防火墙知识介绍

防火墙知识介绍现状Internet的发展呈现新特点：

新型网络应用层出不穷，在线视频、互动游戏、实时语音通信等

P2P应用无处不在，占用更大的带宽，Bt、迅雷、电驴等

数据包更小、流量更大网络的安全问题日益严重：安全的风险更大，Web迅雷等应用，利用80开放端口安全威胁手段越来越多样化，新的应用层攻击不断涌现防火墙的重要性：根据《信息系统等级保护安全设计技术要求》定级系统安全保护环境，由安全计算环境、安全区域边界、安全通信网络和（或）安全管理中心构成。防火墙作为网络区域边界安全防护设备，扮演着极其重要的角色。发展现状不良网站DDOS网络攻击网络病毒/蠕虫IM/P2P带宽滥用非法访问Internet商业间谍Intranet访问控制数据安全加密P2P/IM应用限制/带宽限制DDOS攻击防御内网地址隐藏黑客第2页,共37页，2024年2月25日，星期天防火墙概述内部网络内部网络2内部网络1防火墙的功能：实现内部网与internet的隔离；不同安全级别内部网之间的隔离。 一切未被允许的就是禁止的！Internet第3页,共37页，2024年2月25日，星期天可以对应用层数据进行处理对数据包的检测能力比较强双向通信必须通过应用代理，禁止IP转发难于配置处理速度慢可以重组会话，记录会话状态对网络数据进行更细粒度的检测数据吞吐率较高对会话内容的处理不够采用状态检测包过滤技术采用应用代理技术防火墙的发展数据吞吐率较高易配置对应用完全透明对会话内容无法监测，安全性能较低包过滤防火墙应用代理防火墙状态检测包过滤防火墙复合型过滤防火墙第4页,共37页，2024年2月25日，星期天防火墙：包过滤技术应用层表示层会话层传输层网络层数据链路层物理层应用层表示层会话层传输层网络层数据链路层物理层应用层表示层会话层传输层网络层数据链路层物理层客户端防火墙服务器包过滤引擎包过滤防火墙工作原理包过滤防火墙，对单个包本身信息如源地址、目的地址、端口号等进行检测，允许和拒绝包的决定完全取决于包自身所包含的信息。不对包在信息流中的位置的信息进行检测。第5页,共37页，2024年2月25日，星期天防火墙：包过滤技术检查项IP

包的源地址IP包的目的地址TCP/UDP源端口IP包检测包头检查路由安全策略：过滤规则路由表包过滤防火墙转发符合不符合丢弃包过滤防火墙转发原理第6页,共37页，2024年2月25日，星期天应用层表示层会话层传输层网络层数据链路层物理层应用层表示层会话层传输层网络层数据链路层物理层应用层表示层会话层传输层网络层数据链路层物理层客户端防火墙（代理网关）服务器应用防火墙工作原理客户端服务器2：防火墙对客户端的访问进行控制1：客户端访问服务器需先访问防火墙3：防火墙代替客户端向服务器发送请求FTP、HTTP、SMTP对每一个通过防火墙的数据包进行逐层的拆包、比对、再封装逐层的拆包、比对、封装第7页,共37页，2024年2月25日，星期天应用层表示层会话层传输层网络层数据链路层物理层应用层表示层会话层传输层网络层数据链路层物理层应用层表示层会话层传输层网络层数据链路层物理层客户端防火墙服务器状态检测引擎会话连接状态、上下文信息监控状态检测防火墙工作原理状态检测防火墙不仅是跟踪包中包含的信息。还对包的状态，有用的信息进行跟踪，例如已有的网络连接、数据的传出请求等。第8页,共37页，2024年2月25日，星期天检查项IP

包的源、目的地址、端口TCP会话的连接状态上下文信息状态检测防火墙技术特点IP包检测包头下一步处理安全策略：过滤规则会话连接状态缓存表状态检测包过滤防火墙符合不符合丢弃符合第9页,共37页，2024年2月25日，星期天不同架构对比可扩展、集成化的架构；结合了专用的硬件加速和高性能多核处理器架构技术，数据包、内容检测效率高。采用可编程的ASIC网络处理器（NP）；兼具了ASIC的性能和通用处理器的功能；无法实现深度报文检测（数据内容）。采用专用IC集成电路；基于硬件的数据处理，转发速率高；系统升级难，高层业务流识别难。采用通用处理器（如：x86）；数据处理由软件实现，易升级；处理能力低，带宽低、吞吐率低、稳定性差。多核网络处理器+控制管理CPU可编程网络处理器+控制管理CPUASIC芯片+控制管理CPUOS内核IP协议栈+通用服务器平台第10页,共37页，2024年2月25日，星期天永达AFW2000防火墙采用多核网络处理器+控制管理CPU的架构采用状态检测包过滤技术及应用代理技术相结合的复合型过滤防火墙精细的用户访问控制深度网络行为分析防火墙+VPN强强联合增强型抗攻击超强的网络适用性丰富的安全防范手段第11页,共37页，2024年2月25日，星期天网络的安全性第12页,共37页，2024年2月25日，星期天精细的用户访问控制基于Web的无客户端认证用户身份认证：本地认证，第三方认证Radius/LDAP/AD认证用户的网络行为管理：实时连接监控和管理，基于用户的流量限制、时间监控,基于用户的策略InternetRADIUS服务器OTP认证服务器AETHER

********FW将认证信息传给RADIUS服务器进行认证将认证结果传给防火墙根据认证结果决定用户对资源的访问权限第13页,共37页，2024年2月25日，星期天带宽管理、QOS（服务质量）Web服务器视频应用服务器客户机客户机客户机浏览下载一级二级三级视频Ftp服务器带宽管理规则库内网外网流量帐户管理、实时精确的流量控制基于IP地址和用户组（IP段）的流量编组基于时间段、应用服务进行带宽分配管理基于优先级的带宽控制，优先级可达8级第14页,共37页，2024年2月25日，星期天Bt、迅雷、电驴、电骡等10种P2P应用P2P应用控制和带宽限制MSN、QQ、Skype等及时通信工具的控制即时通信应用控制支持SIP/H.323/Ftp/PPTP/RTSP等动态协议动态协议解析深度内容过滤深度网络行为分析HTTP、FTP、POP3、SMTP的内容检测和病毒过滤第15页,共37页，2024年2月25日，星期天深度内容过滤对应用数据内容的安全过滤FTP过滤邮件过滤HTTP内容过滤支持文件名、数据链接的关键字和命令过滤，并禁止多线程下载。收发件人、主题、邮件附件的内容、邮件中转过滤，限定收件人数量以及强大的邮件病毒检测。URL过滤，网页关键字过滤，特殊代码的剥离（如JAVA,JAVASCRIPT，ACTIVEX等）。第16页,共37页，2024年2月25日，星期天状态包过滤永达防火墙可以基于数据包的MAC地址、源地址、目的地址、源端口、目标端口、协议标志位对连接的状态进行监测，极大地提高了系统的性能。WebServerFTP/SMTPServer

源目的根据预定义的规则列表，进行状态包过滤。第17页,共37页，2024年2月25日，星期天入侵检测Internet隔离区EmailFtpHTTP财务部市场部研发部Router来自内部的攻击来自外部的攻击告警!攻击次数比率(%)源地址目的地址攻击方法2013.0702IDS127-TELNET-oginIncorrect

入侵特征库深入到应用层，结合特征库快速扫描流量并匹配IDS特征。将攻击源的详细信息进行审计。第18页,共37页，2024年2月25日，星期天应用代理

提供对常用高层应用服务（HTTP、FTP、SMTP、POP3、TELNET、ICMP）的透明代理。使用代理时，支持用户认证和内容过滤。客户端服务器2：防火墙对客户端的访问进行控制1：客户端访问服务器需先访问防火墙3：防火墙代替客户端向服务器发送请求FTPHTTPSMTP第19页,共37页，2024年2月25日，星期天增强型抗攻击AllchartsanddiagramsdrawnupwithgreatdetailandconsistsofeditableshapesAFW2000自身防御：管理端口仅对相应的管理主机开放；管理端口具有FLOOD攻击防御能力；防火墙自身不存在扫描漏洞。常用攻击：PingFlood、UdpFlood、SynFlood、Teardrop、Sweep、Land、PingofDeath、Smurf；其他攻击：源路由攻击、地址欺骗碎片攻击、Fin扫描攻击、圣诞树攻击、Null等。第20页,共37页，2024年2月25日，星期天防火墙+VPN刚柔结合防火墙+VPNVPN设备，可以做到数据内容的私密性、完整性，但设备容易被攻击；防火墙通过防火墙策略控制IPSecVPN流量VPN加密隧道也可以进行防火墙和防病毒检查可以通过冗余的ISP连接来建立冗余的VPN隧道加密算法DES/3DES/AES认证算法MD5/SHA-1IPsec协议ESP/AH/ESP+AH认证方式预共享密钥、数字证书协议IPsec、L2TPIPsecNAT穿越支持星型结构VPN支持VPN链路备份支持第21页,共37页，2024年2月25日，星期天坚固数据安全网络AFW2000生产部市场部财政部人事部Internet家庭用户应用服务商移动用户保税区企业保税区企业保税区企业保税区企业VPN连接第22页,共37页，2024年2月25日，星期天网络的适用性第23页,共37页，2024年2月25日，星期天负载均衡支持动态负载均衡算法，针对对外提供的服务进行均衡，将访问均摊给内部服务器。INTERNETWeb服务器3Web服务器1Web服务器2INTERNET内网防火墙集群支持32台防火墙集群，机群间进行负载均衡负载均衡第24页,共37页，2024年2月25日，星期天正向NAT隐藏内部网络的IP地址及内部网络结构节约有效的IP地址空间Internet6HostC内部网络HostAHostB数据IP报头数据IP报头源地址：目地址：6源地址：8目地址：6eth1:eth2:8第25页,共37页，2024年2月25日，星期天反向NAT（端口映射）InternetWWW1FTP2MAIL3DNS4输入：1:80->:802:21->:213:25->:254:53->:53第26页,共37页，2024年2月25日，星期天透明接入模式网络A网络B192.168.0.X/24192.168.0.X/24透明模式下，这里不用配置IP地址透明模式下，这里不用配置IP地址透明模式下，网络A和网络B不用做任何调整第27页,共37页，2024年2月25日，星期天路由模式网络A192.168.0.X/24/24202.16.1.x/26202.16.1.y/26路由模式下，防火墙的内外网接口必须配置不同的IP地址INTERNET支持源/目的地址路由、支持基于协议的策略路由、动态路由第28页,共37页，2024年2月25日，星期天混合接入防火墙隔离区（DMZ）内网1内网2网桥INTERNETNAT第29页,共37页，2024年2月25日，星期天可靠性、管理性第30页,共37页，2024年2月25日，星期天内网可靠性HABeatRouterSwitchSwitchINTERNET内网支持双主机热备份一旦防火墙设备出现故障，能够快速平滑切换支持链路备份SwitchRouterINTERNET第31页,共37页，2024年2月25日，星期天WEB方式管理：永达防火墙支持基于HTTPS的Web方式管理。命令行方式管理：支持串口命令行管理，SSH命令行管理。集中管理：防火墙具备集中管理的功能，可以通过永达的集中管理工具进行集中管理。集中管理包括拓扑生成、全局集中日志审计、全局集中监控。支持管理员分级，支持超级管理员、管理员、只读管理员、日志管理员多种管理身份。支持内部日志数据库、Syslog、远程系统日志服务器强大的管理功能第32页,共37页，2024年2月25日，星期天典型应用第33页,共37页，2024年2月25日，星期天数据服务器防护1、IDC托管服务器2、企业客户对外服务器3、政府、涉密单位内网服务器4、金融数据机房服务器群Web服务器对外服务器区DNS服务器INTERNETIDC托管机房

金融数据机房服务器防护内网服务器区1、支持抗DDOS攻击，识别率高2、内置杀毒引擎，防止病毒侵害服务器3、支持并发连接、新建连接的限制，智能识别业务类型，转发核心业务数据，有效提高服务器的效率永达优势第34页,共37页，2024年2月25日，星期天边界防护Web服务器电信公司总部办公网公司总部信息发布网公司总部业务网业务服务器分支机构1、Internet出口2、政企专网出口网络接入1、多种NAT类型的转换，隐藏内部真实地址2、大容量NAT并发数，性能强劲3、多出口业务负载均衡，网络结构稳定性高永达优势业务专网、广域网网通第35页,共37页，2024