计算机网络安全第七章(防火墙)

2/2/2018 3:30:26 PM,1/87,防火墙,基本概念防火墙的类型防火墙的体系结构防火墙功能防火墙产品,2/2/2018 3:30:26 PM,2/87,基本概念,安全需求防火墙的定义防火墙的功能防火墙的实现,防火墙的安全策略防火墙的局限性防火墙的性能防火墙的发展过程,目录,2/2/2018 3:30:26 PM,3/87,企业网络的现状,目录基本概念,5 之 1,Mobile用户,Internet用户,Internet,企业网络,企业分公司,商业伙伴,危机四伏,2/2/2018 3:30:26 PM,4/87,常见威胁,目录基本概念,5 之 2,粗心大意或不满的员工 例如：社交工程攻击(Social Engineering)。扬名攻击恶性程序(Malware) 例如：计算机病毒、特洛伊木马等。恶性的商业竞争电脑黑客(Hacker),2/2/2018 3:30:26 PM,5/87,常见威胁,目录基本概念,5 之 3,端口扫描 (Port Scanning),Web Server,Attacker,Port Scan,Port Service 20?closed 21?FTP 22?closed 23?closed 24?closed 25?SMTP,2/2/2018 3:30:26 PM,6/87,常见威胁,目录基本概念,5 之 4,拒绝服务攻击(Denial of Service Attacks)磁盘空间(Disk Space)网络带宽(Bandwidth)缓冲区(Buffers)CPU时间(CPU Cycles Usage),2/2/2018 3:30:26 PM,7/87,安全的建议,目录基本概念,5 之 5,妥善的配置完善的管理持续的审核,安全的环境,配置,管理,审核,2/2/2018 3:30:26 PM,8/87,什么是防火墙,目录基本概念,5 之 1,防火墙的本义原是指古代人们房屋之间修建的那道墙，这道墙可以防止发生火灾的时候蔓延到别的房屋。,2/2/2018 3:30:26 PM,9/87,什么是防火墙,目录基本概念,5 之 2,I T 领域使用的防火墙是一种高级访问控制设备，置于不同网络安全域之间的一系列部件的组合，它是不同网络安全域间通信流的唯一通道，能根据企业有关的安全政策控制（允许、拒绝、监视、记录）进出网络的访问行为。,两个安全域之间通信流的唯一通道,安全域1,Host A,Host B,安全域2,Host C,Host D,根据访问控制规则决定进出网络的行为,2/2/2018 3:30:26 PM,10/87,防火墙的定义,目录基本概念,5 之 3,防火墙是指设置在不同网络（如可信任的企业内部网和不可信的公共网）或网络安全域之间的一系列部件的组合。它是不同网络或网络安全域之间信息的唯一出入口，能根据企业的安全政策控制（允许、拒绝、监测）出入网络的信息流，且本身具有较强的抗攻击能力。它是提供信息安全服务，实现网络和信息安全的基础设施。,2/2/2018 3:30:26 PM,11/87,防火墙示意图,目录基本概念,5 之 4, 企业内联网(Intranet), 部门子网, 分公司网络,Internet,2/2/2018 3:30:26 PM,12/87,防火墙典型应用,目录基本概念,5 之 5,进行访问规则检查,发起访问请求,合法请求则允许对外访问,将访问记录写进日志文件,合法请求则允许对内访问,发起访问请求,Internet 区域,Internet,边界路由器,防火墙在此处的功能：1、工作子网与外部子网的物理 隔离2、访问控制3、对工作子网做NAT地址转换4、日志记录,2/2/2018 3:30:26 PM,13/87,防火墙的主要功能,目录基本概念,2 之 1,防火墙的功能,过滤进出网络的数据,管理进出网络的访问行为,封堵某些禁止的业务,记录进出网络的信息和活动,对网络攻击进行检测和告警,2/2/2018 3:30:26 PM,14/87,防火墙的功能模块,目录基本概念,2 之 2,应用程序代理,包过滤&状态检测,用户认证,NAT,VPN,日志,IDS与报警,内容过滤,2/2/2018 3:30:26 PM,15/87,防火墙的实现,目录基本概念,软件防火墙 软件防火墙提供防火墙应用软件，需要安装在一些公共的操作系统上，例如：Windows、UNIX，此类防火墙如Checkpoint防火墙。硬件防火墙 是将防火墙软件安装在专用的硬件平台和专有操作系统（有些硬件防火墙甚至没有操作系统）之上，以硬件形式出现，有的还使用一些专有的ASIC硬件芯片负责数据包的过滤。这样可以减少系统的漏洞，性能更好，是比较常用的方式，例如：Cisco的PIX防火墙。,2/2/2018 3:30:26 PM,16/87,防火墙的安全策略,目录基本概念,一切未被允许的就是禁止的 防火墙首先封锁所有信息流，然后对希望提供的服务逐项开放。这是一种非常使用的方法，可以造成一种十分安全的环境。其弊端是：用户的方便性受到影响，所能使用的服务范围受到严格限制。 一切未被禁止的就是允许的 防火墙首先转发所有信息流，然后逐项屏蔽可能有害的服务。这种方法构成了一种更为灵活的应用环境。其弊端是：在日益增多的网络服务前，网管人员疲于奔命，特别是在受保护的网络范围增大时，很难提供可靠的安全保护。,2/2/2018 3:30:26 PM,17/87,防火墙的局限性,目录基本概念,防火墙不能防御内部攻击 因为来自内部的攻击者是从网络内部发起攻击的，他们的所有攻击行为都不通过防火墙。 防火墙不能防御绕过防火墙的攻击 因为防火墙是一种被动的防御手段，只能守株待兔地对通过它的数据进行检查。 防火墙不能防御不断更新的攻击 因为防火墙制定的安全策略是在已知的攻击模式下制定的，所以对全新的攻击方式缺少阻止功能。 防火墙不能防御数据驱动的攻击 例如：病毒可以附加在诸如电子邮件之类的东西上面进入你的系统中并发动攻击。,2 之 1,2/2/2018 3:30:26 PM,18/87,例 子内部提供拨号服务绕过防火墙,目录基本概念,2 之 2,2/2/2018 3:30:26 PM,19/87,一对矛盾,目录基本概念,4 之 1,防火墙是网络开放性和安全控制性矛盾对立的产物。一方面网络的优势是它的互联互通性，用户希望快速顺畅地访问网站、收发电子邮件等；另一方面，网络也是不安全的，所以需要使用防火墙对网络进行控制，添加安全规则，让用户通过登录来完成访问授权，可这样会使用户感到烦琐，而且需要检查的安全规则越多，网络性能就会越差。所以防火墙的访问效率和安全需求是一对矛盾，应该努力寻找平衡。,2/2/2018 3:30:26 PM,20/87,防火墙的性能指标,目录基本概念,4 之 2,吞吐量 指防火墙在不丢失数据包的情况下能达到的最大的转发数据包的速率。该指标反映了防火墙转发包的能力，对网络性能影响很大，是一项非常重要的指标。 时延 对存储转发设备（例如：路由器），是指从入口处进入的输入帧的最后一个比特到达，到从出口发出的输出帧的第一个比特输出所用的时间间隔。该指标能够衡量出防火墙处理数据的快慢。,2/2/2018 3:30:26 PM,21/87,防火墙的性能指标,目录基本概念,4 之 3,丢包率 指防火墙设备由于资源不足应转发但却未转发的帧所占的百分比。该指标是衡量防火墙设备稳定性和可靠性的重要指标。 背对背 指从空闲状态开始，以达到传输介质最小合法间隔极限的传输速率发送相当数量的固定长度的帧，当出现第一个帧丢失时所发送的帧数。该指标的测试结果能够反映出防火墙设备的缓存能力、对网络突发数据流量的处理能力。,2/2/2018 3:30:26 PM,22/87,防火墙的性能指标,目录基本概念,4 之 4,并发连接数 指穿透防火墙的主机之间或主机与防火墙之间能同时建立的最大连接数，该指标的测试主要用来测试被防火墙建立和维持TCP连接的性能，通过也能够通过该指标的大小体现防火墙对来自客户端TCP连接请求的响应能力。,2/2/2018 3:30:26 PM,23/87,防火墙的发展过程,目录基本概念,5 之 1,基于路由器的防火墙,基于安全操作系统的防火墙,基于通用操作系统的防火墙,防火墙工具套,利用路由器本身对分组的解析,进行分组过滤；过滤判断依据：IP地址、端口号及其它网络特征；防火墙与路由器合为一体，只有过滤功能；适用于对安全性要求不高的网络环境。,2/2/2018 3:30:26 PM,24/87,防火墙的发展过程,目录基本概念,5 之 2,基于路由器的防火墙,基于安全操作系统的防火墙,基于通用操作系统的防火墙,防火墙工具套,将过滤功能从路由器中独立出来，并加上审计和告警功能；针对用户需求，提供模块化的软件包；软件可通过网络发送，用户可根据需要构造防火墙；与第一代相比，安全性提高了，价格降低了。,2/2/2018 3:30:26 PM,25/87,防火墙的发展过程,目录基本概念,5 之 3,基于路由器的防火墙,基于安全操作系统的防火墙,基于通用操作系统的防火墙,防火墙工具套,是批量上市的专用防火墙产品；包括分组过滤或者借用路由器的分组过滤功能；装有专用的代理系统，监控所有协议的数据和指令；保护用户编程空间和用户可配置内核参数的设置；安全性和速度大为提高。,2/2/2018 3:30:26 PM,26/87,防火墙的发展过程,目录基本概念,5 之 4,基于路由器的防火墙,基于安全操作系统的防火墙,基于通用操作系统的防火墙,防火墙工具套,防火墙厂商具有操作系统的源代码，并可实现安全内核；去掉了不必要的系统特性，加固内核，强化安全保护；在功能上包括了分组过滤、应用网关、电路级网关；增加了许多附加功能：加密、鉴别、审计、NAT转换；透明性好，易于使用。,2/2/2018 3:30:26 PM,27/87,发展趋势,优良的性能可扩展的结构和功能简化的安装与管理主动过滤防病毒与防黑客,目录基本概念,2/2/2018 3:30:26 PM,28/87,防火墙的类型,目录,代理型防火墙应用级网关防火墙电路级网关防火墙包过滤型防火墙静态包过滤防火墙状态监测型防火墙,2/2/2018 3:30:26 PM,29/87,应用级网关防火墙,目录防火墙的类型,6 之 1,Application Filter,TCP/UDP,IP,TCP/UDP,IP,2/2/2018 3:30:26 PM,30/87,工作原理,目录防火墙的类型,6 之 2,应用级网关防火墙（Application Gateway）通常也称为应用代理服务器（ Application Proxy Server），通过控制应用层服务，起到外部网络向内部网络或内部网络向外部网络申请服务时的转接作用。 工作过程为：当外部网络向内部网络请求服务时，首先对用户的身份进行验证，若为合法用户，则将请求转发给真正的某个内部网络的主机，同时监控用户的操作，拒绝不合法的访问；当内部网络向外部网络申请服务时，应用代理服务器工作过程只好相反。,2/2/2018 3:30:26 PM,31/87,示意图,目录防火墙的类型,6 之 3,Intranet,proxy客户端,proxy服务器,防火墙,Internet,真正的服务器,外部主机,真正的服务器,内部主机,proxy客户端,外部PC,内部PC,2/2/2018 3:30:26 PM,32/87,例 子,目录防火墙的类型,6 之 4,Intranet,Internet,防火墙（应用级代理）,外部Web服务器,内部Web客户机,(a) 过滤URL地址,(b) 登录和审核使用者,(c) 搜索缓存内容,(1) Get URL Page,(2) Get URL Page,(d) 网页内容过滤,(e) 存储于缓存空间,(1-1) URL Page,(3) URL Page,(4) URL Page,2/2/2018 3:30:26 PM,33/87,特 点,目录防火墙的类型,6 之 5,优点易于配置，界面友好；不允许内外网主机的直接连接；可以提供比包过滤更详细的日志记录，例如在一个HTTP连接中，包过滤只能记录单个的数据包，无法记录文件名、URL等信息；可以隐藏内部IP地址；可以给单个用户授权；可以为用户提供透明的加密机制；可以与认证、授权等安全手段方便的集成。缺点代理速度比包过滤慢；代理对用户不透明，给用户的使用带来不便，灵活性不够；需要针对每种协议设置一个不同的代理服务器。,2/2/2018 3:30:26 PM,34/87,一些实现,目录防火墙的类型,6 之 6,商业版防火墙产品商业版代理(cache)服务器Open SourceTIS FWTK(Firewall toolkit)ApacheSquid,2/2/2018 3:30:26 PM,35/87,电路级网关防火墙,目录防火墙的类型,6 之 1,FTP Client,TCP,IP,网络接口层,IP,FTP Server,TCP,IP,TCP,TCP,Gateway,FTP Protocol,网络接口层,网络接口层,外部网络主机,内部网络主机,电路级网关防火墙,2/2/2018 3:30:26 PM,36/87,工作原理,电路级网关防火墙（Circuit Level Gateway）是一个通用代理服务器。它工作在TCP/IP协议的传输层（TCP），可以对各种不同的应用协议提供服务，但这种代理需要改进客户程序。而应用层代理只能为一种特定的服务（如FTP和Telnet等）提供代理服务。 它接受客户端的连接请求，代理客户端完成网络连接，建立起一个回路，对数据包起转发作用，数据包被提交给用户的应用层来处理。通过电路级网关传递的数据起源于防火墙，隐藏了被保护网络的信息。,目录防火墙的类型,6 之 2,2/2/2018 3:30:26 PM,37/87,示意图,不允许进行端-端的TCP连接，而是建立两个TCP连接：一个在网关和内部主机上的TCP用户程序之间；另一个在网关和外部主机的TCP用户程序之间。一旦建立两个连接，电路级网关防火墙只是把TCP数据包从一个连接转送到另一个连接中去而不检验其中的内容。其安全功能就是确定哪些连接是允许的。,目录防火墙的类型,6 之 3,2/2/2018 3:30:26 PM,38/87,例 子,目录防火墙的类型,6 之 4,Intranet,Internet,防火墙（电路级代理）,外部使用者,内部服务器,TCP Connect Request,TCP Connect Ack,TCP Data Request,TCP Data Ack,TCP Connect Ack,TCP Connect Request,TCP Data Request,TCP Data Ack,2/2/2018 3:30:26 PM,39/87,特 点,目录防火墙的类型,6 之 5,优点 它能对各种不同的协议提供服务。缺点 它对因代理而发生的情况几乎不加控制。,2/2/2018 3:30:26 PM,40/87,一些实现,目录防火墙的类型,6 之 6,SocksWinsockDante,2/2/2018 3:30:26 PM,41/87,静态包过滤防火墙,目录防火墙的类型,应用层,传输层,IP层,数据链路层,物理层,物理层,数据链路层,IP层,应用层,传输层,IP层,数据链路层,物理层,外部网络主机,内部网络主机,包过滤型防火墙,6 之 1,2/2/2018 3:30:26 PM,42/87,工作原理,目录防火墙的类型,包过滤（Packet Filtering）技术是防火墙在网络层中根据数据包中包头信息有选择地实施允许通过或阻断。 防火墙依据事先设定的过滤规则（静态规则），检查数据流中每个数据包头部，根据数据包的源IP地址、目的IP地址、TCP/UDP源端口号、 TCP/UDP目的端口号、协议类型、各种标志位等因素来确定是否允许数据包通过。只有满足过滤规则的数据包才被转发，其余数据包则被从数据流中丢弃。,6 之 2,2/2/2018 3:30:26 PM,43/87,示意图,目录防火墙的类型,6 之 3,安全网域,Host C,Host D,数据包,数据包,数据包,数据包,数据包,查找对应的过滤规则,拆开数据包,根据规则决定如何处理该数据包,过滤规则,数据包,过滤依据主要是TCP/IP报头里面的信息，不能对应用层数据进行处理。,数据,TCP报头,IP报头,包过滤判断信息,2/2/2018 3:30:26 PM,44/87,例 子,目录防火墙的类型,ICMP,HTTP,FTP,SMTP,过滤规则,6 之 4,2/2/2018 3:30:26 PM,45/87,特 点,目录防火墙的类型,优点 逻辑简单，价格便宜，对网络性能的影响较小，有较强的透明性。并且它的工作与应用层无关，无须改动任何客户机和主机上的应用程序，易于安装和使用。 缺点 配置需要对IP、TCP、UDP、ICMP等各种协议有深入的了解，否则容易出现因配置不当带来的问题；由于过滤判别的只有网络层和传输层的有限信息，因而各种安全要求不能得到充分满足；由于数据包的地址及端口号都在数据包的头部，不能彻底防止地址欺骗；允许外部客户和内部主机的直接连接；不提供用户的鉴别机制。,6 之 5,2/2/2018 3:30:26 PM,46/87,一些实现,目录防火墙的类型,6 之 6,商业版防火墙产品个人防火墙路由器Open Source SoftwareIpfilter (FreeBSD、OpenBSD、Solaris )Ipfw (FreeBSD)Ipchains (Linux 2.0.x/2.2.x)Iptables (Linux 2.4.x),2/2/2018 3:30:26 PM,47/87,状态检测型防火墙,目录防火墙的类型,状态检测（Stateful Inspection）型防火墙安全特性非常好，它采用了一个在网关上执行网络安全策略的软件引擎，称之为检测模块。检测模块在不影响网络正常工作的前提下，采用抽取相关数据的方法对网络通信的各层实施监测；抽取部分数据（即状态信息），并动态地保存起来作为以后指定安全决策的参考。 状态检测技术能在网络层实现所有需要的防火墙能力，它既有包过滤机制的速度和灵活，也有应用级网关安全的优点，它是包过滤器和应用级网关功能的折衷。,3 之 1,2/2/2018 3:30:26 PM,48/87,示意图,目录防火墙的类型,3 之 2,安全网域,Host C,Host D,数据包,数据包,数据包,数据包,数据包,查找对应的控制策略,拆开数据包,根据策略决定如何处理该数据包,数据包,状态检测可以结合前后数据包里的数据信息进行综合分析决定是否允许该包通过。,包过滤判断信息,状态检测,控制策略,2/2/2018 3:30:26 PM,49/87,特 点,目录防火墙的类型,优点检测模块支持多种协议和应用程序，并可以很容易地实现应用和服务的扩充；它会监测RPC和UDP之类的端口信息，而包过滤和代理网关都不支持此类端口；性能坚固。 缺点配置非常复杂；会降低网络的速度。,3 之 3,2/2/2018 3:30:26 PM,50/87,防火墙的体系结构,双宿主机模式屏蔽主机模式屏蔽子网模式,目录,2/2/2018 3:30:26 PM,51/87,双宿主机模式,目录防火墙的体系结构,双宿主机（Dual-Homed Host）防火墙围绕具有双重宿主的计算机（堡垒主机：Bastion Host）构筑，堡垒主机至少有两个网络接口，分别连接到Internet和内部网络。 这种防火墙的特点是：堡垒主机的路由功能是被禁止的，两个网络之间不能直接互相通信，它们之间的通信通过应用层代理服务来完成。,3 之 1,2/2/2018 3:30:26 PM,52/87,结构图,目录防火墙的体系结构,Intranet,Dual-homedHost,防火墙,两块网卡,Internet,3 之 2,2/2/2018 3:30:26 PM,53/87,示意图,目录防火墙的体系结构,Intranet,Internet,禁止内外网络之间直接通信,双宿主主机,通过应用代理 通过登录到双宿主机上获得服务,缺点：如何保护双宿主机本身的安全。,所有的通信必须经过双宿主机,3 之 3,2/2/2018 3:30:26 PM,54/87,屏蔽主机模式,目录防火墙的体系结构,屏蔽主机（Screened Host）防火墙由包过滤路由器和堡垒主机组成，堡垒主机位于内部网络中，而包过滤路由器则放置在内部网络和外部网络之间。在路由器上设置相应的规则，使得外部网络只能访问堡垒主机。由于内部主机与堡垒主机处于同一个网络，内部系统是否允许直接访问外部网络，或者是要求使用堡垒主机上的代理服务来访问外部网络完全由企业的安全策略来决定。 屏蔽主机防火墙实现了网络层安全（包过滤）和应用层安全（代理服务）的结合，因此比单独的包过滤或应用网关代理更安全。但包过滤路由器是否配置正确是这种防火墙安全与否的关键，如果路由表遭到破坏，堡垒主机就可以被越过，使内部网络完全暴露。,3 之 1,2/2/2018 3:30:26 PM,55/87,结构图,目录防火墙的体系结构,3 之 2,Intranet,堡垒主机,防火墙ScreenedHost,内部主机,Internet,2/2/2018 3:30:26 PM,56/87,示意图,目录防火墙的体系结构,3 之 3,堡垒主机,进行规则配置，只允许外部主机与堡垒主机通讯,Internet,对内部其他主机的访问必须经过堡垒主机,缺点： 堡垒主机与其他主机在同一个子网，一旦堡垒主机被攻破或被越过，整个内网和堡垒主机之间就再也没有任何阻挡。,不允许外部主机直接访问除堡垒主机之外的其他主机,过滤器,2/2/2018 3:30:26 PM,57/87,屏蔽子网模式,目录防火墙的体系结构,屏蔽子网（Screened Subnet）防火墙是目前较流行的一种结构，采用了两个包过滤路由器和一个堡垒主机，在内外网络之间建立了一个被隔离的子网，定义为“非军事区” （DeMilitarised Zone，DMZ） ，有时也称作周边网，用于放置堡垒主机，WEB服务器、Mail服务器等公用服务器。内部网络和外部网络均可访问屏蔽子网，但禁止它们穿过屏蔽子网通信。在这一配置中，即使堡垒主机被入侵者控制，内部网仍受到内部包过滤路由器的保护。,7 之 1,2/2/2018 3:30:26 PM,58/87,结构图,目录防火墙的体系结构,7 之 2,Intranet,堡垒主机,外部路由器,DMZ,内部路由器,防火墙,Web服务器,2/2/2018 3:30:26 PM,59/87,示意图,目录防火墙的体系结构,7 之 3,Intranet,Internet,堡垒主机,内部过滤路由器,外部过滤路由器,禁止内外网络直接进行通讯,内外部网络之间的通信都经过堡垒主机,2/2/2018 3:30:26 PM,60/87,变 化,根据堡垒主机和包过滤路由器的各种组合，基于屏蔽子网防火墙系统可以衍生出： 合并外部路由器和堡垒主机,目录防火墙的体系结构,7 之 4,2/2/2018 3:30:26 PM,61/87,变 化,目录防火墙的体系结构,7 之 5,合并内部路由器和外部路由器,2/2/2018 3:30:26 PM,62/87,变 化,目录防火墙的体系结构,7 之 6,使用多台堡垒主机,2/2/2018 3:30:26 PM,63/87,变 化,目录防火墙的体系结构,7 之 7,使用多台外部路由器,2/2/2018 3:30:26 PM,64/87,灵活的访问控制,目录,HostC,HostD,数据包,数据包,数据包,数据包,数据包,查找对应的控制策略,拆开数据包进行分析,根据策略决定如何处理该数据包,数据包,控制策略,基于源IP地址 基于目的IP地址 基于源端口 基于目的端口 基于时间 基于IP标志 基于用户 基于流量,可以灵活的制定控制策略,19 之 1,2/2/2018 3:30:26 PM,65/87,基于时间的控制,目录,HostC,HostD,在防火墙上制定基于时间的访问控制策略,上班时间不允许访问Internet,上班时间可以访问公司的网络,Internet,19 之 2,2/2/2018 3:30:26 PM,66/87,用户级权限控制,目录,Host C,Host D,Host B,Host A,受保护网络,Internet,预先可在防火墙上设定用户,Chenaf,123,Yes,Liwy,883,No,不管那台电脑都可以用相同的用户名来登陆防火墙,只需在防火墙设置该用户的规则即可,19 之 3,2/2/2018 3:30:26 PM,67/87,内容安全,目录,可以对常用的高层应用做更细的控制，如HTTP的GET、POST、HEAD，FTP的GET、PUT等。,应用层,应用层,内部网络,外部网络,防火墙,内部接口,外部接口,根据策略检查应用层的数据,符合策略,19 之 4,2/2/2018 3:30:26 PM,68/87,IP与MAC绑定,目录,Internet,Host B,,Host C,,Host D,,00-50-04-BB-71-A6,00-50-04-BB-71-BC,BIND To 00-50-04-BB-71-A6,BIND To 00-50-04-BB-71-BC,IP与MAC地址绑定后，不允许Host B假冒Host A的IP地址上网,防火墙允许Host A上网,19 之 5,2/2/2018 3:30:26 PM,69/87,安全远程管理,目录,安全网域,Host C,Host D,Internet,,Superman,*,管理员,黑客,如何实现安全管理呢,天融信公司采用一次性口令认证来实现安全管理,用户名，口令,用户名，口令,19 之 6,2/2/2018 3:30:26 PM,70/87,多种管理方式,目录,安全网域,Host C,Host D,Internet,串口线直接管理,远程Telnet管理远程GUI管理浏览器管理,,Superman,*,多种管理方式将可以满足不同用户的需求,19 之 7,2/2/2018 3:30:26 PM,71/87,透明接入,目录,受保护网络,Internet,如果防火墙支持透明模式，则内部网络主机的配置不用调整,,同一网段,透明模式下，这里不用配置IP地址,透明模式下，这里不用配置IP地址,Default Gateway=,防火墙相当于网桥，原网络结构没有改变,19 之 8,2/2/2018 3:30:26 PM,72/87,身份认证,目录,Host C,Host D,Host B,Host A,受保护网络,Internet,预先可在防火墙上设定用户,Chenaf,123,验证通过则允许访问,Chenaf,123,Yes,Liwy,883,No,用户身份认证 根据用户控制访问,19 之 9,2/2/2018 3:30:26 PM,73/87,双机热备,目录,内部网,外网或者不信任域,Eth 0,Eth 0,Eth1,Eth1,Eth2,Eth2,心跳线,Active Firewall,Standby Firewall,检测Active Firewall的状态,发现出故障，立即接管其工作,正常情况下由主防火墙工作,主防火墙出故障以后，接管它的工作,19 之 10,2/2/2018 3:30:26 PM,74/87,信息审计 & 日志,目录,Internet,安全网域,Host G,Host H,,,写入日志,写入日志,一旦出现安全事故可以查询此日志,19 之 11,Host C,Host D,Host B,Host A,受保护网络,Internet,先判断是否允许包通过，然后根据策略决定是否使用安全协议,是,交给IPSec核心处理,对数据加密或认证,得到新的数据包,将新的数据包转发到相应的端口,收到的数据包经过IPSec处理了吗,交给IPSec核心处理,去掉AH ESP头,根据策略决定如何处理数据包,是,转发到内部接口,允许,VPN功能,19 之 12,2/2/2018 3:30:26 PM,76/87,端口映射,目录,Internet,公开服务器可以使用私有地址隐藏内部网络的结构,,,,MAP ：80 TO ：80,MAP ：21 TO ：21,MAP ：25 TO ：25,MAP ：53 TO ：53,,,19 之 13,2/2/2018 3:30:26 PM,77/87,流量控制,目录,Host C,Host D,Host B,Host A,受保护网络,Host A的流量已达到 10M,Host A的流量已达到 极限值30M,阻断Host A的连接,Internet,19 之 14,2/2/2018 3:30:26 PM,78/87,规则模拟测试,目录,Host C,Host D,Host B,Host A,受保护网络,Internet,防火墙规则已经做好，但防火墙还没有放到实际的网络上，如何测试已做的规则是否正确呢？,串口线,在防火墙配置程序里可以模拟测试,19 之 15,2/2/2018 3:30:26 PM,79/87,入侵检测,目录,Host C,Host D,Host B,Host A,受保护网络,Internet,同一台主机对受保护网络内的主机频繁扫描同一主机对受保护网内的主机建立多个连接其他对网内主机的攻击行为,将根据用户策略采取措施,执行用户自定义的策略,19 之 16,2/2/2018 3:30:26 PM,80/87,NAT转换 & IP复用,目录,Internet,4,Host A,受保护网络,Host C,Host D,1,5,防火墙,Eth2：3,Eth0：,源地址：1目地址：4,源地址：目地址：4,,隐藏了