《網絡安全設備原理與應用》 課件 07-下一代防火墻概述；08-下一代防火墻組網方案

下一代防火墻概述了解防火墻的定義及其發(fā)展歷程了解防火墻的發(fā)展歷程教學目標防火墻的定義防火墻發(fā)展歷程目錄防火墻的定義什么是防火墻？墻，始于防，忠于守。從古至今，墻予人以安全之意。防火墻的定義防火墻分類按物理特性劃分按性能劃分按防火墻結構劃分按防火墻技術劃分防火墻分類軟件防火墻硬件防火墻百兆級防火墻千兆級防火墻······單一主機防火墻路由集成防火墻分布式防火墻······包過濾防火墻應用代理防火墻狀態(tài)監(jiān)測防火墻······防火墻的定義防火墻的功能1.訪問控制2.地址轉換3.網絡環(huán)境支持4.帶寬管理功能7.高可用性6.用戶認證5.入侵檢測和攻擊防御防火墻的定義防火墻安全策略定義安全策略是按一定規(guī)則，控制設備對流量轉發(fā)以及對流量進行內容安全一體化檢測的策略。規(guī)則的本質是包過濾。主要應用對跨防火墻的網絡互訪進行控制對設備本身的訪問進行控制防火墻的定義防火墻安全策略作用根據定義的規(guī)則對經過防火墻的流量進行過濾篩選，再進行下一步操作。防火墻安全策略的原理入數據流出數據流

BBAABBBAAAA

AAAAAAPolicy0：允許APolicy1：拒絕B防火墻安全策略步驟1：入數據流經過防火墻步驟2：查找防火墻安全策略判斷是否允許下一步操作步驟３：防火墻根據定義的安全策略對數據包進行處理默認策略操作防火墻的定義安全策略分類域間安全策略域內安全策略接口包過濾Trust區(qū)域Untrust區(qū)域G0/0/0G0/0/1OutbountInbountTrust區(qū)域G0/0/0InbountOutbount防火墻的定義防火墻發(fā)展歷程目錄防火墻發(fā)展歷程防火墻發(fā)展進程防火墻發(fā)展歷程傳統(tǒng)防火墻（包過濾防火墻）——一個嚴格的規(guī)則表判斷信息數據包的源IP地址、目的IP地址、協(xié)議類型、源端口、目的端口（五元組）工作范圍網絡層、傳輸層（3-4層）和路由器的區(qū)別普通的路由器只檢查數據包的目標地址，并選擇一個達到目的地址的最佳路徑。防火墻除了要決定目的路徑以外還需要根據已經設定的規(guī)則進行判斷“是與否”。技術應用包過濾技術防火墻發(fā)展歷程傳統(tǒng)防火墻（包過濾防火墻）——一個嚴格的規(guī)則表優(yōu)勢對于小型站點容易實現，處理速度快，價格便宜劣勢規(guī)則表很快會變得龐大復雜難運維，只能基于五元組包過濾防火墻非信任網絡信任網絡匹配規(guī)則：①有允許規(guī)則：是；②有拒絕規(guī)則：否；③無相關規(guī)則：否；防火墻發(fā)展歷程傳統(tǒng)防火墻（應用代理防火墻）——每個應用添加代理判斷信息所有應用層的信息包工作范圍應用層（7層）和包過濾防火墻的區(qū)別包過濾防火墻工作基于3-4層，通過檢驗報頭進行規(guī)則表匹配。應用代理防火墻工作7層，檢查所有的應用層信息包，每個應用需要添加對應的代理服務。技術應用應用代理技術防火墻發(fā)展歷程傳統(tǒng)防火墻（應用代理防火墻）——每個應用添加代理優(yōu)勢檢查了應用層的數據劣勢檢測效率低，配置運維難度極高，可伸縮性差代理一：客戶端到防火墻代理一：防火墻到服務器只檢查數據客戶端服務器防火墻發(fā)展歷程傳統(tǒng)防火墻（狀態(tài)檢測防火墻）——首次檢查建立會話表判斷信息IP地址、端口號、TCP標記工作范圍數據鏈路層、網絡層、傳輸層（2-4層）和包過濾防火墻的區(qū)別包過濾防火墻工作基于3-4層，通過檢驗報頭進行規(guī)則表匹配。是包過濾防火墻的升級版，一次檢查建立會話表，后期直接按會話表放行。技術應用狀態(tài)檢測技術防火墻發(fā)展歷程傳統(tǒng)防火墻（狀態(tài)檢測防火墻）——首次檢查建立會話表優(yōu)勢主要檢查3-4層能夠保證效率，對TCP防御較好劣勢應用層控制較弱，不檢查數據區(qū)包過濾防火墻非信任網絡信任網絡防火墻發(fā)展歷程入侵檢測系統(tǒng)（IDS）——網絡攝像頭部署方式旁路部署，可多點部署工作范圍2-7層工作特點根據部署位置監(jiān)控到的流量進行攻擊事件監(jiān)控，屬于一個事后呈現的系統(tǒng)，相當于網絡上的監(jiān)控攝像頭目的傳統(tǒng)防火墻只能基于規(guī)則執(zhí)行“是”或“否”的策略，IDS主要是為了幫助管理員清晰的了解到網絡環(huán)境中發(fā)生了什么事情。防火墻發(fā)展歷程入侵檢測系統(tǒng)（IDS）——網絡攝像頭分析方式基于規(guī)則入侵檢測基于規(guī)則入侵檢測統(tǒng)計模型分析呈現防火墻非信任網絡信任網絡入侵檢測系統(tǒng)探測器分析器用戶接口防火墻發(fā)展歷程入侵防御系統(tǒng)（IPS）——抵御2-7層已知威脅部署方式串聯部署工作范圍2-7層工作特點根據已知的安全威脅生成對應的過濾器（規(guī)則），對于識別為流量的阻斷，對于未識別的放通目的IDS只能對網絡環(huán)境進行檢測，但卻無法進行防御，IPS主要是針對已知威脅進行防御防火墻發(fā)展歷程入侵防御系統(tǒng)（IPS）——抵御2-7層已知威脅入侵防御系統(tǒng)非信任網絡信任網絡防火墻發(fā)展歷程防病毒網關（AV）——基于網絡側識別病毒文件判斷信息數據包工作范圍2-7層目的防止病毒文件通過外網絡進入到內網環(huán)境數據包文件還原防病毒網關非信任網絡信任網絡防火墻發(fā)展歷程防病毒網關（AV）——基于網絡側識別病毒文件和防火墻的區(qū)別防火墻發(fā)展歷程Web應用防火墻（WAF）——專門用來保護web應用判斷信息http協(xié)議數據的request和response工作范圍應用層（7層）目的防止基于應用層的攻擊影響Web應用系統(tǒng)防火墻發(fā)展歷程Web應用防火墻（WAF）——專門用來保護web應用主要技術原理代理服務：會話雙向代理，用戶與服務器不產生直接鏈接，對于DDOS攻擊可以抑制特征識別：通過正則表達式的特征庫進行特征識別算法識別：針對攻擊方式進行模式化識別，如SQL注入、DDOS、XSS等Web應用防火墻非信任網絡服務器防火墻發(fā)展歷程統(tǒng)一威脅管理（UTM）——多合一安全網關包含功能FW、IDS、IPS、AV工作范圍2-7層（但是不具備web應用防護能力）目的將多種安全問題通過一臺設備解決優(yōu)點功能多合一有效降低了硬件成本、人力成本、時間成本缺點模塊串聯檢測效率低，性能消耗大防火墻發(fā)展歷程統(tǒng)一威脅管理（UTM）——多合一安全網關非信任網絡信任網絡UTM防火墻發(fā)展歷程下一代防火墻（NGFW）——升級版的UTM包含功能FW、IDS、IPS、AV、WAF工作范圍2-7層和UTM的區(qū)別與UTM相比增加的web應用防護功能UTM是串行處理機制，NGFW是并行處理機制NGFW的性能更強，管理更高效防火墻的定義防火墻發(fā)展歷程總結下一代防火墻組網方案了解下一代防火墻組網方案教學目標下一代防火墻組網簡介下一代防火墻組網方案策略路由解決方案目錄下一代防火墻組網方案路由模式組網需求背景客戶需求：現有的拓撲如下圖，使用AF替換現有防火墻部署在出口，實現對內網用戶和服務器安全防護。內網用戶服務器區(qū)下一代防火墻組網方案路由模式組網需求分析：部署前我們需要做哪些準備工作？了解現有防火墻設備的內外網接口配置內網網段如何規(guī)劃，需要寫回程路由內網服務器是否需要做端口映射是否需要做源地址轉換代理內網電腦上網內外網權限需要做哪些控制需要配置哪些安全防護策略滿足客戶需求現有拓撲是否完整下一代防火墻組網方案路由模式組網配置思路配置接口地址，并定義接口對應的區(qū)域：在【網絡】-【接口/區(qū)域】-【物理接口】中，選擇接口，并配置接口類型、所屬區(qū)域、基本屬性、IP地址配置路由：在【網絡】-【路由】中，新增靜態(tài)路由，配置默認路由和回程路由配置代理上網：在【策略】-【地址轉換】中，新增源地址轉換配置端口映射：在【策略】-【地址轉換】中，新增服務器映射配置應用控制策略，放通內網用戶上網權限：在【策略】-【訪問控制】-【應用控制策略】中，新增應用控制策略，放通內到外的數據訪問權限配置安全防護策略：如業(yè)務防護策略、用戶防護策略等下一代防火墻組網方案路由模式組網單臂路由模式單臂路由是指在路由器的一個接口上通過配置子接口（邏輯接口，并不存在真正物理接口）的方式，實現原來相互隔離的不同VLAN（虛擬局域網）之間的互聯互通vlan10vlan20trunkEth2.10(vlan10):/24Eth2.20(vlan20):/24下一代防火墻組網方案路由模式組網配置案例某用戶網絡是跨三層的環(huán)境，購買AF設備打算部署在公網出口，代理內網用戶上網，公網線路是光纖接入固定分配IP的，具體網絡拓撲如圖所示54/24/24/24/24/29/29下一代防火墻組網方案路由模式組網配置步驟1配置接口地址，并定義接口對應的區(qū)域：在【網絡】-【接口/區(qū)域】-【物理接口】中，分別選擇兩個接口作為內外網口，并配置接口類型、所屬區(qū)域、基本屬性、IP地址。下一代防火墻組網方案路由模式組網配置步驟2配置路由：在【網絡】-【路由】中，新增靜態(tài)路由，配置默認路由和回程路由。下一代防火墻組網方案路由模式組網配置步驟3配置代理上網：在【策略】-【地址轉換】中，新增NAT，配置源地址轉換。下一代防火墻組網方案路由模式組網配置步驟4配置應用控制策略，放通內網用戶上網權限：在【策略】-【訪問控制】-【應用控制策略】中，新增應用控制策略，放通內到外的數據訪問權限。下一代防火墻組網方案路由模式組網注意事項在路由模式部署時，防火墻位于內部網絡和外部網絡之間，負責在內部網絡、外部網絡中進行路由尋址，相當于路由器。其與內部網絡、外部網絡相連的上下行業(yè)務接口均工作在三層，需要分別配置不同網段的IP地址路由模式部署支持更多的安全特性，如NAT、策略路由選擇，動態(tài)路由協(xié)議（OSPF、BGP、RIP等）等需要修改原網絡拓撲，對現有環(huán)境改動較大一般部署在需要進行路由轉發(fā)的位置，如出口路由器或替換已有路由器、老防火墻等場景下一代防火墻組網方案透明模式組網需求背景客戶需求：現有的拓撲如下圖，需要增加一臺AF設備做安全防護，但不能改動現有網絡環(huán)境內網用戶服務器區(qū)下一代防火墻組網方案透明模式組網需求分析：部署前我們需要做哪些準備工作？內外網接口定義管理地址配置，是否需要帶外管理，還是通過VLANIP管理配置路由，一般缺省路由用作防火墻上網，回程路由用作防火墻管理內外網權限需要做哪些控制需要配置哪些安全防護策略滿足客戶需求下一代防火墻組網方案透明模式組網配置思路配置接口類型，并定義接口對應的區(qū)域：在【網絡】-【接口】-【物理接口】中，選擇接口，并配置接口類型、所屬區(qū)域、基本屬性如所屬access或者trunk配置管理接口：在【網絡】-【接口】中，新增管理接口，或者配置vlan接口的邏輯接口做為管理接口，并分配管理地址配置路由：在【網絡】-【路由】中，新增缺省路由和回程路由配置應用控制策略，對不同區(qū)域間的訪問權限進行控制：在【策略】-【訪問控制】-【應用控制策略】中，新增應用控制策略，進行訪問權限控制配置安全防護策略：如：業(yè)務防護策略、用戶防護策略等下一代防火墻組網方案透明模式組網虛擬網線部署：虛擬網線部署是透明部署中另外一種特殊情況，和正常透明部署有如下區(qū)別和透明部署一樣，接口也是二層接口，但是被定義成虛擬網線接口虛擬網絡接口必須成對存在，轉發(fā)數據時，無需檢查MAC表，直接從虛擬網線配對的接口轉發(fā)虛擬網線接口的轉發(fā)性能高于透明接口，一般的網橋環(huán)境下，推薦使用虛擬網線接口部署虛擬網線部署需要通過其他路由口進行管理下一代防火墻組網方案透明模式組網配置案例某用戶網絡是跨三層的環(huán)境，有路由器部署在公網出口，現購買AF設備，不能改動原有環(huán)境，需做透明部署進去，具體網絡拓撲如下圖所示/24/24/24/2454/24下一代防火墻組網方案透明模式組網配置步驟1配置接口類型，并定義接口對應的區(qū)域：在【網絡】-【接口/區(qū)域】-【物理接口】中，分別選擇兩個接口做上下聯接口，并配置接口類型、所屬區(qū)域、基本屬性access（如在trunk環(huán)境需選擇trunk口）。下一代防火墻組網方案透明模式組網配置步驟2配置管理接口：在【網絡】-【接口】-【VLAN接口】中，配置vlan接口的邏輯接口做為管理接口，并分