1、防火墙的基本知识防火墙的主要目标是控制对一个受保护网络的访问,强迫所有连接都接受防火墙的检查和评估。可以是路由器、计算机或一群计算机。防火墙通过边界控制保护整个网络,而不需要对每个网内的主机进行单独的保护,为内网仍旧可以采用相互信任的模式提供了一定的安全基础。防火墙是指设置在不同网络(如可信任的企业内部网和不可信的公共网)或网络安全域之间的一系列部件的组合。它可通过监测、限制、更改跨越防火墙的数据流,尽可能地对外部屏蔽网络内部的信息、结构和运行状况,以此来实现网络的安全保护。在逻辑上,防火墙是一个分离器,一个限制器,也是一个分析器,有效地监控了内部网和Internet之间的任何活动,保证了内部
2、网络的安全。防火墙用来干什么?保护内网有漏洞的服务控制对内网系统的访问将安全问题集中解决增加隐私保护内网系统不可见审计和统计网络使用和错误强制执行统一的安全策略防火墙的功能分类包过滤防火墙状态检查机制防火墙应用代理网关防火墙专用代理防火墙混合型防火墙网络地址转换基于主机的防火墙个人防火墙个人防火墙设备防火墙的工作原理防火墙的原理是指设置在不同网络(如可信任的企业内部网和不可信的公共网)或网络安全域之间的一系列部件的组合。它是不同网络或网络安全域之间信息的唯一出入口,通过监测、限制、更改跨越防火墙的数据流,尽可能地对外部屏蔽网络内部的信息、结构和运行状况,有选择地接受外部访问,对内部强化设备监管
3、、控制对服务器与外部网络的访问,在被保护网络和外部网络之间架起一道屏障,以防止发生不可预测的、潜在的破坏性侵入。防火墙的工作模式防火墙分为三种模式:路由模式、透明模式、混合模式路由模式防火墙工作在路由模式下,此时所有接口都配置IP地址,各接口所在的安全区域是三层区域,不同三层区域相关的接口连接的外部用户属于不同的子网。当报文在三层区域的接口间进行转发时,根据报文的IP地址来查找路由表,此时 防火墙表现为一个路由器。但是,防火墙与路由器存在不同,防火墙中IP报文还需要送到上层进行相关过滤等处理,通过检查会话表或ACL规则以确定是否允许该报文通过。此外,还要完成其它防攻击检查。路由模式的防火墙支持
4、ACL规则检查、ASPF状态过滤、防攻击检查、流量监控等功能。防火墙的工作模式透明模式防火墙工作在透明模式(也可以称为桥模式)下,此时所有接口都不能配置IP地址,接口所在的安全区域是二层区域,和二层区域相关接口连接的外部用户同属一个子网。当报文在二层区域的接口间进行转发时,需要根据报文的MAC地址来寻找出接口,此时防火墙表现为一个透明网桥。但是,防火墙与网桥存在不同,防火墙中IP报文还需要送到上层进行相关过滤等处理,通过检查会话表或ACL规则以确定是否允许该报文通过。此外,还要完成其它防攻击检查。透明模式的防火墙支持ACL规则检查、ASPF状态过滤、防攻击检查、流量监控等功能。工作在透明模式下
5、的 防火墙在数据链路层连接局域网(LAN),网络终端用户无需为连接网络而对设备进行特别配置,就像LANSwitch进行网络连接。防火墙的工作模式混合模式防火墙工作在混合透明模式下,此时部分接口配置IP地址,部分接口不能配置IP地址。配置IP地址的接口所在的安全区域是三层区域,接口上启动VRRP功能,用于双机热备份;而未配置IP地址的接口所在的安全区域是二层区域,和二层区域相关接口连接的外部用户同属一个子网。当报文在二层区域的接口间进行转发时,转发过程与透明模式的工作过 程完全相同。防火墙产品E200E/1000E产品规格防火墙产品E8000E产品规格PIX防火墙525大型企业用户使用提供280
6、,000个连接提供330-Mbpscleartext吞吐量端口支持最多1010/100以太网口最多100个VLANs最多支持50个虚拟防火墙支持failoverActive/standbyActive/active支持VPNs(2,000tunnels)SitetositeRemoteaccessPIX防火墙535大型企业用户使用同时提供500,000个连接提供1.65-Gbpscleartext吞吐量支持的端口最多14个百兆或者千兆以太网口最多支持150个VLANs最多支持50个虚拟防火墙支持failoverActive/standbyActive/active支持VPNs(2,000tun
7、nels)SitetositeRemoteaccessCiscoASA5510可以在一个企业、中小型企业使用或者做VPN网关同时提供64,000个连接提供300-Mbps吞吐量支持的接口最多支持5个10/100FastEthernet端口最多支持10个VLANs支持failoverActive/standby支持VPNsSitetositeRemoteaccessWebVPN支持AIP-SSM-10(可选)CiscoASA5520中小企业用户使用,或者做VPN网关提供同时130,000个连接提供450-Mbps吞吐量提供的接口4个10/100/1000以太网口1个10/100以太网口最多支持2
8、5个VLANs最多支持10个虚拟防火墙支持failoverActive/standbyActive/active支持VPNsSitetositeRemoteaccessWebVPN支持AIP-SSM-10(可选)CiscoASA5540企业用户使用,可以做VPN网关同时提供280,000个连接提供400-Mbps吞吐量支持的接口4个10/100/1000以太网口1个10/100以太网口支持100个VLANs最多50个虚拟防火墙支持failoverActive/standbyActive/active支持VPNsSitetosite(5,000peers)RemoteaccessWebVPN支持
9、AIP-SSM-20(可选)H3C SecPath U200-CS-AC设备类型:企业级防火墙 网络端口:1个配置口(CON);5GE;1个mini插槽,可通过该插槽扩展网络接口;外置一个CF扩展槽(选配)入侵检测:Dos,DDoS管理:支持标准网管 SNMPv3,并且兼容SNMPv2c、SNMPv1,支持NTP时间同步,支持Web方式进行远程配置管理,支持SNMP/TR-069网管协议,支持H3CSecCenter安全管理中心进行设备管理 VPN支持:支持 安全标准:FCC,CE控制端口:console其他性能:防火墙、VPN可同时扩展卡巴H3C SecPath F100-A设备类型:中小企
10、业级防火墙 网络端口:4个10/100MbpsLAN以太网交换口、3个10/100MbpsWAN以太网口、1个AUX口(备份口)、1个CONSOLE口(配置口)、1个MIM插槽 入侵检测:DoS、DDoS管理:支持标准网管 SNMPv3,并且兼容SNMPv2c、SNMPv1VPN支持:支持 安全标准:RADIUS,HWTACACS,PKI/CA(X.509格式),域认证,CHAP,PAP其他性能:支持外部攻击防范,内网安全,流量监控,邮件过滤,网页过滤,应用层过滤等验证 电源:输入:100-240V,50/60Hz;输出:12华为华为USG2210设备类型:安全网关 网络端口:2GECombo
11、入侵检测:Dos,DDoS管理:支持命令行、WEB方式、SNMP、TR069等配置和管理方式,这些方式提供对设备的本地配置、远程维护、集中管理等多种手段,并提供完备的诊断、告警、测试等功能 VPN支持:支持 安全标准:CE,ROHS,CB,UL,VCCI控制端口:Console口 其他性能:UTM网络安全产品蓝盾防火墙蓝盾防火墙系统系统技术先进,高效专业平台,端口反扫描,高保密度VPN(168bit),防外又防内的解决方案,千兆带宽实用性强,分组代理计费功能,URL过滤功能,地址转换功能(NAT),MAC绑定功能,物理断开功能,流量控制蓝盾入侵检测系统蓝盾入侵检测系统(BD-NIDS)是一种实
12、时的网络入侵检测和响应系统。它能够实时监控网络传输,自动检测可疑行为,分析来自网络外部和内部的入侵信号。在系统受到危害之前发出警告,实时对攻击作出反应,并提供补救措施,最大程度地为网络系统提供安全保障。蓝盾漏洞扫描器蓝盾漏洞扫描器系统系统蓝盾漏洞扫描器是检测远程或本地系统安全脆弱性的软件;通过与目标主机建立连接和并请求某些服务(如TELNET,FTP等),记录目标主机的应答,搜索主机相关信息(如匿名用户是否可以登录等),从而发现目标主机某些内在的弱点。蓝盾漏洞扫描器的重要性在于把极为繁琐的安全检测,通过程序来自动完成,减少管理者的工作,而且缩短了检测的时间,使问题发现更快.当然,也可以认为它是
13、一种网络安全性评估软件。蓝盾网络整体安全架构1.防火墙防火墙2.入侵检测入侵检测3.物理隔离物理隔离4.路由器路由器5.VPN网关网关6.反垃圾产品反垃圾产品7.网络防毒网络防毒8.检测过滤检测过滤9.可信计算平台可信计算平台10.安全审计与分析安全审计与分析IDS 系统分类NIDS:网络入侵检测系统即网络入侵检测系统,主要用于检测hacker或cracker通过网络进行的入侵行为。运行方式有两种:在目标主机上运行以监测其本身的通讯信息在一台单独的机器上运行以监测所有网络设备的通讯信息,比如hub、路由器。SIV:系统完整性检测即系统完整性检测,主要用于监视系统文件或者Windows 注册表等
14、重要信息是否被修改,以堵上攻击者日后来访的后门。SIV更多的是以工具软件的形式出现,比如著名的“Tripwire”,它可以检测到重要系统组件的变换情况,但并不产生实时的报警信息。LFM:日志文件监测器即日志文件监测器,主要用于监测网络服务所产生的日志文件。LFM通过检测日志文件内容并与关键字进行匹配的方式判断入侵行为,例如对于HTTP服务器的日志文件,只要搜索“swatch”关键字,就可以判断出是否有“phf”攻击。Honeypots:密灌系统蜜罐系统,也就是诱骗系统,它是一个包含漏洞的系统,通过模拟一个或多个易受攻击的主机,给黑客提供一个容易攻击的目标。没有其它任务需要完成 所有连接的尝试都应被视为是可疑 拖延攻击者对其真正目标的攻击 让攻击者在蜜罐上浪费时间 最初的攻击目标受到了保护,真正有价值的内容将不受侵犯。蜜罐目的之一是为起诉恶意黑客搜集证据。网闸(GAP)网闸(GAP)全称安全隔离网闸。安全隔离网闸是一种由带有多种控制功能专用硬件在电路上切断网络之间的链路层连接,并能够在网络间进行安全适度的应用数据交换的网络安全设备。性能指标:系统数据交换速率:120Mbps硬件切换时间:5ms与防火墙的区别防火墙一般在进行IP包转发的同时,通过对IP包的处理,实现对TCP会话的控制,但是对应用数据的内容不进行检查。这种工作方式无法防止泄密,也无法防止病毒和黑客程序的攻击。