防火墙技术原理

1、防火墙技术和原理,北京天融信公司,地址：北京市海淀区上地东路1号华控大厦3层 网址：,防火墙基本概念 防火墙发展历程 防火墙核心技术 防火墙功能与原理 防火墙的接入方式 防火墙的典型应用 防火墙性能 防火墙局限性 防火墙的两个争议,目录,一种高级访问控制设备，置于不同网络安全域之间的一系列部件的组合，它是不同网络安全域间通信流的唯一通道，能根据企业有关的安全政策控制（允许、拒绝、监视、记录）进出网络的访问行为。,两个安全域之间通信流的唯一通道,防火墙的概念,防火墙基本概念 防火墙发展历程 防火墙核心技术 防火墙功能与原理 防火墙的接入方式 防火墙的典型应用 防火墙性能 防火墙局限性 防火墙的两

2、个争议,目录,基于路由器的防火墙,软件防火墙的初级形式，具有审计和告警功能 对数据包的访问控制过滤通过专门的软件实现 与第一代防火墙相比，安全性提高了，价格降低了,在路由器中通过ACL规则来实现对数据包的控制； 过滤判断依据：地址、端口号、协议号等特征,是批量上市的专用软件防火墙产品 安装在通用操作系统之上 安全性依靠软件本身和操作系统本身的整体安全,防火墙厂商具有操作系统的源代码，并可实现安全内核 功能强大，安全性很高 易于使用和管理 是目前广泛应用的防火墙产品,基于安全操作系统的防火墙,基于通用操作系统的防火墙,防火墙工具套,防火墙的发展历程,防火墙基本概念 防火墙发展历程 防火墙核心技术

3、 防火墙体系结构 防火墙功能与原理 防火墙的接入方式 防火墙的典型应用 防火墙性能 防火墙局限性 防火墙的两个争议,目录,包过滤（Packet filtering）：工作在网络层，仅根据数据包头中的IP地址、端口号、协议类型等标志确定是否允许数据包通过。 应用代理（Application Proxy）：工作在应用层，通过编写不同的应用代理程序，实现对应用层数据的检测和分析。 状态检测（Stateful Inspection）：工作在24层，访问控制方式与1同，但处理的对象不是单个数据包，而是整个连接，通过规则表和连接状态表，综合判断是否允许数据包通过。 完全内容检测（Compelete Con

4、tent Inspection）：工作在27层，不仅分析数据包头信息、状态信息，而且对应用层协议进行还原和内容分析，有效防范混合型安全威胁。,防火墙的检测与过滤技术,Data,Segment,Packet,Frame,Bit Flow,防火墙基本概念 防火墙发展历程 防火墙核心技术 防火墙功能与原理 防火墙的接入方式 防火墙的典型应用 防火墙性能 防火墙局限性 防火墙的两个争议,目录,防火墙的作用,集中的访问控制 集中的加密保护 集中的认证授权 集中的内容检查 集中的病毒防护 集中的邮件过滤 集中的流量控制 集中的安全审计,基本功能 地址转换 访问控制 VLAN支持 带宽管理（QoS） 入侵检

5、测和攻击防御 用户认证 IP/MAC绑定 动态IP环境支持 数据库长连接应用支持 路由支持 ADSL拨号功能 SNMP网管支持 日志审计 高可用性,防火墙的功能,扩展功能 防病毒 VPN IPSEC VPN PPTP/L2TP,源地址：1 目地址：4,源地址： 目地址：4,,隐藏了内部网络的结构 内部网络可以使用私有IP地址 公开地址不足的网络可以使用这种方式提供IP复用功能,地址转换 (NAT),Internet,公开服务器可以使用私有地址 隐藏内部网络的结构,199.168

6、.1.6,,,MAP ：80 TO ：80,MAP ：21 TO ：21,MAP ：53 TO ：53,MAP ：25 TO ：25,,,MAP (地址/端口映射),Host C,Host D,防火墙的基本访问控制功能,Access list to Access nat

7、 to any pass Access to block Access default pass,规则匹配成功,基于源IP地址 基于目的IP地址 基于源端口 基于目的端口 基于时间 基于用户 基于流量 基于文件 基于网址 基于MAC地址,时间控制策略,Host C,Host D,在防火墙上制定基于时间的访问控制策略,上班时间不允许访问Internet,上班时间可以访问公司的网络,Internet,QoS带宽管理,Internet,WWW,Mail,DNS,财务部子网,采购部子网,出口带宽 512K,DMZ 区保留 256K,分配

8、 70K 带宽,分配 90K 带宽,分配 96K 带宽,DMZ 区域,内部网络,总带宽512 K,内网256 K,DMZ 256 K,70 K,90 K,96 K,+,+,+,财务子网,采购子网,生产子网,生产部子网,防火墙具有内置的IDS模块，可以有效检测并抵御常见的攻击行为，用户通过简单设置即可保护指定的网络对象免于受到以下类型的攻击：1.统计型攻击，包括：Syn Flood、UDP FLOOD、ICMP FLOOD、IP SWEEP、PORT SCAN。2.异常包攻击，包括：Land、Smurf、PingofDeath、Winnuke、TcpScan、IpOption等,内置入侵检测功能

9、,抗DOS攻击功能,防火墙的SYN代理实现原理: 在服务器和外部网络之间部署防火墙系统; 防火墙在收到客户端的Syn包后，防火墙代替服务器向客户端发送Syn/Ack包; 如果防火墙收到客户端的Ack信息，表明访问正常,由防火墙向服务器发送Syn包并完成后续的TCP握手,建立客户端到服务器的连接。 通过这种Syn代理技术，保证每个Syn包源的真实有效性，确保虚假请求不被发往服务器，从而彻底防范对服务器的Syn-Flood攻击。,SYN,SYN/ACK,ACK,SYN,SYN/ACK,ACK,SYN,SYN/ACK,ACK,Client,Server,SYN,SYN,Host C,Host D,H

10、ost B,Host A,受保护网络,Internet,IDS,黑客,发起攻击,发送通知报文,验证报文并 采取措施,发送响应报文,识别出攻击行为,阻断连接或者报警等,与 IDS 的安全联动,丰富的认证方式和第三方认证支持,Internet,RADIUS服务器,OTP 认证服务器,liming,*,防火墙将认证信息传给真正的RADIUS服务器,进行认证,将认证结果传给防火墙,本地认证、内置OTP服务器认证 支持第三方RADIUS服务器认证 支持TACAS/TACAS+服务器认证 支持S/KEY 、SECUID、VIECA、LDAP、域认证等认证,根据认证结果决定用户对资源的访问权限,Intern

11、et,Host B,,Host C,,Host D,,00-50-04-BB-71-A6,00-50-04-BB-71-BC,BIND To 00-50-04-BB-71-A6,BIND To 00-50-04-BB-71-BC,IP与MAC地址绑定后，不允许Host B假冒Host A的IP地址上网,防火墙允许Host A上网,IP与MAC（用户）的绑定,,对DHCP应用环境的支持,Internet,DHCP服务器,Host A,Host B,Host C,

12、Host D,Host E,Host F,没有固定IP地址,只允许Host B上网,设定Host B的MAC地址,设定Host B的IP地址为空,根据Host B的MAC地址进行访问控制,建立连接并维持连接状态直到查询结束,对数据库长连接的支持,数据库查询一般需要比较长的时间，这些通讯连接建立成功后可能暂时没有数据通过（空连接），普通防火墙在连接建立一段时间后如果没有数据通讯会自动切断连接，导致业务不能正常运行,需要较长的查询时间,需要在防火墙里面维护这个连接状态，直到查询结束。该功能是可选的。,动态路由功能-RIP,动态路由功能-OSPF,ADSL拨号功能PPPOE,Host C,Host

13、D,Host B,Host A,受保护网络,SNMP报文,获取硬件配置信息 资源使用状况信息 防火墙的流量信息 防火墙的连接信息 防火墙的版本信息 防火墙的用户信息 防火墙的规则信息 防火墙的路由信息 ,SNMP服务器端,SNMP客户端(HP openview),支持SNMP 网络管理,日志分析功能,会话日志：即普通连接日志 通信源地址、目的地址、源目端口、通信时间、通信协议、字节数、是否允许通过 命令日志和内容日志：即深度分析日志 在通信日志的基础之上，记录下各个应用层命令参数和内容。例如HTTP请求及其要取的网页名。 提供日志分析工具 自动产生各种报表，智能化的指出网络可能的安全漏洞,Cl

14、int,响应请求,发送请求,通信日志,通信日志,通信信息,69,70,普通连接日志会话日志,Clint,响应请求,发送请求,命令日志,命令日志,69,70,深度分析日志(1) 命令日志,命令信息,Clint,响应请求,发送请求,访问日志,访问日志,69,70,深度分析日志(2) 内容日志,访问信息,高可用性-双机热备功能,内部网,外网或者不信任域,Eth 0,Eth 0,Eth1,Eth1,Eth2,Eth2,心跳线,Active Firewall,Standby

15、 Firewall,检测Active Firewall的状态,发现出故障，立即接管其工作,正常情况下由主防火墙工作,主防火墙出故障以后，接管它的工作,Hub or Switch,Hub or Switch,通过ISTP协议可以交换两台防火墙的状态信息,当一台防火墙故障时，这台防火墙的连接不需要重新建立就可以透明的迁移到另一台防火墙上，用户不会察觉到,丰富的链路备份功能,单combo口 双链路备份,双端口环形 光纤链路备份,HA,HA双机备份,全冗余备份,防火墙,路由器,交换机,WWW 1,WWW 2,WWW 3,负载均衡算法： 轮流 轮流+权值 最少连接 最少连接+权值,根据负载均衡算法将数据

16、重定位到一台WWW服务器,服务器阵列,响应请求,高可用性-服务器负载均衡,防火墙提供了“链路备份”功能来实时监视整个链路的工作情况，一旦发现异常，就立即启动“链路备份”功能自动切换到另一条备用链路，以确保网络的正常通信。,高可用性-网络链路备份功能,高可用性-双系统冗余,防火墙作为网络中的关键设备，对于维护网络的正常通信以及安全保障起着举足轻重的作用。所以，对防火墙本身的有效性和可用性就有了很高的要求。防火墙内置备份系统，这样，在主系统出现异常或由于升级失败而不能正常引导系统的情况下，用户可以手工选择使用备份系统。,扩展功能-病毒过滤功能(1),扩展功能-病毒过滤功能(2),扩展功能- IPS

17、EC VPN功能,支持L2TP/PPTP VPN功能,支持DDNS功能,防火墙基本概念 防火墙发展历程 防火墙核心技术 防火墙体系结构 防火墙功能与原理 防火墙的接入方式 防火墙的典型应用 防火墙性能 防火墙局限性 防火墙的两个争议,目录,受保护网络,Internet,如果防火墙支持透明模式，则内部网络主机的配置不用调整,,同一网段,透明模式下，这里不用配置IP地址,透明模式下，这里不用配置IP地址,Default Gateway=,防火墙相当于网桥，原网络结构没有改变,透明接入,受保护网络,Internet,,Default

18、Gateway=,防火墙相当于一个简单的路由器,6,7,提供简单的路由功能,,路由接入,ETH0：02,ETH2：,/24 网段,/24 网段,此时整个防火墙工作于透明+路由模式，我们称之为综合模式或者混合模式,/24 网段,ETH1：,两接口在不同网段，防火墙处于路由模式,两接口在不同网段，防火墙处于路由模式,两接口在同一网段，防火墙处于透明模式,灵活的接入方式综合接入,防火

19、墙基本概念 防火墙发展历程 防火墙核心技术 防火墙体系结构 防火墙功能与原理 防火墙的接入方式 防火墙的典型应用 防火墙性能 防火墙局限性 防火墙的两个争议,目录,DDN/帧中继,总行,省中支A,省中支B,DDN/PSTN,地市行 A,地市行 B,防火墙的典型应用（梯形结构）,总部,分部,分部,访问控制 访问授权 信息审计 ,访问控制 访问授权 信息审计 ,访问控制 访问授权 信息审计 ,防火墙的典型应用（星型结构）,帧中继专网,DDN/PSTN,内部专网,黑客攻击 病毒 非授权访问 恶意代码 ,阻断,防火墙的典型应用三（简单结构）,分支网络,防火墙基本概念 防火墙发展历程 防火墙核心技术 防

20、火墙功能与原理 防火墙的接入方式 防火墙的典型应用 防火墙性能 防火墙局限性 防火墙的两个争议,目录,衡量防火墙性能的五大指标,吞吐量：该指标直接影响网络的性能，吞吐量 时延：入口处输入帧最后1个比特到达至出口处输出帧的第1个比特输出所用的时间间隔 丢包率：在稳态负载下，应由网络设备传输，但由于资源缺乏而被丢弃的帧的百分比 背靠背：从空闲状态开始，以达到传输介质最小合法间隔极限的传输速率发送相当数量的固定长度的帧，当出现第一个帧丢失时，发送的帧数 并发连结数：并发连接数是指穿越防火墙的主机之间或主机与防火墙之间能同时建立的最大连接数,吞吐量,定义：在不丢包的情况下能够达到的最大速率 衡量标准：

21、吞吐量越大，防火墙的性能越高,;%#*$&*&#*(&,Smartbits 6000B 测试仪,101100101000011111001010010001001000,以最大速率发包,直到出现丢包时的最大值,防火墙吞吐量小就会成为网络的瓶颈,100M,60M,数据包首先排队待 防火墙检查后转发,时延,定义：入口处输入帧最后1个比特到达至出口处输出帧的第一个比特输出所用的时间间隔 衡量标准：延时越小，表示防火墙的性能越高,10101001001001001010,Smartbits 6000B 测试仪,101100101000011111001010010001001000,最后1个比特到达,

22、第一个比特输出,时间间隔,1010100111001110,1010100111001110,1010010010100100010100010,101010100100100100100100010,造成数据包延迟到达目标地,丢包率,定义：在连续负载的情况下，防火墙设备由于资源不足应转发但却未转发的帧百分比 衡量标准：丢包率越小，防火墙的性能越高,发送了1000个包,防火墙由于资源不足只转发了800个包,丢包率=（1000-800）/1000=20%,10010101001010010001001001,10010101001010010001001001,背靠背,定义：从空闲状态开始，以达

23、到传输介质最小合法间隔极限的传输速率发送相当数量的固定长度的帧，当出现第一个帧丢失时，发送的帧数。 衡量标准：背对背包主要是指防火墙缓冲容量的大小 ,网络上经常有一些应用会产生大量的突发数据包（例如：NFS,备份，路由更新等），而且这样的数据包的丢失可能会产生更多的数据包的丢失，强大缓冲能力可以减小这种突发对网络造成的影响。,时间（t）,包数量（n）,少量包,包增多,峰值,包减少,没有数据,背靠背是体现防火墙对突发数据的处理能力,并发连接数,定义：指数据包穿越防火墙时同时建立的最大连接数 。 衡量标准：并发连接数主要用来测试防火墙建立和维持TCP连接的性能，并发连接数越大，防火墙的处理性能越高

24、。,并发连接数指标可以用来衡量穿越防火墙时同时建立的最大连接数,防火墙基本概念 防火墙发展历程 防火墙核心技术 防火墙功能与原理 防火墙的接入方式 防火墙的典型应用 防火墙性能 防火墙局限性 防火墙的两个争议,目录,防火墙的局限性,防火墙虽然是保护网络安全的基础性设施，但是它还存在着一些不易防范的安全威胁： 首先防火墙不能防范未经过防火墙或绕过防火墙的攻击。例如，如果允许从受保护的网络内部向外拨号，一些用户就可能形成与Internet的直接连接。 防火墙基于数据包包头信息的检测阻断方式，主要对主机提供或请求的服务进行访问控制，无法阻断通过开放端口流入的有害流量，并不是对蠕虫或者黑客攻击的解决方

25、案。 另外，防火墙很难防范来自于网络内部的攻击或滥用。,防火墙基本概念 防火墙发展历程 防火墙核心技术 防火墙体系结构 防火墙功能与原理 防火墙的接入方式 防火墙的典型应用 防火墙性能 防火墙局限性 防火墙的两个争议,目录,防火墙的胖瘦之争 防火墙的硬件架构之争,争议,防火墙的“胖”与“瘦”,由于防火墙在网络中所处的重要位置，因此，人们对防火墙可以说是寄予厚望。现在防火墙正在不断增加各种各样的新功能，因此防火墙正在急剧“长胖”。,“胖”防火墙是指功能大而全的防火墙，它力图将安全功能尽可能多地包含在内，从而成为用户网络的一个安全平台；,胖防火墙的定义,访问控制,病毒防护,入侵检测,交换路由,内容

26、过滤,信息审计,传输加密,其他,胖防火墙,胖防火墙的优势与不足,优势： 首先是功能全 其次是控制力度细 第三是协作能力强 降低采购和管理成本 不足： 主要表现在性能降低 其次是自身安全性相对较弱 还有专业性不强，表现为功能模块的拼凑 第四是稳定性不强，系统越大，BUG越多 最后是配置复杂，不合理的配置会带来更大的安全隐患,访问控制,病毒防护,入侵检测,交换路由,内容过滤,信息审计,传输加密,其他,瘦防火墙,安全联动,“瘦”防火墙是指功能少而精的防火墙，它只作访问控制的专职工作，对于综合安全解决方案，则采用多家安全厂商联盟的方式来实现。,瘦防火墙的定义,瘦防火墙的优势与不足,优势： 性能高 注重

27、核心功能，专业性强 整体安全性高 配置简单，简化对管理员的专业要求 不足： 功能单一 整体防护能力不能满足需求 整体采购成本较高,构建联动、统一的动态安全防护体系,无论是“胖”防火墙的集成，还是“瘦”防火墙的联动，安全产品正在朝着体系化的结构发展，所谓“胖瘦”不过是这种体系结构的具体表现方式，“胖”将这种体系表现在一个产品中，而“瘦”将这种体系表现在一系列产品或是说一个整体方案中。 同时，不管哪种体系结构，都必须通过安全管理中心来监控、协调、管理网络中的其他安全产品和网络产品，构建联动、统一的动态安全防护体系。,争议,防火墙的胖瘦之争 防火墙的硬件架构之争,防火墙硬件架构,基于X86体系的通用

28、CPU架构 基于网络处理器的NPU架构 基于专用处理芯片的ASIC架构,基于X86架构的防火墙,X86架构防火墙中，其CPU具有高灵活性、高扩展性的特性； 通用CPU具有体系化的指令集和系统结构，容易支持复杂的运算和开发新的功能； 基于X86架构防火墙的处理速度和能力能够很好的适应各种百兆网络环境和一般千兆网络环境的需求； 基于X86防火墙由于受CPU处理能力和PCI总线的制约，在更高的千兆环境下其性能和功能则日益不能满足于需求；,硬件平台技术分析-x86,基于X86的平台 主要提供商Intel ，AMD,X86,特点： 软件开发比较灵活 便于快速推出产品 投资少 发热比较大 受总线带宽的限制 难以满足高速环境,硬件平台技术分析-其他嵌入式,基于其他 嵌入的平台 包括Power PC 、ARM、MIPS,嵌入式,特点