多总线结构 存储器 存储器 防火墙的硬件瓶颈 处理器的计算能力 CPU NPU ASIC 提高主频或者采用多处理器 总线带宽 设计多总线产品 提高总线带宽或者采用多总线结构 存储器的存储速度I O接口速度 总线2 NPU1 NPU2 CPU 33M总线 10 100 1000M网络接口CPU 133M总线 10 100 1000M网络接口CPU ASIC 133M总线 10 100 1000M网络接口CPU NPU 133M总线 10 100 1000M网络接口CPU NPU ASIC 133M总线 10 100 1000M网络接口n个CPU n个NPU n个ASIC n条总线 n个10 100 1000网络接口 防火墙硬件结构种类 逐步提高处理能力 逐步提高总线带宽 逐步提高接口速率 CPU 存储器 33M总线 1 3 4 2 CPU 33M 10 100M 防火墙的处理能力 处理器的计算能力 普通CPU总线带宽 33M存储器的存储速度I O接口速度 比较适合中低端百兆防火墙 CPU 存储器 1 3 4 2 CPU 133M 10 100M 1000M 防火墙的处理能力 处理器的计算能力 普通CPU总线带宽 133M存储器的存储速度I O接口速度 比较适合中低端千兆防火墙或者高端百兆防火墙 133M总线 CPU 存储器 133M总线 1 3 4 2 CPU ASIC 133M 10 100M 1000M 防火墙的处理能力 处理器的计算能力 普通CPU ASIC总线带宽 133M存储器的存储速度I O接口速度 高端百兆 千兆 ASIC CPU NPU 133M 10 100M 1000M 防火墙的处理能力 处理器的计算能力 普通CPU NPU总线带宽 133M存储器的存储速度I O接口速度 高端百兆 千兆 总线1 存储器 存储器 NPU1 NPU2 总线2 总线1 存储器 存储器 NPU1 NPU2 总线2 防火墙的硬件瓶颈 处理器的计算能力 CPU NPU ASIC总线带宽 多总线存储器的存储速度I O接口速度 高端百兆 千兆 CPU NPU ASIC 133M 10 100M 1000M 基于通用CPU的防火墙的特点 通用CPU的优点 高灵活性 高扩展性通用CPU由于考虑了各种应用的需要 具有一般化的通用体系结构和指令集 容易支持复杂的运算并容易开发新的功能 随着通用CPU性能的快速提高 基于通用CPU防火墙的处理速度和能力将会大幅度提高 能够很好的适应多接口百兆 千兆防火墙的计算要求 基于ASIC加速技术防火墙的特点 ASIC ApplicationSpecificIntegratedCircuit 特定用途集成电路 ASIC专用硬件加速技术主要是部分国外厂商的防火墙产品采用 如NetScreen的高端防火墙 ASIC作为硬件集成电路 它把指令或计算逻辑固化到硬件中 获得高处理能力 提升防火墙性能 ASIC最大缺点是缺乏灵活性 支持有限的应用和服务 一旦指令或计算逻辑固化到硬件中 就很难修改升级 增加新的功能或提高性能 使得资源重用率很低 而且 ASIC设计和制造周期长 设计和制造复杂ASIC一般需要花费12 18个月 研发费用高 也使ASIC很难应对万变的网络新应用 所以基于ASIC技术 很难快速推出能满足用户需求不断变化的防火墙产品 网络处理器 NetworkProcessor 简称NP 顾名思义即专为网络数据处理而设计的芯片或芯片组 能够直接完成网络数据处理的一般性任务 如TCP IP数据的校验和计算 包分类 路由查找等 同时 硬件体系结构的设计也弥补了传统IA体系的不足 它们大多采用高速的接口技术和总线规范 具有较高的I O能力 基于网络处理器的网络设备的包处理能力得到了很大提升 很多需要高性能的领域 如千兆交换机 防火墙 路由器的设计都可以采用网络处理器来实现 Intel公司第一代NP芯片 NP产品远未成熟 包括Terago公司倒闭 10Gbit sNP NP不少 产品接口却不统一 无法完成无缝的整合 NPU论坛 网络处理器论坛 NPF 正在推动相关标准的制定 但还很不完善 NP防火墙产品的测试标准并没有推出 有关测试方法的Benchmark都还没有制定出来对复杂应用数据 NP的表现就不令人满意 例如分片数据包的重组和加密的处理 目前在网络数据厂商中 采用NP技术的数量非常有限 基于NP加速技术防火墙的特点 CPU 33M总线 10 100 1000M网络接口CPU 133M总线 10 100 1000M网络接口CPU ASIC 133M总线 10 100 1000M网络接口CPU NPU 133M总线 10 100 1000M网络接口CPU NPU ASIC 133M总线 10 100 1000M网络接口n个CPU n个NPU n个ASIC n条总线 n个10 100 1000网络接口 TopSEC防火墙硬件结构种类 中低端 中高端 电信级产品 加密处理 采用ASIC芯片内容过滤 采用通用CPU网络报文处理 采用NPU 防火墙概述防火墙分类防火墙硬件技术防火墙软件技术防火墙分级防火墙功能防火墙性能防火墙安全性防火墙的 胖 与 瘦 防火墙部署防火墙管理防火墙可靠性防火墙典型应用防火墙技术发展展望怎样选择防火墙 提纲 防火墙软件技术 简单包过滤防火墙状态检测包过滤防火墙应用代理防火墙核检测防火墙 应用层 表示层 会话层 传输层 网络层 链路层 物理层 应用层 表示层 会话层 传输层 网络层 链路层 物理层 网络层 链路层 物理层 优点 速度快 性能高对应用程序透明 缺点 安全性低不能根据状态信息进行控制不能处理网络层以上的信息伸缩性差维护不直观 简单包过滤技术介绍 应用层 TCP层 IP层 网络接口层 IP 101010101 TCP ETH 101010101 应用层 TCP层 IP层 网络接口层 101010101 只检查报头 101001001001010010000011100111101111011 001001001010010000011100111101111011 简单包过滤防火墙的工作原理 简单包过滤防火墙不检查数据区简单包过滤防火墙不建立连接状态表前后报文无关应用层控制很弱 应用层 表示层 会话层 传输层 网络层 链路层 物理层 应用层 表示层 会话层 传输层 网络层 链路层 物理层 状态检测技术介绍 应用层 表示层 会话层 传输层 网络层 链路层 物理层 安全性高能够检测所有进入防火墙网关的数据包根据通信和应用程序状态确定是否允许包的通行性能高在数据包进入防火墙时就进行识别和判断伸缩性好可以识别不同的数据包已经支持160多种应用 包括Internet应用 数据库应用 多媒体应用等用户可方便添加新应用对用户 应用程序透明 抽取各层的状态信息建立动态状态表 应用层 TCP层 IP层 网络接口层 IP 101010101 TCP ETH 101010101 应用层 TCP层 IP层 网络接口层 101010101 只检查报头 101001001001010010000011100111101111011 001001001010010000011100111101111011 状态检测包过滤防火墙的工作原理 不检查数据区建立连接状态表前后报文相关应用层控制很弱 建立连接状态表 应用层 表示层 会话层 传输层 网络层 链路层 物理层 应用层 表示层 会话层 传输层 网络层 链路层 物理层 应用代理技术介绍 应用层 表示层 会话层 传输层 网络层 链路层 物理层 优点 安全性高提供应用层的安全 缺点 性能差伸缩性差只支持有限的应用不透明 FTP HTTP SMTP 应用层 TCP层 IP层 网络接口层 IP 101010101 TCP ETH 101010101 应用层 TCP层 IP层 网络接口层 101010101 只检查数据 101001001001010010000011100111101111011 001001001010010000011100111101111011 应用代理防火墙的工作原理 不检查IP TCP报头不建立连接状态表网络层保护比较弱 防火墙概述防火墙分类防火墙硬件技术防火墙软件技术防火墙分级防火墙功能防火墙性能防火墙安全性防火墙的 胖 与 瘦 防火墙部署防火墙管理防火墙可靠性防火墙典型应用防火墙技术发展展望怎样选择防火墙 提纲 HostC HostD 访问控制功能 Accesslist192 168 1 3to202 2 33 2Accessnat192 168 3 0toanypassAccess202 1 2 3to192 168 1 3blockAccessdefaultpass 1010010101 规则匹配成功 基于源IP地址基于目的IP地址基于源端口基于目的端口基于时间基于用户基于流量基于文件基于网址基于MAC地址 Internet RADIUS服务器 S KEY认证服务器 RADIUS服务器 TACAS 服务器 chenaifeng 12354876 防火墙将认证信息传给真正的RADIUS服务器 将认证结果传给防火墙 根据认证结果决定用户对资源的访问权限 身份认证功能 审计功能 日志分析 无日志通信日志 即传统日志通信源地址 目的地址 源目端口 通信时间 通信协议 字节数 是否允许通过应用层命令日志 在通信日志的基础之上 记录下各个应用层命令及其参数 例如HTTP请求及其要取的网页名 访问日志 即在通信日志的基础之上 记录下用户对网络资源的访问 它和应用层命令日志的区别是 应用层命令日志可以记录下大量的数据 有些用户可能不需要 如协商通信参数过程等 例如针对FTP协议 访问日志只记录下读 写文件的动作内容日志 即在应用层命令日志的基础之上 还记录下用户传输的内容 如用户发送的邮件 用户取下的网页等 但因为这个功能涉及到隐私问题 所以在普通的防火墙中没有包含Firewall5G对所有的应用层协议都可以进行通信日志 而命令日志 访问日志 内容日志目前支持HTTP FTP SMTP POP3 TELNET RSH RLOGIN等协议日志分析工具自动产生各种报表 智能化的指出网络可能的安全漏洞 Clint 响应请求 发送请求 通信日志 通信日志 通信信息 192 168 6 169 192 168 6 170 初步审计 通信日志 Clint 响应请求 发送请求 命令日志 命令日志 192 168 6 169 192 168 6 170 深度审计1 应用层命令日志 命令信息 Clint 响应请求 发送请求 访问日志 访问日志 192 168 6 169 192 168 6 170 深度审计2 访问日志 访问信息 Clint 响应请求 发送请求 内容日志 内容日志 192 168 6 169 192 168 6 170 深度审计3 内容日志 内容信息 支持集中审计 安全审计中心 1010101 Intranet 灵活的带宽管理功能 WWW Mail DNS 出口带宽512K DMZ区保留256K 分配70K带宽 分配90K带宽 分配96K带宽 DMZ区域 内部网络 总带宽512K 内网256K DMZ256K 70K 90K 96K 财务子网 采购子网 生产子网 财务子网 采购子网 生产子网 Internet WWW1 WWW2 WWW3 服务器负载均衡功能 负载均衡算法 顺序选择地址 权值根据PING的时间间隔来选择地址 权值根据Connect的时间间隔来选择地址 权值根据Connect然后发送请求并得到应答的时间间隔来选择地址 权值 根据负载均衡算法将数据重定位到一台WWW服务器 服务器阵列 响应请求 受保护网络 Internet IDS 黑客 发送通知报文 验证报文并采取措施 发送响应报文 识别出攻击行为 阻断连接或者报警等 联动功能1 与IDS的安全联动 能与国内30多家主流IDS产品进行无缝联动 联动功能2 与病毒网关的安全联动 Internet 110010101 病毒服务器 100010101 000010101 待发数据 110010101 100010101 000010101 110010101 100010101 000010101 pass pass 无病毒转发最后一个报文 如带有病毒则丢弃最后一个报文 协议还原检查病毒 没有发现病毒可以放过最后一个报文 接收数据 接收数据 内部网络 Internet URL服务器 可以访问吗 Ok 联动功能3 与URL服务器的安全联动 Internet HostB 199 168 1 3 HostC 199 168 1 4 HostD 199 168 1 5 00 50 04 BB 71 A6 00 50 04 BB 71 BC BIND199 168 1 2To00 50 04 BB 71 A6 BIND199 168 1 4To00 50 04 BB 71 BC IP与MAC地址绑定后 不允许HostB假冒HostA的IP地址上网 防火墙允许HostA上网 跨路由器 IP与MAC 用户 绑定功能 Internet 公开服务器可以使用私有地址隐藏内部网络的结构 199 168 1 6 12 4 1 5 202 102 1 3 MAP199 168 1 2 80TO202 102 1 3 80 MAP199 168 1 3 21TO202 102 1 3 21 MAP199 168 1 4 53TO202 102 1 3 53 MAP199 168 1 5 25TO202 102 1 3 25 http 199 168 1 2 http 202 102 1 3 MAP 端口映射 功能 受保护网络 HostC HostD 192 168 1 21 192 168 1 25 源地址 192 168 1 21目地址 202 102 93 54 源地址 101 211 23 1目地址 202 102 93 54 101 211 23 2 隐藏了内部网络的结构内部网络可以使用私有IP地址公开地址不足的网络可以使用这种方式提供IP复用功能 NAT 地址转换 功能 Trunk口 Trunk口 VLAN1 VLAN2 支持VLAN的交换机 Trunk口 Trunk口 VLAN1 VLAN2 Switch1 Switch2 同一交换机的不同VLAN之间通讯 不同交换机的同一VLAN之间通讯 不支持TRUNK的防火墙无法在这种环境下工作 不支持TRUNK的防火墙无法在这种环境下工作 适应性1 VLAN应用环境 天融信防火墙支持802 1Q ISL封装协议 适应性2 DHCP应用环境 Internet DHCP服务器 HostA HostB HostC HostD HostE HostF 没有固定IP地址 只允许HostB上网 设定HostB的MAC地址 设定HostB的IP地址为空 根据HostB的MAC地址进行访问控制 天融信防火墙支持基于MAC地址的过滤 对于跨网段环境防火墙还提供一个自动运行的客户端来获取动态IP 建立连接并维持连接状态直到查询结束 适应性3 数据库应用环境 数据库查询一般需要比较长的时间 这些通讯连接建立成功后可能暂时没有数据通过 空连接 需要在防火墙里面维护这个连接状态 直到查询结束 普通防火墙在连接建立一段时间后如果没有数据通讯会自动切断连接 导致业务不能正常运行 需要较长的查询时间 天融信防火墙支持普通连接 长连接等选择模式 可以灵活设置连接时间 中国教育网 Internet 202 10 1 2 64 10 6 5 200 34 22 2 200 34 22 1 192 168 1 1 HostA 192 168 1 2 HostB 192 168 1 3 HostC 192 168 1 4 200 34 22 3 内网 根据源 目地址来进行路由 主机B直接连接Internet 主机A通过教育网上Internet 适应性4 源目路由环境 NETBEUI协议OSPF协议RIP协议H 323协议 INTERNET 适应性4 复杂应用环境 防火墙概述防火墙分类防火墙硬件技术防火墙软件技术防火墙分级防火墙功能防火墙性能防火墙安全性防火墙的 胖 与 瘦 防火墙部署防火墙管理防火墙可靠性防火墙典型应用防火墙技术发展展望怎样选择防火墙 提纲 防火墙的 胖 与 瘦 由于防火墙在网络中所处的重要位置 因此 人们对防火墙可以说是寄予厚望 现在防火墙正在不断增加各种各样的新功能 因此防火墙正在急剧 长胖 胖 防火墙是指功能大而全的防火墙 它力图将安全功能尽可能多地包含在内 从而成为用户网络的一个安全平台 瘦 防火墙是指功能少而精的防火墙 它只作访问控制的专职工作 对于综合安全解决方案 则采用多家安全厂商联盟的方式来实现 胖 瘦 防火墙的定义 访问控制 病毒防护 入侵检测 交换路由 内容过滤 信息审计 传输加密 其他 胖防火墙 胖防火墙的优势 首先是功能全其次是控制力度细第三是协作能力强降低采购和管理成本 胖防火墙的不足 主要表现在性能降低其次是自身安全性差还有专业性不强 表现为功能模块的拼凑第四是稳定性差 系统越大 BUG越多最后是配置复杂 不合理的配置会带来更大的安全隐患 瘦防火墙的优势 访问控制 病毒防护 入侵检测 交换路由 内容过滤 信息审计 传输加密 其他 瘦防火墙 性能高注重核心功能 专业性强整体安全性高配置简单 简化对管理员的专业要求 相互联动 瘦防火墙的不足 首先是功能单一其次是整体防护能力较弱 胖瘦防火墙之争 一种观点认为 要采取分工协作 防火墙应该做得精瘦 只做防火墙的专职工作 可采取多家安全厂商联盟的方式来解决 另一种观点认为 把防火墙做得尽量的胖 把所有安全功能尽可能多地附加在防火墙上 成为一个集成化的网络安全平台 用户的价值取向一 胖 防火墙追求的是一站式服务 目前它只适应中小型企业 尤其是低端用户 他们出于经济上的考虑以及管理上的成本 更主要的是出于安全的实际需求 希望一个设备可以为这种小型网络实现整体安全防护 所以对这种大而全的 胖 东西非常感兴趣 用户的价值取向二 大型用户倾向使用独立安全设备 发挥每种产品最大效果 安全需求广泛 专业性要求强 安全投入较大 自身安全管理能力较高 针对这类用户 为了要满足多种安全需求 在设计安全解决方案时 通常会考虑以安全管理为核心 以多种安全产品的联动为基础 如防火墙与IDS和防病毒全面互动形成动态防御体系 防火墙 胖瘦总相宜 随着安全需求的细化 硬件计算能力的增加 胖防火墙和瘦防火墙之间的界限也会逐步走向统一 一方面硬件处理能力的大幅度提高 ASIS芯片 NP等 使得防火墙可以集成更多的功能模块成为可能 另一方面安全标准技术的推进 使得不同安全产品之间的联动变得更加容易 这样推出功能更简单性能更高且支持标准联动协议的专业防火墙更为适应市场的需要 以后更多的趋势是考虑现有成熟安全产品之间如何通过标准的协议和接口进行更好的互动 从而构建一个相当于 胖防火墙 作用的整体防御体系 这个体系将更加灵活 方便 易于构建 而且会具有更大的可扩展性 构建联动一体的安全体系 无论是 胖 防火墙的集成 还是 瘦 防火墙的联动 安全产品正在朝着体系化的结构发展 所谓 胖瘦 不过是这种体系结构的两种表现方式 胖 将这种体系表现在一个产品中 而 瘦 将这种体系表现在一组产品或是说一个方案中 同时 这种体系化的结构需要完善的安全管理 也就是说 通过安全管理中心产品 整合系列安全产品 构架成联动一体的产品体系 实现对用户 资源和策略的统一管理 确保整体解决方案的安全一致性 是构建网络安全系统的大趋势 防火墙概述防火墙分类防火墙硬件技术防火墙软件技术防火墙分级防火墙功能防火墙性能防火墙安全性防火墙的 胖 与 瘦 防火墙部署防火墙管理防火墙可靠性防火墙典型应用防火墙技术发展展望怎样选择防火墙 提纲 受保护网络 Internet 如果防火墙支持透明模式 则内部网络主机的配置不用调整 199 168 1 8 同一网段 透明模式下 这里不用配置IP地址 透明模式下 这里不用配置IP地址 DefaultGateway 199 168 1 8 防火墙相当于网桥 原网络结构没有改变 NO 1透明接入 Internet 内部网 202 99 88 1 ETH0 202 99 88 2 ETH1 202 99 88 3 ETH2 202 99