防火墙功能原理课件

信息安全产品配置与应用Configurationand

ApplicationofInformationSecurityProducts重庆电子工程职业学院|路亚信息安全产品配置与应用重庆电子工程职业学院|路亚1模块一、防火墙产品配置与应用主要内容

防火墙概念和作用

防火墙发展历程防火墙核心技术防火墙体系结构

防火墙功能与原理防火墙的接入方式防火墙的典型应用防火墙性能防火墙局限性防火墙的两个争议模块一、防火墙产品配置与应用主要内容2防火墙的功能基本功能地址转换访问控制VLAN支持带宽管理（QoS）入侵检测和攻击防御用户认证IP/MAC绑定动态IP环境支持数据库长连接应用支持路由支持ADSL拨号功能SNMP网管支持日志审计高可用性扩展功能防病毒IPSVPNIPSECVPNPPTP/L2TPGRE防火墙的功能基本功能扩展功能3地址转换（NAT）Internet4HostA受保护网络HostCHostD15防火墙Eth2：3Eth0：数据IP报头数据IP报头源地址：1目地址：4源地址：目地址：4隐藏了内部网络的结构

内部网络可以使用私有IP地址公开地址不足的网络可以使用这种方式提供IP复用功能地址转换（NAT）Internet44MAP（地址/端口映射）Internet公开服务器可以使用私有地址

隐藏内部网络的结构WWWFTPMAILDNSMAP：80TO：80MAP：21TO：21MAP：53TO：53MAP：25TO：25MAP（地址/端口映射）Internet公开服务器可以使用5防火墙的基本访问控制功能HostCHostDAccesslisttoAccessnattoanypassAccesstoblockAccessdefaultpass规则匹配成功基于源IP地址基于目的IP地址基于源端口基于目的端口基于时间基于用户基于流量基于文件基于网址基于MAC地址防火墙的基本访问控制功能HostCHostDAcce6时间控制策略HostCHostD在防火墙上制定基于时间的访问控制策略上班时间不允许访问Internet上班时间可以访问公司的网络Internet时间控制策略HostCHostD在防火墙上制定基于时7VLAN间控制-对TRUNK的支持Trunk口Trunk口VLAN1VLAN2支持VLAN的交换机Trunk口Trunk口VLAN1VLAN2Switch1Switch2同一交换机的不同VLAN之间通讯不同交换机的同一VLAN之间通讯只有支持TRUNK的防火墙才能在这种环境下工作只有支持TRUNK的防火墙才能在这种环境下工作VLAN间控制-对TRUNK的支持Trunk口Trunk8QoS带宽管理InternetWWWMailDNS财务部子网采购部子网出口带宽512KDMZ区保留256K分配70K带宽分配90K带宽分配96K带宽DMZ区域内部网络总带宽512K内网256KDMZ256K70K90K96K+++财务子网采购子网生产子网生产部子网QoS带宽管理InternetWWWMailDNS财务9内置入侵检测功能防火墙具有内置的IDS模块，可以有效检测并抵御常见的攻击行为，用户通过简单设置即可保护指定的网络对象免于受到以下类型的攻击：1.统计型攻击，包括：SynFlood、UDPFLOOD、ICMPFLOOD、IPSWEEP、PORTSCAN。2.异常包攻击，包括：Land、Smurf、PingofDeath、Winnuke、TcpScan、IpOption等内置入侵检测功能防火墙具有内置的IDS模块，可以有效检测并抵10抗Dos攻击功能防火墙的SYN代理实现原理:在服务器和外部网络之间部署防火墙系统;防火墙在收到客户端的Syn包后，防火墙代替服务器向客户端发送Syn/Ack包;如果防火墙收到客户端的Ack信息，表明访问正常,由防火墙向服务器发送Syn包并完成后续的TCP握手,建立客户端到服务器的连接。通过这种Syn代理技术，保证每个Syn包源的真实有效性，确保虚假请求不被发往服务器，从而彻底防范对服务器的Syn-Flood攻击。SYNSYN/ACKACKSYNSYN/ACKACKSYNSYN/ACKACKClientServerSYNSYN抗Dos攻击功能防火墙的SYN代理实现原理:SYNSYN/A11与IDS的安全联动HostCHostDHostBHostA受保护网络InternetIDS黑客发起攻击发送通知报文验证报文并采取措施发送响应报文识别出攻击行为阻断连接或者报警等与IDS的安全联动HostCHostDHostB12对认证方式和第三方认证支持InternetRADIUS服务器OTP认证服务器liming******防火墙将认证信息传给真正的RADIUS服务器进行认证将认证结果传给防火墙本地认证、内置OTP服务器认证支持第三方RADIUS服务器认证支持TACAS/TACAS+服务器认证支持S/KEY、SECUID、VIECA、LDAP、域认证等认证根据认证结果决定用户对资源的访问权限对认证方式和第三方认证支持InternetRADIUS服务13IP与MAC（用户）的绑定InternetHostA

HostBHostCHostD00-50-04-BB-71-A600-50-04-BB-71-BCBINDTo00-50-04-BB-71-A6BINDTo00-50-04-BB-71-BCIP与MAC地址绑定后，不允许HostB假冒HostA的IP地址上网防火墙允许HostA上网IP与MAC（用户）的绑定InternetHostA1914对DHCP应用环境的支持InternetDHCP服务器HostAHostBHostCHostDHostEHostF没有固定IP地址只允许HostB上网设定HostB的MAC地址设定HostB的IP地址为空根据HostB的MAC地址进行访问控制对DHCP应用环境的支持InternetDHCP服务器Hos15对数据库长连接的支持客户机建立连接并维持连接状态直到查询结束FR数据库查询一般需要比较长的时间，这些通讯连接建立成功后可能暂时没有数据通过（空连接），普通防火墙在连接建立一段时间后如果没有数据通讯会自动切断连接，导致业务不能正常运行需要较长的查询时间需要在防火墙里面维护这个连接状态，直到查询结束。该功能是可选的。对数据库长连接的支持客户机建立连接并维持连接状态直到查询结束16策略路由功能InternetHostA：HostB：HostC：1内网根据源、目地址来进行路由主机B通过网通线路访问Internet上网通的网站主机A通过电信线路访问Internet上电信的网站网通电信策略路由功能Internet202.10.17动态路由-RIP动态路由-RIP18动态路由-OSPF动态路由-OSPF19ADSL拨号功能ADSL拨号功能20支持SNMP网络管理HostCHostDHostBHostA受保护网络InternetInternet

SNMP报文获取硬件配置信息资源使用状况信息防火墙的流量信息防火墙的连接信息防火墙的版本信息防火墙的用户信息防火墙的规则信息防火墙的路由信息……SNMP服务器端SNMP客户端(HPopenview)支持SNMP网络管理HostCHostDHostB21日志分析功能会话日志：即普通连接日志通信源地址、目的地址、源目端口、通信时间、通信协议、字节数、是否允许通过命令日志和内容日志：即深度分析日志在通信日志的基础之上，记录下各个应用层命令参数和内容。例如HTTP请求及其要取的网页名。提供日志分析工具自动产生各种报表，智能化的指出网络可能的安全漏洞常见日志格式：Syslog、Webtrent日志分析功能会话日志：即普通连接日志22普通连接日志-会话日志Client响应请求发送请求通信日志通信日志通信信息6970普通连接日志-会话日志Clie23深度分析日志（1）-命令日志Client响应请求发送请求命令日志命令日志6970命令信息深度分析日志（1）-命令日志C24深度分析日志（2）-内容日志Client响应请求发送请求访问日志访问日志6970访问信息深度分析日志（2）-内容日志C25高可用性-双机热备功能内部网外网或者不信任域Eth0Eth0Eth1Eth1Eth2Eth2心跳线ActiveFirewallStandbyFirewall检测ActiveFirewall的状态发现出故障，立即接管其工作

正常情况下由主防火墙工作主防火墙出故障以后，接管它的工作HuborSwitchHuborSwitch通过STP协议可以交换两台防火墙的状态信息当一台防火墙故障时，这台防火墙的连接不需要重新建立就可以透明的迁移到另一台防火墙上，用户不会察觉到高可用性-双机热备功能内部网外网或者不信任域Eth0Eth26高可用性-服务器服务器负载均衡WWW1WWW2WWW3负载均衡算法：轮流轮流+权值最少连接最少连接+权值根据负载均衡算法将数据重定位到一台WWW服务器服务器阵列响应请求高可用性-服务器服务器负载均衡WWW1WWW2WWW327高可用性-网络链路备份功能防火墙提供了“链路备份”功能来实时监视整个链路的工作情况，一旦发现异常，就立即启动“链路备份”功能自动切换到另一条备用链路，以确保网络的正常通信。高可用性-网络链路备份功能防火墙提供了“链路备份”功能来实28高可用性-双系统冗余防火墙作为网络中的关键设备，对于维护网络的正常通信以及安全保障起着举足轻重的作用。所以，对防火墙本身的有效性和可用性就有了很高的要求。防火墙内置备份系统，这样，在主系统出现异常或由于升级失败而不能正常引导系统的情况下，用户可以手工选择使用备份系统。高可用性-双系统冗余防火墙作为网络中的关键设备，对于29扩展功能--病毒过滤功能(1)扩展功能--病毒过滤功能(1)30扩展功能--病毒过滤功能(2)扩展功能--病毒过滤功能(2)31扩展功能--

IPSECVPN功能扩展功能--IPSECVPN功能32L2TP/PPTP/GRE

VPN功能L2TP/PPTP/GREVPN功能33DDNS功能DDNS功能34谢谢！谢谢！35信息安全产品配置与应用Configurationand

ApplicationofInformationSecurityProducts重庆电子工程职业学院|路亚信息安全产品配置与应用重庆电子工程职业学院|路亚36模块一、防火墙产品配置与应用主要内容

防火墙概念和作用

防火墙发展历程防火墙核心技术防火墙体系结构

防火墙功能与原理防火墙的接入方式防火墙的典型应用防火墙性能防火墙局限性防火墙的两个争议模块一、防火墙产品配置与应用主要内容37防火墙的功能基本功能地址转换访问控制VLAN支持带宽管理（QoS）入侵检测和攻击防御用户认证IP/MAC绑定动态IP环境支持数据库长连接应用支持路由支持ADSL拨号功能SNMP网管支持日志审计高可用性扩展功能防病毒IPSVPNIPSECVPNPPTP/L2TPGRE防火墙的功能基本功能扩展功能38地址转换（NAT）Internet4HostA受保护网络HostCHostD15防火墙Eth2：3Eth0：数据IP报头数据IP报头源地址：1目地址：4源地址：目地址：4隐藏了内部网络的结构

内部网络可以使用私有IP地址公开地址不足的网络可以使用这种方式提供IP复用功能地址转换（NAT）Internet439MAP（地址/端口映射）Internet公开服务器可以使用私有地址

隐藏内部网络的结构WWWFTPMAILDNSMAP：80TO：80MAP：21TO：21MAP：53TO：53MAP：25TO：25MAP（地址/端口映射）Internet公开服务器可以使用40防火墙的基本访问控制功能HostCHostDAccesslisttoAccessnattoanypassAccesstoblockAccessdefaultpass规则匹配成功基于源IP地址基于目的IP地址基于源端口基于目的端口基于时间基于用户基于流量基于文件基于网址基于MAC地址防火墙的基本访问控制功能HostCHostDAcce41时间控制策略HostCHostD在防火墙上制定基于时间的访问控制策略上班时间不允许访问Internet上班时间可以访问公司的网络Internet时间控制策略HostCHostD在防火墙上制定基于时42VLAN间控制-对TRUNK的支持Trunk口Trunk口VLAN1VLAN2支持VLAN的交换机Trunk口Trunk口VLAN1VLAN2Switch1Switch2同一交换机的不同VLAN之间通讯不同交换机的同一VLAN之间通讯只有支持TRUNK的防火墙才能在这种环境下工作只有支持TRUNK的防火墙才能在这种环境下工作VLAN间控制-对TRUNK的支持Trunk口Trunk43QoS带宽管理InternetWWWMailDNS财务部子网采购部子网出口带宽512KDMZ区保留256K分配70K带宽分配90K带宽分配96K带宽DMZ区域内部网络总带宽512K内网256KDMZ256K70K90K96K+++财务子网采购子网生产子网生产部子网QoS带宽管理InternetWWWMailDNS财务44内置入侵检测功能防火墙具有内置的IDS模块，可以有效检测并抵御常见的攻击行为，用户通过简单设置即可保护指定的网络对象免于受到以下类型的攻击：1.统计型攻击，包括：SynFlood、UDPFLOOD、ICMPFLOOD、IPSWEEP、PORTSCAN。2.异常包攻击，包括：Land、Smurf、PingofDeath、Winnuke、TcpScan、IpOption等内置入侵检测功能防火墙具有内置的IDS模块，可以有效检测并抵45抗Dos攻击功能防火墙的SYN代理实现原理:在服务器和外部网络之间部署防火墙系统;防火墙在收到客户端的Syn包后，防火墙代替服务器向客户端发送Syn/Ack包;如果防火墙收到客户端的Ack信息，表明访问正常,由防火墙向服务器发送Syn包并完成后续的TCP握手,建立客户端到服务器的连接。通过这种Syn代理技术，保证每个Syn包源的真实有效性，确保虚假请求不被发往服务器，从而彻底防范对服务器的Syn-Flood攻击。SYNSYN/ACKACKSYNSYN/ACKACKSYNSYN/ACKACKClientServerSYNSYN抗Dos攻击功能防火墙的SYN代理实现原理:SYNSYN/A46与IDS的安全联动HostCHostDHostBHostA受保护网络InternetIDS黑客发起攻击发送通知报文验证报文并采取措施发送响应报文识别出攻击行为阻断连接或者报警等与IDS的安全联动HostCHostDHostB47对认证方式和第三方认证支持InternetRADIUS服务器OTP认证服务器liming******防火墙将认证信息传给真正的RADIUS服务器进行认证将认证结果传给防火墙本地认证、内置OTP服务器认证支持第三方RADIUS服务器认证支持TACAS/TACAS+服务器认证支持S/KEY、SECUID、VIECA、LDAP、域认证等认证根据认证结果决定用户对资源的访问权限对认证方式和第三方认证支持InternetRADIUS服务48IP与MAC（用户）的绑定InternetHostA

HostBHostCHostD00-50-04-BB-71-A600-50-04-BB-71-BCBINDTo00-50-04-BB-71-A6BINDTo00-50-04-BB-71-BCIP与MAC地址绑定后，不允许HostB假冒HostA的IP地址上网防火墙允许HostA上网IP与MAC（用户）的绑定InternetHostA1949对DHCP应用环境的支持InternetDHCP服务器HostAHostBHostCHostDHostEHostF没有固定IP地址只允许HostB上网设定HostB的MAC地址设定HostB的IP地址为空根据HostB的MAC地址进行访问控制对DHCP应用环境的支持InternetDHCP服务器Hos50对数据库长连接的支持客户机建立连接并维持连接状态直到查询结束FR数据库查询一般需要比较长的时间，这些通讯连接建立成功后可能暂时没有数据通过（空连接），普通防火墙在连接建立一段时间后如果没有数据通讯会自动切断连接，导致业务不能正常运行需要较长的查询时间需要在防火墙里面维护这个连接状态，直到查询结束。该功能是可选的。对数据库长连接的支持客户机建立连接并维持连接状态直到查询结束51策略路由功能InternetHostA：HostB：HostC：1内网根据源、目地址来进行路由主机B通过网通线路访问Internet上网通的网站主机A通过电信线路访问Internet上电信的网站网通电信策略路由功能Internet202.10.52动态路由-RIP动态路由-RIP53动态路由-OSPF动态路由-OSPF54ADSL拨号功能ADSL拨号功能55支持SNMP网络管理HostCHostDHostBHostA受保护网络InternetInternet

SNMP报文获取硬件配置信息资源使用状况信息防火墙的流量信息防火墙的连接信息防火墙的版本信息防火墙的用户信息防火墙的规则信息防火墙的路由信息……SNMP服务器端SNMP客户端(HPopenview)支持SNMP网络管理HostCHostDHostB56日志分析功能会话日志：即普通连接日志通信源地址、目的地址、源目端口、通信时间、通信协议、字节数、是否允许通过命令日志和内容日志：即深度分析日志在通信日志的基础之上，记录下各个应用层命令参数和内容。例如HTTP请求及其要取的网页名。提供日志分析工具自动产生各种报表，智能化的指出网络可能的安全漏洞常见日志格式：Syslog、Webtrent日志分析功能会话日志：即普通连接日志57普通连接日志-会话日志Client响应请求发送请求通信日志通信日志通信信息6970普通连接日志-会话日志Clie58深度分析日志（1）-命令日志Client响应请求发送请求命令日志命令日志6970命令信息深度分析日志（1