课题20防火墙的应用

课题二十防火墙的应用网络安全运行与维护课题SUBJECT信息教学任务：防火墙的应用知识目标：掌握现有防火墙的三种核心技术（三种不同技术类型的防火墙）的基本原理和优缺点，了解防火墙的各种性能指标，掌握常用防火墙安装和规则配置。能力目标：能够熟练使用各种常用的防火墙（安装、参数设置、规则配置等）重点：防火墙基本原理、防火墙的配置难点：防火墙参数、规则配置教学方法：演示法、案例教学法、任务驱动法课堂类型：新授课教具：PC机、教学软件防火墙的实现技术原理代理防火墙配置其他防火墙防火墙的性能、功能指标一、防火墙的实现技术原理防火墙实现技术原理1简单包过滤防火墙2动态包过滤(状态检测)防火墙3应用代理防火墙4包过滤与应用代理复合型防火墙一、防火墙的实现技术原理1．简单包过滤防火墙（Packetfiltering）数据包过滤技术的发展：静态包过滤、动态包过滤。包过滤防火墙在网络层实现数据的转发，包过滤模块一般检查网络层、传输层内容，包括下面几项：①源、目的IP地址；②源、目的端口号；③协议类型；④TCP报头的标志位。简单包过滤防火墙的工作原理1一、防火墙的实现技术原理包过滤防火墙的工作流程一、防火墙的实现技术原理应用实例【问题】动态包过滤防火墙如何解决了特殊构造了标志位的数据包？但是还是无法阻挡反弹端口的木马。1.TCP开始攻击IP规则连接表TCP开始攻击IPTCP开始攻击IPTCP开始攻击IPSYNACKSYN2.允许允许TCP开始攻击IPn.……一、防火墙的实现技术原理动态包过滤防火墙的工作流程一、防火墙的实现技术原理状态检测防火墙-UDP防火墙保存通过网关的每一个连接的状态信息，允许穿过防火墙的UDP请求包被记录，当UDP包在相反方向上通过时，依据连接状态表确定该UDP包是否被授权的，若已被授权，则通过，否则拒绝。一、防火墙的实现技术原理3．代理防火墙（ProxyServer）代理防火墙的工作过程：一、防火墙的实现技术原理代理防火墙的工作原理一、防火墙的实现技术原理代理服务器的类型HTTP代理：代理客户机的http访问，主要代理浏览器访问网页，它的端口一般为80、8080、3128等。FTP代理：代理客户机上的ftp软件访问ftp服务器，其端口一般为21、2121。POP3代理：代理客户机上的邮件软件用pop3方式收邮件，其端口一般为110。Telnet代理：能够代理通信机的telnet，用于远程控制，入侵时经常使用。其端口一般为23。Socks代理：是全能代理，支持多种协议，包括http、ftp请求及其它类型的请求，其标准端口为1080。……一、防火墙的实现技术原理应用实例例1：不允许上。方法：1、使用包过滤防火墙把服务器的所有IP过滤掉。2、使用代理防火墙过滤域名，而不管IP地址怎么改变。clint7,30,31,3233,34,35,40,0,1,2,3,61.172.2015,6服务器一、防火墙的实现技术原理Client用SOCKS5client服务器61.172.201.*SOCKS5代理服务器170.1.1.*【问题】图中的防火墙如果改为代理防火墙，是否可以过滤Client传过来的数据包？一、防火墙的实现技术原理Client用“特殊”的HTTP代理【说明】client端发出HTTP请求时，不包含的信息，代理防火墙就检测不到字段，实现不了过滤。HTTP代理需要“特殊”定制，代理服务器知道这类client端发出的请求是要访问，它会帮助client端下载的内容。一、防火墙的实现技术原理自适应代理防火墙检测应用层的头部信息，然后在网络层转发。一、防火墙的实现技术原理应用特征库已经收录了超过3000种互联网应用，还包括700余种移动互联网应用下一代防火墙NextGenerationFirewall二、代理防火墙配置防火墙的应用实验代理类型—CCProxy1.设置IE的HTTP代理参数，观察经过代理后，数据包头的变化。2.设置IE的socks代理参数，观察经过代理后，数据包头的变化。3.CCProxy常用功能的设置：用户

IP+MAC

内容流量二、代理防火墙配置CCProxy的应用二、代理防火墙配置CCProxy的应用三、其他防火墙下一代防火墙著名市场分析咨询机构Gartner曾于2009年发表文章《定义下一代防火墙》，文章指出下一代防火墙在具有传统防火墙功能与特点的同时，还要具有“支持联动的集成化IPS”、“应用管控与可视化”以及“智能化联动”相关特性。具有“基于用户防护”、“面向应用安全”、“高效转发平台”、“多层级冗余架构”、“全方位可视化”及“安全技术融合”六大产品特性。三、其他防火墙补充：防火墙其它功能安全审计负载均衡双机热备防御功能端口映射DHCP环境支持MAC绑定功能带宽管理联动功能内容过滤VPN功能双地址路由多协议支持三、其他防火墙思科ASA5520-K8参数四、防火墙的性能、功能指标

防火墙性能指标吞吐量丢包率最大并发连接数延时最大并发连接建立速率四、防火墙的性能、功能指标定义：在不丢包的情况下能够达到的最大速率衡量标准：吞吐量作为衡量防火墙性能的重要指标之一,吞吐量小就会造成网络新的瓶颈，以至影响到整个网络的性能

吞吐量四、防火墙的性能、功能指标定义：指穿越防火墙的主机之间或主机与防火墙之间能同时建立的最大连接数衡量标准：并发连接数的测试主要用来测试被测防火墙建立和维持TCP连接的性能，同时也能通过并发连接数的大小体现被测防火墙对来自于客户端的TCP连接请求的响应能力。

并发连接数并发连接数指标可以用来衡量穿越防火墙的主机之间能同时建立的最大连接数四、防火墙的性能、功能指标定义：在连续负载的情况下，防火墙设备由于资源不足应转发但却未转发的帧百分比衡量标准：防火墙的丢包率对其稳定性、可靠性有很大的影响防火墙由于资源不足只转发了800个包丢包率=（1000-800）/1000=20%丢包率四、防火墙的性能、功能指标定义：入口处输入帧最后1个比特到达至出口处输出帧的第一个比特输出所用的时间间隔衡量标准：防火墙的时延能够体现它处理数据的速度延时四、防火墙的性能、功能指标定义：指穿越防火墙的主机之间或主机与防火墙之间单位时间内建立的最大连接数。衡量标准：最大并发连接数建立速率主要用来衡量防火墙单位时间内建立和维持TCP连接的能力单位时间内增加的并发连接数最大并发连接建立速率四、防火墙的性能、功能指标防火墙功能指标分级带宽管理LAN接口多协议支持认证支持高级访问控制四、防火墙的性能、功能指标防火墙的部署四、防火墙的性能、功能指标四、防火墙的性能、功能指标四