1、防火墙原理,防火墙的基本知识,防火墙的主要目标是控制对一个受保护网络的访问,强迫所有连接都接受防火墙的检查和评估。 可以是路由器、计算机或一群计算机。 防火墙通过边界控制保护整个网络,而不需要对每个网内的主机进行单独的保护,为内网仍旧可以采用相互信任的模式提供了一定的安全基础。 防火墙是指设置在不同网络(如可信任的企业内部网和不可信的公共网)或网络安全域之间的一系列部件的组合。 它可通过监测、限制、更改跨越防火墙的数据流,尽可能地对外部屏蔽网络内部的信息、结构和运行状况, 以此来实现网络的安全保护。 在逻辑上,防火墙是一个分离器,一个限制器,也是一个分析器,有效地监控了内部网和Internet
2、之间的任何活动,保证了内部网络的安全。,防火墙用来干什么?,保护内网有漏洞的服务 控制对内网系统的访问 将安全问题集中解决 增加隐私保护 内网系统不可见 审计和统计网络使用和错误 强制执行统一的安全策略,防火墙的功能分类,包过滤防火墙 状态检查机制防火墙 应用代理网关防火墙 专用代理防火墙 混合型防火墙 网络地址转换 基于主机的防火墙 个人防火墙个人防火墙设备,防火墙的工作原理,防火墙的原理是指设置在不同网络(如可信任的企业内部网和不可信的公共网)或网络安全域之间的一系列部件的组合。它是不同网络或网络安全域之间信息的唯一出入口,通过监测、限制、更改跨越防火墙的数据流,尽可能地对外部屏蔽网络内部
3、的信息、结构和运行状况,有选择地接受外部访问,对内部强化设备监管、控制对服务器与外部网络的访问,在被保护网络和外部网络之间架起一道屏障,以防止发生不可预测的、潜在的破坏性侵入。,防火墙的工作模式,防火墙分为三种模式:路由模式、透明模式、混合模式 路由模式 防火墙工作在路由模式下,此时所有接口都配置IP 地址,各接口所在的安全区域是三层区域,不同三层区域相关的接口连接的外部用户属于不同的子网。当报文在三层区域的接口间进行转发时,根据报文的IP 地址来查找路由表,此时 防火墙表现为一个路由器。但是, 防火墙与路由器存在不同, 防火墙中IP 报文还需要送到上层进行相关过滤等处理,通过检查会话表或AC
4、L 规则以确定是否允许该报文通过。此外,还要完成其它防攻击检查。路由模式的防火墙支持ACL 规则检查、ASPF 状态过滤、防攻击检查、流量监控等功能。,防火墙的工作模式,透明模式 防火墙工作在透明模式(也可以称为桥模式)下,此时所有接口都不能配置IP 地址,接口所在的安全区域是二层区域,和二层区域相关接口连接的外部用户同属一个子网。当报文在二层区域的接口间进行转发时,需要根据报文的MAC 地址来寻找出接口,此时防火墙表现为一个透明网桥。但是,防火墙与网桥存在不同,防火墙中IP 报文还需要送到上层进行相关过滤等处理,通过检查会话表或ACL 规则以确定是否允许该报文通过。此外,还要完成其它防攻击检
5、查。透明模式的防火墙支持ACL 规则检查、ASPF 状态过滤、防攻击检查、流量监控等功能。工作在透明模式下的 防火墙在数据链路层连接局域网(LAN),网络终端用户无需为连接网络而对设备进行特别配置,就像LAN Switch 进行网络连接。,防火墙的工作模式,混合模式 防火墙工作在混合透明模式下,此时部分接口配置IP 地址,部分接口不能配置IP 地址。配置IP 地址的接口所在的安全区域是三层区域,接口上启动VRRP功能,用于双机热备份;而未配置IP 地址的接口所在的安全区域是二层区域,和二层区域相关接口连接的外部用户同属一个子网。当报文在二层区域的接口间进行转发时,转发过程与透明模式的工作过 程
6、完全相同。,防火墙产品,E200E/1000E产品规格,防火墙产品,E8000E产品规格,PIX 防火墙 525 大型企业用户使用 提供 280,000 个连接 提供 330-Mbps clear text 吞吐量 端口支持 最多1010/100 以太网口 最多100个 VLANs 最多支持50个虚拟防火墙 支持 failover Active/standby Active/active 支持 VPNs (2,000 tunnels) Site to site Remote access,PIX 防火墙 535 大型企业用户使用 同时提供 500,000 个连接 提供 1.65-Gbps cl
7、ear text 吞吐量 支持的端口 最多 14 个百兆或者千兆以太网口 最多支持150 个VLANs 最多支持50个虚拟防火墙 支持failover Active/standby Active/active 支持VPNs (2,000 tunnels) Site to site Remote access,Cisco ASA 5510 可以在一个企业、中小型企业使用或者做VPN网关 同时提供 64,000个连接 提供 300-Mbps 吞吐量 支持的接口 最多支持5个10/100 Fast Ethernet 端口 最多支持10个VLANs 支持failover Active/standby
8、支持 VPNs Site to site Remote access WebVPN 支持 AIP-SSM-10 (可选),Cisco ASA 5520 中小企业用户使用,或者做VPN网关 提供同时 130,000个连接 提供450-Mbps 吞吐量 提供的接口 4个10/100/1000以太网口 1个10/100 以太网口 最多支持25 个VLANs 最多支持10个虚拟防火墙 支持 failover Active/standby Active/active 支持VPNs Site to site Remote access WebVPN 支持 AIP-SSM-10 (可选),Cisco ASA
9、 5540 企业用户使用,可以做VPN网关 同时提供280,000 个连接 提供 400-Mbps 吞吐量 支持的接口 4个10/100/1000以太网口 1个 10/100 以太网口 支持 100个 VLANs 最多50个虚拟防火墙 支持 failover Active/standby Active/active 支持 VPNs Site to site (5,000 peers) Remote access WebVPN 支持 AIP-SSM-20 (可选),H3C SecPath U200-CS-AC 设备类型: 企业级防火墙 网络端口: 1个配置口(CON);5GE;1个mini插槽,
10、可通过该插槽扩展网络接口;外置一个CF扩展槽(选配) 入侵检测: Dos,DDoS 管理: 支持标准网管 SNMPv3,并且兼容SNMP v2c、SNMP v1,支持NTP时间同步,支持Web方式进行远程配置管理,支持SNMP/TR-069网管协议,支持H3C SecCenter安全管理中心进行设备管理 VPN支持: 支持 安全标准: FCC,CE 控制端口: console 其他性能: 防火墙、VPN可同时扩展卡巴,H3C SecPath F100-A 设备类型: 中小企业级防火墙 网络端口: 4个10/100Mbps LAN以太网交换口、3个10/100Mbps WAN以太网口、1个AUX
11、口(备份口)、1个CONSOLE口(配置口)、1个MIM插槽 入侵检测: DoS、DDoS 管理: 支持标准网管 SNMPv3,并且兼容SNMP v2c、SNMP v1 VPN支持: 支持 安全标准: RADIUS, HWTACACS, PKI /CA(X.509格式), 域认证, CHAP, PAP 其他性能: 支持外部攻击防范, 内网安全, 流量监控, 邮件过滤, 网页过滤, 应用层过滤等验证 电源: 输入:100-240V,50/60Hz;输出:12,华为USG2210 设备类型: 安全网关 网络端口: 2GE Combo 入侵检测: Dos,DDoS 管理: 支持命令行、WEB方式、S
12、NMP、TR069等配置和管理方式,这些方式提供对设备的本地配置、远程维护、集中管理等多种手段,并提供完备的诊断、告警、测试等功能 VPN支持: 支持 安全标准: CE,ROHS,CB,UL,VCCI 控制端口: Console口 其他性能: UTM,网络安全产品,蓝盾防火墙系统 技术先进,高效专业平台,端口反扫描,高保密度VPN(168bit),防外又防内的解决方案,千兆带宽 实用性强,分组代理计费功能,URL过滤功能,地址转换功能(NAT),MAC绑定功能,物理断开功能,流量控制,蓝盾入侵检测系统 蓝盾入侵检测系统(BD-NIDS)是一种实时的网络入侵检测和响应系统。它能够实时监控网络传输
13、,自动检测可疑行为,分析来自网络外部和内部的入侵信号。在系统受到危害之前发出警告,实时对攻击作出反应,并提供补救措施,最大程度地为网络系统提供安全保障。,蓝盾漏洞扫描器系统 蓝盾漏洞扫描器是检测远程或本地 系统安全脆弱性 的软件;通过与目标主机建立连接和 并请求某些服务 (如TELNET,FTP等),记录目标主机 的应答,搜索主机 相关信息(如匿名用户是否可以登录等), 从而发现目标主机某些内在的弱点。蓝盾漏洞扫 描器的重要性在于把极为繁琐的安全检测,通过程序来自动 完成,减少管理者的工作,而且缩短了检测的时间, 使问题发现更快.当然,也可以认为它是一种网络 安全性评估软件。,蓝盾网络整体安全
14、架构,1. 防火墙 2. 入侵检测 3. 物理隔离 4. 路由器 5. VPN网关 6. 反垃圾产品 7. 网络防毒 8. 检测过滤 9. 可信计算平台 10. 安全审计与分析,IDS 系统分类,NIDS:网络入侵检测系统 即网络入侵检测系统,主要用于检测hacker或cracker通过网络进行的入侵行为。运行方式有两种: 在目标主机上运行以监测其本身的通讯信息 在一台单独的机器上运行以监测所有网络设备的通讯信息,比如hub、路由器。 SIV:系统完整性检测 即系统完整性检测,主要用于监视系统文件或者Windows 注册表等重要信息是否被修改,以堵上攻击者日后来访的后门。SIV更多的是以工具软
15、件的形式出现,比如著名的“Tripwire”,它可以检测到重要系统组件的变换情况,但并不产生实时的报警信息。LFM:日志文件监测器 即日志文件监测器,主要用于监测网络服务所产生的日志文件。LFM通过检测日志文件内容并与关键字进行匹配的方式判断入侵行为,例如对于HTTP服务器的日志文件,只要搜索“swatch”关键字,就可以判断出是否有“phf”攻击。,Honeypots:密灌系统 蜜罐系统,也就是诱骗系统,它是一个包含漏洞的系统,通过模拟一个或多个易受攻击的主机,给黑客提供一个容易攻击的目标。没有其它任务需要完成所有连接的尝试都应被视为是可疑拖延攻击者对其真正目标的攻击让攻击者在蜜罐上浪费时间最初的攻击目标受到了保护,真正有价值的内容将不受侵犯。蜜罐目的之一是为起诉恶意黑客搜集证据。,网闸( GAP ),网闸(GAP)全称安全隔离网闸。安全隔离网闸是一种由带有多种控制功能专用硬件在电路上切断网络之间的链路层连接,并能够在网络间进行安全适度的应用数据交换的网络安全设备。 性能指标: 系统数据交换速率:120Mbps 硬件切换时间:5ms 与防火墙的区别 防火墙一般在进行IP包转发的同时,通过对IP包的处理,实现对TCP会话的控制,但是对应用数据的内容不进行检查。这种工作方式无法防止泄密,也无法防止病毒和黑客程序的攻击。,
