《防火墙技术原理》PPT课件.ppt

1、防火墙技术原理,防火墙技术培训专用材料,防火墙概述 防火墙分类 防火墙硬件技术 防火墙软件技术 防火墙分级 防火墙功能 防火墙性能 防火墙安全性 防火墙的“胖”与“瘦” 防火墙部署 防火墙管理 防火墙可靠性 防火墙典型应用 防火墙技术发展展望 怎样选择防火墙,提 纲,Internet,一种高级访问控制设备，置于不同网络安全域之间的一系列部件的组合，它是不同网络安全域间通信流的唯一通道，能根据企业有关的安全政策控制（允许、拒绝、监视、记录）进出网络的访问行为。,两个安全域之间通信流的唯一通道,根据访问控制规则决定进出网络的行为,内部网,防火墙定义,Intranet,通过部署防火墙，可以实现比VL

2、AN、 路由器更为强大、有效的访问控制功能； 大大提高抗攻击的能力,禁止访问,禁止访问,防火墙作用,防火墙执行标准,GB/T 18019-1999 信息技术包过滤防火墙安全技术要求 GB/T 18020-1999 信息技术应用级防火墙安全技术要求 GB/T 18336-2001 信息技术安全性评估准则 （ ISO 15408 ） GB/T 17900-1999 网络代理服务器的安全技术要求 GB/T 18018-1999 路由器安全技术要求,GB/T 18020-1999,GB/T 18010-1999,GB/T 18336-2001 （ISO/IEC 15408）,国 内 标 准,国 际 标

3、 准,规范需求分析、设计、编码、测试、评估等环节,防火墙概述 防火墙分类 防火墙硬件技术 防火墙软件技术 防火墙分级 防火墙功能 防火墙性能 防火墙安全性 防火墙的“胖”与“瘦” 防火墙部署 防火墙管理 防火墙可靠性 防火墙典型应用 防火墙技术发展展望 怎样选择防火墙,提 纲,Internet,软件防火墙,硬件防火墙,按形态分类,按保护对象分类,Internet,防火墙的分类,保护整个网络,保护单台主机,网络防火墙,单机防火墙,Internet,单机防火墙,网络防火墙,保护单台主机 安全策略分散 安全功能简单 普通用户维护 安全隐患较大 策略设置灵活,保护整个网络 安全策略集中 安全功能复杂多

4、样 专业管理员维护 安全隐患小 策略设置复杂,单机防火墙&网络防火墙,Internet,硬件防火墙&软件防火墙,Internet,硬件防火墙,软件防火墙,仅获得Firewall软件，需要准备额外的OS平台 安全性依赖低层的OS 网络适应性弱（主要以路由模式工作） 稳定性高 软件分发、升级比较方便,硬件+软件，不用准备额外的OS平台 安全性完全取决于专用的OS 网络适应性强（支持多种接入模式） 稳定性较高 升级、更新不太灵活,防火墙概述 防火墙分类 防火墙硬件技术 防火墙软件技术 防火墙分级 防火墙功能 防火墙性能 防火墙安全性 防火墙的“胖”与“瘦” 防火墙部署 防火墙管理 防火墙可靠性 防火

5、墙典型应用 防火墙技术发展展望 怎样选择防火墙,提 纲,CPU,存储器,总线,1,3,4,2,防火墙单总线结构,防火墙的硬件瓶颈： 处理器的计算能力：CPU+NPU+ASIC 总线带宽：设计多总线产品 存储器的存储速度 I/O 接口速度,总线1,防火墙多总线结构,存储器,存储器,防火墙的硬件瓶颈： 处理器的计算能力：CPU+NPU+ASIC（提高主频或者采用多处理器） 总线带宽：设计多总线产品（提高总线带宽或者采用多总线结构） 存储器的存储速度 I/O 接口速度,总线2,NPU1,NPU2,CPU + 33M总线 + 10/100/1000M网络接口 CPU + 133M总线 + 10/100

6、/1000M网络接口 CPU + ASIC + 133M总线 + 10/100/1000M网络接口 CPU + NPU + 133M总线 + 10/100/1000M网络接口 CPU + NPU + ASIC + 133M总线 + 10/100/1000M网络接口 n个CPU + n个NPU + n个ASIC + n条总线 + n个10/100/1000网络接口,防火墙硬件结构种类,逐步提高处理能力,逐步提高总线带宽,逐步提高接口速率,CPU,存储器,33M总线,1,3,4,2,CPU + 33M + 10/100M,防火墙的处理能力： 处理器的计算能力：普通CPU 总线带宽：33M 存储器的

7、存储速度 I/O 接口速度：比较适合中低端百兆防火墙,CPU,存储器,1,3,4,2,CPU + 133M + 10/100M/1000M,防火墙的处理能力： 处理器的计算能力：普通CPU 总线带宽：133M 存储器的存储速度 I/O 接口速度：比较适合中低端千兆防火墙或者高端百兆防火墙,133M总线,CPU,存储器,133M总线,1,3,4,2,CPU + ASIC + 133M + 10/100M/1000M,防火墙的处理能力： 处理器的计算能力：普通CPU + ASIC 总线带宽：133M 存储器的存储速度 I/O 接口速度：高端百兆、千兆,ASIC,CPU + NPU + 133M +

8、 10/100M/1000M,防火墙的处理能力： 处理器的计算能力：普通CPU + NPU 总线带宽：133M 存储器的存储速度 I/O 接口速度：高端百兆、千兆,总线1,存储器,存储器,NPU1,NPU2,总线2,总线1,存储器,存储器,NPU1,NPU2,总线2,防火墙的硬件瓶颈： 处理器的计算能力：CPU+NPU+ASIC 总线带宽：多总线 存储器的存储速度 I/O 接口速度：高端百兆、千兆,CPU + NPU +ASIC + 133M + 10/100M/1000M,基于通用CPU的防火墙的特点,通用CPU的优点：高灵活性、高扩展性 通用CPU由于考虑了各种应用的需要，具有一般化的通用

9、体系结构和指令集，容易支持复杂的运算并容易开发新的功能。 随着通用CPU性能的快速提高，基于通用CPU防火墙的处理速度和能力将会大幅度提高，能够很好的适应多接口百兆、千兆防火墙的计算要求,基于ASIC加速技术防火墙的特点,ASIC：Application Specific Integrated Circuit，特定用途集成电路。 ASIC专用硬件加速技术主要是部分国外厂商的防火墙产品采用，如NetScreen的高端防火墙。ASIC作为硬件集成电路，它把指令或计算逻辑固化到硬件中，获得高处理能力，提升防火墙性能。 ASIC最大缺点是缺乏灵活性，支持有限的应用和服务。一旦指令或计算逻辑固化到硬件中

10、，就很难修改升级、增加新的功能或提高性能，使得资源重用率很低。而且，ASIC设计和制造周期长（设计和制造复杂ASIC一般需要花费1218个月），研发费用高，也使ASIC很难应对万变的网络新应用，所以基于ASIC技术，很难快速推出能满足用户需求不断变化的防火墙产品。,网络处理器（Network Processor，简称NP）顾名思义即专为网络数据处理而设计的芯片或芯片组。 能够直接完成网络数据处理的一般性任务，如TCP/IP数据的校验和计算、包分类、路由查找等，同时，硬件体系结构的设计也弥补了传统IA体系的不足，它们大多采用高速的接口技术和总线规范，具有较高的I/O能力。 基于网络处理器的网络设

11、备的包处理能力得到了很大提升，很多需要高性能的领域，如千兆交换机、防火墙、路由器的设计都可以采用网络处理器来实现。,Intel 公司第一代NP芯片,NP产品远未成熟，包括Terago公司倒闭（10Gbit/sNP） NP不少，产品接口却不统一，无法完成无缝的整合； NPU论坛（网络处理器论坛（NPF）正在推动相关标准的制定，但还很不完善； NP防火墙产品的测试标准并没有推出，有关测试方法的Benchmark都还没有制定出来 对复杂应用数据， NP的表现就不令人满意。例如分片数据包的重组和加密的处理。 目前在网络数据厂商中，采用NP技术的数量非常有限。,基于NP加速技术防火墙的特点,CPU +

12、33M总线 + 10/100/1000M网络接口 CPU + 133M总线 + 10/100/1000M网络接口 CPU + ASIC + 133M总线 + 10/100/1000M网络接口 CPU + NPU + 133M总线 + 10/100/1000M网络接口 CPU + NPU + ASIC + 133M总线 + 10/100/1000M网络接口 n个CPU + n个NPU + n个ASIC + n条总线 + n个10/100/1000网络接口,TopSEC 防火墙硬件结构种类,中低端,中高端,电信级产品,加密处理： 采用 ASIC 芯片 内容过滤：采用通用 CPU 网络报文处理：采用

13、 NPU,防火墙概述 防火墙分类 防火墙硬件技术 防火墙软件技术 防火墙分级 防火墙功能 防火墙性能 防火墙安全性 防火墙的“胖”与“瘦” 防火墙部署 防火墙管理 防火墙可靠性 防火墙典型应用 防火墙技术发展展望 怎样选择防火墙,提 纲,防火墙软件技术,简单包过滤防火墙 状态检测包过滤防火墙 应用代理防火墙 核检测防火墙,应用层,表示层,会话层,传输层,网络层,链路层,物理层,应用层,表示层,会话层,传输层,网络层,链路层,物理层,网络层,链路层,物理层,优点： 速度快，性能高 对应用程序透明,缺点： 安全性低 不能根据状态信息进行控制 不能处理网络层以上的信息 伸缩性差 维护不直观,简单包过

14、滤技术介绍,应用层,TCP 层,IP 层,网络接口层,IP,101010101,TCP,ETH,101010101,应用层,TCP 层,IP 层,网络接口层,101010101,只检查报头,101001001001010010000011100111101111011,001001001010010000011100111101111011,简单包过滤 防火墙的工作原理,简单包过滤防火墙不检查数据区 简单包过滤防火墙不建立连接状态表 前后报文无关 应用层控制很弱,应用层,表示层,会话层,传输层,网络层,链路层,物理层,应用层,表示层,会话层,传输层,网络层,链路层,物理层,状态检测技术介绍,应

15、用层,表示层,会话层,传输层,网络层,链路层,物理层,安全性高 能够检测所有进入防火墙网关的数据包 根据通信和应用程序状态确定是否允许包的通行 性能高 在数据包进入防火墙时就进行识别和判断 伸缩性好 可以识别不同的数据包 已经支持160多种应用，包括Internet应用、数据库应用、多媒体应用等 用户可方便添加新应用 对用户、应用程序透明,抽取各层的状态信息建立动态状态表,应用层,TCP 层,IP 层,网络接口层,IP,101010101,TCP,ETH,101010101,应用层,TCP 层,IP 层,网络接口层,101010101,只检查报头,10100100100101001000001

16、1100111101111011,001001001010010000011100111101111011,状态检测包过滤 防火墙的工作原理,不检查数据区 建立连接状态表 前后报文相关 应用层控制很弱,建立连接状态表,应用层,表示层,会话层,传输层,网络层,链路层,物理层,应用层,表示层,会话层,传输层,网络层,链路层,物理层,应用代理技术介绍,应用层,表示层,会话层,传输层,网络层,链路层,物理层,优点： 安全性高 提供应用层的安全,缺点： 性能差 伸缩性差 只支持有限的应用 不透明,FTP,HTTP,SMTP,应用层,TCP 层,IP 层,网络接口层,IP,101010101,TCP,ET

17、H,101010101,应用层,TCP 层,IP 层,网络接口层,101010101,只检查数据,101001001001010010000011100111101111011,001001001010010000011100111101111011,应用代理 防火墙的工作原理,不检查IP、TCP报头 不建立连接状态表 网络层保护比较弱,防火墙概述 防火墙分类 防火墙硬件技术 防火墙软件技术 防火墙分级 防火墙功能 防火墙性能 防火墙安全性 防火墙的“胖”与“瘦” 防火墙部署 防火墙管理 防火墙可靠性 防火墙典型应用 防火墙技术发展展望 怎样选择防火墙,提 纲,Host C,Host D,访问

18、控制功能,Access list to Access nat to any pass Access to block Access default pass,1010010101,规则匹配成功,基于源IP地址 基于目的IP地址 基于源端口 基于目的端口 基于时间 基于用户 基于流量 基于文件 基于网址 基于MAC地址,Internet,RADIUS服务器,S/KEY 认证服务器,RADIUS服务器,TACAS+ 服务器,chenaifeng,12354876,防火墙将认证信息传给真

19、正的RADIUS服务器,将认证结果传给防火墙,根据认证结果决定用户对资源的访问权限,身份认证功能,审计功能-日志分析,无日志 通信日志：即传统日志 通信源地址、目的地址、源目端口、通信时间、通信协议、字节数、是否允许通过 应用层命令日志： 在通信日志的基础之上，记录下各个应用层命令及其参数。例如HTTP请求及其要取的网页名。 访问日志： 即在通信日志的基础之上，记录下用户对网络资源的访问。它和应用层命令日志的区别是：应用层命令日志可以记录下大量的数据，有些用户可能不需要，如协商通信参数过程等。例如针对FTP协议，访问日志只记录下读、写文件的动作 内容日志： 即在应用层命令日志的基础之上，还记录

20、下用户传输的内容。如用户发送的邮件，用户取下的网页等。但因为这个功能涉及到隐私问题，所以在普通的防火墙中没有包含 Firewall 5G 对所有的应用层协议都可以进行通信日志，而命令日志、访问日志、内容日志目前支持HTTP、FTP、SMTP、POP3、TELNET、RSH、RLOGIN等协议 日志分析工具 自动产生各种报表，智能化的指出网络可能的安全漏洞,Clint,响应请求,发送请求,通信日志,通信日志,通信信息,69,70,初步审计-通信日志,Clint,响应请求,发送请求,命令日志,命令日志,69,7

21、0,深度审计1-应用层命令日志,命令信息,Clint,响应请求,发送请求,访问日志,访问日志,69,70,深度审计2-访问日志,访问信息,Clint,响应请求,发送请求,内容日志,内容日志,69,70,深度审计3-内容日志,内容信息,支持集中审计,安全审计中心,1010101,Intranet,灵活的带宽管理功能,WWW,Mail,DNS,出口带宽 512K,DMZ 区保留 256K,分配 70K 带宽,分配 90K 带宽,分配 96K 带宽,DMZ 区域,内部网络,总带宽512 K,内网256 K,DMZ

22、 256 K,70 K,90 K,96 K,+,+,+,财务子网,采购子网,生产子网,财务子网,采购子网,生产子网,Internet,WWW 1,WWW 2,WWW 3,服务器负载均衡功能,负载均衡算法： 顺序选择地址+权值 根据PING的时间间隔来选择地址+权值 根据Connect的时间间隔来选择地址+权值 根据Connect然后发送请求并得到应答的时间间隔来选择地址+权值,根据负载均衡算法将数据重定位到一台WWW服务器,服务器阵列,响应请求,受保护网络,Internet,IDS,黑客,发送通知报文,验证报文并 采取措施,发送响应报文,识别出攻击行为,阻断连接或者报警等,联动功能1- 与ID

23、S 的安全联动,能与国内30多家主流IDS产品进行无缝联动,联动功能2-与病毒网关的安全联动,Internet,110010101,病毒服务器,100010101,000010101,待发数据,110010101,100010101,000010101,110010101,100010101,000010101,pass,pass,无病毒转发最后一个报文，如带有病毒则丢弃最后一个报文,协议还原 检查病毒,没有发现病毒可以放过最后一个报文,接收数据,接收数据,内部网络,Internet,URL 服务器,可以访问 吗？,Ok!,联动功能3-与URL服务器的安全联动,Internet,Host B,

24、,Host C,,Host D,,00-50-04-BB-71-A6,00-50-04-BB-71-BC,BIND To 00-50-04-BB-71-A6,BIND To 00-50-04-BB-71-BC,IP与MAC地址绑定后，不允许Host B假冒Host A的IP地址上网,防火墙允许Host A上网,跨路由器,IP与MAC（用户）绑定功能,Internet,公开服务器可以使用私有地址 隐藏内部网络的结构,,,,M

25、AP ：80 TO ：80,MAP ：21 TO ：21,MAP ：53 TO ：53,MAP ：25 TO ：25,,,MAP (端口映射)功能,受保护网络,Host C,Host D,1,5,源地址：1 目地址：4,源地址： 目地址：20

26、4,,隐藏了内部网络的结构 内部网络可以使用私有IP地址 公开地址不足的网络可以使用这种方式提供IP复用功能,NAT (地址转换)功能,Trunk 口,Trunk 口,VLAN 1,VLAN 2,支持VLAN的交换机,Trunk 口,Trunk 口,VLAN 1,VLAN 2,Switch1,Switch 2,同一交换机的不同 VLAN 之间通讯,不同交换机的同一 VLAN 之间通讯,不支持TRUNK的防火墙无法在这种环境下工作,不支持TRUNK的防火墙无法在这种环境下工作,适应性1-VLAN应用环境,天融信防火墙支持802.1Q、ISL封装协议,适

27、应性2-DHCP应用环境,Internet,DHCP服务器,Host A,Host B,Host C,Host D,Host E,Host F,没有固定IP地址,只允许Host B上网,设定Host B的MAC地址,设定Host B的IP地址为空,根据Host B的MAC地址进行访问控制,天融信防火墙支持基于MAC地址的过滤，对于跨网段环境防火墙还提供一个自动运行的客户端来获取动态IP,建立连接并维持连接状态直到查询结束,适应性3 - 数据库应用环境,数据库查询一般需要比较长的时间，这些通讯连接建立成功后可能暂时没有数据通过（空连接），需要在防火墙里面维护这个连接状态，直到查询结束，普通防火墙

28、在连接建立一段时间后如果没有数据通讯会自动切断连接，导致业务不能正常运行,需要较长的查询时间,天融信防火墙支持普通连接、长连接等选择模式，可以灵活设置连接时间,中国教育网,Internet,,,,,,Host A：,Host B：,Host C：,,内网,根据源、目地址来进行路由,主机B直接连接Internet,主机A通过教育网上Internet,适应性4 - 源目路由环境,NETBEUI协议 OSPF协

29、议 RIP协议 H.323协议,INTERNET,适应性4 - 复杂应用环境,防火墙概述 防火墙分类 防火墙硬件技术 防火墙软件技术 防火墙分级 防火墙功能 防火墙性能 防火墙安全性 防火墙的“胖”与“瘦” 防火墙部署 防火墙管理 防火墙可靠性 防火墙典型应用 防火墙技术发展展望 怎样选择防火墙,提 纲,防火墙的“胖”与“瘦”,由于防火墙在网络中所处的重要位置，因此，人们对防火墙可以说是寄予厚望。现在防火墙正在不断增加各种各样的新功能，因此防火墙正在急剧“长胖”。,“胖”防火墙是指功能大而全的防火墙，它力图将安全功能尽可能多地包含在内，从而成为用户网络的一个安全平台； “瘦”防火墙是指功能少而

30、精的防火墙，它只作访问控制的专职工作，对于综合安全解决方案，则采用多家安全厂商联盟的方式来实现。,“胖”、“瘦”防火墙的定义,访问控制,病毒防护,入侵检测,交换路由,内容过滤,信息审计,传输加密,其他,胖防火墙,胖防火墙的优势,首先是功能全 其次是控制力度细 第三是协作能力强 降低采购和管理成本,胖防火墙的不足,主要表现在性能降低 其次是自身安全性差 还有专业性不强，表现为功能模块的拼凑 第四是稳定性差，系统越大，BUG越多 最后是配置复杂，不合理的配置会带来更大的安全隐患。,瘦防火墙的优势,访问控制,病毒防护,入侵检测,交换路由,内容过滤,信息审计,传输加密,其他,瘦防火墙,性能高 注重核心

31、功能，专业性强 整体安全性高 配置简单，简化对管理员的专业要求,相互联动,瘦防火墙的不足,首先是功能单一 其次是整体防护能力较弱,胖瘦防火墙之争,一种观点认为，要采取分工协作，防火墙应该做得精瘦，只做防火墙的专职工作，可采取多家安全厂商联盟的方式来解决； 另一种观点认为，把防火墙做得尽量的胖，把所有安全功能尽可能多地附加在防火墙上，成为一个集成化的网络安全平台。,用户的价值取向一,“胖”防火墙追求的是一站式服务，目前它只适应中小型企业，尤其是低端用户。他们出于经济上的考虑以及管理上的成本，更主要的是出于安全的实际需求，希望一个设备可以为这种小型网络实现整体安全防护，所以对这种大而全的“胖”东西

32、非常感兴趣。,用户的价值取向二,大型用户倾向使用独立安全设备，发挥每种产品最大效果。安全需求广泛，专业性要求强，安全投入较大，自身安全管理能力较高。 针对这类用户，为了要满足多种安全需求，在设计安全解决方案时，通常会考虑以安全管理为核心，以多种安全产品的联动为基础，如防火墙与IDS和防病毒全面互动形成动态防御体系。,防火墙：胖瘦总相宜,随着安全需求的细化、硬件计算能力的增加，胖防火墙和瘦防火墙之间的界限也会逐步走向统一。 一方面硬件处理能力的大幅度提高（ASIS芯片、NP等）使得防火墙可以集成更多的功能模块成为可能； 另一方面安全标准技术的推进，使得不同安全产品之间的联动变得更加容易，这样推出

33、功能更简单性能更高且支持标准联动协议的专业防火墙更为适应市场的需要。 以后更多的趋势是考虑现有成熟安全产品之间如何通过标准的协议和接口进行更好的互动，从而构建一个相当于“胖防火墙”作用的整体防御体系，这个体系将更加灵活、方便、易于构建，而且会具有更大的可扩展性。,构建联动一体的安全体系,无论是“胖”防火墙的集成，还是“瘦”防火墙的联动，安全产品正在朝着体系化的结构发展，所谓“胖瘦”不过是这种体系结构的两种表现方式，“胖”将这种体系表现在一个产品中，而“瘦”将这种体系表现在一组产品或是说一个方案中。 同时，这种体系化的结构需要完善的安全管理，也就是说，通过安全管理中心产品，整合系列安全产品，构架

34、成联动一体的产品体系，实现对用户、资源和策略的统一管理，确保整体解决方案的安全一致性，是构建网络安全系统的大趋势。,防火墙概述 防火墙分类 防火墙硬件技术 防火墙软件技术 防火墙分级 防火墙功能 防火墙性能 防火墙安全性 防火墙的“胖”与“瘦” 防火墙部署 防火墙管理 防火墙可靠性 防火墙典型应用 防火墙技术发展展望 怎样选择防火墙,提 纲,受保护网络,Internet,如果防火墙支持透明模式，则内部网络主机的配置不用调整,,同一网段,透明模式下，这里不用配置IP地址,透明模式下，这里不用配置IP地址,Default Gateway=,防火墙相当于网桥，原网络结构没有改变,NO.1 透明接入,Internet,内部网,,ETH0：,ETH1：,ETH2：202.