防火墙工作原理
相关主题
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
防火墙的基本知识
防火墙的主要目标是控制对一个受保护网络的访 问,强迫所有连接都接受防火墙的检查和评估。 可以是路由器、计算机或一群计算机。 防火墙通过边界控制保护整个网络,而不需要对 每个网内的主机进行单独的保护,为内网仍旧可 以采用相互信任的模式提供了一定的安全基础。 防火墙是指设置在不同网络(如可信任的企业内 部网和不可信的公共网)或网络安全域之间的一 系列部件的组合。 它可通过监测、限制、更改跨越防火墙的数据流, 尽可能地对外部屏蔽网络内部的信息、结构和运 行状况, 以此来实现网络的安全保护。 在逻辑上, 防火墙是一个分离器,一个限制器,也是一个分 析器,有效地监控了内部网和Internet之间的任何 活动,保证了内部网络的安全。
防火墙的工作模式
混合模式 防火墙工作在混合透明模式下,此时部分 接口配置IP 地址,部分接口不能配置IP 地 址。配置IP 地址的接口所在的安全区域是 三层区域,接口上启动VRRP功能,用于双 机热备份;而未配置IP 地址的接口所在的 安全区域是二层区域,和二层区域相关接 口连接的外部用户同属一个子网。当报文 在二层区域的接口间进行转发时,转发过 程与透明模式的工作过 程完全相同。
Cisco ASA 5540
企业用户使用,可以做VPN网关 同时提供280,000 个连接 提供 400-Mbps 吞吐量 支持的接口 4个10/100/1000以太网口 1个 10/100 以太网口 支持 100个 VLANs 最多50个虚拟防火墙 支持 failover Active/standby Active/active 支持 VPNs Site to site (5,000 peers) Remote access WebVPN 支持 AIP-SSM-20 (可选)
Honeypots:密灌系统
蜜罐系统,也就是诱骗系统,它是一个包含漏 洞的系统,通过模拟一个或多个易受攻击的 主机,给黑客提供一个容易攻击的目标。
没有其它任务需要完成 所有连接的尝试都应被视为是可疑 拖延攻击者对其真正目标的攻击 让攻击者在蜜罐上浪费时间 最初的攻击目标受到了保护,真正有价值的内 容将不受侵犯。 蜜罐目的之一是为起诉恶意黑客搜集证据。
网络安全产品
蓝盾防火墙系统 技术先进,高效专业平台,端口反扫描, 高保密度VPN(168bit),防外又防内的解决 方案,千兆带宽 实用性强,分组代理计费功能,URL过滤功 能,地址转换功能(NAT),MAC绑定功能, 物理断开功能,流量控制
蓝盾入侵检测系统 蓝盾入侵检测系统(BD-NIDS)是一种实时的 网络入侵检测和响应系统。它能够实时监 控网络传输,自动检测可疑行为,分析来 自网络外部和内部的入侵信号。在系统受 到危害之前发出警告,实时对攻击作出反 应,并提供补救措施,最大程度地为网络 系统提供安全保障。
H3C SecPath F100-A 设备类型: 中小企业级防火墙 网络端口: 4个10/100Mbps LAN以太网交换口、3个 10/100Mbps WAN以太网口、1个AUX口(备份口)、1个CONSOLE 口(配置口)、1个MIM插槽 入侵检测: DoS、DDoS 管理: 支持标准网管 SNMPv3,并且兼容SNMP v2c、SNMP v1 VPN支持: 支持 安全标准: RADIUS, HWTACACS, PKI /CA(X.509格式), 域认证, CHAP, PAP 其他性能: 支持外部攻击防范, 内网安全, 流量监控, 邮件过滤, 网页过滤, 应用层过滤等验证 电源: 输入:100-240V,50/60Hz;输出:12
蓝盾网络整体安全架构
1. 2. 3. 4. 5. 6. 7. 8. 9. 10.
防火墙 入侵检测 物理隔离 路由器 VPN网关 反垃圾产品 网络防毒 检测过滤 可信计算平台 安全审计与分析
IDS 系统分类
NIDS:网络入侵检测系统 即网络入侵检测系统,主要用于检测hacker或cracker通过网络进行的入侵行为。 运行方式有两种: 在目标主机上运行以监测其本身的通讯信息 在一台单独的机器上运行以监测所有网络设备的通讯信息,比如hub、路由器。
防火墙的工作模式
Hale Waihona Puke Baidu
防火墙分为三种模式:路由模式、透明模式、混合模 式 路由模式 防火墙工作在路由模式下,此时所有接口都配置IP 地 址,各接口所在的安全区域是三层区域,不同三层区 域相关的接口连接的外部用户属于不同的子网。当报 文在三层区域的接口间进行转发时,根据报文的IP 地 址来查找路由表,此时 防火墙表现为一个路由器。但 是, 防火墙与路由器存在不同, 防火墙中IP 报文还需 要送到上层进行相关过滤等处理,通过检查会话表或 ACL 规则以确定是否允许该报文通过。此外,还要完 成其它防攻击检查。路由模式的防火墙支持ACL 规则 检查、ASPF 状态过滤、防攻击检查、流量监控等功能。
H3C SecPath U200-CS-AC 设备类型: 企业级防火墙 网络端口: 1个配置口(CON);5GE;1个mini插槽,可通过该 插槽扩展网络接口;外置一个CF扩展槽(选配) 入侵检测: Dos,DDoS 管理: 支持标准网管 SNMPv3,并且兼容SNMP v2c、 SNMP v1,支持NTP时间同步,支持Web方式进行远程配置 管理,支持SNMP/TR-069网管协议,支持H3C SecCenter安 全管理中心进行设备管理 VPN支持: 支持 安全标准: FCC,CE 控制端口: console 其他性能: 防火墙、VPN可同时扩展卡巴
•
支持failover
–
–
Active/standby
Active/active Site to site
•
支持VPNs (2,000 tunnels)
– –
Remote access
Cisco ASA 5510
可以在一个企业、中小型企业使用或者做VPN网关 同时提供 64,000个连接 提供 300-Mbps 吞吐量 支持的接口 最多支持5个10/100 Fast Ethernet 端口 最多支持10个VLANs 支持failover Active/standby 支持 VPNs Site to site Remote access WebVPN 支持 AIP-SSM-10 (可选)
防火墙的工作模式
透明模式 防火墙工作在透明模式(也可以称为桥模式)下,此时 所有接口都不能配置IP 地址,接口所在的安全区域是二 层区域,和二层区域相关接口连接的外部用户同属一个 子网。当报文在二层区域的接口间进行转发时,需要根 据报文的MAC 地址来寻找出接口,此时防火墙表现为一 个透明网桥。但是,防火墙与网桥存在不同,防火墙中 IP 报文还需要送到上层进行相关过滤等处理,通过检查 会话表或ACL 规则以确定是否允许该报文通过。此外, 还要完成其它防攻击检查。透明模式的防火墙支持ACL 规则检查、ASPF 状态过滤、防攻击检查、流量监控等 功能。工作在透明模式下的 防火墙在数据链路层连接局 域网(LAN),网络终端用户无需为连接网络而对设备 进行特别配置,就像LAN Switch 进行网络连接。
SIV:系统完整性检测 即系统完整性检测,主要用于监视系统文件或者Windows 注册表等重要信息是否被修 改,以堵上攻击者日后来访的后门。 SIV更多的是以工具软件的形式出现,比如著名的“Tripwire”,它可以检测到 重要系统组件的变换情况,但并不产生实时的报警信息。
LFM:日志文件监测器 即日志文件监测器,主要用于监测网络服务所产生的日志文件。 LFM通过检测日志文件内容并与关键字进行匹配的方式判断入侵行为,例如对 于HTTP服务器的日志文件,只要搜索“swatch”关键字,就可以判断出是否有 “phf”攻击。
防火墙产品
E200E/1000E产品规格
防火墙产品
E8000E产品规格
•
• • •
PIX 防火墙 525
大型企业用户使用
提供 280,000 个连接 提供 330-Mbps clear text 吞吐量 端口支持
– – –
最多1010/100 以太网口
最多100个 VLANs 最多支持50个虚拟防火墙 Active/standby Active/active Site to site Remote access
•
支持 failover
– –
•
支持 VPNs (2,000 tunnels)
– –
• • • •
PIX 防火墙 535
大型企业用户使用 同时提供 500,000 个连接 提供 1.65-Gbps clear text 吞吐量 支持的端口
– – –
最多 14 个百兆或者千兆以太网口 最多支持150 个VLANs 最多支持50个虚拟防火墙
防火墙的工作原理
防火墙的原理是指设置在不同网络(如可信任的 企业内部网和不可信的公共网)或网络安全域之 间的一系列部件的组合。它是不同网络或网络安 全域之间信息的唯一出入口,通过监测、限制、 更改跨越防火墙的数据流,尽可能地对外部屏蔽 网络内部的信息、结构和运行状况,有选择地接 受外部访问,对内部强化设备监管、控制对服务 器与外部网络的访问,在被保护网络和外部网络 之间架起一道屏障,以防止发生不可预测的、潜 在的破坏性侵入。
蓝盾漏洞扫描器系统 蓝盾漏洞扫描器是检测远程或本地 系统安全脆弱性 的软件;通过与目标主机建立连接和 并请求某些服务 (如TELNET,FTP等),记录目标主机 的应答,搜索主机 相关信息(如匿名用户是否可以登录等), 从而发现目标主机某些内在的弱点。蓝盾漏洞扫 描器的重要性在于把极为繁琐的安全检测,通过程序来自动 完成,减少管理者的工作,而且缩短了检测的时间, 使问题发现更快.当然,也可以认为它是一种网络 安全性评估软件。
网闸( GAP )
网闸(GAP)全称安全隔离网闸。安全隔离网闸是 一种由带有多种控制功能专用硬件在电路上切断网 络之间的链路层连接,并能够在网络间进行安全适 度的应用数据交换的网络安全设备。 性能指标: 系统数据交换速率:120Mbps 硬件切换时间:5ms 与防火墙的区别 防火墙一般在进行IP包转发的同时,通过对IP包的 处理,实现对TCP会话的控制,但是对应用数据的 内容不进行检查。这种工作方式无法防止泄密,也 无法防止病毒和黑客程序的攻击。
华为USG2210 设备类型: 安全网关 网络端口: 2GE Combo 入侵检测: Dos,DDoS 管理: 支持命令行、WEB方式、SNMP、TR069等配置 和管理方式,这些方式提供对设备的本地配置、远程维 护、集中管理等多种手段,并提供完备的诊断、告警、 测试等功能 VPN支持: 支持 安全标准: CE,ROHS,CB,UL,VCCI 控制端口: Console口 其他性能: UTM
Cisco ASA 5520
中小企业用户使用,或者做VPN网关 提供同时 130,000个连接 提供450-Mbps 吞吐量 提供的接口 4个10/100/1000以太网口 1个10/100 以太网口 最多支持25 个VLANs 最多支持10个虚拟防火墙 支持 failover Active/standby Active/active 支持VPNs Site to site Remote access WebVPN 支持 AIP-SSM-10 (可选)
防火墙用来干什么?
保护内网有漏洞的服务 控制对内网系统的访问 将安全问题集中解决 增加隐私保护
内网系统不可见
审计和统计网络使用和错误 强制执行统一的安全策略
防火墙的功能分类
包过滤防火墙 状态检查机制防火墙 应用代理网关防火墙 专用代理防火墙 混合型防火墙 网络地址转换 基于主机的防火墙 个人防火墙/个人防火墙设备
防火墙的主要目标是控制对一个受保护网络的访 问,强迫所有连接都接受防火墙的检查和评估。 可以是路由器、计算机或一群计算机。 防火墙通过边界控制保护整个网络,而不需要对 每个网内的主机进行单独的保护,为内网仍旧可 以采用相互信任的模式提供了一定的安全基础。 防火墙是指设置在不同网络(如可信任的企业内 部网和不可信的公共网)或网络安全域之间的一 系列部件的组合。 它可通过监测、限制、更改跨越防火墙的数据流, 尽可能地对外部屏蔽网络内部的信息、结构和运 行状况, 以此来实现网络的安全保护。 在逻辑上, 防火墙是一个分离器,一个限制器,也是一个分 析器,有效地监控了内部网和Internet之间的任何 活动,保证了内部网络的安全。
防火墙的工作模式
混合模式 防火墙工作在混合透明模式下,此时部分 接口配置IP 地址,部分接口不能配置IP 地 址。配置IP 地址的接口所在的安全区域是 三层区域,接口上启动VRRP功能,用于双 机热备份;而未配置IP 地址的接口所在的 安全区域是二层区域,和二层区域相关接 口连接的外部用户同属一个子网。当报文 在二层区域的接口间进行转发时,转发过 程与透明模式的工作过 程完全相同。
Cisco ASA 5540
企业用户使用,可以做VPN网关 同时提供280,000 个连接 提供 400-Mbps 吞吐量 支持的接口 4个10/100/1000以太网口 1个 10/100 以太网口 支持 100个 VLANs 最多50个虚拟防火墙 支持 failover Active/standby Active/active 支持 VPNs Site to site (5,000 peers) Remote access WebVPN 支持 AIP-SSM-20 (可选)
Honeypots:密灌系统
蜜罐系统,也就是诱骗系统,它是一个包含漏 洞的系统,通过模拟一个或多个易受攻击的 主机,给黑客提供一个容易攻击的目标。
没有其它任务需要完成 所有连接的尝试都应被视为是可疑 拖延攻击者对其真正目标的攻击 让攻击者在蜜罐上浪费时间 最初的攻击目标受到了保护,真正有价值的内 容将不受侵犯。 蜜罐目的之一是为起诉恶意黑客搜集证据。
网络安全产品
蓝盾防火墙系统 技术先进,高效专业平台,端口反扫描, 高保密度VPN(168bit),防外又防内的解决 方案,千兆带宽 实用性强,分组代理计费功能,URL过滤功 能,地址转换功能(NAT),MAC绑定功能, 物理断开功能,流量控制
蓝盾入侵检测系统 蓝盾入侵检测系统(BD-NIDS)是一种实时的 网络入侵检测和响应系统。它能够实时监 控网络传输,自动检测可疑行为,分析来 自网络外部和内部的入侵信号。在系统受 到危害之前发出警告,实时对攻击作出反 应,并提供补救措施,最大程度地为网络 系统提供安全保障。
H3C SecPath F100-A 设备类型: 中小企业级防火墙 网络端口: 4个10/100Mbps LAN以太网交换口、3个 10/100Mbps WAN以太网口、1个AUX口(备份口)、1个CONSOLE 口(配置口)、1个MIM插槽 入侵检测: DoS、DDoS 管理: 支持标准网管 SNMPv3,并且兼容SNMP v2c、SNMP v1 VPN支持: 支持 安全标准: RADIUS, HWTACACS, PKI /CA(X.509格式), 域认证, CHAP, PAP 其他性能: 支持外部攻击防范, 内网安全, 流量监控, 邮件过滤, 网页过滤, 应用层过滤等验证 电源: 输入:100-240V,50/60Hz;输出:12
蓝盾网络整体安全架构
1. 2. 3. 4. 5. 6. 7. 8. 9. 10.
防火墙 入侵检测 物理隔离 路由器 VPN网关 反垃圾产品 网络防毒 检测过滤 可信计算平台 安全审计与分析
IDS 系统分类
NIDS:网络入侵检测系统 即网络入侵检测系统,主要用于检测hacker或cracker通过网络进行的入侵行为。 运行方式有两种: 在目标主机上运行以监测其本身的通讯信息 在一台单独的机器上运行以监测所有网络设备的通讯信息,比如hub、路由器。
防火墙的工作模式
Hale Waihona Puke Baidu
防火墙分为三种模式:路由模式、透明模式、混合模 式 路由模式 防火墙工作在路由模式下,此时所有接口都配置IP 地 址,各接口所在的安全区域是三层区域,不同三层区 域相关的接口连接的外部用户属于不同的子网。当报 文在三层区域的接口间进行转发时,根据报文的IP 地 址来查找路由表,此时 防火墙表现为一个路由器。但 是, 防火墙与路由器存在不同, 防火墙中IP 报文还需 要送到上层进行相关过滤等处理,通过检查会话表或 ACL 规则以确定是否允许该报文通过。此外,还要完 成其它防攻击检查。路由模式的防火墙支持ACL 规则 检查、ASPF 状态过滤、防攻击检查、流量监控等功能。
H3C SecPath U200-CS-AC 设备类型: 企业级防火墙 网络端口: 1个配置口(CON);5GE;1个mini插槽,可通过该 插槽扩展网络接口;外置一个CF扩展槽(选配) 入侵检测: Dos,DDoS 管理: 支持标准网管 SNMPv3,并且兼容SNMP v2c、 SNMP v1,支持NTP时间同步,支持Web方式进行远程配置 管理,支持SNMP/TR-069网管协议,支持H3C SecCenter安 全管理中心进行设备管理 VPN支持: 支持 安全标准: FCC,CE 控制端口: console 其他性能: 防火墙、VPN可同时扩展卡巴
•
支持failover
–
–
Active/standby
Active/active Site to site
•
支持VPNs (2,000 tunnels)
– –
Remote access
Cisco ASA 5510
可以在一个企业、中小型企业使用或者做VPN网关 同时提供 64,000个连接 提供 300-Mbps 吞吐量 支持的接口 最多支持5个10/100 Fast Ethernet 端口 最多支持10个VLANs 支持failover Active/standby 支持 VPNs Site to site Remote access WebVPN 支持 AIP-SSM-10 (可选)
防火墙的工作模式
透明模式 防火墙工作在透明模式(也可以称为桥模式)下,此时 所有接口都不能配置IP 地址,接口所在的安全区域是二 层区域,和二层区域相关接口连接的外部用户同属一个 子网。当报文在二层区域的接口间进行转发时,需要根 据报文的MAC 地址来寻找出接口,此时防火墙表现为一 个透明网桥。但是,防火墙与网桥存在不同,防火墙中 IP 报文还需要送到上层进行相关过滤等处理,通过检查 会话表或ACL 规则以确定是否允许该报文通过。此外, 还要完成其它防攻击检查。透明模式的防火墙支持ACL 规则检查、ASPF 状态过滤、防攻击检查、流量监控等 功能。工作在透明模式下的 防火墙在数据链路层连接局 域网(LAN),网络终端用户无需为连接网络而对设备 进行特别配置,就像LAN Switch 进行网络连接。
SIV:系统完整性检测 即系统完整性检测,主要用于监视系统文件或者Windows 注册表等重要信息是否被修 改,以堵上攻击者日后来访的后门。 SIV更多的是以工具软件的形式出现,比如著名的“Tripwire”,它可以检测到 重要系统组件的变换情况,但并不产生实时的报警信息。
LFM:日志文件监测器 即日志文件监测器,主要用于监测网络服务所产生的日志文件。 LFM通过检测日志文件内容并与关键字进行匹配的方式判断入侵行为,例如对 于HTTP服务器的日志文件,只要搜索“swatch”关键字,就可以判断出是否有 “phf”攻击。
防火墙产品
E200E/1000E产品规格
防火墙产品
E8000E产品规格
•
• • •
PIX 防火墙 525
大型企业用户使用
提供 280,000 个连接 提供 330-Mbps clear text 吞吐量 端口支持
– – –
最多1010/100 以太网口
最多100个 VLANs 最多支持50个虚拟防火墙 Active/standby Active/active Site to site Remote access
•
支持 failover
– –
•
支持 VPNs (2,000 tunnels)
– –
• • • •
PIX 防火墙 535
大型企业用户使用 同时提供 500,000 个连接 提供 1.65-Gbps clear text 吞吐量 支持的端口
– – –
最多 14 个百兆或者千兆以太网口 最多支持150 个VLANs 最多支持50个虚拟防火墙
防火墙的工作原理
防火墙的原理是指设置在不同网络(如可信任的 企业内部网和不可信的公共网)或网络安全域之 间的一系列部件的组合。它是不同网络或网络安 全域之间信息的唯一出入口,通过监测、限制、 更改跨越防火墙的数据流,尽可能地对外部屏蔽 网络内部的信息、结构和运行状况,有选择地接 受外部访问,对内部强化设备监管、控制对服务 器与外部网络的访问,在被保护网络和外部网络 之间架起一道屏障,以防止发生不可预测的、潜 在的破坏性侵入。
蓝盾漏洞扫描器系统 蓝盾漏洞扫描器是检测远程或本地 系统安全脆弱性 的软件;通过与目标主机建立连接和 并请求某些服务 (如TELNET,FTP等),记录目标主机 的应答,搜索主机 相关信息(如匿名用户是否可以登录等), 从而发现目标主机某些内在的弱点。蓝盾漏洞扫 描器的重要性在于把极为繁琐的安全检测,通过程序来自动 完成,减少管理者的工作,而且缩短了检测的时间, 使问题发现更快.当然,也可以认为它是一种网络 安全性评估软件。
网闸( GAP )
网闸(GAP)全称安全隔离网闸。安全隔离网闸是 一种由带有多种控制功能专用硬件在电路上切断网 络之间的链路层连接,并能够在网络间进行安全适 度的应用数据交换的网络安全设备。 性能指标: 系统数据交换速率:120Mbps 硬件切换时间:5ms 与防火墙的区别 防火墙一般在进行IP包转发的同时,通过对IP包的 处理,实现对TCP会话的控制,但是对应用数据的 内容不进行检查。这种工作方式无法防止泄密,也 无法防止病毒和黑客程序的攻击。
华为USG2210 设备类型: 安全网关 网络端口: 2GE Combo 入侵检测: Dos,DDoS 管理: 支持命令行、WEB方式、SNMP、TR069等配置 和管理方式,这些方式提供对设备的本地配置、远程维 护、集中管理等多种手段,并提供完备的诊断、告警、 测试等功能 VPN支持: 支持 安全标准: CE,ROHS,CB,UL,VCCI 控制端口: Console口 其他性能: UTM
Cisco ASA 5520
中小企业用户使用,或者做VPN网关 提供同时 130,000个连接 提供450-Mbps 吞吐量 提供的接口 4个10/100/1000以太网口 1个10/100 以太网口 最多支持25 个VLANs 最多支持10个虚拟防火墙 支持 failover Active/standby Active/active 支持VPNs Site to site Remote access WebVPN 支持 AIP-SSM-10 (可选)
防火墙用来干什么?
保护内网有漏洞的服务 控制对内网系统的访问 将安全问题集中解决 增加隐私保护
内网系统不可见
审计和统计网络使用和错误 强制执行统一的安全策略
防火墙的功能分类
包过滤防火墙 状态检查机制防火墙 应用代理网关防火墙 专用代理防火墙 混合型防火墙 网络地址转换 基于主机的防火墙 个人防火墙/个人防火墙设备