防火墙技术原理知识ppt课件.ppt

防火墙技术原理,防火墙概述 防火墙分类 防火墙硬件技术 防火墙软件技术 防火墙分级 防火墙功能 防火墙性能 防火墙安全性 防火墙的“胖”与“瘦”防火墙部署 防火墙管理 防火墙可靠性 防火墙典型应用 防火墙技术发展展望 怎样选择防火墙,提 纲,桌面型防火墙,普通百兆防火墙,防火墙+VPN,高端百兆防火墙,高端千兆防火墙,形形色色的防火墙,根据不同网络应用环境选择合适的防火墙,防火墙整体外观介绍,样式：标准1U-4U机箱，根据接口数量、处理性能等不同而异网络接口数量：标准一般配置3 个 10/100M 自适应接口，根据需要可以定制更多接口，有些还可热拔插网络接口类型：标准一般是 10/100-Base-TX接口，也可定制其他类型接口电源：一般单电源，特殊场合可以配置双电源，但需要定制硬件平台架构：大多基于X86工控平台，正在开发基于NP加速的新产品处理器：大多是CPU，极少数CPU+NPU软件平台：部分自主开发、优化，也有直接基于开放LINUX架构改造，使用免费代码构建,网络接口,内 网,外 网,SSN,控制口,新结构防火墙,老结构防火墙,防火墙模块,防火墙外观的演变,新老结构的变化，体现了防火墙的发展方向：集成化方向发展模块化方向发展选择更加灵活，部署更加方便，处理能力更加强大,防火墙设计结构的变化,防火墙机箱与引擎,防火墙接口模块,防火墙模块封装板,根据需要可以通过扩充模块，增加端口的数量根据需要可以通过更换模块，改变端口的类型根据需要可以选择 处理能力更好的机箱与引擎,千兆电信级防火墙结构,GBIC卡插槽,10/100/1000M接口,AUX接口,热拔插冗余电源,大功率散热风扇,防火墙引擎,防火墙连线图,直通线,交叉线,交叉线,串口线,管理机,SSN 区域,外网,内网,Internet,一种高级访问控制设备，置于不同网络安全域之间的一系列部件的组合，它是不同网络安全域间通信流的唯一通道，能根据企业有关的安全政策控制（允许、拒绝、监视、记录）进出网络的访问行为。,两个安全域之间通信流的唯一通道,根据访问控制规则决定进出网络的行为,内部网,防火墙定义,Intranet,通过部署防火墙，可以实现比VLAN、路由器更为强大、有效的访问控制功能；大大提高抗攻击的能力,禁止访问,禁止访问,防火墙作用,防火墙执行标准,GB/T 18019-1999 信息技术包过滤防火墙安全技术要求 GB/T 18020-1999 信息技术应用级防火墙安全技术要求 GB/T 18336-2001 信息技术安全性评估准则（ISO 15408）GB/T 17900-1999 网络代理服务器的安全技术要求 GB/T 18018-1999 路由器安全技术要求,GB/T 18020-1999,GB/T 18010-1999,GB/T 18336-2001（ISO/IEC 15408）,国 内 标 准,国 际 标 准,规范需求分析、设计、编码、测试、评估等环节,防火墙概述 防火墙分类 防火墙硬件技术 防火墙软件技术 防火墙分级 防火墙功能 防火墙性能 防火墙安全性 防火墙的“胖”与“瘦”防火墙部署 防火墙管理 防火墙可靠性 防火墙典型应用 防火墙技术发展展望 怎样选择防火墙,提 纲,Internet,软件防火墙,硬件防火墙,按形态分类,按保护对象分类,Internet,防火墙的分类,保护整个网络,保护单台主机,网络防火墙,单机防火墙,Internet,单机防火墙,网络防火墙,保护单台主机安全策略分散安全功能简单普通用户维护安全隐患较大策略设置灵活,保护整个网络安全策略集中安全功能复杂多样专业管理员维护安全隐患小策略设置复杂,单机防火墙&网络防火墙,Internet,硬件防火墙&软件防火墙,Internet,硬件防火墙,软件防火墙,仅获得Firewall软件，需要准备额外的OS平台安全性依赖低层的OS网络适应性弱（主要以路由模式工作）稳定性高软件分发、升级比较方便,硬件+软件，不用准备额外的OS平台安全性完全取决于专用的OS网络适应性强（支持多种接入模式）稳定性较高升级、更新不太灵活,防火墙概述 防火墙分类 防火墙硬件技术 防火墙软件技术 防火墙分级 防火墙功能 防火墙性能 防火墙安全性 防火墙的“胖”与“瘦”防火墙部署 防火墙管理 防火墙可靠性 防火墙典型应用 防火墙技术发展展望 怎样选择防火墙,提 纲,CPU+33M总线+10/100/1000M网络接口CPU+133M总线+10/100/1000M网络接口CPU+ASIC+133M总线+10/100/1000M网络接口CPU+NPU+133M总线+10/100/1000M网络接口CPU+NPU+ASIC+133M总线+10/100/1000M网络接口n个CPU+n个NPU+n个ASIC+n条总线+n个10/100/1000网络接口,防火墙硬件结构种类,逐步提高处理能力,逐步提高总线带宽,逐步提高接口速率,基于通用CPU的防火墙的特点,通用CPU的优点：高灵活性、高扩展性通用CPU由于考虑了各种应用的需要，具有一般化的通用体系结构和指令集，容易支持复杂的运算并容易开发新的功能。随着通用CPU性能的快速提高，基于通用CPU防火墙的处理速度和能力将会大幅度提高，能够很好的适应多接口百兆、千兆防火墙的计算要求,基于ASIC加速技术防火墙的特点,ASIC：Application Specific Integrated Circuit，特定用途集成电路。ASIC专用硬件加速技术主要是部分国外厂商的防火墙产品采用，如NetScreen的高端防火墙。ASIC作为硬件集成电路，它把指令或计算逻辑固化到硬件中，获得高处理能力，提升防火墙性能。ASIC最大缺点是缺乏灵活性，支持有限的应用和服务。一旦指令或计算逻辑固化到硬件中，就很难修改升级、增加新的功能或提高性能，使得资源重用率很低。而且，ASIC设计和制造周期长（设计和制造复杂ASIC一般需要花费1218个月），研发费用高，也使ASIC很难应对万变的网络新应用，所以基于ASIC技术，很难快速推出能满足用户需求不断变化的防火墙产品。,网络处理器（Network Processor，简称NP）顾名思义即专为网络数据处理而设计的芯片或芯片组。能够直接完成网络数据处理的一般性任务，如TCP/IP数据的校验和计算、包分类、路由查找等，同时，硬件体系结构的设计也弥补了传统IA体系的不足，它们大多采用高速的接口技术和总线规范，具有较高的I/O能力。基于网络处理器的网络设备的包处理能力得到了很大提升，很多需要高性能的领域，如千兆交换机、防火墙、路由器的设计都可以采用网络处理器来实现。,Intel 公司第一代NP芯片,NP产品远未成熟，包括Terago公司倒闭（10Gbit/sNP）NP不少，产品接口却不统一，无法完成无缝的整合；NPU论坛（网络处理器论坛（NPF）正在推动相关标准的制定，但还很不完善；NP防火墙产品的测试标准并没有推出，有关测试方法的Benchmark都还没有制定出来对复杂应用数据，NP的表现就不令人满意。例如分片数据包的重组和加密的处理。目前在网络数据厂商中，采用NP技术的数量非常有限。,基于NP加速技术防火墙的特点,CPU+33M总线+10/100/1000M网络接口CPU+133M总线+10/100/1000M网络接口CPU+ASIC+133M总线+10/100/1000M网络接口CPU+NPU+133M总线+10/100/1000M网络接口CPU+NPU+ASIC+133M总线+10/100/1000M网络接口n个CPU+n个NPU+n个ASIC+n条总线+n个10/100/1000网络接口,TopSEC 防火墙硬件结构种类,中低端,中高端,电信级产品,加密处理：采用 ASIC 芯片内容过滤：采用通用 CPU 网络报文处理：采用 NPU,防火墙概述 防火墙分类 防火墙硬件技术 防火墙软件技术 防火墙分级 防火墙功能 防火墙性能 防火墙安全性 防火墙的“胖”与“瘦”防火墙部署 防火墙管理 防火墙可靠性 防火墙典型应用 防火墙技术发展展望 怎样选择防火墙,提 纲,防火墙软件技术,简单包过滤防火墙状态检测包过滤防火墙应用代理防火墙核检测防火墙,应用层,表示层,会话层,传输层,网络层,链路层,物理层,应用层,表示层,会话层,传输层,网络层,链路层,物理层,网络层,链路层,物理层,优点：速度快，性能高 对应用程序透明,缺点：安全性低 不能根据状态信息进行控制 不能处理网络层以上的信息 伸缩性差 维护不直观,简单包过滤技术介绍,应用层,TCP 层,IP 层,网络接口层,IP,101010101,TCP,ETH,101010101,应用层,TCP 层,IP 层,网络接口层,101010101,只检查报头,101001001001010010000011100111101111011,001001001010010000011100111101111011,简单包过滤 防火墙的工作原理,简单包过滤防火墙不检查数据区简单包过滤防火墙不建立连接状态表前后报文无关应用层控制很弱,应用层,表示层,会话层,传输层,网络层,链路层,物理层,应用层,表示层,会话层,传输层,网络层,链路层,物理层,状态检测技术介绍,应用层,表示层,会话层,传输层,网络层,链路层,物理层,安全性高能够检测所有进入防火墙网关的数据包根据通信和应用程序状态确定是否允许包的通行性能高在数据包进入防火墙时就进行识别和判断伸缩性好可以识别不同的数据包已经支持160多种应用，包括Internet应用、数据库应用、多媒体应用等用户可方便添加新应用对用户、应用程序透明,抽取各层的状态信息建立动态状态表,应用层,TCP 层,IP 层,网络接口层,IP,101010101,TCP,ETH,101010101,应用层,TCP 层,IP 层,网络接口层,101010101,只检查报头,101001001001010010000011100111101111011,001001001010010000011100111101111011,状态检测包过滤 防火墙的工作原理,不检查数据区建立连接状态表前后报文相关应用层控制很弱,建立连接状态表,应用层,表示层,会话层,传输层,网络层,链路层,物理层,应用层,表示层,会话层,传输层,网络层,链路层,物理层,应用代理技术介绍,应用层,表示层,会话层,传输层,网络层,链路层,物理层,优点：安全性高 提供应用层的安全,缺点：性能差 伸缩性差 只支持有限的应用 不透明,FTP,HTTP,SMTP,应用层,TCP 层,IP 层,网络接口层,IP,101010101,TCP,ETH,101010101,应用层,TCP 层,IP 层,网络接口层,101010101,只检查数据,101001001001010010000011100111101111011,001001001010010000011100111101111011,应用代理 防火墙的工作原理,不检查IP、TCP报头不建立连接状态表网络层保护比较弱,应用层,TCP 层,IP 层,网络接口层,IP,开始攻击,TCP,ETH,开始攻击 主服务器 硬盘数据,应用层,TCP 层,IP 层,网络接口层,开始攻击 主服务器 硬盘数据,检查多个报文组成的会话,101001001001010010000011100111101111011,001001001010010000011100111101111011,核检测 防火墙的工作原理,建立连接状态表,开始攻击,重写会话,主服务器,硬盘数据,报文1,报文2,报文3,网络层保护强应用层保护戗会话保护很强上下文相关前后报文有联系,防火墙核心技术比较,单个包报头,单个包报头,单个包数据,一次会话,核检测防火墙设计结构,路由模块,透明模块,规则检查,还原模块,FTP 还原,HTTP 还原,SMTP 还原,POP3 还原,日志守护进程,病毒守护进程,应用层日志,病毒,应用层过滤,Kernel,Application,00101010101010,11110010101001,11101010101011,连接表,在操作系统内核完成应用协议的还原，极大的提高了系统的整体性能,基于内核的会话检测技术,Clint,192.168.6.169,192.168.6.170,010101001010000111110000010010101001010010010110010010,协议还原模块协议还原模块,输入队列,输入队列,底层驱动,010101001010000111110000010010101001010010010110010010,符合安全策略？,符合安全策略？,防火墙逻辑图,010100101001010010,010100101001010010,010100101001010010,010100101001010010,010100,010101,发起请求,响应请求,虚拟客户端,虚拟服务器端,在操作系统内核模拟出典型的应用层协议，在内核实现对应用层协议的过滤，从而得到极高的性能,101001010111000010101000011,101001010111000010101000011,110100000001100000001111,1001001000100100001001111,10001101001001001001001,010,010,进行规则匹配、应用层过滤频繁在系统核心和应用层之间切换消耗掉大量的系统资源生成大量的进程影响防火墙的性能,应用层,系统核心,101001010111000010101000011,101001010111000010101000011,1001000100100001001111,10001101001001001001001,010,010,直接在系统核心进行应用层过滤不需要频繁在系统核心和应用层之间切换在大量并发情况下不会生成大量进程，有效的保护系统资源大大提高会话检测的效率,应用层,系统核心,基于内核 的会话检测技术,防火墙概述 防火墙分类 防火墙硬件技术 防火墙软件技术 防火墙分级 防火墙功能 防火墙性能 防火墙安全性 防火墙的“胖”与“瘦”防火墙部署 防火墙管理 防火墙可靠性 防火墙典型应用 防火墙技术发展展望 怎样选择防火墙,提 纲,防火墙安全保障级别,市场需求,军 队,金 融,证 券,政 府,企 业,EAL2 级,EAL3 级,EAL4 级,EAL5 级,EAL6 级,EAL7 级,EAL1 级,不同品牌，不同类型的防火墙，谁更安全？,不同行业，对防火墙的安全性要求也不一样？,如何来评价防火墙的安全保证级别？CC对防火墙的安全保证分为七级！,防火墙七个安全认证级别,EAL1 级,EAL7 级,EAL2 级,EAL3 级,EAL4 级,EAL5 级,EAL6 级,功能测试,结构测试,方法测试和检查,方法设计、测试和检查,半形式设计和测试,半形式验证设计和测试,形式验证设计和测试,防火墙,防火墙概述 防火墙分类 防火墙硬件技术 防火墙软件技术 防火墙分级 防火墙功能 防火墙性能 防火墙安全性 防火墙的“胖”与“瘦”防火墙部署 防火墙管理 防火墙可靠性 防火墙典型应用 防火墙技术发展展望 怎样选择防火墙,提 纲,Host C,Host D,访问控制功能,Access list 192.168.1.3 to 202.2.33.2Access nat 192.168.3.0 to any pass Access 202.1.2.3 to 192.168.1.3 blockAccess default pass,1010010101,规则匹配成功,基于源IP地址 基于目的IP地址 基于源端口 基于目的端口 基于时间基于用户 基于流量 基于文件 基于网址 基于MAC地址,Internet,RADIUS服务器,S/KEY 认证服务器,RADIUS服务器,TACAS+服务器,chenaifeng,12354876,防火墙将认证信息传给真正的RADIUS服务器,将认证结果传给防火墙,根据认证结果决定用户对资源的访问权限,身份认证功能,审计功能-日志分析,无日志通信日志：即传统日志通信源地址、目的地址、源目端口、通信时间、通信协议、字节数、是否允许通过应用层命令日志：在通信日志的基础之上，记录下各个应用层命令及其参数。例如HTTP请求及其要取的网页名。访问日志：即在通信日志的基础之上，记录下用户对网络资源的访问。它和应用层命令日志的区别是：应用层命令日志可以记录下大量的数据，有些用户可能不需要，如协商通信参数过程等。例如针对FTP协议，访问日志只记录下读、写文件的动作 内容日志：即在应用层命令日志的基础之上，还记录下用户传输的内容。如用户发送的邮件，用户取下的网页等。但因为这个功能涉及到隐私问题，所以在普通的防火墙中没有包含 Firewall 5G 对所有的应用层协议都可以进行通信日志，而命令日志、访问日志、内容日志目前支持HTTP、FTP、SMTP、POP3、TELNET、RSH、RLOGIN等协议 日志分析工具自动产生各种报表，智能化的指出网络可能的安全漏洞,Clint,http:/,响应请求,发送请求,通信日志,通信日志,通信信息,192.168.6.169,192.168.6.170,初步审计-通信日志,Clint,http:/,响应请求,发送请求,命令日志,命令日志,192.168.6.169,192.168.6.170,深度审计1-应用层命令日志,命令信息,Clint,http:/,响应请求,发送请求,访问日志,访问日志,192.168.6.169,192.168.6.170,深度审计2-访问日志,访问信息,Clint,http:/,响应请求,发送请求,内容日志,内容日志,192.168.6.169,192.168.6.170,深度审计3-内容日志,内容信息,支持集中审计,安全审计中心,1010101,Intranet,灵活的带宽管理功能,WWW,Mail,DNS,出口带宽 512K,DMZ 区保留 256K,分配 70K 带宽,分配 90K 带宽,分配 96K 带宽,DMZ 区域,内部网络,总带宽512 K,内网256 K,DMZ 256 K,70 K,90 K,96 K,+,+,+,财务子网,采购子网,生产子网,财务子网,采购子网,生产子网,Internet,WWW 1,WWW 2,WWW 3,服务器负载均衡功能,负载均衡算法：顺序选择地址+权值根据PING的时间间隔来选择地址+权值根据Connect的时间间隔来选择地址+权值根据Connect然后发送请求并得到应答的时间间隔来选择地址+权值,http:/,根据负载均衡算法将数据重定位到一台WWW服务器,服务器阵列,响应请求,受保护网络,Internet,IDS,黑客,发送通知报文,验证报文并采取措施,发送响应报文,识别出攻击行为,阻断连接或者报警等,联动功能1-与IDS 的安全联动,能与国内30多家主流IDS产品进行无缝联动,联动功能2-与病毒网关的安全联动,Internet,110010101,病毒服务器,100010101,000010101,待发数据,110010101,100010101,000010101,110010101,100010101,000010101,pass,pass,无病毒转发最后一个报文，如带有病毒则丢弃最后一个报文,协议还原 检查病毒,没有发现病毒可以放过最后一个报文,接收数据,接收数据,内部网络,Internet,http:/,URL 服务器,可以访问http:/吗？,Ok!,联动功能3-与URL服务器的安全联动,Internet,Host B,199.168.1.3,Host C,199.168.1.4,Host D,199.168.1.5,00-50-04-BB-71-A6,00-50-04-BB-71-BC,BIND 199.168.1.2 To 00-50-04-BB-71-A6,BIND 199.168.1.4 To 00-50-04-BB-71-BC,IP与MAC地址绑定后，不允许Host B假冒Host A的IP地址上网,防火墙允许Host A上网,跨路由器,IP与MAC（用户）绑定功能,Internet,公开服务器可以使用私有地址 隐藏内部网络的结构,199.168.1.6,12.4.1.5,202.102.1.3,MAP 199.168.1.2：80 TO 202.102.1.3：80,MAP 199.168.1.3：21 TO 202.102.1.3：21,MAP 199.168.1.4：53 TO 202.102.1.3：53,MAP 199.168.1.5：25 TO 202.102.1.3：25,http:/199.168.1.2,http:/202.102.1.3,MAP(端口映射)功能,受保护网络,Host C,Host D,192.168.1.21,192.168.1.25,源地址：192.168.1.21目地址：202.102.93.54,源地址：101.211.23.1目地址：202.102.93.54,101.211.23.2,隐藏了内部网络的结构 内部网络可以使用私有IP地址 公开地址不足的网络可以使用这种方式提供IP复用功能,NAT(地址转换)功能,Trunk 口,Trunk 口,VLAN 1,VLAN 2,支持VLAN的交换机,Trunk 口,Trunk 口,VLAN 1,VLAN 2,Switch1,Switch 2,同一交换机的不同 VLAN 之间通讯,不同交换机的同一 VLAN 之间通讯,不支持TRUNK的防火墙无法在这种环境下工作,不支持TRUNK的防火墙无法在这种环境下工作,适应性1-VLAN应用环境,天融信防火墙支持802.1Q、ISL封装协议,适应性2-DHCP应用环境,Internet,DHCP服务器,Host A,Host B,Host C,Host D,Host E,Host F,没有固定IP地址,只允许Host B上网,设定Host B的MAC地址,设定Host B的IP地址为空,根据Host B的MAC地址进行访问控制,天融信防火墙支持基于MAC地址的过滤，对于跨网段环境防火墙还提供一个自动运行的客户端来获取动态IP,建立连接并维持连接状态直到查询结束,适应性3-数据库应用环境,数据库查询一般需要比较长的时间，这些通讯连接建立成功后可能暂时没有数据通过（空连接），需要在防火墙里面维护这个连接状态，直到查询结束，普通防火墙在连接建立一段时间后如果没有数据通讯会自动切断连接，导致业务不能正常运行,需要较长的查询时间,天融信防火墙支持普通连接、长连接等选择模式，可以灵活设置连接时间,中国教育网,Internet,202.10.1.2,64.10.6.5,200.34.22.2,200.34.22.1,192.168.1.1,Host A：192.168.1.2,Host B：192.168.1.3,Host C：192.168.1.4,200.34.22.3,内网,根据源、目地址来进行路由,主机B直接连接Internet,主机A通过教育网上Internet,适应性4-源目路由环境,NETBEUI协议OSPF协议RIP协议H.323协议,INTERNET,适应性4-复杂应用环境,防火墙概述 防火墙分类 防火墙硬件技术 防火墙软件技术 防火墙分级 防火墙功能 防火墙性能 防火墙安全性 防火墙的“胖”与“瘦”防火墙部署 防火墙管理 防火墙可靠性 防火墙典型应用 防火墙技术发展展望 怎样选择防火墙,提 纲,常见防火墙性能指标,最大位转发率吞吐量（蓝色为关键数据）延时丢包率背靠背最大并发连接数最大并发连接建立速率最大策略数平均无故障间隔时间支持的最大用户数,最大位转发率,定义：防火墙的位转发率指在特定负载下每秒钟防火墙将允许的数据流转发至正确的目的接口的位数。最大位转发率指在不同的负载下反复测量得出的位转发率数值中的最大值,100100100100100010101,Smartbits 6000B 测试仪,101100101000011111001010010001001000,在特定负载下,防火墙正确转发的数据流位数,备注：将测试结果乘以帧长就是位转发率,吞吐量,定义：在不丢包的情况下能够达到的最大包转发速率。衡量标准：吞吐量越大，说明防火墙数据处理能力越强；吞吐量小就会造成网络新的瓶颈，以至影响到整个网络的性能 吞吐量是防火墙在各种帧长的满负载（100M或1000M）双向（Bidirectional Traffic）UDP数据包情况下的稳定性表现，是其它指标的基础。以太网吞吐量最大理论值称为线速，即指网络设备有足够的能力以全速处理最小的数据封包转发。,;%#*$&*&#*(&,Smartbits 6000B 测试仪,101100101000011111001010010001001000,以最大速率发包,直到出现丢包时的最大值,防火墙吞吐量小就会成为网络的瓶颈,100M,60M,吞吐量测试结果,数据包首先排队待防火墙检查后转发,延时,定义：延迟通常是指从测试数据帧的最后一个比特进入被测设备端口开始，至测试数据包的第一个比特从被测设备另一端口离开的时间间隔。衡量标准：现在网络的应用种类非常复杂，许多应用对延迟非常敏感(例如：音频，视频等)，而网络中加入防火墙必然会增加传输延迟，所以较低的延迟对防火墙来说也是不可或缺的。,10101001001001001010,Smartbits 6000B 测试仪,101100101000011111001010010001001000,最后1个比特到达,第一个比特输出,时间间隔,1010100111001110,1010100111001110,1010010010100100010100010,101010100100100100100100010,造成数据包延迟到达目标地,延时测试结果,丢包率,定义：在连续负载的情况下，防火墙设备由于资源不足应转发但却未转发的帧百分比 衡量标准：是用来确定防火墙在不同传输速率下丢失数据包的百分数，目的在于测试防火墙在超负载情况下的性能较低的丟包率，意味着防火墙在强大的负载压力下，能够稳定地工作，以适应各种网络的复杂应用和较大数据流量对处理性能的高要求。,发送了1000个包,防火墙由于资源不足只转发了800个包,丢包率=（1000-800）/1000=20%,10010101001010010001001001,10010101001010010001001001,丢包率测试结果,背靠背,定义：从空闲状态开始，以达到传输介质最小合法间隔极限的传输速率发送相当数量的固定长度的帧，当出现第一个帧丢失时，发送的帧数。即以最小帧间隔发送最多数据包而不引起丢包时的数据包数量衡量标准：背对背包的测试结果能体现出被测防火墙的缓冲容量,网络上经常有一些应用会产生大量的突发数据包（例如：NFS,备份，路由更新等），而且这样的数据包的丢失可能会产生更多的数据包，强大缓冲能力可以减小这种突发对网络造成的影响,时间（t）,包数量（n）,少量包,包增多,峰值,包减少,没有数据,背靠背指标体现防火墙对突发数据的处理能力,背靠背测试结果,并发连接数,定义：指穿越防火墙的主机之间或主机与防火墙之间能同时建立的最大连接数。衡量标准：并发连接数的测试主要用来测试被测防火墙建立和维持TCP连接的性能，同时也能通过并发连 接数的大小体现被测防火墙对来自于客户端的TCP连接请求的响应能力 理解细化：是防火墙能够同时处理的点对点会话连接的最大数目，它反映防火墙对多个连接的访问控制能力和连接状态跟踪能力。这个参数的大小可以直接影响到防火墙所能支持的最大信息点数,并发连接数指标可以用来衡量穿越防火墙的主机之间能同时建立的最大连接数,最大并发连接数建立速率,定义：指穿越防火墙的主机之间或主机与防火墙之间单位时间内建立的最大连接数。衡量标准：最大并发连接数建立速率主要用来衡量防火墙单位时间内建立和维持TCP连接的能力测试防火墙每秒所能建立起的TCP/HTTP连接数及防火墙所能保持的最大TCP/HTTP连接数,单位时间内增加的并发连接数,防火墙概述 防火墙分类 防火墙硬件技术 防火墙软件技术 防火墙分级 防火墙功能 防火墙性能 防火墙安全性 防火墙的“胖”与“瘦”防火墙部署 防火墙管理 防火墙可靠性 防火墙典型应用 防火墙技术发展展望 怎样选择防火墙,提 纲,Intranet,DOS/DDOS攻击,遭受拒绝服务攻击,产生的后果：服务器计算资源被耗尽网络带宽资源被耗尽,防火墙如何在抗DOS/DDOS攻击中发挥作用？,抗DOS/DDOS攻击-SYN代理,Syn-Cookie（主机）/Syn-Gate（网关）在服务器和外部网络之间部署代理服务器通过代理服务器发送Syn/Ack报文，在收到客户端的Syn包后，防火墙代替服务器向客户端发送Syn/Ack包，如果客户端在一段时间内没有应答或中间的网络设备发回了ICMP错误消息，防火墙则丢弃此状态信息如果客户端的Ack到达，防火墙代替客户端向服务器发送Syn包，并完成后续的握手最终建立客户端到服务器的连接。通过这种Syn-Cookie技术，保证每个Syn包源的真实有效性，确保服务器不被虚假请求浪费资源，从而彻底防范对服务器的Syn-Flood攻击。,SYN,SYN/ACK,ACK,SYN,SYN/ACK,ACK,SYN,SYN/ACK,ACK,Client,Server,抗DOS/DDOS攻击-Random Drop算法,Random Drop算法 当流量达到一定的数量限度时，所采取的一种通过降低性能，保证服务的不得已的方法。具体过程是：当流量达到一定的阀值的时候，开始按照一定的算法丢弃后续的报文，保持主机的处理能力，这样对于用户而言，许多合法的请求可能被主机随机丢弃，但是有部分请求还是可以得到服务器响应，保证服务不间断运行的。,SYN,SYN/ACK,ACK,Client,Server,连接表,丢弃连接,丢弃连接,抗DOS/DDOS攻击-带宽限制和QoS保证,带宽限制和QoS 保证通过对报文种类、来源等各种特性设置阀值参数，保证主要服务稳定可靠的资源供给。保证在高强度攻击环境下一定的连接保持率和新连接发起成功率,内部网络,Internet,也可以在天融信防火墙上设置被保护服务器的最大半连接数,防火墙概述 防火墙分类 防火墙硬件技术 防火墙软件技术 防火墙分级 防火墙功能 防火墙性能 防火墙安全性 防火墙的“胖”与“瘦”防火墙部署 防火墙管理 防火墙可靠性 防火墙典型应用 防火墙技术发展展望 怎样选择防火墙,提 纲,防火墙的“胖”与“瘦”,由于防火墙在网络中所处的重要位置，因此，人们对防火墙可以说是寄予厚望。现在防火墙正在不断增加各种各样的新功能，因此防火墙正在急剧“长胖”。,“胖”防火墙是指功能大而全的防火墙，它力图将安全功能尽可能多地包含在内，从而成为用户网络的一个安全平台；“瘦”防火墙是指功能少而精的防火墙，它只作访问控制的专职工作，对于综合安全解决方案，则采用多家安全厂商联盟的方式来实现。,“胖”、“瘦”防火墙的定义,访问控制,病毒防护,入侵检测,交换路由,内容过滤,信息审计,传输加密,其他,胖防火墙,胖防火墙的优势,首先是功能全其次是控制力度细第三是协作能力强降低采购和管理成本,胖防火墙的不足,主要表现在性能降低其次是自身安全性差还有专业性不强，表现为功能模块的拼凑第四是稳定性差，系统越大，BUG越多最后是配置复杂，不合理的配置会带来更大的安全隐患。,瘦防火墙的优势,访问控制,病毒防护,入侵检测,交换路由,内容过滤,信息审计,传输加密,其他,瘦防火墙,性能高 注重核心功能，专业性强 整体安全性高 配置简单，简化对管理员的专业要求,相互联动,瘦防火墙的不足,首先是功能单一其次是整体防护能力较弱,胖瘦防火墙之争,一种观点认为，要采取分工协作，防火墙应该做得精瘦，只做防火墙的专职工作，可采取多家安全厂商联盟的方式来解决；另一种观点认为，把防火墙做得尽量的胖，把所有安全功能尽可能多地附加在防火墙上，成为一个集成化的网络安全平台。,用户的价值取向一,“胖”防火墙追求的是一站式服务，目前它只适应中小型企业，尤其是低端用户。他们出于经济上的考虑以及管理上的成本，更主要的是出于安全的实际需求，希望一个设备可以为这种小型网络实现整体安全防护，所以对这种大而全的“胖”东西非常感兴趣。,用户的价值取向二,大型用户倾向使用独立安全设备，发挥每种产品最大效果。安全需求广泛，专业性要求强，安全投入较大，自身安全管理能力较高。针对这类用户，为了要满足多种安全需求，在设计安全解决方案时，通常会考虑以安全管理为核心，以多种安全产品的联动为基础，如防火墙与IDS和防病毒全面互动形成动态防御体系。,防火墙：胖瘦总相宜,随着安全需求的细化、硬件计算能力的增加，胖防火墙和瘦防火墙之间的界限也会逐步走向统一。一方面硬件处理能力的大幅度提高（ASIS芯片、NP等）使得防火墙可以集成更多的功能模块成为可能；另一方面安全标准技术的推进，使得不同安全产品之间的联动变得更加容易，这样推出功能更简单性能更高且支持标准联动协议的专业防火墙更为适应市场的需要。以后更多的趋势是考虑现有成熟安全产品之间如何通过标准的协议和接口进行更好的互动，从而构建一个相当于“胖防火墙”作用的整体防御体系，这个体系将更加灵活、方便、易于构建，而且会具有更大的可扩展性。,构建联动一体的安全体系,无论是“胖”防火墙的集成，还是“瘦”防火墙的联动，安全产品正在朝着体系化的结构发展，所谓“胖瘦”不过是这种体系结构的两种表现方式，“胖”将这种体系表现在一个产品中，而“瘦”将这种体系表现在一组产品或是说一个方案中。同时，这种体系化的结构需要完善的安全管理，也就是说，通过安全管理中心产品，整合系列安全产品，构架成联动一体的产品体系，实现对用户、资源和策略的统一管理，确保整体解决方案的安全一致性，是构建网络安全系统的大趋势。,防火墙概述 防火墙分类 防火墙硬件技术 防火墙软件技术 防火墙分级 防火墙功能 防火墙性能 防火墙安全性 防火墙的“胖”与“瘦”防火墙部署 防火墙管理 防火墙可靠性 防火墙典型应用 防火墙技术发展展望 怎样选择防火墙,提 纲,受保护网络,Internet,如果防火墙支持透明模式，则内部网络主机的配置不用调整,199.168.1.8,同一网段,透明模式下，这里不用配置IP地址,透明模式下，这里不用配置IP地址,Default Gateway=199.168.1.8,防火墙相当于网桥，原网络结构没有改变,NO.1 透明接入,Internet,内部网,202.99.88.1,ETH0：202.99.88.2,ETH1：202.99.88.3,ETH2：202.99.88.4,202.99.88.10/24 网段,202.99.88.20/24 网段,外网、SSN、内网在同一个广播域，防火墙做透明设置。此时防火墙为透明模式。,透明模式的典型应用,受保护网络,Internet,199.168.1.8,Default Gateway=199.168.1.8,防火墙相当于一个简单的路由器,203.12.34.56,203.12.34.57,提供简单的路由功能,199.168.1.8,NO.2 路由接入,Internet,内部网,202.99.88.1,ETH0：202.99.88.2,ETH1：10.1.1.2,ETH2：192.168.7.2,10.1.1.0/24 网段,192.168.7.0/24 网段,外网、SSN区、内网都不在同一网段，防火墙做路由方式。这时，防火墙相当于一个路由器。,路由模式的典型应用,NO.3 综合接入,ETH1：192.168.7.102,ETH2：192.168.7.2,192.168.1.100/24 网段,192.168.7.0/24 网段,此时整个防火墙工作于透明+路由模式，我们称之为综合模式或者混合模式,