防火墙技术
合集下载
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
防火墙不能做什么
不能控制不经防火墙的通信与访问
不能防范来自网络内部的攻击
不能主动防范新的安全威胁
——防火墙基本概念
防 火 墙 的 发 展 历 程
基于路由器的防火墙
• • • •
利用路由器本身对分组的解析,进行分组过滤 过滤判断依据:地址、端口号、IP旗标及其它网络特征 防火墙与路由器合为一体,只有过滤功能 适用于对安全性要求不高的网络环境
防火墙需要更新换代
•
•
• • •
传统的防火墙基于包头信息 可是却无法分辨应用及其内容 也不能区分用户 更无法分析记录用户的行为 处理性能要求更高
新 一 代 防 火 墙 技 术
AGENDA
内容纲要
1 2 3
新一代防火墙核心技术
新一代防火墙的基本要求
新一代防火墙的发展趋势
NGFW核心技术特点
NGFW
多核芯片工艺提升
年份 2007 2008 2009 2010 2011 2012 2013 2014
工艺
产品线
• Tick PENRYN Family • Tock NEHALEM • Tick WESTMERE • Tock SANDY BRIDGE • Tick IVY BRIDGE • Tock HASWELL
IM、P2P 800+应用识别 20wWEB应用
安全事件
攻击特征库 安全漏洞库 恶意站点库 蠕虫病毒库
网页分类
52分类 2000万站点 绿色上网
升级服务体系建设
攻击特征库每周升级一次 应用特征库两周升级一次 URL分类库两周升级一次 恶意站点库一周升级两次 安全漏洞库两周升级一次 病毒库一周升级两次 <一周的事件分析时间 <24小时的应急响应服务
将过滤功能从路由器中独立出来,并加上审计和告警功能 针对用户需求,提供模块化的软件包 软件可通过网络发送,用户可根据需要构造防火墙 与第一代防火墙相比,安全性提高了,价格降低了
防火墙工具套
是批量上市的专用防火墙产品 包括分组过滤或者借用路由器的分组过滤功能 装有专用的代理系统,监控所有协议的数据和指令 保护用户编程空间和用户可配置内核参数的设置 安全性和速度大为提高。 防火墙厂商具有操作系统的源代码,并可实现安全内核 去掉了不必要的系统特性,加固内核,强化安全保护 在功能上包括了分组过滤、应用网关、电路级网关 增加了许多附加功能:加密、鉴别、审计 透明性好,易于使用
能做什么:
流量识别
流量管理 内容安全
机器学习算法
通过从数据流的众多属性中挖掘出有效特征,用于流量识别
训练数 据源
数据 预处理
属性 选择
机器学 习算法
学习结果
测试ቤተ መጻሕፍቲ ባይዱ 据源
16
新一代防火墙应用识别现状
常见网络应用 P2P下载 P2P视频 即时通讯 炒股软件 网络游戏 网络电话 常用协议 远程协助 办公软件 网络管理 网上银行 软件更新 网络会议 文件下载 网络共享 木马控制 Web2.0应用
游戏
阅读 工具 生活 视频 音乐 娱乐
手机
网站 新闻 读书 社交 儿童 办公
文件传输
代理工具
下载资源
视频资源
新一代防火墙安全能力整体概括 云安全能力
恶意代码分析 挂马分析平台 恶意URL分析 安全事件通报
新漏洞与攻 防技术研究
漏洞挖掘 WEB攻防 DDoS DNS安全 APT攻击
特征库开发
应用识别
可扩展液晶 屏
交直单 双流电源
可扩展一键 式按钮
可扩展 VPN加速 卡
可扩展X个SFP+万兆接口
可扩展48+1个千兆接口
扩展卡类型:
• 8电、8光 • 4电4光 • 4电、4光 • 4SFI、 • 2SFI万兆口
LCD USB AUX GE
扩展插槽Slot4
扩展插槽Slot1
扩展插槽Slot5
扩展插槽Slot2
全局威胁感知—主动云防御平台
捕获蠕虫病毒样本 识别DDoS僵尸网络 分析黑客攻击和后门
安全网关产品硬件技术趋势
网安产品功能应用的日益丰富,其采用的硬件架构注定为多核架构。随 着新一代防火墙对硬件性能的要求越来越高,可以通过扩展更多CPU核 数、配合加速卡(ASIC\NP)来解决。在目前来看,这种方案是最佳的 组合。
新一代防火墙技术探讨
网御星云 魏德富
什么是防火墙?
概念:防火墙被设计用来防止火从大厦的一部分传播 到另一部分
——防火墙基本概念
安全 的威胁
√ 黑客入侵 √ 内部攻击 √ 病毒危害 √ 信息泄露 √ 数据篡改
——防火墙基本概念
防火墙的引入
Internet
边界点安全威胁
防火 墙
HTTP/FTP/SMTP Server
FW、UTM:
基于五元组的访问控制 IM、P2P为主的客户端应用
NGFW:
基于六元组的应用层访问控 制(增加应用ID)
控制
所有互联网应用的控制:客
户端应用+WEB2.0应用
应用分析技术的演变
深度报文检测(DPI) •提取报文特征字、协议指纹等关键字作为特征 深度流(状态)检测(DFI) •提取平均速率,流持续时间,字节数,包长等流 特征信息,可识别P2P加密流量的技术 P2P特征提取技术 •海量P2P数据自动分流,分类,提取准确流特征 •基于主动识别技术的P2P流量检测(专利) •基于机器学习算法的P2P特征自动提取技术
抗CC攻击 立体 防护 漏洞扫描 主动防御
抗ARP攻击
应用识别
抗ARP/CC攻击,阻断应用攻击
WEB分类库过滤,有效清理网址
协议支持要多,URL库要全 特征更新频率要高
33
新一代骨干网核心防火墙
运行于网络核心层 下一代数据中心
云计算服务器边界
多种骨干核心网平台
多核+ASIC混合架构
+
320Gbps极限性能
2.
状态检查:状态检测防火墙工作于网络层,与包过滤防火墙相比,状态检 测防火墙判断允许还是禁止数据流的依据也是源IP地址,目的IP地址,源 端口,目的端口和通讯协议等。与包过滤防火墙不同的是,状态检测防火 墙是基于会话信息做出决策的(结合前后分组的数据进行综合判断 ), 而不是包的信息。
3.
应用代理(Application Proxy):也叫应用网关(Application Gateway),它作用在应用层,其特点是完全“阻隔”了网络通信流,通过 对每种应用服务编制专门的代理程序,实现监视和控制应用层通信流的作 用。实际中的应用网关通常由专用工作站实现。
基于通用操作 系统的防火墙
基于安全操作 系统的防火墙
——防火墙基本概念
防 火 墙 的 种 类
1.
分组过滤/包过滤(Packet filtering):作用在网络层和传输层,它根 据分组包头源地址,目的地址和端口号、协议类型等标志确定是否允许数 据包通过。只有满足过滤逻辑的数据包才被转发到相应的目的地出口端, 其余数据包则被从数据流中丢弃。
新一代防火墙的加固技术
集成评估、防护、检测 多功能安全防护设备 加固型 网络安全防护设备
网络、安全、保密、 通信四合一网络设备
一般恶劣环境
极度恶劣、空间有限的环境
新一代防火墙的虚拟化技术
基于虚拟化技术的防火墙
以安全虚拟机形势部署
虚拟化的部署示意图
国内首推云计算安全产品
御云虚拟化防火墙产品Leadsec-vFW
• 专业应用控制功能 • 流控产品应用 • 特征库明显提升
P2P下载控制 IM即时通讯
• 应用特征库需要进 一步增加;
• WEB2.0智能特征 库更完善
应用特征
WEB分类库过滤
网游炒股控制
P2P视频控制
趋势6、优化应用层防护功能
WEB2.0过滤 360度应用防护
漏洞扫描,保护内网安全
主动防御,防护外网安全 应用识别,控制应用层带宽
AAA URL 应用特征
智能应用态势感知
高性能是必须的
只含时延敏感功能
应用识别控制是热点
防火墙功能
应用识别、控制、可视化、审计
UTM面向中低端
深度内联IPS
含AV等延时不敏感功能
NGFW与UTM是互补
硬件Qos加速 硬件VPN加速
高性能硬件平台
硬件压缩加速 硬件匹配加速
硬件分流
高性能多核
应用识别功能的演变
根据访问控制规则决 定进出网络的行为
一种高级访问控制设备,置于不同网络安全域之间的一系列部件的组合,它是不同 网络安全域间通信流的唯一通道,能根据企业有关的安全政策控制(允许、拒绝、 监视、记录)进出网络的访问行为。
——防火墙基本概念
防火墙能做什么
保障授权合法用户的通信与访问 禁止未经授权的非法通信与访问 记录经过防火墙的通信活动
——防火墙的发展
防火墙软件的发展
包过滤防火墙 应用网关(应用代理)防火墙 状态检测包过滤防火墙 下一代应用防火墙(NGFW)
——防火墙的发展趋势
网络在改变
• • • •
网络已经深入日常生活 1、大量的新应用建立在HTTP/HTTPS标准协议之上 2、许多威胁依附在应用之中传播肆虐 3、Gartner(美国高德纳咨询公司 )报告:75%的 攻击来自应用层 仅80端口上的应用就有N种,防火墙如何限制?
一切未被允许的就是禁止的!
——防火墙基本概念
安全域1 Host A Host B 两个安全域之间通 信流的唯一通道 安全域2 Host C Host D
Sourc e Host A Host B
Destinatio n Host C Host C
Permi t Pass Block
Protoc ol TCP UDP
45nm
32nm 22nm
15nm
• Tick Broadwell • Tock SkyLake
Sandy bridge C206 芯片的硬件平台已被采用,并完成产品化工作。
多核芯片工艺提升
高 性 能
Sandy Bridge处理器特性
低 延 迟
单处理芯片完全融合 CPU,核芯显卡,内存控制器,PCI Express* 等处理单元,提高了工作效率。
Proxy Server
File Server Data Base
User Client
——防火墙基本概念
防火墙的概念:
在信任网络与非信任网络之间,通过预定义的 安全策略,对内外网通信强制实施访问控制的安全 应用设备。
导入防火墙的技术原理:
将不信任网络对信任网络的安全威胁强制到 单一安全控制点。
防火墙的原则:
新一代的基本特色和核心技术
5大特色,12项核心技术
五大特色,十二项核心技术
AGENDA
内容纲要
1
2
3
新一代防火墙核心技术
新一代防火墙的基本要求
新一代防火墙的发展趋势
新一代防火墙趋势1:极致完美的用户WEB界面
趋势2:防火墙硬件模块需要有丰富的扩展性
可扩展硬盘、 内存
可扩展48 千兆 \10万兆
多核多线程ASIC并行操作系统
谢谢
扩展插槽Slot6
扩展插槽Slot3
趋势3: IPv6/IPv4双协议栈功能
√支持IPv6功能
IPv6透明、路由、混合模式 IPv6/IPv4双协议栈 IPv6防火墙过滤功能
趋势4: 防火墙创新3G/WiFi无线安全
健康状态灯
3G/WiFi无线接入
新型面板 新WEB界面
趋势5:精度加深的应用控制
“环”形互连总线连接,处理器内部各个模块高带宽、低延迟
低 功 耗
高带宽的最后一级高速缓存(LLC)
集成内存控制器,支持双通道 DDR3 内存
多 线 程
多 核 超线程技术: 4 核 心
/ 8 线程、 2 核 / 4 线程
AGENDA
内容纲要
1
2
3
新一代防火墙核心技术
新一代防火墙的基本要求
新一代防火墙的发展趋势
不能控制不经防火墙的通信与访问
不能防范来自网络内部的攻击
不能主动防范新的安全威胁
——防火墙基本概念
防 火 墙 的 发 展 历 程
基于路由器的防火墙
• • • •
利用路由器本身对分组的解析,进行分组过滤 过滤判断依据:地址、端口号、IP旗标及其它网络特征 防火墙与路由器合为一体,只有过滤功能 适用于对安全性要求不高的网络环境
防火墙需要更新换代
•
•
• • •
传统的防火墙基于包头信息 可是却无法分辨应用及其内容 也不能区分用户 更无法分析记录用户的行为 处理性能要求更高
新 一 代 防 火 墙 技 术
AGENDA
内容纲要
1 2 3
新一代防火墙核心技术
新一代防火墙的基本要求
新一代防火墙的发展趋势
NGFW核心技术特点
NGFW
多核芯片工艺提升
年份 2007 2008 2009 2010 2011 2012 2013 2014
工艺
产品线
• Tick PENRYN Family • Tock NEHALEM • Tick WESTMERE • Tock SANDY BRIDGE • Tick IVY BRIDGE • Tock HASWELL
IM、P2P 800+应用识别 20wWEB应用
安全事件
攻击特征库 安全漏洞库 恶意站点库 蠕虫病毒库
网页分类
52分类 2000万站点 绿色上网
升级服务体系建设
攻击特征库每周升级一次 应用特征库两周升级一次 URL分类库两周升级一次 恶意站点库一周升级两次 安全漏洞库两周升级一次 病毒库一周升级两次 <一周的事件分析时间 <24小时的应急响应服务
将过滤功能从路由器中独立出来,并加上审计和告警功能 针对用户需求,提供模块化的软件包 软件可通过网络发送,用户可根据需要构造防火墙 与第一代防火墙相比,安全性提高了,价格降低了
防火墙工具套
是批量上市的专用防火墙产品 包括分组过滤或者借用路由器的分组过滤功能 装有专用的代理系统,监控所有协议的数据和指令 保护用户编程空间和用户可配置内核参数的设置 安全性和速度大为提高。 防火墙厂商具有操作系统的源代码,并可实现安全内核 去掉了不必要的系统特性,加固内核,强化安全保护 在功能上包括了分组过滤、应用网关、电路级网关 增加了许多附加功能:加密、鉴别、审计 透明性好,易于使用
能做什么:
流量识别
流量管理 内容安全
机器学习算法
通过从数据流的众多属性中挖掘出有效特征,用于流量识别
训练数 据源
数据 预处理
属性 选择
机器学 习算法
学习结果
测试ቤተ መጻሕፍቲ ባይዱ 据源
16
新一代防火墙应用识别现状
常见网络应用 P2P下载 P2P视频 即时通讯 炒股软件 网络游戏 网络电话 常用协议 远程协助 办公软件 网络管理 网上银行 软件更新 网络会议 文件下载 网络共享 木马控制 Web2.0应用
游戏
阅读 工具 生活 视频 音乐 娱乐
手机
网站 新闻 读书 社交 儿童 办公
文件传输
代理工具
下载资源
视频资源
新一代防火墙安全能力整体概括 云安全能力
恶意代码分析 挂马分析平台 恶意URL分析 安全事件通报
新漏洞与攻 防技术研究
漏洞挖掘 WEB攻防 DDoS DNS安全 APT攻击
特征库开发
应用识别
可扩展液晶 屏
交直单 双流电源
可扩展一键 式按钮
可扩展 VPN加速 卡
可扩展X个SFP+万兆接口
可扩展48+1个千兆接口
扩展卡类型:
• 8电、8光 • 4电4光 • 4电、4光 • 4SFI、 • 2SFI万兆口
LCD USB AUX GE
扩展插槽Slot4
扩展插槽Slot1
扩展插槽Slot5
扩展插槽Slot2
全局威胁感知—主动云防御平台
捕获蠕虫病毒样本 识别DDoS僵尸网络 分析黑客攻击和后门
安全网关产品硬件技术趋势
网安产品功能应用的日益丰富,其采用的硬件架构注定为多核架构。随 着新一代防火墙对硬件性能的要求越来越高,可以通过扩展更多CPU核 数、配合加速卡(ASIC\NP)来解决。在目前来看,这种方案是最佳的 组合。
新一代防火墙技术探讨
网御星云 魏德富
什么是防火墙?
概念:防火墙被设计用来防止火从大厦的一部分传播 到另一部分
——防火墙基本概念
安全 的威胁
√ 黑客入侵 √ 内部攻击 √ 病毒危害 √ 信息泄露 √ 数据篡改
——防火墙基本概念
防火墙的引入
Internet
边界点安全威胁
防火 墙
HTTP/FTP/SMTP Server
FW、UTM:
基于五元组的访问控制 IM、P2P为主的客户端应用
NGFW:
基于六元组的应用层访问控 制(增加应用ID)
控制
所有互联网应用的控制:客
户端应用+WEB2.0应用
应用分析技术的演变
深度报文检测(DPI) •提取报文特征字、协议指纹等关键字作为特征 深度流(状态)检测(DFI) •提取平均速率,流持续时间,字节数,包长等流 特征信息,可识别P2P加密流量的技术 P2P特征提取技术 •海量P2P数据自动分流,分类,提取准确流特征 •基于主动识别技术的P2P流量检测(专利) •基于机器学习算法的P2P特征自动提取技术
抗CC攻击 立体 防护 漏洞扫描 主动防御
抗ARP攻击
应用识别
抗ARP/CC攻击,阻断应用攻击
WEB分类库过滤,有效清理网址
协议支持要多,URL库要全 特征更新频率要高
33
新一代骨干网核心防火墙
运行于网络核心层 下一代数据中心
云计算服务器边界
多种骨干核心网平台
多核+ASIC混合架构
+
320Gbps极限性能
2.
状态检查:状态检测防火墙工作于网络层,与包过滤防火墙相比,状态检 测防火墙判断允许还是禁止数据流的依据也是源IP地址,目的IP地址,源 端口,目的端口和通讯协议等。与包过滤防火墙不同的是,状态检测防火 墙是基于会话信息做出决策的(结合前后分组的数据进行综合判断 ), 而不是包的信息。
3.
应用代理(Application Proxy):也叫应用网关(Application Gateway),它作用在应用层,其特点是完全“阻隔”了网络通信流,通过 对每种应用服务编制专门的代理程序,实现监视和控制应用层通信流的作 用。实际中的应用网关通常由专用工作站实现。
基于通用操作 系统的防火墙
基于安全操作 系统的防火墙
——防火墙基本概念
防 火 墙 的 种 类
1.
分组过滤/包过滤(Packet filtering):作用在网络层和传输层,它根 据分组包头源地址,目的地址和端口号、协议类型等标志确定是否允许数 据包通过。只有满足过滤逻辑的数据包才被转发到相应的目的地出口端, 其余数据包则被从数据流中丢弃。
新一代防火墙的加固技术
集成评估、防护、检测 多功能安全防护设备 加固型 网络安全防护设备
网络、安全、保密、 通信四合一网络设备
一般恶劣环境
极度恶劣、空间有限的环境
新一代防火墙的虚拟化技术
基于虚拟化技术的防火墙
以安全虚拟机形势部署
虚拟化的部署示意图
国内首推云计算安全产品
御云虚拟化防火墙产品Leadsec-vFW
• 专业应用控制功能 • 流控产品应用 • 特征库明显提升
P2P下载控制 IM即时通讯
• 应用特征库需要进 一步增加;
• WEB2.0智能特征 库更完善
应用特征
WEB分类库过滤
网游炒股控制
P2P视频控制
趋势6、优化应用层防护功能
WEB2.0过滤 360度应用防护
漏洞扫描,保护内网安全
主动防御,防护外网安全 应用识别,控制应用层带宽
AAA URL 应用特征
智能应用态势感知
高性能是必须的
只含时延敏感功能
应用识别控制是热点
防火墙功能
应用识别、控制、可视化、审计
UTM面向中低端
深度内联IPS
含AV等延时不敏感功能
NGFW与UTM是互补
硬件Qos加速 硬件VPN加速
高性能硬件平台
硬件压缩加速 硬件匹配加速
硬件分流
高性能多核
应用识别功能的演变
根据访问控制规则决 定进出网络的行为
一种高级访问控制设备,置于不同网络安全域之间的一系列部件的组合,它是不同 网络安全域间通信流的唯一通道,能根据企业有关的安全政策控制(允许、拒绝、 监视、记录)进出网络的访问行为。
——防火墙基本概念
防火墙能做什么
保障授权合法用户的通信与访问 禁止未经授权的非法通信与访问 记录经过防火墙的通信活动
——防火墙的发展
防火墙软件的发展
包过滤防火墙 应用网关(应用代理)防火墙 状态检测包过滤防火墙 下一代应用防火墙(NGFW)
——防火墙的发展趋势
网络在改变
• • • •
网络已经深入日常生活 1、大量的新应用建立在HTTP/HTTPS标准协议之上 2、许多威胁依附在应用之中传播肆虐 3、Gartner(美国高德纳咨询公司 )报告:75%的 攻击来自应用层 仅80端口上的应用就有N种,防火墙如何限制?
一切未被允许的就是禁止的!
——防火墙基本概念
安全域1 Host A Host B 两个安全域之间通 信流的唯一通道 安全域2 Host C Host D
Sourc e Host A Host B
Destinatio n Host C Host C
Permi t Pass Block
Protoc ol TCP UDP
45nm
32nm 22nm
15nm
• Tick Broadwell • Tock SkyLake
Sandy bridge C206 芯片的硬件平台已被采用,并完成产品化工作。
多核芯片工艺提升
高 性 能
Sandy Bridge处理器特性
低 延 迟
单处理芯片完全融合 CPU,核芯显卡,内存控制器,PCI Express* 等处理单元,提高了工作效率。
Proxy Server
File Server Data Base
User Client
——防火墙基本概念
防火墙的概念:
在信任网络与非信任网络之间,通过预定义的 安全策略,对内外网通信强制实施访问控制的安全 应用设备。
导入防火墙的技术原理:
将不信任网络对信任网络的安全威胁强制到 单一安全控制点。
防火墙的原则:
新一代的基本特色和核心技术
5大特色,12项核心技术
五大特色,十二项核心技术
AGENDA
内容纲要
1
2
3
新一代防火墙核心技术
新一代防火墙的基本要求
新一代防火墙的发展趋势
新一代防火墙趋势1:极致完美的用户WEB界面
趋势2:防火墙硬件模块需要有丰富的扩展性
可扩展硬盘、 内存
可扩展48 千兆 \10万兆
多核多线程ASIC并行操作系统
谢谢
扩展插槽Slot6
扩展插槽Slot3
趋势3: IPv6/IPv4双协议栈功能
√支持IPv6功能
IPv6透明、路由、混合模式 IPv6/IPv4双协议栈 IPv6防火墙过滤功能
趋势4: 防火墙创新3G/WiFi无线安全
健康状态灯
3G/WiFi无线接入
新型面板 新WEB界面
趋势5:精度加深的应用控制
“环”形互连总线连接,处理器内部各个模块高带宽、低延迟
低 功 耗
高带宽的最后一级高速缓存(LLC)
集成内存控制器,支持双通道 DDR3 内存
多 线 程
多 核 超线程技术: 4 核 心
/ 8 线程、 2 核 / 4 线程
AGENDA
内容纲要
1
2
3
新一代防火墙核心技术
新一代防火墙的基本要求
新一代防火墙的发展趋势