1、独钩寒江雪原创2013-1-7防火墙培训目录 一、防火墙概念 二、主流品牌防火墙的介绍、基本工作原理 三、主流品牌防火墙常见组网方式及配置示例 四、防火墙的维护一、防火墙的概念 1、防火墙的概念 2、防火墙和路由器的差异 3、防火墙的分类1、防火墙的概念随着 Internet的日益普及,许多 LAN(内部网络)已经直接可以接入 Internet网络,这种开放式的网络同时带来了许多不安全的隐患。在开放网络式的网络上,我们的周围存在着许多不能信任的计算机(包括在一个 LAN之间),这些计算机对我们私有的一些敏感信息造成了很大的威胁。在大厦的构造 , 防火墙被设计用来防止火从大厦的一部分传播到大厦的
2、另外一部分 。 我们所涉及的防火墙服务具有类似的目的: “ 防止 Internet的危险传播到你的内部网络 ” 。现代的防火墙体系不应该只是一个 “ 入口的屏障 ” ,防火墙应该是几个网络的接入控制点,所有经过被防火墙保护的网络的数据流都应该首先经过防火墙,形成一个信息进入的关口,因此防火墙不但可以保护内部网络在 Internet中的安全,同时可以保护若干主机在一个内部网络中的安全。在每一个被防火墙分割的网络中,所有的计算机之间是被认为 “ 可信任的 ” ,它们之间的通信可以不受防火墙的干涉。而在各个被防火墙分割的网络之间,必须按照防火墙规定的 “ 策略 ” 进行互相的访问 。简单的说,防火墙
3、是保护一个网络免受 “ 不信任 ” 的网络的攻击,但是同时还必须允许两个网络之间可以进行合法的通信。防火墙应该具有如下基本特征:经过防火墙保护的网络之间的通信必须都经过防火墙。只有经过各种配置的策略验证过的合法数据包才可以通过防火墙。防火墙本身必须具有很强的抗攻击、渗透能力。防火墙可以保护内部网络的安全,可以使受保护的网络避免遭到外部网络的攻击。硬件防火墙应该可以支持若干个网络接口,这些接口都是 LAN接口(如 Ethernet、 Token Ring、 FDDI),这些接口用来连接几个网络。在这些网络中进行的连接都必须经过硬件防火墙,防火墙来控制这些连接,对连接进行验证、过滤。连接不受信网络
4、区域连接受信网络区域在连接受信网络区域和非受信网络区域之间的区域,一般称为 DMZ。2、防火墙和路由器的差异A的报文如何能最快的到 B? 网络 A如何和网络 B互联互通?过来一个报文立刻转发一个报文。网络 A 网络 B交流路由信息这个访问是否允许到 B?这个 TCP连接是合法连接吗?这个访问是否是一个攻击行为?路由器的特点:保证互联互通。按照最长匹配算法逐包转发。路由协议是核心特性。防火墙的特点:逻辑子网之间的访问控制,关注边界安全基于连接的转发特性。安全防范是防火墙的核心特性。由于防火墙具有基于连接监控的特性,因此防火墙对业务支持具有非常强的优势。而路由器基于逐包转发的特点,因此路由器设备不
5、适合做非常复杂的业务,复杂的业务对路由器的性能消耗比较大。防火墙支持的接口不如路由器丰富,支持的路由协议不如路由器丰富,因此防火墙不适合做为互联互通的转发设备。防火墙适合做为企业、内部局域网的出口设备,支持高速、安全、丰富的业务特性。3、防火墙的分类按照防火墙实现的方式,一般把防火墙分为如下几类: 包过滤防火墙 (Packet Filtering)包过滤利用定义的特定规则过滤数据包,防火墙直接获得数据包的 IP源地址、目的地址、TCP/ UDP的源端口、和 TCP/UDP的目的端口。利用以上的部分或者全部的信息按照规则进行比较,过滤通过防火墙的数据包。规则的定义就是按照 IP数据包的特点定义的
6、,可以充分利用上述的四个条件定义通过防火墙数据包的条件。包过滤防火墙简单,但是缺乏灵活性。另外包过滤防火墙每包需要都进行策略检查,策略过多会导致性能急剧下降。 代理型防火墙( application gateway)代理型防火墙使得防火墙做为一个访问的中间节点,对 Client来说防火墙是一个 Server,对 Server来说防火墙是一个 Client。代理型防火墙安全性较高,但是开发代价很大。对每一种应用开发一个对应的代理服务是很难做到的,因此代理型防火墙不能支持很丰富的业务,只能针对某些应用提供代理支持。 状态检测防火墙状态检测是一种高级通信过滤。它检查应用层协议信息并且监控基于连接的应
7、用层协议状态。对于所有连接,每一个连接状态信息都将被 ASPF维护并用于动态地决定数据包是否被允许通过防火墙或丢弃。现在防火墙的主流产品为状态检测防火墙。包过滤技术 包 过滤的防火墙根据定义好的过滤规则审查每个数据包,以便确定其是否与某一条包过滤规则匹配。过滤规则基于数据包的报头信息进行制订。报头信息中包括 IP源地址、 IP目标地址、传输协议 (TCP、 UDP、 ICMP等等 )、 TCP/UDP目标端口、 ICMP消息类型等。以以色列的 Checkpoint防火墙和 Cisco公司的 PIX防火墙为代表 。IP包过滤技术介绍 对防火墙需要转发的数据包,先获取包头信息,然后和设定的规则进行
8、比较,根据比较的结果对数据包进行转发或者丢弃。而实现包过滤的核心技术是访问控制列表。Internet公司总部内部网络未授权用户办事处代理型防火墙技术 应用 代理型防火墙是内部网与外部网的隔离点,起着监视和隔绝应用层通信流的作 用。同时也常结合入过滤器的功能。它工作在 OSI模型的最高层,掌握着应用系统中可用作安全决策的全部信息 。以美国 NAI公司的 Gauntlet防火墙为代表 。状态检测技术状态防火墙通过检测基于 TCP/UDP连接的连接状态,来动态的决定报文是否可以通过防火墙。在状态防火墙中,会维护着一个 Session表项,通过Session表项就可以决定哪些连接是合法访问,哪些是非法
9、访问。目录 一、防火墙概念 二、主流品牌防火墙的介绍、基本工作原理 三、主流品牌防火墙常见组网方式及配置示例 四、防火墙的维护二、主流品牌防火墙的介绍、基本工作原理 1、华为 Eudemon防火墙 2、思科 ASA防火墙 3、 Juniper Netscreen防火墙 4、 H3C F1000防火墙1、华为 Eudemon防火墙 防火墙的介绍 安全区域 工作模式 控制列表 应用访问策略 ASPF 黑名单 Nat地址转换 双机工作方式 VRRP组 HRP 攻击防范Eudemon防火墙介绍Eudemon 1000/500Eudemon 200Eudemon 100Eudemon防火墙基本规格E10
10、0 E200 E1000接口数量 自带 2个 10/100M以太网口,另有 2个扩展接口插槽自带 2个 10/100M以太网口。 ,2个扩展接口插槽自带 2个 10/100M以太网口。 4个扩展接口插槽接口类型 10/100M以太网 10/100M以太网, E1、 ATM接口FE/GE口, E1、ATM、 POS等接口支持加密标准 DES,3DES, AES,国密办算法DES,3DES, AES,国密办算法DES,3DES, AES,国密办算法加密速度 (3DES) 80M 100M 300M支持的认证类型 RADIUS RADIUS RADIUSEudemon防火墙基本规格E100 E200
11、 E1000静态 ACL支持 支持,支持高速ACL算法; 3K条支持,支持高速 ACL算法;20K条支持,支持高速 ACL算法, 100K条提供基于时间的 ACL访问控制支持 支持 支持传输层 PROXY代理 支持 支持 支持ActiveX、 Java applet过滤 支持 支持 支持支持的抗攻击类型 支持抵抗 SYN FLOOD、 ICMP FLOOD、 UDP FLOOD、 Winnuke、 Land、Smurf、 Fraggle等数十种攻击支持的应用状态检测 对 TCP、 UDP、分片报文、 FTP、 SMTP、 RTSP、 H.323、 SIP、 HTTP等进行应用状态检测IP和 M
12、AC地址绑定 支持 支持 支持Eudemon防火墙基本规格E100 E200 E1000提供对 SMTP,FTP等协议的应用层有害命令检测和防御。支持 支持 支持NAT主要支持 ALG FTP、 PPTP、 DNS、 NBT( NetBIOS over TCP)、 ILS( Internet Locator Service)、 ICMP、 H.323、 SIP等协议等支持 QoS和带宽管理 支持 支持 支持支持负载均衡 支持 支持 支持支持工作模式 NAT,路由,透明 NAT,路由,透明 NAT,路由,透明失败恢复特性 双机状态热备;多机均衡,自动倒换;双机状态热备;多机均衡,自动倒换;双机状
13、态热备;多机均衡,自动倒换;Eudemon防火墙基本规格E100 E200 E1000动态路由 支持 RIP、 OSPF 支持 RIP、 OSPF 支持 RIP、 OSPF支持 SNMP监控和配置 支持 支持 支持管理方式 GUI,CLI GUI,CLI GUI,CLI集中管理多个防火墙 支持 支持 支持日志 支持二进制和 SYSLOG格式支持二进制和SYSLOG格式支持二进制和SYSLOG格式日志可设定输出信息 所有发起连接,流量,各种详细统计如分类丢弃报文等所有发起连接,流量,各种统计如分类丢弃报文等所有发起连接,流量,各种统计如分类丢弃报文等Eudemon防火墙的安全区域 防火墙的内部划
14、分为多个区域,所有的转发接口都唯一的属于某个区域Local区 域 Trust区域DMZ区域 UnTrust区域接口 1 接口 2接口 3接口 4Eudemon防火墙的安全区域 路由器的安全规则定义在接口上,而防火墙的安全规则定义在安全区域之间不允许来自 10.0.0.1的数据报从这个接口出去Local区 域 Trust区域DMZ区域 UnTrust区域接口 1 接口 2接口 3接口 4禁止所有从 DMZ区域的数据报转发到 UnTrust区域Eudemon防火墙的安全区域 Eudemon防火墙上保留四个安全区域: 非受信区( Untrust):低级的安全区域,其安全优先级为 5。 非军事化区(
15、DMZ):中度级别的安全区域,其安全优先级为 50。 受信区( Trust):较高级别的安全区域,其安全优先级为 85。 本地区域( Local):最高级别的安全区域,其安全优先级为 100。 此外,如认为有必要,用户还可以自行设置新的安全区域并定义其安全优先级别。最多 16个安全区域 。Eudemon防火墙的安全区域Local区 域 Trust区域DMZ区域 UnTrust区域接口 1 接口 2接口 3接口 4域间的数据流分两个方向: 入方向( inbound):数据由低级别的安全区域向高级别的安全区域传输的方向; 出方向( outbound):数据由高级别的安全区域向低级别的安全区域传输的
16、方向。Eudemon防火墙的安全区域Local区 域 Trust区域DMZ区域 UnTrust区域接口 1 接口 2接口 3接口 4 本域内不同接口间不过滤直接转发 进、出接口相同的报文被丢弃 接口没有加入域之前不能转发包文Eudemon防火墙的安全区域Eudemon防火墙的工作模式 路由模式 透明模式 混合模式Eudemon防火墙的路由模式 可以把路由模式理解为象路由器那样工作。防火墙每个接口连接一个网络,防火墙的接口就是所连接子网的网关。报文在防火墙内首先通过入接口信息找到进入域信息,然后通过查找转发表,根据出接口找到出口域,再根据这两个域确定域间关系,然后使用配置在这个域间关系上的安全策
17、略进行各种操作。Eudemon防火墙的透明模式 透明模式的防火墙则可以被看作一台以太网交换机。防火墙的接口不能配 IP地址,整个设备出于现有的子网内部,对于网络中的其他设备,防火墙是透明的。报文转发的出接口,是通过查找桥接的转发表得到的。在确定域间之后,安全模块的内部仍然使用报文的 IP地址进行各种安全策略的匹配。Eudemon防火墙的混合模式 混合模式是指防火墙一部份接口工作在透明模式,另一部分接口工作在路由模式。提出混合模式的概念,主要是为了解决防火墙在纯粹的透明模式下无法使用双机热备份功能的问题。双机热备份所依赖的 VRRP需要在接口上配置 IP地址,而透明模式无法实现这一点。状态防火墙处理过程
