防火墻基本技術(shù)和原理課件

防火墻基本技術(shù)和原理嚴(yán)峻的網(wǎng)絡(luò)安全形勢，促進(jìn)了防火墻技術(shù)的不斷發(fā)展。防火墻是一種綜合性的科學(xué)技術(shù)，涉及網(wǎng)絡(luò)通信、數(shù)據(jù)加密、安全決策、信息安全、硬件研制、軟件開發(fā)等綜合性課題。防火墻基本技術(shù)和原理嚴(yán)峻的網(wǎng)絡(luò)安全形勢，促進(jìn)了防火防火墻的分類按形態(tài)分類軟件防火墻硬件防火墻保護(hù)整個網(wǎng)絡(luò)按保護(hù)對象分類網(wǎng)絡(luò)防火墻保護(hù)單臺主機(jī)單機(jī)防火墻防火墻簡介防火墻的分類按形態(tài)分類軟件防火墻硬件防火墻保護(hù)整個網(wǎng)絡(luò)按保護(hù)單機(jī)防火墻&網(wǎng)絡(luò)防火墻1、保護(hù)單臺主機(jī)2、安全策略分散3、安全功能簡單4、普通用戶維護(hù)5、安全隱患較大6、策略設(shè)置靈活單機(jī)防火墻網(wǎng)絡(luò)防火墻1、保護(hù)整個網(wǎng)絡(luò)2、安全策略集中3、安全功能復(fù)雜多樣4、專業(yè)管理員維護(hù)5、安全隱患小6、策略設(shè)置復(fù)雜單機(jī)防火墻網(wǎng)絡(luò)防火墻產(chǎn)品形態(tài)軟件硬件安裝點(diǎn)每臺獨(dú)立的Host網(wǎng)絡(luò)邊界處安全策略分散在各個安全點(diǎn)對整個網(wǎng)絡(luò)有效保護(hù)范圍單臺主機(jī)一個網(wǎng)段管理方式分散管理集中管理功能功能單一功能復(fù)雜、多樣管理人員普通計(jì)算機(jī)用戶專業(yè)網(wǎng)管人員安全措施單點(diǎn)安全措施全局安全措施結(jié)論單機(jī)防火墻是網(wǎng)絡(luò)防火墻的有益補(bǔ)充，但不能代替網(wǎng)絡(luò)防火墻為內(nèi)部網(wǎng)絡(luò)提供強(qiáng)大的保護(hù)功能防火墻簡介單機(jī)防火墻&網(wǎng)絡(luò)防火墻1、保護(hù)單臺主機(jī)單機(jī)防火墻網(wǎng)絡(luò)防火墻1軟件防火墻&硬件防火墻硬件防火墻1、硬件+軟件，不用準(zhǔn)備額外的OS平臺2、安全性完全取決于專用的OS3、網(wǎng)絡(luò)適應(yīng)性強(qiáng)(支持多種接入模式)4、穩(wěn)定性較高5、升級、更新不太靈活1、僅獲得Firewall軟件，需要額外的OS平臺2、安全性依賴低層的OS3、網(wǎng)絡(luò)適應(yīng)性弱4、穩(wěn)定性高5、軟件分發(fā)、升級比較方便操作系統(tǒng)平臺安全性性能穩(wěn)定性網(wǎng)絡(luò)適應(yīng)性分發(fā)升級成本硬件防火墻基于精簡專用OS高高較高強(qiáng)不易較容易Firewall+Server軟件防火墻基于龐大通用OS較高較高高較強(qiáng)非常容易容易Firewall軟件防火墻防火墻簡介軟件防火墻&硬件防火墻硬件防火墻1、硬件+軟件，不用準(zhǔn)備額外防火墻的概念

防火墻是設(shè)置在被保護(hù)網(wǎng)絡(luò)和外部網(wǎng)絡(luò)之間的一道屏障，實(shí)現(xiàn)網(wǎng)絡(luò)的安全保護(hù)，以防止發(fā)生不可預(yù)測的、潛在破壞性的侵入。防火墻本身具有較強(qiáng)的抗攻擊能力，它是提供信息安全服務(wù)、實(shí)現(xiàn)網(wǎng)絡(luò)和信息安全的基礎(chǔ)設(shè)施。防火墻是置于不同網(wǎng)絡(luò)安全域之間的高級訪問控制設(shè)備，是不同網(wǎng)絡(luò)安全域間通信流的唯一通道，能根據(jù)企業(yè)有關(guān)的安全政策控制(允許、拒絕、監(jiān)視、記錄)進(jìn)出網(wǎng)絡(luò)的訪問行為。防火墻簡介防火墻的概念防火墻是設(shè)置在被保護(hù)網(wǎng)絡(luò)和外部網(wǎng)絡(luò)之間防火墻的功能特點(diǎn)1、限制人們從一個特別的控制點(diǎn)進(jìn)入；2、防止入侵者接近你的其它防御設(shè)施；3、限定人們從一個特別的點(diǎn)離開；4、有效地阻止破壞者對你的計(jì)算機(jī)系統(tǒng)進(jìn)行破壞。

禁止訪問禁止訪問防火墻簡介防火墻的功能特點(diǎn)1、限制人們從一個特別的控制點(diǎn)進(jìn)入；禁止訪防火墻的硬件技術(shù)1、基于Intelx86系列架構(gòu)的產(chǎn)品，又被稱為工控機(jī)防火墻2、基于專用集成電路（ASIC）技術(shù)的防火墻3、基于網(wǎng)絡(luò)處理器（NP）技術(shù)的防火墻

防火墻簡介防火墻的硬件技術(shù)1、基于Intelx86系列架構(gòu)的產(chǎn)品，又基于Intelx86系列架構(gòu)的防火墻優(yōu)點(diǎn)：﹡

高靈活性、高擴(kuò)展性、系統(tǒng)升級容易

﹡

考慮了各種應(yīng)用的需要，具有一般化的通用體系結(jié)構(gòu)和指令集，容易支持復(fù)雜的運(yùn)算并容易開發(fā)新的功能

﹡

隨著CPU性能的快速提高，防火墻的處理速度和能力將會大幅度提高，能很好的適應(yīng)多接口百兆，千兆防火墻的計(jì)算要求基于PC架構(gòu)，運(yùn)行經(jīng)過簡化的Unix、Linux或FreeBSD，適用于低端市場缺點(diǎn)：﹡性能較差，對數(shù)據(jù)包的轉(zhuǎn)發(fā)性弱

﹡國內(nèi)廠商并不能完全掌握x86架構(gòu)的核心技術(shù)，BIOS或操作系統(tǒng)可能存在隱藏的漏洞，影響防火墻的安全可靠性

﹡抗攻擊能力較差防火墻簡介基于Intelx86系列架構(gòu)的防火墻優(yōu)點(diǎn)：﹡高靈活性、高基于Intelx86系列架構(gòu)的防火墻SOHO防火墻普通百兆防火墻高端百兆防火墻千兆防火墻防火墻簡介基于Intelx86系列架構(gòu)的防火墻SOHO防火墻普通百兆基于專用集成電路（ASIC）技術(shù)的防火墻ASIC作為硬件集成電路，它把指令或計(jì)算邏輯固化到硬件中，獲得高處理能力，提升防火墻性能。主要應(yīng)用在國外廠商的產(chǎn)品中，如NetScreen。是公認(rèn)的使防火墻達(dá)到線速千兆的技術(shù)方案。優(yōu)點(diǎn)：﹡性能上占有很大優(yōu)勢

﹡抗攻擊能力強(qiáng)

﹡技術(shù)成熟、穩(wěn)定缺點(diǎn)：﹡很難修改升級、增加新功能或提高性能

﹡設(shè)計(jì)和制造周期長、研發(fā)費(fèi)用高，難以滿足用戶需求的不斷變化防火墻簡介基于專用集成電路（ASIC）技術(shù)的防火墻ASIC作為硬件集基于ASIC架構(gòu)的防火墻防火墻簡介FortiGateNetscreenwatchguardFirebox首信基于ASIC架構(gòu)的防火墻防火墻簡介FortiGateNets基于網(wǎng)絡(luò)處理器（NP）技術(shù)的防火墻NP（網(wǎng)絡(luò)處理器）是專門為處理數(shù)據(jù)包而設(shè)計(jì)的可編程處理器，它具有完全的可編程性、簡單的編程模式、最大化系統(tǒng)靈活性、高處理能力、高度功能集成、開放的編程接口以及第三方支持能力優(yōu)點(diǎn)：﹡能夠直接完成網(wǎng)絡(luò)數(shù)據(jù)處理的一般性任務(wù)，大多采用高速的接口技術(shù)和總路線規(guī)范，具有較高的I/O能力，性能上與x86架構(gòu)防火墻比有很大提高

﹡支持編程，一旦有新的技術(shù)或需求出現(xiàn)，設(shè)計(jì)師可方便地通過微碼編程實(shí)現(xiàn)缺點(diǎn)：﹡技術(shù)方面還不成熟

﹡各廠商N(yùn)P產(chǎn)品的接口不統(tǒng)一，無法完成無縫的整合

﹡對復(fù)雜應(yīng)用數(shù)據(jù)，如分片數(shù)據(jù)包的重組和加密處理，表現(xiàn)較差

﹡NP防火墻的測試標(biāo)準(zhǔn)還沒有推出

﹡防火墻的穩(wěn)定性和高性能還需檢驗(yàn)防火墻簡介基于網(wǎng)絡(luò)處理器（NP）技術(shù)的防火墻NP（網(wǎng)絡(luò)處理器）是專門為基于NP架構(gòu)的防火墻防火墻簡介東軟NetEyeNP墻中科網(wǎng)威NP墻聯(lián)想NP墻聯(lián)想網(wǎng)御基于多NP技術(shù)萬兆級防火墻基于NP架構(gòu)的防火墻防火墻簡介東軟NetEyeNP墻中科網(wǎng)防火墻的類型1、簡單包過濾防火墻2、狀態(tài)檢測包過濾防火墻3、應(yīng)用代理防火墻防火墻簡介防火墻的類型1、簡單包過濾防火墻防火墻簡介簡單包過濾防火墻優(yōu)點(diǎn)：1、速度快、性能高2、對應(yīng)用程序透明防火墻簡介缺點(diǎn)：1、安全性低2、不能根據(jù)狀態(tài)信息進(jìn)行控制3、不能處理網(wǎng)絡(luò)層以上的信息4、伸縮性差5、維護(hù)不直觀應(yīng)用層表達(dá)層會話層傳輸層網(wǎng)絡(luò)層鏈路層物理層網(wǎng)絡(luò)層鏈路層物理層應(yīng)用層表達(dá)層會話層傳輸層網(wǎng)絡(luò)層鏈路層物理層簡單包過濾防火墻優(yōu)點(diǎn)：防火墻簡介缺點(diǎn)：應(yīng)用層表達(dá)層會話層傳輸簡單包過濾防火墻的工作原理防火墻簡介應(yīng)用層TCP層IP層網(wǎng)絡(luò)接口層網(wǎng)絡(luò)接口層IP層TCP層應(yīng)用層101111111000101101001010001110010111111100010110100101000111001101001011010010TCP11010010IPTCP11010010TCPIPETH11010010IPTCP11010010TCPIPETH11010010IPTCP11010010TCP11010010只檢查報(bào)頭1、簡單包過濾防火墻不檢查數(shù)據(jù)區(qū)2、簡單包過濾防火墻不建立連接狀態(tài)表3、前后報(bào)文無關(guān)4、應(yīng)用層控制很弱簡單包過濾防火墻的工作原理防火墻簡介應(yīng)用層TCP層IP層網(wǎng)絡(luò)狀態(tài)檢測包過濾防火墻1、安全性高能夠檢測所有進(jìn)入防火墻網(wǎng)關(guān)的數(shù)據(jù)包根據(jù)通信和應(yīng)用程序狀態(tài)確定是否允許包的通過2、性能高在數(shù)據(jù)包進(jìn)入防火墻時就進(jìn)行識別和判斷3、伸縮性好可以識別不同的數(shù)據(jù)包支持160多種應(yīng)用，包括Internet應(yīng)用、數(shù)據(jù)庫應(yīng)用、多媒體應(yīng)用等用戶可方便添加新應(yīng)用4、對用戶、應(yīng)用程序透明防火墻簡介應(yīng)用層表達(dá)層會話層傳輸層網(wǎng)絡(luò)層鏈路層物理層應(yīng)用層表達(dá)層會話層傳輸層網(wǎng)絡(luò)層鏈路層物理層應(yīng)用層表達(dá)層會話層傳輸層網(wǎng)絡(luò)層鏈路層物理層抽取各層的狀態(tài)信息建立動態(tài)狀態(tài)表狀態(tài)檢測包過濾防火墻1、安全性高防火墻簡介應(yīng)用層表達(dá)層會話層狀態(tài)檢測包過濾防火墻的工作原理防火墻簡介應(yīng)用層TCP層IP層網(wǎng)絡(luò)接口層網(wǎng)絡(luò)接口層IP層TCP層應(yīng)用層101111111000101101001010001110010111111100010110100101000111001101001011010010TCP11010010IPTCP11010010TCPIPETH11010010IPTCP11010010TCPIPETH11010010IPTCP11010010TCP11010010只檢查報(bào)頭1、不檢查數(shù)據(jù)區(qū)2、建立連接狀態(tài)表3、前后報(bào)文相關(guān)4、應(yīng)用層控制很弱建立連接狀態(tài)表狀態(tài)檢測包過濾防火墻的工作原理防火墻簡介應(yīng)用層TCP層IP層應(yīng)用代理防火墻優(yōu)點(diǎn)：1、安全性高2、提供應(yīng)用層的安全防火墻簡介缺點(diǎn)：1、性能差2、伸縮性差3、只支持有限的應(yīng)用4、不透明應(yīng)用層表達(dá)層會話層傳輸層網(wǎng)絡(luò)層鏈路層物理層應(yīng)用層表達(dá)層會話層傳輸層網(wǎng)絡(luò)層鏈路層物理層應(yīng)用層表達(dá)層會話層傳輸層網(wǎng)絡(luò)層鏈路層物理層●●HTTPFTPSMTP應(yīng)用代理防火墻優(yōu)點(diǎn)：防火墻簡介缺點(diǎn)：應(yīng)用層表達(dá)層會話層傳輸層應(yīng)用代理防火墻的工作原理防火墻簡介應(yīng)用層TCP層IP層網(wǎng)絡(luò)接口層網(wǎng)絡(luò)接口層IP層TCP層應(yīng)用層101111111000101101001010001110010111111100010110100101000111001101001011010010TCP11010010IPTCP11010010TCPIPETH11010010IPTCP11010010TCPIPETH11010010IPTCP11010010TCP11010010只檢查數(shù)據(jù)1、不檢查IP、TCP報(bào)頭2、不建立連接狀態(tài)表3、網(wǎng)絡(luò)層保護(hù)較弱應(yīng)用代理防火墻的工作原理防火墻簡介應(yīng)用層TCP層IP層網(wǎng)絡(luò)接核檢測防火墻的工作原理防火墻簡介應(yīng)用層TCP層IP層網(wǎng)絡(luò)接口層網(wǎng)絡(luò)接口層IP層TCP層應(yīng)用層10111111100010110100101000111001011111110001011010010100011100開始攻擊主服務(wù)器硬盤數(shù)據(jù)開始攻擊TCP開始攻擊IPTCP開始攻擊TCPIPETH開始攻擊IPTCP開始攻擊TCPIPETH開始攻擊IPTCP開始攻擊TCP報(bào)文1主服務(wù)器IPTCP報(bào)文2硬盤數(shù)據(jù)IPTCP報(bào)文3重寫會話開始攻擊主服務(wù)器硬盤數(shù)據(jù)檢查多個報(bào)文組成的會話建立連接狀態(tài)表開始攻擊主服務(wù)器硬盤數(shù)據(jù)1、網(wǎng)絡(luò)層保護(hù)強(qiáng)2、應(yīng)用層保護(hù)強(qiáng)3、會話保護(hù)強(qiáng)4、上下文相關(guān)5、前后報(bào)文有聯(lián)系核檢測防火墻的工作原理防火墻簡介應(yīng)用層TCP層IP層網(wǎng)絡(luò)接口防火墻核心技術(shù)比較防火墻簡介綜合安全性網(wǎng)絡(luò)層保護(hù)應(yīng)用層保護(hù)應(yīng)用層透明整體性能處理對象簡單包過濾防火墻狀態(tài)檢測包過濾防火墻應(yīng)用代理防火墻核檢測防火墻★★★★★★★★★★★★★★★★★★★★★★★★★★★★★★★★★★★★★★★★★★★★★★★★★★★★★★★★★★★★★★★★★★★★★單個包報(bào)頭單個包報(bào)頭單個包數(shù)據(jù)一次會話防火墻核心技術(shù)比較防火墻簡介綜合安全性網(wǎng)絡(luò)層保護(hù)應(yīng)用層保護(hù)應(yīng)防火墻的三種工作模式1、路由模式防火墻的工作模式2、透明模式3、混合模式防火墻的三種工作模式1、路由模式防火墻的工作模式2、透明模式路由模式防火墻的工作模式/24GW:54/24GW:545454路由模式下的防火墻有兩個局限：1、工作于路由模式時，防火墻各網(wǎng)口所接的局域網(wǎng)必須是不同的網(wǎng)段，如處于同一網(wǎng)段，它們之間將無法進(jìn)行通信。2、如果用戶試圖在一個已經(jīng)形成了的網(wǎng)絡(luò)里添加防火墻，而此防火墻又只能工作于路由方式，則與防火墻所接的主機(jī)（或路由器）的網(wǎng)關(guān)都要指向防火墻。如果用戶的網(wǎng)絡(luò)非常復(fù)雜時，設(shè)置時就會很麻煩。路由模式防火墻的工作模式/2410.1透明模式防火墻的工作模式/24GW:5454透明模式的特點(diǎn)：1、對用戶是透明的，即用戶意思不到防火墻的存在。2、防火墻沒有IP地址，網(wǎng)絡(luò)不需要重新設(shè)定。3、無法探測到防火墻的服務(wù)端口，也就無法對防火墻進(jìn)行攻擊，大大提高了防火墻的安全性與抗攻擊性。

透明模式防火墻的工作模式/24192.混合模式防火墻的工作模式/24GW:/24GW:53防火墻/24GW:54混合模式是路由與透明相結(jié)合的模式，它同時具備路由與透明模式的優(yōu)點(diǎn)，提高了防火墻在各種復(fù)雜環(huán)境下的適應(yīng)性?；旌夏Ｊ椒阑饓Φ墓ぷ髂Ｊ?24192.防火墻的功能訪問控制透明代理身份認(rèn)證URL過濾地址綁定正向及反向NAT流量控制入侵檢測日志審計(jì)IDS、防病毒聯(lián)動VLAN支持VPN功能雙機(jī)熱備防火墻的功能防火墻的功能訪問控制防火墻的功能訪問控制防火墻的功能11010110AccesslisttoAccessnattoanypassAccesstoblockAccessdefaultpass規(guī)則匹配成功1、基于源IP地址2、基于目的IP地址3、基于源端口4、基于目的端口5、基于時間6、基于用戶7、基于流量8、基于文件9、基于網(wǎng)址10、基于MAC地址訪問控制防火墻的功能11010110Accesslist透明代理防火墻的功能HTTP：AccessanytoSina返回給

的數(shù)據(jù)包發(fā)送請求Sina服務(wù)器響應(yīng)請求5SMTP：轉(zhuǎn)發(fā)域名為

轉(zhuǎn)發(fā)到26SMTP：附件不能超過3.0M×禁止發(fā)送主要包括：HTTP代理、FTP代理、TELNET代理、SMTP代理POP3代理、SOCKS代理、自定義服務(wù)代理透明代理防火墻的功能.身份認(rèn)證防火墻的功能administrator123456RADIUS服務(wù)器本地認(rèn)證根據(jù)認(rèn)證結(jié)果決定用戶結(jié)資源的訪問權(quán)限防火墻將認(rèn)證信息傳給RADIUS服務(wù)器將認(rèn)證結(jié)果傳回防火墻身份認(rèn)證防火墻的功能administrator123456RURL過濾防火墻的功能URL服務(wù)器可以訪問嗎？OK1、URL過濾模塊可同時為包過濾和透明代理服務(wù)提供URL過濾功能，支持對中文域名的過濾。2、可以根據(jù)不同時間段的實(shí)際要求設(shè)定不同的URL過濾規(guī)則集，實(shí)現(xiàn)時間控制。3、基于黑名單/白名單的安全過濾策略。當(dāng)用戶設(shè)置黑名單時，首先允許訪問所有的URL，只對黑名單中定義的URL進(jìn)行封殺；當(dāng)用戶設(shè)置白名單時，首先禁止訪問所有的URL，然后只允許訪問白名單中的URL。4、提供基于內(nèi)容分類的URL過濾管理URL過濾防火墻的功能地址綁定防火墻的功能00-50-04-BB-71-A600-50-04-BB-71-BC00-50-04-BB-71-C4HOSTAHOSTBHOSTCHOSTAHOSTBHOSTCBINDTO00-50-04-BB-71-A6BINDTO00-50-04-BB-71-BCMAC地址與綁定的MAC地址不一致，丟棄該包1、自動學(xué)習(xí)2、防止IP盜用地址綁定防火墻的功能00-50-04-BB-71-A600-正向NAT轉(zhuǎn)換防火墻的功能ETH2：5ETH0：IP報(bào)頭數(shù)據(jù)IP報(bào)頭數(shù)據(jù)源地址：目的地址：4源地址：目的地址：441、隱藏了內(nèi)部網(wǎng)絡(luò)的結(jié)構(gòu)2、內(nèi)部網(wǎng)絡(luò)可以使用私有IP地址3、解決了公有IP地址不足的問題正向NAT轉(zhuǎn)換防火墻的功能ETH2：E防火墻的功能反向NAT轉(zhuǎn)換/24GW:5454www/24GW:54FTP/24GW:54MAIL/24GW:54DNS/24GW:54544MAP:80TO4:80MAP:21TO4:21MAP:25TO4:25MAP:53TO4:5341、公開服務(wù)器可以使用私有地址2、隱藏內(nèi)部網(wǎng)絡(luò)結(jié)構(gòu)3、服務(wù)器負(fù)載均衡防火墻的功能反向NAT轉(zhuǎn)換/2410.1流量控制防火墻的功能出口帶寬512KwwwmailftpDMZ區(qū)分配給DMZ512K生產(chǎn)組分配生產(chǎn)組96K銷售組財(cái)務(wù)組分配銷售組70K分配財(cái)務(wù)組90K總帶寬512KDMZ256K內(nèi)網(wǎng)256K生產(chǎn)組96K銷售組70K財(cái)務(wù)組90K流量控制防火墻的功能出口帶寬512KwwwmailftpDM日志審記防火墻的功能日志服務(wù)器1、安全的傳輸機(jī)制：防火墻日志的發(fā)送采用TCP連接并對數(shù)據(jù)進(jìn)行了加密處理，其完善的確認(rèn)和校驗(yàn)機(jī)制，避免了日志的丟失和泄漏。2、集中的日志管理：日志服務(wù)器可以集中接收管理多臺防火墻的日志。3、方便友好的日志查詢：對日志進(jìn)行組合查詢，并提供對查詢結(jié)果的編輯和打印。4、實(shí)時日志掃描：對包過濾日志準(zhǔn)確有效的分析，檢測出可能的網(wǎng)絡(luò)攻擊。5、控制臺和郵件告警機(jī)制：及時地將入侵和系統(tǒng)告警顯示或利用郵件發(fā)送給管理員。6、流量統(tǒng)計(jì)：統(tǒng)計(jì)流量，形成報(bào)表并可打印報(bào)表。日志審記防火墻的功能日志服務(wù)器1、安全的傳輸機(jī)制：防火墻日志入侵檢測防火墻的功能DMZ黑客掃描攻擊檢測FTP攻擊檢測TELNET攻擊檢測DoS/DDoS攻擊檢測MS-SQL攻擊檢測檢測到攻擊×1、可檢測多種黑客攻擊手段和攻擊行為2、除對內(nèi)部網(wǎng)的保護(hù)外，還可保護(hù)DMZ區(qū)3、實(shí)時檢測、報(bào)警、追蹤4、攻擊庫可以升級黑客入侵檢測防火墻的功能DMZ黑客掃描攻擊檢測FTP攻擊檢測TE與IDS聯(lián)動防火墻的功能IDS識別出攻擊行為發(fā)送通知報(bào)文驗(yàn)證報(bào)文并采取措施阻斷連接或報(bào)警發(fā)送響應(yīng)報(bào)文與IDS聯(lián)動防火墻的功能IDS識別出發(fā)送通知報(bào)文驗(yàn)證報(bào)文阻斷與防病毒網(wǎng)關(guān)聯(lián)動防火墻的功能101011011101001110110110待發(fā)數(shù)據(jù)接收數(shù)據(jù)1010110110101101110100111101001110110110接收數(shù)據(jù)協(xié)議還原，檢查病毒沒有發(fā)現(xiàn)病毒放過最后一個報(bào)文PASSPASS無病毒則轉(zhuǎn)發(fā)最后一個報(bào)文，有病毒就丟棄它10110110與防病毒網(wǎng)關(guān)聯(lián)動防火墻的功能1010110111010011VLAN支持防火墻的功能支持VLAN的交換機(jī)VLAN1VLAN2Trunk口Trunk口同一交換機(jī)的不同VLAN間通訊防火墻要支持Trunk口Switch1Switch2VLAN1VLAN2Trunk口Trunk口不同交換機(jī)的同一VLAN間通訊防火墻要支持Trunk口VLAN支持防火墻的功能支持VLAN的交換機(jī)VLAN1VLAVPN功能防火墻的功能固定IP網(wǎng)關(guān)－－固定IP網(wǎng)關(guān)固定IP網(wǎng)關(guān)－－動態(tài)IP網(wǎng)關(guān)動態(tài)IP網(wǎng)關(guān)－－動態(tài)IP網(wǎng)關(guān)網(wǎng)關(guān)－－不經(jīng)NAT客戶端網(wǎng)關(guān)－－經(jīng)NAT客戶端VPN功能防火墻的功能固定IP網(wǎng)關(guān)－－固定IP網(wǎng)關(guān)雙機(jī)熱備防火墻的功能ActiveFirewallStandbyFirewallEth0Eth1Eth2Eth0Eth1Eth2心跳線當(dāng)一臺防火墻故障時，這臺防火墻的連接不需要重新建立就可以透明的遷移到另一臺防火墻上正常情況下由主防火墻工作檢測ActiveFirewall的狀態(tài)發(fā)現(xiàn)出故障，立即接管其工作主防火墻出故障以后，接管它的工作×雙機(jī)熱備防火墻的功能ActiveFirewallStand常見的防火墻性能指標(biāo)1、最大位轉(zhuǎn)發(fā)率2、吞吐量3、延遲4、丟包率5、背靠背6、最大并發(fā)連接數(shù)7、最大并發(fā)連接建立速率8、最大策略數(shù)9、平均無故障間隔時間10、支持的最大用戶數(shù)防火墻的性能常見的防火墻性能指標(biāo)1、最大位轉(zhuǎn)發(fā)率防火墻的性能最大位轉(zhuǎn)發(fā)率1、定義：防火墻的位轉(zhuǎn)發(fā)率指在特定負(fù)載下每秒鐘防火墻將允許的數(shù)據(jù)流轉(zhuǎn)發(fā)至正確的目的接口的位數(shù)2、最大位轉(zhuǎn)發(fā)率指在不同的負(fù)載下反復(fù)測量得出的位轉(zhuǎn)發(fā)率數(shù)值中的最大值防火墻的性能最大位轉(zhuǎn)發(fā)率1、定義：防火墻的位轉(zhuǎn)發(fā)率指在特定負(fù)載下每秒鐘防吞吐量1、定義：在不丟包的情況下能夠達(dá)到的最大包轉(zhuǎn)發(fā)率。2、衡量標(biāo)準(zhǔn)：吞吐量越大，說明防火墻數(shù)據(jù)處理能力越強(qiáng)；吞吐量小就會造成網(wǎng)絡(luò)新的瓶頸，以至影響到整個網(wǎng)絡(luò)的性能。3、吞吐量是防火墻在各種幀長的満負(fù)載（100M或1000M）雙向UDP數(shù)據(jù)包情況下的穩(wěn)定性表現(xiàn)，是其它指標(biāo)的基礎(chǔ)。4、以太網(wǎng)吞吐量最大理論值稱為線速，即指網(wǎng)絡(luò)設(shè)備有足夠的能力以全速處理最小的數(shù)據(jù)封包轉(zhuǎn)發(fā)。防火墻的性能吞吐量1、定義：在不丟包的情況下能夠達(dá)到的最大包轉(zhuǎn)發(fā)率。防火延遲1、定義：延遲通常是指從測試數(shù)據(jù)幀的最后一個比特進(jìn)入被測設(shè)備端口開始，至測試數(shù)據(jù)包的第一個比特從被測設(shè)備另一端口離開的時間間隔。2、衡量標(biāo)準(zhǔn)：現(xiàn)在的網(wǎng)絡(luò)應(yīng)用種類非常復(fù)雜，許多應(yīng)用對延遲非常敏感（如音頻、視頻等）而網(wǎng)絡(luò)中加入防火墻必然會增加傳輸延遲，所以較低的延遲對防火墻來說也是不可或缺的。防火墻的性能延遲1、定義：延遲通常是指從測試數(shù)據(jù)幀的最后一個比特進(jìn)入被測丟包率1、定義：在連續(xù)負(fù)載的情況下，防火墻設(shè)備由于資源不足應(yīng)轉(zhuǎn)發(fā)但是未轉(zhuǎn)發(fā)的幀百分比。2、衡量標(biāo)準(zhǔn)：是用來確定防火墻在不同傳輸速率下丟失數(shù)據(jù)包的百分?jǐn)?shù)，目的在于測試防火墻在超負(fù)載情況下的性能。3、較低的丟包率，意味著防火墻在強(qiáng)大的負(fù)載壓力下，能夠穩(wěn)定地工作，以適應(yīng)各種網(wǎng)絡(luò)的復(fù)雜應(yīng)用和較大數(shù)據(jù)流量對處理性能的高要求。防火墻的性能丟包率1、定義：在連續(xù)負(fù)載的情況下，防火墻設(shè)備由于資源不足應(yīng)背靠背 1、定義：從空閑狀態(tài)開始，以達(dá)到傳輸介質(zhì)最小合法間隔極限的傳輸速率發(fā)送相當(dāng)數(shù)量的固定長度的幀，當(dāng)出現(xiàn)第一個幀丟失時，發(fā)送的幀數(shù)。即以最小幀間隔發(fā)送最多數(shù)據(jù)包而不引起丟包時的數(shù)據(jù)包數(shù)量。2、衡量標(biāo)準(zhǔn)：背對背包的測試結(jié)果能體現(xiàn)出被測防火墻的緩沖容量，網(wǎng)絡(luò)上經(jīng)常有一些應(yīng)用會產(chǎn)生大量的突發(fā)數(shù)據(jù)包（例如：NFS、備份、路由更新等），而且這樣的數(shù)據(jù)包的丟失可能會產(chǎn)生更多的數(shù)據(jù)包，強(qiáng)大緩沖能力可以減小這種突發(fā)對網(wǎng)絡(luò)造成的影響防火墻的性能背靠背 1、定義：從空閑狀態(tài)開始，以達(dá)到傳輸介質(zhì)最小合法間隔最大并發(fā)連接數(shù)1、定義：指穿越防火墻的主機(jī)之間或主機(jī)與防火墻之間能同時建立的最大連接數(shù)。2、衡量標(biāo)準(zhǔn)：并發(fā)連接數(shù)的測試主要用來測試被測防火墻建立和維持TCP連接的性能，同時也能通過并發(fā)連接數(shù)的大小體現(xiàn)被測防火墻對來自于客戶端的TCP連接請求的響應(yīng)能力。3、最大并發(fā)連接數(shù)是防火墻能夠同時處理的點(diǎn)對點(diǎn)會話連接的最大數(shù)目，它反映防火墻對多個連接的訪問控制能力和連接狀態(tài)跟蹤能力。這個參數(shù)的大小可以直接影響到防火墻所能支持的最大信息點(diǎn)數(shù)防火墻的性能最大并發(fā)連接數(shù)1、定義：指穿越防火墻的主機(jī)之間或主機(jī)與防火墻最大并發(fā)連接建立數(shù)率1、定義：指穿越防火墻的主機(jī)之間或主機(jī)與防火墻之間單位時間內(nèi)建立的最大連接數(shù)。2、衡量標(biāo)準(zhǔn)：最大并發(fā)連接數(shù)建立速率主要用來衡量防火墻單位時間內(nèi)建立和維持TCP連接的能力。3、測試防火墻每秒所能建立起的TCP/HTTP連接數(shù)及防火墻所能保持的最大TCP/HTTP連接數(shù)防火墻的性能最大并發(fā)連接建立數(shù)率1、定義：指穿越防火墻的主機(jī)之間或主機(jī)與防火墻的“胖”與“瘦”訪問控制病毒防護(hù)入侵檢測交換路由信息審計(jì)內(nèi)容過濾傳輸加密其他＋＝胖防火墻1、胖”防火墻是指功能大而全的防火墻，它力圖將安全功能盡可能多地包含在內(nèi)，從而成為用戶網(wǎng)絡(luò)的一個安全平臺2、“瘦”防火墻是指功能少而精的防火墻，它只作訪問控制的專職工作，對于綜合安全解決方案，則采用多家安全廠商聯(lián)盟的方式來實(shí)現(xiàn)。防火墻的“胖”與“瘦”訪問控制病毒防護(hù)入侵檢測交換路由信息審“胖”防火墻的優(yōu)點(diǎn)與缺點(diǎn)優(yōu)點(diǎn)：1、功能全2、控制力度細(xì)3、協(xié)作能力強(qiáng)4、降低采購和管理成本防火墻的“胖”與“瘦”缺點(diǎn)：1、性能低2、自身安全性差3、專業(yè)性不強(qiáng)4、穩(wěn)定性差，系統(tǒng)越大BUG越多5、配置復(fù)雜，不合理的配置會帶來更大的安全隱患“胖”防火墻的優(yōu)點(diǎn)與缺點(diǎn)優(yōu)點(diǎn)：防火墻的“胖”與“瘦”缺點(diǎn)：“瘦”防火墻的優(yōu)點(diǎn)與缺點(diǎn)優(yōu)點(diǎn)：1、性能高2、注重核心功能，專業(yè)性強(qiáng)3、整體安全性高4、配置簡單，簡化對管理員的專業(yè)要求防火墻的“胖”與“瘦”缺點(diǎn)：功能單一訪問控制病毒防護(hù)入侵檢測交換路由信息審計(jì)內(nèi)容過濾傳輸加密其他＝瘦防火墻互相聯(lián)動“瘦”防火墻的優(yōu)點(diǎn)與缺點(diǎn)優(yōu)點(diǎn)：防火墻的“胖”與“瘦”缺點(diǎn)：訪用戶的價(jià)值取向防火墻的“胖”與“瘦”“胖”防火墻追求的是一站式服務(wù)，適應(yīng)中小型企業(yè)，尤其是低端用戶。他們出于經(jīng)濟(jì)上的考慮以及管理上的成本，更主要是出于安全的實(shí)際需求，希望一個設(shè)備可以實(shí)現(xiàn)小型網(wǎng)絡(luò)的整體安全防護(hù)。所以對功能全的“胖”防火墻感興趣。大型用戶傾向使用獨(dú)立安全設(shè)備，發(fā)揮每種產(chǎn)品最大效果。安全需求廣泛，專業(yè)性要求強(qiáng)，安全投入較大，自身安全管理能力較高。他們在設(shè)計(jì)安全解決方案時，通常會考慮以安全管理為核心，以多種安全產(chǎn)品的聯(lián)動為基礎(chǔ)，如防火墻與IDS和防病毒全面互動形成動態(tài)防御體系。用戶的價(jià)值取向防火墻的“胖”與“瘦”“胖”防火墻追求的是防火墻：胖瘦總相宜防火墻的“胖”與“瘦”1、“胖、瘦”防火墻沒有好壞之分，只有需求上的差別。2、隨著安全需求的細(xì)化、硬件計(jì)算能力的增加，胖防火墻和瘦防火墻之間的界限也會逐漸走向統(tǒng)一。3、硬件處理能力的大幅度提高（ASIS芯片、NP等）使得防火墻可以集成更多的功能模塊。4、安全標(biāo)準(zhǔn)技術(shù)的推進(jìn)，使不同安全產(chǎn)品之間的聯(lián)動變得更加容易，這樣功能更簡單性能更高且支持標(biāo)準(zhǔn)聯(lián)動協(xié)議的專業(yè)防火墻更適應(yīng)市場需要。防火墻：胖瘦總相宜防火墻的“胖”與“瘦”1、“胖、瘦”防火墻構(gòu)建聯(lián)動一體的安全體系防火墻的“胖”與“瘦”無論是“胖”防火墻的集成，還是“瘦”防火墻的聯(lián)動，安全產(chǎn)品正在朝著體系化的結(jié)構(gòu)發(fā)展，所謂“胖瘦”不過是這種體系結(jié)構(gòu)的兩種表現(xiàn)方式，“胖”將這種體系表現(xiàn)在一個產(chǎn)品中而“瘦”將這種體系表現(xiàn)在一組產(chǎn)品或是說一個方案中。體系化的結(jié)構(gòu)需要非常完善的安全管理，也就是說，通過安全管理中心產(chǎn)品,整合系列安全產(chǎn)品，構(gòu)架成聯(lián)動和一體的產(chǎn)品體系,實(shí)現(xiàn)對用戶、資源和策略的統(tǒng)一管理，確保整體解決方案的安全一致性，是構(gòu)建網(wǎng)絡(luò)安全系統(tǒng)的大趨勢。構(gòu)建聯(lián)動一體的安全體系防火墻的“胖”與“瘦”無論是“胖防火墻的選購適應(yīng)性－－－能適應(yīng)將要部署的網(wǎng)絡(luò)和應(yīng)用是前提安全性－－－符合國家政策、主管單位的策略、自身設(shè)計(jì)等成熟性－－－投放市場多年，應(yīng)用廣泛性能－－－－滿足應(yīng)用環(huán)境的要求易管理化－－容易配置和調(diào)整策略功能－－－－功能的多樣性美觀－－－－外觀美觀、適用價(jià)格－－－－便宜防火墻的選購適應(yīng)性－－－能適應(yīng)將要部署的網(wǎng)絡(luò)和應(yīng)用是前提防火墻的選購主要防火墻品牌3COMAmaranten/阿姆瑞特CHECKPOINTCISCO/思科FortiGateNETGEARSONICWALLWatchGuard安氏北大青鳥東方龍馬東軟方正海信漢邦華堂華依浪潮Lenovo/聯(lián)想能士諾基亞清華得實(shí)清華紫光比威瑞星SAMSUNG/三星神州數(shù)碼蘇富特速通天融信天網(wǎng)網(wǎng)新易尚億陽信通中軟華泰中網(wǎng)VPNStar實(shí)達(dá)銳捷冠群金辰NetScreen清華紫光AboComADNS恒宇視野

diguardD-LinkFORECASTFORTINETNASINESCOSVASYMANTECVTInfo藍(lán)點(diǎn)軟衛(wèi)甲邁普趨勢銳捷網(wǎng)絡(luò)首信Juniper三一通訊金捷博達(dá)科大量星艾泰Westone/衛(wèi)士通神獒中怡數(shù)寬SinoCDNSINFORI-SECURITYShareTech華為3COMNUSOFT/新軟KILL兆維ADTRANSVNET/興硅谷ZyXEL/合勤Vigor/華蓋AstaroArray防火墻的選購主要防火墻品牌3COMAmaranten/阿姆

1、拒絕的規(guī)則一定要放在允許的規(guī)則前面。

2、永遠(yuǎn)不要在商業(yè)網(wǎng)絡(luò)中使用Allow4ALL規(guī)則（Allowallusersuseallprotocolsfromallnetworkstoallnetworks），這樣只是讓你的防火墻形同虛設(shè)。

3、如果可以通過配置系統(tǒng)策略來實(shí)現(xiàn)，就沒有必要再建立自定義規(guī)則。

4、無論作為訪問規(guī)則中的目的還是源，最好使用IP地址。

5、請不要忘了，防火墻策略的最后還有一條DENY4ALL。

6、最后，請記住，防火墻策略的測試是必需的。

防火墻的配置防火墻的配置知識回顧KnowledgeReview祝您成功！知識回顧KnowledgeReview祝您成功！防火墻基本技術(shù)和原理嚴(yán)峻的網(wǎng)絡(luò)安全形勢，促進(jìn)了防火墻技術(shù)的不斷發(fā)展。防火墻是一種綜合性的科學(xué)技術(shù)，涉及網(wǎng)絡(luò)通信、數(shù)據(jù)加密、安全決策、信息安全、硬件研制、軟件開發(fā)等綜合性課題。防火墻基本技術(shù)和原理嚴(yán)峻的網(wǎng)絡(luò)安全形勢，促進(jìn)了防火防火墻的分類按形態(tài)分類軟件防火墻硬件防火墻保護(hù)整個網(wǎng)絡(luò)按保護(hù)對象分類網(wǎng)絡(luò)防火墻保護(hù)單臺主機(jī)單機(jī)防火墻防火墻簡介防火墻的分類按形態(tài)分類軟件防火墻硬件防火墻保護(hù)整個網(wǎng)絡(luò)按保護(hù)單機(jī)防火墻&網(wǎng)絡(luò)防火墻1、保護(hù)單臺主機(jī)2、安全策略分散3、安全功能簡單4、普通用戶維護(hù)5、安全隱患較大6、策略設(shè)置靈活單機(jī)防火墻網(wǎng)絡(luò)防火墻1、保護(hù)整個網(wǎng)絡(luò)2、安全策略集中3、安全功能復(fù)雜多樣4、專業(yè)管理員維護(hù)5、安全隱患小6、策略設(shè)置復(fù)雜單機(jī)防火墻網(wǎng)絡(luò)防火墻產(chǎn)品形態(tài)軟件硬件安裝點(diǎn)每臺獨(dú)立的Host網(wǎng)絡(luò)邊界處安全策略分散在各個安全點(diǎn)對整個網(wǎng)絡(luò)有效保護(hù)范圍單臺主機(jī)一個網(wǎng)段管理方式分散管理集中管理功能功能單一功能復(fù)雜、多樣管理人員普通計(jì)算機(jī)用戶專業(yè)網(wǎng)管人員安全措施單點(diǎn)安全措施全局安全措施結(jié)論單機(jī)防火墻是網(wǎng)絡(luò)防火墻的有益補(bǔ)充，但不能代替網(wǎng)絡(luò)防火墻為內(nèi)部網(wǎng)絡(luò)提供強(qiáng)大的保護(hù)功能防火墻簡介單機(jī)防火墻&網(wǎng)絡(luò)防火墻1、保護(hù)單臺主機(jī)單機(jī)防火墻網(wǎng)絡(luò)防火墻1軟件防火墻&硬件防火墻硬件防火墻1、硬件+軟件，不用準(zhǔn)備額外的OS平臺2、安全性完全取決于專用的OS3、網(wǎng)絡(luò)適應(yīng)性強(qiáng)(支持多種接入模式)4、穩(wěn)定性較高5、升級、更新不太靈活1、僅獲得Firewall軟件，需要額外的OS平臺2、安全性依賴低層的OS3、網(wǎng)絡(luò)適應(yīng)性弱4、穩(wěn)定性高5、軟件分發(fā)、升級比較方便操作系統(tǒng)平臺安全性性能穩(wěn)定性網(wǎng)絡(luò)適應(yīng)性分發(fā)升級成本硬件防火墻基于精簡專用OS高高較高強(qiáng)不易較容易Firewall+Server軟件防火墻基于龐大通用OS較高較高高較強(qiáng)非常容易容易Firewall軟件防火墻防火墻簡介軟件防火墻&硬件防火墻硬件防火墻1、硬件+軟件，不用準(zhǔn)備額外防火墻的概念

防火墻是設(shè)置在被保護(hù)網(wǎng)絡(luò)和外部網(wǎng)絡(luò)之間的一道屏障，實(shí)現(xiàn)網(wǎng)絡(luò)的安全保護(hù)，以防止發(fā)生不可預(yù)測的、潛在破壞性的侵入。防火墻本身具有較強(qiáng)的抗攻擊能力，它是提供信息安全服務(wù)、實(shí)現(xiàn)網(wǎng)絡(luò)和信息安全的基礎(chǔ)設(shè)施。防火墻是置于不同網(wǎng)絡(luò)安全域之間的高級訪問控制設(shè)備，是不同網(wǎng)絡(luò)安全域間通信流的唯一通道，能根據(jù)企業(yè)有關(guān)的安全政策控制(允許、拒絕、監(jiān)視、記錄)進(jìn)出網(wǎng)絡(luò)的訪問行為。防火墻簡介防火墻的概念防火墻是設(shè)置在被保護(hù)網(wǎng)絡(luò)和外部網(wǎng)絡(luò)之間防火墻的功能特點(diǎn)1、限制人們從一個特別的控制點(diǎn)進(jìn)入；2、防止入侵者接近你的其它防御設(shè)施；3、限定人們從一個特別的點(diǎn)離開；4、有效地阻止破壞者對你的計(jì)算機(jī)系統(tǒng)進(jìn)行破壞。

禁止訪問禁止訪問防火墻簡介防火墻的功能特點(diǎn)1、限制人們從一個特別的控制點(diǎn)進(jìn)入；禁止訪防火墻的硬件技術(shù)1、基于Intelx86系列架構(gòu)的產(chǎn)品，又被稱為工控機(jī)防火墻2、基于專用集成電路（ASIC）技術(shù)的防火墻3、基于網(wǎng)絡(luò)處理器（NP）技術(shù)的防火墻

防火墻簡介防火墻的硬件技術(shù)1、基于Intelx86系列架構(gòu)的產(chǎn)品，又基于Intelx86系列架構(gòu)的防火墻優(yōu)點(diǎn)：﹡

高靈活性、高擴(kuò)展性、系統(tǒng)升級容易

﹡

考慮了各種應(yīng)用的需要，具有一般化的通用體系結(jié)構(gòu)和指令集，容易支持復(fù)雜的運(yùn)算并容易開發(fā)新的功能

﹡

隨著CPU性能的快速提高，防火墻的處理速度和能力將會大幅度提高，能很好的適應(yīng)多接口百兆，千兆防火墻的計(jì)算要求基于PC架構(gòu)，運(yùn)行經(jīng)過簡化的Unix、Linux或FreeBSD，適用于低端市場缺點(diǎn)：﹡性能較差，對數(shù)據(jù)包的轉(zhuǎn)發(fā)性弱

﹡國內(nèi)廠商并不能完全掌握x86架構(gòu)的核心技術(shù)，BIOS或操作系統(tǒng)可能存在隱藏的漏洞，影響防火墻的安全可靠性

﹡抗攻擊能力較差防火墻簡介基于Intelx86系列架構(gòu)的防火墻優(yōu)點(diǎn)：﹡高靈活性、高基于Intelx86系列架構(gòu)的防火墻SOHO防火墻普通百兆防火墻高端百兆防火墻千兆防火墻防火墻簡介基于Intelx86系列架構(gòu)的防火墻SOHO防火墻普通百兆基于專用集成電路（ASIC）技術(shù)的防火墻ASIC作為硬件集成電路，它把指令或計(jì)算邏輯固化到硬件中，獲得高處理能力，提升防火墻性能。主要應(yīng)用在國外廠商的產(chǎn)品中，如NetScreen。是公認(rèn)的使防火墻達(dá)到線速千兆的技術(shù)方案。優(yōu)點(diǎn)：﹡性能上占有很大優(yōu)勢

﹡抗攻擊能力強(qiáng)

﹡技術(shù)成熟、穩(wěn)定缺點(diǎn)：﹡很難修改升級、增加新功能或提高性能

﹡設(shè)計(jì)和制造周期長、研發(fā)費(fèi)用高，難以滿足用戶需求的不斷變化防火墻簡介基于專用集成電路（ASIC）技術(shù)的防火墻ASIC作為硬件集基于ASIC架構(gòu)的防火墻防火墻簡介FortiGateNetscreenwatchguardFirebox首信基于ASIC架構(gòu)的防火墻防火墻簡介FortiGateNets基于網(wǎng)絡(luò)處理器（NP）技術(shù)的防火墻NP（網(wǎng)絡(luò)處理器）是專門為處理數(shù)據(jù)包而設(shè)計(jì)的可編程處理器，它具有完全的可編程性、簡單的編程模式、最大化系統(tǒng)靈活性、高處理能力、高度功能集成、開放的編程接口以及第三方支持能力優(yōu)點(diǎn)：﹡能夠直接完成網(wǎng)絡(luò)數(shù)據(jù)處理的一般性任務(wù)，大多采用高速的接口技術(shù)和總路線規(guī)范，具有較高的I/O能力，性能上與x86架構(gòu)防火墻比有很大提高

﹡支持編程，一旦有新的技術(shù)或需求出現(xiàn)，設(shè)計(jì)師可方便地通過微碼編程實(shí)現(xiàn)缺點(diǎn)：﹡技術(shù)方面還不成熟

﹡各廠商N(yùn)P產(chǎn)品的接口不統(tǒng)一，無法完成無縫的整合

﹡對復(fù)雜應(yīng)用數(shù)據(jù)，如分片數(shù)據(jù)包的重組和加密處理，表現(xiàn)較差

﹡NP防火墻的測試標(biāo)準(zhǔn)還沒有推出

﹡防火墻的穩(wěn)定性和高性能還需檢驗(yàn)防火墻簡介基于網(wǎng)絡(luò)處理器（NP）技術(shù)的防火墻NP（網(wǎng)絡(luò)處理器）是專門為基于NP架構(gòu)的防火墻防火墻簡介東軟NetEyeNP墻中科網(wǎng)威NP墻聯(lián)想NP墻聯(lián)想網(wǎng)御基于多NP技術(shù)萬兆級防火墻基于NP架構(gòu)的防火墻防火墻簡介東軟NetEyeNP墻中科網(wǎng)防火墻的類型1、簡單包過濾防火墻2、狀態(tài)檢測包過濾防火墻3、應(yīng)用代理防火墻防火墻簡介防火墻的類型1、簡單包過濾防火墻防火墻簡介簡單包過濾防火墻優(yōu)點(diǎn)：1、速度快、性能高2、對應(yīng)用程序透明防火墻簡介缺點(diǎn)：1、安全性低2、不能根據(jù)狀態(tài)信息進(jìn)行控制3、不能處理網(wǎng)絡(luò)層以上的信息4、伸縮性差5、維護(hù)不直觀應(yīng)用層表達(dá)層會話層傳輸層網(wǎng)絡(luò)層鏈路層物理層網(wǎng)絡(luò)層鏈路層物理層應(yīng)用層表達(dá)層會話層傳輸層網(wǎng)絡(luò)層鏈路層物理層簡單包過濾防火墻優(yōu)點(diǎn)：防火墻簡介缺點(diǎn)：應(yīng)用層表達(dá)層會話層傳輸簡單包過濾防火墻的工作原理防火墻簡介應(yīng)用層TCP層IP層網(wǎng)絡(luò)接口層網(wǎng)絡(luò)接口層IP層TCP層應(yīng)用層101111111000101101001010001110010111111100010110100101000111001101001011010010TCP11010010IPTCP11010010TCPIPETH11010010IPTCP11010010TCPIPETH11010010IPTCP11010010TCP11010010只檢查報(bào)頭1、簡單包過濾防火墻不檢查數(shù)據(jù)區(qū)2、簡單包過濾防火墻不建立連接狀態(tài)表3、前后報(bào)文無關(guān)4、應(yīng)用層控制很弱簡單包過濾防火墻的工作原理防火墻簡介應(yīng)用層TCP層IP層網(wǎng)絡(luò)狀態(tài)檢測包過濾防火墻1、安全性高能夠檢測所有進(jìn)入防火墻網(wǎng)關(guān)的數(shù)據(jù)包根據(jù)通信和應(yīng)用程序狀態(tài)確定是否允許包的通過2、性能高在數(shù)據(jù)包進(jìn)入防火墻時就進(jìn)行識別和判斷3、伸縮性好可以識別不同的數(shù)據(jù)包支持160多種應(yīng)用，包括Internet應(yīng)用、數(shù)據(jù)庫應(yīng)用、多媒體應(yīng)用等用戶可方便添加新應(yīng)用4、對用戶、應(yīng)用程序透明防火墻簡介應(yīng)用層表達(dá)層會話層傳輸層網(wǎng)絡(luò)層鏈路層物理層應(yīng)用層表達(dá)層會話層傳輸層網(wǎng)絡(luò)層鏈路層物理層應(yīng)用層表達(dá)層會話層傳輸層網(wǎng)絡(luò)層鏈路層物理層抽取各層的狀態(tài)信息建立動態(tài)狀態(tài)表狀態(tài)檢測包過濾防火墻1、安全性高防火墻簡介應(yīng)用層表達(dá)層會話層狀態(tài)檢測包過濾防火墻的工作原理防火墻簡介應(yīng)用層TCP層IP層網(wǎng)絡(luò)接口層網(wǎng)絡(luò)接口層IP層TCP層應(yīng)用層101111111000101101001010001110010111111100010110100101000111001101001011010010TCP11010010IPTCP11010010TCPIPETH11010010IPTCP11010010TCPIPETH11010010IPTCP11010010TCP11010010只檢查報(bào)頭1、不檢查數(shù)據(jù)區(qū)2、建立連接狀態(tài)表3、前后報(bào)文相關(guān)4、應(yīng)用層控制很弱建立連接狀態(tài)表狀態(tài)檢測包過濾防火墻的工作原理防火墻簡介應(yīng)用層TCP層IP層應(yīng)用代理防火墻優(yōu)點(diǎn)：1、安全性高2、提供應(yīng)用層的安全防火墻簡介缺點(diǎn)：1、性能差2、伸縮性差3、只支持有限的應(yīng)用4、不透明應(yīng)用層表達(dá)層會話層傳輸層網(wǎng)絡(luò)層鏈路層物理層應(yīng)用層表達(dá)層會話層傳輸層網(wǎng)絡(luò)層鏈路層物理層應(yīng)用層表達(dá)層會話層傳輸層網(wǎng)絡(luò)層鏈路層物理層●●HTTPFTPSMTP應(yīng)用代理防火墻優(yōu)點(diǎn)：防火墻簡介缺點(diǎn)：應(yīng)用層表達(dá)層會話層傳輸層應(yīng)用代理防火墻的工作原理防火墻簡介應(yīng)用層TCP層IP層網(wǎng)絡(luò)接口層網(wǎng)絡(luò)接口層IP層TCP層應(yīng)用層101111111000101101001010001110010111111100010110100101000111001101001011010010TCP11010010IPTCP11010010TCPIPETH11010010IPTCP11010010TCPIPETH11010010IPTCP11010010TCP11010010只檢查數(shù)據(jù)1、不檢查IP、TCP報(bào)頭2、不建立連接狀態(tài)表3、網(wǎng)絡(luò)層保護(hù)較弱應(yīng)用代理防火墻的工作原理防火墻簡介應(yīng)用層TCP層IP層網(wǎng)絡(luò)接核檢測防火墻的工作原理防火墻簡介應(yīng)用層TCP層IP層網(wǎng)絡(luò)接口層網(wǎng)絡(luò)接口層IP層TCP層應(yīng)用層10111111100010110100101000111001011111110001011010010100011100開始攻擊主服務(wù)器硬盤數(shù)據(jù)開始攻擊TCP開始攻擊IPTCP開始攻擊TCPIPETH開始攻擊IPTCP開始攻擊TCPIPETH開始攻擊IPTCP開始攻擊TCP報(bào)文1主服務(wù)器IPTCP報(bào)文2硬盤數(shù)據(jù)IPTCP報(bào)文3重寫會話開始攻擊主服務(wù)器硬盤數(shù)據(jù)檢查多個報(bào)文組成的會話建立連接狀態(tài)表開始攻擊主服務(wù)器硬盤數(shù)據(jù)1、網(wǎng)絡(luò)層保護(hù)強(qiáng)2、應(yīng)用層保護(hù)強(qiáng)3、會話保護(hù)強(qiáng)4、上下文相關(guān)5、前后報(bào)文有聯(lián)系核檢測防火墻的工作原理防火墻簡介應(yīng)用層TCP層IP層網(wǎng)絡(luò)接口防火墻核心技術(shù)比較防火墻簡介綜合安全性網(wǎng)絡(luò)層保護(hù)應(yīng)用層保護(hù)應(yīng)用層透明整體性能處理對象簡單包過濾防火墻狀態(tài)檢測包過濾防火墻應(yīng)用代理防火墻核檢測防火墻★★★★★★★★★★★★★★★★★★★★★★★★★★★★★★★★★★★★★★★★★★★★★★★★★★★★★★★★★★★★★★★★★★★★★單個包報(bào)頭單個包報(bào)頭單個包數(shù)據(jù)一次會話防火墻核心技術(shù)比較防火墻簡介綜合安全性網(wǎng)絡(luò)層保護(hù)應(yīng)用層保護(hù)應(yīng)防火墻的三種工作模式1、路由模式防火墻的工作模式2、透明模式3、混合模式防火墻的三種工作模式1、路由模式防火墻的工作模式2、透明模式路由模式防火墻的工作模式/24GW:54/24GW:545454路由模式下的防火墻有兩個局限：1、工作于路由模式時，防火墻各網(wǎng)口所接的局域網(wǎng)必須是不同的網(wǎng)段，如處于同一網(wǎng)段，它們之間將無法進(jìn)行通信。2、如果用戶試圖在一個已經(jīng)形成了的網(wǎng)絡(luò)里添加防火墻，而此防火墻又只能工作于路由方式，則與防火墻所接的主機(jī)（或路由器）的網(wǎng)關(guān)都要指向防火墻。如果用戶的網(wǎng)絡(luò)非常復(fù)雜時，設(shè)置時就會很麻煩。路由模式防火墻的工作模式/2410.1透明模式防火墻的工作模式/24GW:5454透明模式的特點(diǎn)：1、對用戶是透明的，即用戶意思不到防火墻的存在。2、防火墻沒有IP地址，網(wǎng)絡(luò)不需要重新設(shè)定。3、無法探測到防火墻的服務(wù)端口，也就無法對防火墻進(jìn)行攻擊，大大提高了防火墻的安全性與抗攻擊性。

透明模式防火墻的工作模式/24192.混合模式防火墻的工作模式/24GW:/24GW:53防火墻/24GW:54混合模式是路由與透明相結(jié)合的模式，它同時具備路由與透明模式的優(yōu)點(diǎn)，提高了防火墻在各種復(fù)雜環(huán)境下的適應(yīng)性?；旌夏Ｊ椒阑饓Φ墓ぷ髂Ｊ?24192.防火墻的功能訪問控制透明代理身份認(rèn)證URL過濾地址綁定正向及反向NAT流量控制入侵檢測日志審計(jì)IDS、防病毒聯(lián)動VLAN支持VPN功能雙機(jī)熱備防火墻的功能防火墻的功能訪問控制防火墻的功能訪問控制防火墻的功能11010110AccesslisttoAccessnattoanypassAccesstoblockAccessdefaultpass規(guī)則匹配成功1、基于源IP地址2、基于目的IP地址3、基于源端口4、基于目的端口5、基于時間6、基于用戶7、基于流量8、基于文件9、基于網(wǎng)址10、基于MAC地址訪問控制防火墻的功能11010110Accesslist透明代理防火墻的功能HTTP：AccessanytoSina返回給

的數(shù)據(jù)包發(fā)送請求Sina服務(wù)器響應(yīng)請求5SMTP：轉(zhuǎn)發(fā)域名為

轉(zhuǎn)發(fā)到26SMTP：附件不能超過3.0M×禁止發(fā)送主要包括：HTTP代理、FTP代理、TELNET代理、SMTP代理POP3代理、SOCKS代理、自定義服務(wù)代理透明代理防火墻的功能.身份認(rèn)證防火墻的功能administrator123456RADIUS服務(wù)器本地認(rèn)證根據(jù)認(rèn)證結(jié)果決定用戶結(jié)資源的訪問權(quán)限防火墻將認(rèn)證信息傳給RADIUS服務(wù)器將認(rèn)證結(jié)果傳回防火墻身份認(rèn)證防火墻的功能administrator123456RURL過濾防火墻的功能URL服務(wù)器可以訪問嗎？OK1、URL過濾模塊可同時為包過濾和透明代理服務(wù)提供URL過濾功能，支持對中文域名的過濾。2、可以根據(jù)不同時間段的實(shí)際要求設(shè)定不同的URL過濾規(guī)則集，實(shí)現(xiàn)時間控制。3、基于黑名單/白名單的安全過濾策略。當(dāng)用戶設(shè)置黑名單時，首先允許訪問所有的URL，只對黑名單中定義的URL進(jìn)行封殺；當(dāng)用戶設(shè)置白名單時，首先禁止訪問所有的URL，然后只允許訪問白名單中的URL。4、提供基于內(nèi)容分類的URL過濾管理URL過濾防火墻的功能地址綁定防火墻的功能00-50-04-BB-71-A600-50-04-BB-71-BC00-50-04-BB-71-C4HOSTAHOSTBHOSTCHOSTAHOSTBHOSTCBINDTO00-50-04-BB-71-A6BINDTO00-50-04-BB-71-BCMAC地址與綁定的MAC地址不一致，丟棄該包1、自動學(xué)習(xí)2、防止IP盜用地址綁定防火墻的功能00-50-04-BB-71-A600-正向NAT轉(zhuǎn)換防火墻的功能ETH2：5ETH0：IP報(bào)頭數(shù)據(jù)IP報(bào)頭數(shù)據(jù)源地址：目的地址：4源地址：目的地址：441、隱藏了內(nèi)部網(wǎng)絡(luò)的結(jié)構(gòu)2、內(nèi)部網(wǎng)絡(luò)可以使用私有IP地址3、解決了公有IP地址不足的問題正向NAT轉(zhuǎn)換防火墻的功能ETH2：E防火墻的功能反向NAT轉(zhuǎn)換/24GW:5454www/24GW:54FTP/24GW:54MAIL/24GW:54DNS/24GW:54544MAP:80TO4:80MAP:21TO4:21MAP:25TO4:25MAP:53TO4:5341、公開服務(wù)器可以使用私有地址2、隱藏內(nèi)部網(wǎng)絡(luò)結(jié)構(gòu)3、服務(wù)器負(fù)載均衡防火墻的功能反向NAT轉(zhuǎn)換/2410.1流量控制防火墻的功能出口帶寬512KwwwmailftpDMZ區(qū)分配給DMZ512K生產(chǎn)組分配生產(chǎn)組96K銷售組財(cái)務(wù)組分配銷售組70K分配財(cái)務(wù)組90K總帶寬512KDMZ256K內(nèi)網(wǎng)256K生產(chǎn)組96K銷售組70K財(cái)務(wù)組90K流量控制防火墻的功能出口帶寬512KwwwmailftpDM日志審記防火墻的功能日志服務(wù)器1、安全的傳輸機(jī)制：防火墻日志的發(fā)送采用TCP連接并對數(shù)據(jù)進(jìn)行了加密處理，其完善的確認(rèn)和校驗(yàn)機(jī)制，避免了日志的丟失和泄漏。2、集中的日志管理：日志服務(wù)器可以集中接收管理多臺防火墻的日志。3、方便友好的日志查詢：對日志進(jìn)行組合查詢，并提供對查詢結(jié)果的編輯和打印。4、實(shí)時日志掃描：對包過濾日志準(zhǔn)確有效的分析，檢測出可能的網(wǎng)絡(luò)攻擊。5、控制臺和郵件告警機(jī)制：及時地將入侵和系統(tǒng)告警顯示或利用郵件發(fā)送給管理員。6、流量統(tǒng)計(jì)：統(tǒng)計(jì)流量，形成報(bào)表并可打印報(bào)表。日志審記防火墻的功能日志服務(wù)器1、安全的傳輸機(jī)制：防火墻日志入侵檢測防火墻的功能DMZ黑客掃描攻擊檢測FTP攻擊檢測TELNET攻擊檢測DoS/DDoS攻擊檢測MS-SQL攻擊檢測檢測到攻擊×1、可檢測多種黑客攻擊手段和攻擊行為2、除對內(nèi)部網(wǎng)的保護(hù)外，還可保護(hù)DMZ區(qū)3、實(shí)時檢測、報(bào)警、追蹤4、攻擊庫可以升級黑客入侵檢測防火墻的功能DMZ黑客掃描攻擊檢測FTP攻擊檢測TE與IDS聯(lián)動防火墻的功能IDS識別出攻擊行為發(fā)送通知報(bào)文驗(yàn)證報(bào)文并采取措施阻斷連接或報(bào)警發(fā)送響應(yīng)報(bào)文與IDS聯(lián)動防火墻的功能IDS識別出發(fā)送通知報(bào)文驗(yàn)證報(bào)文阻斷與防病毒網(wǎng)關(guān)聯(lián)動防火墻的功能101011011101001110110110待發(fā)數(shù)據(jù)接收數(shù)據(jù)1010110110101101110100111101001110110110接收數(shù)據(jù)協(xié)議還原，檢查病毒沒有發(fā)現(xiàn)病毒放過最后一個報(bào)文PASSPASS無病毒則轉(zhuǎn)發(fā)最后一個報(bào)文，有病毒就丟棄它10110110與防病毒網(wǎng)關(guān)聯(lián)動防火墻的功能1010110111010011VLAN支持防火墻的功能支持VLAN的交換機(jī)VLAN1VLAN2Trunk口Trunk口同一交換機(jī)的不同VLAN間通訊防火墻要支持Trunk口Switch1Switch2VLAN1VLAN2Trunk口Trunk口不同交換機(jī)的同一VLAN間通訊防火墻要支持Trunk口VLAN支持防火墻的功能支持VLAN的交換機(jī)VLAN1VLAVPN功能防火墻的功能固定IP網(wǎng)關(guān)－－固定IP網(wǎng)關(guān)固定IP網(wǎng)關(guān)－－動態(tài)IP網(wǎng)關(guān)動態(tài)IP網(wǎng)關(guān)－－動態(tài)IP網(wǎng)關(guān)網(wǎng)關(guān)－－不經(jīng)NAT客戶端網(wǎng)關(guān)－－經(jīng)NAT客戶端VPN功能防火墻的功能固定IP網(wǎng)關(guān)－－固定IP網(wǎng)關(guān)雙機(jī)熱備防火墻的功能ActiveFirewallStandbyFirewallEth0Eth1Eth2Eth0Eth1Eth2心跳線當(dāng)一臺防火墻故障時，這臺防火墻的連接不需要重新建立就可以透明的遷移到另一臺防火墻上正常情況下由主防火墻工作檢測ActiveFirewall的狀態(tài)發(fā)現(xiàn)出故障，立即接管其工作主防火墻出故障以后，接管它的工作×雙機(jī)熱備防火墻的功能ActiveFirewallStand常見的防火墻性能指標(biāo)1、最大位轉(zhuǎn)發(fā)率2、吞吐量3、延遲4、丟包率5、背靠背6、最大并發(fā)連接數(shù)7、最大并發(fā)連接建立速率8、最大策略數(shù)9、平均無故障間隔時間10、支持的最大用戶數(shù)防火墻的性能常見的防火墻性能指標(biāo)1、最大位轉(zhuǎn)發(fā)率防火墻的性能最大位轉(zhuǎn)發(fā)率1、定義：防火墻的位轉(zhuǎn)發(fā)率指在特定負(fù)載下每秒鐘防火墻將允許的數(shù)據(jù)流轉(zhuǎn)發(fā)至正確的目的接口的位數(shù)2、最大位轉(zhuǎn)發(fā)率指在不同的負(fù)載下反復(fù)測量得出的位轉(zhuǎn)發(fā)率數(shù)值中的最大值防火墻的性能最大位轉(zhuǎn)發(fā)率1、定義：防火墻的位轉(zhuǎn)發(fā)率指在特定負(fù)載下每秒鐘防吞吐量1、定義：在不丟包的情況下能夠達(dá)到的最大包轉(zhuǎn)發(fā)率。2、衡量標(biāo)準(zhǔn)：吞吐量越大，說明防火墻數(shù)據(jù)處理能力越強(qiáng)；吞吐量小就會造成網(wǎng)絡(luò)新的瓶頸，以至影響到整個網(wǎng)絡(luò)的性能。3、吞吐量是防火墻在各種幀長的満負(fù)載（100M或1000M）雙向UDP數(shù)據(jù)包情況下的穩(wěn)定性表現(xiàn)，是其它指標(biāo)的基礎(chǔ)。4、以太網(wǎng)吞吐量最大理論值稱為線速，即指網(wǎng)絡(luò)設(shè)備有足夠的能力以全速處理最小的數(shù)據(jù)封包轉(zhuǎn)發(fā)。防火墻的性能吞吐量1、定義：在不丟包的情況下能夠達(dá)到的最大包轉(zhuǎn)發(fā)率。防火延遲1、定義：延遲通常是指從測試數(shù)據(jù)幀的最后一個比特進(jìn)入被測設(shè)備端口開始，至測試數(shù)據(jù)包的第一個比特從被測設(shè)備另一端口離開的時間間隔。2、衡量標(biāo)準(zhǔn)：現(xiàn)在的網(wǎng)絡(luò)應(yīng)用種類非常復(fù)雜，許多應(yīng)用對延遲非常敏感（如音頻、視頻等）而網(wǎng)絡(luò)中加入防火墻必然會增加傳輸延遲，所以較低的延遲對防火墻來說也是不可或缺的。防火墻的性能延遲1、定義：延遲通常是指從測試數(shù)據(jù)幀的最后一個比特進(jìn)入被測丟包率1、定義：在連續(xù)負(fù)載的情況下，防火墻設(shè)備由于資源不足應(yīng)轉(zhuǎn)發(fā)但是未轉(zhuǎn)發(fā)的幀百分比。2、衡量標(biāo)準(zhǔn)：是用來確定防火墻在不同傳輸速率下丟失數(shù)據(jù)包的百分?jǐn)?shù)，目的在于測試防火墻在超負(fù)載情況下的性能。3、較低的丟包率，意味著防火墻在強(qiáng)大的負(fù)載壓力下，能夠穩(wěn)定地工作，以適應(yīng)各種網(wǎng)絡(luò)的復(fù)雜應(yīng)用和較大數(shù)據(jù)流量對處理性能的高要求。防火墻的性能丟包率1、定義：在連續(xù)負(fù)載的情況下，防火墻設(shè)備由于資源不足應(yīng)背靠背 1、定義：從空閑狀態(tài)開始，以達(dá)到傳輸介質(zhì)最小合法間隔極限的傳輸速率發(fā)送相當(dāng)數(shù)量的固定長度的幀，當(dāng)出現(xiàn)第一個幀丟失時，發(fā)送的幀數(shù)。即以最小幀間隔發(fā)送最多數(shù)據(jù)包而不引起丟包時的數(shù)據(jù)包數(shù)量。2、衡量標(biāo)準(zhǔn)：背對背包的測試結(jié)果能體現(xiàn)出被測防火墻的緩沖容量，網(wǎng)絡(luò)上經(jīng)常有一些應(yīng)用會產(chǎn)生大量的突發(fā)數(shù)據(jù)包（例如：NFS、備份、路由更新等），而且這樣的數(shù)據(jù)包的丟失可能會產(chǎn)生更多的數(shù)據(jù)包，強(qiáng)大緩沖能力可以減小這種突發(fā)對網(wǎng)絡(luò)造成的影響防火墻的性能背靠背 1、定義：從空閑狀態(tài)開始，以達(dá)到傳輸介質(zhì)最小合法間隔最大并發(fā)連接數(shù)1、定義：指穿越防火墻的主機(jī)之間或主機(jī)與防火墻之間能同時建立的最大連接數(shù)。2、衡量標(biāo)準(zhǔn)：并發(fā)連接數(shù)的測試主要用來測試被測防火墻建立和維持TCP連接的性能，同時也能通過并發(fā)連接數(shù)的大小體現(xiàn)被測防火墻對來自于客戶端的TCP連接請求的響應(yīng)能力。3、最大并發(fā)連接數(shù)是防火墻能夠同時處理的點(diǎn)對點(diǎn)會話連接的最大數(shù)目，它反映防火墻對多個連接的訪問控制能力和連接狀態(tài)跟蹤能力。這個參數(shù)的大小可以直接影響到防火墻所能支持的最大信息點(diǎn)數(shù)防火墻的性能最大并發(fā)連接數(shù)1、定義：指穿越防火墻的主機(jī)之間或主機(jī)與防火墻最大并發(fā)連接建立數(shù)率1、定義：指穿越防火墻的主機(jī)之間或主機(jī)與防火墻之間單位時間內(nèi)建立的最大連接數(shù)。2、衡量標(biāo)準(zhǔn)：最