防火墙功能原理课件

1、信息安全产品配置与应用Configuration and Application of Information Security Products重庆电子工程职业学院| 路亚模块一、防火墙产品配置与应用主要内容 防火墙概念和作用 防火墙发展历程 防火墙核心技术 防火墙体系结构 防火墙功能与原理 防火墙的接入方式 防火墙的典型应用 防火墙性能 防火墙局限性 防火墙的两个争议防火墙的功能基本功能地址转换访问控制VLAN支持带宽管理（QoS）入侵检测和攻击防御用户认证IP/MAC绑定动态IP环境支持数据库长连接应用支持路由支持ADSL拨号功能SNMP网管支持日志审计高可用性扩展功能防病毒IPSVPN

2、IPSEC VPNPPTP/L2TPGRE地址转换（NAT）Internet4Host A受保护网络Host C Host D 15防火墙Eth2：3Eth0：数据IP报头数据IP报头源地址：1目地址：4源地址：目地址：4 隐藏了内部网络的结构 内部网络可以使用私有IP地址 公开地址不足的网络可以使用这种方式提供IP复用功能MAP（地址/端口映射）Internet 公开服务器可以使用私有地址 隐藏内部网络的结构WWW FTP MAIL DNS MAP ：80 TO ：80MAP ：21 TO ：21MAP ：53 TO ：53MAP ：25 TO ：25防火墙的基本访问控制功能Host C H

3、ost D Access list to Access nat to any pass Access to blockAccess default pass规则匹配成功 基于源IP地址 基于目的IP地址 基于源端口 基于目的端口 基于时间基于用户 基于流量 基于文件 基于网址 基于MAC地址时间控制策略Host C Host D 在防火墙上制定基于时间的访问控制策略上班时间不允许访问Internet上班时间可以访问公司的网络InternetVLAN间控制-对TRUNK的支持Trunk 口Trunk 口VLAN 1VLAN 2支持VLAN的交换机Trunk 口Trunk 口VLAN 1VLAN

4、2Switch1Switch 2同一交换机的不同 VLAN 之间通讯不同交换机的同一 VLAN 之间通讯只有支持TRUNK的防火墙才能在这种环境下工作只有支持TRUNK的防火墙才能在这种环境下工作QoS带宽管理Internet WWW MailDNS 财务部子网采购部子网出口带宽 512KDMZ 区保留 256K分配 70K 带宽分配 90K 带宽分配 96K 带宽DMZ 区域内部网络总带宽512 K内网256 KDMZ 256 K70 K90 K96 K+财务子网采购子网生产子网生产部子网内置入侵检测功能防火墙具有内置的IDS模块，可以有效检测并抵御常见的攻击行为，用户通过简单设置即可保护指

5、定的网络对象免于受到以下类型的攻击：1.统计型攻击，包括：Syn Flood、UDP FLOOD、ICMP FLOOD、IP SWEEP、PORT SCAN。2.异常包攻击，包括：Land、Smurf、PingofDeath、Winnuke、TcpScan、IpOption等抗Dos攻击功能防火墙的SYN代理实现原理:在服务器和外部网络之间部署防火墙系统;防火墙在收到客户端的Syn包后，防火墙代替服务器向客户端发送Syn/Ack包;如果防火墙收到客户端的Ack信息，表明访问正常,由防火墙向服务器发送Syn包并完成后续的TCP握手,建立客户端到服务器的连接。通过这种Syn代理技术，保证每个Syn

6、包源的真实有效性，确保虚假请求不被发往服务器，从而彻底防范对服务器的Syn-Flood攻击。 SYNSYN/ACKACKSYNSYN/ACKACKSYNSYN/ACKACKClientServer SYNSYN与IDS的安全联动Host C Host D Host B Host A 受保护网络InternetIDS黑客发起攻击发送通知报文验证报文并采取措施发送响应报文识别出攻击行为阻断连接或者报警等对认证方式和第三方认证支持Internet RADIUS服务器OTP 认证服务器liming*防火墙将认证信息传给真正的RADIUS服务器进行认证将认证结果传给防火墙本地认证、内置OTP服务器认证支

7、持第三方RADIUS服务器认证支持TACAS/TACAS+服务器认证支持S/KEY 、SECUID、VIECA、LDAP、域认证等认证根据认证结果决定用户对资源的访问权限IP与MAC（用户）的绑定InternetHost A Host BHost CHost D00-50-04-BB-71-A600-50-04-BB-71-BCBIND To 00-50-04-BB-71-A6BIND To 00-50-04-BB-71-BCIP与MAC地址绑定后，不允许Host B假冒Host A的IP地址上网防火墙允许Host A上网对DHCP应用环境的支持InternetDHCP服

8、务器Host AHost BHost CHost DHost EHost F没有固定IP地址只允许Host B上网设定Host B的MAC地址设定Host B的IP地址为空根据Host B的MAC地址进行访问控制对数据库长连接的支持客户机建立连接并维持连接状态直到查询结束FR数据库查询一般需要比较长的时间，这些通讯连接建立成功后可能暂时没有数据通过（空连接），普通防火墙在连接建立一段时间后如果没有数据通讯会自动切断连接，导致业务不能正常运行需要较长的查询时间需要在防火墙里面维护这个连接状态，直到查询结束。该功能是可选的。策略路由功能InternetHost

9、 A：Host B：Host C：1内网根据源、目地址来进行路由主机B通过网通线路访问Internet上网通的网站主机A通过电信线路访问Internet上电信的网站网通电信动态路由-RIP动态路由-OSPFADSL拨号功能支持SNMP网络管理Host C Host D Host B Host A 受保护网络InternetInternet SNMP报文获取硬件配置信息资源使用状况信息防火墙的流量信息防火墙的连接信息防火墙的版本信息防火墙的用户信息防火墙的规则信息防火墙的路由信息SNMP服务器端SNMP客户端(HP openview)日志分析功能会话日志：即普通连接日志通信源地址、目的地址、源目

10、端口、通信时间、通信协议、字节数、是否允许通过命令日志和内容日志：即深度分析日志在通信日志的基础之上，记录下各个应用层命令参数和内容。例如HTTP请求及其要取的网页名。提供日志分析工具自动产生各种报表，智能化的指出网络可能的安全漏洞常见日志格式：Syslog、Webtrent普通连接日志-会话日志Client响应请求发送请求通信日志通信日志通信信息6970深度分析日志（1）-命令日志Client响应请求发送请求命令日志命令日志6970命令信息深度分析日志（2）-内容日志Client响应请求发送请求访问日志访问日志6970访问信息高可用性-双机热备功能内部网外网或者不信任域Eth 0Eth 0E

11、th1Eth1Eth2Eth2心跳线Active FirewallStandby Firewall检测Active Firewall的状态发现出故障，立即接管其工作 正常情况下由主防火墙工作主防火墙出故障以后，接管它的工作Hub or SwitchHub or Switch通过STP协议可以交换两台防火墙的状态信息当一台防火墙故障时，这台防火墙的连接不需要重新建立就可以透明的迁移到另一台防火墙上，用户不会察觉到高可用性-服务器服务器负载均衡WWW 1WWW 2WWW 3负载均衡算法：轮流轮流+权值最少连接最少连接+权值根据负载均衡算法将数据重定位到一台WWW服务器服务器阵列响应请求高可用性-网络链路备份功能 防火墙提供了“链路备份”功能来实时监视整个链路的工作情况，一旦发现异常，就立即启动“链路备份”功能自动切换到另一条备用链路，以确保网络的正常通信。 高可用性-双系统冗余 防火墙作为网络中的关键设备，对于维护网