01.防火墙技术理论.ppt

培训目标： 8 * 防火墙技术理论 技术培训中心 2010-05 防火墙技术理论 修订记录 * 修订日期 修订版本 修订描述 作者 2009-07-02 V1.0 初稿完成。 徐立欢 2010-05-09 V1.1 修订错误 徐立欢 学习目标 掌握防火墙技术原理 掌握防火墙对ALG的处理方式 了解防火墙硬件架构分类 掌握锐捷防火墙产品分类及特点 * 课程内容 第一章 防火墙技术原理 第二章 防火墙硬件架构 第三章 锐捷防火墙产品 * 什么是防火墙 防火墙概述 所谓防火墙指的是一个由软件和硬件组合而成安全设备 应用场景 内部网和外部网之间 专用网与公共网之间 * internet intranet Server 根据访问控制规则 决定网络进出行为 根据访问控制规则 决定网络进出行为 简单包过滤技术简介 概述 类似交换机、路由ACL 实现原理 检查IP、TCP、UDP信息 * http:80 允许访问 简单包过滤技术优缺点 优点 速度快，性能高，可以用硬件实现实现原理 检查IP、TCP、UDP信息 缺点 不能根据状态信息进行控制 前后报文无关 不能处理网络层以上的信息 状态检测技术简介 概述 根据通信和应用程序状态确定是否允许包的通行 用于识别或者控制数据流是返回的数据流还是首发的数据流 在数据包进入防火墙时就根据状态表进行识别和判断，无需重复查找规则 * 状态检测技术原理 原理示意图 安全规则表 状态表（五元组及扩展字段） * http:80 规则表：permit any 80 http 状态表： permit 12345 80 http permit 80 12345 http 状态检测技术原理（续） 原理流程图 优点 更加安全 缺点 状态表庞大 不能检测应用层协议内容，如URL过滤 * 状态表 规则表 数据流 转发规则 N Y 状态检测技术存在的问题 问题 FTP协议（被动模式） * ftp:21 规则表：permit any 21 ftp 状态表： permit 12345 21 ftp ? 状态检测技术的改进 ALG 一个应用由多个通道组成（控制面、数据面） 管理通道或者其他通道由内嵌式IP地址或者端口号 例：FTP、H.323、SIP、PPTP等 FTP解析（passive mode） 识别FTP协议 读取协议字段 * 应用代理防火墙简介 概述 用户数据先到达代理服务器，再由代理服务器进行目标地址访问 分类 非透明代理 透明代理 * 应用代理防火墙原理 原理 * http:80 0 应用代理防火墙优缺点 优点 用户数据不与访问目标直接通讯，增强了访问安全性 缺点 支持的协议比较少 HTTP FTP SMTP/POP3 TELNET 主要是明文协议并且基本是比较老的协议 不支持BT这些应用程序 * 防火墙技术总结 * 项 目 优点 缺点 简单包过滤 速度快，性能高 不能基于状态的检测，对网络层以上的信息不能处理，不能识别动态协议 状态检测 根据状态信息过滤数据包，不用重复的ACL查找（类似一次路由，多次交换），对动态协议支持比较好。 不检查数据部分，应用层控制比较弱 应用代理 在应用层识别数据，更加安全 处理速度慢，协议支持少 课程内容 第一章 防火墙技术原理 第二章 防火墙硬件架构 第三章 锐捷防火墙产品 * 防火墙硬件架构 硬件架构分类 X86 RISC 混合 其他安全设备硬件架构 UTM AV IDS/IPS * x86硬件架构 * X86 通用PC，又称工控机。 X86构架优点 X86平台防火墙具有比较成熟可靠的技术，功能的实现方法灵活多样，具有较多的功能。 X86构架缺点 系统控制和数据转发都使用相同的CPU资源，CPU成为系统瓶颈。 X86构架的应用 防火墙，UTM，IDS，AV，VPN等 X86构架的防火墙 锐捷RG-WALL120/160/160A/1600/1600A、国内大部分防火墙、PIX/ASA、juniper中低端防火墙、阿姆瑞特防火墙等 RISC硬件架构 NP IXP—IXP 425,IXP2400 Hifn-5NP4G（即IBM的4GS3） RMI 最高款是一个8核的，每个核1.2Ghz，总的处理能力也是9.6Ghz CAVIUM 最高款是一个16核的，每个核600Mhz，总的处理能力是9.6Ghz * 混合平台 X86+ASIC RG-WALL2000 X86+FPGA 天融信-猎豹 * ASIC硬件构架 * ASIC 使用ASIC来完成防火墙的功能，即将大部分或全部的防火墙功能都固化到ASIC芯片中，由ASIC芯片完成主要的防火墙功能。 ASIC构架优点 具有较高处理速度和吞吐量，系统运行效率高