防火墙技术原理

WWW
FTP
MAIL
MAP (地址/端口映射)
199.168.1.5 DNS
❖ 公开服务器可以使用私有地址 ❖ 隐藏内部网络的结构
199.168.1.6 202.102.1.3
MAP 199.168.1.2：80 TO 202.102.1.3：80 MAP 199.168.1.3：21 TO 202.102.1.3：21 MAP 199.168.1.5：25 TO 202.102.1.3：25 MAP 199.168.1.4：53 TO 202.102.1.3：53
LDAP、域认证等认证
进行认证 OTP 认证服务器
Internet
liming
******
将认证结果 传给防火墙
防火墙将认证信 息传给真正的 RADIUS服务器
根据认证结果决定用 户对资源的访问权限
19
IP与MAC（用户）的绑定
00-50-04-BB-71-A6
00-50-04-BB-71-BC
199.168.1.2 119999..116688..11..32 199.168.1.4 199.168.1.5
http://www.sina.com.cn
Clint
发送请求
192.168.6.169
命令日志 命令日志
响应请求 www.sina.com.cn
192.168.6.170
命令信息
29
深度分析日志(2) －内容日志
http://www.sina.com.cn
Clint
发送请求
192.168.6.169
hhtttptp:/://2/10929.1.10628.1.1.3.2
Internet
12.4.1.5
12
防火墙的基本访问控制功能
Access list 192.168.1.3 to 202.2.33.2 Access nat 192.168.3.0 to any pass Access 202.1.2.3 to 192.168.1.3 block Access default pass
7
目录 ❖ 防火墙基本概念 ❖ 防火墙发展历程 ❖ 防火墙核心技术 ❖防火墙功能与原理 ❖ 防火墙的接入方式 ❖ 防火墙的典型应用 ❖ 防火墙性能 ❖ 防火墙局限性 ❖ 防火墙的两个争议
8
防火墙的作用
• 集中的访问控制 • 集中的加密保护 • 集中的认证授权 • 集中的内容检查 • 集中的病毒防护 • 集中的邮件过滤 • 集中的流量控制 • 集中的安全审计
– 日志审计
– 高可用性
10
地址转换 (NAT)
源地址：101.211.23.1 目地址：202.102.93.54
Host A
202.102.93.54
Internet
源地址：192.168.1.21 目地址：202.102.93.54
101.211.23.2
Host C
Host D
192.168.1.21 192.168.1.25
Eth1
心跳线
Eth1
Eth 0
Standby Firewall
Eth2
检测Active Firewall的状态
Eth2
Hub or Switch
主防火墙出故障以 后，接管它的工作
内部网
当一台防火墙故障时，这台防火墙的连接不 需要重新建立就可以透明的迁移到另一台防 火墙上，用户不会察觉到
Host C Host D
IDS
识别出攻 击行为
发送通知报文
受保护网络
Internet
阻断连接或 者报警等
发送响应 报文
验证报文并 采取措施
18
丰富的认证方式和第三方认证支持
1. 本地认证、内置OTP服务器认证
2. 支持第三方RADIUS服务器认证
3. 支持TACAS/TACAS+服务器认证
4. 支持S/KEY 、SECUID、VIECA、 RADIUS服务器
3. 状态检测（Stateful Inspection）：工作在 2~4层，访问控制方式与1同，但处理的对象不 是单个数据包，而是整个连接，通过规则表和 连接状态表，综合判断是否允许数据包通过。
4. 完全内容检测（Compelete Content Inspection）：工作在2~7层，不仅分析数据包 头信息、状态信息，而且对应用层协议进行还 原和内容分析，有效防范混合型安全威胁。
受保护网络
Eth0：
IP报头
数据
101.211.23.1
IP报头
数据
Eth2： 192.168.1.23
防火墙
❖ 隐藏了内部网络的结构 ❖ 内部网络可以使用私有IP地址 ❖ 公开地址不足的网络可以使用这种方式提供IP复用功能
11
199.168.1.2 199.168.1.3 199.168.1.4
9
防火墙的功能
• 基本功能
• 扩展功能
– 地址转换
– 防病毒
– 访问控制
– VPN
– VLAN支持
• IPSEC VPN
– 带宽管理（QoS）
• PPTP/L2TP
– 入侵检测和攻击防御
– 用户认证
– IP/MAC绑定
– 动态IP环境支持
– 数据库长连接应用支持
– 路由支持
– ADSL拨号功能
– SNMP网管支持
20
没有固定IP地址
对DHCP应用环境的支持
设定Host B的MAC地址 设定Host B的IP地址为空
DHCP 服务器
Host A Host B
Host C
Host D Host E Host F
只允许Host B上网
根据Host B的MAC地址 进行访问控制
Internet
21
对数据库长连接的支持 需要较长的查
询时间
FR 客户机
建立连接并维持连接 状态直到查询结束
需要在防火墙里面维护这个连接状态，直 到查询结束。该功能是可选的。
数据库查询一般需要比较长的时间，这些通讯连接建立成功后可能暂 时没有数据通过（空连接），普通防火墙在连接建立一段时间后如果 没有数据通讯会自动切断连接，导致业务不能正常运行
22
动态路由功能--RIP
23
动态路由功能--OSPF
24
ADSL拨号功能－PPPOE
25
受保护网络 Host A Host B
Host C
支持SNMP 网络管理
Hoຫໍສະໝຸດ Baidut D
SNMP服务器端
Internet
Internet
SNMP报文
获取硬件配置信息
资源使用状况信息
防火墙的流量信息
防火墙的连接信息
防火墙的版本信息
防火墙的用户信息
16
抗DOS攻击功能
防火墙的SYN代理实现原理:
❖ 在服务器和外部网络之间部署防火墙系统;
❖ 防火墙在收到客户端的Syn包后，防火墙代替服务器向客户端发送 Syn/Ack包;
❖ 如果防火墙收到客户端的Ack信息，表明访问正常,由防火墙向服务器 发送Syn包并完成后续的TCP握手,建立客户端到服务器的连接。
• 是批量上市的专用软件防火墙产品 • 安装在通用操作系统之上 • 安全性依靠软件本身和操作系统本身的整体安全
基于安全操作 系统的防火墙
▪ 防火墙厂商具有操作系统的源代码，并可实现安全内核 ▪ 功能强大，安全性很高 ▪ 易于使用和管理 ▪ 是目前广泛应用的防火墙产品
5
目录 ❖ 防火墙基本概念 ❖ 防火墙发展历程 ❖ 防火墙核心技术 ❖ 防火墙体系结构 ❖ 防火墙功能与原理 ❖ 防火墙的接入方式 ❖ 防火墙的典型应用 ❖ 防火墙性能 ❖ 防火墙局限性 ❖ 防火墙的两个争议
❖ 通过这种Syn代理技术，保证每个Syn包源的真实有效性，确保虚假请 求不被发往服务器，从而彻底防范对服务器的Syn-Flood攻击。
SYN
SYN/ACK
SAYCNK
SYN
SYN ACK
SYN/ACK
SYN ACK
SYN/ACK
Client
Server
17
黑客
与 IDS 的安全联动
发起攻击 Host A Host B
Host A Host B
Host C
Host D
BIND 199.168.1.2 To 00-50-04-BB-71-A6 BIND 199.168.1.4 To 00-50-04-BB-71-BC
防火墙允许Host A上网
Internet
IP与MAC地址绑定后，不允许 Host B假冒Host A的IP地址上网
一种高级访问控制设备，置于不同网络安全域之间的一系列部件的组合，它是不同 网络安全域间通信流的唯一通道，能根据企业有关的安全政策控制（允许、拒绝、 监视、记录）进出网络的访问行为。
3
目录 ❖ 防火墙基本概念 ❖ 防火墙发展历程 ❖ 防火墙核心技术 ❖防火墙功能与原理 ❖ 防火墙的接入方式 ❖ 防火墙的典型应用 ❖ 防火墙性能 ❖ 防火墙局限性 ❖ 防火墙的两个争议
北京天融信公司
地址：北京市海淀区上地东路1号华控大厦3层 网址：http://www.topsec.com.cn
1
目录 ❖ 防火墙基本概念 ❖ 防火墙发展历程 ❖ 防火墙核心技术 ❖防火墙功能与原理 ❖ 防火墙的接入方式 ❖ 防火墙的典型应用 ❖ 防火墙性能 ❖ 防火墙局限性 ❖ 防火墙的两个争议
访问日志 访问日志
响应请求 www.sina.com.cn
192.168.6.170
访问信息
30
通过ISTP协议可以交换 两台防火墙的状态信息
高可用性--双机热备功能
外网或者不信任域
Active Firewall
正常情况下由 主防火墙工作
Hub or Switch
发现出故障，立即接管其工作
Eth 0
2
安全域1 Host A Host B
防火墙的概念
两个安全域之间通 信流的唯一通道
安全域2 Host C Host D
Source Host A Host B
Destination Host C Host C
Permit Pass Block
Protocol TCP UDP
根据访问控制规则决 定进出网络的行为
6
防火墙的检测与过滤技术
应用层 Data
传输层 Segment
IP层 Packet
网络接 口层
Bit Flow
Frame
1. 包过滤（Packet filtering）：工作在网络层， 仅根据数据包头中的IP地址、端口号、协议类 型等标志确定是否允许数据包通过。
2. 应用代理（Application Proxy）：工作在应用 层，通过编写不同的应用代理程序，实现对应 用层数据的检测和分析。
规则匹配成功
❖ 基于源IP地址 ❖ 基于目的IP地址 ❖ 基于源端口 ❖ 基于目的端口 ❖ 基于时间 ❖基于用户 ❖ 基于流量 ❖ 基于文件 ❖ 基于网址 ❖ 基于MAC地址
Host C Host D
13
时间控制策略
Internet
在防火墙上制定基于 时间的访问控制策略
Host C Host D
上班时间不允许 访问Internet
上班时间可以访 问公司的网络
14
总带宽512 K
Internet
QoS带宽管理
WWW Mail
DNS
内网256 K
+ DMZ 256 K
出口带宽 512K
70 K + 90 K + 96 K
财务子网 采购子网
生产子网
DMZ 区保留 256K
DMZ 区域
财务部子网 分配 70K 带宽
分配 90K 带宽 分配 96K 带宽
4
基于路由器的防火墙
防火墙的发展历程
• 在路由器中通过ACL规则来实现对数据包的控制； • 过滤判断依据：地址、端口号、协议号等特征
防火墙工具套
• 软件防火墙的初级形式，具有审计和告警功能 • 对数据包的访问控制过滤通过专门的软件实现 • 与第一代防火墙相比，安全性提高了，价格降低了
基于通用操作 系统的防火墙
3. 提供日志分析工具
自动产生各种报表，智能化的指出网络可能的安全漏洞
27
普通连接日志－会话日志
http://www.sina.com.cn
Clint
发送请求
192.168.6.169
通信日志 通信日志
响应请求 www.sina.com.cn
192.168.6.170
通信信息
28
深度分析日志(1) －命令日志
防火墙的规则信息
防火墙的路由信息 ……
SNMP客户端 (HP openview)
26
日志分析功能
1. 会话日志：即普通连接日志
❖ 通信源地址、目的地址、源目端口、通信时间、通信协议、字节数、是否允许通过
2. 命令日志和内容日志：即深度分析日志
❖ 在通信日志的基础之上，记录下各个应用层命令参数和内容。例如HTTP请求及其要取 的网页名。
生产部子网
采购部子网
内部网络
15
内置入侵检测功能
防火墙具有内置的IDS模块，可以有效检测并抵御常见的攻击行为，用户通过简单设置即可 保护指定的网络对象免于受到以下类型的攻击：1.统计型攻击，包括：Syn Flood、UDP FLOOD、ICMP FLOOD、IP SWEEP、PORT SCAN。2.异常包攻击，包括：Land、Smurf、 PingofDeath、Winnuke、TcpScan、IpOption等