Eudemon_系列防火墙基础知识
合集下载
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
经过防火墙保护的网络之间的通信必须都经过防火墙。 只有经过各种配置的策略验证过的合法数据包才可以通过防火墙。 防火墙本身必须具有很强的抗攻击、渗透能力。 防火墙可以保护内部网络的安全,可以使受保护的网络避免遭到外部网络的攻
击。硬件防火墙应该可以支持若干个网络接口,这些接口都是LAN接口(如 Ethernet、Token Ring、FDDI),这些接口用来连接几个网络。在这些网络 中进行的连接都必须经过硬件防火墙,防火墙来控制这些连接,对连接进行验 证、过滤。
由于创建了一个临时规则,因此访问可以通过 SYN
192.168.0.1:22787(打开数据通道)
FTP Client 192.168.0.1
状态检测防火墙
FTP 主动模式
FTP Server 19.49.10.10
在状态防火墙中对于多通道协议(例如FTP)还需要深入检测该协议的 控制通道信息,并根据该信息动态创建ASPF的servmap表项保证多通道 协议应用的正常
IP 报头
TCP/UDP 报头
数据
协议号 源地址 目的地址
源端口 目的端口
访问控制列表由这5个元 素来组成定义的规则
包过滤技术介绍
对路由器需要转发的数据包,先获取包头信息,然后和设定的 规则进行比较,根据比较的结果对数据包进行转发或者丢弃。
实现包过滤的核心技术是访问控制列表ACL。
内部网络
R
从192.110.10.0/24 来的数据包能通过
防火墙基本概念——安全区域(Zone)
域(Zone)
域是防火墙上引入的一个重要的逻辑概念;通过将接口加入域并在安全区域之间启动安 全检查(称为安全策略),从而对流经不同安全区域的信息流进行安全过滤。常用的安全 检查主要包括基于ACL和应用层状态的检查
DMZ区域
接口2
Untrust区域
接口1
Local区域
此类防火墙安全性较高,但是开发代价很大。对每一种应用开发都需要一个 对应的代理服务,因此代理型防火墙不能支持很丰富的业务,只能针对某些 应用提供代理支持;
代理型防火墙很难组成双机热备的组网,因为状态无法保持同步;
WWW、FTP、 Email……代理
发送请求
转发请求
客户机
转发响应
请求响应
服务器
安全策略、审计 监控、报警
在状态防火墙中会动态维护着一个Session表项,通过Session表项来检 测基于TCP/UDP连接的连接状态,动态地判断报文是否可以通过,从而 决定哪些连接是合法访问,哪些是非法访问。
状态检测防火墙工作原理(多通道协议)
创建一个临时规则表:允许19.49.10.10可以访问 192.168.0.1:22787
防火墙的关键技术
防火墙的关键技术
包过滤技术 代理技术 状态检测技术 网络地址翻译 NAT 虚拟专用网 VPN 应用协议特定的包过滤技术ASPF 双机热备技术 QOS技术 应用层流控技术包括P2P限流 防攻击技术,DPI技术
包过滤防火墙(Packet Filtering)
包过滤防火墙(Packet Filtering)
Server
DMZ 区域 LAN
接口2
Trust 区域
Internet
包过滤防火墙简单,但是缺乏灵活性。另外包过滤防火墙每包需要都进行策略检查,策 略过多会导致性能急剧下降。 ➢ 代理型防火墙(application gateway) 代理型防火墙使得防火墙做为一个访问的中间节点,对Client来说防火墙是一个Server, 对Server来说防火墙是一个Client。代理型防火墙安全性较高,但是开发代价很大。对每 一种应用开发一个对应的代理服务是很难做到的,因此代理型防火墙不能支持很丰富的业 务,只能针对某些应用提供代理支持。 ➢ 状态检测防火墙 状态检测是一种高级通信过滤。它检查应用层协议信息并且监控基于连接的应用层协议状 态。对于所有连接,每一个连接状态信息都将被ASPF维护并用于动态地决定数据包是否 被允许通过防火墙或丢弃。 现在防火墙的主流产品为状态检测防火墙。
由于防火墙的连接是根据当前通信双方状态而动态建立的。每个会话在数据交换 之前,在防火墙上都必须建立连接。如果防火墙建立连接速率较慢,在客户端反映是 每次通信有较大延迟。因此支持的指标越大,转发速率越高。在受到攻击时,这个指 标越大,抗攻击能力越强。这个指标越大,状态备份能力越强。 3、并发连接数目:是指的可以同时容纳的最大的连接数目。
速
速速速
接
接接接
口
口口口
2G PCI共享数据总线
2G D_bus交换总线
全模块化、基于NP硬件集中式转发,大部分防火墙功能都是在NP处理。 4个DMU接口,1个用于连接CPU,因此有3个高速插卡。 低速插卡的业务需要从NP到CPU处理,因此性能很低。 业务运行的时候,优先使用高速接口。低速接口尽量不要使用。 接口板自带的2个FE接口,位于CPU的PCI总线上,因此不能跑业务。 所有上送CPU处理的业务都会变的性能很低。例如:IPSEC、NAT ALG等。
宽松控制策略:除非明确禁止,否则允许。 限制控制策略:除非明确允许,否则禁止。
防火墙的特性:
内部和外部之间的所有网络数据流必须经过防火墙 只有被安全政策允许的数据包才能通过防火墙 防火墙本身要具有很强的抗攻击、渗透能力
防火墙的简单定义
简单的说,防火墙是保护一个网络免受“不信任”的网络的攻击,但是同时还 必须允许两个网络之间可以进行合法的通信。防火墙应该具有如下基本特征:
状态检测防火墙
状态检测防火墙 状态检测是一种高级通信过滤。它检查应用层协议信息 并且监控基于连接的应用层协议状态。对于所有连接, 每一个连接状态信息都将被ASPF维护并用于动态地决 定数据包是否被允许通过防火墙或丢弃。 状态检测技术在网络层实现所有需要的防火墙能力,它 既有包过滤机制的速度和灵活,也有代理型防火墙安全 的优点。
由于防火墙是针对连接进行处理报文的,并发连接数目是指的防火墙可以同时容 纳的最大的连接数目,一个连接就是一个TCP/UDP的访问。
Eudemon 200:高效可靠的体系结构 双总线
➢双通道设计 ➢总线冲突减少,总带宽提升 ➢双通道收发互不影响
PCI-0
接口卡1
CPU
P C
高 速 内
P C
I部 I
0交 1
并且存在应用限制; 防火墙本身可能会存在性能瓶颈,如抗攻击能力,会话数限制等;
防火墙技术发展介绍-防火墙的分类
按照防火墙实现的方式,一般把防火墙分为如下几类: ➢ 包过滤防火墙(Packet Filtering)
包过滤利用定义的特定规则过滤数据包,防火墙直接获得数据包的IP源地址、目的地址、 TCP/ UDP的源端口、和TCP/UDP的目的端口。利用以上的部分或者全部的信息按照规则 进行比较,过滤通过防火墙的数据包。规则的定义就是按照IP数据包的特点定义的,可以 充分利用上述的四个条件定义通过防火墙数据包的条件。
three way handshake PORT 192,168,0,1,89,3 200 Port command OK RETR sample.txt 150 Opening ASCII connection
three way handshake PORT 192,168,0,1,89,3
200 Port command OK RETR sample.txt 150 Opening ASCII connection
采用状态检测技术的防火墙产品是现在的主流
状态检测防火墙工作原理(单通道协议)
用户A
①用户A初始化一个 Telnet 会话 ②防火墙创建 Session表项 保护网络
其他的Telnet报文被阻塞不能通过
其他用户
外部网络
用户A的Telnet会话返回报文可以通过
③防火墙匹配Session表项报文
目标服务器
什么叫防火墙?
防火墙(Fire Wall):简单的说,网络安全的第一道防线,是位于两个 信任程度不同的网络之间(如企业内部网络和Internet之间)的设备, 它对两个网络之间的通信进行控制,通过强制实施统一的安全策略, 防止对重要信息资源的非法存取和访问以达到保护系统安全的目的。
防火墙 = 硬件 + 软件 + 控制策略
公司总部
ACL 规则
Internet
从202.110.10.0/24来 的数据包不能通过
办事处 未授权用户
代理型防火墙(Application Gateway)
代理型防火墙(application gateway)
代理型防火墙使得防火墙做为一个访问的中间节点,对Client来说防火墙是 一个Server,对Server来说防火墙是一个Client,转发性能低;
内容 过滤
用户认证
VPN
应用程序代理
IDS与 报警
包过滤&状态检测 NAT
日志
防火墙的基本功能模块
防火墙的局限性
防火墙不是解决所有网络安全问题的万能药方,只是网络安全政策 和策略中的一个组成部分。
防外不防内(内网用户和内外串通); 不能防备全部的威胁,特别是新产生的威胁; 在提供深度检测功能以及防火墙处理转发性能上需要平衡; 当使用端-端加密时,即有加密隧道穿越防火墙的时候不能处理; 目前的防火墙,在网络层可靠性组网中解决单点故障的组网不够灵活
Trust区域
接口3
防火墙的内部划分为多个区域,所有的转发接口都唯一的属于某个区域
防火墙基本概念——安全区域(Zone)续
Eudemon防火墙上预定义了4个安全区域:本地区域Local(指防火 墙 本 身 ) 、 受 信 区 域 Trust 、 非 军 事 化 区 域 DMZ ( Demilitarized Zone)、非受信区域Untrust,用户可以根据需要自行添加新的安 全区域
换
PCI-1
接口卡2
纯CPU结构,双总线设计。 主控板自带的2个接口,独占一个PCI总线,性能较高。 接口卡由于82559芯片问题性能较低。
Eudemon 500/1000 :基于NP逻辑结构
Eudemon 500/1000:基于NP的集中式多业务路由器
CPU Logic
NP
高速交换转 发
低
高高高
监控和审计网络的存取和访问:过滤进出网络的数据,管理进出网络的访问行为,封堵 某些禁止的业务,记录通过防火墙的信息内容和活动,对网络攻击进行检测和告警。
部署于网络边界,兼备提供网络地址翻译(NAT)、虚拟专用网(VPN)等功能 防病毒、入侵检测、认证、加密、远程管理、代理 …… 深度检测对某些协议进行相关控制 攻击防范,扫描检测等
此类防火墙布放在网络中的适当位置,利用数据包的五元组的部分或者全部的 信息,按照定义的规则ACL对通过的数据包进行过滤。这是一种基于网络层的 安全技术,对于应用层的黑客行为无能为力。
包过滤防火墙简单,但是缺乏灵活性;包过滤防火墙每包需要都进行策略检查, 策略过多会导致性能急剧下降;
包过滤防火墙对于任何应用需要配置双方向的ACL规则,不能提供差异性保护
连接受信网 络区域
连接不受信 网络区域
在连接受信网络区域和非受信网络区域之间 的区域,一般称为DMZ。
门 防火墙
防火墙在安全体系中的位置
监视器 入侵检测系统
加固的房间 系统加固、免疫
安全传输 加密、VPN
监控室 安全管理中心
门禁系统 身份认证、访问控制
保安员 扫描器、漏洞查找
防火墙的功能
防火墙能提供的功能
防火墙主要规格介绍-性能衡量指标
1、吞吐量:是指防火墙对报文的处理能力。 业界一般都是使用1K~1.5Kbyte的大包来衡量防火墙对报文的处理能力。但网络
流量大部分是200Byte字节报文,因此需要考察防火墙小包下转发性能。同时由于防 火墙需要配置规则,因此还需要考察防火墙支持ACL下的转发性能。 2、每秒建立连接速度:指的是每秒钟可以通过防火墙建立起来的完整TCP连接。
Eudemon 系列防火墙用服培训
基础知识部分
引入
随着Internet的日益普及,开放式的网络带来了许 多不安全的隐患。在开放网络式的网络上,我们 的周围存在着许多不能信任的计算机(包括在一 个LAN之间),这种这些计算机对我们私有的一 些敏感信息造成了很大的威胁。
在大厦的构造中,防火墙被设计用来防止火灾从 大厦的一部分传播到大厦的另一部分。我们所涉 及的“防火墙”具有类似的目的:“防止Internet 的危险传播到你的内部网络”。
击。硬件防火墙应该可以支持若干个网络接口,这些接口都是LAN接口(如 Ethernet、Token Ring、FDDI),这些接口用来连接几个网络。在这些网络 中进行的连接都必须经过硬件防火墙,防火墙来控制这些连接,对连接进行验 证、过滤。
由于创建了一个临时规则,因此访问可以通过 SYN
192.168.0.1:22787(打开数据通道)
FTP Client 192.168.0.1
状态检测防火墙
FTP 主动模式
FTP Server 19.49.10.10
在状态防火墙中对于多通道协议(例如FTP)还需要深入检测该协议的 控制通道信息,并根据该信息动态创建ASPF的servmap表项保证多通道 协议应用的正常
IP 报头
TCP/UDP 报头
数据
协议号 源地址 目的地址
源端口 目的端口
访问控制列表由这5个元 素来组成定义的规则
包过滤技术介绍
对路由器需要转发的数据包,先获取包头信息,然后和设定的 规则进行比较,根据比较的结果对数据包进行转发或者丢弃。
实现包过滤的核心技术是访问控制列表ACL。
内部网络
R
从192.110.10.0/24 来的数据包能通过
防火墙基本概念——安全区域(Zone)
域(Zone)
域是防火墙上引入的一个重要的逻辑概念;通过将接口加入域并在安全区域之间启动安 全检查(称为安全策略),从而对流经不同安全区域的信息流进行安全过滤。常用的安全 检查主要包括基于ACL和应用层状态的检查
DMZ区域
接口2
Untrust区域
接口1
Local区域
此类防火墙安全性较高,但是开发代价很大。对每一种应用开发都需要一个 对应的代理服务,因此代理型防火墙不能支持很丰富的业务,只能针对某些 应用提供代理支持;
代理型防火墙很难组成双机热备的组网,因为状态无法保持同步;
WWW、FTP、 Email……代理
发送请求
转发请求
客户机
转发响应
请求响应
服务器
安全策略、审计 监控、报警
在状态防火墙中会动态维护着一个Session表项,通过Session表项来检 测基于TCP/UDP连接的连接状态,动态地判断报文是否可以通过,从而 决定哪些连接是合法访问,哪些是非法访问。
状态检测防火墙工作原理(多通道协议)
创建一个临时规则表:允许19.49.10.10可以访问 192.168.0.1:22787
防火墙的关键技术
防火墙的关键技术
包过滤技术 代理技术 状态检测技术 网络地址翻译 NAT 虚拟专用网 VPN 应用协议特定的包过滤技术ASPF 双机热备技术 QOS技术 应用层流控技术包括P2P限流 防攻击技术,DPI技术
包过滤防火墙(Packet Filtering)
包过滤防火墙(Packet Filtering)
Server
DMZ 区域 LAN
接口2
Trust 区域
Internet
包过滤防火墙简单,但是缺乏灵活性。另外包过滤防火墙每包需要都进行策略检查,策 略过多会导致性能急剧下降。 ➢ 代理型防火墙(application gateway) 代理型防火墙使得防火墙做为一个访问的中间节点,对Client来说防火墙是一个Server, 对Server来说防火墙是一个Client。代理型防火墙安全性较高,但是开发代价很大。对每 一种应用开发一个对应的代理服务是很难做到的,因此代理型防火墙不能支持很丰富的业 务,只能针对某些应用提供代理支持。 ➢ 状态检测防火墙 状态检测是一种高级通信过滤。它检查应用层协议信息并且监控基于连接的应用层协议状 态。对于所有连接,每一个连接状态信息都将被ASPF维护并用于动态地决定数据包是否 被允许通过防火墙或丢弃。 现在防火墙的主流产品为状态检测防火墙。
由于防火墙的连接是根据当前通信双方状态而动态建立的。每个会话在数据交换 之前,在防火墙上都必须建立连接。如果防火墙建立连接速率较慢,在客户端反映是 每次通信有较大延迟。因此支持的指标越大,转发速率越高。在受到攻击时,这个指 标越大,抗攻击能力越强。这个指标越大,状态备份能力越强。 3、并发连接数目:是指的可以同时容纳的最大的连接数目。
速
速速速
接
接接接
口
口口口
2G PCI共享数据总线
2G D_bus交换总线
全模块化、基于NP硬件集中式转发,大部分防火墙功能都是在NP处理。 4个DMU接口,1个用于连接CPU,因此有3个高速插卡。 低速插卡的业务需要从NP到CPU处理,因此性能很低。 业务运行的时候,优先使用高速接口。低速接口尽量不要使用。 接口板自带的2个FE接口,位于CPU的PCI总线上,因此不能跑业务。 所有上送CPU处理的业务都会变的性能很低。例如:IPSEC、NAT ALG等。
宽松控制策略:除非明确禁止,否则允许。 限制控制策略:除非明确允许,否则禁止。
防火墙的特性:
内部和外部之间的所有网络数据流必须经过防火墙 只有被安全政策允许的数据包才能通过防火墙 防火墙本身要具有很强的抗攻击、渗透能力
防火墙的简单定义
简单的说,防火墙是保护一个网络免受“不信任”的网络的攻击,但是同时还 必须允许两个网络之间可以进行合法的通信。防火墙应该具有如下基本特征:
状态检测防火墙
状态检测防火墙 状态检测是一种高级通信过滤。它检查应用层协议信息 并且监控基于连接的应用层协议状态。对于所有连接, 每一个连接状态信息都将被ASPF维护并用于动态地决 定数据包是否被允许通过防火墙或丢弃。 状态检测技术在网络层实现所有需要的防火墙能力,它 既有包过滤机制的速度和灵活,也有代理型防火墙安全 的优点。
由于防火墙是针对连接进行处理报文的,并发连接数目是指的防火墙可以同时容 纳的最大的连接数目,一个连接就是一个TCP/UDP的访问。
Eudemon 200:高效可靠的体系结构 双总线
➢双通道设计 ➢总线冲突减少,总带宽提升 ➢双通道收发互不影响
PCI-0
接口卡1
CPU
P C
高 速 内
P C
I部 I
0交 1
并且存在应用限制; 防火墙本身可能会存在性能瓶颈,如抗攻击能力,会话数限制等;
防火墙技术发展介绍-防火墙的分类
按照防火墙实现的方式,一般把防火墙分为如下几类: ➢ 包过滤防火墙(Packet Filtering)
包过滤利用定义的特定规则过滤数据包,防火墙直接获得数据包的IP源地址、目的地址、 TCP/ UDP的源端口、和TCP/UDP的目的端口。利用以上的部分或者全部的信息按照规则 进行比较,过滤通过防火墙的数据包。规则的定义就是按照IP数据包的特点定义的,可以 充分利用上述的四个条件定义通过防火墙数据包的条件。
three way handshake PORT 192,168,0,1,89,3 200 Port command OK RETR sample.txt 150 Opening ASCII connection
three way handshake PORT 192,168,0,1,89,3
200 Port command OK RETR sample.txt 150 Opening ASCII connection
采用状态检测技术的防火墙产品是现在的主流
状态检测防火墙工作原理(单通道协议)
用户A
①用户A初始化一个 Telnet 会话 ②防火墙创建 Session表项 保护网络
其他的Telnet报文被阻塞不能通过
其他用户
外部网络
用户A的Telnet会话返回报文可以通过
③防火墙匹配Session表项报文
目标服务器
什么叫防火墙?
防火墙(Fire Wall):简单的说,网络安全的第一道防线,是位于两个 信任程度不同的网络之间(如企业内部网络和Internet之间)的设备, 它对两个网络之间的通信进行控制,通过强制实施统一的安全策略, 防止对重要信息资源的非法存取和访问以达到保护系统安全的目的。
防火墙 = 硬件 + 软件 + 控制策略
公司总部
ACL 规则
Internet
从202.110.10.0/24来 的数据包不能通过
办事处 未授权用户
代理型防火墙(Application Gateway)
代理型防火墙(application gateway)
代理型防火墙使得防火墙做为一个访问的中间节点,对Client来说防火墙是 一个Server,对Server来说防火墙是一个Client,转发性能低;
内容 过滤
用户认证
VPN
应用程序代理
IDS与 报警
包过滤&状态检测 NAT
日志
防火墙的基本功能模块
防火墙的局限性
防火墙不是解决所有网络安全问题的万能药方,只是网络安全政策 和策略中的一个组成部分。
防外不防内(内网用户和内外串通); 不能防备全部的威胁,特别是新产生的威胁; 在提供深度检测功能以及防火墙处理转发性能上需要平衡; 当使用端-端加密时,即有加密隧道穿越防火墙的时候不能处理; 目前的防火墙,在网络层可靠性组网中解决单点故障的组网不够灵活
Trust区域
接口3
防火墙的内部划分为多个区域,所有的转发接口都唯一的属于某个区域
防火墙基本概念——安全区域(Zone)续
Eudemon防火墙上预定义了4个安全区域:本地区域Local(指防火 墙 本 身 ) 、 受 信 区 域 Trust 、 非 军 事 化 区 域 DMZ ( Demilitarized Zone)、非受信区域Untrust,用户可以根据需要自行添加新的安 全区域
换
PCI-1
接口卡2
纯CPU结构,双总线设计。 主控板自带的2个接口,独占一个PCI总线,性能较高。 接口卡由于82559芯片问题性能较低。
Eudemon 500/1000 :基于NP逻辑结构
Eudemon 500/1000:基于NP的集中式多业务路由器
CPU Logic
NP
高速交换转 发
低
高高高
监控和审计网络的存取和访问:过滤进出网络的数据,管理进出网络的访问行为,封堵 某些禁止的业务,记录通过防火墙的信息内容和活动,对网络攻击进行检测和告警。
部署于网络边界,兼备提供网络地址翻译(NAT)、虚拟专用网(VPN)等功能 防病毒、入侵检测、认证、加密、远程管理、代理 …… 深度检测对某些协议进行相关控制 攻击防范,扫描检测等
此类防火墙布放在网络中的适当位置,利用数据包的五元组的部分或者全部的 信息,按照定义的规则ACL对通过的数据包进行过滤。这是一种基于网络层的 安全技术,对于应用层的黑客行为无能为力。
包过滤防火墙简单,但是缺乏灵活性;包过滤防火墙每包需要都进行策略检查, 策略过多会导致性能急剧下降;
包过滤防火墙对于任何应用需要配置双方向的ACL规则,不能提供差异性保护
连接受信网 络区域
连接不受信 网络区域
在连接受信网络区域和非受信网络区域之间 的区域,一般称为DMZ。
门 防火墙
防火墙在安全体系中的位置
监视器 入侵检测系统
加固的房间 系统加固、免疫
安全传输 加密、VPN
监控室 安全管理中心
门禁系统 身份认证、访问控制
保安员 扫描器、漏洞查找
防火墙的功能
防火墙能提供的功能
防火墙主要规格介绍-性能衡量指标
1、吞吐量:是指防火墙对报文的处理能力。 业界一般都是使用1K~1.5Kbyte的大包来衡量防火墙对报文的处理能力。但网络
流量大部分是200Byte字节报文,因此需要考察防火墙小包下转发性能。同时由于防 火墙需要配置规则,因此还需要考察防火墙支持ACL下的转发性能。 2、每秒建立连接速度:指的是每秒钟可以通过防火墙建立起来的完整TCP连接。
Eudemon 系列防火墙用服培训
基础知识部分
引入
随着Internet的日益普及,开放式的网络带来了许 多不安全的隐患。在开放网络式的网络上,我们 的周围存在着许多不能信任的计算机(包括在一 个LAN之间),这种这些计算机对我们私有的一 些敏感信息造成了很大的威胁。
在大厦的构造中,防火墙被设计用来防止火灾从 大厦的一部分传播到大厦的另一部分。我们所涉 及的“防火墙”具有类似的目的:“防止Internet 的危险传播到你的内部网络”。