DPtech FW1000系列防火墙系统培训胶片

状态表老化
状态表中的表项都有预定义 的老化时间。 如超过老化时间仍没有新的 数据包通过，则删除该条记 录。 无老化时间的记录称为长连 接，用于某些特殊应用
如该数据包为TCP FIN包， 则转发后删除相关表项。
基于状态表转发
FW与Router的区别：状态表一次匹配多次转发，ACL每次都要重新匹配。
www.dptechnology.net 11
万兆级
FW1000-GE-N FW1000-TS-N FW1000-TM-N FW1000-TA-N
千兆级
FW1000-GS-N
FW1000-GM-N
FW1000-GA-N
百兆级
FW1000-MS-N
FW1000-MA-N
FW1000-ME-N
•业务创新：下一代应用防火墙，内嵌丰富的应用过滤与控制引擎
1990年
1995年
2000年
2010年
www.dptechnology.net 7
防火墙发展阶段——包过滤防火墙
检 查 项
IP 包的源地址 IP 包的目的地址
TCP/UDP 源端口
包过滤防火墙
IP 包 检测包头 符合 检查路由
转发
不符合 安全策略：过滤规则 路由表
丢弃
www.dptechnology.net 8
2009年被篡改的政府网站累计达2765 个，
网站被篡改的比例相对较高
www.dptechnology.net
5
传统防火墙无能为力
传统防火墙为2-4层设备，基于IP报文头进行检测
正常Web 服务 来自百度文库QL注入
即时通讯
P2P/多媒体
80端口协议顺利通过防火墙检测
www.dptechnology.net
软件架构
– 网络操作系统平台
自主研发的高性能网络操作系统平台ConPlat，支撑各 种不同的网络产品，同时保障相同产品的各种款型系 列资源整合
– 深度流检测引擎
多模匹配算法，算法的性能与特征多少无关；通用检 测引擎，检测引擎只需对报文内容检测一次，即能满 足多种检测需求
– DDos检测引擎
基于报文内容和统计学原理，精确识别各种DDos攻击
Server
应用代理防火墙
双向通信必须经过应用代理，禁止IP直接转发； 只允许本地安全策略允许的通信信息通过；
www.dptechnology.net 9
防火墙发展阶段——状态检测防火墙
状态检测包过滤防火墙
会话连接状态缓存表
符合 下一步 处理
IP 包
检测包头
符合 不符合
安全策略：过滤规则
IP 包的源、目的地址、端口
ＤＭＺ域
trust域
。。。
WWW
FTP
服务器
www.dptechnology.net
29
组网模式及其部署——路由模式
• 组网应用场景 – 需要路由功能做三层转发 – 需要共享Internet接入 – 需要对外提供应用服务 – 需要使用虚拟专用网
• 特点 – 提供丰富的路由功能，静态路由、RIP、OSPF等 – 提供源NAT支持共享Internet接入 – 提供目的NAT支持对外提供各种服务 – 支持各类安全特性：攻击防护、包过滤、应用识别及应用访 问控制等 – 需要使用WEB认证功能
6
防火墙发展阶段
性能要求
应用防火墙
状态检测防火墙
代理型防火墙
•基于端口检测、应 用层能力弱 •软硬件、工控机、 ASIC、NP
•基于应用协议检测 •基于用户行为审计 •基于内容进行过滤 •硬件、多核、FPGA •全面防护，新一代 防火墙
包过滤防火墙
易用性低、软件、 工控机
简单、软件、工控机
技术发展
2009年7月，韩国总统府、国防部、 外交通商部等政府部门和主要银行、 媒体网站同时遭攻击，瘫痪时间长 达4小时
……
www.dptechnology.net
4
WEB安全问题日益严重
针对WEB的攻击已成为主流 SQL注入、跨站脚本攻击、蠕虫病毒、DDoS攻击 2009 年，CNCERT 监测中国大陆有4.2 万个网站被黑客篡改
www.dptechnology.net
21
硬件架构
高性能硬件架构
GE单机最大吞吐量10Gbps、并发会话数200万 业界领先的全分布式硬件架构 先进的技术实现：多核处理器+FPGA 多核处理器实现灵活的策略下发、流量整形及组件管理 FPGA实现安全业务的线速处理
www.dptechnology.net 22
•卓越领先：百G平台，先进的硬件架构体系 •硬件加密：全内置硬件IPSec、SSL加密 •组网灵活：支持丰富的网络协议，适应各种复杂组网环境
www.dptechnology.net
14
DPtech FW1000-N系列应用防火墙
FW1000-MA/ME-N
FW1000-GS/GM-N
千兆光口
千兆电口
FW1000-TM/TA/TE-N
FW1000-BLADE
www.dptechnology.net 18
安全趋势 产品介绍 技术特点 组网模式 功能讲解 典型配置
www.dptechnology.net 19
硬件架构
– 多核CPU硬件架构
提高CPU处理能力，多核并发处理网络流量，提高设 备处理性能
电力
企业
…
定制
融合
ConPlat内容操作系统
防火墙 DDoS NAT 带宽控制
App-ID数字补丁
非法扫描 防病毒
攻击特征库 病毒库
随需而变的动 态应用平台
行为审计
VPN
防网页篡改 负载均衡
应用加速
交换
路由
…
应用特征库
…
Manage Processor
RAM Multi-Core CPU RAM
APP-X硬件平台
控制平面 数据平面
高性能、一体 化、虚拟化的 动态基础平台
10G NP
NAT Route MAC
Multi-Core Processor
10G
CPU 1 SSL CPU ... 2 CPU 16 RAM RAM 解密
FPGA
RAM
10G
QoS
NAT
Filter Matching
RAM RAM
IPSec
•ARP攻击
网络层
•防火墙 •VPN/NAT •DDoS •ARP攻击…
•交换•NAT •ACL/NAT.. •路由
•ACL
•交换
网络产品硬件平台 •ASIC＋NP
APP-X
•多核 + FPGA
应用产品硬件平台 Crossbar+ ASIC
•网络接口模块 •X86、ASIC、NP、多核
传统网络产品
围绕2~3层交换，实时性高 缺乏处理4~7层业务能力
管理口
串口
www.dptechnology.net 15
DPtech FW1000-N系列应用防火墙
FW1000-GA-N
www.dptechnology.net
16
DPtech FW1000-N系列应用防火墙
FW1000-GE/TS-N
www.dptechnology.net
17
DPtech FW1000-N系列应用防火墙
ETH0/2 所属域：trust，二层接口，接口类型：ACCESS
ETH0/6 所属域：trust，二层接口，接口类型：trunk
trust域
trust域
www.dptechnology.net
26
组网模式及其部署——透明模式
• 组网应用场景 – 需要二层交换机功能做二层转发 – 在既有的网络中，不改变网络拓扑，而且需要安全业务 – 防火墙的不同网口所接的局域网都位于同一网段
www.dptechnology.net 23
软件架构
ConPlat 内容操作系统 •防病毒 •防垃圾邮件
•间谍软件
•DDoS
•防网页篡改
•带宽滥用 •防火墙
应用层 •防病毒 •防垃圾邮件 •防漏洞攻击 •木马 •负载均衡 •非法扫描 •应用加速 •… •木马 •VPN
•VoIP •…
网络层
•路由 •接口
防火墙发展阶段——应用防火墙
流量控制 行为审计
有线无线 一体化
攻击防范
URL过滤
VPN 状态检测
NAT
DPtech 应用防火墙
安全隔离
www.dptechnology.net
12
安全趋势 产品介绍 技术特点 组网模式 功能讲解 典型配置
www.dptechnology.net 13
DPtech FW1000-N系列应用防火墙
www.dptechnology.net 30
组网模式及其部署——路由模式
• 配置要点 – 接口添加到相应的域 – 接口工作于三层接口，并配置接口类型 – 配置地址分配形式静态IP、DHCP、PPPoE
www.dptechnology.net
31
组网模式及其部署——混合模式
• 组网应用场景 – 需结合透明模式及路由模式
– 内置FPGA硬件以及硬件逻辑检测引擎
通过FPGA的硬件检测引擎，极大的提高设备性能以及 设备的竞争力
– 硬件测速单元NA及内置高速网络转发和处理 芯片
网络接口密度高、数量多、接口类型丰富，能够满足 各种部署和组网需求
www.dptechnology.net 20
硬件架构
用户解决方案
运营商
政府
金融
检 查 项
丢弃
TCP 会话的连接状态
上下文信息
www.dptechnology.net 10
防火墙发展阶段——状态检测防火墙
新建连接
如收到的数据包为新建TCP 连接的数据包，则根据预定 义规则决定是否转发。 如确定需要转发则在状态表 中增加相关表项，并开始跟 踪TCP握手信息。
非新建连接
如收到的数据包为非新建连 接，则检查状态表表项。 如有相关表项则根据表项进 行转发，否则丢弃该数据包。
• 特点 – 对用户是透明的，即用户意识不到防火墙的存在 – 部署简单，不改变现有的网络拓扑，无需更改其他网络设备 的配置 – 支持各类安全特性：攻击防护、包过滤、应用识别及应用访 问控制等
www.dptechnology.net
27
组网模式及其部署——透明模式
• 配置要点 – 接口添加到相应的域 – 接口为二层接口，根据需要，配置接口类型为ACCESS或 TRUNK – 接口配置VLAN属性 – 必须配置一个vlan-ifxxx的管理地址 ，用于设备管理
• 特点 – 在VLAN内做二层转发 – 在VLAN间做三层转发 – 支持各类安全特性：攻击防护、包过滤、应用识别及应用访 问控制等 • 配置要点 – 接口添加到相应的域 – 接口为二层接口，根据需要，配置接口类型为ACCESS或 TRUNK – 接口配置VLAN属性 – 添加三层接口，用于三层转发 – 配置一个vlan-ifxxx的地址 ，用于三层转发
www.dptechnology.net
28
组网模式及其部署——路由模式
Internet
ETH0/2 所属域：untrust，三层接口，接口类型：WAN
untrust域
ETH0/3 所属域：untrust，三层接口，接口类型：WAN
ETH0/4 所属域：DMZ，三层接口，接口类型：LAN
ETH0/7 所属域：trust，三层接口，接口类型：LAN ETH0/6 所属域：trust，三层接口，接口类型：LAN
www.dptechnology.net 32
安全趋势 产品介绍 技术特点 组网模式 功能讲解 典型配置
www.dptechnology.net 33
NAT技术
• 源NAT：是将IP数据报文头中的IP地址转换为另一个IP地址的过程。 在实际应用中，NAT主要用于实现私有网络访问公共网络的功能。这 种通过使用少量的公网IP地址代表较多的私网IP地址的方式，将有助 于减缓可用IP地址空间的枯竭
ConPlat是业界第一个实现高实时性、真正理解网络、安全与应用的内容操作系统
www.dptechnology.net 24
安全趋势 产品介绍 技术特点 组网模式 功能讲解 典型配置
www.dptechnology.net 25
组网模式及其部署——透明模式
untrust域
ETH0/3 所属域：untrust，二层接口，接口类型：ACCESS ETH0/5 所属域：untrust，二层接口，接口类型：trunk
防火墙发展阶段——代理型防火墙
代理服务器评价来自代理客户的请求并决定请求是否被认可。 如果请求被认可，代理服务器便代表客户接触真正的服务器 并且转发从代理客户到真正的服务器的请求以及真正的服务 器到代理客户的响应。
请求 代理服务器
Client
被转发的 请求
被转发的 应答
安全策略 访问控制
代理客户机 应答
DPtech FW1000-N系列防火墙
安全趋势 产品介绍 技术特点 组网模式 功能讲解 典型配置
www.dptechnology.net 2
新应用层出不穷
WEB2.0
云计算
P2P应用
网上支付
www.dptechnology.net
3
应用安全事件频发
2010年5月，中国81个政府网站 被篡改 2010年1月，微软IE浏览器再爆0 Day漏洞