Download
1 / 61
610 likes | 826 Views
联想信息安全 LSPE 认证培训. 防火墙培训 教材. Firewall 专题. 什么是防火墙? 防火墙产品的发展历程 防火墙功能简介 防火墙性能指标介绍 联想网御防火墙介绍. 传统的防火墙概念. 概念: 防火墙被设计用来防止 火 从大厦的一部分传播到另一部分. 安全域 1. 安全域 2. Host A. Host B. Host C. Host D. 网络防火墙概念. 两个安全域之间通信流的唯一通道. 一种高级访问控制设备, 置于不同 网络安全域 之间的一 系列部件的组合,它是不同网 络安全域间通信流的 唯一通道 ,
E N D
联想信息安全LSPE 认证培训 防火墙培训 教材
Firewall专题 什么是防火墙? 防火墙产品的发展历程 防火墙功能简介 防火墙性能指标介绍 联想网御防火墙介绍
传统的防火墙概念 概念:防火墙被设计用来防止火从大厦的一部分传播到另一部分
安全域1 安全域2 Host A Host B Host C Host D 网络防火墙概念 两个安全域之间通信流的唯一通道 一种高级访问控制设备, 置于不同网络安全域之间的一 系列部件的组合,它是不同网 络安全域间通信流的唯一通道, 能根据企业有关的安全政策控制 (允许、拒绝、监视、记录) 进出网络的访问行为。 Source Destination Permit Protocol Host A Host C Pass TCP Host B Host C Block UDP 根据访问控制规则决定进出网络的行为
防火墙基本概念 防火墙的概念: 在信任网络与非信任网络之间,通过预定义的 安全策略,对内外网通信强制实施访问控制的安全 应用设备。 导入防火墙的技术原理: 将不信任网络对信任网络的安全威胁强制到 单一安全控制点。 防火墙的原则: 一切未被允许的就是禁止的!
防火墙基本概念 防火墙能做什么 保障授权合法用户的通信与访问 禁止未经授权的非法通信与访问 记录经过防火墙的通信活动 防火墙不能做什么 不能控制不经防火墙的通信与访问 不能防范来自网络内部的攻击 不能主动防范新的安全威胁
什么是防火墙? 防火墙产品的发展历程 防火墙功能简介 防火墙性能指标介绍 网御防火墙介绍 Firewall专题
防火墙的发展历程(1) 基于路由器的防火墙 防火墙工具套 基于通用操作系统的防火墙 基于安全操作系统的防火墙
基于路由器的防火墙 第一代防火墙的特点: • 利用路由器的访问控制列表(ACL)来实现对分组的过滤。 • 过滤和判定的依据可以是:地址、端口号、IP标记及其它网络特征。 • 只能提供分组过滤的功能。
基于路由器的防火墙 第一代防火墙的不足: • 由于路由协议十分灵活,本身存在安全漏洞,从外部网络探寻内部网络十分容易。 • 对过滤规则的设置可能存在安全隐患。 • 路由器防火墙的最大隐患是:可以假冒地址欺骗路由器。 • 路由器防火墙的本质性缺陷是:由于路由器的主要功能是为网络访问提供动态的、灵活的路由,而防火墙则要对访问行为实施静态的、固定的控制,这是一对难以调和的矛盾,防火墙规则设置会大大降低路由器的性能。
用户化的防火墙工具套 第二代防火墙的特点: • 提供独裁立的防火墙功能,并且具有审计和告警功能; • 提供有针对性需求的模块化的软件包; • 用户可根据自己的需求自己动手构造一个防火墙;
用户化的防火墙工具套 第二代防火墙的不足: • 配置和维护起来比较复杂; • 对使用者的技术要求较高; • 由于是纯软件实现,安全性和性能均有一定的局限性;
建立在通用操作系统上的防火墙 第三代防火墙的特点: • 包括分组过滤或者借用路由器的分组过滤功能; • 装有专用代理系统,监控所有协议的数据和指令; • 保护用户编程空间和用户可配置内核参数的设置; • 安全性和速度大为提高。
建立在通用操作系统上的防火墙 第三代防火墙的不足: • 作为基础的操作系统及其内核往往不为防火墙管理者所知,由于原码的保密,其安全性无从保证。 • 由于大多数防火墙厂商并非通用操作系统的厂商,通用操作系统厂商不会对操作系统的安全性负责; • 从本质上看,第三代防火墙既要防止来自外部网络的攻击,还要防止来自操作系统厂商的攻击。 • 用户必须依赖两方面的安全支持:一是防火墙厂商、一是操作系统厂商。
具有安全操作系统的防火墙 第四代防火墙的特点: • 防火墙厂商具有操作系统源代码,并可实现安全内核; • 对安全内核实现加固处理:即去掉不必要的系统特性,加上内核特性,强化安全保护; • 对每个服务器、子系统都作了安全处理,一旦黑客攻破了一个服务器,它将会被隔离在此服务器内,不会对网络的其它部份构成威胁; • 在功能上包括了分组过滤、应用网关、电路级网关,且具有加密与鉴别功能; • 透明性好,易于使用。
防火墙的发展历程(2) 1.包过滤(Packet filtering):作用在网络层和传输层,它根据分组包头源地址,目的地址和端口号、协议类型等标志确定是否允许数据包通过。只有满足过滤逻辑的数据包才被转发到相应的目的地出口端,其余数据包则被从数据流中丢弃。 2.应用代理(Application Proxy):也叫应用网关(Application Gateway),它作用在应用层,其特点是完全“阻隔”了网络通信流,通过对每种应用服务编制专门的代理程序,实现监视和控制应用层通信流的作用。实际中的应用网关通常由专用工作站实现。 3.状态检测:直接对分组里的数据进行处理,并且结合前后分组里的数据进行综合判断决定是否允许该数据包通过。
TCP 数 据 TCP TCP 数 据 数 据 IP IP IP IP TCP TCP TCP 数 据 数 据 数 据 ETH 包过滤 防火墙的工作原理 应用层 数 据 应用层 数 据 传输层 TCP 数 据 传输层 网络层 IP 网络 层 只检查报头 物理层 ETH 物理层 简单包过滤防火墙不检查数据区 简单包过滤防火墙不建立连接状态表 前后报文无关 应用层控制很弱 101001001001010010000011100111101111011 001001001010010000011100111101111011
包过滤防火墙特点: 对应用完全透明; 数据吞吐率高; 实现容易(便宜),多用于接入路由器; 随着安全规则的增加,配置、维护规则比较困难; 处于较低层,对会话内容无法监控,安全性能较低;
TCP 数 据 TCP TCP 数 据 数 据 IP IP IP IP TCP TCP TCP 数 据 数 据 数 据 ETH 应用代理 防火墙的工作原理 应用层 数据 应用层 数据 传输 层 TCP 数 据 传输 层 网络层 IP 网络 层 不检查IP、TCP报头 不建立连接状态表 网络层保护比较弱 只检查数据 物理层 ETH 物理层 101001001001010010000011100111101111011 001001001010010000011100111101111011
应用代理技术 双向通信必须经过应用代理,禁止IP转发; 只允许本地安全策略允许的通信信息通过; 代理不影响数据流量,数据吞吐率较高; 安全策略 访问控制 被转发的 请求 请求 代理客户机 代理服务器 被转发的 应答 应答 Client Server 应用代理防火墙
TCP 数 据 TCP TCP 数 据 数 据 IP IP IP IP TCP TCP TCP 数 据 数 据 数 据 ETH 状态检测防火墙的工作原理 应用层 数 据 应用层 数 据 传输 层 TCP 数 据 传输 层 建立连接状态表 网络层 IP 网络层 只检查报头 物理层 ETH 物理层 不检查数据区 建立连接状态表 前后报文相关 应用层控制很弱 101001001001010010000011100111101111011 001001001010010000011100111101111011
状态检测包过滤检测流程 状态检测包过滤防火墙 下一步 处理 符合 会话连接状态缓存表 符合 IP 包 检测包头 不符合 安全策略:过滤规则 丢弃
状态检测包过滤防火墙特点 对以上各层的通信进行主动、实时的监控 重组会话,对应用进行细粒度检测 数据吞吐率较高
TCP 数 据 TCP TCP 数 据 数 据 IP IP IP IP TCP TCP TCP 数 据 数 据 数 据 ETH 复合型 防火墙的工作原理 应用层 数 据 应用层 数 据 TCP 层 TCP 数 据 TCP 层 建立连接状态表 IP 层 IP 可以检查整个数据包内容 根据需要建立连接状态表 网络层保护强 应用层控制细 IP 层 检查整个报文内容 网络接口层 ETH 网络接口层 101001001001010010000011100111101111011 001001001010010000011100111101111011
防火墙的发展历程(3) 高性能 网络协处理器 定制 ASIC 基于网络 芯片组 普通IA架构+软件 功能扩展性
Firewall专题 • 什么是防火墙? • 防火墙产品的发展历程 • 防火墙功能简介 • 防火墙性能指标介绍 • 网御防火墙介绍
防火墙功能简介 • 基于源地址、目的地址 • 基于源端口、目的端口 • 基于用户 • 基于时间 • 基于流量 • 基于时间的控制 • 用户级权限控制 • 安全内核 • 访问控制 • 内容安全 • IP与MAC绑定 • 安全远程管理 • 多种管理方式 • 灵活接入 • 授权认证 • 双机热备 • 安全审计 • 加密 • 端口映射 • 流量控制 • 规则模拟测试 • 入侵检测 • 本地 & 远程管理 • NAT转换 & IP复用 • 多端口结构 • 安全联动 • 网络管理 防火墙
灵活的访问控制 • 基于源IP地址 • 基于目的IP地址 • 基于源端口 • 基于目的端口 • 基于时间 • 基于IP旗标 • 基于用户 • 基于流量 控制策略 可以灵活的制定 的控制策略 查找对应的控制策略 根据策略决定如何处理该数据包 Host C Host D 拆开数据包 进行分析 数据包 数据包 数据包 数据包 数据包 数据包
Internet 基于时间的控制 Host C Host D 在防火墙上制定基于时间的访问控制策略 上班时间可以访问公司的网络 上班时间不允许访问Internet
199.168.1.2 Host A Internet IP与MAC绑定 00-50-04-BB-71-A6 00-50-04-BB-71-BC 199.168.1.4 199.168.1.5 199.168.1.3 Host D Host B Host C BIND 199.168.1.2 To 00-50-04-BB-71-A6 BIND 199.168.1.2 To 00-50-04-BB-71-BC IP与MAC地址绑定后,不允许Host B假冒Host A的IP地址上网 防火墙允许Host A上网
199.168.1.3 199.168.1.2 199.168.1.5 199.168.1.4 Host A Host B Host D Host C Internet 透明接入 Default Gateway=199.168.1.8 受保护网络 透明模式下,这里不用配置IP地址 如果防火墙支持透明模式,则内部网络主机的配置不用调整 防火墙相当于网桥,原网络结构没有改变 199.168.1.8 透明模式下,这里不用配置IP地址 同一网段
外网或者不信任域 内部网 双机热备 发现出故障,立即接管其工作 Eth 0 Eth 0 Eth1 心跳线 Eth1 Standby Firewall Active Firewall Eth2 检测Active Firewall的状态 Eth2 正常情况下由主防火墙工作 主防火墙出故障以后,接管它的工作
199.168.1.3 199.168.1.2 199.168.1.5 199.168.1.4 Host A Host B Host D Host C 安全网域 Host G Host H 2001-02-07 2001-02-07 9:10 8:30 199.168.1.5 199.168.1.2 202.102.1.3 202.102.1.2 TCP TCP ··· ··· Internet 信息审计 & 日志 写入日志 写入日志 202.102.1.2 202.102.1.3 一旦出现安全事故 可以查询此日志
Host D Host A Host B Host C 受保护网络 Internet VPN功能 Host A Host D 交给IPSec核心处理 对数据加密或认证 得到新的数据包 Host B Host C 是 受保护网络 先判断是否允许包通过然后根据策略决定是否使用安全协议 将新的数据包转发到相应的端口 根据策略决定如何处理数据包 允许 转发到内部接口 去掉AH ESP头 交给IPSec核心处理 收到的数据包经过IPSec处理了吗 是
199.168.1.3 199.168.1.2 199.168.1.5 199.168.1.4 WWW FTP DNS MAIL Internet 端口映射 • 公开服务器可以使用私有地址 • 隐藏内部网络的结构 199.168.1.6 199.168.1.2:80 TO 202.102.1.3:80 199.168.1.3:21 TO 202.102.1.3:21 199.168.1.5:53 TO 202.102.1.3:53 199.168.1.4:25 TO 202.102.1.3:25 202.102.1.3 http://202.102.1.3 http://202.102.1.3 12.4.1.5
Internet 流量控制 Host D Host A Host B Host C 受保护网络 Host A的流量已达到 10M 阻断Host A的连接 Host A的流量已达到 极限值30M
Internet 入侵检测 Host D Host A Host B Host C • 同一台主机对受保护网络内的主机频繁扫描 • 同一主机对受保护网内的主机建立多个连接 • 其他对网内主机的攻击行为 受保护网络 将根据用户策略采取措施 执行用户自定义的策略
202.102.93.54 Host A Internet IP报头 数据 Host C Host D IP报头 数据 192.168.1.21 192.168.1.25 Eth0:101.211.23.1 受保护网络 Eth2:192.168.1.23 防火墙 NAT转换 & IP复用 源地址:101.211.23.1 目地址:202.102.93.54 源地址:192.168.1.21 目地址:202.102.93.54 101.211.23.2 • 隐藏了内部网络的结构 • 内部网络可以使用私有IP地址 • 公开地址不足的网络可以使用这种方式提供IP复用功能
多端口结构 安全网域2 安全网域1 安全网域3 Eth0 Eth1 Eth2 多个接口可将受控网络从物理上分开,提高安全保护同时方便网络连接
安全联动 Internet 发起攻击 Host D Host A Host B Host C 黑客 受保护网络 IDS 识别出攻击行为 发送通知报文 发送响应报文 阻断连接或者报警等 验证报文并 采取措施
多协议支持 对OSPF路由协议的支持 对RIP、RIP2协议的支持 对NETBEUI、VOD协议的支持 支持 802.1q VLAN专用协议 支持DHCP、BOOTP协议 ……
Firewall专题 • 什么是防火墙? • 防火墙产品的发展历程 • 防火墙功能简介 • 防火墙性能指标介绍 • 网御防火墙介绍
衡量防火墙性能的五大指标 吞吐量:该指标直接影响网络的性能,吞吐量 时延:入口处输入帧最后1个比特到达至出口处输出帧的第1个比特输出所用的时间间隔 丢包率:在稳态负载下,应由网络设备传输,但由于资源缺乏而被丢弃的帧的百分比 背靠背:从空闲状态开始,以达到传输介质最小合法间隔极限的传输速率发送相当数量的固定长度的帧,当出现第一个帧丢失时,发送的帧数 并发连结数:并发连接数是指穿越防火墙的主机之间或主机与防火墙之间能同时建立的最大连接数
吞吐量 定义:在不丢包的情况下能够达到的最大速率 衡量标准:吞吐量作为衡量防 火墙性能的重要指标之一,吞吐量小就会造成网络新的瓶颈,以至影响到整个网络的性能 101100101000011111001010010001001000 ~;%#@*$^&*&^#**(& 以最大速率发包 直到出现丢包时的最大值 Smartbits 6000B 测试仪 100M 60M 防火墙吞吐量小就会成为网络的瓶颈
NO.1 吞吐量 吞吐量:以待测设备 不丢弃数据包为前提 的最大速率 测试参数说明: 100M 的80%、20%速率 下进行测试性能: IXIA 1600性能测试仪
时延 定义:入口处输入帧最后1个比特到达至出口处输出帧的第一个比特输出所用的时间间隔 衡量标准:防火墙的时延能够体现它处理数据的速度 时间间隔 最后1个比特到达 第一个比特输出 101100101000011111001010010001001000 10101001001001001010 Smartbits 6000B 测试仪 造成数据包延迟到达目标地 数据包首先排队待 防火墙检查后转发 1010100111001110 1010100111001110 1010010010100100010100010 101010100100100100100100010
NO.2 延时 延时:入口处输入帧最后 1个比特到达至出口处输出 帧的第一个比特输出所用 的时间间隔 测试参数说明: 100M 的80%、20%速率 下进行测试性能: IXIA 1600性能测试仪
Smartbits 6000B 测试仪 丢包率 定义:在连续负载的情况下,防火墙设备由于资源不足应转发但却未转发的帧百分比 衡量标准:防火墙的丢包率对其稳定性、可靠性有很大的影响 丢包率=(1000-800)/1000=20% 发送了1000个包 防火墙由于资源不足只转发了800个包 10010101001010010001001001 10010101001010010001001001
NO.3 丢包率 丢包率:在稳态负载下,应由 网络设备传输,但由于缺乏资 源而被丢弃的帧的百分比 测试参数说明: 100M 的80%、20%速率下进 行测试性能:IXIA 1600性能 测试仪
Smartbits 6000B 测试仪 背靠背 定义:从空闲状态开始,以达到传输介质最小合法间隔极限的传输速率发送相当数量的固定长度的帧,当出现第一个帧丢失时,发送的帧数。 衡量标准:背对背包的测试结果能体现出被测防火墙的缓冲容量,网络上经常有一些应用会产生大量的突发数据包(例如:NFS,备份,路由更新等),而且这样的数据包的丢失可能会产生更多的数据包,强大缓冲能力可以减小这种突发对网络造成的影响 包数量(n) 背靠背指标体现防火墙对突发数据的处理能力 峰值 时间(t) 少量包 包增多 包减少 没有数据
