1、1 第5章 防火墙技术计算机网络安全技术(第4版)第5章防火墙技术2 第5章 防火墙技术能力CAPACITY要求了解防火墙的定义、功能、局限性和发展历程。理解单机版防火墙和网络版防火墙、以及软件防火墙和硬件防火墙的区别。掌握现有防火墙的三种核心技术(三种不同技术类型的防火墙)的基本原理和优缺点。能够熟练使用各种常用的防火墙(安装、参数设置、规则配置等)。了解防火墙的各种性能指标。3 第5章 防火墙技术内容CONTENTS导航防火墙的分类防火墙概述防火墙的实现技术原理防火墙的应用实验防火墙的性能、功能指标4 第5章 防火墙技术一、防火墙概述防火墙的定义防火墙的功能和局限性防火墙的发展简史5 第5
2、章 防火墙技术一、防火墙概述防火墙的定义l防火墙是设置在被保护网络和外部网络之间的一道屏障,实现网络的安全保护,以防止发生不可预测的、潜在破坏性的侵入。l它是不同网络或网络安全域之间信息的唯一出入口。6 第5章 防火墙技术一、防火墙概述l访问控制*l对网络存取和访问进行监控审计l支持VPN功能 l支持网络地址转换l防火墙的功能7 第5章 防火墙技术一、防火墙概述防火墙的发展历史代理型复合型包过滤下一代防火墙状态监测198319911994199820098 第5章 防火墙技术内容CONTENTS导航防火墙的分类防火墙概述防火墙的实现技术原理防火墙的应用实验防火墙的性能、功能指标9 第5章 防火
3、墙技术二、防火墙的分类l按性能分类:百兆、千兆和万兆级防火墙。l按形式上划分:软件防火墙和硬件防火墙;l按保护对象分类:单机防火墙和网络防火墙;l按技术上划分:包过滤防火墙、应用代理型防火墙、状态检测防火墙、复合型防火墙和下一代防火墙。l按CPU架构的分类:通用CPU、NP(Network Processor,网络处理器)、ASIC(Application Specific Integrated Circuit,专用集成电路)、多核处理器的防火墙。防火墙的分类10 第5章 防火墙技术二、防火墙的分类防火墙的分类软件防火墙硬件防火墙按形态分类按保护对象分类保护整个网络保护单台主机网络防火墙单机防
4、火墙11 第5章 防火墙技术二、防火墙的分类操作系统平台安全性性能稳定性网络适应性分发升级成本硬件防火墙基于精简专用OS高高较高强不易较容易Price=firewall+Server软件防火墙基于庞大通用OS较高较高高较强非常容易容易Price=Firewall1.仅获得Firewall软件,需要准备额外的OS平台2.安全性依赖低层的OS3.网络适应性弱(主要以路由模式工作)4.稳定性高5.软件分发、升级比较方便1.硬件+软件,不用准备额外的OS平台2.安全性完全取决于专用的OS3.网络适应性强(支持多种接入模式)4.稳定性较高5.升级、更新不太灵活硬件防火墙&软件防火墙12 第5章 防火墙技
5、术二、防火墙的分类防火墙的体系结构1.双宿主主机体系结构13 第5章 防火墙技术二、防火墙的分类防火墙的体系结构2被屏蔽主机体系结构14 第5章 防火墙技术二、防火墙的分类防火墙的体系结构3被屏蔽子网体系结构DMZ(Demilitarized Zone)区域概念15 第5章 防火墙技术二、防火墙的分类DMZ区常规访问控制策略1、内部网络可以访问DMZ,方便用户使用和管理DMZ中的服务器。2、外部网络可以访问DMZ中的服务器,同时需要由防火墙完成对外地址到服务器实际地址的转换。3、DMZ不能访问内部网络。4、DMZ不能访问外部网络。此条策略也有例外,比如DMZ中放置邮件服务器时,就需要访问外部网
6、络,否则将不能正常工作。16 第5章 防火墙技术二、防火墙的分类通用CPUl在百兆防火墙时代,防火墙厂商普遍采用的是通用CPU,比如:Intel x86,AMD的CPUl特点:1.开发难度小、周期短;灵活、升级方便。2.数据处理能力低。17 第5章 防火墙技术二、防火墙的分类网络处理器(NP)lNP是专门为处理数据包而设计的可编程处理器,它的特点是内含了多个数据处理引擎。l特点:1.灵活、升级方便。数据处理能力较高。2.开发难度较大;开发周期长。18 第5章 防火墙技术二、防火墙的分类专用集成电路(ASIC)lASIC防火墙通过专门设计的ASIC芯片进行硬件加速处理。l特点:1、处理能力强,防
7、火墙的性能高。2、开发费用高、周期长,一般耗时接近2年。3、灵活性和扩展性差,几乎不可能升级;19 第5章 防火墙技术二、防火墙的分类多核架构防火墙l多核处理器,是在同一个硅晶片上集成了多个独立物理核心。多个核心协同处理工作,所以性能倍增。l特点:1、数据处理能力高。2、灵活、升级方便。目前的千兆、万兆防火墙基本都是多核架构防火墙。20 第5章 防火墙技术内容CONTENTS导航防火墙的分类防火墙概述防火墙的实现技术原理防火墙的应用实验防火墙的性能、功能指标21 第5章 防火墙技术三、防火墙的实现技术原理防火墙实现技术原理1 1简单包过滤防火墙2 2动态包过滤(状态检测)防火墙3 3应用代理防
8、火墙4 4包过滤与应用代理复合型防火墙22 第5章 防火墙技术三、防火墙的实现技术原理1简单包过滤防火墙(Packet filtering)l数据包过滤技术的发展:静态包过滤、动态包过滤。l包过滤防火墙在网络层实现数据的转发,包过滤模块一般检查网络层、传输层内容,包括下面几项:源、目的IP地址;源、目的端口号;协议类型;TCP报头的标志位。简单包过滤防火墙的工作原理123 第5章 防火墙技术三、防火墙的实现技术原理包过滤防火墙的工作流程24 第5章 防火墙技术三、防火墙的实现技术原理应用实例【问题】动态包过滤防火墙如何解决了特殊构造了标志位的数据包?但是还是无法阻挡反弹端口的木马。1.开始攻击
9、规则连接表开始攻击开始攻击开始攻击SYNACKSYN2.允许允许开始攻击n.25 第5章 防火墙技术三、防火墙的实现技术原理动态包过滤防火墙的工作流程26 第5章 防火墙技术三、防火墙的实现技术原理状态检测防火墙-UDP防火墙保存通过网关的每一个连接的状态信息,允许穿过防火墙的UDP请求包被记录,当UDP包在相反方向上通过时,依据连接状态表确定该UDP包是否被授权的,若已被授权,则通过,否则拒绝。27 第5章 防火墙技术三、防火墙的实现技术原理3代理防火墙(Proxy Server)代理防火墙的工作过程:28 第5章 防火墙技术三、防火墙的实现技术原理代理防火墙的工作原理29 第5章 防火墙技
10、术三、防火墙的实现技术原理代理服务器的类型lHTTP代理:代理客户机的http访问,主要代理浏览器访问网页,它的端口一般为80、8080、3128等。lFTP代理:代理客户机上的ftp软件访问ftp服务器,其端口一般为21、2121。lPOP3代理:代理客户机上的邮件软件用pop3方式收邮件,其端口一般为110。lTelnet代理:能够代理通信机的telnet,用于远程控制,入侵时经常使用。其端口一般为23。lSocks代理:是全能代理,支持多种协议,包括http、ftp请求及其它类型的请求,其标准端口为1080。l30 第5章 防火墙技术三、防火墙的实现技术原理应用实例例1:不允许上。方法:
11、1、使用包过滤防火墙把服务器的所有IP过滤掉。2、使用代理防火墙过滤域名,而不管IP地址怎么改变。61.172.201.17,61.172.201.230,61.172.201.231,61.172.201.23261.172.201.233,61.172.201.234,61.172.201.235,61.172.201.240,61.172.201.10,61.172.201.11,61.172.201.12,61.172.201.13,61.172.20161.172.201.15,服务器31 第5章 防火墙技术三、防火墙的实现技术原理Client用SOCKS服务器61.172.201.
12、*SOCKS5代理服务器170.1.1.*【问题】图中的防火墙如果改为代理防火墙,是否可以过滤Client传过来的数据包?32 第5章 防火墙技术三、防火墙的实现技术原理Client用“特殊”的HTTP代理【说明】lclient端发出HTTP请求时,不包含的信息,代理防火墙就检测不到字段,实现不了过滤。lHTTP代理需要“特殊”定制,代理服务器知道这类client端发出的请求是要访问,它会帮助client端下载的内容。33 第5章 防火墙技术三、防火墙的实现技术原理自适应代理防火墙检测应用层的头部信息,然后在网络层转发。34 第5章 防火墙技术三、防火墙的实现技术原理应用特征库已经收录了超过3
13、000种互联网应用,还包括700余种移动互联网应用下一代防火墙Next Generation Firewall35 第5章 防火墙技术内容CONTENTS导航防火墙的分类防火墙概述防火墙的实现技术原理防火墙的应用实验防火墙的性能、功能指标36 第5章 防火墙技术四、防火墙的应用实验防火墙的应用实验(一)瑞星个人防火墙瑞星V16主界面瑞星的网络安全37 第5章 防火墙技术四、防火墙的应用实验防火墙规则防火墙规则38 第5章 防火墙技术四、防火墙的应用实验防火墙的应用实验(二)代理类型CCProxyl1.设置IE的HTTP代理参数,观察经过代理后,数据包头的变化。l2.设置IE的socks代理参数
14、,观察经过代理后,数据包头的变化。l3.CCProxy常用功能的设置:用户 IP+MAC 内容 流量39 第5章 防火墙技术四、防火墙的应用实验CCProxy的应用40 第5章 防火墙技术四、防火墙的应用实验CCProxy的应用41 第5章 防火墙技术四、防火墙的应用实验下一代防火墙l著名市场分析咨询机构Gartner曾于2009年发表文章定义下一代防火墙,文章指出下一代防火墙在具有传统防火墙功能与特点的同时,还要具有“支持联动的集成化IPS”、“应用管控与可视化”以及“智能化联动”相关特性。l具有“基于用户防护”、“面向应用安全”、“高效转发平台”、“多层级冗余架构”、“全方位可视化”及“安
15、全技术融合”六大产品特性。42 第5章 防火墙技术四、防火墙的应用实验补充:防火墙其它功能l 安全审计l 负载均衡l 双机热备l 防御功能l端口映射lDHCP环境支持lMAC绑定功能l带宽管理l 联动功能l 内容过滤l VPN功能l 双地址路由l多协议支持43 第5章 防火墙技术四、防火墙的应用实验思科ASA5520-K8参数 44 第5章 防火墙技术内容CONTENTS导航防火墙的分类防火墙概述防火墙的实现技术原理防火墙的应用实验防火墙的性能、功能指标45 第5章 防火墙技术五、防火墙的性能、功能指标 防火墙性能指标吞吐量丢包率最大并发连接数延时最大并发连接建立速率46 第5章 防火墙技术五
16、、防火墙的性能、功能指标l 定义:在不丢包的情况下能够达到的最大速率l 衡量标准:吞吐量作为衡量防 火墙性能的重要指标之一,吞吐量小就会造成网络新的瓶颈,以至影响到整个网络的性能 吞吐量47 第5章 防火墙技术五、防火墙的性能、功能指标l定义:指穿越防火墙的主机之间或主机与防火墙之间能同时建立的最大连接数 l衡量标准:并发连接数的测试主要用来测试被测防火墙建立和维持TCP连接的性能,同时也能通过并发连 接数的大小体现被测防火墙对来自于客户端的TCP连接请求的响应能力。并发连接数并发连接数指标可以用来衡量穿越防火墙的主机之间能同时建立的最大连接数48 第5章 防火墙技术五、防火墙的性能、功能指标
17、l定义:在连续负载的情况下,防火墙设备由于资源不足应转发但却未转发的帧百分比 l衡量标准:防火墙的丢包率对其稳定性、可靠性有很大的影响 防火墙由于资源不足只转发了800个包丢包率=(1000-800)/1000=20%丢包率49 第5章 防火墙技术五、防火墙的性能、功能指标l定义:入口处输入帧最后1个比特到达至出口处输出帧的第一个比特输出所用的时间间隔l衡量标准:防火墙的时延能够体现它处理数据的速度 延时50 第5章 防火墙技术五、防火墙的性能、功能指标l定义:指穿越防火墙的主机之间或主机与防火墙之间单位时间内建立的最大连接数。l衡量标准:最大并发连接数建立速率主要用来衡量防火墙单位时间内建立和维持TCP连接的能力单位时间内增加单位时间内增加的并发连接数的并发连接数最大并发连接建立速率51 第5章 防火墙技术五、防火墙的性能、功能指标防火墙功能指标分级带宽管理LAN接口多协议支持认证支持高级访问控制52 第5章 防火墙技术五、防火墙的性能、功能指标防火墙的部署53 第5章 防火墙技术五、防火墙的性能、功能指标54 第5章 防火墙技术五、防火墙的性能、功能指标55 第5章 防火墙技术五、防火墙的性能、功能指标56 第5章 防火墙技术THANKS
