[IT认证]防火墙.ppt_三一文库31doc.com

资源描述

《[IT认证]防火墙.ppt》由会员分享，可在线阅读，更多相关《[IT认证]防火墙.ppt（92页珍藏版）》请在三一文库上搜索。

1、网络防火墙技术及发展网络防火墙技术及发展北京天融信北京天融信南昌南昌办事办事处处关于天融信关于天融信 1995年成立，国内最早的信息安全厂商北京为总部，全国设有 32+个分支机构用户超过5万,产品部署超过22万，在线产品超过15万国内最大的专业安全产品、服务和解决方案提供商关于天融信技术支持本地化服务：全国32+个分支机构；专业化服务人员：400+服务工程师分布全国；完善的CallCenter系统：800-810-5119, 400-610-5119；人才储备人员构成：1200+员工，技术人员700多名，占70%以上；研发人员300+，占 30%以上；人

2、才储备：博士后流动站，博士后1名；博士多名；硕士近200人；核心团队 TOPLAB前沿安全实验室：国际水平的前沿安全技术研究团队；核心服务团队：拥有若干CCIE、CISP、ISO27001等专业人员；行业咨询专家团队：熟悉政府、电信、金融、电力、教育科研等行业；关于天融信中国安全网关市场的第一品牌连续11年防火墙市场排名第一中国信息安全市场占有率第一国内专业信息安全公司，连续9年整体安全市场排名第一亚太第三全球第九关于天融信中国电脑商之供应商100强企业中国电子政务100强企业中关村10大软件品牌亚太地区高科技、高成长100强企业中国软件100强企业中国第1

3、套防火墙国家规划布局重点软件企业福布斯2012年中国最具潜力非上市公司关于天融信安全服务工程类二级/应急类一级国家级应急服务支持单位涉密甲级、系统集成二级关于天融信 vv 防火墙基本概念防火墙基本概念 vv 防火墙发展历程防火墙发展历程 vv 防火墙核心技术防火墙核心技术 vv 防火墙体系结构防火墙体系结构 vv 防火墙功能与原理防火墙功能与原理 vv 防火墙的接入方式防火墙的接入方式 vv 防火墙的典型应用防火墙的典型应用 vv 防火墙性能防火墙性能 vv 防火墙局限性防火墙局限性 vv 防火墙的两个争议防火墙的两个争议目录一种高级访问控制设备，置于不同一种高级访问控制

4、设备，置于不同网络安全域网络安全域之间，它通过相关的安全策略来之间，它通过相关的安全策略来控制控制（允（允许、拒绝、监视、记录）进出网络的访问行为。许、拒绝、监视、记录）进出网络的访问行为。两个安全域之间通信流的唯一通道安全域1 Host A Host B 安全域2 Host C Host D UDPBlockHost CHost B TCPPassHost CHost A DestinationProtocolPermitSource 根据访问控制规则决定进出网络的行为防火墙的概念 vv 防火墙基本概念防火墙基本概念 vv 防火墙发展历程防火墙发展历程 vv 防火墙核心技术防火墙

5、核心技术 vv 防火墙体系结构防火墙体系结构 vv 防火墙功能与原理防火墙功能与原理 vv 防火墙的接入方式防火墙的接入方式 vv 防火墙的典型应用防火墙的典型应用 vv 防火墙性能防火墙性能 vv 防火墙局限性防火墙局限性 vv 防火墙的两个争议防火墙的两个争议目录基于路由器的防火墙软件防火墙的初级形式，具有审计和告警功能软件防火墙的初级形式，具有审计和告警功能对数据包的访问控制过滤通过专门的软件实现对数据包的访问控制过滤通过专门的软件实现与第一代防火墙相比，安全性提高了，价格降低了与第一代防火墙相比，安全性提高了，价格降低了在路由器中通过在路由器中通过ACLACL规则来实现对

6、数据包的控制；规则来实现对数据包的控制；过滤判断依据：地址、端口号、协议号等特征过滤判断依据：地址、端口号、协议号等特征是批量上市的专用软件防火墙产品是批量上市的专用软件防火墙产品安装在通用操作系统之上安装在通用操作系统之上安全性依靠软件本身和操作系统本身的整体安全安全性依靠软件本身和操作系统本身的整体安全防火墙厂商具有操作系统的源代码，并可实现安全内核防火墙厂商具有操作系统的源代码，并可实现安全内核功能强大，安全性很高功能强大，安全性很高易于使用和管理易于使用和管理是目前广泛应用的防火墙产品是目前广泛应用的防火墙产品基于安全操作系统的防火墙基于通用操作系统的防火墙

7、防火墙工具套防火墙的发展历程防火墙执行标准 vv GB/T 18019-1999 GB/T 18019-1999 信息技术包过滤防火墙安全技术要求信息技术包过滤防火墙安全技术要求 vv GB/T 18020-1999 GB/T 18020-1999 信息技术应用级防火墙安全技术要求信息技术应用级防火墙安全技术要求 vv GB/T 18336-2001 GB/T 18336-2001 信息技术安全性评估准则信息技术安全性评估准则 vv GB/T 17900-1999 GB/T 17900-1999 网络代理服务器的安全技术要求网络代理服务器的安全技术要求 vv GB/T 18018-199

8、9 GB/T 18018-1999 路由器安全技术要求路由器安全技术要求这些标准从安全环境、安全目标、安全要求、基本原理等方面对防火墙的各种指标进行了规定。 vv 防火墙基本概念防火墙基本概念 vv 防火墙发展历程防火墙发展历程 vv 防火墙核心技术防火墙核心技术 vv 防火墙体系结构防火墙体系结构 vv 防火墙功能与原理防火墙功能与原理 vv 防火墙的接入方式防火墙的接入方式 vv 防火墙的典型应用防火墙的典型应用 vv 防火墙性能防火墙性能 vv 防火墙局限性防火墙局限性 vv 防火墙的两个争议防火墙的两个争议目录 1.1.包过滤（包过滤（Packet filteringPacke

9、t filtering）：）：工作在网络工作在网络层，仅根据数据包头中的层，仅根据数据包头中的IPIP地址、端口号、协地址、端口号、协议类型等标志确定是否允许数据包通过。议类型等标志确定是否允许数据包通过。 2.2.应用代理（应用代理（Application ProxyApplication Proxy）：）：工作在应工作在应用层，通过编写不同的应用代理程序，实现对用层，通过编写不同的应用代理程序，实现对应用层数据的检测和分析。应用层数据的检测和分析。 3.3.状态检测（状态检测（StatefulStateful Inspection Inspection）：工作在）：工作在 2424

10、层，访问控制方式与层，访问控制方式与1 1同，但处理的对象不同，但处理的对象不是单个数据包，而是整个连接，通过规则表和是单个数据包，而是整个连接，通过规则表和连接状态表，综合判断是否允许数据包通过。连接状态表，综合判断是否允许数据包通过。 4.4.完全内容检测（完全内容检测（CompeleteCompelete Content Content InspectionInspection）：工作在：工作在2 2 7 7层，不仅分析数据包层，不仅分析数据包头信息、状态信息，而且对应用层协议进行还头信息、状态信息，而且对应用层协议进行还原和内容分析，有效防范混合型安全威胁。原和内容分析，有效防

11、范混合型安全威胁。防火墙的检测与过滤技术应用层应用层传输层传输层 IPIP层层网络接网络接口层口层 DataData SegmentSegment PacketPacket FrameFrame Bit FlowBit Flow 应用层应用层 TCP TCP 层层 IP IP 层层网络接口层网络接口层 TCPTCP开始攻击开始攻击IPIP 开始攻击开始攻击TCP TCP TCPTCP开始攻击开始攻击IPIPETHETH 开始攻击开始攻击 TCPTCP开始攻击开始攻击IPIP 应用层应用层 TCP TCP 层层 IP IP 层层网络接口层网络接口层 TCPTCP开始攻击开始攻击IP

12、IP 开始攻击开始攻击TCP TCP TCPTCP开始攻击开始攻击IPIPETHETH 开始攻击开始攻击只检查报只检查报头头 10100100100101001000001110011111010010010010100100000111001111 0111101101111011 0010010010100100000111001111000100100101001000001110011110 11110111111011 包过滤防火墙的工作原理 1.1.简单包过滤防火墙不检查简单包过滤防火墙不检查数据区数据区 2.2.简单包过滤防火墙不建立简单包过滤防火墙不建立连接状态表连接状

13、态表 3.3.前后报文无关前后报文无关 4.4.应用层控制很弱应用层控制很弱应用层应用层 TCP TCP 层层 IP IP 层层网络接口层网络接口层 TCPTCP开始攻击开始攻击IPIP 开始攻击开始攻击TCP TCP TCPTCP开始攻击开始攻击IPIPETHETH 开始攻击开始攻击 TCPTCP开始攻击开始攻击IPIP 应用层应用层 TCP TCP 层层 IP IP 层层网络接口层网络接口层 TCPTCP开始攻击开始攻击IPIP 开始攻击开始攻击TCP TCP TCPTCP开始攻击开始攻击IPIPETHETH 开始攻击开始攻击只检查数只检查数据据 1010010010010100

14、1000001110011111010010010010100100000111001111 0111101101111011 0010010010100100000111001111000100100101001000001110011110 11110111111011 应用代理防火墙的工作原理 1.1.不检查不检查IPIP、TCPTCP报头报头 2.2.不建立连接状态表不建立连接状态表 3.3.网络层保护比较弱网络层保护比较弱应用层应用层 TCP TCP 层层 IP IP 层层网络接口层网络接口层 TCPTCP 开始攻击开始攻击 IPIP 开始攻击开始攻击 TCPTCP TCPTCP

15、开始攻击开始攻击 IPIPETHETH 开始攻开始攻击击 TCPTCP 开始攻击开始攻击 IPIP 应用层应用层 TCP TCP 层层 IP IP 层层网络接口层网络接口层 TCPTCP 开始攻击开始攻击 IPIP 开始攻击开始攻击 TCPTCP TCPTCP 开始攻击开始攻击 IPIPETHETH 开始攻开始攻击击只检查报只检查报头头 10100100100101001000001110011111010010010010100100000111001111 0111101101111011 00100100101001000001110011110001001001010010

16、00001110011110 11110111111011 状态检测防火墙的工作原理 1.1.不检查数据区不检查数据区 2.2.建立连接状态表建立连接状态表 3.3.前后报文相关前后报文相关 4.4.应用层控制很弱应用层控制很弱建立连接状态建立连接状态表表建立建立状态连接状态连接表表应用层应用层 TCP TCP 层层 IP IP 层层网络接口层网络接口层 TCPTCP开始攻击开始攻击IPIP 开始攻击开始攻击TCP TCP TCPTCP开始攻击开始攻击IPIPETHETH 开始攻击开始攻击主服务器主服务器硬盘数硬盘数据据 TCPTCP开始攻击开始攻击IPIP 应用层应用层 T

17、CP TCP 层层 IP IP 层层网络接口层网络接口层 TCPTCP开始攻击开始攻击IPIP 开始攻击开始攻击TCP TCP TCPTCP开始攻击开始攻击IPIPETHETH 开始攻击开始攻击主服务器主服务器硬盘数硬盘数据据检查应用层协议和数据检查应用层协议和数据内容内容 10100100100101001000001110011111010010010010100100000111001111 0111101101111011 0010010010100100000111001111000100100101001000001110011110 11110111111011 完全

18、内容检测防火墙的工作原理 TCPTCP主服务器主服务器IPIP TCPTCP硬盘数据硬盘数据IPIP 开始攻击开始攻击还原会话还原会话主服务器主服务器硬盘数据硬盘数据报文报文1 1 报文报文2 2 报文报文3 3 1.1.网络层保护强网络层保护强 2.2.应用层保护强应用层保护强 3.3.会话保护很强会话保护很强 4.4.上下文相关上下文相关 5.5.前后报文有联系前后报文有联系检查报头检查报头 vv 防火墙基本概念防火墙基本概念 vv 防火墙发展历程防火墙发展历程 vv 防火墙核心技术防火墙核心技术 vv 防火墙体系结构防火墙体系结构 vv 防火墙功能与原理防火墙功能与原理 vv 防

19、火墙的接入方式防火墙的接入方式 vv 防火墙的典型应用防火墙的典型应用 vv 防火墙性能防火墙性能 vv 防火墙局限性防火墙局限性 vv 防火墙的两个争议防火墙的两个争议目录 vv 过滤路由器过滤路由器 vv 多宿主主机多宿主主机 vv 被屏蔽主机被屏蔽主机 vv 被屏蔽子网被屏蔽子网防火墙体系结构防火墙的体系结构(1) 过滤路由器（Filtering Router）: 过滤路由器作为内外网连接的唯一通道，通过ACL策略要求所有的报文都必须在此通过检查，实现报文过滤功能。它的缺点是一旦被攻陷后很难发现，而且不能识别不同的用户（没有日志记录）。防火墙的体系结构(2) 双宿主主机（D

20、ual Homed Gateway）：双宿主主机优于过滤路由器的地方是：堡垒主机的系统软件可用于维护系统日志。它的致命弱点是：一旦入侵者侵入堡垒主机，则无法保证内部网络的安全。防火墙的体系结构(3) 被屏蔽主机（Screened Host Gateway）：通常在路由器上设立ACL过滤规则，并通过堡垒主机进行数据转发，来确保内部网络的安全。弱点：如果攻击者进入屏蔽主机内，内网中的就会受到很大威胁；这与双宿主主机受攻击时的情形差不多。防火墙的体系结构(4) 被屏蔽子网（Screened Subnet）：这种结构是在内部网络和外部网络之间建立一个被隔离的子网，用两台过滤路

21、由器分别与内部网络和外部网络连接，中间通过堡垒主机进行数据转发。特点：如果攻击者试图进入内网或者子网，他必须攻破过滤路由器和双宿主主机，然后才可以进入子网主机，整个过程中将引发警报机制。 vv 防火墙基本概念防火墙基本概念 vv 防火墙发展历程防火墙发展历程 vv 防火墙核心技术防火墙核心技术 vv 防火墙体系结构防火墙体系结构 vv 防火墙功能与原理防火墙功能与原理 vv 防火墙的接入方式防火墙的接入方式 vv 防火墙的典型应用防火墙的典型应用 vv 防火墙性能防火墙性能 vv 防火墙局限性防火墙局限性 vv 防火墙的两个争议防火墙的两个争议目录基本功能地址转换访问控制 V

22、LAN支持带宽管理（QoS）入侵检测和攻击防御用户认证 IP/MAC绑定动态IP环境支持数据库长连接应用支持路由支持 ADSL拨号功能 SNMP网管支持日志审计高可用性防火墙的功能扩展功能防病毒 VPN IPSEC VPN PPTP/L2TP InternetInternet 202.102.93.54 Host A 受保护网络 Host C Host D 192.168.1.21 192.168.1.25 防火墙 Eth2： 192.168.1.23 Eth0： 101.211.23.1 数据IP报头数据IP报头源地址： 192.168.1.21 目地址： 202

23、.102.93.54 源地址： 101.211.23.1 目地址： 202.102.93.54 101.211.23. 2 v 隐藏了内部网络的结构 v 内部网络可以使用私有IP地址 v 公开地址不足的网络可以使用这种方式提供IP复用功能地址转换 (NAT) Interne t v 公开服务器可以使用私有地址 v 隐藏内部网络的结构 WWW 199.168.1.2 FTP 199.168.1.3 MAIL 199.168.1.4 DNS 199.168.1.5 199.168.1.6 12.4.1.5 202.102.1.3 MAP 199.168.1.2：80 TO 202.102.1

24、.3：80 MAP 199.168.1.3：21 TO 202.102.1.3：21 MAP 199.168.1.4：53 TO 202.102.1.3：53 MAP 199.168.1.5：25 TO 202.102.1.3：25 http:/199.168.1.2http:/202.102.1.3 MAP (地址/端口映射) Host C Host D 防火墙的基本访问控制功能 Access list 192.168.1.3 to 202.2.33.2 Access nat 192.168.3.0 to any pass Access 202.1.2.3 to 192.168.1.3 bl

25、ock Access default pass 规则匹配成功 v 基于源IP地址 v 基于目的IP地址 v 基于源端口 v 基于目的端口 v 基于时间 v基于用户 v 基于流量 v 基于文件 v 基于网址 v 基于MAC地址时间控制策略 Host C Host D 在防火墙上制定基于时间的访问控制策略上班时间不允许访问Internet 上班时间可以访问公司的网络 Interne t Trunk Trunk 口口Trunk Trunk 口口 VLAN 1VLAN 1 VLAN 2VLAN 2 支持支持VLANVLAN的交换机的交换机 Trunk Trunk 口口Trunk Trunk

26、口口 VLAN 1VLAN 1 VLAN 2VLAN 2 Switch1Switch1 Switch 2Switch 2 同一交换机的不同同一交换机的不同 VLAN VLAN 之间通讯之间通讯不同交换机的同一不同交换机的同一 VLAN VLAN 之间通讯之间通讯只有支持TRUNK的防火墙才能在这种环境下工作只有支持TRUNK的防火墙才能在这种环境下工作 VLAN间控制-对TRUNK模式的支持 QoS带宽管理 Internet Internet WWW WWW MailMailDNS DNS 财务部子财务部子网网采购部子采购部子网网出口带宽出口带宽 512 512K K DMZ

27、DMZ 区保留区保留 256256K K 分配分配 70 70K K 带带宽宽分配分配 90 90K K 带带宽宽分配分配 96 96K K 带带宽宽 DMZ DMZ 区域区域内部网络内部网络总带宽总带宽512 512 K K 内网内网256 256 K KDMZ 256 DMZ 256 K K 70 70 K K 90 90 K K 96 96 K K + + + + + + 财务子财务子网网采购子采购子网网生产子生产子网网生产部子网生产部子网防火墙具有内置的IDS模块，可以有效检测并抵御常见的攻击行为，用户通过简单设置即可保护指定的网络对象免于受到以下类型的攻

28、击：1.统计型攻击，包括：Syn Flood、UDP FLOOD、ICMP FLOOD、IP SWEEP、PORT SCAN。2.异常包攻击，包括：Land、Smurf、PingofDeath、Winnuke、 TcpScan、IpOption等内置入侵检测功能抗DOS攻击功能防火墙的SYN代理实现原理: v在服务器和外部网络之间部署防火墙系统; v防火墙在收到客户端的Syn包后，防火墙代替服务器向客户端发送 Syn/Ack包; v如果防火墙收到客户端的Ack信息，表明访问正常,由防火墙向服务器发送Syn包并完成后续的TCP握手,建立客户端到服务器的连接。 v通过这种Syn代理技术，

29、保证每个Syn包源的真实有效性，确保虚假请求不被发往服务器，从而彻底防范对服务器的Syn-Flood攻击。 SYNSYN SYN/ACKSYN/ACK ACKACK SYNSYN SYN/ACKSYN/ACK ACKACK SYNSYN SYN/ACKSYN/ACK ACKACK ClientClientServer Server SYNSYN SYNSYN Host C Host D Host B Host A 受保护网络 Interne t IDS 黑客发起攻击发送通知报文验证报文并采取措施发送响应报文识别出攻击行为阻断连接或者报警等与 IDS 的安全联动丰富的认

30、证方式和第三方认证支持 Internet Internet RADIUSRADIUS服务服务器器OTP OTP 认证服务认证服务器器 liming * 防火墙将认证防火墙将认证信息传给真正信息传给真正的的RADIUSRADIUS服服务器务器进行认证进行认证将认证结将认证结果传给防果传给防火墙火墙 1.1.本地认证、内置本地认证、内置OTPOTP服务器服务器认证认证 2.2.支持第三方支持第三方RADIUSRADIUS服务器认服务器认证证 3.3.支持支持TACAS/TACAS+TACAS/TACAS+服务器认服务器认证证 4.4.支持支持S/KEY S/KEY 、SEC

31、UIDSECUID、VIECAVIECA 、LDAPLDAP、域认证等认证、域认证等认证根据认证结果决根据认证结果决定用户对资源的定用户对资源的访问权限访问权限 Internet Host A 199.168.1.2 Host B 199.168.1.3 Host C 199.168.1.4 Host D 199.168.1.5 00-50-04-BB-71-A600-50-04-BB-71-BC BIND 199.168.1.2 To 00-50-04-BB-71-A6 BIND 199.168.1.4 To 00-50-04-BB-71-BC IP与MAC地址绑定后，不允许 Host

32、 B假冒Host A的IP地址上网防火墙允许Host A上网 IP与MAC（用户）的绑定 199.168.1.2 对DHCP应用环境的支持 InternetInternet DHCP 服务器 Host A Host BHost CHost D Host EHost F 没有固定IP地址只允许Host B上网设定Host B的MAC 地址设定Host B的IP地址为空根据Host B的MAC 地址进行访问控制客户机建立连接并维持建立连接并维持连接状态直到查连接状态直到查询结束询结束对数据库长连接的支持 FRFR 数据库查询一般需要比较长的时间，这些通讯连接建立成功后可能

33、暂时没有数据通过（空连接），普通防火墙在连接建立一段时间后如果没有数据通讯会自动切断连接，导致业务不能正常运行需要较长的查需要较长的查询时间询时间需要在防火墙里面维护这个连接状态，直到查询结束。该功能是可选的。动态路由功能-RIP 动态路由功能-OSPF ADSL拨号功能PPPOE Host C Host D Host B Host A 受保护网络 Internet InternetInternet SNMPSNMP报文报文获取硬件配置信息获取硬件配置信息资源使用状况信息资源使用状况信息防火墙的流量信息防火墙的流量信息防火墙的连接信息防火墙的连接信息防火墙的版本信息防

34、火墙的版本信息防火墙的用户信息防火墙的用户信息防火墙的规则信息防火墙的规则信息防火墙的路由信息防火墙的路由信息 SNMPSNMP服务器服务器端端 SNMPSNMP客户端客户端 ( (HP HP openview)openview) 支持SNMP 网络管理日志分析功能 1.会话日志：即普通连接日志 v通信源地址、目的地址、源目端口、通信时间、通信协议、字节数、是否允许通过 2.命令日志和内容日志：即深度分析日志 v在通信日志的基础之上，记录下各个应用层命令参数和内容。例如 HTTP请求及其要取的网页名。 3.提供日志分析工具自动产生各种报表，智能化的指出网络可能的安全漏洞 .c n

35、 n ClintClint http:/http:/ 响应请求响应请求发送请求发送请求通信日通信日志志通信日通信日志志通信信息通信信息 192.168.6.169192.168.6.169 192.168.6.170192.168.6.170 普通连接日志会话日志 .c n n ClintClint http:/http:/ 响应请求响应请求发送请求发送请求命令日命令日志志命令日命令日志志 192.168.6.169192.168.6.169 192.168.6.170192.168.6.170 深度分析日志(1) 命令日志命令信息命令信息 .c n n ClintCl

36、int http:/http:/ 响应请求响应请求发送请求发送请求访问日访问日志志访问日访问日志志 192.168.6.169192.168.6.169 192.168.6.170192.168.6.170 深度分析日志(2) 内容日志访问信息访问信息高可用性-双机热备功能内部网外网或者不信任域 Eth 0Eth 0 Eth1Eth1 Eth2Eth2 心跳线 Active Firewall Standby Firewall 检测Active Firewall的状态发现出故障，立即接管其工作正常情况下由主防火墙工作主防火墙出故障以后，接管它的工作 Hub or Hu

37、b or SwitchSwitch Hub or Hub or SwitchSwitch 通过通过ISTPISTP协议可以协议可以交换两台防火墙的交换两台防火墙的状态信息状态信息当一台防火墙故障时，这台防火墙当一台防火墙故障时，这台防火墙的连接不需要重新建立就可以透明的连接不需要重新建立就可以透明的迁移到另一台防火墙上，用户不的迁移到另一台防火墙上，用户不会察觉到会察觉到 WWW 1WWW 1WWW 2WWW 2WWW 3WWW 3 负载均衡算法：负载均衡算法： vv轮流轮流 vv轮流轮流+ +权值权值 vv最少连接最少连接 vv最少连接最少连接+ +权值权值 http:/http

38、:/ 根据负载均衡算根据负载均衡算法将数据重定位法将数据重定位到一台到一台WWWWWW服服务器务器服务器阵服务器阵列列响应请求响应请求高可用性-服务器负载均衡防火墙提供了防火墙提供了“链路备份链路备份”功能来实时监视整个链路的工作情况，一功能来实时监视整个链路的工作情况，一旦发现异常，就立即启动旦发现异常，就立即启动“链路备份链路备份”功能自动切换到另一条备用链功能自动切换到另一条备用链路，以确保网络的正常通信。路，以确保网络的正常通信。高可用性-网络链路备份功能高可用性-双系统冗余防火墙作为网络中的关键设备，对于维护网络的正常通信以及安全防火墙作为网络中的关键设备，

39、对于维护网络的正常通信以及安全保障起着举足轻重的作用。所以，对防火墙本身的有效性和可用性就有保障起着举足轻重的作用。所以，对防火墙本身的有效性和可用性就有了很高的要求。防火墙内置备份系统，这样，在主系统出现异常或由于了很高的要求。防火墙内置备份系统，这样，在主系统出现异常或由于升级失败而不能正常引导系统的情况下，用户可以手工选择使用备份系升级失败而不能正常引导系统的情况下，用户可以手工选择使用备份系统。统。扩展功能-病毒过滤功能(1) 扩展功能-病毒过滤功能(2) 扩展功能- IPSEC VPN功能支持L2TP/PPTP VPN功能支持DDNS功能 vv 防火墙基本概念防火墙基本

40、概念 vv 防火墙发展历程防火墙发展历程 vv 防火墙核心技术防火墙核心技术 vv 防火墙体系结构防火墙体系结构 vv 防火墙功能与原理防火墙功能与原理 vv 防火墙的接入方式防火墙的接入方式 vv 防火墙的典型应用防火墙的典型应用 vv 防火墙性能防火墙性能 vv 防火墙局限性防火墙局限性 vv 防火墙的两个争议防火墙的两个争议目录受保护网络 Internet 如果防火墙支持透明模式，则内部网络主机的配置不用调整 Host A 199.168.1.2 Host C 199.168.1.4 Host D 199.168.1.5 Host B 199.168.1.3 199.168.1.8

41、同一网段透明模式下，这里不用配置IP地址透明模式下，这里不用配置IP地址 Default Gateway=199.168.1.8 防火墙相当于网桥，原网络结构没有改变透明接入受保护网络 Internet Host A 199.168.1.2 Host C 199.168.1.4 Host D 199.168.1.5 Host B 199.168.1.3 199.168.1.8 Default Gateway=199.168.1.8 防火墙相当于一个简单的路由器 203.12.34.56 203.12.34.57 提供简单的路由提供简单的路由功能功能 199.168.1.8

42、路由接入 Host AHost A 192.168.1.192.168.1. 3737 Host B Host B 192.168.1.38192.168.1.38 Host CHost C 10.1.2.310.1.2.3 Host DHost D 192.168.1.192.168.1. 4040 不同子网通过防火墙不同子网通过防火墙路做静态路由进行通路做静态路由进行通讯讯同一网段地址通过防同一网段地址通过防火墙的透明模式进行火墙的透明模式进行通讯通讯防火墙此时工防火墙此时工作在混合模式作在混合模式下下综合接入 vv 防火墙基本概念防火墙基本概念 vv 防火墙发展历程防火

43、墙发展历程 vv 防火墙核心技术防火墙核心技术 vv 防火墙体系结构防火墙体系结构 vv 防火墙功能与原理防火墙功能与原理 vv 防火墙的接入方式防火墙的接入方式 vv 防火墙的典型应用防火墙的典型应用 vv 防火墙性能防火墙性能 vv 防火墙局限性防火墙局限性 vv 防火墙的两个争议防火墙的两个争议目录 DDN/DDN/帧中继帧中继总行总行省中支省中支A A 省中支省中支B B DDN/PSTNDDN/PSTN 地市行地市行 A A地市行地市行 B B 防火墙的典型应用（梯形结构）总部总部分部分部分部分部访问控制访问控制访问授权访问授权信息审计信息审计访问控制访问控制访

44、问授权访问授权信息审计信息审计访问控制访问控制访问授权访问授权信息审计信息审计防火墙的典型应用（星型结构）帧中继专网帧中继专网 InternetInternet DDN/PSTNDDN/PSTN 内部专网内部专网黑客攻击病毒非授权访问恶意代码阻断阻断防火墙的典型应用三（简单结构）分支网分支网络络 vv 防火墙基本概念防火墙基本概念 vv 防火墙发展历程防火墙发展历程 vv 防火墙核心技术防火墙核心技术 vv 防火墙体系结构防火墙体系结构 vv 防火墙功能与原理防火墙功能与原理 vv 防火墙的接入方式防火墙的接入方式 vv 防火墙的典型应用防火墙的典型应用 vv 防火

45、墙性能防火墙性能 vv 防火墙局限性防火墙局限性 vv 防火墙的两个争议防火墙的两个争议目录衡量防火墙性能的五大指标 1.1.吞吐量：该指标直接影响网络的性能，吞吐量吞吐量：该指标直接影响网络的性能，吞吐量 2.2.时延：入口处输入帧最后时延：入口处输入帧最后1 1个比特到达至出口处输出帧的第个比特到达至出口处输出帧的第1 1个比个比特输出所用的时间间隔特输出所用的时间间隔 3.3.丢包率：在稳态负载下，应由网络设备传输，但由于资源缺乏而丢包率：在稳态负载下，应由网络设备传输，但由于资源缺乏而被丢弃的帧的百分比被丢弃的帧的百分比 4.4.背靠背：从空闲状态开始，以达到传输介质最小合法间

46、隔极限的背靠背：从空闲状态开始，以达到传输介质最小合法间隔极限的传输速率发送相当数量的固定长度的帧，当出现第一个帧丢失时传输速率发送相当数量的固定长度的帧，当出现第一个帧丢失时，发送的帧数，发送的帧数 5.5.并发连结数：并发连结数：并并发连发连接数是指穿越防火接数是指穿越防火墙墙的主机之的主机之间间或主机与或主机与防火防火墙墙之之间间能同能同时时建立的最大建立的最大连连接数接数吞吐量 1.1.定义：定义：在不丢包的情况下能够达到的最大速率在不丢包的情况下能够达到的最大速率 2.2.衡量标准：衡量标准：吞吐量越大，防火吞吐量越大，防火墙墙的性能越高的性能越高 ;%#*$&*&#*(

47、& Smartbits 6000B Smartbits 6000B 测试测试仪仪 1011001010000111110010100100010110010100001111100101001000 10010001001000 以最大速率发包以最大速率发包直到出现丢包时的最大直到出现丢包时的最大值值防火墙吞吐量小就会成为网络防火墙吞吐量小就会成为网络的瓶颈的瓶颈 100100MM6060MM 数据包首先排队待数据包首先排队待防火墙检查后转发防火墙检查后转发时延 1.1.定义：定义：入口处输入帧最后入口处输入帧最后1 1个比特到达至出口处输出帧的个比特到达至出口处输出帧的第一个比

48、特输出所用的时间间隔第一个比特输出所用的时间间隔 2.2.衡量标准：衡量标准：延延时时越小，表示防火越小，表示防火墙墙的性能越高的性能越高 10101001001001001010100100100100 10101010 Smartbits 6000B Smartbits 6000B 测试测试仪仪 1011001010000111110010100100010110010100001111100101001000 10010001001000 最后最后1 1个比特到个比特到达达第一个比特输第一个比特输出出时间间时间间隔隔 101101 010010 011011 100100 111111 0 0 101101 010010 011011 100100 111111 0 0 1010010010100100010110100100101001000101 0001000010 101010100100100100100101010100100100100100 100010100010 造成数据造成数据包延迟到包延迟到达目标地达目标地丢包

展开阅读全文