网络安全10 - 防火墙

防火墙技术,网络安全高级技术,主要内容,防火墙概述防火墙的类型防火墙体系结构防火墙技术分布式防火墙防火墙安全性,网络安全的构成,物理安全性设备的物理安全：防火、防盗、防破坏等通信网络安全性防止入侵和信息泄露系统安全性计算机系统不被入侵和破坏用户访问安全性通过身份鉴别和访问控制，阻止资源被非法用户访问数据安全性数据的完整、可用数据保密性信息的加密存储和传输,安全的分层结构和主要技术,物理安全层,网络安全层,系统安全层,用户安全层,应用安全层,数据安全层,加密,访问控制,授权,用户/组管理,单机登录,身份认证,反病毒,风险评估,入侵检测,审计分析,安全的通信协议,VPN,防火墙,存储备份,防火墙概述,防火墙是设置在被保护网络和外部网络之间的一道屏障，实现网络的安全保护，以防止发生不可预测的、潜在破坏性的侵入。,图1防火墙示意图,防火墙的概念,原义：防火墙的本义原是指古代人们房屋之间修建的那道墙，这道墙可以防止火灾发生的时候蔓延到别的房屋。定义：防火墙是位于两个(或多个)网络间，实施网间访问控制的组件集合，通过建立一整套规则和策略来监测、限制、更改跨越防火墙的数据流，达到保护内部网络的目的。核心思想：在不安全的网际网环境中构造一个相对安全的子网环境。,防火墙的设计目标内部和外部之间的所有网络数据流必须经过防火墙；只有符合安全策略的数据流才能通过防火墙；防火墙自身能抗攻击；,防火墙作为内部网与外部网的一种访问控制设备，常常安装在内部网和外部网交界的结点上。它可以硬件的形态出现，也可以是一种软件产品。,防火墙的发展简史 1,第一代防火墙：采用了包过滤（Packet Filter）技术。第二、三代防火墙：1989年，推出了电路层防火墙，和应用层防火墙的初步结构。第四代防火墙：1992年，开发出了基于动态包过滤技术的第四代防火墙。第五代防火墙：1998年，NAI公司推出了一种自适应代理技术，可以称之为第五代防火墙。,防火墙的发展简史 2,防火墙的作用,防火墙的局限性（一）,不能防范内部攻击 防火墙可以禁止系统用户经过网络连接发送专有的信息，但用户可以将数据复制到磁盘、磁带上，放在公文包中带出去。如果入侵者已经在防火墙内部，防火墙是无能为力的。内部用户可以窃取数据，破坏硬件和软件，并且巧妙地修改程序而不接近防火墙。对于来自知情者的威胁，只能要求加强内部管理，如管理制度和保密制度等。不能防范不通过它的连接 防火墙能够有效地防止通过它的传输信息，然而它却不能防止不通过它而传输的信息。例如，如果站点允许对防火墙后面的内部系统进行拨号访问，那么防火墙绝对没有办法阻止入侵者进行拨号入侵。,不能防备全部的威胁防火墙是被动性的防御系统，用来防备已知的威胁，如果是一个很好的防火墙设计方案，就可以防备新的威胁，但没有一扇防火墙能自动防御所有新的威胁。防火墙不能防范病毒防火墙一般不能消除网络上的病毒、木马、广告插件等。,防火墙的局限性（二）,关于防火墙的争议,防火墙破坏了Internet端到端的特性，阻碍了新的应用的发展防火墙没有解决主要的安全问题，即网络内部的安全问题防火墙给人一种误解，降低了人们对主机安全的意识,防火墙的类型,1.个人防火墙是在操作系统上运行的软件，可为个人计算机提供简单的防火墙功能；大家常用的个人防火墙有：Norton Personal Firewall、天网个人防火墙、瑞星个人防火墙等；安装在个人PC上，而不是放置在网络边界，因此，个人防火墙关心的不是一个网络到另外一个网络的安全，而是单个主机和与之相连接的主机或网络之间的安全。,防火墙简单分类,2.软件防火墙个人防火墙也是一种纯软件防火墙，但其应用范围较小，且只支持Windows系统，功能相对来说要弱很多，并且安全性和并发连接处理能力较差；作为网络防火墙的软件防火墙具有比个人防火墙更强的控制功能和更高的性能。不仅支持Windows系统，并且多数都支持Unix或Linux系统。如十分著名的Check Point FireWall-1，Microsoft ISA Server 2004等 。,防火墙简单分类,3.一般硬件防火墙不等同于采用专用芯片的纯硬件防火墙，但和纯软件防火墙有很大差异 ；一般由小型的防火墙厂商开发，或者是大型厂商开发的中低端产品，应用于中小型企业，功能比较全，但性能一般；一般都采用PC架构（就是一台嵌入式主机），但使用的各个配件都量身定制 。,防火墙简单分类,其操作系统一般都采用经过精简和修改过内核的Linux或Unix，安全性比使用通用操作系统的纯软件防火墙要好很多，并且不会在上面运行不必要的服务，这样的操作系统基本就没有什么漏洞。但是，这种防火墙使用的操作系统内核一般是固定的，是不可升级的，因此新发现的漏洞对防火墙来说可能是致命的 ；国内自主开发的防火墙大部分都属于这种类型。,防火墙简单分类,4.纯硬件防火墙采用专用芯片（非X86芯片）来处理防火墙核心策略的一种硬件防火墙，也称为芯片级防火墙。（专用集成电路（ASIC）芯片或者网络处理器（NP）芯片）；最大的亮点：高性能，非常高的并发连接数和吞吐量；采用ASIC芯片的方法在国外比较流行，技术也比较成熟，如美国NetScreen公司的高端防火墙产品；国内芯片级防火墙大多还处于开发发展的阶段，采用的是NP技术。,防火墙简单分类,5.分布式防火墙前面提到的几种防火墙都属于边界防火墙（Perimeter Firewall），它无法对内部网络实现有效地保护；随着人们对网络安全防护要求的提高，产生了一种新型的防火墙体系结构分布式防火墙。近几年，分布式防火墙技术已逐渐兴起，并在国外一些大的网络设备开发商中得到实现，由于其优越的安全防护体系，符合未来的发展趋势，这一技术一出现就得到了许多用户的认可和接受。,防火墙简单分类,按部署位置分类按防火墙的应用部署位置分为边界防火墙、个人防火墙和混合式防火墙三大类。 按性能分类按防火墙性能分为百兆级防火墙和千兆级防火墙两类。目前还针对小企业用户（网络流量小、用户数量较少）生产出了桌面型防火墙。按概念分类按防火墙的应用部署位置分为网络层防火墙和应用层防火墙两大类。,防火墙其它分类,Internet,软件防火墙,硬件防火墙,按形态分类,按保护对象分类,Internet,保护整个网络,保护单台主机,网络防火墙,单机防火墙,防火墙其它分类,Internet,单机防火墙,网络防火墙,保护单台主机安全策略分散安全功能简单普通用户维护安全隐患较大策略设置灵活,保护整个网络安全策略集中安全功能复杂多样专业管理员维护安全隐患小策略设置复杂,单机防火墙&网络防火墙,Internet,硬件防火墙&软件防火墙,Internet,硬件防火墙,软件防火墙,仅获得Firewall软件，需要准备额外的OS平台安全性依赖低层的OS网络适应性弱（主要以路由模式工作）稳定性高软件分发、升级比较方便,硬件+软件，不用准备额外的OS平台安全性完全取决于专用的OS网络适应性强（支持多种接入模式）稳定性较高升级、更新不太灵活,防火墙体系结构,防火墙体系结构,筛选路由器结构双宿/多宿主机结构 (dual-homed / multi-homed)屏蔽主机网关结构 屏蔽子网网关结构,筛选路由器结构,防火墙最基本的构件。它一般作用在网络层（IP层），按照一定的安全策略，对进出内部网络的信息进行分析和限制，实现报文过滤功能。该防火墙优点在于速度快等，但安全性能差。,是用一台装有两块网卡的堡垒主机构成防火墙。堡垒主机上运行着防火墙软件，可以转发应用程序，提供服务等。内外网络之间的IP数据流被双宿主主机完全切断。用堡垒主机取代路由器执行安全控制功能。,双宿/多宿主机结构,双宿/多宿主机结构,一个双重宿主主机是一种防火墙，拥有两个连接到不同网络上的网络接口。例如，一个网络接口连到外部的不可信任的网络上，另一个网络接口连接到内部的可信任网络上这种防火墙的最大特点是IP层的通信是被阻止的，两个网络之间的通信可通过应用层数据共享或应用层代理服务来完成。一般情况下，人们采用代理服务的方法，能够为用户提供更为方便的访问手段。,双宿/多宿主机结构,特点主机的路由功能是被禁止的两个网络之间的通信通过应用层代理服务来完成如果一旦黑客侵入堡垒主机并使其具有路由功能，防火墙将变得无用,缺点：如何保护双宿主主机本身的安全,所有的通信必须经过双宿主主机,禁止内外网络之间直接通信,双宿/多宿主机结构,屏蔽主机防火墙由包过滤路由器和堡垒主机组成，堡垒主机配置在内部网络，包过滤路由器则放置在内部网络和外部网络之间。该防火墙系统提供的安全等级比前面两种防火墙系统要高，主要用于企业小型或中型网络。,屏蔽主机网关结构,屏蔽主机防火墙强迫所有的外部主机与一个堡垒主机相连，而不让它们直接与内部主机相连。在路由器上进行规则配置，使得外部系统只能访问堡垒主机，去往内部系统上其它主机的信息全部被阻塞。由于内部主机和堡垒主机处于同一个网络，内部系统是否允许直接访问Internet，或者是要求使用堡垒主机上的代理服务来访问，由机构的安全策略来决定。对路由器的过滤规则进行设置，使得其只接受来自堡垒主机的内部数据包，就可以强制内部用户使用代理服务,屏蔽主机网关结构,屏蔽子网防火墙是目前较流行的一种结构，采用了两个包过滤路由器和一个堡垒主机，在内外网络之间建立了一个被隔离的子网，定义为“非军事区”，有时也称作周边网，用于放置堡垒主机，WEB服务器、Mail服务器等公用服务器。内部网络和外部网络均可访问屏蔽子网，但禁止它们穿过屏蔽子网通信。在这一配置中，即使堡垒主机被入侵者控制，内部网仍受到内部包过滤路由器的保护。,屏蔽子网网关结构,DMZ （Demilitarized Zone）,中文名为“隔离区”，也称“非军事化区”。解决了安装防火墙后外部网络不能访问内部网络服务器的问题。该区域位于企业内部网络和外部网络之间的小网络区域内，在这个小网络区域内可以放置一些必须公开的服务器设施，如企业Web 服务器、FTP服务器和论坛等。通过这样一个DMZ区域，更加有效地保护了内部网络，因为这种网络部署，比起一般的防火墙方案，对攻击者来说又多了一道关卡。,DMZ,屏蔽子网网关结构,外部路由器拥有防范通常的外部攻击，并管理外部网到DMZ网络的访问，它只允许外部系统访问堡垒主机（还可能有信息服务器）内部路由器又称为阻塞路由器，位于内部网和DMZ之间，提供第二层防御，用于保护内部网络不受DMZ和Internet的侵害。它负责管理DMZ到内部网络的访问（只接受源于堡垒主机的数据包）以及内部网络到DMZ网络的访问。它执行了大部分的过滤工作。堡垒主机上则可以运行各种各样的代理服务器,案例：,防火墙技术,简单包过滤技术状态检测包过滤技术应用代理技术核检测技术,包过滤技术,包过滤（Packet filtering）工作在OSI网络参考模型的网络层和传输层，它根据数据包头源地址、目的地址、端口号和协议类型等标志确定是否允许通过。只有满足过滤条件的数据包才被转发到相应的目的地，其余数据包则被从数据流中丢弃。判断依据有(只考虑IP包)： IP源地址 IP目标地址 协议（TCP包、UDP包和ICMP包） TCP或UDP包的源端口 TCP或UDP包的目标端口 ICMP消息类型 TCP包头中的ACK位 数据包到达的端口 数据包出去的端口,过滤器的实现数据包过滤一般使用过滤路由器来实现，这种路由器与普通的路由器有所不同。普通的路由器只检查数据包的目标地址，并选择一个达到目的地址的最佳路径。它处理数据包是以目标地址为基础的，存在着两种可能性：若路由器可以找到一个路径到达目标地址则发送出去；若路由器不知道如何发送数据包则通知数据包的发送者“数据包不可达”。过滤路由器会更加仔细地检查数据包，除了决定是否有到达目标地址的路径外，还要决定是否应该发送数据包。“应该与否”是由路由器的过滤策略决定并强行执行的。,包过滤技术,（1）包过滤规则必须被存储作为包过滤设备的端口 （2）当数据包在端口到达时，包头被提取。同时包过滤设备检查IP，TCP，UDP等包头中的域。（3）包过滤规则以特定的次序被存储，每一规则按照被存储的次序作用于包。（4）如果一条规则阻止传输，包就被弃掉。（5）如果一条规则允许传输，包就被通过。（6）如果一个包不满足任意规则，它就被弃掉。,包过滤操作过程,第一代包过滤称为静态包过滤 根据定义好的过滤规则审查每个数据包，以便确定其是否与某一条包过滤规则匹配过滤规则是根据数据包的报头信息进行定义的“没有明确允许的都被禁止”。 典型包过滤防火墙的配置-在Cisco路由器配置ACL,例：RouterenableRouter#config terminalRouter(config)#access-list 11 deny Router(config)#access-list 11 permit 55Router(config)#access-list 11 deny anyRouter(config)#int f0/0Router(config-if)#ip address Router(config-if)#ip access-group 11 in Router(config-if)#exitRouter(config)#exitRouter#disableRouter,包过滤技术的优点,优越的通信性能仅在第三层进行数据包的过滤，可以通过硬件实现对用户来说是完全透明可以通过普通的路由器实现，节省投资,包过滤技术的缺点,包过滤准则非常复杂，在实现上非常困难，对包过滤准则难以进行检验包过滤技术对于高层的协议无法实现有效的过滤包过滤技术只能够实现基于主机和端口的过滤，无法实现针对用户和应用程序的过滤当网络安全的方案十分复杂时，不能用数据包过滤技术来单独解决,通过IP地址或TCP端口进行包过滤例子：假定防火墙所在的主机IP地址为，Email服务器的IP地址为，WEB服务器的IP地址为，以及DNS服务器的IP地址为， 代表内部网络,过滤规则举例,规则1：阻止防火墙本身发出任何网络连接规则2：不仅阻止防火墙与其他任何主机的连接，同时也阻止了与其自身的连接。规则3：允许内部用户访问外部计算机规则4：允许内部用户访问DNS服务器规则5：允许外部用户及内部用户使用SMTP协议端口号25访问Email服务器规则6：允许内部用户使用POPS协议端口号110访问Email服务器规则7：使外部及内部用户使用端口80访问WEB服务器规则8：这条清除规则拒绝了没有被前述规则明确允许的其他任何传输。,过滤规则举例,三种SYN/ACK位过滤方式SYN网关：SYN网关防火墙收到客户端的SYN包时，直接转发给服务器，防火墙收到服务器的SYN/ACK包后，一方面将SYN/ACK包转发给客户端，另一方面以客户端的名义给服务器回送一个ACK包，完成TCP的三次握手，让服务器端由半连接状态进入连接状态。当客户端真正的ACK包到达时，有数据则转发给服务器，否则丢弃该包。由于服务器能承受连接状态要比半连接状态高得多，所以能有效减轻DoS攻击被动式SYN网关：被动式SYN网关设置防火墙的SYN请求超时参数，让它远小于服务器的超时期限。防火墙负责转发客户端发往服务器的ACK包。这样，如果客户端在防火墙计时器到期时还没有发送ACK包，防火墙则往服务器发送RST包，以使服务器从队列中删除该半连接。由于防火墙的超时参数远小于服务器的超时期限，因此可以有效防止DoS攻击SYN中继防火墙： SYN中继防火墙在收到客户端的SYN包后，并不向服务器转发而是记录该状态信息然后主动给客户端回送SYN/ACK包，如果收到客户端的ACK包，表明是正常访问，由防火墙向服务器发送SYN包并完成三次握手。这样由防火墙作为代理来实现客户端和服务器的连接。,包过滤规则,状态检测技术是包过滤技术的延伸，使用各种状态表（state tables）来追踪活跃的TCP会话。由用户定义的访问控制列表（ACL）决定允许建立哪些会话（session），只有与活跃会话相关联的数据才能穿过防火墙。,状态检测技术,状态检测技术防火墙的工作过程1防火墙检查数据包是否是一个已经建立并且正在使用的通信流的一部分。2根据所使用的协议，决定对数据包的检查程度。3如果数据包和连接表的各项都不匹配，那么防火墙就会检测数据包是否与它所配置的规则集相匹配。4在数据包检测后，防火墙就会将该数据包转发到它的目的地址，并且防火墙会在其连接表中为此次对话创建或者更新一个连接项，防火墙将使用这个连接项对返回的数据包进行校验。,5防火墙通常对TCP包中被设置的FIN位进行检测或者通过使用计时器来决定何时从连接表中删除某连接项。 状态检测是比包过滤更为有效的安全控制方法。,案例：,R(config)#access-list 101 permit icmp 55 55 echo R(config)#int f0/0Router(config-if)#ip access-group 101 out,f0/0,R(config)#access-list 101 permit tcp 55 55 established R(config)#access-list 101 deny tcp 55 55 R(config)#access-list 101 permit tcp any anyR(config)#int f0/0Router(config-if)#ip access-group 101 in,基本思想在两个网络之间设置一个“中间检查站”，两边的网络应用可以通过这个检查站相互通信，但是它们不能越过它直接通信。这个“中间检查站”就是代理服务器，它运行在两个网络之间，对网络之间的每一个请求进行检查。代理技术可以在不同的网络层次上进行。主要的实现层次在应用层和传输层，分别称为应用级代理和电路级代理。它们的工作原理有所不同。,代理技术,代理技术,代表企业内部网络和外界打交道的服务器不允许存在任何网络内外的直接连接提供公共和专用的DNS、邮件服务器等多种功能代理服务器重写数据包时会修改一些数据,代理技术的工作层次,代理服务技术工作于OSI模型的应用层代理服务技术支持对高层协议的过滤代理服务中可以做到基于用户的认证也叫应用层网关（Application Gateway）防火墙代理技术可以隐藏内部网结构,优点 实现基于用户级的身份认证和访问控制 提供非常详细的日志功能 使用第三方的身份认证系统和日志记录系统 具有内部地址的屏蔽及转换功能 简化包过滤规则的设定,缺点 代理技术需要对每一种网络服务都必须有特定的服务代 理，十分烦琐和不便 代理版本总是落后于现实环境 代理技术使网络的性能受到影响,代理技术特点,包过滤防火墙和代理防火墙技术特点,基本原理来自网络的数据包经底层网络设备到达本地主机后，在操作系统内核进行了高层应用协议的还原。在会话检测方面，当客户端发起一个访问请求提交给防火墙以后，防火墙可以模拟成服务器端在必要的时候利用内核对高层协议进行还原，并与预先制定的安全策略进行匹配，如果符合就将数据重新封包转发给服务器，同样对于服务器返回的数据信息也是经过上述过程转发给客户端。应用核检测技术的防火墙在操作系统内核模拟出典型的应用层协议，在内核实现了对应用层协议的过滤。,核检测技术,核检测防火墙设计结构,路由模块,透明模块,规则检查,还原模块,FTP 还原,HTTP 还原,SMTP 还原,POP3 还原,日志守护进程,病毒守护进程,应用层日志,病毒,应用层过滤,Kernel,Application,00101010101010,11110010101001,11101010101011,连接表,在操作系统内核完成应用协议的还原，极大的提高了系统的整体性能,基于内核的会话检测技术,,Clint,69,70,010101001010000111110000010010101001010010010110010010,协议还原模块协议还原模块,输入队列,输入队列,底层驱动,010101001010000111110000010010101001010010010110010010,符合安全策略？,符合安全策略？,防火墙逻辑图,010100101001010010,010100101001010010,010100101001010010,010100101001010010,010100,010101,发起请求,响应请求,虚拟客户端,虚拟服务器端,在操作系统内核模拟出典型的应用层协议，在内核实现对应用层协议的过滤，从而得到极高的性能,优点与传统防火墙的核心技术相比核检测技术的优点在于：对于应用传统技术的防火墙，每当接收到数据包将其传给系统核心，系统核心再将其传递给应用层的防火墙程序进行检查和还原，如果符合安全策略，则将数据又转发给系统核心，由系统核心再将其转发出去。在这个过程中，要在系统核心和应用层之间进行频繁的数据拷贝和进程切换，耽误了时间，如果此时存在大量的并发连接（会话），也会生成很多进程，这样就会消耗掉宝贵的系统资源，极大影响了防火墙的性能。而对于核检测技术防火墙接收到数据包以后，由操作系统核心的还原模块和高层的过滤模块对数据进行处理，完毕后再由系统核心对其进行转发。这样就省下了频繁的数据拷贝与进程切换的时间，尤其在存在大量并发连接的情况下也不会产生大量进程，与传统技术相比极大提高了系统性能。,核检测技术,101001010111000010101000011,101001010111000010101000011,110100000001100000001111,1001001000100100001001111,10001101001001001001001,010,010,进行规则匹配、应用层过滤频繁在系统核心和应用层之间切换消耗掉大量的系统资源生成大量的进程影响防火墙的性能,应用层,系统核心,101001010111000010101000011,101001010111000010101000011,1001000100100001001111,10001101001001001001001,010,010,直接在系统核心进行应用层过滤不需要频繁在系统核心和应用层之间切换在大量并发情况下不会生成大量进程，有效的保护系统资源大大提高会话检测的效率,应用层,系统核心,基于内核 的会话检测技术,几种常见防火墙技术对比比较,应用层,表示层,会话层,传输层,网络层,链路层,物理层,应用层,表示层,会话层,传输层,网络层,链路层,物理层,网络层,链路层,物理层,优点： 速度快，性能高 对应用程序透明,缺点： 安全性低 不能根据状态信息进行控制 不能处理网络层以上的信息 伸缩性差 维护不直观,简单包过滤技术介绍,应用层,TCP 层,IP 层,网络接口层,IP,101010101,TCP,ETH,101010101,应用层,TCP 层,IP 层,网络接口层,101010101,只检查报头,101001001001010010000011100111101111011,001001001010010000011100111101111011,简单包过滤 防火墙的工作原理,简单包过滤防火墙不检查数据区简单包过滤防火墙不建立连接状态表前后报文无关应用层控制很弱,应用层,表示层,会话层,传输层,网络层,链路层,物理层,应用层,表示层,会话层,传输层,网络层,链路层,物理层,状态检测技术介绍,应用层,表示层,会话层,传输层,网络层,链路层,物理层,安全性高能够检测所有进入防火墙网关的数据包根据通信和应用程序状态确定是否允许包的通行性能高在数据包进入防火墙时就进行识别和判断伸缩性好可以识别不同的数据包已经支持160多种应用，包括Internet应用、数据库应用、多媒体应用等用户可方便添加新应用对用户、应用程序透明,抽取各层的状态信息建立动态状态表,应用层,TCP 层,IP 层,网络接口层,IP,101010101,TCP,ETH,101010101,应用层,TCP 层,IP 层,网络接口层,101010101,只检查报头,101001001001010010000011100111101111011,001001001010010000011100111101111011,状态检测包过滤 防火墙的工作原理,不检查数据区建立连接状态表前后报文相关应用层控制很弱,建立连接状态表,应用层,表示层,会话层,传输层,网络层,链路层,物理层,应用层,表示层,会话层,传输层,网络层,链路层,物理层,应用代理技术介绍,应用层,表示层,会话层,传输层,网络层,链路层,物理层,优点： 安全性高 提供应用层的安全,缺点： 性能差 伸缩性差 只支持有限的应用 不透明,FTP,HTTP,SMTP,应用层,TCP 层,IP 层,网络接口层,IP,101010101,TCP,ETH,101010101,应用层,TCP 层,IP 层,网络接口层,101010101,只检查数据,101001001001010010000011100111101111011,001001001010010000011100111101111011,应用代理 防火墙的工作原理,不检查IP、TCP报头不建立连接状态表网络层保护比较弱,应用层,TCP 层,IP 层,网络接口层,IP,开始攻击,TCP,ETH,开始攻击 主服务器 硬盘数据,应用层,TCP 层,IP 层,网络接口层,开始攻击 主服务器 硬盘数据,检查多个报文组成的会话,101001001001010010000011100111101111011,001001001010010000011100111101111011,核检测 防火墙的工作原理,建立连接状态表,开始攻击,重写会话,主服务器,硬盘数据,报文1,报文2,报文3,网络层保护强应用层保护强会话保护很强上下文相关前后报文有联系,防火墙核心技术比较,单个包报头,单个包报头,单个包数据,一次会话,防火墙功能,Host C,Host D,访问控制功能,Access list to Access nat to any pass Access to blockAccess default pass,1010010101,规则匹配成功,基于源IP地址 基于目的IP地址 基于源端口 基于目的端口 基于时间基于用户 基于流量 基于文件 基于网址 基于MAC地址,Internet,RADIUS服务器,S/KEY 认证服务器,RADIUS服务器,TACAS+ 服务器,chenaifeng,12354876,防火墙将认证信息传给真正的RADIUS服务器,将认证结果传给防火墙,根据认证结果决定用户对资源的访问权限,身份认证功能,审计功能-日志分析,无日志通信日志：即传统日志通信源地址、目的地址、源目端口、通信时间、通信协议、字节数、是否允许通过应用层命令日志：在通信日志的基础之上，记录下各个应用层命令及其参数。例如HTTP请求及其要取的网页名。访问日志：即在通信日志的基础之上，记录下用户对网络资源的访问。它和应用层命令日志的区别是：应用层命令日志可以记录下大量的数据，有些用户可能不需要，如协商通信参数过程等。例如针对FTP协议，访问日志只记录下读、写文件的动作 内容日志：即在应用层命令日志的基础之上，还记录下用户传输的内容。如用户发送的邮件，用户取下的网页等。但因为这个功能涉及到隐私问题，所以在普通的防火墙中没有包含 Firewall 5G 对所有的应用层协议都可以进行通信日志，而命令日志、访问日志、内容日志目前支持HTTP、FTP、SMTP、POP3、TELNET、RSH、RLOGIN等协议 日志分析工具自动产生各种报表，智能化的指出网络可能的安全漏洞,,Clint,,响应请求,发送请求,通信日志,通信日志,通信信息,69,70,初步审计-通信日志,,Client,,响应请求,发送请求,命令日志,命令日志,69,70,深度审计1-应用层命令日志,命令信息,,Clint,,响应请求,发送请求,访问日志,访问日志,69,70,深度审计2-访问日志,访问信息,,Clint,,响应请求,发送请求,内容日志,内容日志,69,70,深度审计3-内容日志,内容信息,支持集中审计,安全审计中心,1010101,Intranet,灵活的带宽管理功能,WWW,Mail,DNS,出口带宽 512K,DMZ 区保留 256K,分配 70K 带宽,分配 90K 带宽,分配 96K 带宽,DMZ 区域,内部网络,总带宽512 K,内网256 K,DMZ 256 K,70 K,90 K,96 K,+,+,+,财务子网,采购子网,生产子网,财务子网,采购子网,生产子网,Internet,WWW 1,WWW 2,WWW 3,服务器负载均衡功能,负载均衡算法：顺序选择地址+权值根据PING的时间间隔来选择地址+权值根据Connect的时间间隔来选择地址+权值根据Connect然后发送请求并得到应答的时间间隔来选择地址+权值,,根据负载均衡算法将数据重定位到一台WWW服务器,服务器阵列,响应请求,受保护网络,Internet,IDS,黑客,发送通知报文,验证报文并采取措施,发送响应报文,识别出攻击行为,阻断连接或者报警等,联动功能1- 与IDS 的安全联动,能与国内30多家主流IDS产品进行无缝联动,联动功能2-与病毒网关的安全联动,Internet,110010101,病毒服务器,100010101,000010101,待发数据,110010101,100010101,000010101,110010101,100010101,000010101,pass,pass,无病毒转发最后一个报文，如带有病毒则丢弃最后一个报文,协议还原 检查病毒,没有发现病毒可以放过最后一个报文,接收数据,接收数据,内部网络,Internet,,URL 服务器,可以访问 吗？,Ok!,联动功能3-与URL服务器的安全联动,Internet,Host B,,Host C,,Host D,,00-50-04-BB-71-A6,00-50-04-BB-71-BC,BIND To 00-50-04-BB-71-A6,BIND To 00-50-04-BB-71-BC,IP与MAC地址绑定后，不允许Host B假冒Host A的IP地址上网,防火墙允许Host A上网,跨路由器,IP与MAC（用户）绑定功能,Internet,公开服务器可以使用私有地址 隐藏内部网络的结构,,,,MAP ：80 TO ：80,MAP ：21 TO ：21,MAP ：53 TO ：53,MAP ：25 TO ：25,,,MAP (端口映射)功能,受保护网络,Host C,Host D,1,5,源地址：1目地址：4,源地址：目地址：4,,隐藏了内部网络的结构 内部网络可以使用私有IP地址 公开地址不足的网络可以使用这种方式提供IP复用功能,NAT (地址转换)功能,分布式防火墙,传统防火墙都是设置在网络边界上的，即在内部网和外部网之间构成一个屏障，进行网络存取控制，所以称这种类型的防火墙为边界防火墙（Perimeter Firewall）。 传统边界式防火墙缺点： 1网络应用受到结构性限制 2内部安全隐患仍在 3效率较低和故障率高