天融信防火墙配置手册.ppt
天融信天融信防火墙配置防火墙配置 实训手册实训手册Http:/华迪信息华迪信息.网络工程中心网络工程中心 防火墙形态 类似于一台路由器设备,是一台特殊的计算机。类似于一台路由器设备,是一台特殊的计算机。以天融信天融信防火墙(TOPSEC FireWall ARESM)为实例,来测试防火墙各区域的访问控制机制:目标一目标一:了解访问策略访问策略的原理原理与作用作用。通过设置访问策略,测试Intranet(企业内联网),SSN(安全服务区,即DMZ(非军事区非军事区),Internet(互联网)区域之间访问控制机制。目标二目标二:了解NAT原理与作用。测试内网通过NAT方式相互访问。并通过NAT访问因特网,过滤特定网站和特定网页。目标三目标三:了解MAP原理与作用。测试外网通过MAP访问企业内部服务器。了解防火墙三种接入模式。配置目标配置目标n防防 火火 墙墙 n n为为为为 网网网网 络络络络 用用用用 户户户户 提提提提 供供供供 安安安安 全全全全 的的的的 Internet Internet 接接接接 入入入入InternetInternetDMZ WEB服务层服务层Intranet 内部网络内部网络Web e-mail FTP防火墙防火墙 FireWallWeb Site FilterWeb Site FilterWeb 站站 点点 访访 问问 过过 滤滤 限限限限 制制制制 对对对对 非非非非 本本本本 企企企企 业业业业 业业业业 务务务务 目目目目 的的的的 的的的的 Internet Internet 资资资资 源源源源 的的的的 访访访访 问问问问 Connection to Connection to outside networkoutside networkConnection to Connection to inside networkinside networkConnection to Connection to www networkwww network防火墙在企业网的接入防火墙在企业网的接入Intranet区域SSN区域Internet区域大门实实验验室室分分布布情情况况Internet实验网络结构图实验网络结构图网关:网关:DMZ 区区Intranet 内网内网Web e-mail FTPInternet 外网外网192.168.2.50/60/70/80/90网关:网关:192.168.2.250192.168.1.50/60/70/80/90网关:网关:192.168.1.2502.2506.2501.250防火墙路由模式访问控制测试结构一、通过防火墙的路由功能路由功能实现访问控制,操作步骤如下:STEP1:线路连接根据图示设置主机IP地址(注意主机IP与连接的防火墙端口地址为同一网段,不能与连接的防火墙端口地址冲突),设置防火墙本区域端口IP地址为主机网关地址。测试能否PING通防火墙端口IP地址。上半部份上半部份STEP2:通过软件登陆Firewall 打开防火墙配置软件“TOPSEC集中管理器”,新建项目,输入防火墙本区域端口本区域端口IP地址地址,登陆到防火墙。查看防火墙“基本信息基本信息”和“实时监控实时监控”,了解其他各菜单功能。说明:说明:登陆下列其中一个用户:user1/2/3/4/5/6/7/8/9/10,口令为:123456 防火墙配置一般有三种方式:B/S配置,C/S配置,Console口配置.本实验防火墙采用C/S方式。区域之间缺省权限的设置区域之间缺省权限的设置STEP3:防火墙区域防火墙区域缺省权限缺省权限设置设置网络区域 防火墙三个区域 缺省访问权限设为允许访问。操作说明操作说明:选择选择“可读、可写、可执行可读、可写、可执行”选项选项,表示为允许访问允许访问。本机PING其他区域内主机,测试连通性。网络区域 防火墙三个区域 缺省访问权限设为禁止访问。操作说明操作说明:不选择不选择“可读、可写、可执行”选项,表示为禁止访问禁止访问。本机PING其他区域内主机,测试连通性。第四个区域area_4为该软件上带的区域名,可不管,实际硬件上没有。缺省访问权限是指缺省访问权限是指区域之间主机区域之间主机的的默认权限默认权限。如果是PING本区域内主机,由于是通过交换机进行通信,防火墙不能控不能控制制同一区域主机之间的权限,本区域内主机是能够连通的。主机节点对象的建立主机节点对象的建立接下来在防火墙三个区域接下来在防火墙三个区域缺省权限缺省权限设为设为禁止访问禁止访问的情况下,的情况下,做以下步骤:做以下步骤:STEP4:主机节点对象建立主机节点对象建立高级管理网络对象本主机所在区域定义新对象定义节点 把本主机IP地址定义为一个节点。定义名称可任意,物理地址可不填。说明:说明:定义对象应在该对象所在区域内设置。本机在哪个区域,则在那个区域那个区域内设置。定义节点针对一个主机主机定义,定义子网可定义一个网络地址段。定义对象没有任何权限权限的作用,只有通过访问策略(STEP5设置)调用这些对象才能设置权限。防火墙访问控制过滤机制包过滤示意图防火墙访问控制过滤机制包过滤示意图源地址源地址过滤过滤目的目的地址地址过滤过滤协议协议过滤过滤协议协议端口端口过滤过滤数据包数据包数据包数据包应用层应用层过滤过滤缺省访问权限(允许缺省访问权限(允许/禁止)禁止)源对象目的对象策略服务http,ftp,smtp等时间策略访问控制允许/拒绝一条访问策略规则:一条访问策略规则:STEP5:区域之间主机权限策略设置,测试访问控制 1)首先明确源主机、目标主机源主机、目标主机,访问控制是针对源源到目目的的的访问。然后在高级管理高级管理访问策略访问策略需要访问的目标需要访问的目标主机所在区域主机所在区域内增加增加包过滤策略包过滤策略,策略源为访问端(只选择本机节点),策略目的为被访问端(只选择其他区域某节点),策略服务为PING,访问控制设为允许允许。注意策略源和目的只选择节点,针对主机进行权限设置。通过PING 对方主机测试连通性。特别注意:特别注意:访问策略应在被访问对象所在的目标区域被访问对象所在的目标区域设置策略。如:访问SSN区域内主机,则应在SSN区域内设置策略。访问控制测试访问控制测试 2)在本区域本区域内增加包过滤策略,建立禁止禁止对方主机(策略源)访问本机(策略目的)的访问策略,测试对方区域的主机到本机的连通性。说明:说明:必须针对不同区域不同区域设置访问权限,同一区域内的主机防火墙是不能控制权限的,设置的策略也是无用的。3)禁止其他区域主机访问本机135-139及445,7626,4006,1027,6267,8080端口(任选其一设置)。策略服务策略服务在都不选择的情况下,为任何服务任何服务,包括所有协议所有端口。策略服务在都选择的情况下,表示只对所选择的服务选择的服务进行访问控制。访问策略优先级高于区域区域默认权限策略的优先级(STEP3已设置)。每个访问策略都是单向访问单向访问,只有策略源对象访问到策略目的对象。两个不同区域主机如需要相互访问,则需要建立两个策略。访问策略可控制源地址,目标地址,策略服务,访问控制时间。访问控制测试访问控制测试STEP6:通过通过策略范围策略范围来控制主机访问权限来控制主机访问权限(1)设置两个策略,一个策略为设置本机访问其他区域某一主机的访问策略,访问策略为允许,另一个策略同样是访问该主机,但访问控制设为禁止,更改两个策略的优先级,通过PING 对方主机测试连通性。说明说明:鼠标上下拖动所建策略可以更改优先级,排在上面的策略优先级高。(2)设置两个策略,一个策略为本机访问其他整个区域整个区域的策略,另一个策略为本机禁止访问其他区域内某一个主机其他区域内某一个主机的策略,更改两个策略的优先级,通过PING 对方区域内主机测试连通性。(3)设置两个策略,一个策略为本机访问其他区域某主机的策略,策策略服务为略服务为任何服务任何服务,另一个策略为本机禁止通过策略服务策略服务PING其他区域该主机。更改两个策略的优先级,通过PING 对方主机测试连通性。访问控制测试访问控制测试(4)设置两个策略,一个策略为本机禁止访问其他区域某主机的策略,策略服务为任何服务策略服务为任何服务,另一个策略为本机允许通过策略服务策略服务PING其他区域该主机。更改两个策略的优先级,通过PING 对方主机测试连通性,访问对方主机其他端口(如共享方式)进行测试。(5)设置本区域允许访问其他整个区域,策略服务为任何服务,通过PING 对方所有主机测试连通性。(6)在网络区域,设置所有区域缺省权限为允许,再建立一个访问策略,禁止PING对方某一主机的访问策略。测试与对方主机的连通性。7)根据需要,自行定义自行定义策略,设置权限。说明:说明:如果选择整个区域,如选择INTRANET区域”,则指包括连入INTRANET内的所有所有主机。可以通过策略的优先级,把范围小的策略优先级设置为高于范围大的策略,能够有效控制不同区域之间的访问对象和策略服务。这样先满足范围小的策略,超过这个范围则再受到范围大的策略限制。访问控制测试访问控制测试企业防火墙设置注意要点:防火墙是企业安全的关键中枢,企业安全管理实施需要通过运用防火墙访问策略访问策略来实现。访问策略不只是从技术上考虑,最重要的是安全管理的需要来进行设置。为了安全需要,防火墙最好只能一个管理员进行配置,有其他人设置时要有日志记录便于管理审计。防止无关管理员任意设置。策略规则应尽量简化简化,策略太多容易杂乱,不便管理,影响防火墙效率。常见的木马、病毒使用的端口尽量关闭,如445,7626,4006,1027,6267等,对高发高发及最新最新病毒、木马端口要及时做出处理。防止反向连接,对由内到外的连接也要注意端口防护。与另一区域的一主机配合操作。在目标主机无网关(路由)的情况下,通过NAT方式进行访问。访问端需要有网关(路由)。1)把需要测试的目标主机操作系统中网关地址网关地址(在网络属性中设置)删除。2)在目标主机无网关情况下,增加一个访问策略,允许本机(策略源)访问该目标主机(策略目的),测试与该主机连接情况。3)进入高级管理通信策略通信策略 增加本机(策略源)到该目标主机(策略目的)的通讯策略,通信方式选择NAT方式。4)测试与该主机连通情况以及对方主机访问本机的连通情况。5)本机删除网关后,让对方主机增加网关,反过来再增加访问策略和NAT进行测试。说明:说明:访问策略是权限的问题,通讯策略是路径的问题。NAT都是单向访问单向访问,内网需要网关路由到外网,而外网不需路由到内网。保护了内网的安全。思考思考:NAT是作为源源IP地址转换地址转换,NAT在整个转换过程中所起到的作用?通信策略通信策略STEP7:设置设置NAT(网络地址转换网络地址转换)方式)方式NAT 在互联网的应用隐藏了内部网络结构隐藏了内部网络结构内部网络可以使用私有内部网络可以使用私有IP地址地址NAT原理源地址转换原理源地址转换报头报头 数据数据报头报头 数据数据NAT转换转换DMZ 区区Intranet 内网内网Web e-mail FTPInternet 互联网互联网网关:网关:网关:网关:2.2506.2501.250互联网过滤互联网过滤互联网过滤互联网过滤1)首先把防火墙INTERNET区域端口接入到华迪实训公司INTERNET网络线路。2)建立一个访问策略(包过滤策略包过滤策略),以本机作为策略源,以INTERNET区域区域做为策略目的,策略服务选择任何服务。3)再建立一个通信策略(NAT方式方式),本机做为策略源,INTERNET区域区域作为策略目的。然后本机DNS(在网络属性中设置)指向到互联网DNS服务器IP地址,检查能否PING通DNS服务器IP,测试能否连入互联网。DNS服务器IP:61.139.2.69 STEP8:通过通过HTTP过滤策略过滤策略,过滤网站和过滤网页过滤网站和过滤网页.4)在高级管理特殊对象URL 定义新对象,输入任一网址,注意格式要求。注意注意:定义URL时前后应加*,如格式:*。5)访问策略 INTERNET区域 增加HTTP策略策略,禁止某一网站。把过滤策略优先级提到最前面,测试该网站能否打开。(不需选择关键字)6)在高级管理特殊对象关键字定义关键字 7)访问策略INTERNET区域 增加 HTTP策略,允许允许某一网站访问,但禁止关键字访问。把过滤策略优先级提到最前面,测试含有该关键字的网页能否打开。注意:注意:定义关键字不需要加*,过滤关键字即过滤含有关键字的网页过滤含有关键字的网页。选择关键字则访问策略的访问控制只能选择“允许”,不能选择禁止。8)通过包过滤策略,禁止本机访问INTERNET,策略服务为TCP:80(HTTP服务服务),测试能否连入互联网。9)PING 某一网站域名(网址),记住其IP地址,通过访问策略禁止本机PING此IP地址。下半部份下半部份二二、通过防火墙透明模式测试区域网络的访问控制:、通过防火墙透明模式测试区域网络的访问控制:说明:说明:防火墙透明模式透明模式可以让同一网段同一网段在在不同区域不同区域的主机进行通信。(相当于二层交换二层交换)而路由模式路由模式可以让不同网段不同网段在在不同区域不同区域通过防火墙端口IP地址路由进行通信。(三层交换三层交换作用)了解防火墙的三种接入模式了解防火墙的三种接入模式1.透明模式(网络)透明模式(网络)2.路由模式路由模式 路由模式路由模式路由模式路由模式3.透明及路由的混合模式透明及路由的混合模式透明网络结构透明网络结构DMZ 区区Intranet 内网内网Web e-mail FTP192.168.1.110/120/130/140/150192.168.1.50/60/70/80/90192.168.1.200/210Internet 外网外网1.2401.2301.250防火墙透明网络测试结构STEP1:按上图设置主机IP(注意可不设网关可不设网关),用TOPSEC集中管理器重新登陆到本区域端口地址。在高级管理特殊对象透明网络增加透明网络透明网络,选择“INTERNET区域”“INTRANET,SSN。说明说明:增加本区域和要进行透明网络测试的区域。STEP2:在网络区域设置三个区域为禁止访问禁止访问。在网络对象中重新按以上IP在本区域建立本机节点,在访问策略中,增加本机(策略源)可以访问访问其他区域内某一主机(策略目的)的权限。STEP3:测试能否PING通其他区域的主机。STEP4:删除所有建立的透明网络,测试能否连通其他区域主机。STEP5:在网络区域设置三个区域为允许访问允许访问,建立禁止禁止访问其他区域主机的访问策略,测试连通性。透明网络测试透明网络测试不同区域任意两个主机之间都可配合按以下步骤操作。不同区域任意两个主机之间都可配合按以下步骤操作。三、三、MAP映射操作步骤映射操作步骤DMZ 区区Intranet 内网内网Web e-mail FTPInternet 外网外网192.168.2.50/60/70/80/90网关:网关:192.168.2.250192.168.1.50/60/70/80/90网关:网关:192.168.1.250192.168.6.50/60网关:网关:192.168.6.2502.2506.2501.250(本实验可选)(本实验可选)MAP端口(地址)映射 在互联网的应用MAP也称为反向也称为反向NATSTEP1:在网络区域本主机所在区域虚口设置设置虚口IP地址 增加本区域同一网段的虚口IP地址,注意不要跟其他地址冲突。说明说明:增加一个虚口地址做映射地址。建立MAP映射后,IP地址将会完全代替被映射的主机IP,为了使MAP后“TOPSEC集中管理器”能连到防火墙原防火墙IP地址,所以增加一个虚口地址来做为MAP映射的IP地址。STEP2:在高级管理网络对象本区域内增加STEP1所做的虚口地址为一个节点A。在高级管理网络对象对方区域内增加对方主机为一个节点B。Ping 虚口IP地址,检查能否连接该地址。STEP3:在高级管理访问策略对方区域内增加本机访问对方主机的访问策略,策略服务设为任何服务。STEP4:在高级管理通信策略增加MAP映射。策略源策略源为本机所在区域名,策略目的策略目的为节点A(即虚口地址),通信方式:MAP,目标机器目标机器为对方主机节点B,访问目标的源访问目标的源为节点A(即虚口地址)。认真按以下步骤操作,可参照后面参考案例MAP测试过程测试过程STEP5:进行MAP测试,本机访问虚口地址。可以通过 PING a 虚口IP 的方式查找计算机名,如能解析出对方计算机名。则可以说虚口地址已映射为对方计算机IP.通过地址映射后,访问虚口地址即实际转向访问转向访问到节点B.如访问虚口地址上的网站即访问节点B的WEB.STEP6:高级管理通信策略 把刚才做的MAP策略,指定协议改为TCP,映射方式改为端口映射端口映射:80 端口80端口。(如果是WEB,为80,如为FTP,端口为21)对方的IIS配置好,访问对方WEB。原理说明原理说明:只能针对节点节点(主机)对节点节点(主机)进行MAP 。通过这种方式,互联网上主机可不需路由(网关)到企业内网。当具体应用具体应用时,因外网不能直接访问到内网私有地址的服务器,在外网主机访问内网服务器时就需先访问外网IP地址,再通过MAP访问内网服务器。MAP是目的地址转换,经MAP转换后IP转换为防火墙另一区域的目标主机IP.MAP映射参考案例映射参考案例从Internet 区域向SSN 区域做映射。目的:192.168.6.251 MAP=DMZ 区区Intranet 内网内网Web e-mail FTP192.168.2.50(节点节点B)虚口地址(节点虚口地址(节点A):Internet 外网外网防火墙MAP映射测试结构2.2506.2501.250STEP1:按如图所示,以模拟互联网上某主机。在网络区域INTERNET区域虚口设置虚口设置设置虚口地址192.168.6.251.STEP2:在高级管理网络对象INTERNET增加虚口地址为一个节点A。在高级管理网络对象为一个节点B。STEP3:在高级管理访问策略SSN增加INTERNET访问的访问策略。STEP4:在高级管理通信策略增加MAP映射。策略源为INTERNET区域,策略目的为节点A(即虚口地址),通信方式:MAP,目标机器为节点B,访问目标的源为节点A(即虚口地址)。说明说明:本区域虚口地址映射到目标区域内主机。STEP5:Internet内一主机访问虚口地址。通过地址映射后,访问虚口地址即实际转向访问到节点B.如访问虚口地址上的Web即访问节点B的Web.报头报头 数据数据源地址:源地址:目的地址:目的地址:报头报头 数据数据源地址:源地址:目的地址:目的地址:MAP映射映射MAPMAP映射原理目的地址转换映射原理目的地址转换映射原理目的地址转换映射原理目的地址转换案例应用综合测试:案例应用综合测试:某公司根据网络安全需要,要求做到以下几点:1、允许内网所有主机访问互联网,但不能访问,不能访问有“游戏”关键字的网页。2、禁止SSN主机访问互联网。3、禁止内网访问除外SSN区域的主机。4、外网建立虚口地址,并使此IP的TCP:80端口映射到主机tcp:80端口。5、允许Intranet 主机主机访问SSN网主机。请根据这些安全要求设置防火墙策略!InternetInternetDMZ WEB服务层服务层Intranet 内部网络内部网络Web e-mail FTP防火墙防火墙 FireWallTrust 区区Untrust 区区1.50 1.601.20 2.606.251135-139,445,7626案例应用综合测试图:案例应用综合测试图:案例应用综合测试图:案例应用综合测试图:实验完 附:Firewall讲义讲义词汇表本讲义所用的词汇解释Intranet 内联网(企业网)DMZ 非军事区(停火区)SSN 安全服务区n防防 火火 墙墙 n n为为为为 网网网网 络络络络 用用用用 户户户户 提提提提 供供供供 安安安安 全全全全 的的的的 Internet Internet 接接接接 入入入入InternetInternetDMZ WEB服务层服务层Intranet 内部网络内部网络Web e-mail FTP防火墙防火墙 FireWallWeb Site FilterWeb Site FilterWeb 站站 点点 访访 问问 过过 滤滤 限限限限 制制制制 对对对对 非非非非 本本本本 企企企企 业业业业 业业业业 务务务务 目目目目 的的的的 的的的的 Internet Internet 资资资资 源源源源 的的的的 访访访访 问问问问 Connection to Connection to outside networkoutside networkConnection to Connection to inside networkinside networkConnection to Connection to www networkwww network1.3带防火墙的Web服务层1.4防火墙的接口交交换换机机Internet 核心交换机核心交换机 交换机交换机 交换机交换机PCPCPCPCPCPC 防火墙防火墙防火墙防火墙需要了解的内容:需要了解的内容:1、防火墙的区域端口、防火墙的区域端口S E R V E RDMZS E R V E RS E R V E RINTRANETINTERNET1.5 IT领域防火墙的概念 一种高级访问控制设备,置于不同安全域之间,是不同一种高级访问控制设备,置于不同安全域之间,是不同安全域之间的安全域之间的唯一通道唯一通道,能根据企业有关的安全政策执,能根据企业有关的安全政策执行行允许,拒绝,监视,记录允许,拒绝,监视,记录进出网络的行为。进出网络的行为。1.6 防火墙 防火墙是一个或一组系统,用于管理两个网络直接防火墙是一个或一组系统,用于管理两个网络直接的访问控制及策略的访问控制及策略所有从内部访问外部的数据流和外部访问内部的数所有从内部访问外部的数据流和外部访问内部的数据流均必须通过防火墙;只有在被定义的数据流才据流均必须通过防火墙;只有在被定义的数据流才可以通过防火墙可以通过防火墙(如果通过其他方式带出信息,则无如果通过其他方式带出信息,则无法防备)法防备)防火墙本身必须有很强的免疫力防火墙本身必须有很强的免疫力TCP/IP协议协议层次OSI/RM模型模型TCP/IP协议栈协议栈物理层物理层数据链接层数据链接层网络层网络层传输层传输层会话层会话层表示层表示层应用层应用层网络接口层网络接口层IP层层传输层传输层HTTP FTP SMTP TCP UDPIP ICMP ARP以太网,以太网,ATM,FDDI需要了解的内容:需要了解的内容:2、TCP/IP应用层应用层TCP/IP协议簇数据包各层协议结构MAC帧帧首部首部尾部尾部首部首部IP数据报数据报首部首部传输层传输层MAC地址地址源源 IP,目的目的 IP、协议类型、协议类型数据部份数据部份数据部份数据部份数据部份数据部份ICMP IGMP EGP OSPF ARPTCP UDP应用层应用层源端口源端口,目的端口目的端口TELNET,SMTP,FTP,HTTP,DNS,SNMP,DHCP RIP.链路层链路层IP层层各层首部长度:各层首部长度:MAC帧首部帧首部14B,尾部尾部4B,IP数据报首部数据报首部20B,TCP:20B,UDP:8B,ICMP:8BTCP/IP协议簇IP层协议:层协议:IP:网际协议网际协议 ICMP:网际控制报文协议网际控制报文协议 ARP 地址解析协议地址解析协议传输层协议:传输层协议:TCP:传输控制协议传输控制协议 特点:面向连接,较可靠。需先建立连接,开销较大。特点:面向连接,较可靠。需先建立连接,开销较大。UDP:用户数据报协议用户数据报协议 特点:无连接,不可靠,尽最大努力交付。特点:无连接,不可靠,尽最大努力交付。应用层协议:应用层协议:FTP TCP:21 SMTP TCP:25 TELNET TCP:23 HTTP TCP:80 POP3 TCP:110 SNMP UDP:161/162DNS TCP:53/UDP:53 PPTP TCP:1723 L2TP TCP:1701MSTerminal TCP:3389 WINS TCP:1512 HTTPS TCP:443DHCP UDP:67/68 QQ UDP:8000 SSH TCP:22PCANYWHERE TCP:5631MSN TCP:1863 RIP UDP:520TCP/IP协议簇各层之间的数据传递过程二、防火墙的发展历程 防火墙和路由器合为一体,只有过防火墙和路由器合为一体,只有过滤功能,适合安全要求不同的网络滤功能,适合安全要求不同的网络模块化软件包,用户可根据需要构模块化软件包,用户可根据需要构建防火墙。安全性提高了。建防火墙。安全性提高了。包括分组过滤包括分组过滤;装有专用的代理系装有专用的代理系统,监控所有协议的数据和指令。统,监控所有协议的数据和指令。用户可配置参数,安全性和速度大用户可配置参数,安全性和速度大为提高。为提高。包括分组过滤,应用网关,电路级包括分组过滤,应用网关,电路级网关。增加了加密,鉴别,审计,网关。增加了加密,鉴别,审计,NAT.透明性好。透明性好。三、防火墙核心技术简单包过滤防火墙简单包过滤防火墙简单包过滤防火墙简单包过滤防火墙状态检测包过滤防火墙状态检测包过滤防火墙状态检测包过滤防火墙状态检测包过滤防火墙应有代理防火墙应有代理防火墙应有代理防火墙应有代理防火墙包过滤和应有代理复合性防火墙包过滤和应有代理复合性防火墙包过滤和应有代理复合性防火墙包过滤和应有代理复合性防火墙核检测防火墙核检测防火墙核检测防火墙核检测防火墙3.1 简单包过滤防火墙工作原理 3.2 状态检测包过滤防火墙工作原理 3.3 应用代理防火墙工作原理在应用层上进行检查在应用层上进行检查网络层上不检查网络层上不检查3.4 复合型防火墙工作原理 3.5 核检测防火墙工作原理 防火墙核心技术比较 四、防火墙体系结构 基于内核的会话检测技术 五、防火墙构造体系筛选路由器多宿主主机被屏蔽主机被屏蔽子网六、防火墙功能与原理 基于访问控制技术基于访问控制技术常用访问控制对象:常用访问控制对象:协议协议(TCP,UDP,ICMP)源源IP地址地址,目的,目的IP地址,源端口,目的地址,源端口,目的端口端口时间,用户,流量,文件,网址,时间,用户,流量,文件,网址,MAC地址地址防止DoS和DDoS攻击DoS(Denial of Service)拒绝服务攻击 攻击者利用系统自身陋洞或者协议陋洞,耗尽可用资源乃至系统崩溃,而无法对合法用户作出响应。DDoS(Distributed Denial of Service)分布式拒绝服务攻击 拒绝服务攻击通常是以消耗服务器端资源为目标,通过伪造超过服务器处理能力的请求数据造成服务器响应阻塞,从而使正常的用户请求得不到应答,实现攻击目的。DDoS的表现形式主要有两种,一种是流量攻击,主要是针对网络带宽的攻击,即大量攻击包导致网络带宽被阻塞,合法的网络数据包被虚假的网络数据包淹没而无法到达主机;另一种为资源耗尽攻击,主要是针对服务器主机进行的攻击,即通过大量的攻击包导致主机的内存被耗尽,或是CPU被内核及应用程序占完而造成无法提供网络服务。与MAC地址绑定时间策略在访问中配置某条规则起作用的时间。如配置了时间策略,防火墙在规则匹配时将跳过那些当前时间不在策略时间段内的规则注:这个时间段不是允许访问的时间段,而是规则起作用的时间段。NAT 网络地址转换隐藏了内部网络结构隐藏了内部网络结构内部网络可以使用私有内部网络可以使用私有IP地址地址NAT原理源地址转换报头报头 数据数据报头报头 数据数据NAT转换转换MAP端口(地址)映射 MAP也称为反向也称为反向NAT报头报头 数据数据报头报头 数据数据MAP映射映射MAP映射原理目的地址转换服务器负载均衡负载均衡算法:负载均衡算法:顺序选择算法权值顺序选择算法权值根据根据PING的时间间隔来选择地址权值的时间间隔来选择地址权值根据根据CONNET的时间间隔来选择地址权值的时间间隔来选择地址权值根据根据CONNET来发送请求并得到应答的时间间隔来选择地址权值来发送请求并得到应答的时间间隔来选择地址权值 根据负载均衡算法将根据负载均衡算法将数据重定位到一台数据重定位到一台WWW服务器服务器 减少单个服务器负载减少单个服务器负载防火墙对TRUCK协议的支持 支持第三方认证服务器 1、支持第三方、支持第三方RADIUS服务器认证服务器认证2、支持、支持OTP认证服务器认证服务器与IDS的安全联动IDS:入侵检测系统。:入侵检测系统。是指对入侵行为的发觉,通过对算机网络系统中的若干关键点收集信息并对其进行分析,从中发觉网络系统中是否有违反安全策略的行为或被攻击的迹像。为什么需要IDS防范透过防火墙的入侵利用应用系统漏洞实施的入侵利用防火墙配置失误实施的入侵防范来自内部网的入侵内部网的攻击占总的攻击事件的70%没有监测的内部网是内部人员的“自由王国”对网络行为的审计,防范无法自动识别的恶意破坏入侵很容易入侵教程随处可见各种工具唾手可得安全漏洞日益暴露入侵检测系统(IDS)连接方式l注意事项:对于交换式HUB来说和交换机连接方法类似硬件安装:入侵检测系统接入方式之硬件安装:入侵检测系统接入方式之HUB入侵检测系统连接方式 硬件安装:入侵检测系统接入方式之交换机硬件安装:入侵检测系统接入方式之交换机注意事项:镜像多个源端口可能导致镜像端口丢包应对收发端口同时进行镜像接到INTRANET一般直接连入核心交换机,用来 检测在核心交换机上的服务器等网络服务设备.与病毒服务器的安全联动SNMP管理防火墙的不足之处1、无法防护内部用户的攻击无法防护内部用户的攻击 超过50%的攻击自来内部,防火墙只能防备外部网络的攻击。2、无法防护基于操作系统漏洞的攻击、无法防护基于操作系统漏洞的攻击3、无法防护端口木马的攻击、无法防护端口木马的攻击4、无法单独防护病毒的侵袭、无法单独防护病毒的侵袭5、无法防护非法通道的出现、无法防护非法通道的出现6、无法防护所有新的威协。、无法防护所有新的威协。人们不断发现利用以前可信赖的服务的新的侵袭方法。八、防火墙的典型应用应用一:应用一:防火墙的典型应用应用二:应用二:九、防火墙的性能衡量防火墙的五大性能指标:衡量防火墙的五大性能指标:吞吐量:该指标直接影响网络的性能,吞吐量。吞吐量:该指标直接影响网络的性能,吞吐量。时延:入口处输入帧最后一个最后一个比特到达至出口处输出帧第一个比特输出所用的时延:入口处输入帧最后一个最后一个比特到达至出口处输出帧第一个比特输出所用的时间间隔。时间间隔。丢包率:在稳定负载下,应由网络设备传输,但由于资源缺乏而被丢弃的帧的百分比。丢包率:在稳定负载下,应由网络设备传输,但由于资源缺乏而被丢弃的帧的百分比。背靠背:比空闲状态开始,以达到传输介质最小合法间隔极限的传输速率发送相当数量背靠背:比空闲状态开始,以达到传输介质最小合法间隔极限的传输速率发送相当数量的固定长度的帧,当出现第一个帧丢失时,发送的帧数。的固定长度的帧,当出现第一个帧丢失时,发送的帧数。并发连接数:指穿越防火墙的主机之间或主机与防火墙之间能同时建立的连接数。并发连接数:指穿越防火墙的主机之间或主机与防火墙之间能同时建立的连接数。吞吐量定义:定义:在不丢包的情况下,能够达到的最大速率。在不丢包的情况下,能够达到的最大速率。衡量标准:衡量标准:吞吐量作为衡量防火墙的重要性能指标之一,吞吐量小就会造成网吞吐量作为衡量防火墙的重要性能指标之一,吞吐量小就会造成网络新的瓶颈,以后影响整个网络的性能。络新的瓶颈,以后影响整个网络的性能。时 延定义:定义:入口处输入帧最后一个最后一个比特到达至出口处输出帧第一个比特输出入口处输入帧最后一个最后一个比特到达至出口处输出帧第一个比特输出所用的时间间隔。所用的时间间隔。衡量标准:衡量标准:防火墙的时延能够体现它处理数据的速度。防火墙的时延能够体现它处理数据的速度。丢包率定义:定义:在稳定负载下,应由网络设备传输,但由于资源缺乏而被丢弃的帧的百分比。在稳定负载下,应由网络设备传输,但由于资源缺乏而被丢弃的帧的百分比。衡量标准:衡量标准:防火墙的丢包率对其稳定性、可靠性有很大影响。防火墙的丢包率对其稳定性、可靠性有很大影响。背靠背定义:定义:比空闲状态开始,以达到传输介质最小合法间隔极限的传输速率发送比空闲状态开始,以达到传输介质最小合法间隔极限的传输速率发送相当数量的固定长度的帧,当出现第一个帧丢失时,发送的帧数。相当数量的固定长度的帧,当出现第一个帧丢失时,发送的帧数。衡量标准:衡量标准:背对背包的测试结果能体现出防火的缓冲容量,网络上经常有一背对背包的测试结果能体现出防火的缓冲容量,网络上经常有一些应用会产生大量的突发数据包(如:路由更新,备份等),而且这样的数些应用会产生大量的突发数据包(如:路由更新,备份等),而且这样的数据包的丢失可能会产生更多的数据包,强大缓冲能力可以减少这种突发对网据包的丢失可能会产生更多的数据包,强大缓冲能力可以减少这种突发对网络造成的影响。络造成的影响。并发连接数定义:定义:指穿越防火墙的主机之间或主机与防火墙之间能同时建立的连接数。指穿越防火墙的主机之间或主机与防火墙之间能同时建立的连接数。衡量标准:衡量标准:并发连接数的测试主要用来测试被测防火墙建立和维持并发连接数的测试主要用来测试被测防火墙建立和维持TCP连接连接的性能,同时也能通过并发连接数的大小体现被测防火墙对来自于客户端的的性能,同时也能通过并发连接数的大小体现被测防火墙对来自于客户端的TCP连接的响应能力。连接的响应能力。