防火墻技術和原理,北京天融信公司,地址：北京市海淀區上地東路1號華控大廈3層網址：,防火墻基本概念防火墻發展歷程防火墻核心技術防火墻功能與原理防火墻的接入方式防火墻的典型應用防火墻性能防火墻局限性防火墻的兩個爭議,目錄,一種高級訪問控制設備，置于不同網絡安全域之間的一系列部件的組合，它是不同網絡安全域間通信流的唯一通道，能根據企業有關的安全政策控制（允許、拒絕、監視、記錄）進出網絡的訪問行為。,兩個安全域之間通信流的唯一通道,防火墻的概念,防火墻基本概念防火墻發展歷程防火墻核心技術防火墻功能與原理防火墻的接入方式防火墻的典型應用防火墻性能防火墻局限性防火墻的兩個爭議,目錄,基于路由器的防火墻,軟件防火墻的初級形式，具有審計和告警功能對數據包的訪問控制過濾通過專門的軟件實現與第一代防火墻相比，安全性提高了，價格降低了,在路由器中通過ACL規則來實現對數據包的控制；過濾判斷依據：地址、端口號、協議號等特征,是批量上市的專用軟件防火墻產品安裝在通用操作系統之上安全性依靠軟件本身和操作系統本身的整體安全,防火墻廠商具有操作系統的源代碼，并可實現安全內核功能強大，安全性很高易于使用和管理是目前廣泛應用的防火墻產品,基于安全操作系統的防火墻,基于通用操作系統的防火墻,防火墻工具套,防火墻的發展歷程,防火墻基本概念防火墻發展歷程防火墻核心技術防火墻體系結構防火墻功能與原理防火墻的接入方式防火墻的典型應用防火墻性能防火墻局限性防火墻的兩個爭議,目錄,包過濾（Packetfiltering）：工作在網絡層，僅根據數據包頭中的IP地址、端口號、協議類型等標志確定是否允許數據包通過。應用代理（ApplicationProxy）：工作在應用層，通過編寫不同的應用代理程序，實現對應用層數據的檢測和分析。狀態檢測（StatefulInspection）：工作在24層，訪問控制方式與1同，但處理的對象不是單個數據包，而是整個連接，通過規則表和連接狀態表，綜合判斷是否允許數據包通過。完全內容檢測（CompeleteContentInspection）：工作在27層，不僅分析數據包頭信息、狀態信息，而且對應用層協議進行還原和內容分析，有效防范混合型安全威脅。,防火墻的檢測與過濾技術,Data,Segment,Packet,Frame,BitFlow,防火墻基本概念防火墻發展歷程防火墻核心技術防火墻功能與原理防火墻的接入方式防火墻的典型應用防火墻性能防火墻局限性防火墻的兩個爭議,目錄,防火墻的作用,集中的訪問控制集中的加密保護集中的認證授權集中的內容檢查集中的病毒防護集中的郵件過濾集中的流量控制集中的安全審計,基本功能地址轉換訪問控制VLAN支持帶寬管理（QoS）入侵檢測和攻擊防御用戶認證IP/MAC綁定動態IP環境支持數據庫長連接應用支持路由支持ADSL撥號功能SNMP網管支持日志審計高可用性,防火墻的功能,擴展功能防病毒VPNIPSECVPNPPTP/L2TP,源地址：1目地址：4,源地址：目地址：4,,隱藏了內部網絡的結構內部網絡可以使用私有IP地址公開地址不足的網絡可以使用這種方式提供IP復用功能,地址轉換(NAT),Internet,公開服務器可以使用私有地址隱藏內部網絡的結構,,,,MAP：80TO：80,MAP：21TO：21,MAP：53TO：53,MAP：25TO：25,,,MAP(地址/端口映射),HostC,HostD,防火墻的基本訪問控制功能,AccesslisttoAccessnattoanypassAccesstoblockAccessdefaultpass,規則匹配成功,基于源IP地址基于目的IP地址基于源端口基于目的端口基于時間基于用戶基于流量基于文件基于網址基于MAC地址,時間控制策略,HostC,HostD,在防火墻上制定基于時間的訪問控制策略,上班時間不允許訪問Internet,上班時間可以訪問公司的網絡,Internet,QoS帶寬管理,Internet,WWW,Mail,DNS,財務部子網,采購部子網,出口帶寬512K,DMZ區保留256K,分配70K帶寬,分配90K帶寬,分配96K帶寬,DMZ區域,內部網絡,總帶寬512K,內網256K,DMZ256K,70K,90K,96K,+,+,+,財務子網,采購子網,生產子網,生產部子網,防火墻具有內置的IDS模塊，可以有效檢測并抵御常見的攻擊行為，用戶通過簡單設置即可保護指定的網絡對象免于受到以下類型的攻擊：1.統計型攻擊，包括：SynFlood、UDPFLOOD、ICMPFLOOD、IPSWEEP、PORTSCAN。2.異常包攻擊，包括：Land、Smurf、PingofDeath、Winnuke、TcpScan、IpOption等,內置入侵檢測功能,抗DOS攻擊功能,防火墻的SYN代理實現原理:在服務器和外部網絡之間部署防火墻系統;防火墻在收到客戶端的Syn包后，防火墻代替服務器向客戶端發送Syn/Ack包;如果防火墻收到客戶端的Ack信息，表明訪問正常,由防火墻向服務器發送Syn包并完成后續的TCP握手,建立客戶端到服務器的連接。通過這種Syn代理技術，保證每個Syn包源的真實有效性，確保虛假請求不被發往服務器，從而徹底防范對服務器的Syn-Flood攻擊。,SYN,SYN/ACK,ACK,SYN,SYN/ACK,ACK,SYN,SYN/ACK,ACK,Client,Server,SYN,SYN,HostC,HostD,HostB,HostA,受保護網絡,Internet,IDS,黑客,發起攻擊,發送通知報文,驗證報文并采取措施,發送響應報文,識別出攻擊行為,阻斷連接或者報警等,與IDS的安全聯動,豐富的認證方式和第三方認證支持,Internet,RADIUS服務器,OTP認證服務器,liming,*,防火墻將認證信息傳給真正的RADIUS服務器,進行認證,將認證結果傳給防火墻,本地認證、內置OTP服務器認證支持第三方RADIUS服務器認證支持TACAS/TACAS+服務器認證支持S/KEY、SECUID、VIECA、LDAP、域認證等認證,根據認證結果決定用戶對資源的訪問權限,Internet,HostB,,HostC,,HostD,,00-50-04-BB-71-A6,00-50-04-BB-71-BC,BINDTo00-50-04-BB-71-A6,BINDTo00-50-04-BB-71-BC,IP與MAC地址綁定后，不允許HostB假冒HostA的IP地址上網,防火墻允許HostA上網,IP與MAC（用戶）的綁定,,對DHCP應用環境的支持,Internet,DHCP服務器,HostA,HostB,HostC,HostD,HostE,HostF,沒有固定IP地址,只允許HostB上網,設定HostB的MAC地址,設定HostB的IP地址為空,根據HostB的MAC地址進行訪問控制,建立連接并維持連接狀態直到查詢結束,對數據庫長連接的支持,數據庫查詢一般需要比較長的時間，這些通訊連接建立成功后可能暫時沒有數據通過（空連接），普通防火墻在連接建立一段時間后如果沒有數據通訊會自動切斷連接，導致業務不能正常運行,需要較長的查詢時間,需要在防火墻里面維護這個連接狀態，直到查詢結束。該功能是可選的。,動態路由功能-RIP,動態路由功能-OSPF,ADSL撥號功能PPPOE,HostC,HostD,HostB,HostA,受保護網絡,SNMP報文,獲取硬件配置信息資源使用狀況信息防火墻的流量信息防火墻的連接信息防火墻的版本信息防火墻的用戶信息防火墻的規則信息防火墻的路由信息,SNMP服務器端,SNMP客戶端(HPopenview),支持SNMP網絡管理,日志分析功能,會話日志：即普通連接日志通信源地址、目的地址、源目端口、通信時間、通信協議、字節數、是否允許通過命令日志和內容日志：即深度分析日志在通信日志的基礎之上，記錄下各個應用層命令參數和內容。例如HTTP請求及其要取的網頁名。提供日志分析工具自動產生各種報表，智能化的指出網絡可能的安全漏洞,Clint,響應請求,發送請求,通信日志,通信日志,通信信息,69,70,普通連接日志會話日志,Clint,響應請求,發送請求,命令日志,命令日志,69,70,深度分析日志(1)命令日志,命令信息,Clint,響應請求,發送請求,訪問日志,訪問日志,69,70,深度分析日志(2)內容日志,訪問信息,高可用性-雙機熱備功能,內部網,外網或者不信任域,Eth0,Eth0,Eth1,Eth1,Eth2,Eth2,心跳線,ActiveFirewall,StandbyFirewall,檢測ActiveFirewall的狀態,發現出故障，立即接管其工作,正常情況下由主防火墻工作,主防火墻出故障以后，接管它的工作,HuborSwitch,HuborSwitch,通過ISTP協議可以交換兩臺防火墻的狀態信息,當一臺防火墻故障時，這臺防火墻的連接不需要重新建立就可以透明的遷移到另一臺防火墻上，用戶不會察覺到,豐富的鏈路備份功能,單combo口雙鏈路備份,雙端口環形光纖鏈路備份,HA,HA雙機備份,全冗余備份,防火墻,路由器,交換機,WWW1,WWW2,WWW3,負載均衡算法：輪流輪流+權值最少連接最少連接+權值,根據負載均衡算法將數據重定位到一臺WWW服務器,服務器陣列,響應請求,高可用性-服務器負載均衡,防火墻提供了“鏈路備份”功能來實時監視整個鏈路的工作情況，一旦發現異常，就立即啟動“鏈路備份”功能自動切換到另一條備用鏈路，以確保網絡的正常通信。,高可用性-網絡鏈路備份功能,高可用性-雙系統冗余,防火墻作為網絡中的關鍵設備，對于維護網絡的正常通信以及安全保障起著舉足輕重的作用。所以，對防火墻本身的有效性和可用性就有了很高的要求。防火墻內置備份系統，這樣，在主系統出現異?；蛴捎谏壥《荒苷Ｒ龑到y的情況下，用戶可以手工選擇使用備份系統。,擴展功能-病毒過濾功能(1),擴展功能-病毒過濾功能(2),擴展功能-IPSECVPN功能,支持L2TP/PPTPVPN功能,支持DDNS功能,防火墻基本概念防火墻發展歷程防火墻核心技術防火墻體系結構防火墻功能與原理防火墻的接入方式防火墻的典型應用防火墻性能防火墻局限性防火墻的兩個爭議,目錄,受保護網絡,Internet,如果防火墻支持透明模式，則內部網絡主機的配置不用調整,,同一網段,透明模式下，這里不用配置IP地址,透明模式下，這里不用配置IP地址,DefaultGateway=,防火墻相當于網橋，原網絡結構沒有改變,透明接入,受保護網絡,Internet,,DefaultGateway=,防火墻相當于一個簡單的路由器,6,7,提供簡單的路由功能,,路由接入,ETH0：02,ETH2：,/24網段,/24網段,此時整個防火墻工作于透明+路由模式，我們稱之為綜合模式或者混合模式,/24網段,ETH1：,兩接口在不同網段，防火墻處于路由模式,兩接口在不同網段，防火墻處于路由模式,兩接口在同一網段，防火墻處于透明模式,靈活的接入方式綜合接入,防火墻基本概念防火墻發展歷程防火墻核心技術防火墻體系結構防火墻功能與原理防火墻的接入方式防火墻的典型應用防火墻性能防火墻局限性防火墻的兩個爭議,目錄,DDN/幀中繼,總行,省中支A,省中支B,DDN/PSTN,地市行A,地市行B,防火墻的典型應用（梯形結構）,總部,分部,分部,訪問控制訪問授權信息審計,訪問控制訪問授權信息審計,訪問控制訪問授權信息審計,防火墻的典型應用（星型結構）,幀中繼專網,DDN/PSTN,內部專網,黑客攻擊病毒非授權訪問惡意代碼,阻斷,防火墻的典型應用三（簡單結構）,分支網絡,防火墻基本概念防火墻發展歷程防火墻核心技術防火墻功能與原理防火墻的接入方式防火墻的典型應用防火墻性能防火墻局限性防火墻的兩個爭議,目錄,衡量防火墻性能的五大指標,吞吐量：該指標直接影響網絡的性能，吞吐量時延：入口處輸入幀最后1個比特到達至出口處輸出幀的第1個比特輸出所用的時間間隔丟包率：在穩態負載下，應由網絡設備傳輸，但由于資源缺乏而被丟棄的幀的百分比背靠背：從空閑狀態開始，以達到傳輸介質最小合法間隔極限的傳輸速率發送相當數量的固定長度的幀，當出現第一個幀丟失時，發送的幀數并發連結數：并發連接數是指穿越防火墻的主機之間或主機與防火墻之間能同時建立的最大連接數,吞吐量,定義：在不丟包的情況下能夠達到的最大速率衡量標準：吞吐量越大，防火墻的性能越高,;%#*$&*&#*(&,Smartbits6000B測試儀,101100101000011111001010010001001000,以最大速率發包,直到出現丟包時的最大值,防火墻吞吐量小就會成為網絡的瓶頸,100M,60M,數據包首先排隊待防火墻檢查后轉發,時延,定義：入口處輸入幀最后1個比特到達至出口處輸出幀的第一個比特輸出所用的時間間隔衡量標準：延時越小，表示防火墻的性能越高,10101001001001001010,Smartbits6000B測試儀,101100101000011111001010010001001000,最后1個比特到達,第一個比特輸出,時間間隔,1010100111001110,1010100111001110,1010010010100100010100010,101010100100100100100100010,造成數據包延遲到達目標地,丟包率,定義：在連續負載的情況下，防火墻設備由于資源不足應轉發但卻未轉發的幀百分比衡量標準：丟包率越小，防火墻的性能越高,發送了1000個包,防火墻由于資源不足只轉發了800個包,丟包率=（1000-800）/1000=20%,10010101001010010001001001,10010101001010010001001001,背靠背,定義：從空閑狀態開始，以達到傳輸介質最小合法間隔極限的傳輸速率發送相當數量的固定長度的幀，當出現第一個幀丟失時，發送的幀數。衡量標準：背對背包主要是指防火墻緩沖容量的大小,網絡上經常有一些應用會產生大量的突發數據包（例如：NFS,備份，路由更新等），而且這樣的數據包的丟失可能會產生更多的數據包的丟失，強大緩沖能力可以減小這種突發對網絡造成的影響。,時間（t）,包數量（n）,少量包,包增多,峰值,包減少,沒有數據,背靠背是體現防火墻對突發數據的處理能力,并發連接數,定義：指數據包穿越防火墻時同時建立的最大連接數。衡量標準：并發連接數主要用來測試防火墻建立和維持TCP連接的性能，并發連接數越大，防火墻的處理性能越高。,并發連接數指標可以用來衡量穿越防火墻時同時建立的最大連接數,防火墻基本概念防火墻發展歷程防火墻核心技術防火墻功能與原理防火墻的接入方式防火墻的典型應用防火墻性能防火墻局限性防火墻的兩個爭議,目錄,防火墻的局限性,防火墻雖然是保護網絡安全的基礎性設施，但是它還存在著一些不易防范的安全威脅：首先防火墻不能防范未經過防火墻或繞過防火墻的攻擊。例如，如果允許從受保護的網絡內部向外撥號，一些用戶就可能形成與Internet的直接連接。防火墻基于數據包包頭信息的檢測阻斷方式，主要對主機提供或請求的服務進行訪問控制，無法阻斷通過開放端口流入的有害流量，并不是對蠕蟲或者黑客攻擊的解決方案。另外，防火墻很難防范來自于網絡內部的攻擊或濫用。,防火墻基本概念防火墻發展歷程防火墻核心技術防火墻體系結構防火墻功能與原理防火墻的接入方式防火墻的典型應用防火墻性能防火墻局限性防火墻的兩個爭議,目錄,防火墻的胖瘦之爭防火墻的硬件架構之爭,爭議,防火墻的“胖”與“瘦”,由于防火墻在網絡中所處的重要位置，因此，人們對防火墻可以說是寄予厚望?，F在防火墻正在不斷增加各種各樣的新功能，因此防火墻正在急劇“長胖”。,“胖”防火墻是指功能大而全的防火墻，它力圖將安全功能盡可能多地包含在內，從而成為用戶網絡的一個安全平臺；,胖防火墻的定義,訪問控制,病毒防護,入侵檢測,交換路由,內容過濾,信息審計,傳輸加密,其他,胖防火墻,胖防火墻的優勢與不足,優勢：首先是功能全其次是控制力度細第三是協作能力強降低采購和管理成本不足：主要表現在性能降低其次是自身安全性相對較弱還有專業性不強，表現為功能模塊的拼湊第四是穩定性不強，系統越大，BUG越多最后是配置復雜，不合理的配置會帶來更大的安全隱患,訪問控制,病毒防護,入侵檢測,交換路由,內容過濾,信息審計,傳輸加密,其他,瘦防火墻,安全聯動,“瘦”防火墻是指功能少而精的防火墻，它只作訪問控制的專職工作，對于綜合安全解決方案，則采用多家安全廠商聯盟的方式來實現。,瘦防火墻的定義,瘦防火墻的優勢與不足,優勢：性能高注重核心功能，專業性強整體安全性高配置簡單，簡化對管理員的專業要求不足：功能單一整體防護能力不能滿足需求整體采購成本較高,構建聯動、統一的動態安全防護體系,無論是“胖”防火墻的集成，還是“瘦”防火墻的聯動，安全產品正在朝著體系化的結構發展，所謂“胖瘦”不過是這種體系結構的具體表現方式，“胖”將這種體系表現在一個產品中，而“瘦”將這種體系表現在一系列產品或是說一個整體方案中。同時，不管哪種體系結構，都必須通過安全管理中心來監控、協調、管理網絡中的其他安全產品和網絡產品，構建聯動、統一的動態安全防護體系。,爭議,防火墻的胖瘦之爭防火墻的硬件架構之爭,防火墻硬件架構,基于X86體系的通用CPU架構基于網絡處理器的NPU架構基于專用處理芯片的ASIC架構,基于X86架構的防火墻,X86架構防火墻中，其CPU具有高靈活性、高擴展性的特性；通用CPU具有體系化的指令集和系統結構，容易支持復雜的運算和開發新的功能；基于X86架構防火墻的處理速度和能力能夠很好的適應各種百兆網絡環境和一般千兆網絡環境的需求；基于X86防火墻由于受CPU處理能力和PCI總線的制約，在更高的千兆環境下其性能和功能則日益不能滿足于需求；,硬件平臺技術分析-x86,基于X86的平臺主要提供商Intel，AMD,X86,特點：軟件開發比較靈活便于快速推出產品投資少發熱比較大受總線帶寬的限制難以滿足高速環境,硬件平臺技術分析-其他嵌入式,基于其他嵌入的平臺包括PowerPC、ARM、MIPS,嵌入式,特點：產品穩定低功耗，低成