《防火墻基本功能教程ppt課件》由會員分享，可在線閱讀，更多相關(guān)《防火墻基本功能教程ppt課件（48頁珍藏版）》請?jiān)谘b配圖網(wǎng)上搜索。

培訓(xùn)目標(biāo) 學(xué)完本課程后 您應(yīng)該能 了解防火墻的定義掌握防火墻的主要功能了解防火墻的分類 目錄 第一節(jié)防火墻的定義第二節(jié)防火墻的主要功能第三節(jié)防火墻的分類第四節(jié)防火墻工作模式第五節(jié)防火墻處理流程第六節(jié)防火墻基本概念 引入 隨著Internet的日益普及 開放式的網(wǎng)絡(luò)帶來了許多不安全的隱患 在開放網(wǎng)絡(luò)式的網(wǎng)絡(luò)上 我們的周圍存在著許多不能信任的計(jì)算機(jī) 包括在一個(gè)LAN之間 這種這些計(jì)算機(jī)對我們私有的一些敏感信息造成了很大的威脅 在大廈的構(gòu)造中 防火墻被設(shè)計(jì)用來防止火災(zāi)從大廈的一部分傳播到大廈的另一部分 我們所涉及的 防火墻 具有類似的目的 防止Internet的危險(xiǎn)傳播到你的內(nèi)部網(wǎng)絡(luò) 什么是防火墻 防火墻 FireWall 網(wǎng)絡(luò)安全的第一道防線 是位于兩個(gè)信任程度不同的網(wǎng)絡(luò)之間 如企業(yè)內(nèi)部網(wǎng)絡(luò)和Internet之間 的設(shè)備 它對兩個(gè)網(wǎng)絡(luò)之間的通信進(jìn)行控制 通過強(qiáng)制實(shí)施統(tǒng)一的安全策略 防止對重要信息資源的非法存取和訪問以達(dá)到保護(hù)系統(tǒng)安全的目的 防火墻 硬件 軟件 控制策略寬松控制策略 除非明確禁止 否則允許 限制控制策略 除非明確允許 否則禁止 防火墻在安全體系中的位置 門防火墻 監(jiān)視器入侵檢測系統(tǒng) 保安員掃描器 漏洞查找 安全傳輸加密 VPN 門禁系統(tǒng)身份認(rèn)證 訪問控制 監(jiān)控室安全管理中心 加固的房間系統(tǒng)加固 免疫 目錄 第一節(jié)防火墻的定義第二節(jié)防火墻的主要功能第三節(jié)防火墻的分類第四節(jié)防火墻工作模式第五節(jié)防火墻處理流程第六節(jié)防火墻基本概念 防火墻的功能 防火墻能提供的功能 監(jiān)控和審計(jì)網(wǎng)絡(luò)的存取和訪問 過濾進(jìn)出網(wǎng)絡(luò)的數(shù)據(jù) 管理進(jìn)出網(wǎng)絡(luò)的訪問行為部署于網(wǎng)絡(luò)邊界 兼?zhèn)涮峁┚W(wǎng)絡(luò)地址翻譯 NAT 虛擬專用網(wǎng) VPN 等功能防病毒 入侵檢測 認(rèn)證 加密 遠(yuǎn)程管理 代理 深度檢測對某些協(xié)議進(jìn)行相關(guān)控制攻擊防范 掃描檢測等 防火墻的基本功能模塊 先進(jìn)的防火墻 先進(jìn)的硬件體系結(jié)構(gòu) 強(qiáng)大的功能 豐富的業(yè)務(wù)支持 電信級的高可靠性 增強(qiáng)的日志統(tǒng)計(jì)功能 防火墻的局限性 防火墻不是解決所有網(wǎng)絡(luò)安全問題的萬能藥方 只是網(wǎng)絡(luò)安全政策和策略中的一個(gè)組成部分 是保衛(wèi)網(wǎng)絡(luò)安全的第一道門戶 防火墻和路由器的差異 路由器的特點(diǎn) 1 保證互聯(lián)互通 2 按照最長匹配算法逐包轉(zhuǎn)發(fā) 3 路由協(xié)議是核心特性 防火墻的特點(diǎn) 1 邏輯子網(wǎng)之間的訪問控制 關(guān)注邊界安全2 基于連接的轉(zhuǎn)發(fā)特性 3 安全防范是防火墻的核心特性 LAN WAN 目錄 第一節(jié)防火墻的定義第二節(jié)防火墻的主要功能第三節(jié)防火墻的分類第四節(jié)防火墻工作模式第五節(jié)防火墻處理流程第六節(jié)防火墻基本概念 防火墻的分類 按照防火墻實(shí)現(xiàn)的方式 一般把防火墻分為如下幾類 包過濾防火墻 PacketFiltering 代理型防火墻 ApplicationGateway 狀態(tài)檢測防火墻 StateDetect 目前防火墻的主流產(chǎn)品為狀態(tài)檢測防火墻 包過濾防火墻 PacketFiltering 包過濾防火墻 PacketFiltering 續(xù) 規(guī)則的定義就是按照IP數(shù)據(jù)包的特點(diǎn)定義的 可以充分利用上述條件定義通過防火墻數(shù)據(jù)包的條件 協(xié)議號源地址目的地址 源端口目的端口 IP報(bào)頭 TCP UDP報(bào)頭 數(shù)據(jù) 包過濾防火墻 PacketFiltering 續(xù) 優(yōu)點(diǎn) 設(shè)計(jì)簡單 非常易于實(shí)現(xiàn) 而且價(jià)格便宜 其缺點(diǎn)也缺點(diǎn) 基于網(wǎng)絡(luò)層的安全技術(shù) 對于應(yīng)用層的黑客行為無能為力 包過濾防火墻對于任何應(yīng)用需要配置雙方向的ACL規(guī)則 不能提供差異性保護(hù) 隨著ACL復(fù)雜度和長度的增加 其過濾性能成指數(shù)下降趨勢 靜態(tài)的ACL規(guī)則難以適應(yīng)動(dòng)態(tài)的安全要求 代理型防火墻 ApplicationGateway 代理服務(wù)作用于網(wǎng)絡(luò)的應(yīng)用層 其實(shí)質(zhì)是把內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)用戶之間直接進(jìn)行的業(yè)務(wù)由代理接管 代理檢查來自用戶的請求 認(rèn)證通過后 該防火墻將代表客戶與真正的服務(wù)器建立連接 轉(zhuǎn)發(fā)客戶請求 并將真正服務(wù)器返回的響應(yīng)回送給客戶 服務(wù)器 客戶機(jī) 安全策略 審計(jì)監(jiān)控 報(bào)警 WWW FTP Email 代理 代理型防火墻 ApplicationGateway 續(xù) 代理型防火墻 ApplicationGateway 續(xù) 優(yōu)點(diǎn) 代理防火墻能夠完全控制網(wǎng)絡(luò)信息的交換 控制會話過程 具有較高的安全性 缺點(diǎn) 軟件實(shí)現(xiàn)限制了處理速度 易于遭受拒絕服務(wù)攻擊 需要針對每一種協(xié)議開發(fā)應(yīng)用層代理 升級很困難 因此代理型防火墻不能支持很豐富的業(yè)務(wù) 只能針對某些應(yīng)用提供代理支持 代理型防火墻使得防火墻做為一個(gè)訪問的中間節(jié)點(diǎn) 對Client來說防火墻是一個(gè)Server 對Server來說防火墻是一個(gè)Client 轉(zhuǎn)發(fā)性能低 代理型防火墻很難組成雙機(jī)熱備的組網(wǎng) 因?yàn)闋顟B(tài)無法保持同步 狀態(tài)檢測防火墻 StateDetect 狀態(tài)檢測是一種高級通信過濾 狀態(tài)分析技術(shù)是包過濾技術(shù)的擴(kuò)展 非正式的也可稱為 動(dòng)態(tài)包過濾 狀態(tài)檢測防火墻 StateDetect 續(xù) 狀態(tài)檢測防火墻 StateDetect 續(xù) 狀態(tài)防火墻具有以下優(yōu)點(diǎn) 速度快 安全性高 性能衡量指標(biāo) 吞吐量延時(shí)最大并發(fā)連接數(shù)最大新建并發(fā)連接數(shù) 吞吐量 Throughput 吞吐量 防火墻能同時(shí)處理的最大數(shù)據(jù)量 有效吞吐量 除掉TCP因?yàn)閬G包和超時(shí)重發(fā)的數(shù)據(jù) 實(shí)際的每秒傳輸有效速率 時(shí)間間隔 Smartbits6000B 最后一個(gè)比特進(jìn)入 第一個(gè)比特輸出 包需要在隊(duì)列中被檢測后才可以轉(zhuǎn)發(fā) 包到達(dá)延遲 延時(shí) 定義 數(shù)據(jù)包的最后一個(gè)比特進(jìn)入防火墻到第一個(gè)比特輸出防火墻的時(shí)間間隔指標(biāo) 延時(shí)是用于測量防火墻處理數(shù)據(jù)的速度 最大并發(fā)連接數(shù) 定義 由于防火墻是針對連接進(jìn)行處理報(bào)文的 并發(fā)連接數(shù)目是指的防火墻可以同時(shí)容納的最大的連接數(shù)目 一個(gè)連接就是一個(gè)TCP UDP的訪問 該參數(shù)是用來衡量主機(jī)和服務(wù)器間能同時(shí)建立的最大連接數(shù) 并發(fā)連接 并發(fā)連接 最大新建并發(fā)連接數(shù) 指每秒鐘可以通過防火墻建立起來的完整TCP連接 該指標(biāo)是用來衡量防火墻隨數(shù)據(jù)流的實(shí)時(shí)處理能力 目錄 第一節(jié)防火墻的定義第二節(jié)防火墻的主要功能第三節(jié)防火墻的分類第四節(jié)防火墻工作模式第五節(jié)防火墻處理流程第六節(jié)防火墻基本概念 防火墻的工作模式 Mode 防火墻能夠工作在三種模式下 路由模式透明模式混合模式 路由模式 Mode 透明模式 Mode 混合模式 Mode 目錄 第一節(jié)防火墻的定義第二節(jié)防火墻的主要功能第三節(jié)防火墻的分類第四節(jié)防火墻工作模式第五節(jié)防火墻處理流程第六節(jié)防火墻基本概念 路由器的基本工作流程 防火墻概要處理流程圖 路由模式 透明模式 概要處理流程圖 防火墻上行處理 流程圖 收包 增強(qiáng)的SYNFlood攻擊防范處理 黑名單處理 單包攻擊防范 非法報(bào)文丟棄 基于五元組查找會話表 IPSpoofing攻擊 查找Servermap表 上行處理完成 NAT處理 找到 未找到 防火墻下行處理 流程圖 防火墻轉(zhuǎn)發(fā)處理 快速轉(zhuǎn)發(fā) 防火墻快轉(zhuǎn)流程只適用于200 處理過程和上面類似 1 為了提高轉(zhuǎn)發(fā)效率 2 為了進(jìn)一步提高防火墻的轉(zhuǎn)發(fā)效率 采用了cache機(jī)制 3 實(shí)現(xiàn)了會話表的觸發(fā)更新 目錄 第一節(jié)防火墻的定義第二節(jié)防火墻的主要功能第三節(jié)防火墻的分類第四節(jié)防火墻工作模式第五節(jié)防火墻處理流程第六節(jié)防火墻基本概念 防火墻基本概念 安全區(qū)域 Zone 防火墻的內(nèi)部劃分為多個(gè)區(qū)域 所有的轉(zhuǎn)發(fā)接口都唯一的屬于某個(gè)區(qū)域 域 Zone 域是防火墻上引入的一個(gè)重要的邏輯概念 通過將接口加入域并在安全區(qū)域之間啟動(dòng)安全檢查 稱為安全策略 從而對流經(jīng)不同安全區(qū)域的信息流進(jìn)行安全過濾 防火墻基本概念 安全區(qū)域 Zone 續(xù) 根據(jù)防火墻的內(nèi)部劃分的安全區(qū)域關(guān)系 確定其所連接網(wǎng)絡(luò)的安全區(qū)域 防火墻上預(yù)定義了4個(gè)安全區(qū)域 本地區(qū)域Local 指防火墻本身 受信區(qū)域Trust 非軍事化區(qū)域DMZ DemilitarizedZone 非受信區(qū)域Untrust 用戶可以根據(jù)需要自行添加新的安全區(qū)域 會話 會話 Session 防火墻是狀態(tài)防火墻 采用會話表維持通信狀態(tài) 會話表包括五個(gè)元素 源IP地址 源端口 目的IP地址 目的端口和協(xié)議號 當(dāng)防火墻收到報(bào)文后 根據(jù)上述五個(gè)元素查詢會話表 并根據(jù)具體情況進(jìn)行如下操作 防火墻基本概念 多通道協(xié)議 服務(wù)表項(xiàng) 多通道協(xié)議 應(yīng)用在進(jìn)行通訊或提供服務(wù)時(shí)需要建立兩個(gè)以上的會話 通道 其中有一個(gè)控制通道 其他的通道是根據(jù)控制通道中雙方協(xié)商的信息動(dòng)態(tài)創(chuàng)建的 一般我們稱之為數(shù)據(jù)通道或子通道 這樣的協(xié)議我們稱為多通道協(xié)議 ServerMap 對于多通道協(xié)議 比如FTP 五元組過于嚴(yán)厲 導(dǎo)致多通道協(xié)議無法通過會話檢查 所以為了達(dá)到對多通道協(xié)議的支持 開發(fā)除了ServerMap這樣的數(shù)據(jù)結(jié)構(gòu) 防火墻基本概念 ASPF 豐富的ASPF功能保證開展業(yè)務(wù)時(shí)安全性得到保證 ASPF ApplicationSpecificPacketFilter 是一種改進(jìn)的高級通信過濾技術(shù) ASPF不但對報(bào)文的網(wǎng)絡(luò)層的信息進(jìn)行檢測 還能對豐富的應(yīng)用層協(xié)議進(jìn)行深度檢測 支持多媒體業(yè)務(wù)的NAT以及安全防范功能 可以針對某些多通道協(xié)議 例如FTP 報(bào)文中的內(nèi)容動(dòng)態(tài)決定是否允許其通過防火墻 ASPF對多通道協(xié)議的支持 用戶192 168 0 1 防火墻 FTPserver19 49 10 10 三次握手 防火墻創(chuàng)建Servermap表項(xiàng) 三次握手 Port192 168 0 1 89 Port192 168 0 1 89 200PortCommandOK RETRSample txt RETRSample txt 200PortCommandOK 150OpeningASCIIconnection 150OpeningASCIIconnection SYN 檢測Servermap表項(xiàng) 創(chuàng)建臨時(shí)規(guī)則 打開FTP通道 192 168 0 1 22787 192 168 0 1 22787 SYN 防火墻產(chǎn)品技術(shù)發(fā)展趨勢 軟件 ASIC技術(shù) 處理性能 軟硬結(jié)合 NP技術(shù) 技術(shù)發(fā)展 多核技術(shù)