1. 防火墙产品原理介绍 （ V1.1 ） 网御神州 客服中心 2008.05

4. 1 网御神州产品型录 SecFox 安全管理平台及相关产品 SecGate 3600-G10 SecGate 3600-G7 SecGate 3600-F5 SecGate 3600-F4 SecGate 3600-F3 SecIDS 3600-G SecIDS 3600-I5 SecIDS 3600-I4 文件交换 安全浏览 FTP 交换 邮件访问与同步 数据库访问与同步 防火墙系列 IDS 系列 安全隔离网闸 SecGate 3600-F2 内网安全管理系统 安全 PC/ 安全笔记本

5. 硬 件 构 架 产品分类 代号 产品描述 架构 吞吐率 接口数 机箱 SecGate 3600 电信级千兆线速防火墙 G10 NP 4G 4 GE 2U 大型企业级千兆防火墙 G7 X86 2G 16 GE 2U 大型企业级百兆防火墙 F5 X86 800M 4/6/8 FE 1U 中型企业级百兆防火墙 F4 X86 600M 4/6 FE 1U 小型企业级百兆防火墙 F3 X86 400M 4 FE 1U 分支机构级百兆防火墙 F2 NP 150M 3FE+4SW 1U SecIDS 3600 企业级千兆入侵检测系统 G X86 架构， 2U 机箱 企业级百兆入侵检测系统 I5 X86 架构， 1U 机箱 中小企业级入侵检测系统 I4 X86 架构， 1U 机箱 SecSIS 3600 安全隔离与信息交换系统 X86 架构， 2U 机箱 SecFox 安全管理平台 软件产品 / 项目 ( 服务 ) 内网安全管理系统 软件产品＋硬件网关 联想安全 PC/ 安全笔记本 产品 / 系统安全解决方案

6. 3.1 防火墙概述

7. 3.1 防火墙概述 在信任网络与非信任网络之间，通过预定义的安全策略，对内外网通信强制实施访问控制的安全应用设备。 信任网络 非信任网络 防火墙

8. 3.1 防火墙概述 内部网络 内部网络 2 内部网络 1 防火墙的功能： 实现内部网与 internet 的隔离； 不同安全级别内部网之间的隔离。 一切未被允许的就是禁止的！ Internet

9. 3.1 防火墙概述 防火墙能做什么？ 1. 转发正常的通信行为 2. 禁止未经授权的访问 3. 网络地址转换（ NAT ） 4. VPN 网关 5. 记录通过防火墙的通信活动

11. 3.2 防火墙的技术发展 防火墙技术几乎与路由器同时出现，采用了包过滤（ Packet filter ）技术。 1989 年，贝尔实验室的 Dave Presotto 和 Howard Trickey 推出了电路层防火墙，同时提出了应用层防火墙（代理防火墙）的初步结构。 1992 年， USC 信息科学院的 BobBraden 开发出了基于动态包过滤（ Dynamic packet filter ）技术的防火墙，后来演变为状态检测（ Stateful inspection ）技术。 1994 年，以色列 CheckPoint 公司开发出了第一个采用这种技术的商业化的产品。

12. 3.2 防火墙的技术发展 包过滤防火墙 外网 防火墙 内网 数据包 包过滤引擎 应用层 表示层 会话层 传输层 网络层 数据链路层 物理层 应用层 表示层 会话层 传输层 网络层 数据链路层 物理层 应用层 表示层 会话层 传输层 网络层 数据链路层 物理层

13. 3.2 防火墙的技术发展 IP 包 检测包头 检查路由 安全策略：过滤规则 路由表 包过滤防火墙 丢弃 IP 包源地址 IP 包目的地址 TCP/UDP 端口 转发 符合 不符合

15. 3.2 防火墙的技术发展 应用代理防火墙 外网 防火墙 内网 数据包 应用层 表示层 会话层 传输层 网络层 数据链路层 物理层 应用层 表示层 会话层 传输层 网络层 数据链路层 物理层 应用层 表示层 会话层 传输层 网络层 数据链路层 物理层

17. 3.2 防火墙的技术发展 状态检测包过滤防火墙 外网 防火墙 内网 状态检测引擎 应用层 表示层 会话层 传输层 网络层 数据链路层 物理层 应用层 表示层 会话层 传输层 网络层 数据链路层 物理层 应用层 表示层 会话层 传输层 网络层 数据链路层 物理层

18. 3.2 防火墙的技术发展 IP 包 检测包头 下一步 处理 安全策略：过滤规则 会话连接状态缓存表 状态检测包过滤防火墙 丢弃 IP 包源地址 / 目的地址 TCP/UDP 源端口 TCP 会话连接状态 不符合 符合 符合

20. 3.2 防火墙的技术发展 产品现状 1. 状态检测包过滤 技术 2. 应用代理 技术

21. 4 防火墙关键技术 4.1 访问控制 4.2 地址绑定 4.3 NAT 4.4 端口映射 4.5 VPN 4.6 抗攻击 4.7 复杂协议支持 4.8 HA

22. 4.1 访问控制

23. 4.2 地址绑定 10.50.10.44/mac1 10.50.10.44/mac2

24. 4.2 地址绑定

25. 4.3 NAT 技术 内部网络 Host A Host B 192.168.0.3 192.168.0.5 源地址： 192.168.0.3 目地址： 202.202.99.56 源地址： 10.50.10.88 目地址： 202.202.99.56 eth1: 192.168.0.2 eth2: 10.50.10.88 Internet 202.202.99.56 Host C 数据 IP 报头 数据 IP 报头

26. 4.3 NAT 技术

27. 4.4 端口映射 192.168.1.2 输入： http://202.102.10.8 202.102.10.8 192.168.1.11: 80 -> 202.102.10.8: 80 192.168.1.22:21 -> 202.102.10.8: 21 192.168.1.33 :25-> 202.102.10.8:25 192.168.1.44:53 -> 202.102.10.8:53 Internet WWW 192.168.1.11 FTP 192.168.1.22 MAIL 192.168.1.33 DNS 192.168.1.44

28. 4.4 端口映射

29. 4.5 VPN 192.168.1.2 VPN 客户端 10.50.10.88 202.102.10.8 VPN 规则 Permit 10.50.10.1 -> 192.168.1.1 Internet WWW 192.168.1.11 FTP 192.168.1.22 MAIL 192.168.1.33 DNS 192.168.1.44

30. 4.5 VPN

32. 4.5 VPN 当用户将防火墙作为安全设备来使用时，安全策略是用户关注的重点。用户需要基于策略的 VPN ，安全策略直接控制数据包进入哪一条隧道。 当用户使用防火墙的重点是远程 VPN 组网时，防火墙实际上是当作安全路由设备使用的。这时通过添加路由表就可以控制数据包进入哪一条隧道。此时使用的是基于路由的 VPN 。 策略 VPN or 路由 VPN

37. 4.7 复杂协议支持 SIP SIP （ Session Initiation Protocol ）会话初始协议是 IETF 制订的，用于多方多媒体通信。 按照 IETF RFC 2543 的定义， SIP 是一个基于文本的应用层控制协议，独立于底层传输协议 TCP/UDP/SCTP ，用于建立、修改和终止 IP 网上的双方或多方多媒体会话。 SIP 协议借鉴了 HTTP 、 SMTP 等协议，支持代理、重定向及登记定位用户等功能，支持用户移动。通过与 RTP/R TCP 、 SDP 、 RTSP 等协议及 DNS 配合， SIP 支持语音、视频、数据、 E-mail 、状态、 IM 、聊天、游戏等。 SIP 协议可在 TCP 或 UDP 之上传送，由于 SIP 本身具有握手机制，可首选 UDP 。

38. 4.7 复杂协议支持 RIP Routing information Protocol 路由信息协议 是推出时间最长，最简单的路由协议，是一种内部网关协议 (Interior Gateway Protocol, 简称 IGP) ，适用于小型同类网络，是典型的距离向量 (distance-vector) 协议。 RIP 主要传递路由信息（路由表）来广播路由，每隔 30 秒广播一次路由表，维护与相邻路由器的关系，同时根据收到的路由表计算自己的路由表。

39. 4.7 复杂协议支持 OSPF 作为一种链路状态的路由协议， OSPF 具备许多优点：快速收敛，支持变长网络屏蔽码，支持 CIDR 以及地址 summary ，具有层次化的网络结构，支持路由信息验证等。 它通过传递链路状态（连接信息）来得到网络信息，维护一张网络有向拓扑图，利用最小生成树算法（ SPF 算法）得到路由表。 OSPF 是一种相对复杂的路由协议。 Open Shortest Path First 开放式最短路优先 是由 IETF （ Internet Engineering Task Force ） IGP 工作小组提出的一种基于 SPF 算法的路由协议，目前使用的 OSPF 协议是其第二版，由 RFC1247 和 RFC1583 定义。

40. 4.7 复杂协议支持 BGP Border Gateway Protocol 边界网关协议 Border Gateway Protocol 边界网关协议 BGP 用于处理各 ISP 之间的路由传递，其特点是有丰富的路由策略。 RIP 、 OSPF 是内部网关协议，适用于单个 ISP 的统一路由协议的运行。由一个 ISP 运营的网络称为一个自治系统（ AS ）。 BGP 是自治系统间的路由协议，是一种外部网关协议。

41. 4.8 HA

42. 5 防火墙评价指标 1. 性能 2. 功能 3. 可靠性 4. 易用性

43. 5 防火墙评价指标 评价防火墙性能的六个指标 性能指标 定 义 重要程度 吞吐量 单位时间内通过防火墙的数据包数量（不丢包） ★ ★ ★ ★ ★ 最大并发连接数 防火墙可同时维护的网络连接数 ★ ★ ★ 背靠背 防火墙对网络数据包的缓存能力 ★ ★ 新建连接速率 防火墙建新连接的快慢程度 ★ ★ ★ ★ 延迟 防火墙处理和转发数据包所需要的时间 ★ ★ ★ ★ 丢包率 丢包数占发送包总数的比例（吞吐量范围内） ★ ★ ★

44. 6 防火墙的部署 外部网络 DMZ 内部网络 防火墙 Web Server Mail Server

45. 6 防火墙的部署 纯路由

46. 6 防火墙的部署 纯透明

47. 6 防火墙的部署 混合

48. 7 防火墙的发展趋势 Users Servers 设备层面整合 -UTM UTM

49. 7 防火墙的发展趋势 UTM 定位于中小企业、政府大型企业的分支机构 。 适用于对带宽需求不高的用户。 管理维护方便，无需专业管理人员。 投资少，节省用户经费 。 UTM 的不足 不能形成分层等级保护。 不利于保护用户已有投资。 硬件平台技术滞后，不能满足高带宽需求。

50. 7 防火墙的发展趋势 集中管理系统 可管理安全 管理层面整合

51. 8 典型应用

52. 8 典型应用

53. 8 典型应用