防火墙综合知识培训

防火墙的关键技术


防火墙基础知识
状态检测防火墙(Stateful-inspection)
状态检测是一种高级通信过滤。它检查应用层协议信息并且监控
基于连接的应用层协议状态。对于所有连接，每一个连接状态信 息都将被ASPF维护并用于动态地决定数据包是否被允许通过防
火墙或丢弃。

状态检测技术在网络层实现所有需要的防火墙能力，它既有包过 滤机制的速度和灵活，也有代理型防火墙安全的优点。
DMZ Server LAN 区域
接口2
Trust
区域
Untrust Internet
区域
Local 区域 LAN
PC
wk.baidu.com
PC 接口 1 接口3
外部网络
内部网络
根据防火墙的内部划分的安全区域关系，确定其所连接网络的安全区域
防火墙的关键术语
防火墙基础知识
域间（InterZone）： 防火墙在引入域概念的同时也引入了域间概念；任何不同 的安全域之间形成域间关系，防火墙上大部分规则都是配置 在域间上，为了便于描述同时引入了域间方向的概念： inbound ： 报文从低优先级区域进入高优先级区域为入方向； outbound ： 报文从高优先级区域进入低优先级区域为出方向 ；
R
从192.110.10.0/24 来的数据包能通过
Internet Internet
办事
ACL 规则
从202.110.10.0/24来 的数据包不能通过
公司总部
未授权用户
防火墙的关键技术


防火墙基础知识
代理型防火墙（application gateway）
代理型防火墙使得防火墙做为一个访问的中间节点，对Client来说防火 墙是一个Server，对Server来说防火墙是一个Client，转发性能低； 此类防火墙安全性较高，但是开发代价很大。对每一种应用开发都需要 一个对应的代理服务，因此代理型防火墙不能支持很丰富的业务，只能 针对某些应用提供代理支持； 代理型防火墙很难组成双机热备的组网，因为状态无法保持同步；
防火墙基础知识
经过防火墙保护的网络之间的通信必须都经过防火墙。 只有经过各种配置的策略验证过的合法数据包才可以通过防火墙。 防火墙本身必须具有很强的抗攻击、渗透能力。 防火墙可以保护内部网络的安全，可以使受保护的网络避免遭到外部网络 的攻击。硬件防火墙应该可以支持若干个网络接口，这些接口都是LAN接口（如 Ethernet、Token Ring、FDDI），这些接口用来连接几个网络。 在这些网络中进行的连接都必须经过硬件防火墙，防火墙来控制这些连接， 对连接进行验证、过滤。
防火墙基础知识
防火墙 = 硬件 + 软件 + 控制策略 宽松控制策略：除非明确禁止，否则允许。 限制控制策略：除非明确允许，否则禁止。 防火墙的特性： 内部和外部之间的所有网络数据流必须经过防火墙 只有被安全政策允许的数据包才能通过防火墙 防火墙本身要具有很强的抗攻击、渗透能力
什么叫防火墙
防火墙的基本特征：
保护，是避免IP地址假冒攻击的一种方式。

MAC和IP地址绑定功能一般应用在与二层交换机直接相连的 时候，可以防止假冒IP地址攻击，ARP Flood攻击，DHCP Flood攻击等，还可以应用于用户认证
防火墙的关键术语
防火墙基础知识
NAT（Network Address Translation，地址转换）是将IP数据报报
头中的IP地址转换为另一个IP地址的过程
数据报1： 源：192.168.1.3 目的：202.120.10.2 数据报1： 源：202.169.10.1 目的：202.120.10.2 Server 202.120.10.2
内容 过滤
用户认证
VPN
应用程序代理
包过滤&状态检测
IDS与 报警
NAT
日志
防火墙的基本功能模块
防火墙的局限性

防火墙基础知识
防火墙不是解决所有网络安全问题的万能药方，只是网络安全 政策和策略中的一个组成部分。

防外不防内（内网用户和内外串通）； 不能防备全部的威胁，特别是新产生的威胁； 在提供深度检测功能以及防火墙处理转发性能上需要平衡； 当使用端-端加密时，即有加密隧道穿越防火墙的时候不能处理；
IP 报头 TCP/UDP 报头 数据


协议号 源地址 目的地址
源端口 目的端口
访问控制列表由这5个元 素来组成定义的规则
防火墙的关键技术

防火墙基础知识
对路由器需要转发的数据包，先获取包头信息，然后和设定的规则进行比较，
根据比较的结果对数据包进行转发或者丢弃。

实现包过滤的核心技术是访问控制列表ACL。
Trust区域
防火墙的内部划分为多个区域，所有的转发接口都唯一的属于某个区域
防火墙的关键术语
防火墙基础知识
一般 防火墙上预定义了4个安全区域：本地区域Local（指防 火墙本身）、受信区域Trust、非军事化区域DMZ（Demilitarized Zone）、非受信区域Untrust，用户可以根据需要自行添加新的安全 区域
采用状态检测技术的防火墙产品是现在的主流
防火墙的关键技术
防火墙基础知识
状态检测防火墙工作原理(单通道协议)
在状态防火墙中会动态维护着一个Session表项，通过Session 表项来检测基于TCP/UDP连接的连接状态，动态地判断报文是否 可以通过，从而决定哪些连接是合法访问，哪些是非法访问。
防火墙的关键术语

目前的防火墙，在网络层可靠性组网中解决单点故障的组网不够灵活并
且存在应用限制； 防火墙本身可能会存在性能瓶颈，如抗攻击能力，会话数限制等；

防火墙的分类
防火墙基础知识
按照防火墙实现的方式，一般把防火墙分为如下几类： 包过滤防火墙(Packet Filtering) 包过滤利用定义的特定规则过滤数据包，防火墙直接获得数据包的IP源地 址、目的地址、TCP/ UDP的源端口、和TCP/UDP的目的端口。利用以上的 部分或者全部的信息按照规则进行比较，过滤通过防火墙的数据包。规则 的定义就是按照IP数据包的特点定义的，可以充分利用上述的四个条件定义 通过防火墙数据包的条件。 包过滤防火墙简单，但是缺乏灵活性。另外包过滤防火墙每包需要都进行 策略检查，策略过多会导致性能急剧下降。 代理型防火墙（application gateway） 代理型防火墙使得防火墙做为一个访问的中间节点，对Client来说防火墙是 一个Server，对Server来说防火墙是一个Client。代理型防火墙安全性较高， 但是开发代价很大。对每一种应用开发一个对应的代理服务是很难做到的， 因此代理型防火墙不能支持很丰富的业务，只能针对某些应用提供代理支 持。 状态检测防火墙 状态检测是一种高级通信过滤。它检查应用层协议信息并且监控基于连接 的应用层协议状态。对于所有连接，每一个连接状态信息都将被ASPF维护 并用于动态地决定数据包是否被允许通过防火墙或丢弃。
反之则不能够；防火墙通过会话表还能提供许多新的功能，如加速
转发，基于流的等价路由，应用层流控等。
用户A初始化一个telnet会话 其它telnet报文被阻塞
创建Session表项
用户A的telnet会话返回报文被允许
防火墙的关键术语
多通道协议
防火墙基础知识
是指某个应用在进行通讯或提供服务时需要建立两个以上的会话
（通道），其中有一个控制通道，其他的通道是根据控制通道中双
方协商的信息动态创建的，一般我们称之为数据通道或子通道；多 通道协议在防火墙应用以及NAT设备的应用中需要特殊处理，因为 数据通道的端口是不固定的（协商出来的）其报文方向也是不固定 的 多通道协议的典型应用 这种典型应用有很多，最典型的是ftp，其他的一般都如很音频和视 频通讯有关如：H.323（包括T.120、RAS、Q.931和H.245等）、SIP、 MGCP，此外许多实时聊天通讯软件也是多通道协议的，如MSN， QQ，ICQ等.
PC 192.168.1.3
Eudemon Trust Untrust Eth0/0/0 Eth0/0/0 202.169.10.1 192.168.1.1
Internet
Server 192.168.1.2
数据报2： 源：202.120.10.2 目的：192.168.1.3
数据报2： 源：202.120.10.2 目的：202.169.10.1 PC 202.130.10.3


说明： 安全策略只能应用在安全区域之间（即配置在域间），从而 对分属不同安全区域的接口之间的信息流根据配置的安全策 略进行安全检查。 一个安全域间的某个方向上只能配置一条域间包过滤规则。
防火墙的关键术语
会话（Session）
防火墙基础知识
会话是状态防火墙的基础，每一个通过防火墙的会话都会在防火墙 上建立一个会话表项，以五元组（源目的IP地址、源目的端口、协 议号）为Key值；通过建立动态的会话表来可以提供高优先级域更 高的安全性，即如下图所示高优先级域可以主动访问低优先级域，
什么叫防火墙
防火墙基础知识
防火墙(Fire Wall)：简单的说，网络安全的第一道防线，
是位于两个信任程度不同的网络之间（如企业内部网络和 Internet之间）的设备，它对两个网络之间的通信进行控制，通
过强制实施统一的安全策略，防止对重要信息资源的非法存取
和访问以达到保护系统安全的目的。
什么叫防火墙
防火墙综合知识培训
快速入门防火墙技术保障
防火墙基础知识 防火墙网络部署 防火墙配置要点
工程师
赵**
引言
防火墙基础知识
开放式的网络带来了许多不安全的隐患。在开放网络式的网 络上，我们周围存在着许多不能信任的计算机（包括在一个LAN之 间），这种这些计算机对我们私有的一些敏感信息造成了很大的威 胁。 在大厦的构造中，防火墙被设计用来防止火灾从大厦的一部 分传播到大厦的另一部分。我们所涉及的“防火墙”具有类似的目 的：“防止外部的危险传播到你的内部网络”。
防火墙的关键技术


防火墙基础知识
防火墙的关键技术


包过滤技术 代理技术 状态检测技术 网络地址翻译 NAT 虚拟专用网 VPN 应用协议特定的包过滤技术ASPF 双机热备技术 QOS技术 应用层流控技术包括P2P限流 防攻击技术，DPI技术
防火墙的关键技术


防火墙基础知识
包过滤防火墙(Packet Filtering)
此类防火墙布放在网络中的适当位置，利用数据包的五元组的部 分或者全部的信息，按照定义的规则ACL对通过的数据包进行过 滤。这是一种基于网络层的安全技术，对于应用层的黑客行为无 能为力。 包过滤防火墙简单，但是缺乏灵活性；包过滤防火墙每包需要都 进行策略检查，策略过多会导致性能急剧下降； 包过滤防火墙对于任何应用需要配置双方向的ACL规则，不能提 供差异性保护
防火墙能提供的功能

防火墙基础知识
监控和审计网络的存取和访问：过滤进出网络的数据，管理进出网络的访问行为， 封堵某些禁止的业务，记录通过防火墙的信息内容和活动，对网络攻击进行检测 和告警。 部署于网络边界，兼备提供网络地址翻译(NAT)、虚拟专用网(VPN)等功能 防病毒、入侵检测、认证、加密、远程管理、代理 …… 深度检测对某些协议进行相关控制 攻击防范，扫描检测等
连接受信网 络区域
连接不受信 网络区域
在连接受信网络区域和非受信网络区域之间 的区域，一般称为DMZ。
防火墙基础知识
防火墙在网络安全体系中的位置
门
监视器
入侵检测系统
加固的房间
系统加固、免疫
安全传输
加密、VPN
防火墙
监控室 安全管理中心
门禁系统 身份认证、访问控制
保安员 扫描器、漏洞查找
防火墙的功能
防火墙基础知识
域（Zone） 域是防火墙上引入的一个重要的逻辑概念；通过将接口加入域并在安 全区域之间启动安全检查（称为安全策略），从而对流经不同安全区域 的信息流进行安全过滤。常用的安全检查主要包括基于ACL和应用层状 态的检查
接口2 DMZ区域 Untrust区域 Local区域 接口1 接口3
NAT地址转换的基本过程
防火墙的关键术语

防火墙基础知识
MAC和IP地址绑定(Bind)，指防火墙可以根据用户的配置，
在特定的IP地址和MAC地址之间形成关联关系。对于声称从
这个IP发送的报文，如果其MAC地址不是指定关系对中的地 址，防火墙将予以丢弃。发送给这个IP地址的报文，在通过
防火墙时将被强制发送给绑定的MAC地址，从而形成有效的