防火墙技术原理PPT学习课件.ppt

Click to edit Master title style,Click to edit Master text styles,Second level,Third level,Fourth level,Fifth level,*,山东天融信网络安全公司,电话：,0531-88111395/396-300,热线：,800-810-5119,防火墙技术原理,与维护操作,-TCSP,培训讲稿,1,防火墙基本概念,防火墙分类,防火墙发展趋势,防火墙核心技术,防火墙设计结构,防火墙功能,防火墙性能,防火墙部署,防火墙可靠性,防火墙典型应用,2,Internet,一种高级访问控制设备，置于不同,网络安全域,之间的一系列部件的组合，它是不同网络安全域间通信流的,唯一通道,，能根据企业有关的安全政策,控制,（允许、拒绝、监视、记录）进出网络的访问行为。,两个安全域之间通信流的唯一通道,UDP,Block,Host C,Host B,TCP,Pass,Host C,Host A,Destination,Protocol,Permit,Source,根据访问控制规则决定进出网络的行为,防火墙定义,内部网,3,防火墙外观,4,桌面型防火墙,普通百兆防火墙,防火墙,+VPN,高端百兆防火墙,高端千兆防火墙,天融信防火墙产品系列线,通过在安全边界部署防火墙，可以实比,VLAN,、路由器更为强大、有效的访问控制功能；大大提高抗攻击的能力，实现边界防护。,高端电信级千兆防火墙,5,防火墙执行标准,GB/T 18019-1999,信息技术包过滤防火墙安全技术要求,GB/T 18020-1999,信息技术应用级防火墙安全技术要求,GB/T 18336-2001,信息技术安全性评估准则,GB/T 17900-1999,网络代理服务器的安全技术要求,GB/T 18018-1999,路由器安全技术要求,这些标准从安全环境、安全目标、安全要求、基本原理等方面对防火墙的各种指标进行了规定。,6,Firewall,防火墙基本概念,防火墙分类,防火墙发展趋势,防火墙核心技术,防火墙设计结构,防火墙功能,防火墙性能,防火墙部署,防火墙可靠性,防火墙典型应用,7,软件防火墙,硬件防火墙,按形态分类,按保护对象分类,Internet,各种类型的防火墙,保护整个网络,保护单台主机,网络防火墙,单机防火墙,Internet,8,Internet,单机防火墙,网络防火墙,保护单台主机,安全策略分散,安全功能简单,普通用户维护,安全隐患较大,策略设置灵活,保护整个网络,安全策略集中,安全功能复杂多样,专业管理员维护,安全隐患小,策略设置复杂,单机防火墙,网络防火墙,产品形态,软件,硬件或者软件,安装点,单台独立的,Host,网络边界处,安全策略,分散在各个安全点,对整个网络有效,保护范围,单台主机,一个网段,管理方式,分散管理,集中管理,功能,功能单一,功能复杂、多样,管理人员,普通计算机用户,专业网管人员,安全措施,单点安全措施,全局安全措施,结论,单机防火墙是网络防火墙的有益补充，但不能代替网络防火墙为内部网络提供强大的保护功能,单机防火墙,&,网络防火墙,9,Internet,硬件防火墙,&,软件防火墙,Internet,硬件防火墙,软件防火墙,操作系统平台,安全性,性能,稳定性,网络适应性,分发,升级,成本,硬件防火墙,基于精简专用,OS,高,高,较高,强,不易,较容易,Price=firewall+Server,软件防火墙,基于庞大通用,OS,较高,较高,高,较强,非常容易,容易,Price=Firewall,仅获得,Firewall,软件，需要准备额外的,OS,平台,安全性依赖低层的,OS,网络适应性弱（主要以路由模式工作）,稳定性高,软件分发、升级比较方便,硬件+软件，不用准备额外的,OS,平台,安全性完全取决于专用的,OS,网络适应性强（支持多种接入模式）,稳定性较高,升级、更新不太灵活,10,Firewall,防火墙基本概念,防火墙分类,防火墙发展趋势,防火墙核心技术,防火墙设计结构,防火墙功能,防火墙性能,防火墙部署,防火墙可靠性,防火墙典型应用,11,防火墙的发展历史,纯软件防火墙,软硬结合防火墙,ASIC,硬件防火墙,基于,PC,机，运行在通用操作系统（,UNIX,、,WINDOWS,等）之上,通用操作系统不是为网络安全定制的，不可避免的存在许多漏洞和,BUG,防火墙没有专用的资源，与其他任务进程一起共享,CPU,、,RAM,、,PCI,总线等资源,性能一般、安全性也一般,不再使用通用的操作系统,采用专用或者自主研发（优化）的操作系统，由于这些系统是为网络安全定制的，因而从根本上解决了软件防火墙存在的安全隐患,该类防火墙仍然属于,X86,结构，但在性能和安全性上比软件防火墙有了很大的提高,优良的性价比，在市场上占据了主导地位,采用,ASIC,芯片和多总线、并行处理方式；使原先需要上万条指令才能完成的工作在瞬间由数个循环就能完成,多总线结构保证在端口上有数据传输时，防火墙内部仍能进行高效数据处理，不再受,“,中断,”,的限制,采用专用操作系统，具有很高的安全性,彻底摆脱,X86,架构的影响,性能和安全性有很大的突破，尤其是性能指标,12,13,防火墙技术的发展历程,14,天融信防火墙的发展历程,15,天融信防火墙硬件平台的发展,16,Firewall,防火墙基本概念,防火墙分类,防火墙发展趋势,防火墙核心技术,防火墙设计结构,防火墙功能,防火墙性能,防火墙部署,防火墙管理,防火墙可靠性,防火墙典型应用,17,防火墙技术,简单包过滤防火墙,状态检测包过滤防火墙,应用代理防火墙,包过滤与应用代理复合型防火墙,5.,核检测防火墙,18,应用层,表示层,会话层,传输层,网络层,链路层,物理层,应用层,表示层,会话层,传输层,网络层,链路层,物理层,网络层,链路层,物理层,优点：,速度快，性能高,对应用程序透明,缺点：,安全性低,不能根据状态信息进行控制,不能处理网络层以上的信息,伸缩性差,维护不直观,简单包过滤技术介绍,19,应用层,TCP,层,IP,层,网络接口层,TCP,101010101,IP,101010101,TCP,TCP,101010101,IP,ETH,101010101,TCP,101010101,IP,应用层,TCP,层,IP,层,网络接口层,TCP,101010101,IP,101010101,TCP,TCP,101010101,IP,ETH,101010101,只检查报头,101001001001010010000011100111101111011,001001001010010000011100111101111011,简单包过滤 防火墙的工作原理,简单包过滤防火墙不检查数据区,简单包过滤防火墙不建立连接状态表,前后报文无关,应用层控制很弱,20,应用层,表示层,会话层,传输层,网络层,链路层,物理层,应用层,表示层,会话层,传输层,网络层,链路层,物理层,状态检测技术介绍,应用层,表示层,会话层,传输层,网络层,链路层,物理层,安全性高,能够检测所有进入防火墙网关的数据包,根据通信和应用程序状态确定是否允许包的通行,性能高,在数据包进入防火墙时就进行识别和判断,伸缩性好,可以识别不同的数据包,支持多种应用，包括,Internet,应用、数据库应用、多媒体应用等,用户可方便添加新应用,抽取各层的状态信息建立动态状态表,21,应用层,TCP,层,IP,层,网络接口层,TCP,101010101,IP,101010101,TCP,TCP,101010101,IP,ETH,101010101,TCP,101010101,IP,应用层,TCP,层,IP,层,网络接口层,TCP,101010101,IP,101010101,TCP,TCP,101010101,IP,ETH,101010101,只检查报头,101001001001010010000011100111101111011,001001001010010000011100111101111011,状态检测包过滤 防火墙的工作原理,不检查数据区,建立连接状态表,前后报文相关,应用层控制很弱,建立连接状态表,22,应用层,表示层,会话层,传输层,网络层,链路层,物理层,应用层,表示层,会话层,传输层,网络层,链路层,物理层,应用代理技术介绍,应用层,表示层,会话层,传输层,网络层,链路层,物理层,优点：,安全性高,提供应用层的安全,缺点：,性能差,伸缩性差,只支持有限的应用,不透明,FTP,HTTP,SMTP,23,应用层,TCP,层,IP,层,网络接口层,TCP,101010101,IP,101010101,TCP,TCP,101010101,IP,ETH,101010101,TCP,101010101,IP,应用层,TCP,层,IP,层,网络接口层,TCP,101010101,IP,101010101,TCP,TCP,101010101,IP,ETH,101010101,只检查数据,101001001001010010000011100111101111011,001001001010010000011100111101111011,应用代理 防火墙的工作原理,不检查,IP,报头,不建立连接状态表,网络层保护比较弱,24,应用层,TCP,层,IP,层,网络接口层,TCP,101010101,IP,101010101,TCP,TCP,101010101,IP,ETH,101010101,TCP,101010101,IP,应用层,TCP,层,IP,层,网络接口层,TCP,101010101,IP,101010101,TCP,TCP,101010101,IP,ETH,101010101,检查整个报文内容,101001001001010010000011100111101111011,001001001010010000011100111101111011,复合型 防火墙的工作原理,可以检查整个数据包内容,根据需要建立连接状态表,网络层保护强,应用层控制细,会话控制较弱,建立连接状态表,25,应用层,TCP,层,IP,层,网络接口层,TCP,开始攻击,IP,开始攻击,TCP,TCP,开始攻击,IP,ETH,开始攻击 主服务器 硬盘数据,TCP,开始攻击,IP,应用层,TCP,层,IP,层,网络接口层,TCP,开始攻击,IP,开始攻击,TCP,TCP,开始攻击,IP,ETH,开始攻击 主服务器 硬盘数据,检查多个报文组成的会话,101001001001010010000011100111101111011,001001001010010000011100111101111011,核检测 防火墙的工作原理,建立连接状态表,TCP,主服务器,IP,TCP,硬盘数据,IP,开始攻击,重写会话,主服务器,硬盘数据,报文1,报文2,报文3,网络层保护强,应用层保护强,会话保护很强,上下文相关,前后报文有联系,26,防火墙核心技术比较,综合安全性,网络层保护,应用层保护,应用层透明,整体性能,处理对象,简单包过滤防火墙,状态检测包过滤防火墙,应用代理防火墙,复合型防火墙,核检测防火墙,单个包报头,单个包报头,单个包数据,单个包全部,一次会话,1001001001,TCP,IP,1001001001,TCP,IP,27,Firewall,防火墙基本概念,防火墙分类,防火墙发展趋势,防火墙核心技术,防火墙设计结构,防火墙功能,防火墙性能,防火墙部署,防火墙管理,防火墙可靠性,防火墙典型应用,28,百兆防火墙外观构造,防火墙模块封装板,根据需要可以通过扩充模块，,增加端口的数量,根据需要可以选择,处理能力更好的机箱与引擎,防火墙机箱与引擎,防火墙接口模块,29,千兆电信级防火墙外观构造,GBIC,卡插槽,10/100/1000M,以太口,AUX,接口,热拔插冗余电源,大功率散热风扇,防火墙引擎,30,防火墙 内部软件,内核技术经过专门加固、精简、安全化的操作系统,模块化结构设计、可扩展性好、方便用户定制与升级,系统大小约5,M,代码，可以驻留在稳定的,Flash,盘上,配置文件存取在,NVRAM,里，可以保证配置文件的安全性,31,防火墙内部硬件,主板,：专用系统板,Talent-NS,嵌入式模块设计,处理器,：高速处理器,内存,：大容量内存,存储设备,：电子盘、,NVRAM,网络接口,：10/100/1000,M,自适应以太网接口、,FDDI,-,支持双电源,支持双机热备、负载均衡,对于千兆防火墙采用服务器级的硬件，使用多个处理器,32,硬件：,ASIC,NPU,MIPS,X86,，,ARM,TopsecOS,架构,IPS,SSL VPN,监控,报警,管理,QOS,HA,接入,OS,层,基础层,安全引擎层,Anti spam,IPSEC,服务层,健壮中心,文件系统,交换,FW,硬件抽象层,OS,核,认证,路由,日志,配置,GTA,AV,硬件,TOS,应用,33,防火墙内部系统设计,路由模块,透明模块,规则检查,还原模块,FTP,还原,HTTP,还原,SMTP,还原,POP3,还原,日志守护进程,病毒守护进程,应用层日志,病毒,应用层过滤,Kernel,Application,00101010101010,11110010101001,11101010101011,连接表,在操作系统内核完成应用协议的还原，极大的提高了系统的整体性能,34,基于内核的会话检测技术,Clint,192.168.6.169,192.168.6.170,010101001,010000111,110000010,010101001,010010010,110010010,协议还原模块,协议还原模块,输入队列,输入队列,底层驱动,010101001,010000111,110000010,010101001,010010010,110010010,符合安全策略？,符合安全策略？,防火墙逻辑图,010100101001010010,010100101001010010,010100101001010010,010100101001010010,010100,010101,发起请求,响应请求,虚拟客户端,虚拟服务器端,在操作系统内核模拟出典型的应用层协议，在内核实现对应用层协议的过滤，从而得到极高的性能,35,101001010,111000010,101000011,101001010,111000010,101000011,110100000001,100000001111,1001001000100100001001111,10001101001001001001001,010,010,进行规则匹配、应用层过滤,频繁在系统核心和应用层之间切换,消耗掉大量的系统资源,生成大量的进程,影响防火墙的性能,应用层,系统核心,101001010,111000010,101000011,101001010,111000010,101000011,1001000100100001001111,10001101001001001001001,010,010,直接在系统核心进行应用层过滤,不需要频繁在系统核心和应用层之间切换,在大量并发情况下不会生成大量进程，有效的保护系统资源,大大提高会话检测的效率,应用层,系统核心,基于内核 的会话检测技术,36,防火墙基本概念,防火墙分类,防火墙发展趋势,防火墙核心技术,防火墙设计结构,防火墙功能,防火墙性能,防火墙部署,防火墙可靠性,防火墙典型应用,37,Host C,Host D,基本的访问控制技术,Access list pass 192.168.1.3 to 202.2.33.2,Access nat 192.168.3.0 to any,Access block 202.1.2.3 to 192.168.1.3,Access default pass,1010010101,规则匹配成功,基于源,IP,地址,基于目的,IP,地址,基于,MAC,地址,基于源端口,基于目的端口,基于时间,基于用户名,基于文件,基于网址,基于关键字,基于邮件地址,38,WWW 1,WWW 2,WWW 3,服务器负载均衡,负载均衡算法：,基于轮询,基于加权轮询,最少链接,加权最少链接,对真实主机的自动探测,根据负载均衡算法将数据重定位到一台,WWW,服务器,服务器阵列,响应请求,39,日志审计,不做日志,做通信日志,：即传统日志,通信源地址、目的地址、源目端口、通信时间、通信协议、字节数、是否允许通过,做应用层命令日志,：,在通信日志的基础之上，记录下各个应用层命令及其参数。例如,HTTP,请求及其要取的网页名。,做访问日志,：,即在通信日志的基础之上，记录下用户对网络资源的访问。它和应用层命令日志的区别是：应用层命令日志可以记录下大量的数据，有些用户可能不需要，如协商通信参数过程等。例如针对,FTP,协议，访问日志只记录下读、写文件的动作,提供日志分析工具,自动产生各种报表，智能化的指出网络可能的安全漏洞,40,Clint,响应请求,发送请求,通信日志,通信日志,通信信息,192.168.6.169,192.168.6.170,做通信日志,41,Clint,响应请求,发送请求,命令日志,命令日志,192.168.6.169,192.168.6.170,做应用层命令日志,命令信息,42,Clint,响应请求,发送请求,访问日志,访问日志,192.168.6.169,192.168.6.170,做访问日志,访问信息,43,与,URL,服务器的安全联动,内部网络,Internet,URL,服务器,可以访问,吗？,Ok!,通过,T-SCP,安全产品协作平台实现防火墙与,URL,服务器的互动，从而控制对外部,WEB,站点的访问,44,与病毒服务器安全联动,Internet,110010101,病毒服务器,100010101,000010101,待发数据,110010101,100010101,000010101,110010101,100010101,000010101,pass,pass,无病毒转发最后一个报文，如带有病毒则丢弃最后一个报文,协议还原 检查病毒,没有发现病毒可以放过最后一个报文,接收数据,接收数据,45,Host C,Host D,Host B,Host A,受保护网络,net,IDS,黑客,发起攻击,发送通知报文,验证报文并,采取措施,发送响应报文,识别出攻击行为,阻断连接或者报警等,与,IDS,的安全联动,46,支持第三方认证服务器,Internet,RADIUS,服务器,OTP,认证服务器,Zhanglongyong,12354876,防火墙将认证信息传给真正的,RADIUS,服务器,进行认证,将认证结果传给防火墙,支持内置,VRC/OTP,认证服务器,支持第三方,RADIUS,认证服务器,支持,TACACS,及,TACAVS+,认证服务器,支持,S/KEY,、,SECUID,、,VIECA,、,LDAP,等认证,根据认证结果决定用户对资源的访问权限,47,策略路由功能,中国教育网,Internet,202.10.1.2,64.10.6.5,200.34.22.2,200.34.22.1,192.168.1.1,Host A：192.168.1.2,Host B：192.168.1.3,Host C：192.168.1.4,200.34.22.3,内网,根据源、目地址来进行路由,主机,B,直接连接,Internet,主机,A,通过,教育网,上,Internet,48,Internet,Host A,199.168.1.2,Host B,199.168.1.3,Host C,199.168.1.4,Host D,199.168.1.5,00-50-04-,BB-71-A6,00-50-04-,BB-71-BC,BIND 199.168.1.2 To 00-50-04-BB-71-A6,BIND 199.168.1.4 To 00-50-04-BB-71-BC,IP,与,MAC,地址绑定后，不允许,Host B,假冒,Host A,的,IP,地址上网,防火墙允许,Host A,上网,跨路由器,功能,IP,与,MAC（,用户）的绑定,49,对,MAC,地址得控制,net,DHCP,服务器,Host A,Host B,Host C,Host D,Host E,Host F,没有固定,IP,地址,只允许,Host B,上网,设定,Host B,的,MAC,地址,设定,Host B,的,IP,地址为空,根据,Host B,的,MAC,地址进行访问控制,50,对,DHCP,应用环境的支持,net,51,Internet,202.102.93.54,Host A,受保护网络,Host C,Host D,192.168.1.21,192.168.1.25,防火墙,Eth2：192.168.1.23,Eth0：101.211.23.1,数据,IP,报头,数据,IP,报头,源地址：192.168.1.21,目地址：202.102.93.54,源地址：101.211.23.1,目地址：202.102.93.54,101.211.23.2,隐藏了内部网络的结构,内部网络可以使用私有,IP,地址,公开地址不足的网络可以使用这种方式提供,IP,复用功能,NAT,改变的是源地址，天融信公司的防火墙支持静态和动态两种转换模式，支持一对一、多对一、多对多以及双向,NAT,功能,功能,NAT(,地址转换),52,Internet,公开服务器可以使用私有地址,隐藏内部网络的结构,MAP,改变的是目的地址，天融信公司防火墙支持,I,地址映射以及端口映射,WWW,199.168.1.2,FTP,199.168.1.3,MAIL,199.168.1.4,DNS,199.168.1.5,199.168.1.6,202.102.1.3,MAP 199.168.1.2：80 TO,202.102.1.3：80,MAP 199.168.1.3：21 TO,202.102.1.3：21,MAP 199.168.1.4：53 TO,202.102.1.3：53,MAP 199.168.1.5：25 TO,202.102.1.3：25,199.168.1.2,202.102.1.3,功能,MAP(,端口,/IP,映射),53,Trunk,口,Trunk,口,VLAN 1,VLAN 2,支持,VLAN,的交换机,Trunk,口,Trunk,口,VLAN 1,VLAN 2,Switch1,Switch 2,同一交换机的不同,VLAN,之间通讯,不同交换机的同一,VLAN,之间通讯,不支持,TRUNK,的防火墙无法在这种环境下工作,不支持,TRUNK,的防火墙无法在这种环境下工作,防火墙对,TRUNK,协议的支持,54,防火墙对,TRUNK,协议的支持,防火墙不但支持,TRUNK,数据包穿过防火墙，并且防火墙的接口也可以封装,TRUNK,数据包，即支持,VLAN,间路由,(3,层交换机功能,),。,Vlan20,Vlan30,Vlan10,TRUNK,链路,55,客户机,建立连接并维持连接状态直到查询结束,对长连接应用的支持,FR,数据库查询一般需要比较长的时间，这些通讯连接建立成功后可能暂时没有数据通过（空连接），需要在防火墙里面维护这个连接状态，直到查询结束，普通防火墙在连接建立一段时间后如果没有数据通讯会自动切断连接，导致业务不能正常运行,需要较长的查询时间,56,抗,DOS/DDOS,攻击,-SYN,代理,防火墙的,SYN,代理实现原理,:,在服务器和外部网络之间部署防火墙系统,;,防火墙在收到客户端的,Syn,包后，防火墙代替服务器向客户端发送,Syn/Ack,包,;,如果防火墙收到客户端的,Ack,信息，表明访问正常,由防火墙向服务器发送,Syn,包并完成后续的,TCP,握手,建立客户端到服务器的连接。,通过这种,Syn,代理技术，保证每个,Syn,包源的真实有效性，确保虚假请求不被发往服务器，从而彻底防范对服务器的,Syn-Flood,攻击。,240,万并发连接数,SYN,SYN/ACK,ACK,SYN,SYN/ACK,ACK,SYN,SYN/ACK,ACK,Client,Server,57,Host C,Host D,Host B,Host A,受保护网络,net,Internet,SNMP,报文,获取硬件配置信息,资源使用状况信息,防火墙的流量信息,防火墙的连接信息,防火墙的版本信息,防火墙的用户信息,防火墙的规则信息,防火墙的路由信息,SNMP,服务器端,SNMP,客户端,SNMP,管理,58,人性化的管理防火墙的接口状态查看,59,人性化的管理防火墙的性能查看,60,人性化的管理防火墙实时流量查看,通过对连接信息的查看，用户可以了解当前通过、未通过、已建立或已断开连接的源地址、目的地址、发送流量、接收流量等信息，及时了解网络应用情况，另外利用此功能还可以及时的排除故障。,61,防火墙双机热备,内部网,外网或者不信任域,Eth 0,Eth 0,Eth1,Eth1,Eth2,Eth2,心跳线,Active Firewall,Standby Firewall,检测,Active Firewall,的状态,发现出故障，立即接管其工作,正常情况下由主防火墙工作,主防火墙出故障以后，接管它的工作,Hub or Switch,Hub or Switch,通过,STP,协议可以交换两台防火墙的状态信息,当一台防火墙故障时，这台防火墙的连接不需要重新建立就可以透明的迁移到另一台防火墙上，用户不会察觉到,62,客户机,建立连接并维持连接状态直到查询结束,对长连接应用的支持,FR,数据库查询一般需要比较长的时间，这些通讯连接建立成功后可能暂时没有数据通过（空连接），需要在防火墙里面维护这个连接状态，直到查询结束，普通防火墙在连接建立一段时间后如果没有数据通讯会自动切断连接，导致业务不能正常运行。,需要较长的查询时间,63,Trunk,口,Trunk,口,VLAN 1,VLAN 2,支持,VLAN,的交换机,Trunk,口,Trunk,口,VLAN 1,VLAN 2,Switch1,Switch 2,同一交换机的不同,VLAN,之间通讯,不同交换机的同一,VLAN,之间通讯,不支持,TRUNK,的防火墙无法在这种环境下工作,不支持,TRUNK,的防火墙无法在这种环境下工作,防火墙对,TRUNK,协议的支持,防火墙不禁支持,TRUNK,数据包穿过防火墙，并且防火墙的接口也可以封装,TRUNK,数据包。,64,防火墙对,TRUNK,协议的支持,防火墙不禁支持,TRUNK,数据包穿过防火墙，并且防火墙的接口也可以封装,TRUNK,数据包，即支持,VLAN,间路由。,Vlan20,Vlan30,Vlan10,TRUNK,链路,65,高可用性的支持,二层环境？,三层环境？,66,抗,DOS/DDOS,攻击,-SYN,代理,防火墙的,SYN,代理实现原理,:,在服务器和外部网络之间部署防火墙系统,;,防火墙在收到客户端的,Syn,包后，防火墙代替服务器向客户端发送,Syn/Ack,包,;,如果防火墙收到客户端的,Ack,信息，表明访问正常,由防火墙向服务器发送,Syn,包并完成后续的,TCP,握手,建立客户端到服务器的连接。,通过这种,Syn,代理技术，保证每个,Syn,包源的真实有效性，确保虚假请求不被发往服务器，从而彻底防范对服务器的,Syn-Flood,攻击。,160,万并发连接数,SYN,SYN/ACK,ACK,SYN,SYN/ACK,ACK,SYN,SYN/ACK,ACK,Client,Server,67,支持众多网络通信协议和应用协议：如,DHCP,、,VLAN,、,PPPOE,、,ISL,、,802.1Q,、,Spanning tree,、,IPSEC,、,H.323,、,RTSP,、,MMS,、,IGMP,、,GRE,、,ORACLE-SQLNET,等,保证用户的网络应用，方便用户扩展,IP,宽带接入及,IP,电话、视频会议、,VOD,点播等多媒体应用。,支持核心网络中生成树（,STP,）的计算：通过生成树计算，防火墙能够同核心交换机一起进行生成树计算，实现了核心网络的全连接拓扑结构，能够进行链路的自动切换，保证了整个网络的稳定。,支持交换机主干链路：防火墙的物理接口实现了,D0t1q,封装格式，能够同交换机的,Trunk,接口对接，实现了,VLAN,间路由的功能，保证了防火墙对于各种网络环境的易接入性。,支持动态路由协议，不但可以让动态路由协议穿过防火墙设备，并且防火墙的接口也可以参与动态路由协议的运算，目前支持,OSFP/RIP2,。,支持多种网络应用,68,Firewall,防火墙基本概念,防火墙分类,防火墙发展趋势,防火墙核心技术,防火墙设计结构,防火墙功能,防火墙性能,防火墙部署,防火墙可靠性,防火墙典型应用,69,常见防火墙性能指标,吞吐量,延时,丢包率,背靠背,最大并发连接数,最大并发连接建立速率,70,吞吐量,定义：在不丢包的情况下能够达到的最大速率,衡量标准：,吞吐量作为衡量防 火墙性能的重要指标之一,吞吐量小就会造成网络新的瓶颈，以至影响到整个网络的性能,;%#*$&*&#*(&,Smartbits 6000B,测试仪,101100101000011111001010010001001000,以最大速率发包,直到出现丢包时的最大值,防火墙吞吐量小就会成为网络的瓶颈,100,M,60,M,71,数据包首先排队待,防火墙检查后转发,延时,定义：,入口处输入帧最后1个比特到达至出口处输出帧的第一个比特输出所用的时间间隔,衡量标准：,防火墙的时延能够体现它处理数据的速度,10101001001001001010,Smartbits 6000B,测试仪,101100101000011111001010010001001000,最后1个比特到达,第一个比特输出,时间间隔,1010100111001110,1010100111001110,1010010010100100010100010,101010100100100100100100010,造成数据包延迟到达目标地,72,丢包率,定义：,在连续负载的情况下，防火墙设备由于资源不足应转发但却未转发的帧百分比,衡量标准：,防火墙的,丢包率对其稳定性、可靠性有很大的影响,Smartbits 6000B,测试仪,发送了1000个包,防火墙由于资源不足只转发了800个包,丢包率=（1000-800）/1000=20%,10010101001010010001001001,10010101001010010001001001,73,背靠背,定义：,从空闲状态开始，以达到传输介质最小合法间隔极限的传输速率发送相当数量的固定长度的帧，当出现第一个帧丢失时，发送的帧数。,衡量标准：,背对背包的测试结果能体现出被测防火墙的缓冲容量,网络上经常有一些应用会产生大量的突发数据包（例如：,NFS,备份，路由更新等），而且这样的数据包的丢失可能会产生更多的数据包，强大缓冲能力可以减小这种突发对网络造成的影响,Smartbits 6000B,测试仪,时间（,t）,包数量（,n）,少量包,包增多,峰值,包减少,没有数据,背靠背指标体现防火墙对突发数据的处理能力,74,并发连接数,定义：,指穿越防火墙的主机之间或主机与防火墙之间能同时建立的最大连接数,。,衡量标准：,并发连接数的测试主要用来测试被测防火墙建立和维持,TCP,连接的性能，同时也能通过并发连 接数的大小体现被测防火墙对来自于客户端的,TCP,连接请求的响应能力,并发连接数指标可以用来衡量穿越防火墙的主机之间能同时建立的最大连接数,并发连接,并发连接,75,最大并发连接数建立速率,定义：,指穿越防火墙的主机之间或主机与防火墙之间单位时间内建立的最大连接数,。,衡量标准：,最大并发连接数建立速率主要用来衡量防火墙单位时间内建立和维持,TCP,连接的能力,并发连接,并发连接,单位时间内增加的并发连接数,76,Firewall,防火墙基本概念,防火墙分类,防火墙发展趋势,防火墙核心技术,防火墙设计结构,防火墙构造体系,防火墙功能,防火墙性能,防火墙部署,防火墙可靠性,防火墙典型应用,77,受保护网络,Internet,如果防火墙支持透明模式，则内部网络主机的配置不用调整,Host A,199.168.1.2,Host C,199.168.1.4,Host D,199.168.1.5,Host B,199.168.1.3,199.168.1.8,同一网段,透明模式下，这里不用配置,IP,地址,透明模式下，这里不用配置,IP,地址,Default Gateway=199.168.1.8,防火墙相当于网桥，原网络结构没有改变,NO.1,透明接入,78,受保护网络,Internet,Host A,199.168.1.2,Host C,199.168.1.4,Host D,199.168.1.5,Host B,199.168.1.3,199.168.1.8,Default Gateway=199.168.1.8,防火墙相当于一个简单的路由器,203.12.34.56,203.12.34.57,提供简单的路由功能,199.168.1.8,NO.2,路由接入,79,NO.3,综合接入,ETH1,：,192.168.7.102,ETH2,：,192.168.7.2,192.168.7.100/24,网段,192.168.7.0/24,网段,此时整个防火墙工作于透明,+,路由模式，我们称之为综合模式或者混合模式,202.11.22.1/24,网段,ETH1,：,202.11.22.2,两接口在不同网段，防火墙处于路由模式,两接口在不同网段，防火墙处于路由模式,两接口在同一网段，防火墙处于透明模式,80,Firewall,防火墙基本概念,防火墙分类,防火墙发展趋势,防火墙核心技术,防火墙设计结构,防火墙构造体系,防火墙功能,防火墙性能,防火墙部署,防火墙可靠性,防火墙典型应用,81,防火墙双机热备,内部网,外网或者不信任域,Eth 0,Eth 0,Eth1,Eth1,Eth2,Eth2,心跳线,Active Firewall,Standby Firewall,检测,Active Firewall,的状态,发现出故障，立即接管其工作,正常情况下由主防火墙工作,主防火墙出故障以后，接管它的工作,Hub or Switch,Hub or Switch,通过,STP,协议可以交换两台防火墙的状态信息,当一台防火墙故障时，这台防火墙的连接不需要重新建立就可以透明的迁移到另一台防火墙上，用户不会察觉到,82,防火墙负载均衡,内部网,外网或者不信任域,Eth 0,Eth 0,Eth1,Eth1,Eth2,Eth2,心跳线,0#,1#,检测,0#Firewall,的状态,发现出故障，立即接管其工作,防火墙根据,与0#防火墙一起工作,Hub,Hub,83,全交叉冗余连接,二层,:,生成树协议,三层：,1,、,HSRP/VRRP+,浮动静态路由,2,、动态路由协议穿过,3,、动态路由协议,84,链路备份,85,防火墙自动检测和恢复机制,在防火墙硬件系统中嵌入,WatchDog,电路；,在防火墙核心软件中增加对,WatchDog,电路的支持；,一旦,WatchDog,电路发现防火墙核心软件运行出现严重错误将产生复位信号，促使核心系统复位并正常运行，通过这种自动检测和恢复机制，尽量减少因防火墙系统意外宕机带来的损失；,采用,NVRAM,存取配置文件，保证了配置文件的可靠性；,所有硬件采用固化方式，具有很高的抗震性，包括处理器、网络处理器,、,内存、存取设备等。,86,Firewall,防火墙基本概念,防火墙分类,防火墙发展趋势,防火墙