防火墙技巧应用培训版本.ppt

《防火墙技巧应用培训版本.ppt》由会员分享，可在线阅读，更多相关《防火墙技巧应用培训版本.ppt（39页珍藏版）》请在装配图网上搜索。

1、,龙腾中国 融信天下,北京天融信广西办事处 汪 敏 手机：1587880826 电话: 0771-5760789 5760907 5760997 邮件:zhong_ 地址:南宁市金州路太平洋世纪广场1805,广西区财政信息安全培训 -北京天融信网络安全,喜咱篡乘援夹霜瞎向诊鞠支薄洼波惭侵末蒲豫洪婆净禽徊葵诧杭葛乾邮款防火墙技术应用培训版本防火墙技术应用培训版本,培训专用材料,广西区财政防火墙 技术应用培训教程,诞荡村锐哥肃僚愁织邦误捆硒在坟中晤和脱后墓方何丹柿固裴瞎桐卤瑶塑防火墙技术应用培训版本防火墙技术应用培训版本,防火墙基本概念 防火墙分类 防火墙发展趋势 防火墙核心技术 防火墙功能 防火

2、墙性能 防火墙部署 防火墙可靠性 防火墙典型应用,Firewall,坞绽缩疤岁拟潞邱撞预傈臣内梯挛万茬鹏壶赫省钉添指车氟钝逢誊学纺壮防火墙技术应用培训版本防火墙技术应用培训版本,Internet,一种高级访问控制设备，置于不同网络安全域之间的一系列部件的组合，它是不同网络安全域间通信流的唯一通道，能根据企业有关的安全政策控制（允许、拒绝、监视、记录）进出网络的访问行为。,两个安全域之间通信流的唯一通道,根据访问控制规则决定进出网络的行为,防火墙定义,内部网,边输外千樟壳肖漆侍聘魂躺歧奋巢亢胞爪抖哪涩办龟粥帛厘墟怨盏二批卒防火墙技术应用培训版本防火墙技术应用培训版本,Firewall,防火墙基本

3、概念 防火墙分类 防火墙发展趋势 防火墙核心技术 防火墙功能 防火墙性能 防火墙部署 防火墙可靠性 防火墙典型应用,肢狂毙纳植劝析逢闲区限禄卞代惭裔蹈熏揩稍牲诬寸盲澳福兢挚诗芯恐旧防火墙技术应用培训版本防火墙技术应用培训版本,Internet,软件防火墙,硬件防火墙,按技术层面分类,按保护对象分类,Internet,各种类型的防火墙,保护整个网络,保护单台主机,网络防火墙,单机防火墙,进耙波窟婴豁宇督龚蔗碱极谎潞季锭攘徊望柱仔道童溜中簿舌敌撒拐痊菊防火墙技术应用培训版本防火墙技术应用培训版本,Internet,单机防火墙,网络防火墙,保护单台主机 安全策略分散 安全功能简单 普通用户维护 安全

4、隐患较大 策略设置灵活,保护整个网络 安全策略集中 安全功能复杂多样 专业管理员维护 安全隐患小 策略设置复杂,单机防火墙&网络防火墙,拥赣劈坪待涕它粳曹检癸六戈祁糖今纷乱睁积针篙致休怒命姓讥虾肩梨沏防火墙技术应用培训版本防火墙技术应用培训版本,Internet,硬件防火墙&软件防火墙,Internet,硬件防火墙,软件防火墙,仅获得Firewall软件，需要准备额外的OS平台 安全性依赖低层的OS 网络适应性弱（主要以路由模式工作） 稳定性高 软件分发、升级比较方便,硬件，不用准备额外的OS平台 安全性完全取决于专用的OS 网络适应性强（支持多种接入模式） 稳定性较高 升级、更新不太灵活,署

5、仟娘动娇沂呻竹主回悦壁呵袜怯拼瓜赚武淬掷上腆俐继舷曼霞悬勋诚旗防火墙技术应用培训版本防火墙技术应用培训版本,Firewall,防火墙基本概念 防火墙分类 防火墙发展趋势 防火墙核心技术 防火墙功能 防火墙性能 防火墙部署 防火墙可靠性 防火墙典型应用,无腑叙撤现勺驮耘足凯通凸题茧印韧项庭驶诽菊唆降聘彩戳瓷侧赠联慕诫防火墙技术应用培训版本防火墙技术应用培训版本,防火墙的发展趋势,纯软件防火墙,软硬结合防火墙,ASIC硬件防火墙,基于PC机，运行在通用操作系统（UNIX、WINDOWS等）之上 通用操作系统不是为网络安全定制的，不可避免的存在许多漏洞和BUG 防火墙没有专用的资源，与其他任务进程一

6、起共享CPU、RAM、PCI总线等资源 性能一般、安全性也一般,不再使用通用的操作系统 采用专用或者自主研发（优化）的操作系统，由于这些系统是为网络安全定制的，因而从根本上解决了软件防火墙存在的安全隐患 该类防火墙仍然属于PC结构，但在性能上比软件防火墙有了很大的提高 性能和安全性都比软件防火墙高,采用ASIC芯片和多总线、并行处理方式；使原先需要上万条指令才能完成的工作在瞬间由数个循环就能完成 多总线结构保证在端口上有数据传输时，防火墙内部仍能进行高效数据处理，不再受“中断”的限制 采用专用操作系统，具有很高的安全性 彻底摆脱PC架构的影响 性能和安全性有很大的突破，尤其是性能指标,寨霄序弯

7、器尾狂晕掸褪雍玖桅典药咋个詹垒敛膛铣鼠沪谤炙泅余兴电汀彝防火墙技术应用培训版本防火墙技术应用培训版本,Firewall,防火墙基本概念 防火墙分类 防火墙发展趋势 防火墙技术的基本原理 防火墙功能 防火墙性能 防火墙部署 防火墙可靠性 防火墙典型应用,揍滞藻蚕捎绦冒唆唯琐滴媒昂葵拟落木给皂导宜肖放份胃宗贱较惯螺姜左防火墙技术应用培训版本防火墙技术应用培训版本,应用层,TCP 层,IP 层,网络接口层,IP,开始攻击,TCP,ETH,开始攻击 主服务器 硬盘数据,应用层,TCP 层,IP 层,网络接口层,开始攻击 主服务器 硬盘数据,检查多个报文组成的会话,1010010010010100100

8、00011100111101111011,001001001010010000011100111101111011,防火墙的工作原理,建立连接状态表,开始攻击,重写会话,主服务器,硬盘数据,报文1,报文2,报文3,网络层保护强 应用层保护戗 会话保护很强 上下文相关 前后报文有联系,场装砧柞涨编噬篡虫腹添乐咒烁拘臻卖直馈塔海条赃鸯硼期渝负乔付插壬防火墙技术应用培训版本防火墙技术应用培训版本,Firewall,防火墙基本概念 防火墙分类 防火墙发展趋势 防火墙技术的基本原理 防火墙功能 防火墙性能 防火墙部署 防火墙可靠性 防火墙典型应用,潞搁铭抚钡邹逞示芋绦绽渔酸掐型杂阑淋楼截晌凄脱定昔讲蔼铆

9、刻畴看褐防火墙技术应用培训版本防火墙技术应用培训版本,Host C,Host D,基本的访问控制技术,Access list 192.168.1.3 to 202.2.33.2 Access nat 192.168.3.0 to any pass Access 202.1.2.3 to 192.168.1.3 block Access default pass,1010010101,规则匹配成功,基于源IP地址 基于目的IP地址 基于源端口 基于目的端口 基于时间 基于用户 基于流量 基于文件 基于网址 基于MAC地址,惶侯尝茵片姨未鞍南滚靛目霞过钟干浮竟沽租蔽甚梗静柳呼致乐助彪象印防火墙技术

10、应用培训版本防火墙技术应用培训版本,Clint,响应请求,发送请求,通信日志,通信日志,通信信息,192.168.6.169,192.168.6.170,日志分析记录,痔锅唯棱妄雅惹赏密瞪荧秘焉圣踪熔早南互搞唁罪硼高谈屉训憋洲蠢滥泰防火墙技术应用培训版本防火墙技术应用培训版本,防火墙双机热备,内部网,外网或者不信任域,Eth 0,Eth 0,Eth1,Eth1,Eth2,Eth2,心跳线,Active Firewall,Standby Firewall,检测Active Firewall的状态,发现出故障，立即接管其工作,正常情况下由主防火墙工作,主防火墙出故障以后，接管它的工作,Switch

11、,Switch,通过STP协议可以交换两台防火墙的状态信息,当一台防火墙故障时，这台防火墙的连接不需要重新建立就可以透明的迁移到另一台防火墙上，用户不会察觉到,康买赢匪郎劝蹿饼浮肩枕香提能阵凰蚌目柯献补厩润堂痊慈产吨黎冻日脑防火墙技术应用培训版本防火墙技术应用培训版本,双地址路由功能,中国教育网,Internet,202.10.1.2,64.10.6.5,200.34.22.2,200.34.22.1,192.168.1.1,Host A：192.168.1.2,Host B：192.168.1.3,Host C：192.168.1.4,200.34.22.3,内网,根据源、目地址来进行路由,

12、主机B直接连接Internet,主机A通过教育网上Internet,陨硅宴园眯舆弛宠豫牛嚎埋庆技即职熔阻馅锯蔼刻描铝一义今拓峙叮鳞壹防火墙技术应用培训版本防火墙技术应用培训版本,Internet,Host B,199.168.1.3,Host C,199.168.1.4,Host D,199.168.1.5,00-50-04-BB-71-A6,00-50-04-BB-71-BC,BIND 199.168.1.2 To 00-50-04-BB-71-A6,BIND 199.168.1.4 To 00-50-04-BB-71-BC,IP与MAC地址绑定后，不允许Host B假冒Host A的IP地

13、址上网,防火墙允许Host A上网,跨路由器,IP与MAC（用户）的绑定,配餐然纸损鞍铡绢近沥蕉焰悠亚量浩公澡塔套颊毕阎庶傲颂讽挚泳嵌抡颐防火墙技术应用培训版本防火墙技术应用培训版本,对DHCP应用环境的支持,Internet,DHCP服务器,Host A,Host B,Host C,Host D,Host E,Host F,没有固定IP地址,只允许Host B上网,设定Host B的MAC地址,设定Host B的IP地址为空,根据Host B的MAC地址进行访问控制,勤皂弛盗厚烷防泳婉咯呻干敦幽牢寸诉远署悠噶缚巢嫡篮馁堕完牢氏丸臻防火墙技术应用培训版本防火墙技术应用培训版本,Internet

14、,公开服务器可以使用私有地址 隐藏内部网络的结构,199.168.1.6,12.4.1.5,202.102.1.3,MAP 199.168.1.2：80 TO 202.102.1.3：80,MAP 199.168.1.3：21 TO 202.102.1.3：21,MAP 199.168.1.4：53 TO 202.102.1.3：53,MAP 199.168.1.5：25 TO 202.102.1.3：25,http:/199.168.1.2,http:/202.102.1.3,MAP (端口、地址映射),妄骋肋鼠筑蛹囚近驴之孜趋宅寻放适朗谦蹿电熔杀由费滇鼻须隙刊羌严俗防火墙技术应用培训版本防

15、火墙技术应用培训版本,源地址：192.168.1.21 目地址：202.102.93.54,源地址：101.211.23.1 目地址：202.102.93.54,101.211.23.2,隐藏了内部网络的结构 内部网络可以使用私有IP地址 公开地址不足的网络可以使用这种方式提供IP复用功能,NAT (地址转换),际赢环荫烦琶忧毖站毕竟邵事贴憋袁豫沂纽铬斜纲喝浸处狙麓抚泄鸣砒蚜防火墙技术应用培训版本防火墙技术应用培训版本,对OSPF路由协议的支持 对RIP、RIP2协议的支持 对NETBEUI、VOD协议的支持 支持 802.1q 和 Cisco 的 ISL 协议 等VLAN专用协议 支持DHC

16、P、BOOTP协议 ,多协议支持,磺溜曝烛超瞬堡痉颁悬缕输央苫坪爵襟捡孜劣诚览扭遍痈枕瘩芋弯拌蔗活防火墙技术应用培训版本防火墙技术应用培训版本,Firewall,防火墙基本概念 防火墙分类 防火墙发展趋势 防火墙技术的基本原理 防火墙功能 防火墙性能 防火墙部署 防火墙可靠性 防火墙典型应用,侮询绦合杭狱捉冯误靠秸衔兹春泥乔坟晴敷财兹彭遵匀牡皑稽贸琢逗魁字防火墙技术应用培训版本防火墙技术应用培训版本,常见防火墙性能指标,转发率 吞吐量 延时 丢包率 最大并发连接数 每秒新建连接数 最大策略数 平均无故障间隔时间 支持的最大用户数,掏吓退若玄锦包末裴图市炊茨晤屉啊蛮葱笛帅痊航韶发舀豌贯粘菊宦岁罚

17、防火墙技术应用培训版本防火墙技术应用培训版本,Firewall,防火墙基本概念 防火墙分类 防火墙发展趋势 防火墙技术的基本原理 防火墙功能 防火墙性能 防火墙部署 防火墙可靠性 防火墙典型应用,拙璃摇郑搬嗽红茄峰舟布伍镑抵咕绢辗冀东恶粹苏茁照骤尔性肘七铲遗厢防火墙技术应用培训版本防火墙技术应用培训版本,受保护网络,Internet,如果防火墙支持透明模式，则内部网络主机的配置不用调整,199.168.1.8,同一网段,透明模式下，这里不用配置IP地址,透明模式下，这里不用配置IP地址,Default Gateway=199.168.1.8,防火墙相当于网桥，原网络结构没有改变,NO.1 透明

18、接入,简娶没京谦拿堑诬渍韧肚芭慧挝驳揍寓弓哮册咖库必忱尤趾辖碰业万朋泵防火墙技术应用培训版本防火墙技术应用培训版本,Internet,内部网,202.99.88.1,ETH0：202.99.88.2,ETH1：202.99.88.3,ETH2：202.99.88.4,202.99.88.10/24 网段,202.99.88.20/24 网段,外网、SSN、内网在同一个广播域，防火墙做透明设置。此时防火墙为透明模式。,透明模式的典型应用,搓磷踪谣镊敞熬解徘擒瑰遮美徽复兑保枪笛靖器悟顾佑窑将黄磁佯摧窘丫防火墙技术应用培训版本防火墙技术应用培训版本,受保护网络,Internet,199.168.1.

19、8,Default Gateway=199.168.1.8,防火墙相当于一个简单的路由器,203.12.34.56,203.12.34.57,提供简单的路由功能,199.168.1.8,NO.2 路由接入,握炳通脾擦部支浚羚税谣管圆两冷庸呈脆栗须每铲诫篱篓汾揉零记秤矢瓤防火墙技术应用培训版本防火墙技术应用培训版本,Internet,内部网,202.99.88.1,ETH0：202.99.88.2,ETH1：10.1.1.2,ETH2：192.168.7.2,10.1.1.0/24 网段,192.168.7.0/24 网段,外网、SSN区、内网都不在同一网段，防火墙做路由方式。这时，防火墙相当于

20、一个路由器。,路由模式的典型应用,另挂帚仍挣擞谆极芜芽偶势啄尽泄刀体靡契戌罗抒遵廷贷牺阑携讹耪沮歪防火墙技术应用培训版本防火墙技术应用培训版本,NO.3 综合接入,ETH1：192.168.7.102,ETH2：192.168.7.2,192.168.1.100/24 网段,192.168.7.0/24 网段,此时整个防火墙工作于透明+路由模式，我们称之为综合模式或者混合模式,202.11.22.1/24 网段,ETH1：202.11.22.2,两接口在不同网段，防火墙处于路由模式,两接口在不同网段，防火墙处于路由模式,两接口在同一网段，防火墙处于透明模式,问懈嘘乞舀殷声扩死择卯惺樟俱竟筐札赵

21、惩缚栗道厉牡潦樱腆汾擅妓礼呢防火墙技术应用培训版本防火墙技术应用培训版本,Firewall,防火墙基本概念 防火墙分类 防火墙发展趋势 防火墙技术的基本原理 防火墙功能 防火墙性能 防火墙部署 防火墙可靠性 防火墙典型应用,刷州醉壮醋霖跋薄询圾磕单侠藻惰栽吭善煮缸拎袁临拳骄群浦妇姻肄蘸擦防火墙技术应用培训版本防火墙技术应用培训版本,防火墙双机热备,内部网,外网或者不信任域,Eth 0,Eth 0,Eth1,Eth1,Eth2,Eth2,心跳线,Active Firewall,Standby Firewall,检测Active Firewall的状态,发现出故障，立即接管其工作,正常情况下由主防

22、火墙工作,主防火墙出故障以后，接管它的工作,Hub or Switch,Hub or Switch,通过STP协议可以交换两台防火墙的状态信息,当一台防火墙故障时，这台防火墙的连接不需要重新建立就可以透明的迁移到另一台防火墙上，用户不会察觉到,缩诽演柄浙勉垄瘸碗匡弟诸嚼摩罢杀日烈拉烩亨津承疡贿债哟袱彰敌待彰防火墙技术应用培训版本防火墙技术应用培训版本,WWW 1,WWW 2,WWW 3,负载均衡,负载均衡算法： 顺序选择地址+权值 根据PING的时间间隔来选择地址+权值 根据Connect的时间间隔来选择地址+权值 根据Connect然后发送请求并得到应答的时间间隔来选择地址+权值,根据负载均

23、衡算法将数据重定位到一台WWW服务器,服务器阵列,响应请求,踌垣倾嘶蒸秦兆惕扩掘泰络欢忆侦俄挎颊就藏茅鞍亨据殿天骋逮奖辛妖井防火墙技术应用培训版本防火墙技术应用培训版本,防火墙负载均衡,内部网,外网或者不信任域,Eth 0,Eth 0,Eth1,Eth1,Eth2,Eth2,心跳线,0 #,1 #,检测 0 # Firewall的状态,发现出故障，立即接管其工作,防火墙根据,与0 # 防火墙一起工作,Hub,Hub,步出篇腺免仆华皖眠温上磺酒扦祖苹忘嘘励怀铱什涉皖删疤缸驼班票描倾防火墙技术应用培训版本防火墙技术应用培训版本,防火墙自动检测和恢复机制,在防火墙硬件系统中嵌入 WatchDog 电

24、路 在防火墙核心软件中增加对 WatchDog 电路的支持 一旦 WatchDog 电路发现防火墙核心软件运行出现严重错误将产生硬件复位信号，促使核心系复位并重新启动 通过这种自动检测和恢复机制，尽量减少因防火墙系统意外宕机带来的损失,椿涂机恐孔媒勋乌书泪汐帛垢乡精双往猜叭裴允齿橙挑御腻决铡缸长遁饭防火墙技术应用培训版本防火墙技术应用培训版本,Firewall,防火墙基本概念 防火墙分类 防火墙发展趋势 防火墙核心技术 防火墙功能 防火墙性能 防火墙部署 防火墙可靠性 防火墙典型应用,幽砌鼻确逛卫鄙差鹏疑塞晤唉等较暮喉毋秧盐胶幂蒂蛛母幕祥述社育翰渔防火墙技术应用培训版本防火墙技术应用培训版本,

25、大型行业用户总部,分支机构 A,分支机构 B,办事处 A,办事处 B,大型行业用户防火墙解决方案,Modem 池,F R,PSTN/ISDN,骨干网可以考虑：NGFW4000,营业点接入网考虑：ARES防火墙,互联网可以考虑：NGFW4000中高端,感车拭揍泵晨毛饲陈元椎梦娥畅择府跨凛溺喘宏股死裂参增弘忘辟差霍胁防火墙技术应用培训版本防火墙技术应用培训版本,总 部,分支机构A,分支机构B,移动用户A,移动用户B,黑 客,企业用户防火墙方解决方案？,NGFW4000,ARES,ARES,Internet,高端 低端,爹斟胜永闺训抓许乐吧纸迂巴洒私衙枝诲裤眩侵送钟坐细厘夷桂猜坛咙渗防火墙技术应用培训版本防火墙技术应用培训版本,谢谢！,烷赋寒岿拌口布蜜佣偏疵婉删赋叔涡腕廖掳峻凌峡敌驭瞬纶栏泵绷汽沾唤防火墙技术应用培训版本防火墙技术应用培训版本,