防火墻工作原理

1、防火墻原理,防火墻的基本知識,防火墻的主要目標是控制對一個受保護網(wǎng)絡(luò)的訪問，強迫所有連接都接受防火墻的檢查和評估。可以是路由器、計算機或一群計算機。防火墻通過邊界控制保護整個網(wǎng)絡(luò)，而不需要對每個網(wǎng)內(nèi)的主機進行單獨的保護，為內(nèi)網(wǎng)仍舊可以采用相互信任的模式提供了一定的安全基礎(chǔ)。防火墻是指設(shè)置在不同網(wǎng)絡(luò)（如可信任的企業(yè)內(nèi)部網(wǎng)和不可信的公共網(wǎng)）或網(wǎng)絡(luò)安全域之間的一系列部件的組合。它可通過監(jiān)測、限制、更改跨越防火墻的數(shù)據(jù)流，盡可能地對外部

2、屏蔽網(wǎng)絡(luò)內(nèi)部的信息、結(jié)構(gòu)和運行狀況， 以此來實現(xiàn)網(wǎng)絡(luò)的安全保護。  在邏輯上，防火墻是一個分離器，一個限制器，也是一個分析器，有效地監(jiān)控了內(nèi)部網(wǎng)和Internet之間的任何活動，保證了內(nèi)部網(wǎng)絡(luò)的安全。,防火墻用來干什么？,保護內(nèi)網(wǎng)有漏洞的服務控制對內(nèi)網(wǎng)系統(tǒng)的訪問將安全問題集中解決增加隱私保護內(nèi)網(wǎng)系統(tǒng)不可見審計和統(tǒng)計網(wǎng)絡(luò)使用和錯誤強制執(zhí)行統(tǒng)一的安全策略,防火墻的功能分類,包過濾防火墻狀態(tài)檢查機制

3、防火墻應用代理網(wǎng)關(guān)防火墻專用代理防火墻混合型防火墻網(wǎng)絡(luò)地址轉(zhuǎn)換基于主機的防火墻個人防火墻／個人防火墻設(shè)備,防火墻的工作原理,防火墻的原理是指設(shè)置在不同網(wǎng)絡(luò)（如可信任的企業(yè)內(nèi)部網(wǎng)和不可信的公共網(wǎng)）或網(wǎng)絡(luò)安全域之間的一系列部件的組合。它是不同網(wǎng)絡(luò)或網(wǎng)絡(luò)安全域之間信息的唯一出入口，通過監(jiān)測、限制、更改跨越防火墻的數(shù)據(jù)流，盡可能地對外部屏蔽網(wǎng)絡(luò)內(nèi)部的信息、結(jié)構(gòu)和運行狀況，有選擇地接受外部訪問，對內(nèi)部強化設(shè)備監(jiān)管、控制對服務器與外部網(wǎng)

4、絡(luò)的訪問，在被保護網(wǎng)絡(luò)和外部網(wǎng)絡(luò)之間架起一道屏障，以防止發(fā)生不可預測的、潛在的破壞性侵入。,防火墻的工作模式,防火墻分為三種模式：路由模式、透明模式、混合模式路由模式防火墻工作在路由模式下，此時所有接口都配置IP 地址，各接口所在的安全區(qū)域是三層區(qū)域，不同三層區(qū)域相關(guān)的接口連接的外部用戶屬于不同的子網(wǎng)。當報文在三層區(qū)域的接口間進行轉(zhuǎn)發(fā)時，根據(jù)報文的IP 地址來查找路由表，此時 防火墻表現(xiàn)為一個路由器。但是， 防火墻與路由器存在不同，

5、 防火墻中IP 報文還需要送到上層進行相關(guān)過濾等處理，通過檢查會話表或ACL 規(guī)則以確定是否允許該報文通過。此外，還要完成其它防攻擊檢查。路由模式的防火墻支持ACL 規(guī)則檢查、ASPF 狀態(tài)過濾、防攻擊檢查、流量監(jiān)控等功能。,防火墻的工作模式,透明模式防火墻工作在透明模式（也可以稱為橋模式）下，此時所有接口都不能配置IP 地址，接口所在的安全區(qū)域是二層區(qū)域，和二層區(qū)域相關(guān)接口連接的外部用戶同屬一個子網(wǎng)。當報文在二層區(qū)域的接口間進行轉(zhuǎn)發(fā)

6、時，需要根據(jù)報文的MAC 地址來尋找出接口，此時防火墻表現(xiàn)為一個透明網(wǎng)橋。但是，防火墻與網(wǎng)橋存在不同，防火墻中IP 報文還需要送到上層進行相關(guān)過濾等處理，通過檢查會話表或ACL 規(guī)則以確定是否允許該報文通過。此外，還要完成其它防攻擊檢查。透明模式的防火墻支持ACL 規(guī)則檢查、ASPF 狀態(tài)過濾、防攻擊檢查、流量監(jiān)控等功能。工作在透明模式下的 防火墻在數(shù)據(jù)鏈路層連接局域網(wǎng)（LAN），網(wǎng)絡(luò)終端用戶無需為連接網(wǎng)絡(luò)而對設(shè)備進行特別配置，就像LA

7、N Switch 進行網(wǎng)絡(luò)連接。,防火墻的工作模式,混合模式防火墻工作在混合透明模式下，此時部分接口配置IP 地址，部分接口不能配置IP 地址。配置IP 地址的接口所在的安全區(qū)域是三層區(qū)域，接口上啟動VRRP功能，用于雙機熱備份；而未配置IP 地址的接口所在的安全區(qū)域是二層區(qū)域，和二層區(qū)域相關(guān)接口連接的外部用戶同屬一個子網(wǎng)。當報文在二層區(qū)域的接口間進行轉(zhuǎn)發(fā)時，轉(zhuǎn)發(fā)過程與透明模式的工作過 程完全相同。,防火墻產(chǎn)品,E200E/1000E

8、產(chǎn)品規(guī)格,防火墻產(chǎn)品,E8000E產(chǎn)品規(guī)格,,PIX 防火墻 525大型企業(yè)用戶使用提供 280,000 個連接提供 330-Mbps clear text 吞吐量端口支持最多1010/100 以太網(wǎng)口最多100個 VLANs最多支持50個虛擬防火墻支持 failoverActive/standbyActive/active支持 VPNs (2,000 tunnels)Site to siteRemote ac

9、cess,,PIX 防火墻 535大型企業(yè)用戶使用同時提供 500,000 個連接提供 1.65-Gbps clear text 吞吐量支持的端口最多 14 個百兆或者千兆以太網(wǎng)口最多支持150 個VLANs最多支持50個虛擬防火墻支持failoverActive/standbyActive/active支持VPNs (2,000 tunnels)Site to siteRemote access,,Cisco

10、 ASA 5510可以在一個企業(yè)、中小型企業(yè)使用或者做VPN網(wǎng)關(guān)同時提供 64,000個連接提供 300-Mbps 吞吐量支持的接口最多支持5個10/100 Fast Ethernet 端口最多支持10個VLANs支持failoverActive/standby支持 VPNsSite to siteRemote accessWebVPN支持 AIP-SSM-10 (可選),,Cisco ASA 5520中小企

11、業(yè)用戶使用，或者做VPN網(wǎng)關(guān)提供同時 130,000個連接提供450-Mbps 吞吐量提供的接口4個10/100/1000以太網(wǎng)口1個10/100 以太網(wǎng)口最多支持25 個VLANs最多支持10個虛擬防火墻支持 failoverActive/standbyActive/active支持VPNsSite to siteRemote accessWebVPN支持 AIP-SSM-10 (可選),,Cisco A

12、SA 5540企業(yè)用戶使用，可以做VPN網(wǎng)關(guān)同時提供280,000 個連接提供 400-Mbps 吞吐量支持的接口4個10/100/1000以太網(wǎng)口1個 10/100 以太網(wǎng)口支持 100個 VLANs最多50個虛擬防火墻支持 failoverActive/standbyActive/active支持 VPNsSite to site (5,000 peers)Remote access WebVPN 支

13、持 AIP-SSM-20 (可選）,,H3C SecPath U200-CS-AC設(shè)備類型： 企業(yè)級防火墻 網(wǎng)絡(luò)端口： 1個配置口(CON);5GE;1個mini插槽,可通過該插槽擴展網(wǎng)絡(luò)接口;外置一個CF擴展槽(選配) 入侵檢測： Dos,DDoS 管理： 支持標準網(wǎng)管 SNMPv3，并且兼容SNMP v2c、SNMP v1,支持NTP時間同步,支持Web方式進行遠程配置管理,支持SNMP/TR-069網(wǎng)管協(xié)議,支持H3C S

14、ecCenter安全管理中心進行設(shè)備管理 VPN支持： 支持 安全標準： FCC,CE 控制端口： console 其他性能： 防火墻、VPN可同時擴展卡巴,,H3C SecPath F100-A設(shè)備類型： 中小企業(yè)級防火墻 網(wǎng)絡(luò)端口： 4個10/100Mbps LAN以太網(wǎng)交換口、3個10/100Mbps WAN以太網(wǎng)口、1個AUX口(備份口)、1個CONSOLE口(配置口)、1個MIM插槽 入侵檢測： DoS、DDoS

15、 管理： 支持標準網(wǎng)管 SNMPv3，并且兼容SNMP v2c、SNMP v1 VPN支持： 支持 安全標準： RADIUS, HWTACACS, PKI /CA(X.509格式), 域認證, CHAP, PAP 其他性能： 支持外部攻擊防范, 內(nèi)網(wǎng)安全, 流量監(jiān)控, 郵件過濾, 網(wǎng)頁過濾, 應用層過濾等驗證 電源： 輸入:100-240V,50/60Hz；輸出:12,,華為USG2210設(shè)備類型： 安全網(wǎng)關(guān) 網(wǎng)絡(luò)端口：

16、2GE Combo 入侵檢測： Dos,DDoS 管理： 支持命令行、WEB方式、SNMP、TR069等配置和管理方式，這些方式提供對設(shè)備的本地配置、遠程維護、集中管理等多種手段，并提供完備的診斷、告警、測試等功能 VPN支持： 支持 安全標準： CE，ROHS，CB，UL，VCCI 控制端口： Console口 其他性能： UTM,網(wǎng)絡(luò)安全產(chǎn)品,藍盾防火墻系統(tǒng)技術(shù)先進，高效專業(yè)平臺，端口反掃描，高保密度VPN(168bi

17、t)，防外又防內(nèi)的解決方案，千兆帶寬實用性強，分組代理計費功能，URL過濾功能，地址轉(zhuǎn)換功能(NAT)，MAC綁定功能，物理斷開功能，流量控制,,藍盾入侵檢測系統(tǒng)藍盾入侵檢測系統(tǒng)(BD-NIDS)是一種實時的網(wǎng)絡(luò)入侵檢測和響應系統(tǒng)。它能夠?qū)崟r監(jiān)控網(wǎng)絡(luò)傳輸，自動檢測可疑行為，分析來自網(wǎng)絡(luò)外部和內(nèi)部的入侵信號。在系統(tǒng)受到危害之前發(fā)出警告，實時對攻擊作出反應，并提供補救措施，最大程度地為網(wǎng)絡(luò)系統(tǒng)提供安全保障。,,藍盾漏洞掃描器系統(tǒng)藍盾漏

18、洞掃描器是檢測遠程或本地系統(tǒng)安全脆弱性的軟件;通過與目標主機建立連接和并請求某些服務(如TELNET,FTP等),記錄目標主機的應答,搜索主機相關(guān)信息(如匿名用戶是否可以登錄等),從而發(fā)現(xiàn)目標主機某些內(nèi)在的弱點。藍盾漏洞掃描器的重要性在于把極為繁瑣的安全檢測,通過程序來自動完成,減少管理者的工作,而且縮短了檢測的時間,使問題發(fā)現(xiàn)更快.當然,也可以認為它是一種網(wǎng)絡(luò)安全性評估軟件。,藍盾網(wǎng)絡(luò)整體安全架構(gòu),,1.

19、防火墻2. 入侵檢測3. 物理隔離4. 路由器5. VPN網(wǎng)關(guān)6. 反垃圾產(chǎn)品7. 網(wǎng)絡(luò)防毒8. 檢測過濾9. 可信計算平臺10. 安全審計與分析,IDS 系統(tǒng)分類,NIDS：網(wǎng)絡(luò)入侵檢測系統(tǒng)即網(wǎng)絡(luò)入侵檢測系統(tǒng)，主要用于檢測hacker或cracker通過網(wǎng)絡(luò)進行的入侵行為。 運行方式有兩種：在目標主機上運行以監(jiān)測其本身的通訊信息在一臺單獨的機器上運行以監(jiān)測所有

20、網(wǎng)絡(luò)設(shè)備的通訊信息，比如hub、路由器。 SIV：系統(tǒng)完整性檢測即系統(tǒng)完整性檢測，主要用于監(jiān)視系統(tǒng)文件或者Windows 注冊表等重要信息是否被修改，以堵上攻擊者日后來訪的后門。 SIV更多的是以工具軟件的形式出現(xiàn)，比如著名的“Tripwire”，它可以檢測到重要系統(tǒng)組件的變換情況，但并不產(chǎn)生實時的報警信息。LFM：日志文件監(jiān)測器即日志文件監(jiān)測器，主要用于監(jiān)測網(wǎng)絡(luò)服務所產(chǎn)生的日志文件。 LFM通過檢測日

21、志文件內(nèi)容并與關(guān)鍵字進行匹配的方式判斷入侵行為，例如對于HTTP服務器的日志文件，只要搜索“swatch”關(guān)鍵字，就可以判斷出是否有“phf”攻擊。,,Honeypots：密灌系統(tǒng)蜜罐系統(tǒng)，也就是誘騙系統(tǒng)，它是一個包含漏洞的系統(tǒng)，通過模擬一個或多個易受攻擊的主機，給黑客提供一個容易攻擊的目標。 沒有其它任務需要完成 所有連接的嘗試都應被視為是可疑 拖延攻擊者

22、對其真正目標的攻擊 讓攻擊者在蜜罐上浪費時間 最初的攻擊目標受到了保護，真正有價值的內(nèi)容將不受侵犯。 蜜罐目的之一是為起訴惡意黑客搜集證據(jù)。,網(wǎng)閘（ GAP ）,網(wǎng)閘（GAP）全稱安全隔離網(wǎng)閘。安全隔離網(wǎng)閘是一種由帶有多種控制功能專用硬件在電路上切斷網(wǎng)絡(luò)之間的鏈路層連接，并能夠在網(wǎng)絡(luò)間進行安全適度的應用數(shù)據(jù)交換的網(wǎng)絡(luò)安全設(shè)備。性能指標：系統(tǒng)數(shù)據(jù)交換速率：1