防火墻工作原理

1、防火墻原理,防火墻的基本知識(shí),防火墻的主要目標(biāo)是控制對(duì)一個(gè)受保護(hù)網(wǎng)絡(luò)的訪問(wèn)，強(qiáng)迫所有連接都接受防火墻的檢查和評(píng)估?？梢允锹酚善?、計(jì)算機(jī)或一群計(jì)算機(jī)。防火墻通過(guò)邊界控制保護(hù)整個(gè)網(wǎng)絡(luò)，而不需要對(duì)每個(gè)網(wǎng)內(nèi)的主機(jī)進(jìn)行單獨(dú)的保護(hù)，為內(nèi)網(wǎng)仍舊可以采用相互信任的模式提供了一定的安全基礎(chǔ)。防火墻是指設(shè)置在不同網(wǎng)絡(luò)（如可信任的企業(yè)內(nèi)部網(wǎng)和不可信的公共網(wǎng)）或網(wǎng)絡(luò)安全域之間的一系列部件的組合。它可通過(guò)監(jiān)測(cè)、限制、更改跨越防火墻的數(shù)據(jù)流，盡可能地對(duì)外部

2、屏蔽網(wǎng)絡(luò)內(nèi)部的信息、結(jié)構(gòu)和運(yùn)行狀況， 以此來(lái)實(shí)現(xiàn)網(wǎng)絡(luò)的安全保護(hù)。  在邏輯上，防火墻是一個(gè)分離器，一個(gè)限制器，也是一個(gè)分析器，有效地監(jiān)控了內(nèi)部網(wǎng)和Internet之間的任何活動(dòng)，保證了內(nèi)部網(wǎng)絡(luò)的安全。,防火墻用來(lái)干什么？,保護(hù)內(nèi)網(wǎng)有漏洞的服務(wù)控制對(duì)內(nèi)網(wǎng)系統(tǒng)的訪問(wèn)將安全問(wèn)題集中解決增加隱私保護(hù)內(nèi)網(wǎng)系統(tǒng)不可見(jiàn)審計(jì)和統(tǒng)計(jì)網(wǎng)絡(luò)使用和錯(cuò)誤強(qiáng)制執(zhí)行統(tǒng)一的安全策略,防火墻的功能分類,包過(guò)濾防火墻狀態(tài)檢查機(jī)制

3、防火墻應(yīng)用代理網(wǎng)關(guān)防火墻專用代理防火墻混合型防火墻網(wǎng)絡(luò)地址轉(zhuǎn)換基于主機(jī)的防火墻個(gè)人防火墻／個(gè)人防火墻設(shè)備,防火墻的工作原理,防火墻的原理是指設(shè)置在不同網(wǎng)絡(luò)（如可信任的企業(yè)內(nèi)部網(wǎng)和不可信的公共網(wǎng)）或網(wǎng)絡(luò)安全域之間的一系列部件的組合。它是不同網(wǎng)絡(luò)或網(wǎng)絡(luò)安全域之間信息的唯一出入口，通過(guò)監(jiān)測(cè)、限制、更改跨越防火墻的數(shù)據(jù)流，盡可能地對(duì)外部屏蔽網(wǎng)絡(luò)內(nèi)部的信息、結(jié)構(gòu)和運(yùn)行狀況，有選擇地接受外部訪問(wèn)，對(duì)內(nèi)部強(qiáng)化設(shè)備監(jiān)管、控制對(duì)服務(wù)器與外部網(wǎng)

4、絡(luò)的訪問(wèn)，在被保護(hù)網(wǎng)絡(luò)和外部網(wǎng)絡(luò)之間架起一道屏障，以防止發(fā)生不可預(yù)測(cè)的、潛在的破壞性侵入。,防火墻的工作模式,防火墻分為三種模式：路由模式、透明模式、混合模式路由模式防火墻工作在路由模式下，此時(shí)所有接口都配置IP 地址，各接口所在的安全區(qū)域是三層區(qū)域，不同三層區(qū)域相關(guān)的接口連接的外部用戶屬于不同的子網(wǎng)。當(dāng)報(bào)文在三層區(qū)域的接口間進(jìn)行轉(zhuǎn)發(fā)時(shí)，根據(jù)報(bào)文的IP 地址來(lái)查找路由表，此時(shí) 防火墻表現(xiàn)為一個(gè)路由器。但是， 防火墻與路由器存在不同，

5、 防火墻中IP 報(bào)文還需要送到上層進(jìn)行相關(guān)過(guò)濾等處理，通過(guò)檢查會(huì)話表或ACL 規(guī)則以確定是否允許該報(bào)文通過(guò)。此外，還要完成其它防攻擊檢查。路由模式的防火墻支持ACL 規(guī)則檢查、ASPF 狀態(tài)過(guò)濾、防攻擊檢查、流量監(jiān)控等功能。,防火墻的工作模式,透明模式防火墻工作在透明模式（也可以稱為橋模式）下，此時(shí)所有接口都不能配置IP 地址，接口所在的安全區(qū)域是二層區(qū)域，和二層區(qū)域相關(guān)接口連接的外部用戶同屬一個(gè)子網(wǎng)。當(dāng)報(bào)文在二層區(qū)域的接口間進(jìn)行轉(zhuǎn)發(fā)

6、時(shí)，需要根據(jù)報(bào)文的MAC 地址來(lái)尋找出接口，此時(shí)防火墻表現(xiàn)為一個(gè)透明網(wǎng)橋。但是，防火墻與網(wǎng)橋存在不同，防火墻中IP 報(bào)文還需要送到上層進(jìn)行相關(guān)過(guò)濾等處理，通過(guò)檢查會(huì)話表或ACL 規(guī)則以確定是否允許該報(bào)文通過(guò)。此外，還要完成其它防攻擊檢查。透明模式的防火墻支持ACL 規(guī)則檢查、ASPF 狀態(tài)過(guò)濾、防攻擊檢查、流量監(jiān)控等功能。工作在透明模式下的 防火墻在數(shù)據(jù)鏈路層連接局域網(wǎng)（LAN），網(wǎng)絡(luò)終端用戶無(wú)需為連接網(wǎng)絡(luò)而對(duì)設(shè)備進(jìn)行特別配置，就像LA

7、N Switch 進(jìn)行網(wǎng)絡(luò)連接。,防火墻的工作模式,混合模式防火墻工作在混合透明模式下，此時(shí)部分接口配置IP 地址，部分接口不能配置IP 地址。配置IP 地址的接口所在的安全區(qū)域是三層區(qū)域，接口上啟動(dòng)VRRP功能，用于雙機(jī)熱備份；而未配置IP 地址的接口所在的安全區(qū)域是二層區(qū)域，和二層區(qū)域相關(guān)接口連接的外部用戶同屬一個(gè)子網(wǎng)。當(dāng)報(bào)文在二層區(qū)域的接口間進(jìn)行轉(zhuǎn)發(fā)時(shí)，轉(zhuǎn)發(fā)過(guò)程與透明模式的工作過(guò) 程完全相同。,防火墻產(chǎn)品,E200E/1000E

8、產(chǎn)品規(guī)格,防火墻產(chǎn)品,E8000E產(chǎn)品規(guī)格,,PIX 防火墻 525大型企業(yè)用戶使用提供 280,000 個(gè)連接提供 330-Mbps clear text 吞吐量端口支持最多1010/100 以太網(wǎng)口最多100個(gè) VLANs最多支持50個(gè)虛擬防火墻支持 failoverActive/standbyActive/active支持 VPNs (2,000 tunnels)Site to siteRemote ac

9、cess,,PIX 防火墻 535大型企業(yè)用戶使用同時(shí)提供 500,000 個(gè)連接提供 1.65-Gbps clear text 吞吐量支持的端口最多 14 個(gè)百兆或者千兆以太網(wǎng)口最多支持150 個(gè)VLANs最多支持50個(gè)虛擬防火墻支持failoverActive/standbyActive/active支持VPNs (2,000 tunnels)Site to siteRemote access,,Cisco

10、 ASA 5510可以在一個(gè)企業(yè)、中小型企業(yè)使用或者做VPN網(wǎng)關(guān)同時(shí)提供 64,000個(gè)連接提供 300-Mbps 吞吐量支持的接口最多支持5個(gè)10/100 Fast Ethernet 端口最多支持10個(gè)VLANs支持failoverActive/standby支持 VPNsSite to siteRemote accessWebVPN支持 AIP-SSM-10 (可選),,Cisco ASA 5520中小企

11、業(yè)用戶使用，或者做VPN網(wǎng)關(guān)提供同時(shí) 130,000個(gè)連接提供450-Mbps 吞吐量提供的接口4個(gè)10/100/1000以太網(wǎng)口1個(gè)10/100 以太網(wǎng)口最多支持25 個(gè)VLANs最多支持10個(gè)虛擬防火墻支持 failoverActive/standbyActive/active支持VPNsSite to siteRemote accessWebVPN支持 AIP-SSM-10 (可選),,Cisco A

12、SA 5540企業(yè)用戶使用，可以做VPN網(wǎng)關(guān)同時(shí)提供280,000 個(gè)連接提供 400-Mbps 吞吐量支持的接口4個(gè)10/100/1000以太網(wǎng)口1個(gè) 10/100 以太網(wǎng)口支持 100個(gè) VLANs最多50個(gè)虛擬防火墻支持 failoverActive/standbyActive/active支持 VPNsSite to site (5,000 peers)Remote access WebVPN 支

13、持 AIP-SSM-20 (可選）,,H3C SecPath U200-CS-AC設(shè)備類型： 企業(yè)級(jí)防火墻 網(wǎng)絡(luò)端口： 1個(gè)配置口(CON);5GE;1個(gè)mini插槽,可通過(guò)該插槽擴(kuò)展網(wǎng)絡(luò)接口;外置一個(gè)CF擴(kuò)展槽(選配) 入侵檢測(cè)： Dos,DDoS 管理： 支持標(biāo)準(zhǔn)網(wǎng)管 SNMPv3，并且兼容SNMP v2c、SNMP v1,支持NTP時(shí)間同步,支持Web方式進(jìn)行遠(yuǎn)程配置管理,支持SNMP/TR-069網(wǎng)管協(xié)議,支持H3C S

14、ecCenter安全管理中心進(jìn)行設(shè)備管理 VPN支持： 支持 安全標(biāo)準(zhǔn)： FCC,CE 控制端口： console 其他性能： 防火墻、VPN可同時(shí)擴(kuò)展卡巴,,H3C SecPath F100-A設(shè)備類型： 中小企業(yè)級(jí)防火墻 網(wǎng)絡(luò)端口： 4個(gè)10/100Mbps LAN以太網(wǎng)交換口、3個(gè)10/100Mbps WAN以太網(wǎng)口、1個(gè)AUX口(備份口)、1個(gè)CONSOLE口(配置口)、1個(gè)MIM插槽 入侵檢測(cè)： DoS、DDoS

15、 管理： 支持標(biāo)準(zhǔn)網(wǎng)管 SNMPv3，并且兼容SNMP v2c、SNMP v1 VPN支持： 支持 安全標(biāo)準(zhǔn)： RADIUS, HWTACACS, PKI /CA(X.509格式), 域認(rèn)證, CHAP, PAP 其他性能： 支持外部攻擊防范, 內(nèi)網(wǎng)安全, 流量監(jiān)控, 郵件過(guò)濾, 網(wǎng)頁(yè)過(guò)濾, 應(yīng)用層過(guò)濾等驗(yàn)證 電源： 輸入:100-240V,50/60Hz；輸出:12,,華為USG2210設(shè)備類型： 安全網(wǎng)關(guān) 網(wǎng)絡(luò)端口：

16、2GE Combo 入侵檢測(cè)： Dos,DDoS 管理： 支持命令行、WEB方式、SNMP、TR069等配置和管理方式，這些方式提供對(duì)設(shè)備的本地配置、遠(yuǎn)程維護(hù)、集中管理等多種手段，并提供完備的診斷、告警、測(cè)試等功能 VPN支持： 支持 安全標(biāo)準(zhǔn)： CE，ROHS，CB，UL，VCCI 控制端口： Console口 其他性能： UTM,網(wǎng)絡(luò)安全產(chǎn)品,藍(lán)盾防火墻系統(tǒng)技術(shù)先進(jìn)，高效專業(yè)平臺(tái)，端口反掃描，高保密度VPN(168bi

17、t)，防外又防內(nèi)的解決方案，千兆帶寬實(shí)用性強(qiáng)，分組代理計(jì)費(fèi)功能，URL過(guò)濾功能，地址轉(zhuǎn)換功能(NAT)，MAC綁定功能，物理斷開(kāi)功能，流量控制,,藍(lán)盾入侵檢測(cè)系統(tǒng)藍(lán)盾入侵檢測(cè)系統(tǒng)(BD-NIDS)是一種實(shí)時(shí)的網(wǎng)絡(luò)入侵檢測(cè)和響應(yīng)系統(tǒng)。它能夠?qū)崟r(shí)監(jiān)控網(wǎng)絡(luò)傳輸，自動(dòng)檢測(cè)可疑行為，分析來(lái)自網(wǎng)絡(luò)外部和內(nèi)部的入侵信號(hào)。在系統(tǒng)受到危害之前發(fā)出警告，實(shí)時(shí)對(duì)攻擊作出反應(yīng)，并提供補(bǔ)救措施，最大程度地為網(wǎng)絡(luò)系統(tǒng)提供安全保障。,,藍(lán)盾漏洞掃描器系統(tǒng)藍(lán)盾漏

18、洞掃描器是檢測(cè)遠(yuǎn)程或本地系統(tǒng)安全脆弱性的軟件;通過(guò)與目標(biāo)主機(jī)建立連接和并請(qǐng)求某些服務(wù)(如TELNET,FTP等),記錄目標(biāo)主機(jī)的應(yīng)答,搜索主機(jī)相關(guān)信息(如匿名用戶是否可以登錄等),從而發(fā)現(xiàn)目標(biāo)主機(jī)某些內(nèi)在的弱點(diǎn)。藍(lán)盾漏洞掃描器的重要性在于把極為繁瑣的安全檢測(cè),通過(guò)程序來(lái)自動(dòng)完成,減少管理者的工作,而且縮短了檢測(cè)的時(shí)間,使問(wèn)題發(fā)現(xiàn)更快.當(dāng)然,也可以認(rèn)為它是一種網(wǎng)絡(luò)安全性評(píng)估軟件。,藍(lán)盾網(wǎng)絡(luò)整體安全架構(gòu),,1.

19、防火墻2. 入侵檢測(cè)3. 物理隔離4. 路由器5. VPN網(wǎng)關(guān)6. 反垃圾產(chǎn)品7. 網(wǎng)絡(luò)防毒8. 檢測(cè)過(guò)濾9. 可信計(jì)算平臺(tái)10. 安全審計(jì)與分析,IDS 系統(tǒng)分類,NIDS：網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)即網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)，主要用于檢測(cè)hacker或cracker通過(guò)網(wǎng)絡(luò)進(jìn)行的入侵行為。 運(yùn)行方式有兩種：在目標(biāo)主機(jī)上運(yùn)行以監(jiān)測(cè)其本身的通訊信息在一臺(tái)單獨(dú)的機(jī)器上運(yùn)行以監(jiān)測(cè)所有

20、網(wǎng)絡(luò)設(shè)備的通訊信息，比如hub、路由器。 SIV：系統(tǒng)完整性檢測(cè)即系統(tǒng)完整性檢測(cè)，主要用于監(jiān)視系統(tǒng)文件或者Windows 注冊(cè)表等重要信息是否被修改，以堵上攻擊者日后來(lái)訪的后門(mén)。 SIV更多的是以工具軟件的形式出現(xiàn)，比如著名的“Tripwire”，它可以檢測(cè)到重要系統(tǒng)組件的變換情況，但并不產(chǎn)生實(shí)時(shí)的報(bào)警信息。LFM：日志文件監(jiān)測(cè)器即日志文件監(jiān)測(cè)器，主要用于監(jiān)測(cè)網(wǎng)絡(luò)服務(wù)所產(chǎn)生的日志文件。 LFM通過(guò)檢測(cè)日

21、志文件內(nèi)容并與關(guān)鍵字進(jìn)行匹配的方式判斷入侵行為，例如對(duì)于HTTP服務(wù)器的日志文件，只要搜索“swatch”關(guān)鍵字，就可以判斷出是否有“phf”攻擊。,,Honeypots：密灌系統(tǒng)蜜罐系統(tǒng)，也就是誘騙系統(tǒng)，它是一個(gè)包含漏洞的系統(tǒng)，通過(guò)模擬一個(gè)或多個(gè)易受攻擊的主機(jī)，給黑客提供一個(gè)容易攻擊的目標(biāo)。 沒(méi)有其它任務(wù)需要完成 所有連接的嘗試都應(yīng)被視為是可疑 拖延攻擊者

22、對(duì)其真正目標(biāo)的攻擊 讓攻擊者在蜜罐上浪費(fèi)時(shí)間 最初的攻擊目標(biāo)受到了保護(hù)，真正有價(jià)值的內(nèi)容將不受侵犯。 蜜罐目的之一是為起訴惡意黑客搜集證據(jù)。,網(wǎng)閘（ GAP ）,網(wǎng)閘（GAP）全稱安全隔離網(wǎng)閘。安全隔離網(wǎng)閘是一種由帶有多種控制功能專用硬件在電路上切斷網(wǎng)絡(luò)之間的鏈路層連接，并能夠在網(wǎng)絡(luò)間進(jìn)行安全適度的應(yīng)用數(shù)據(jù)交換的網(wǎng)絡(luò)安全設(shè)備。性能指標(biāo)：系統(tǒng)數(shù)據(jù)交換速率：1