防火墙产品原理介绍20080407

防火墙产品原理介绍（ V1.1 ）网御神州客服中心 2008.05

学习目标学习完本课程，您应该能够了解网御神州的防火墙产品了解防火墙的工作原理了解防火墙的发展趋势理解防火墙的典型应用

课程内容网御神州产品型录信息安全的层次模型防火墙的发展历程防火墙关键技术防火墙评价指标防火墙的部署防火墙的发展趋势典型应用 FAQ

1 网御神州产品型录 SecFox 安全管理平台及相关产品 SecGate 3600-G10 SecGate 3600-G7 SecGate 3600-F5 SecGate 3600-F4 SecGate 3600-F3 SecIDS 3600-G SecIDS 3600-I5 SecIDS 3600-I4 文件交换安全浏览 FTP 交换邮件访问与同步数据库访问与同步防火墙系列 IDS 系列安全隔离网闸 SecGate 3600-F2 内网安全管理系统安全 PC/ 安全笔记本

硬件构架产品分类代号产品描述架构吞吐率接口数机箱 SecGate 3600 电信级千兆线速防火墙 G10 NP 4G 4 GE 2U 大型企业级千兆防火墙 G7 X86 2G 16 GE 2U 大型企业级百兆防火墙 F5 X86 800M 4/6/8 FE 1U 中型企业级百兆防火墙 F4 X86 600M 4/6 FE 1U 小型企业级百兆防火墙 F3 X86 400M 4 FE 1U 分支机构级百兆防火墙 F2 NP 150M 3FE+4SW 1U SecIDS 3600 企业级千兆入侵检测系统 G X86 架构， 2U 机箱企业级百兆入侵检测系统 I5 X86 架构， 1U 机箱中小企业级入侵检测系统 I4 X86 架构， 1U 机箱 SecSIS 3600 安全隔离与信息交换系统　 X86 架构， 2U 机箱　 SecFox 安全管理平台　软件产品 / 项目 ( 服务 ) 　内网安全管理系统软件产品＋硬件网关联想安全 PC/ 安全笔记本产品 / 系统安全解决方案

3.1 防火墙概述在信任网络与非信任网络之间，通过预定义的安全策略，对内外网通信强制实施访问控制的安全应用设备。信任网络非信任网络防火墙

3.1 防火墙概述内部网络内部网络 2 内部网络 1 防火墙的功能：实现内部网与 internet 的隔离；不同安全级别内部网之间的隔离。一切未被允许的就是禁止的！ Internet

3.1 防火墙概述防火墙能做什么？ 1. 转发正常的通信行为 2. 禁止未经授权的访问 3. 网络地址转换（ NAT ） 4. VPN 网关 5. 记录通过防火墙的通信活动

3.1 防火墙概述防火墙不能做什么？不能控制不经防火墙的通信活动 2. 无法控制内网中通信行为 3. 目前不能进行深度内容检测

3.2 防火墙的技术发展防火墙技术几乎与路由器同时出现，采用了包过滤（ Packet filter ）技术。 1989 年，贝尔实验室的 Dave Presotto 和 Howard Trickey 推出了电路层防火墙，同时提出了应用层防火墙（代理防火墙）的初步结构。 1992 年， USC 信息科学院的 BobBraden 开发出了基于动态包过滤（ Dynamic packet filter ）技术的防火墙，后来演变为状态检测（ Stateful inspection ）技术。 1994 年，以色列 CheckPoint 公司开发出了第一个采用这种技术的商业化的产品。

3.2 防火墙的技术发展包过滤防火墙外网防火墙内网数据包包过滤引擎应用层表示层会话层传输层网络层数据链路层物理层应用层表示层会话层传输层网络层数据链路层物理层应用层表示层会话层传输层网络层数据链路层物理层

3.2 防火墙的技术发展 IP 包检测包头检查路由安全策略：过滤规则路由表包过滤防火墙丢弃 IP 包源地址 IP 包目的地址 TCP/UDP 端口转发符合不符合

3.2 防火墙的技术发展包过滤防火墙的特点 1. 实现容易 2. 数据吞吐率较高 4. 对应用完全透明 5. 对会话内容无法监控，安全性能较低 3. 易配置

3.2 防火墙的技术发展应用代理防火墙外网防火墙内网数据包应用层表示层会话层传输层网络层数据链路层物理层应用层表示层会话层传输层网络层数据链路层物理层应用层表示层会话层传输层网络层数据链路层物理层

3.2 防火墙的技术发展应用代理防火墙的特点 1. 可以对应用层数据进行处理 3. 双向通信必须经过应用代理，禁止 IP 转发 5. 处理速度慢 2. 对数据包的检测能力比较强 4. 难于配置

3.2 防火墙的技术发展状态检测包过滤防火墙外网防火墙内网状态检测引擎应用层表示层会话层传输层网络层数据链路层物理层应用层表示层会话层传输层网络层数据链路层物理层应用层表示层会话层传输层网络层数据链路层物理层

3.2 防火墙的技术发展 IP 包检测包头下一步处理安全策略：过滤规则会话连接状态缓存表状态检测包过滤防火墙丢弃 IP 包源地址 / 目的地址 TCP/UDP 源端口 TCP 会话连接状态不符合符合符合

3.2 防火墙的技术发展状态包过滤防火墙的特点 2. 可以对网络数据进行更细粒度的检测 3. 数据吞吐率较高 4. 对会话内容的处理不够 1. 可重组会话，记录会话状态

3.2 防火墙的技术发展产品现状 1. 状态检测包过滤技术 2. 应用代理技术

4 防火墙关键技术 4.1 访问控制 4.2 地址绑定 4.3 NAT 4.4 端口映射 4.5 VPN 4.6 抗攻击 4.7 复杂协议支持 4.8 HA

4.2 地址绑定 10.50.10.44/mac1 10.50.10.44/mac2

4.3 NAT 技术内部网络 Host A Host B 192.168.0.3 192.168.0.5 源地址： 192.168.0.3 目地址： 202.202.99.56 源地址： 10.50.10.88 目地址： 202.202.99.56 eth1: 192.168.0.2 eth2: 10.50.10.88 Internet 202.202.99.56 Host C 数据 IP 报头数据 IP 报头

4.4 端口映射 192.168.1.2 输入： http://202.102.10.8 202.102.10.8 192.168.1.11: 80 -> 202.102.10.8: 80 192.168.1.22:21 -> 202.102.10.8: 21 192.168.1.33 :25-> 202.102.10.8:25 192.168.1.44:53 -> 202.102.10.8:53 Internet WWW 192.168.1.11 FTP 192.168.1.22 MAIL 192.168.1.33 DNS 192.168.1.44

4.5 VPN 192.168.1.2 VPN 客户端 10.50.10.88 202.102.10.8 VPN 规则 Permit 10.50.10.1 -> 192.168.1.1 Internet WWW 192.168.1.11 FTP 192.168.1.22 MAIL 192.168.1.33 DNS 192.168.1.44

4.5 VPN 支持基于策略的 VPN 应用 2. 支持基于路由的 VPN 应用 3. 支持 VPN 的星型、网状等多种接入方式 4. 支持 VPN 的 NAT 穿越 5. 支持 DHCP over IPSec VPN 6. 支持 VPN 远端状态探测 DPD 7. 支持 PPTP/L2TP 拨号 VPN

4.5 VPN 当用户将防火墙作为安全设备来使用时，安全策略是用户关注的重点。用户需要基于策略的 VPN ，安全策略直接控制数据包进入哪一条隧道。当用户使用防火墙的重点是远程 VPN 组网时，防火墙实际上是当作安全路由设备使用的。这时通过添加路由表就可以控制数据包进入哪一条隧道。此时使用的是基于路由的 VPN 。策略 VPN or 路由 VPN

4.6 抗攻击对资源的请求大大超过正常值，致使服务超载，使得被访资源无法再对合理的请求进行响应，称为拒绝服务。恶意造成拒绝服务的行为，就称为拒绝服务攻击（ Denial of Service ， DoS ）资源网络带宽文件系统容量开放的进程向内的连接

4.6 抗攻击 SYN flood 以多个随机的源主机地址向目标主机发送 SYN 包收到目标主机的 SYN ACK 后并不回应继续发送 SYN 请求目标主机建立了大量的连接，由于没有收到 ACK 一直维护着这些连接，造成了资源大量消耗而不能向正常请求提供服务。

4.6 抗攻击（ a ） TCP 三次握手（ b ） SYN 风暴

4.7 复杂协议支持 H.323 协议被普遍认为是目前在分组网上支持语音、图像和数据业务最成熟的协议。采用 H.323 协议，各个不同厂商的多媒体产品和应用可以进行互相操作，用户不必考虑兼容性问题。该协议为商业和个人用户基于 LAN 、 MAN 的多媒体产品协同开发奠定了基础。 H.323 H.323 是一套在分组网上提供实时音频、视频和数据通信的标准，是 ITU-T 制订的在各种网络上提供多媒体通信的系列协议 H.32x 的一部分。

4.7 复杂协议支持 SIP SIP （ Session Initiation Protocol ）会话初始协议是 IETF 制订的，用于多方多媒体通信。按照 IETF RFC 2543 的定义， SIP 是一个基于文本的应用层控制协议，独立于底层传输协议 TCP/UDP/SCTP ，用于建立、修改和终止 IP 网上的双方或多方多媒体会话。 SIP 协议借鉴了 HTTP 、 SMTP 等协议，支持代理、重定向及登记定位用户等功能，支持用户移动。通过与 RTP/R TCP 、 SDP 、 RTSP 等协议及 DNS 配合， SIP 支持语音、视频、数据、 E-mail 、状态、 IM 、聊天、游戏等。 SIP 协议可在 TCP 或 UDP 之上传送，由于 SIP 本身具有握手机制，可首选 UDP 。

4.7 复杂协议支持 RIP Routing information Protocol 路由信息协议是推出时间最长，最简单的路由协议，是一种内部网关协议 (Interior Gateway Protocol, 简称 IGP) ，适用于小型同类网络，是典型的距离向量 (distance-vector) 协议。 RIP 主要传递路由信息（路由表）来广播路由，每隔 30 秒广播一次路由表，维护与相邻路由器的关系，同时根据收到的路由表计算自己的路由表。

4.7 复杂协议支持 OSPF 作为一种链路状态的路由协议， OSPF 具备许多优点：快速收敛，支持变长网络屏蔽码，支持 CIDR 以及地址 summary ，具有层次化的网络结构，支持路由信息验证等。它通过传递链路状态（连接信息）来得到网络信息，维护一张网络有向拓扑图，利用最小生成树算法（ SPF 算法）得到路由表。 OSPF 是一种相对复杂的路由协议。 Open Shortest Path First 开放式最短路优先是由 IETF （ Internet Engineering Task Force ） IGP 工作小组提出的一种基于 SPF 算法的路由协议，目前使用的 OSPF 协议是其第二版，由 RFC1247 和 RFC1583 定义。

4.7 复杂协议支持 BGP Border Gateway Protocol 边界网关协议 Border Gateway Protocol 边界网关协议 BGP 用于处理各 ISP 之间的路由传递，其特点是有丰富的路由策略。 RIP 、 OSPF 是内部网关协议，适用于单个 ISP 的统一路由协议的运行。由一个 ISP 运营的网络称为一个自治系统（ AS ）。 BGP 是自治系统间的路由协议，是一种外部网关协议。

5 防火墙评价指标 1. 性能 2. 功能 3. 可靠性 4. 易用性

5 防火墙评价指标评价防火墙性能的六个指标性能指标定义重要程度吞吐量单位时间内通过防火墙的数据包数量（不丢包） ★ ★ ★ ★ ★ 最大并发连接数防火墙可同时维护的网络连接数 ★ ★ ★ 背靠背防火墙对网络数据包的缓存能力 ★ ★ 新建连接速率防火墙建新连接的快慢程度 ★ ★ ★ ★ 延迟防火墙处理和转发数据包所需要的时间 ★ ★ ★ ★ 丢包率丢包数占发送包总数的比例（吞吐量范围内） ★ ★ ★

6 防火墙的部署外部网络 DMZ 内部网络防火墙 Web Server Mail Server

6 防火墙的部署纯路由

6 防火墙的部署纯透明

7 防火墙的发展趋势 Users Servers 设备层面整合 -UTM UTM

7 防火墙的发展趋势 UTM 定位于中小企业、政府大型企业的分支机构。适用于对带宽需求不高的用户。管理维护方便，无需专业管理人员。投资少，节省用户经费。 UTM 的不足不能形成分层等级保护。不利于保护用户已有投资。硬件平台技术滞后，不能满足高带宽需求。

7 防火墙的发展趋势集中管理系统可管理安全管理层面整合

9 FAQ 4006108220 13991970381 杨留强

防火墙产品原理介绍20080407

More Related Content

What's hot

Viewers also liked

Similar to 防火墙产品原理介绍20080407

防火墙产品原理介绍20080407