1、123两个安全域之间通信流的唯一通道UDPBlockHost CHost BTCPPassHost CHost ADestinationProtocolPermitSource根据访问控制规则决定进出网络的行为防火墙定义防火墙定义4Intranet防火墙作用防火墙作用5防火墙执行标准防火墙执行标准67防火墙的分类防火墙的分类81.保护单台主机2.安全策略分散3.安全功能简单4.普通用户维护5.安全隐患较大6.策略设置灵活1.保护整个网络2.安全策略集中3.安全功能复杂多样4.专业管理员维护5.安全隐患小6.策略设置复杂9基于精简专用OS高高较高强不易较容易Price=firewall+Serv
2、er基于庞大通用OS较高较高高较强非常容易容易Price=Firewall1.仅获得Firewall软件,需要准备额外的OS平台2.安全性依赖低层的OS3.网络适应性弱(主要以路由模式工作)4.稳定性高5.软件分发、升级比较方便1.硬件+软件,不用准备额外的OS平台2.安全性完全取决于专用的OS3.网络适应性强(支持多种接入模式)4.稳定性较高5.升级、更新不太灵活1011网络接口总线位数总线频率总线带宽32 b33M1G64 b33M2G32 b133M4G64 b133M8G总线网络接口134212网络接口总线位数总线频率总线带宽32 b33M1G64 b33M2G32 b133M4G64
3、 b133M8G总线1网络接口总线21314网络接口总线位数总线频率总线带宽32 b33M1G64 b33M2G32 b133M4G64 b133M8G网络接口134215网络接口总线位数总线频率总线带宽32 b33M1G64 b33M2G32 b133M4G64 b133M8G网络接口134216网络接口总线位数总线频率总线带宽32 b33M1G64 b33M2G32 b133M4G64 b133M8G网络接口134217总线位数总线频率总线带宽32 b33M1G64 b33M2G32 b133M4G64 b133M8G网络接口总线1网络接口总线218总线位数总线频率总线带宽32 b33M1
4、G64 b33M2G32 b133M4G64 b133M8G网络接口总线1网络接口总线219基于通用基于通用CPU的防火墙的特点的防火墙的特点20基于基于ASIC加速技术防火墙的特点加速技术防火墙的特点21 基于基于NP加速技术防火墙的特点加速技术防火墙的特点22232425应用层表示层会话层传输层网络层链路层物理层应用层表示层会话层传输层网络层链路层物理层网络层链路层物理层优点: 速度快,性能高 对应用程序透明缺点: 安全性低 不能根据状态信息进行控制 不能处理网络层以上的信息 伸缩性差 维护不直观2627应用层表示层会话层传输层网络层链路层物理层应用层表示层会话层传输层网络层链路层物理层应
5、用层表示层会话层传输层网络层链路层物理层安全性高能够检测所有进入防火墙网关的数据包根据通信和应用程序状态确定是否允许包的通行性能高在数据包进入防火墙时就进行识别和判断伸缩性好可以识别不同的数据包已经支持160多种应用,包括Internet应用、数据库应用、多媒体应用等用户可方便添加新应用对用户、应用程序透明抽取各层的状态信息建立动态状态表2829应用层表示层会话层传输层网络层链路层物理层应用层表示层会话层传输层网络层链路层物理层应用层表示层会话层传输层网络层链路层物理层优点:优点: 安全性高 提供应用层的安全缺点:缺点: 性能差 伸缩性差 只支持有限的应用 不透明FTPHTTPSMTP3031
6、32Host C Host D Access list 192.168.1.3 to 202.2.33.2Access nat 192.168.3.0 to any pass Access 202.1.2.3 to 192.168.1.3 blockAccess default pass1010010101规则匹配成功规则匹配成功v 基于源IP地址v 基于目的IP地址v 基于源端口v 基于目的端口v 基于时间v基于用户v 基于流量v 基于文件v 基于网址v 基于MAC地址33chenaifeng12354876341.无日志无日志2.通信日志通信日志:即传统日志:即传统日志v通信源地址、目的地
7、址、源目端口、通信时间、通信协议、字节数、是否允许通过通信源地址、目的地址、源目端口、通信时间、通信协议、字节数、是否允许通过3.应用层命令日志应用层命令日志:v在通信日志的基础之上,记录下各个应用层命令及其参数。例如在通信日志的基础之上,记录下各个应用层命令及其参数。例如HTTPHTTP请求及其要取的请求及其要取的网页名。网页名。4.访问日志访问日志:v即在通信日志的基础之上,记录下用户对网络资源的访问。它和应用层命令日志的区即在通信日志的基础之上,记录下用户对网络资源的访问。它和应用层命令日志的区别是:应用层命令日志可以记录下大量的数据,有些用户可能不需要,如协商通信参别是:应用层命令日志
8、可以记录下大量的数据,有些用户可能不需要,如协商通信参数过程等。例如针对数过程等。例如针对FTP协议,访问日志只记录下读、写文件的动作协议,访问日志只记录下读、写文件的动作 5.内容日志内容日志:1.1.即在应用层命令日志的基础之上,还记录下用户传输的内容。如用户发送的邮件,用即在应用层命令日志的基础之上,还记录下用户传输的内容。如用户发送的邮件,用户取下的网页等。但因为这个功能涉及到隐私问题,所以在普通的防火墙中没有包含户取下的网页等。但因为这个功能涉及到隐私问题,所以在普通的防火墙中没有包含 2.2.Firewall 5G Firewall 5G 对所有的应用层协议都可以进行通信日志,而命
9、令日志、访问日志、内对所有的应用层协议都可以进行通信日志,而命令日志、访问日志、内容日志目前支持容日志目前支持HTTP、FTP、SMTP、POP3、TELNET、RSH、RLOGIN等协议等协议 6.日志分析工具日志分析工具1.自动产生各种报表,智能化的指出网络可能的安全漏洞自动产生各种报表,智能化的指出网络可能的安全漏洞3536373839Intranet 404142受保护网络InternetIDS发送通知报文验证报文并采取措施发送响应报文识别出攻击行为阻断连接或者报警等434445InternetHost A 199.168.1.2Host B199.168.1.3Host C199.1
10、68.1.4Host D199.168.1.500-50-04-BB-71-A600-50-04-BB-71-BCBIND 199.168.1.2 To 00-50-04-BB-71-A6BIND 199.168.1.4 To 00-50-04-BB-71-BCIP与MAC地址绑定后,不允许Host B假冒Host A的IP地址上网防火墙允许Host A上网跨路由器46Internetv 公开服务器可以使用私有地址v 隐藏内部网络的结构WWW 199.168.1.2FTP 199.168.1.3MAIL 199.168.1.4DNS 199.168.1.5199.168.1.612.4.1.5
11、202.102.1.3MAP 199.168.1.2:80 TO 202.102.1.3:80MAP 199.168.1.3:21 TO 202.102.1.3:21MAP 199.168.1.4:53 TO 202.102.1.3:53MAP 199.168.1.5:25 TO 202.102.1.3:25http:/199.168.1.2http:/202.102.1.347202.102.93.54Host A受保护网络Host C Host D 192.168.1.21192.168.1.25防火墙Eth2:192.168.1.23Eth0:101.211.23.1数据IP报头数据IP
12、报头源地址:192.168.1.21目地址:202.102.93.54源地址:101.211.23.1目地址:202.102.93.54101.211.23.248不支持TRUNK的防火墙无法在这种环境下工作不支持TRUNK的防火墙无法在这种环境下工作49DHCP服务器Host AHost BHost CHost DHost EHost F没有固定IP地址只允许Host B上网设定Host B的MAC地址设定Host B的IP地址为空根据Host B的MAC地址进行访问控制50客户机数据库查询一般需要比较长的时间,这些通讯连接建立成功后可能暂时没有数据通过(空连接),需要在防火墙里面维护这个连
13、接状态,直到查询结束,普通防火墙在连接建立一段时间后如果没有数据通讯会自动切断连接,导致业务不能正常运行51525354防火墙的“胖”与“瘦” 55 “胖胖”、“瘦瘦”防火墙的定防火墙的定义义56胖防火墙的优势胖防火墙的优势57胖防火墙的不足胖防火墙的不足 58瘦防火墙的优势瘦防火墙的优势59瘦防火墙的不足瘦防火墙的不足60胖瘦防火墙之争胖瘦防火墙之争 61用户的价值取向一用户的价值取向一 62用户的价值取向二用户的价值取向二 63防火墙:胖瘦总相宜防火墙:胖瘦总相宜 64构建联动一体的安全体系构建联动一体的安全体系 6566受保护网络Internet如果防火墙支持透明模式,则内部网络主机的配
14、置不用调整Host A 199.168.1.2Host C199.168.1.4Host D199.168.1.5Host B199.168.1.3199.168.1.8同一网段透明模式下,这里不用配置IP地址透明模式下,这里不用配置IP地址Default Gateway=199.168.1.8防火墙相当于网桥,原网络结构没有改变NO.1 透明接入透明接入67202.99.88.1ETH0:202.99.88.2ETH1:202.99.88.3ETH2:202.99.88.4202.99.88.10/24 网段202.99.88.20/24 网段外网、SSN、内网在同一个广播域,防火墙做透明设
15、置。此时防火墙为透明模式。透明模式的典型应用透明模式的典型应用68受保护网络InternetHost A 199.168.1.2Host C199.168.1.4Host D199.168.1.5Host B199.168.1.3199.168.1.8Default Gateway=199.168.1.8防火墙相当于一个简单的路由器203.12.34.56203.12.34.57199.168.1.8NO.2 路由接入路由接入69202.99.88.1ETH0:202.99.88.2ETH1:10.1.1.2ETH2:192.168.7.210.1.1.0/24 网段192.168.7.0/2
16、4 网段外网、SSN区、内网都不在同一网段,防火墙做路由方式。这时,防火墙相当于一个路由器。路由模式的典型应用路由模式的典型应用70NO.3 综合接入综合接入ETH1:192.168.7.102ETH2:192.168.7.2192.168.1.100/24 网段网段192.168.7.0/24 网段网段此时整个防火墙工作于透明+路由模式,我们称之为综合模式或者混合模式202.11.22.1/24 网段网段ETH1:202.11.22.2两接口在不同网段,防火墙处于路由模式两接口在不同网段,防火墙处于路由模式两接口在同一网段,防火墙处于透明模式71727374-v -v -v -v -v -v -v -选购防火墙的依据选购防火墙的依据75
