防火墻技術(shù)原理

防火墻技術(shù)原理第1頁(yè)/共79頁(yè)防火墻基本概念防火墻發(fā)展歷程防火墻核心技術(shù)防火墻功能與原理防火墻的接入方式防火墻的典型應(yīng)用防火墻性能防火墻局限性防火墻的兩個(gè)爭(zhēng)議目錄第2頁(yè)/共79頁(yè)一種高級(jí)訪問(wèn)控制設(shè)備，置于不同網(wǎng)絡(luò)安全域之間的一系列部件的組合，它是不同網(wǎng)絡(luò)安全域間通信流的唯一通道，能根據(jù)企業(yè)有關(guān)的安全政策控制（允許、拒絕、監(jiān)視、記錄）進(jìn)出網(wǎng)絡(luò)的訪問(wèn)行為。兩個(gè)安全域之間通信流的唯一通道安全域1HostAHostB安全域2HostCHostDUDPBlockHostCHostBTCPPassHostCHostADestinationProtocolPermitSource根據(jù)訪問(wèn)控制規(guī)則決定進(jìn)出網(wǎng)絡(luò)的行為防火墻的概念第3頁(yè)/共79頁(yè)防火墻基本概念

防火墻發(fā)展歷程防火墻核心技術(shù)防火墻功能與原理防火墻的接入方式防火墻的典型應(yīng)用防火墻性能防火墻局限性防火墻的兩個(gè)爭(zhēng)議目錄第4頁(yè)/共79頁(yè)基于路由器的防火墻軟件防火墻的初級(jí)形式，具有審計(jì)和告警功能對(duì)數(shù)據(jù)包的訪問(wèn)控制過(guò)濾通過(guò)專(zhuān)門(mén)的軟件實(shí)現(xiàn)與第一代防火墻相比，安全性提高了，價(jià)格降低了在路由器中通過(guò)ACL規(guī)則來(lái)實(shí)現(xiàn)對(duì)數(shù)據(jù)包的控制；過(guò)濾判斷依據(jù)：地址、端口號(hào)、協(xié)議號(hào)等特征是批量上市的專(zhuān)用軟件防火墻產(chǎn)品安裝在通用操作系統(tǒng)之上安全性依靠軟件本身和操作系統(tǒng)本身的整體安全防火墻廠商具有操作系統(tǒng)的源代碼，并可實(shí)現(xiàn)安全內(nèi)核功能強(qiáng)大，安全性很高易于使用和管理是目前廣泛應(yīng)用的防火墻產(chǎn)品基于安全操作系統(tǒng)的防火墻基于通用操作系統(tǒng)的防火墻防火墻工具套防火墻的發(fā)展歷程第5頁(yè)/共79頁(yè)防火墻基本概念防火墻發(fā)展歷程

防火墻核心技術(shù)防火墻體系結(jié)構(gòu)防火墻功能與原理防火墻的接入方式防火墻的典型應(yīng)用防火墻性能防火墻局限性防火墻的兩個(gè)爭(zhēng)議目錄第6頁(yè)/共79頁(yè)包過(guò)濾（Packetfiltering）：工作在網(wǎng)絡(luò)層，僅根據(jù)數(shù)據(jù)包頭中的IP地址、端口號(hào)、協(xié)議類(lèi)型等標(biāo)志確定是否允許數(shù)據(jù)包通過(guò)。應(yīng)用代理（ApplicationProxy）：工作在應(yīng)用層，通過(guò)編寫(xiě)不同的應(yīng)用代理程序，實(shí)現(xiàn)對(duì)應(yīng)用層數(shù)據(jù)的檢測(cè)和分析。狀態(tài)檢測(cè)（StatefulInspection）：工作在2~4層，訪問(wèn)控制方式與1同，但處理的對(duì)象不是單個(gè)數(shù)據(jù)包，而是整個(gè)連接，通過(guò)規(guī)則表和連接狀態(tài)表，綜合判斷是否允許數(shù)據(jù)包通過(guò)。完全內(nèi)容檢測(cè)（Compelete

ContentInspection）：工作在2~7層，不僅分析數(shù)據(jù)包頭信息、狀態(tài)信息，而且對(duì)應(yīng)用層協(xié)議進(jìn)行還原和內(nèi)容分析，有效防范混合型安全威脅。防火墻的檢測(cè)與過(guò)濾技術(shù)應(yīng)用層傳輸層IP層網(wǎng)絡(luò)接口層DataSegmentPacketFrameBitFlow第7頁(yè)/共79頁(yè)防火墻基本概念防火墻發(fā)展歷程防火墻核心技術(shù)防火墻功能與原理防火墻的接入方式防火墻的典型應(yīng)用防火墻性能防火墻局限性防火墻的兩個(gè)爭(zhēng)議目錄第8頁(yè)/共79頁(yè)防火墻的作用集中的訪問(wèn)控制集中的加密保護(hù)集中的認(rèn)證授權(quán)集中的內(nèi)容檢查集中的病毒防護(hù)集中的郵件過(guò)濾集中的流量控制集中的安全審計(jì)第9頁(yè)/共79頁(yè)基本功能地址轉(zhuǎn)換訪問(wèn)控制VLAN支持帶寬管理（QoS）入侵檢測(cè)和攻擊防御用戶(hù)認(rèn)證IP/MAC綁定動(dòng)態(tài)IP環(huán)境支持?jǐn)?shù)據(jù)庫(kù)長(zhǎng)連接應(yīng)用支持路由支持ADSL撥號(hào)功能SNMP網(wǎng)管支持日志審計(jì)高可用性防火墻的功能擴(kuò)展功能防病毒VPNIPSECVPNPPTP/L2TP第10頁(yè)/共79頁(yè)Internet4HostA受保護(hù)網(wǎng)絡(luò)HostCHostD15防火墻Eth2：3Eth0：數(shù)據(jù)IP報(bào)頭數(shù)據(jù)IP報(bào)頭源地址：1目地址：4源地址：目地址：4隱藏了內(nèi)部網(wǎng)絡(luò)的結(jié)構(gòu)

內(nèi)部網(wǎng)絡(luò)可以使用私有IP地址公開(kāi)地址不足的網(wǎng)絡(luò)可以使用這種方式提供IP復(fù)用功能地址轉(zhuǎn)換(NAT)第11頁(yè)/共79頁(yè)Internet公開(kāi)服務(wù)器可以使用私有地址

隱藏內(nèi)部網(wǎng)絡(luò)的結(jié)構(gòu)WWWFTPMAILDNSMAP：80TO：80MAP：21TO：21MAP：53TO：53MAP：25TO：25MAP(地址/端口映射)第12頁(yè)/共79頁(yè)HostCHostD防火墻的基本訪問(wèn)控制功能AccesslisttoAccessnattoanypassAccesstoblockAccessdefaultpass規(guī)則匹配成功基于源IP地址基于目的IP地址基于源端口基于目的端口基于時(shí)間基于用戶(hù)基于流量基于文件基于網(wǎng)址基于MAC地址第13頁(yè)/共79頁(yè)時(shí)間控制策略HostCHostD在防火墻上制定基于時(shí)間的訪問(wèn)控制策略上班時(shí)間不允許訪問(wèn)Internet上班時(shí)間可以訪問(wèn)公司的網(wǎng)絡(luò)Internet第14頁(yè)/共79頁(yè)QoS帶寬管理InternetWWWMailDNS財(cái)務(wù)部子網(wǎng)采購(gòu)部子網(wǎng)出口帶寬512KDMZ區(qū)保留256K分配70K帶寬分配90K帶寬分配96K帶寬DMZ區(qū)域內(nèi)部網(wǎng)絡(luò)總帶寬512K內(nèi)網(wǎng)256KDMZ256K70K90K96K+++財(cái)務(wù)子網(wǎng)采購(gòu)子網(wǎng)生產(chǎn)子網(wǎng)生產(chǎn)部子網(wǎng)第15頁(yè)/共79頁(yè)防火墻具有內(nèi)置的IDS模塊，可以有效檢測(cè)并抵御常見(jiàn)的攻擊行為，用戶(hù)通過(guò)簡(jiǎn)單設(shè)置即可保護(hù)指定的網(wǎng)絡(luò)對(duì)象免于受到以下類(lèi)型的攻擊：1.統(tǒng)計(jì)型攻擊，包括：SynFlood、UDPFLOOD、ICMPFLOOD、IPSWEEP、PORTSCAN。2.異常包攻擊，包括：Land、Smurf、PingofDeath、Winnuke、TcpScan、IpOption等

內(nèi)置入侵檢測(cè)功能第16頁(yè)/共79頁(yè)抗DOS攻擊功能防火墻的SYN代理實(shí)現(xiàn)原理:在服務(wù)器和外部網(wǎng)絡(luò)之間部署防火墻系統(tǒng);防火墻在收到客戶(hù)端的Syn包后，防火墻代替服務(wù)器向客戶(hù)端發(fā)送Syn/Ack包;如果防火墻收到客戶(hù)端的Ack信息，表明訪問(wèn)正常,由防火墻向服務(wù)器發(fā)送Syn包并完成后續(xù)的TCP握手,建立客戶(hù)端到服務(wù)器的連接。通過(guò)這種Syn代理技術(shù)，保證每個(gè)Syn包源的真實(shí)有效性，確保虛假請(qǐng)求不被發(fā)往服務(wù)器，從而徹底防范對(duì)服務(wù)器的Syn-Flood攻擊。SYNSYN/ACKACKSYNSYN/ACKACKSYNSYN/ACKACKClientServerSYNSYN第17頁(yè)/共79頁(yè)HostCHostDHostBHostA受保護(hù)網(wǎng)絡(luò)InternetIDS黑客發(fā)起攻擊發(fā)送通知報(bào)文驗(yàn)證報(bào)文并采取措施發(fā)送響應(yīng)報(bào)文識(shí)別出攻擊行為阻斷連接或者報(bào)警等與IDS的安全聯(lián)動(dòng)第18頁(yè)/共79頁(yè)

豐富的認(rèn)證方式和第三方認(rèn)證支持InternetRADIUS服務(wù)器OTP認(rèn)證服務(wù)器liming******防火墻將認(rèn)證信息傳給真正的RADIUS服務(wù)器進(jìn)行認(rèn)證將認(rèn)證結(jié)果傳給防火墻本地認(rèn)證、內(nèi)置OTP服務(wù)器認(rèn)證支持第三方RADIUS服務(wù)器認(rèn)證支持TACAS/TACAS+服務(wù)器認(rèn)證支持S/KEY、SECUID、VIECA、LDAP、域認(rèn)證等認(rèn)證根據(jù)認(rèn)證結(jié)果決定用戶(hù)對(duì)資源的訪問(wèn)權(quán)限第19頁(yè)/共79頁(yè)InternetHostA

HostBHostCHostD00-50-04-BB-71-A600-50-04-BB-71-BCBINDTo00-50-04-BB-71-A6BINDTo00-50-04-BB-71-BCIP與MAC地址綁定后，不允許HostB假冒HostA的IP地址上網(wǎng)防火墻允許HostA上網(wǎng)IP與MAC（用戶(hù)）的綁定第20頁(yè)/共79頁(yè)對(duì)DHCP應(yīng)用環(huán)境的支持InternetDHCP服務(wù)器HostAHostBHostCHostDHostEHostF沒(méi)有固定IP地址只允許HostB上網(wǎng)設(shè)定HostB的MAC地址設(shè)定HostB的IP地址為空根據(jù)HostB的MAC地址進(jìn)行訪問(wèn)控制第21頁(yè)/共79頁(yè)客戶(hù)機(jī)建立連接并維持連接狀態(tài)直到查詢(xún)結(jié)束對(duì)數(shù)據(jù)庫(kù)長(zhǎng)連接的支持FR數(shù)據(jù)庫(kù)查詢(xún)一般需要比較長(zhǎng)的時(shí)間，這些通訊連接建立成功后可能暫時(shí)沒(méi)有數(shù)據(jù)通過(guò)（空連接），普通防火墻在連接建立一段時(shí)間后如果沒(méi)有數(shù)據(jù)通訊會(huì)自動(dòng)切斷連接，導(dǎo)致業(yè)務(wù)不能正常運(yùn)行需要較長(zhǎng)的查詢(xún)時(shí)間需要在防火墻里面維護(hù)這個(gè)連接狀態(tài)，直到查詢(xún)結(jié)束。該功能是可選的。第22頁(yè)/共79頁(yè)動(dòng)態(tài)路由功能--RIP第23頁(yè)/共79頁(yè)動(dòng)態(tài)路由功能--OSPF第24頁(yè)/共79頁(yè)ADSL撥號(hào)功能－PPPOE第25頁(yè)/共79頁(yè)HostCHostDHostBHostA受保護(hù)網(wǎng)絡(luò)InternetInternet

SNMP報(bào)文獲取硬件配置信息資源使用狀況信息防火墻的流量信息防火墻的連接信息防火墻的版本信息防火墻的用戶(hù)信息防火墻的規(guī)則信息防火墻的路由信息……SNMP服務(wù)器端SNMP客戶(hù)端(HPopenview)支持SNMP網(wǎng)絡(luò)管理第26頁(yè)/共79頁(yè)

日志分析功能會(huì)話(huà)日志：即普通連接日志通信源地址、目的地址、源目端口、通信時(shí)間、通信協(xié)議、字節(jié)數(shù)、是否允許通過(guò)命令日志和內(nèi)容日志：即深度分析日志在通信日志的基礎(chǔ)之上，記錄下各個(gè)應(yīng)用層命令參數(shù)和內(nèi)容。例如HTTP請(qǐng)求及其要取的網(wǎng)頁(yè)名。提供日志分析工具自動(dòng)產(chǎn)生各種報(bào)表，智能化的指出網(wǎng)絡(luò)可能的安全漏洞第27頁(yè)/共79頁(yè)Clint響應(yīng)請(qǐng)求發(fā)送請(qǐng)求通信日志通信日志通信信息6970普通連接日志－會(huì)話(huà)日志第28頁(yè)/共79頁(yè)Clint響應(yīng)請(qǐng)求發(fā)送請(qǐng)求命令日志命令日志6970深度分析日志(1)－命令日志命令信息第29頁(yè)/共79頁(yè)Clint響應(yīng)請(qǐng)求發(fā)送請(qǐng)求訪問(wèn)日志訪問(wèn)日志6970深度分析日志(2)－內(nèi)容日志訪問(wèn)信息第30頁(yè)/共79頁(yè)高可用性--雙機(jī)熱備功能內(nèi)部網(wǎng)外網(wǎng)或者不信任域Eth0Eth0Eth1Eth1Eth2Eth2心跳線(xiàn)ActiveFirewallStandbyFirewall檢測(cè)ActiveFirewall的狀態(tài)發(fā)現(xiàn)出故障，立即接管其工作

正常情況下由主防火墻工作主防火墻出故障以后，接管它的工作HuborSwitchHuborSwitch通過(guò)ISTP協(xié)議可以交換兩臺(tái)防火墻的狀態(tài)信息當(dāng)一臺(tái)防火墻故障時(shí)，這臺(tái)防火墻的連接不需要重新建立就可以透明的遷移到另一臺(tái)防火墻上，用戶(hù)不會(huì)察覺(jué)到第31頁(yè)/共79頁(yè)豐富的鏈路備份功能網(wǎng)口單combo口雙鏈路備份網(wǎng)口網(wǎng)口雙端口環(huán)形光纖鏈路備份HAHA雙機(jī)備份全冗余備份防火墻路由器交換機(jī)第32頁(yè)/共79頁(yè)WWW1WWW2WWW3負(fù)載均衡算法：輪流輪流+權(quán)值最少連接最少連接+權(quán)值根據(jù)負(fù)載均衡算法將數(shù)據(jù)重定位到一臺(tái)WWW服務(wù)器服務(wù)器陣列響應(yīng)請(qǐng)求高可用性--服務(wù)器負(fù)載均衡第33頁(yè)/共79頁(yè)防火墻提供了“鏈路備份”功能來(lái)實(shí)時(shí)監(jiān)視整個(gè)鏈路的工作情況，一旦發(fā)現(xiàn)異常，就立即啟動(dòng)“鏈路備份”功能自動(dòng)切換到另一條備用鏈路，以確保網(wǎng)絡(luò)的正常通信。高可用性--網(wǎng)絡(luò)鏈路備份功能第34頁(yè)/共79頁(yè)高可用性-雙系統(tǒng)冗余防火墻作為網(wǎng)絡(luò)中的關(guān)鍵設(shè)備，對(duì)于維護(hù)網(wǎng)絡(luò)的正常通信以及安全保障起著舉足輕重的作用。所以，對(duì)防火墻本身的有效性和可用性就有了很高的要求。防火墻內(nèi)置備份系統(tǒng)，這樣，在主系統(tǒng)出現(xiàn)異?；蛴捎谏?jí)失敗而不能正常引導(dǎo)系統(tǒng)的情況下，用戶(hù)可以手工選擇使用備份系統(tǒng)。第35頁(yè)/共79頁(yè)擴(kuò)展功能--病毒過(guò)濾功能(1)第36頁(yè)/共79頁(yè)擴(kuò)展功能--病毒過(guò)濾功能(2)第37頁(yè)/共79頁(yè)擴(kuò)展功能--

IPSECVPN功能第38頁(yè)/共79頁(yè)支持L2TP/PPTPVPN功能第39頁(yè)/共79頁(yè)支持DDNS功能第40頁(yè)/共79頁(yè)防火墻基本概念防火墻發(fā)展歷程防火墻核心技術(shù)

防火墻體系結(jié)構(gòu)防火墻功能與原理防火墻的接入方式防火墻的典型應(yīng)用防火墻性能防火墻局限性防火墻的兩個(gè)爭(zhēng)議目錄第41頁(yè)/共79頁(yè)受保護(hù)網(wǎng)絡(luò)Internet如果防火墻支持透明模式，則內(nèi)部網(wǎng)絡(luò)主機(jī)的配置不用調(diào)整HostA

HostCHostDHostB同一網(wǎng)段透明模式下，這里不用配置IP地址透明模式下，這里不用配置IP地址DefaultGateway=防火墻相當(dāng)于網(wǎng)橋，原網(wǎng)絡(luò)結(jié)構(gòu)沒(méi)有改變透明接入第42頁(yè)/共79頁(yè)受保護(hù)網(wǎng)絡(luò)InternetHostA

HostCHostDHostBDefaultGateway=防火墻相當(dāng)于一個(gè)簡(jiǎn)單的路由器67提供簡(jiǎn)單的路由功能路由接入第43頁(yè)/共79頁(yè)ETH0：02ETH2：/24網(wǎng)段/24網(wǎng)段此時(shí)整個(gè)防火墻工作于透明+路由模式，我們稱(chēng)之為綜合模式或者混合模式/24網(wǎng)段ETH1：兩接口在不同網(wǎng)段，防火墻處于路由模式兩接口在不同網(wǎng)段，防火墻處于路由模式兩接口在同一網(wǎng)段，防火墻處于透明模式靈活的接入方式－綜合接入第44頁(yè)/共79頁(yè)防火墻基本概念防火墻發(fā)展歷程防火墻核心技術(shù)

防火墻體系結(jié)構(gòu)防火墻功能與原理防火墻的接入方式防火墻的典型應(yīng)用防火墻性能防火墻局限性防火墻的兩個(gè)爭(zhēng)議目錄第45頁(yè)/共79頁(yè)DDN/幀中繼總行省中支A省中支BDDN/PSTN地市行A地市行B防火墻的典型應(yīng)用（梯形結(jié)構(gòu)）第46頁(yè)/共79頁(yè)總部分部分部訪問(wèn)控制訪問(wèn)授權(quán)信息審計(jì)……訪問(wèn)控制訪問(wèn)授權(quán)信息審計(jì)……訪問(wèn)控制訪問(wèn)授權(quán)信息審計(jì)……防火墻的典型應(yīng)用（星型結(jié)構(gòu)）幀中繼專(zhuān)網(wǎng)第47頁(yè)/共79頁(yè)InternetDDN/PSTN內(nèi)部專(zhuān)網(wǎng)黑客攻擊病毒非授權(quán)訪問(wèn)惡意代碼……阻斷防火墻的典型應(yīng)用三（簡(jiǎn)單結(jié)構(gòu)）分支網(wǎng)絡(luò)第48頁(yè)/共79頁(yè)防火墻基本概念防火墻發(fā)展歷程防火墻核心技術(shù)防火墻功能與原理防火墻的接入方式防火墻的典型應(yīng)用防火墻性能防火墻局限性防火墻的兩個(gè)爭(zhēng)議目錄第49頁(yè)/共79頁(yè)衡量防火墻性能的五大指標(biāo)吞吐量：該指標(biāo)直接影響網(wǎng)絡(luò)的性能，吞吐量時(shí)延：入口處輸入幀最后1個(gè)比特到達(dá)至出口處輸出幀的第1個(gè)比特輸出所用的時(shí)間間隔丟包率：在穩(wěn)態(tài)負(fù)載下，應(yīng)由網(wǎng)絡(luò)設(shè)備傳輸，但由于資源缺乏而被丟棄的幀的百分比背靠背：從空閑狀態(tài)開(kāi)始，以達(dá)到傳輸介質(zhì)最小合法間隔極限的傳輸速率發(fā)送相當(dāng)數(shù)量的固定長(zhǎng)度的幀，當(dāng)出現(xiàn)第一個(gè)幀丟失時(shí)，發(fā)送的幀數(shù)并發(fā)連結(jié)數(shù)：并發(fā)連接數(shù)是指穿越防火墻的主機(jī)之間或主機(jī)與防火墻之間能同時(shí)建立的最大連接數(shù)

第50頁(yè)/共79頁(yè)吞吐量定義：在不丟包的情況下能夠達(dá)到的最大速率衡量標(biāo)準(zhǔn)：吞吐量越大，防火墻的性能越高

~;%#@*$^&*&^#**(&Smartbits6000B測(cè)試儀101100101000011111001010010001001000以最大速率發(fā)包直到出現(xiàn)丟包時(shí)的最大值防火墻吞吐量小就會(huì)成為網(wǎng)絡(luò)的瓶頸100M60M第51頁(yè)/共79頁(yè)數(shù)據(jù)包首先排隊(duì)待防火墻檢查后轉(zhuǎn)發(fā)時(shí)延定義：入口處輸入幀最后1個(gè)比特到達(dá)至出口處輸出幀的第一個(gè)比特輸出所用的時(shí)間間隔衡量標(biāo)準(zhǔn)：延時(shí)越小，表示防火墻的性能越高

10101001001001001010Smartbits6000B測(cè)試儀101100101000011111001010010001001000最后1個(gè)比特到達(dá)第一個(gè)比特輸出時(shí)間間隔101010011100111010101001110011101010010010100100010100010101010100100100100100100010造成數(shù)據(jù)包延遲到達(dá)目標(biāo)地第52頁(yè)/共79頁(yè)丟包率定義：在連續(xù)負(fù)載的情況下，防火墻設(shè)備由于資源不足應(yīng)轉(zhuǎn)發(fā)但卻未轉(zhuǎn)發(fā)的幀百分比

衡量標(biāo)準(zhǔn)：丟包率越小，防火墻的性能越高Smartbits6000B測(cè)試儀發(fā)送了1000個(gè)包防火墻由于資源不足只轉(zhuǎn)發(fā)了800個(gè)包丟包率=（1000-800）/1000=20%1001010100101001000100100110010101001010010001001001第53頁(yè)/共79頁(yè)背靠背定義：從空閑狀態(tài)開(kāi)始，以達(dá)到傳輸介質(zhì)最小合法間隔極限的傳輸速率發(fā)送相當(dāng)數(shù)量的固定長(zhǎng)度的幀，當(dāng)出現(xiàn)第一個(gè)幀丟失時(shí)，發(fā)送的幀數(shù)。衡量標(biāo)準(zhǔn)：背對(duì)背包主要是指防火墻緩沖容量的大小,網(wǎng)絡(luò)上經(jīng)常有一些應(yīng)用會(huì)產(chǎn)生大量的突發(fā)數(shù)據(jù)包（例如：NFS,備份，路由更新等），而且這樣的數(shù)據(jù)包的丟失可能會(huì)產(chǎn)生更多的數(shù)據(jù)包的丟失，強(qiáng)大緩沖能力可以減小這種突發(fā)對(duì)網(wǎng)絡(luò)造成的影響。Smartbits6000B測(cè)試儀時(shí)間（t）包數(shù)量（n）少量包包增多峰值包減少?zèng)]有數(shù)據(jù)背靠背是體現(xiàn)防火墻對(duì)突發(fā)數(shù)據(jù)的處理能力第54頁(yè)/共79頁(yè)并發(fā)連接數(shù)定義：指數(shù)據(jù)包穿越防火墻時(shí)同時(shí)建立的最大連接數(shù)。衡量標(biāo)準(zhǔn)：并發(fā)連接數(shù)主要用來(lái)測(cè)試防火墻建立和維持TCP連接的性能，并發(fā)連接數(shù)越大，防火墻的處理性能越高。并發(fā)連接數(shù)指標(biāo)可以用來(lái)衡量穿越防火墻時(shí)同時(shí)建立的最大連接數(shù)并發(fā)連接并發(fā)連接第55頁(yè)/共79頁(yè)防火墻基本概念防火墻發(fā)展歷程防火墻核心技術(shù)防火墻功能與原理防火墻的接入方式防火墻的典型應(yīng)用防火墻性能防火墻局限性防火墻的兩個(gè)爭(zhēng)議目錄第56頁(yè)/共79頁(yè)防火墻的局限性防火墻雖然是保護(hù)網(wǎng)絡(luò)安全的基礎(chǔ)性設(shè)施，但是它還存在著一些不易防范的安全威脅：首先防火墻不能防范未經(jīng)過(guò)防火墻或繞過(guò)防火墻的攻擊。例如，如果允許從受保護(hù)的網(wǎng)絡(luò)內(nèi)部向外撥號(hào)，一些用戶(hù)就可能形成與Internet的直接連接。防火墻基于數(shù)據(jù)包包頭信息的檢測(cè)阻斷方式，主要對(duì)主機(jī)提供或請(qǐng)求的服務(wù)進(jìn)行訪問(wèn)控制，無(wú)法阻斷通過(guò)開(kāi)放端口流入的有害流量，并不是對(duì)蠕蟲(chóng)或者黑客攻擊的解決方案。另外，防火墻很難防范來(lái)自于網(wǎng)絡(luò)內(nèi)部的攻擊或?yàn)E用。第57頁(yè)/共79頁(yè)防火墻基本概念防火墻發(fā)展歷程防火墻核心技術(shù)

防火墻體系結(jié)構(gòu)防火墻功能與原理防火墻的接入方式防火墻的典型應(yīng)用防火墻性能防火墻局限性防火墻的兩個(gè)爭(zhēng)議目錄第58頁(yè)/共79頁(yè)

防火墻的胖－瘦之爭(zhēng)防火墻的硬件架構(gòu)之爭(zhēng)爭(zhēng)議第59頁(yè)/共79頁(yè)防火墻的“胖”與“瘦”

由于防火墻在網(wǎng)絡(luò)中所處的重要位置，因此，人們對(duì)防火墻可以說(shuō)是寄予厚望?，F(xiàn)在防火墻正在不斷增加各種各樣的新功能，因此防火墻正在急劇“長(zhǎng)胖”。第60頁(yè)/共79頁(yè)“胖”防火墻是指功能大而全的防火墻，它力圖將安全功能盡可能多地包含在內(nèi)，從而成為用戶(hù)網(wǎng)絡(luò)的一個(gè)安全平臺(tái)；胖防火墻的定義訪問(wèn)控制病毒防護(hù)入侵檢測(cè)交換路由內(nèi)容過(guò)濾信息審計(jì)傳輸加密其他胖防火墻第61頁(yè)/共79頁(yè)胖防火墻的優(yōu)勢(shì)與不足優(yōu)勢(shì)：首先是功能全其次是控制力度細(xì)第三是協(xié)作能力強(qiáng)降低采購(gòu)和管理成本不足：主要表現(xiàn)在性能降低其次是自身安全性相對(duì)較弱還有專(zhuān)業(yè)性不強(qiáng)，表現(xiàn)為功能模塊的拼湊第四是穩(wěn)定性不強(qiáng)，系統(tǒng)越大，BUG越多最后是配置復(fù)雜，不合理的配置會(huì)帶來(lái)更大的安全隱患第62頁(yè)/共79頁(yè)訪問(wèn)控制病毒防護(hù)入侵檢測(cè)交換路由內(nèi)容過(guò)濾信息審計(jì)傳輸加密其他瘦防火墻安全聯(lián)動(dòng)“瘦”防火墻是指功能少而精的防火墻，它只作訪問(wèn)控制的專(zhuān)職工作，對(duì)于綜合安全解決方案，則采用多家安全廠商聯(lián)盟的方式來(lái)實(shí)現(xiàn)。

瘦防火墻的定義第63頁(yè)/共79頁(yè)瘦防火墻的優(yōu)勢(shì)與不足優(yōu)勢(shì)：

性能高注重核心功能，專(zhuān)業(yè)性強(qiáng)整體安全性高配置簡(jiǎn)單，簡(jiǎn)化對(duì)管理員的專(zhuān)業(yè)要求不足：功能單一整體防護(hù)能力不能滿(mǎn)足需求整體采購(gòu)成本較高第64頁(yè)/共79頁(yè)構(gòu)建聯(lián)動(dòng)、統(tǒng)一的動(dòng)態(tài)安全防護(hù)體系無(wú)論是“胖”防火墻的集成，還是“瘦”防火墻的聯(lián)動(dòng)，安全產(chǎn)品正在朝著體系化的結(jié)構(gòu)發(fā)展，所謂“胖瘦”不過(guò)是這種體系結(jié)構(gòu)的具體表現(xiàn)方式，“胖”將這種體系表現(xiàn)在一個(gè)產(chǎn)品中，而“瘦”將這種體系表現(xiàn)在一系列產(chǎn)品或是說(shuō)一個(gè)整體方案中。同時(shí)，不管哪種體系結(jié)構(gòu)，都必須通過(guò)安全管理中心來(lái)監(jiān)控、協(xié)調(diào)、管理網(wǎng)絡(luò)中的其他安全產(chǎn)品和網(wǎng)絡(luò)產(chǎn)品，構(gòu)建聯(lián)動(dòng)、統(tǒng)一的動(dòng)態(tài)安全防護(hù)體系。

第65頁(yè)/共79頁(yè)爭(zhēng)議防火墻的胖－瘦之爭(zhēng)防火墻的硬件架構(gòu)之爭(zhēng)第66頁(yè)/共79頁(yè)防火墻硬件架構(gòu)基于X86體系的通用CPU架構(gòu)基于網(wǎng)絡(luò)處理器的NPU架構(gòu)

基于專(zhuān)用處理芯片的ASIC架構(gòu)第67頁(yè)/共79頁(yè)基于X86架構(gòu)的防火墻X86架構(gòu)防火墻中，其CPU具有高靈活性、高擴(kuò)展性的特性；通用CPU具有體系化的指令集和系統(tǒng)結(jié)構(gòu)，容易支持復(fù)雜的運(yùn)算和開(kāi)發(fā)新的功能；基于X86架構(gòu)防火墻的處理速度和能力能夠很好的適應(yīng)各種百兆網(wǎng)絡(luò)環(huán)境和一般千兆網(wǎng)絡(luò)環(huán)境的需求；基于X86防火墻由于受CPU處理能力和PCI總線(xiàn)的制約，在更高的千兆環(huán)境下其性能和功能則日益不能滿(mǎn)足于需求；第68頁(yè)/共79頁(yè)硬件平臺(tái)技術(shù)分析-x86基于X86的平臺(tái)主要提供商Intel，AMDX86特點(diǎn)：軟件開(kāi)發(fā)比較靈活便于快速推出產(chǎn)品投資少發(fā)熱比較大受總線(xiàn)帶寬的限制難以滿(mǎn)足高速環(huán)境第69頁(yè)/共79頁(yè)硬件平臺(tái)技術(shù)分析-其他嵌入式基于其他嵌入的平臺(tái)包括PowerPC、ARM、MIPS……嵌入式特點(diǎn)：產(chǎn)品穩(wěn)定低功耗，低成本軟件比較靈活開(kāi)發(fā)環(huán)境需要投資受總線(xiàn)帶寬的限制第70頁(yè)/共79頁(yè)網(wǎng)絡(luò)處理器NPU則