防火墙技术

防火墙关键技术
静态包过滤技术 在转发某数据包前，防火墙将IP头和TCP头
与规则库中的规则进行比较，按照搜索到的 特定规则执行过滤，否则按默认规则执行。
管理员可以根据安全策略书写相应的过滤 规则，实现对应的数据包过滤。
示意图如下：
防火墙关键技术
静态包过滤技术
防火墙关键技术
静态包过滤技术 优点： 对网络性能影响较小，原理简单，速率快； 成本低，常集成在路由器中，无需额外的
防火墙的体系结构
4、屏蔽子网模式 内网和外网均可访问DMZ，但禁止内外直
接通信。 多个堡垒主机运行各种代理服务，可以更
有效地提供服务。
防火墙的体系结构
4、屏蔽子网模式
防火墙关键技术
静态包过滤技术 静态包过滤技术是最为古老的防火墙技术，
它是基于网络层上的技术，即OSI模型的第3 层。
该技术是否接受/拒绝一个数据包取决于对 数据包中的IP头和协议头的特定区域的检查。 主要包括源低地址、目的地址、应用或协议、 源端口号和目的端口号等。
防火墙关键技术
动态包过滤技术 缺点： 工作在网络层，仅检查IP头和TCP头； 对数据净载荷部分无感知能力，安全性 较低； 容易受到IP欺骗攻击； 规则配置较难；
防火墙关键技术
状态检测技术 “Stateful Inspection”技术首先由Check
Point提出，在动态包过滤基础上增加了状态 检测机制。实现对数据包的TCP相应的序号、 窗口信息等检测，使得过滤更加细致。 因此，该技术具有动态包过滤的优点，同时 对于细节方面的攻击具有更好的防范能力。 不足之处是不能对应用层协议进行检查；细 致的检查可能造成网络通信延迟。
防火墙关键技术
网络地址翻译(NAT)技术
防火墙关键技术
网络地址翻译(NAT)技 地址翻译技术包括基于IP地址的和基于端口
的翻译，其中基于端口的翻译技术又称NAPT。
具体见相关文档
防火墙关键技术
虚拟专用网(VPN) VPN是Virtual Private Network的缩写，是
将物理分布在不同地点的网络通过公用骨干 网，尤其是Internet连接而成的逻辑上的虚拟 子网。为了保障信息的安全，VPN技术采用 了鉴别、访问控制、保密性、完整性等措施， 以防止信息被泄露、篡改和复制。
防火墙的体系结构
2、双穴/多穴主机模式
防火墙的体系结构
3、屏蔽主机模式 由过滤路由器和堡垒主机组成，可看作两种 模式的组合形式。
防火墙的体系结构
4、屏蔽子网模式 由内、外两个包过滤路由器和一个堡垒主
机，在内外网络之间建立了一个被隔离的子 网，即“非军事区DMZ网络”，也称周边网。
将堡垒主机，WEB服务器、Mail服务器等 置于非军事区中，与内、外网进行逻辑隔 离。
防火墙关键技术
虚拟专用网(VPN) （3）保证安全性
VPN技术利用可靠的加密认证技术，在内 部网络之间建立隧道，能够保证通信数据的 机密性和完整性，保证信息不被泄漏或暴露 给未授权的实体，保证信息不被未授权的实 体改变、删除或替代。
防火墙实现平台
（1）基于X86的PC防火墙 易扩展，处理功能丰富，处理速度差； （2）基于ASIC的硬件防火墙 可达到线速过滤，但可扩展性差；
防火墙关键技术
Access VPN 示意图
防火墙关键技术
虚拟专用网(VPN) Access VPN
Access VPN通过拨入当地的ISP进入Internet 再连接企业的VPN网关，在用户和VPN网关 之间建立一个安全的“隧道”，通过该隧道 安全地访问远程的内部网，这样既节省了通 信费用，能保证安全性。
防火墙的体系结构
1、过滤路由器模式
防火墙的体系结构
2、双穴/多穴主机模式 它是一种拥有两个或多个连接到不同网络
上的网络接口的防火墙，通常用一台装有两 块或多块网卡的堡垒主机做防火墙，两块或 多块网卡各自与受保护网和外部网相连。
双穴主机禁止网络层的路由功能，实现内 外网之间的间接通信。
因此，该主机属于代理服务器类型。
防火墙产品介绍
网络防火墙： Checkpoint的Fire Wall-1 Cisco的PIX CyberGuard的CyberGuard Firewall Netguard的Guardian Watchguard的Watchguard Fortinet的 FortiGate Juniper 的NetScreen 东软 Neteye 、天融信 NGFW 、启明星辰 天清汉马、华为 Eudemon
防火墙关键技术
虚拟专用网(VPN) Access VPN
Access VPN即所谓的移动VPN，适用于企业 内部人员流动频繁或远程办公的情况，出差 员工或者在家办公的员工利用当地ISP （Internet Service Provider，Internet服务提 供商）就可以和企业的VPN网关建立私有的 隧道连接，如图所示。
支出； 缺点： 仅实现网络层过滤，安全性较低；
防火墙关键技术
静态包过滤技术 缺点： 缺少状态感知能力，对于需要动态分配端
口的服务打开须预先打开许多端口，导致 整体安全性较低； 容易受到IP欺骗攻击，因为没有对协议细 节进行过滤； 对于新手管理员，规则配置比较复杂。
防火墙关键技术
动态包过滤技术 基本过滤原理同静态包过滤技术，但它能
网络处理器介绍
它不仅仅指的是某一类的设备或产品，而 更加广泛地代表了一种网络设计的技术理念。 可以预见，多处理核形式的硬件平台将是 未来软件设计的主要方法。 （多核式、分布式、网格式）
网络处理器介绍
NP的技术特点： ▪ NP针对数据分组处理，采用优化体系 结构、专用指令集、硬件单元，满足高 速数据分组线速处理要求； ▪ 具有软件编程能力，能够迅速实现新 的标准、服务、应用，满足网络业务复 杂多样化需求，灵活性好； ▪ 设备具有软件升级能力，满足用户设 备硬件投资保护需求。
防火墙关键技术
应用代理网关技术 缺点： 速度慢，因为其检查内容过于详细； 对用户透明性不够，多要求对客户端软件 进行修改； 不同服务代理要求不同配置，用户配置服 务器较复杂； 代理技术不能解决底层安全问题，如IP欺 骗等。
防火墙关键技术
应用代理网关技术
防火墙关键技术
网络地址翻译(NAT)技术 目的 – 解决IP地址空间不足问题 – 向外界隐藏内部网结构 方式 – 1-1：静态地址翻译 – M-1：多个内部网地址翻译到1个IP地址, 动态地址映射 – M-N：多个内部网地址翻译到N个IP地址 池
防火墙关键技术
虚拟专用网(VPN)
Intranet VPN 如果要进行企业内部异地分支机构的互联，
可以使用Intranet VPN方式，这是所谓的网关 对网关VPN，如图所示。
防火墙关键技术
Intranet VPN 示意图
防火墙关键技术
虚拟专用网(VPN) Intranet VPN
Intranet VPN在异地两个网络的网关之间建 立了一个加密的VPN隧道，两端的内部网络 可以通过该VPN隧道安全地进行通信，就好 像和本地网络通信一样。
防火墙产品介绍
个人防火墙： Agnitum Outpost Firewall ZoneAlarm Pro 天网防火墙 瑞星个人防火墙 江民防黑墙
存在的主要问题
在千兆以上高速网络环境下： （1）PC架构防火墙：往往形成处理上的瓶 颈，且丢包现象严重； （2）ASIC架构防火墙：线速处理能力强， 但不能满足灵活性升级要求；
防火墙概述
防火墙的不足 ➢ 为提高安全性，可能限制或关闭了一些 网络服务，给用户带来不便； ➢ 对于来自网络内部的攻击还无能为力； ➢ 不能防范不经过防火墙的攻击； ➢ 对用户不完全透明，可能带来传输延迟 瓶颈及单点失效等问题；
防火墙概述
防火墙的不足 ➢ 不能防止受病毒感染的文件或软件的传 输，如要完成对病毒代码检查，防火墙的 效率就会大大降低； ➢ 是一种被动的防护手段，缺乏主动性；
防火墙关键技术
应用代理网关技术 也称代理服务技术，工作在应用层，对特定 的应用层协议进行服务。 代理服务器实质上就是一个应用层网关，使 内外网络之间必须通过网关的转接才能通信。
防火墙关键技术
应用代理网关技术 优点： 安全性好，可对应用层进行检查； 易于配置，较路由器过滤配置简单； 可实现流量控制和内容审计功能，提高整 体安全性； 可过滤数据包净载荷内容，如文本过滤等； 服务更加透明；
防火墙关百度文库技术
虚拟专用网(VPN) VPN有3种类型：Access VPN（远程访问 VPN）、Intranet VPN（企业内部VPN）和 Extranet VPN（企业扩展VPN），这3种类型 的VPN分别对应于传统的远程访问网络、企 业内部的Intranet以及企业和合作伙伴的网络 所构成的Extranet。
防火墙关键技术
Extranet VPN 示意图
防火墙关键技术
虚拟专用网(VPN) VPN具有以下优点： （1）降低成本 VPN利用了现有的Internet或其他公共网络 的基础设施为用户创建安全隧道，不需要使 用专门的线路，大大节省了费用。
防火墙关键技术
虚拟专用网(VPN) （2）易于扩展 采用VPN，只是在结点处架设VPN设备，就 可以利用Internet建立安全连接，如果有新的 内部网络想加入安全连接，只需添加一台 VPN设备，改变相关配置即可。
企业拥有与专用网络相同的策略，包括安全、 服务质量(QoS)、可管理性和可靠性。
防火墙关键技术
虚拟专用网(VPN) Extranet VPN
一个企业希望将客户、供应商、合作伙伴等 连接到企业内部网，可使用Extranet VPN， 如图所示。
Extranet VPN也是一种网关对网关的VPN， 但它要在不同企业内部网之间组建，需要有 不同协议和设备之间的配合和不同的安全配 置。
够感知到一个新连接和一个已经连接之间的 差别。
它将已有连接写入内存中一个表格中。后 续数据包先与表格进行比较，若数据包属于 已有连接，则直接允许通过，否则进行常规 的过滤。
防火墙关键技术
动态包过滤技术 典型的软件有：Netfilter、IP Filter等。 优点： 状态感知技术避免了对通过防火墙的每 个数据包都进行规则库检查，较静态包 过滤技术在性能上提高很多； 由于能够区分连接的双方，则对于动态 端口的协议通过分析可以打开相应端口， 提高了整体安全性；
➢ 防火墙自身应对渗透具有免疫功能。
防火墙概述
防火墙的功能特点 ➢ 对内部网实现集中统一的安全管理； ➢ 能防止非授权用户进入内部网络； ➢ 可以对内部网络进一步划分不同安全区域， 实现重点网段的分离，限制安全问题的扩 散； ➢ 具备良好的网络行为可审计功能； ➢ 可以利用NAT技术，缓解地址空间的短缺， 并隐藏内部网的结构；
新的技术方案
以网络处理器硬件平台为新的研发架构， 是我们基于千兆环境开发网络安全产品的主 要技术思路。 主要在以下几个方面寻找技术突破点： （1）零丢包捕获； （2）线速处理； （3）深层过滤；
网络处理器介绍
网络处理器（Network Processor，简称 NP）是一种面向网络应用领域的应用特定 指令处理器，是面向数据分组处理的、具有 特定电路的、软件可编程的器件。 NP是一种新技术，主要用于网络接入、网 络骨干设备，开发从第2层到第7层的各种网 络服务和应用，可以很好地解决硬件加速和 软件可扩展的折衷问题。
防火墙的体系结构
1、过滤路由器模式 ➢基本原理：对每个数据包的头部信息进行 检查，根据过滤规则，然后决定转发或者 丢弃该包。 ➢实现方式：常以路由器方式，配置为双向 过滤。
防火墙的体系结构
1、过滤路由器模式 ➢过滤内容：包括源地址、目的地址、源端 口、目的端口号、数据包的标志位等； ➢过滤方法：建立一组规则，根据IP包是否 匹配规则中指定的条件来作出决定；如有 匹配按规则执行，没有匹配，则按缺省策 略。
第4章 防火墙技术
防火墙概述 防火墙的体系结构 防火墙关键技术 存在的主要问题 防火墙硬件实现平台
课时：6.0
防火墙概述
防火墙：一种位于两个或多个网络之间， 执行安全访问控制策略的系统。 一个好的防火墙应具备的特征:
➢内部和外部之间的所有网络数据流必须经 过防火墙；
➢只有符合安全策略的数据流才能通过防火 墙；