Amaranten阿姆瑞特防火墙技术基础
相关主题
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
if if1 交换机2/1
duplex full speed 100 show interface FastEthernet2/1 ……222397 input errors, 102608 CRC, …… 防火墙if1和交换机接口2/1的物理属性不匹配造成丢包
传输介质
•双绞线 •同轴电缆 •光纤线 •无线
UDP
•UDP 用户数据报协议UDP提供了无连接 的数据报服务。
网络应用
•客户/服务器模型(C/S) •套接字编程接口 •D N S •Te l n e t •FTP •Email •WWW
PPP及PPPOE协议
•PPP(Point-to-Point Protocol点到点协议)是为 在同等单元之间传输数据包这样的简单链路设计 的链路层协议。 •利用以太网(Ethernet)资源,在以太网上运行 PPP来进行用户认证接入的方式称为PPPoE。 •在ATM(异步传输模式,Asynchronous Transfer Mode)网络上运行PPP协议来管理用户 认证的方式称为PPPoA。
广域网
•公用电话交换网( P S T N) •分组交换网(X . 2 5) •数字数据网( D D N) •帧中继( F R) •交换式多兆位数据服务( S M D S) •异步传输模式(B-ISDN/AT M)
局域网
•以太网和IEEE 802.3 •令牌环网和I E E E 8 0 2 . 5 •FDDI网络 •快速以太网 •千兆位以太网
00e0.01ab.cd10
MAC 地址表
端口 if1 if0
00e0.01ab.cd10
二层帧转发过程(桥/交换)
串连网络设备必须能够转发它收到的数据流.这意 味着安全设备必须能够基于每个端口跟踪MAC地址以 作出正确的转发.这些特性是同透明桥和交换机相类似 的.包括:
• 地址学习: 当帧通过设备时,源地址被同包所进入端口进行匹配.
Application Presentation
Session Transport Network
DataLink Physical
Application Presentation
Session Transport Network DataLink Physical
INSPECT
Engine
Dynamic State Tables
• 执行两类的深度包检测 – 使用内置的硬件来辅助应用层网关来处理复杂的应 用层安全 检查
• FTP • H323 • Others – 用于数据级别的攻击(基于指纹的扫描)
防火墙的主要功能
•透明桥二层过滤 •三层包过滤 •三层地址转换 •VPN •身份认证 •日志和审计 •与其他安全审计防护设备进行互动
包过滤(Packet Filter)
• 使用访问控制列表检查如下参数: – Source/Destination IP – Protocol Number – Source/Destination Port – TCP Ack Flag
• 通常被部署于路由器上,不保持穿越防火墙 的通信连接的状态 • 相对容易被欺骗
80
&%$* abcdef
Frame Datagram
Segment
Data
TCP/IP参考模型
110 POP3 80 HTTP 53 DNS Zone Trans. 25 SMTP 23 Telnet 21 FTP Control 20 FTP Data
500 Internet Key Exch. 162 SNMP Trap 161 SNMP 69 TFTP 53 DNS Name Query
网桥
•网桥(b r i d g e)也称桥接器,网桥在相互连接的 两个局域网之间起到帧转发的作用,还具有帧过滤 的功能。 •F D D I网络中允许的最大帧长度是4 5 0 0字节, 而8 0 2 . 3以太网的最大帧长度是1 5 1 8字节。 •透明网桥 •源选径网桥
局域网中的IP通信
Forwarding Table Local Local Local Remote
包过滤型防火墙
Application Presentation
Session Transport Network DataLink Physical
DataLink Physical
Application Presentation
Session Transport
Network DataLink Physical
目标
•网络基础知识 •防火墙的基本概念 •防火墙的种类 •防火墙的功能 •防火墙的基本部署
ISO/OSI参考模型
物理层 数据链路层
C R C(循环冗 余检验)
网络层 传输层 会话层 表示层 应用层
C R C(循环冗余检验)
防火墙配置为透明模式,防火墙和交换机直接相连, 互相之间有丢包(1-10%) 防火墙if1
2
2
23
3
344
4
4
52
Dest MAC | Src MAC | Type | Src IP | Dest IP | Proto | Seq | Ack | Src Port | Dest Port | Data | CRC
..bb:cc
..22:33
0800 2.2.2.15 2.2.2.25
6 90890 56784 33000
Internet Model
5-7 Application
Port #
Port #
1 ICMP
Seq/Ack 6 TCP
17 UDP 50 ESP 51 AH
4 Transport
Protocol Field 806 ARP 809B Apple 800 IP 809B IPX 0BAD Banyan Vines
深度包检测
(Deep Packet Inspection)
• 分析 L3/L4 以上的协议的包头信息 – 特定的协议行为(Protocol-specific behavior) • 个体请求/响应 “commands” • 端口开放关闭请求 – 嵌入的攻击(Embedded attacks) • 自身数据排查(Data itself is suspect)
路由选择原理
•路由是将对象从一个地方转达发到另一个地方的一 个中继过程 ,学习和维持网络拓朴结构知识的机制 被认为是路由功能。 •路由表由多个路由条目组成 •静态路由优先级高于动态路由 •有类别的选择协议
•RIPv1、IGRP •无类别路由选择协议
•开放最短路径优先(OSPF)、EIGRP、RIPV2、 中间系统到中间系统(IS-IS)和边界网关协议版 本4(BGP4)
Type Field or DSAP/SSAP Fields
Ethernet w/MAC
Token Ring w/MAC
FDDI w/MAC
3 Network Datalink
2 (MAC) 1 Physical
ARP协议
•地址解析协议(ARP) •IP以太网的ARP报文
•硬件类型1 •协议类型0806(16进制) •硬件地址长度和协议长度 •操作字段--- ARP请求为1,ARP响应为2, RARP请求为3,RARP响应为4 •特别安全的网络上, ARP映射可以用绑定,并 且具有自动抑制协议达到防止干扰的目的。
– HTTP 和 FTP 是两种通常的代理服务 • 应用代理检查应用数据并基于特定标准丢弃或 转发数据 • 部署于软件的 OSI模型的第七层 • 明显慢于packet filter 模式
状态检测防火墙
Application Presentation
Session Transport
Network DataLink Physical
ICMP/IGMP协议
•ICMP-Internet控制消息协议,属于网络层协议, 主要用于在主机与路由器之间传递控制信息,包 括报告错误、交换受限控制和状态信息等。 •IGMP信息传给别的路由器以使每个支持多路广 播的路由器获知哪个主机组和哪个网络中。
IP协议
•IP是一个无连接的协议 •常用的IP协议是IP协议的第四版本,即IPv4, 是互联网中最基础的协议 •IPv6协议 ,全称Internet Protocol Version 6, 即IP协议的6.0版本,通常又称为下一代互联网 协议,IPv6是Internet工程任务组(IETF)开发 设计的用来替代现行IPv4协议的一种新IP协议。
Interface-2: 63.121.20.146 Mask: 255.255.255.252 Subnet: 63.121.20.144 Gateway: 63.121.20.145
同一个局域网中的设备的地址要在同一子网中 局域网和广域网通过路由器进行互联
IP 数据包
Layer of OSI Reference model
代理型防火墙
HTTP
FTP
Telnet
Application Presentation
Session Transport Network DataLink Physical
Application Presentation
Session Transport Network DataLink Physical
防火墙的概念
•防火墙的最重要的概念:它实现了一种访 问控制策略。
பைடு நூலகம்
防火墙技术简介
• 防火墙的目的是要在内部、外部两个网络之 间建立一个安全控制点,通过允许、拒绝或 者重新定向经过防火墙的数据流,实现对进、 出内部网络的服务和访问的审计和控制 (GB/T 18019-1999)
• 主要防火墙类型
① 包过滤型防火墙 ② 代理型防火墙 ③ 状态检测型防火墙 ④ 深度检测防火墙
状态包检测
(Stateful Packet Inspection)
• 检查IP 包的内容并按照一定的标准转发或丢弃相应 的数据包 • 基于IP包内的不同参数特征,来维护IP通信的状态表
– 新的通信在被检查过后放入状态表中 – IP包不初始一个允许通过的会话,除非当先前建立 了类似相关的连接 • 提供比基于包过滤的更高层安全保障 • 比应用代理快,但是可能不能提供类似于应用代理同 级别的安全细节检查
扩展I P地址
•子网掩码 •私有网络的地址分配 •网络地址转换(NAT) •体系化编址 •可变长度子网掩码(VLSM) •路由归纳 •无类别域间路由(CIDR)
TCP
•TCP协议全称Transmission Control Protocol (传输控制协议),TCP是一种可靠的面向 连接的传送服务。
• 转发: 根据学习到的地址本,帧被进行转发.如果目的地地址在地址本中帧只从 与该地址相关联的端口进行转发.如果目的地地址不在地址本中,帧被向所有其他 端口进行转发(除了当初帧进入的端口)
• 防止环路产生: 设备必须避免发生环路转发的情况,并需要加入 Spanning Tree 协议(为标准的交换机设备采用)来避免发生广播风暴.
二层帧转发(桥/交换)
透明桥功能(Transparent Bridge Functions) – 基于源MAC地址的学习 – 转发/泛洪/过滤是基于目的地MAC地址 – Loop环防范 (Spanning Tree 协议)
if1
if0
00c0.01cd.5120
目的地MAC地址
00c0.01cd.5120
Application Presentation
Session Transport Network DataLink Physical
应用代理(Application Proxy)
• 使用代理软件来模拟应用每个服务都要求有其 服务的代理 • 网络流量被发送到一个充当应用服务代理的 服务器上,由该设备来惊醒应用代理服务.
Internet
MAC: 0000.0611.2233 IP: 170.11.10.15
Mask: 255.255.255.0 Subnet: 170.11.10.0 Gateway: 170.11.10.1
MAC: 0000.0caa.bbcc Interface-1: 170.11.10.1 Mask: 255.255.255.0 Subnet: 170.11.10.0
三层包转发(路由)
• 基于目的地地址进行IP包转发 • 维护路由表
– 静态路由 – 动态路由 (RIP, OSPF, BGP) – 默认路由
duplex full speed 100 show interface FastEthernet2/1 ……222397 input errors, 102608 CRC, …… 防火墙if1和交换机接口2/1的物理属性不匹配造成丢包
传输介质
•双绞线 •同轴电缆 •光纤线 •无线
UDP
•UDP 用户数据报协议UDP提供了无连接 的数据报服务。
网络应用
•客户/服务器模型(C/S) •套接字编程接口 •D N S •Te l n e t •FTP •Email •WWW
PPP及PPPOE协议
•PPP(Point-to-Point Protocol点到点协议)是为 在同等单元之间传输数据包这样的简单链路设计 的链路层协议。 •利用以太网(Ethernet)资源,在以太网上运行 PPP来进行用户认证接入的方式称为PPPoE。 •在ATM(异步传输模式,Asynchronous Transfer Mode)网络上运行PPP协议来管理用户 认证的方式称为PPPoA。
广域网
•公用电话交换网( P S T N) •分组交换网(X . 2 5) •数字数据网( D D N) •帧中继( F R) •交换式多兆位数据服务( S M D S) •异步传输模式(B-ISDN/AT M)
局域网
•以太网和IEEE 802.3 •令牌环网和I E E E 8 0 2 . 5 •FDDI网络 •快速以太网 •千兆位以太网
00e0.01ab.cd10
MAC 地址表
端口 if1 if0
00e0.01ab.cd10
二层帧转发过程(桥/交换)
串连网络设备必须能够转发它收到的数据流.这意 味着安全设备必须能够基于每个端口跟踪MAC地址以 作出正确的转发.这些特性是同透明桥和交换机相类似 的.包括:
• 地址学习: 当帧通过设备时,源地址被同包所进入端口进行匹配.
Application Presentation
Session Transport Network
DataLink Physical
Application Presentation
Session Transport Network DataLink Physical
INSPECT
Engine
Dynamic State Tables
• 执行两类的深度包检测 – 使用内置的硬件来辅助应用层网关来处理复杂的应 用层安全 检查
• FTP • H323 • Others – 用于数据级别的攻击(基于指纹的扫描)
防火墙的主要功能
•透明桥二层过滤 •三层包过滤 •三层地址转换 •VPN •身份认证 •日志和审计 •与其他安全审计防护设备进行互动
包过滤(Packet Filter)
• 使用访问控制列表检查如下参数: – Source/Destination IP – Protocol Number – Source/Destination Port – TCP Ack Flag
• 通常被部署于路由器上,不保持穿越防火墙 的通信连接的状态 • 相对容易被欺骗
80
&%$* abcdef
Frame Datagram
Segment
Data
TCP/IP参考模型
110 POP3 80 HTTP 53 DNS Zone Trans. 25 SMTP 23 Telnet 21 FTP Control 20 FTP Data
500 Internet Key Exch. 162 SNMP Trap 161 SNMP 69 TFTP 53 DNS Name Query
网桥
•网桥(b r i d g e)也称桥接器,网桥在相互连接的 两个局域网之间起到帧转发的作用,还具有帧过滤 的功能。 •F D D I网络中允许的最大帧长度是4 5 0 0字节, 而8 0 2 . 3以太网的最大帧长度是1 5 1 8字节。 •透明网桥 •源选径网桥
局域网中的IP通信
Forwarding Table Local Local Local Remote
包过滤型防火墙
Application Presentation
Session Transport Network DataLink Physical
DataLink Physical
Application Presentation
Session Transport
Network DataLink Physical
目标
•网络基础知识 •防火墙的基本概念 •防火墙的种类 •防火墙的功能 •防火墙的基本部署
ISO/OSI参考模型
物理层 数据链路层
C R C(循环冗 余检验)
网络层 传输层 会话层 表示层 应用层
C R C(循环冗余检验)
防火墙配置为透明模式,防火墙和交换机直接相连, 互相之间有丢包(1-10%) 防火墙if1
2
2
23
3
344
4
4
52
Dest MAC | Src MAC | Type | Src IP | Dest IP | Proto | Seq | Ack | Src Port | Dest Port | Data | CRC
..bb:cc
..22:33
0800 2.2.2.15 2.2.2.25
6 90890 56784 33000
Internet Model
5-7 Application
Port #
Port #
1 ICMP
Seq/Ack 6 TCP
17 UDP 50 ESP 51 AH
4 Transport
Protocol Field 806 ARP 809B Apple 800 IP 809B IPX 0BAD Banyan Vines
深度包检测
(Deep Packet Inspection)
• 分析 L3/L4 以上的协议的包头信息 – 特定的协议行为(Protocol-specific behavior) • 个体请求/响应 “commands” • 端口开放关闭请求 – 嵌入的攻击(Embedded attacks) • 自身数据排查(Data itself is suspect)
路由选择原理
•路由是将对象从一个地方转达发到另一个地方的一 个中继过程 ,学习和维持网络拓朴结构知识的机制 被认为是路由功能。 •路由表由多个路由条目组成 •静态路由优先级高于动态路由 •有类别的选择协议
•RIPv1、IGRP •无类别路由选择协议
•开放最短路径优先(OSPF)、EIGRP、RIPV2、 中间系统到中间系统(IS-IS)和边界网关协议版 本4(BGP4)
Type Field or DSAP/SSAP Fields
Ethernet w/MAC
Token Ring w/MAC
FDDI w/MAC
3 Network Datalink
2 (MAC) 1 Physical
ARP协议
•地址解析协议(ARP) •IP以太网的ARP报文
•硬件类型1 •协议类型0806(16进制) •硬件地址长度和协议长度 •操作字段--- ARP请求为1,ARP响应为2, RARP请求为3,RARP响应为4 •特别安全的网络上, ARP映射可以用绑定,并 且具有自动抑制协议达到防止干扰的目的。
– HTTP 和 FTP 是两种通常的代理服务 • 应用代理检查应用数据并基于特定标准丢弃或 转发数据 • 部署于软件的 OSI模型的第七层 • 明显慢于packet filter 模式
状态检测防火墙
Application Presentation
Session Transport
Network DataLink Physical
ICMP/IGMP协议
•ICMP-Internet控制消息协议,属于网络层协议, 主要用于在主机与路由器之间传递控制信息,包 括报告错误、交换受限控制和状态信息等。 •IGMP信息传给别的路由器以使每个支持多路广 播的路由器获知哪个主机组和哪个网络中。
IP协议
•IP是一个无连接的协议 •常用的IP协议是IP协议的第四版本,即IPv4, 是互联网中最基础的协议 •IPv6协议 ,全称Internet Protocol Version 6, 即IP协议的6.0版本,通常又称为下一代互联网 协议,IPv6是Internet工程任务组(IETF)开发 设计的用来替代现行IPv4协议的一种新IP协议。
Interface-2: 63.121.20.146 Mask: 255.255.255.252 Subnet: 63.121.20.144 Gateway: 63.121.20.145
同一个局域网中的设备的地址要在同一子网中 局域网和广域网通过路由器进行互联
IP 数据包
Layer of OSI Reference model
代理型防火墙
HTTP
FTP
Telnet
Application Presentation
Session Transport Network DataLink Physical
Application Presentation
Session Transport Network DataLink Physical
防火墙的概念
•防火墙的最重要的概念:它实现了一种访 问控制策略。
பைடு நூலகம்
防火墙技术简介
• 防火墙的目的是要在内部、外部两个网络之 间建立一个安全控制点,通过允许、拒绝或 者重新定向经过防火墙的数据流,实现对进、 出内部网络的服务和访问的审计和控制 (GB/T 18019-1999)
• 主要防火墙类型
① 包过滤型防火墙 ② 代理型防火墙 ③ 状态检测型防火墙 ④ 深度检测防火墙
状态包检测
(Stateful Packet Inspection)
• 检查IP 包的内容并按照一定的标准转发或丢弃相应 的数据包 • 基于IP包内的不同参数特征,来维护IP通信的状态表
– 新的通信在被检查过后放入状态表中 – IP包不初始一个允许通过的会话,除非当先前建立 了类似相关的连接 • 提供比基于包过滤的更高层安全保障 • 比应用代理快,但是可能不能提供类似于应用代理同 级别的安全细节检查
扩展I P地址
•子网掩码 •私有网络的地址分配 •网络地址转换(NAT) •体系化编址 •可变长度子网掩码(VLSM) •路由归纳 •无类别域间路由(CIDR)
TCP
•TCP协议全称Transmission Control Protocol (传输控制协议),TCP是一种可靠的面向 连接的传送服务。
• 转发: 根据学习到的地址本,帧被进行转发.如果目的地地址在地址本中帧只从 与该地址相关联的端口进行转发.如果目的地地址不在地址本中,帧被向所有其他 端口进行转发(除了当初帧进入的端口)
• 防止环路产生: 设备必须避免发生环路转发的情况,并需要加入 Spanning Tree 协议(为标准的交换机设备采用)来避免发生广播风暴.
二层帧转发(桥/交换)
透明桥功能(Transparent Bridge Functions) – 基于源MAC地址的学习 – 转发/泛洪/过滤是基于目的地MAC地址 – Loop环防范 (Spanning Tree 协议)
if1
if0
00c0.01cd.5120
目的地MAC地址
00c0.01cd.5120
Application Presentation
Session Transport Network DataLink Physical
应用代理(Application Proxy)
• 使用代理软件来模拟应用每个服务都要求有其 服务的代理 • 网络流量被发送到一个充当应用服务代理的 服务器上,由该设备来惊醒应用代理服务.
Internet
MAC: 0000.0611.2233 IP: 170.11.10.15
Mask: 255.255.255.0 Subnet: 170.11.10.0 Gateway: 170.11.10.1
MAC: 0000.0caa.bbcc Interface-1: 170.11.10.1 Mask: 255.255.255.0 Subnet: 170.11.10.0
三层包转发(路由)
• 基于目的地地址进行IP包转发 • 维护路由表
– 静态路由 – 动态路由 (RIP, OSPF, BGP) – 默认路由