主持人開場 致歡迎詞聯(lián)想網(wǎng)御董事長兼CEOJianQi齊艦 熱烈歡迎各位客戶參加聯(lián)想網(wǎng)御技術(shù)培訓(xùn)課程 聯(lián)想網(wǎng)御北京分部客戶培訓(xùn) 防火墻理論 2009年7月 中辦27號文件 信息保障的主要工作 我國信息安全保障的主要工作 三個(gè)方面 九項(xiàng)工作 第一個(gè)方面就是關(guān)于建立健全信息安全責(zé)任制就是要加強(qiáng)信息安全的領(lǐng)導(dǎo) 建立健全信息安全責(zé)任制第二個(gè)方面就是基礎(chǔ)性工作第一 實(shí)行信息安全等級保護(hù) 重視信息安全風(fēng)險(xiǎn)評估 第二 是加強(qiáng)以密碼技術(shù)為基礎(chǔ)的信息安全保護(hù)和網(wǎng)絡(luò)信任體系建設(shè) 第三 就是建設(shè)和完善信息安全監(jiān)控體系 第四 就是重視信息安全應(yīng)急處理工作第三個(gè)方面是支撐性工作第一是加強(qiáng)信息安全技術(shù)研究開發(fā) 推進(jìn)信息安全產(chǎn)業(yè)發(fā)展 第二是加強(qiáng)信息安全法制建設(shè)和標(biāo)準(zhǔn)化建設(shè) 第三是加強(qiáng)信息安全人才培養(yǎng) 增強(qiáng)全民信息安全意識 第四是保證信息安全的資金 目錄 目錄 防火墻的基本概念防火墻的發(fā)展歷程防火墻功能解析防火墻性能解析 目錄 防火墻的基本概念防火墻的發(fā)展歷程防火墻功能解析防火墻性能解析 網(wǎng)絡(luò) 內(nèi)部 外部泄密 拒絕服務(wù)攻擊 邏輯炸彈 特洛伊木馬 黑客攻擊 計(jì)算機(jī)病毒 后門 隱蔽通道 蠕蟲 垃圾郵件 防火墻基本概念 網(wǎng)絡(luò)面臨的威脅 防火墻基本概念 防火墻的引入 HTTP FTP SMTPServer FileServerDataBase ProxyServer UserClient 邊界點(diǎn)安全威脅 防火墻 防火墻基本概念 防火墻的概念 在信任網(wǎng)絡(luò)與非信任網(wǎng)絡(luò)之間 通過預(yù)定義的安全策略 對內(nèi)外網(wǎng)通信強(qiáng)制實(shí)施訪問控制的安全應(yīng)用設(shè)備 導(dǎo)入防火墻的技術(shù)原理 將不信任網(wǎng)絡(luò)對信任網(wǎng)絡(luò)的安全威脅強(qiáng)制到單一安全控制點(diǎn) 防火墻的原則 一切未被允許的就是禁止的 防火墻基本概念 防火墻基本概念 防火墻能做什么 保障授權(quán)合法用戶的通信與訪問 禁止未經(jīng)授權(quán)的非法通信與訪問 記錄經(jīng)過防火墻的通信活動 防火墻不能做什么 不能主動防范新的安全威脅 不能防范來自網(wǎng)絡(luò)內(nèi)部的攻擊 不能控制不經(jīng)防火墻的通信與訪問 防火墻基本概念 目錄 防火墻基本概念防火墻的發(fā)展歷程防火墻功能解析防火墻性能解析 Firewall軟件技術(shù)變革 應(yīng)用代理 包過濾 狀態(tài)檢測 深度檢測 通用OS 嵌入式OS 專用OS 專業(yè)OS 基于三層 四層的過濾實(shí)現(xiàn)簡單 速度快安全性低 初級技術(shù)個(gè)人終端系統(tǒng)穩(wěn)定 安全 健壯性差 防火墻的技術(shù)變革是簡短的 快速的 基于應(yīng)用層的代理轉(zhuǎn)發(fā)可以檢查應(yīng)用層協(xié)議處理速度慢 兼容性差內(nèi)核小 效率高 易擴(kuò)成熟度 可移植性差 引入狀態(tài)表規(guī)范3層和4層行為處理快 安全性較高網(wǎng)絡(luò)處理時(shí)時(shí)性高根據(jù)用戶需求定制 多級安全檢測自動簽名檢測虛擬化 協(xié)同性提高軟件平臺設(shè)計(jì)能力 應(yīng)用層 表示層 會話層 傳輸層 網(wǎng)絡(luò)層 鏈路層 物理層 應(yīng)用層 表示層 會話層 傳輸層 網(wǎng)絡(luò)層 鏈路層 物理層 網(wǎng)絡(luò)層 鏈路層 物理層 優(yōu)點(diǎn) 速度快 性能高對應(yīng)用程序透明 缺點(diǎn) 安全性低不能根據(jù)狀態(tài)信息進(jìn)行控制不能處理網(wǎng)絡(luò)層以上的信息伸縮性差維護(hù)不直觀 簡單包過濾技術(shù)介紹 應(yīng)用層 TCP層 IP層 網(wǎng)絡(luò)接口層 IP 101010101 TCP ETH 101010101 應(yīng)用層 TCP層 IP層 網(wǎng)絡(luò)接口層 101010101 只檢查報(bào)頭 101001001001010010000011100111101111011 001001001010010000011100111101111011 簡單包過濾防火墻的工作原理 簡單包過濾防火墻不檢查數(shù)據(jù)區(qū)簡單包過濾防火墻不建立連接狀態(tài)表前后報(bào)文無關(guān)應(yīng)用層控制很弱 防火墻 包過濾技術(shù) 檢查項(xiàng) IP包的源地址 IP包的目的地址 TCP UDP源端口 應(yīng)用層 表示層 會話層 傳輸層 網(wǎng)絡(luò)層 鏈路層 物理層 應(yīng)用層 表示層 會話層 傳輸層 網(wǎng)絡(luò)層 鏈路層 物理層 應(yīng)用代理技術(shù)介紹 應(yīng)用層 表示層 會話層 傳輸層 網(wǎng)絡(luò)層 鏈路層 物理層 優(yōu)點(diǎn) 安全性高提供應(yīng)用層的安全 缺點(diǎn) 性能差伸縮性差只支持有限的應(yīng)用不透明 FTP HTTP SMTP 應(yīng)用層 TCP層 IP層 網(wǎng)絡(luò)接口層 IP 101010101 TCP ETH 101010101 應(yīng)用層 TCP層 IP層 網(wǎng)絡(luò)接口層 101010101 只檢查數(shù)據(jù) 101001001001010010000011100111101111011 001001001010010000011100111101111011 應(yīng)用代理防火墻的工作原理 不檢查IP TCP報(bào)頭不建立連接狀態(tài)表網(wǎng)絡(luò)層保護(hù)比較弱 防火墻 應(yīng)用網(wǎng)關(guān) 客戶端 防火墻 代理網(wǎng)關(guān) 服務(wù)器 想從內(nèi)部網(wǎng)訪問外部的服務(wù)器 我?guī)湍惆l(fā)請求吧 應(yīng)用層 表示層 會話層 傳輸層 網(wǎng)絡(luò)層 鏈路層 物理層 應(yīng)用層 表示層 會話層 傳輸層 網(wǎng)絡(luò)層 鏈路層 物理層 狀態(tài)檢測技術(shù)介紹 應(yīng)用層 表示層 會話層 傳輸層 網(wǎng)絡(luò)層 鏈路層 物理層 安全性高能夠檢測所有進(jìn)入防火墻網(wǎng)關(guān)的數(shù)據(jù)包根據(jù)通信和應(yīng)用程序狀態(tài)確定是否允許包的通行性能高在數(shù)據(jù)包進(jìn)入防火墻時(shí)就進(jìn)行識別和判斷伸縮性好可以識別不同的數(shù)據(jù)包已經(jīng)支持豐富的應(yīng)用 包括Internet應(yīng)用 數(shù)據(jù)庫應(yīng)用 多媒體應(yīng)用等用戶可方便添加新應(yīng)用對用戶 應(yīng)用程序透明 抽取各層的狀態(tài)信息建立動態(tài)狀態(tài)表 應(yīng)用層 TCP層 IP層 網(wǎng)絡(luò)接口層 IP 101010101 TCP ETH 101010101 應(yīng)用層 TCP層 IP層 網(wǎng)絡(luò)接口層 101010101 只檢查報(bào)頭 101001001001010010000011100111101111011 001001001010010000011100111101111011 狀態(tài)檢測包過濾防火墻的工作原理 不檢查數(shù)據(jù)區(qū)建立連接狀態(tài)表前后報(bào)文相關(guān)應(yīng)用層控制很弱 建立連接狀態(tài)表 IP包 檢測包頭 下一步處理 安全策略 過濾規(guī)則 會話連接狀態(tài)緩存表 狀態(tài)檢測包過濾防火墻 符合 不符合 丟棄 狀態(tài)檢測包過濾 符合 檢查項(xiàng) IP包的源 目的地址 端口 TCP會話的連接狀態(tài) 上下文信息 應(yīng)用層 TCP層 IP層 網(wǎng)絡(luò)接口層 IP 開始攻擊 TCP ETH 開始攻擊主服務(wù)器硬盤數(shù)據(jù) 應(yīng)用層 TCP層 IP層 網(wǎng)絡(luò)接口層 開始攻擊主服務(wù)器硬盤數(shù)據(jù) 檢查多個(gè)報(bào)文組成的會話 101001001001010010000011100111101111011 001001001010010000011100111101111011 深度內(nèi)容檢測防火墻的工作原理 建立連接狀態(tài)表 開始攻擊 重寫會話 主服務(wù)器 硬盤數(shù)據(jù) 報(bào)文1 報(bào)文2 報(bào)文3 網(wǎng)絡(luò)層保護(hù)強(qiáng)應(yīng)用層保護(hù)戧會話保護(hù)很強(qiáng)上下文相關(guān)前后報(bào)文有聯(lián)系 防火墻核心技術(shù)比較 單個(gè)包報(bào)頭 單個(gè)包報(bào)頭 單個(gè)包數(shù)據(jù) 一次會話 X86架構(gòu)嵌入式架構(gòu) NP架構(gòu) ASIC架構(gòu) 多核架構(gòu) 防火墻突破高性能的極限就是對防火墻硬件結(jié)構(gòu)的調(diào)整 性能 ASIC架構(gòu) NP架構(gòu) 多核架構(gòu) 可擴(kuò)展性 易 X86架構(gòu) Firewall硬件演進(jìn) 嵌入式架構(gòu) 硬件平臺技術(shù)分析 x86 基于X86的平臺主要提供商Intel AMD X86 特點(diǎn) 軟件開發(fā)比較靈活便于快速推出產(chǎn)品投資少發(fā)熱比較大受總線帶寬的限制難以滿足高速環(huán)境 概述 以通用處理器 如 x86 為設(shè)備核心通用CPU擔(dān)負(fù)數(shù)據(jù)查找 連接控制和路由更新處理等全部工作 優(yōu)勢 數(shù)據(jù)處理全部由軟件實(shí)現(xiàn) 容易實(shí)現(xiàn)通過軟件升級完成系統(tǒng)升級 劣勢 受處理器處理能力限制 很難實(shí)現(xiàn)更高帶寬和更高吞吐率 穩(wěn)定性差 不適合高端設(shè)備 防火墻發(fā)展歷程 基于通用處理器體系結(jié)構(gòu) 防火墻發(fā)展歷程 硬件平臺技術(shù)分析 其他嵌入式 基于其他嵌入的平臺包括PowerPC ARM MIPS 嵌入式 特點(diǎn) 產(chǎn)品穩(wěn)定低功耗 低成本軟件比較靈活開發(fā)環(huán)境需要投資受總線帶寬的限制 硬件平臺技術(shù)分析 ASIC 基于ASIC的平臺采用廠家Netscreen Fortinet ASIC 特點(diǎn) 性價(jià)比比較高產(chǎn)品穩(wěn)定可以滿足高性能要求靈活性不高投資非常大門檻高 防火墻發(fā)展歷程 概述 采用專用IC集成電路 ASIC 實(shí)現(xiàn)硬件轉(zhuǎn)發(fā)及流量控制數(shù)據(jù)包交由ASIC完成處理ASIC代碼固化在IC芯片中 優(yōu)勢 基于硬件的數(shù)據(jù)處理提供了很高的數(shù)據(jù)包轉(zhuǎn)發(fā)速率 劣勢 由于ASIC代碼固化在芯片中 導(dǎo)致系統(tǒng)升級異常困難ASIC產(chǎn)品開發(fā)周期較長 芯片定制一次性投入較大 在其市場未達(dá)一定規(guī)模時(shí) 價(jià)格相對較高對于類似QoS路由 高層業(yè)務(wù)流識別及高層應(yīng)用協(xié)議的動態(tài)變化性難于應(yīng)對 基于ASIC體系結(jié)構(gòu) 防火墻發(fā)展歷程 硬件平臺技術(shù)分析 NPU 基于NPU的平臺提供廠家Intel IBM AMCC Broadcom NPU 特點(diǎn) 能獲得比較高的性能產(chǎn)品穩(wěn)定有一定的靈活性靈活性不高軟件開發(fā)難度大 網(wǎng)絡(luò)處理器 NP 是一種可編程的ASIC NP NetworkProcessor 基于NP的體系結(jié)構(gòu)是在前兩種體系結(jié)構(gòu)的基礎(chǔ)上 綜合了各自的優(yōu)勢而推出的一種新型的體系結(jié)構(gòu) NP主要被用于 非常適合高速網(wǎng)絡(luò)安全產(chǎn)品處理線速數(shù)據(jù)進(jìn)行協(xié)議分析和數(shù)據(jù)分類 進(jìn)行深度數(shù)據(jù)包分析 防火墻發(fā)展歷程 基于網(wǎng)絡(luò)處理器的體系結(jié)構(gòu) 防火墻發(fā)展歷程 硬件平臺技術(shù)分析 多核架構(gòu) 多核架構(gòu)優(yōu)勢新建會話能力強(qiáng) 可達(dá)到20萬支撐更高更多的網(wǎng)絡(luò)接口 4XFP 48SFP控制 數(shù)據(jù)層面分離高負(fù)載時(shí)仍然可以進(jìn)行正常的管理操作CPU忙碌時(shí)不影響已建立的會話數(shù)據(jù)轉(zhuǎn)發(fā)多核芯片特點(diǎn)2 Unit KingGuard 8 Core Unit 4 vCPU CoreXLR內(nèi)部數(shù)據(jù)交換128Gbps集成加解密引擎 支持AES 3DES多種算法支持C語言開發(fā) 編程靈活 硬件平臺 多核芯片 VSP Applications CPU I O CPU CPU I O CPU In Out Mgr Mgr 2020 3 1 page33 超強(qiáng)性能 海量并發(fā) 64個(gè)vCPU8 8矩陣式并行處理系統(tǒng)智能的vCPU調(diào)度系統(tǒng)Windrunner 每CPU含8處理核每核主頻1 2GHZ 每個(gè)核具備4個(gè)虛擬CPU 每臺設(shè)備具備64個(gè)vCPU同時(shí)進(jìn)行運(yùn)算 vCPU 線程 吞吐 20G并發(fā) 1000萬每秒新建 20萬NAT 500萬IPSecVPN 5G 硬件平臺技術(shù)分析 多核架構(gòu) 2020 3 1 CPU矩陣 流量分組并行處理 隊(duì)列調(diào)度 預(yù)處理 解密 策略匹配 內(nèi)容過濾 封裝加密 QOS隊(duì)列操作 路由查詢?nèi)罩居涗?流水線處理步驟 64個(gè)vCPU8 8矩陣式并行處理技術(shù)智能的vCPU調(diào)度系統(tǒng)Windrunner 吞吐 20G并發(fā) 1000萬每秒新建 20萬NAT 500萬IPSecVPN 5G 硬件平臺技術(shù)分析 多核架構(gòu) 2020 3 1 隊(duì)列調(diào)度 預(yù)處理 解密 策略匹配 內(nèi)容過濾 封裝加密 QOS隊(duì)列操作 路由查詢?nèi)罩居涗?普通包過濾 流水線1 流水線2 空閑vCPU隊(duì)列 加解密 內(nèi)容過濾 隊(duì)列調(diào)度vCPU發(fā)現(xiàn)3顆vCPU占用率為零 將其釋放 隊(duì)列調(diào)度vCPU發(fā)現(xiàn)vCPU占用率很高 申請空閑vCPU進(jìn)入隊(duì)列 64個(gè)vCPU8 8矩陣式并行處理技術(shù)智能的vCPU調(diào)度系統(tǒng)Windrunner 吞吐 20G并發(fā) 1000萬每秒新建 20萬NAT 500萬IPSecVPN 5G 硬件平臺技術(shù)分析 多核架構(gòu) 各種結(jié)構(gòu)的比較 性能 功能 通用處理器架構(gòu) 網(wǎng)絡(luò)處理器架構(gòu) ASIC架構(gòu) 多核架構(gòu) 防火墻硬件的發(fā)展 其他嵌入式架構(gòu) 目錄 防火墻基本概念防火墻的發(fā)展歷程防火墻功能解析防火墻性能解析 防火墻的作用 Intranet 通過部署防火墻 可以實(shí)現(xiàn)比VLAN 路由器更為強(qiáng)大 有效的訪問控制功能 大大提高抗攻擊的能力 禁止訪問 禁止訪問 防火墻功能解析 防火墻功能解析 防火墻功能解析 安全區(qū)劃分 防火墻 WebServer FTP SMTPServer 防火墻功能解析 安全區(qū)1 內(nèi)網(wǎng) 安全區(qū)2 外網(wǎng) 安全區(qū)3 DMZ SSN 透明接入 網(wǎng)絡(luò)A 網(wǎng)絡(luò)B 192 168 0 X 24 192 168 0 X 24 透明模式下 這里不用配置IP地址 透明模式下 這里不用配置IP地址 透明模式下 網(wǎng)絡(luò)A和網(wǎng)絡(luò)B不用做任何調(diào)整 防火墻功能解析 防火墻功能解析 路由 NAT接入 網(wǎng)絡(luò)A 192 168 0 X 24 192 168 0 1 24 202 16 1 x 26 202 16 1 y 26 路由模式下 防火墻的內(nèi)外網(wǎng)接口必須配置不同的IP地址 INTERNET 防火墻功能解析 防火墻功能解析 混合接入 防火墻 DMZ區(qū)212 18 10 0 內(nèi)網(wǎng)1192 168 1 0 內(nèi)網(wǎng)2192 168 1 0 INTERNET 防火墻功能解析 防火墻功能解析 HostC HostD 基本的訪問控制技術(shù) Accesslist192 168 1 3to202 2 33 2Accessnat192 168 3 0toanypassAccess202 1 2 3to192 168 1 3blockAccessdefaultpass 1010010101 規(guī)則匹配成功 基于源IP地址基于目的IP地址基于源端口基于目的端口基于時(shí)間基于用戶基于流量基于文件基于網(wǎng)址基于MAC地址 Internet 公開服務(wù)器可以使用私有地址隱藏內(nèi)部網(wǎng)絡(luò)的結(jié)構(gòu) 199 168 1 6 202 102 1 3 202 102 1 3 MAP199 168 1 2 80TO202 102 1 3 80 MAP199 168 1 3 21TO202 102 1 3 21 MAP199 168 1 4 53TO202 102 1 3 53 MAP199 168 1 5 25TO202 102 1 3 25 http 199 168 1 2 http 202 102 1 3 MAP 端口映射 源地址 192 168 1 21目地址 202 102 93 54 源地址 101 211 23 1目地址 202 102 93 54 101 211 23 2 隱藏了內(nèi)部網(wǎng)絡(luò)的結(jié)構(gòu)內(nèi)部網(wǎng)絡(luò)可以使用私有IP地址公開地址不足的網(wǎng)絡(luò)可以使用這種方式提供IP復(fù)用功能 NAT 地址轉(zhuǎn)換 net HostB 199 168 1 3 HostC 199 168 1 4 HostD 199 168 1 5 00 50 04 BB 71 A6 00 50 04 BB 71 BC BIND199 168 1 2To00 50 04 BB 71 A6 BIND199 168 1 4To00 50 04 BB 71 BC IP與MAC地址綁定后 不允許HostB假冒HostA的IP地址上網(wǎng) 防火墻允許HostA上網(wǎng) 跨路由器 IP與MAC 用戶 的綁定 策略路由功能 中國教育網(wǎng) Internet 202 10 1 2 64 10 6 5 200 34 22 2 200 34 22 1 192 168 1 1 HostA 192 168 1 2 HostB 192 168 1 3 HostC 192 168 1 4 200 34 22 3 內(nèi)網(wǎng) 根據(jù)源 目地址來進(jìn)行路由 主機(jī)B直接連接Internet 主機(jī)A通過教育網(wǎng)上Internet 分級帶寬管理 Internet WWW Mail DNS 財(cái)務(wù)部子網(wǎng) 采購部子網(wǎng) 出口帶寬512K DMZ區(qū)保留256K 分配70K帶寬 分配90K帶寬 分配96K帶寬 DMZ區(qū)域 內(nèi)部網(wǎng)絡(luò) 總帶寬512K 內(nèi)網(wǎng)256K DMZ256K 70K 90K 96K 財(cái)務(wù)子網(wǎng) 采購子網(wǎng) 生產(chǎn)子網(wǎng) 生產(chǎn)部子網(wǎng) 應(yīng)用代理是防火墻中一個(gè)重要的功能 啟用代理可以針對特定應(yīng)用進(jìn)行更細(xì)粒度的控制 包括內(nèi)容過濾等 客戶端 服務(wù)器 2 防火墻對客戶端的訪問進(jìn)行控制 1 客戶端訪問服務(wù)器需先訪問防火墻 3 防火墻代替客戶端向服務(wù)器發(fā)送請求 FTP HTTP SMTP 代理服務(wù) 認(rèn)證技術(shù)認(rèn)證是所有防火墻的基礎(chǔ) 認(rèn)證技術(shù) 操作系統(tǒng)口令 Username Password S Key RADIUS 第三方的插件 認(rèn)證模式 用戶認(rèn)證客戶認(rèn)證會話認(rèn)證 認(rèn)證服務(wù) HostC HostD HostB HostA 受保護(hù)網(wǎng)絡(luò) Internet IDS 黑客 發(fā)起攻擊 發(fā)送通知報(bào)文 驗(yàn)證報(bào)文并采取措施 發(fā)送響應(yīng)報(bào)文 識別出攻擊行為 阻斷連接或者報(bào)警等 與IDS安全聯(lián)動 Trunk口 Trunk口 VLAN1 VLAN2 支持VLAN的交換機(jī) Trunk口 Trunk口 VLAN1 VLAN2 Switch1 Switch2 同一交換機(jī)的不同VLAN之間通訊 不同交換機(jī)的同一VLAN之間通訊 不支持TRUNK的防火墻無法在這種環(huán)境下工作 不支持TRUNK的防火墻無法在這種環(huán)境下工作 防火墻對TRUNK協(xié)議的支持 Syn PROXY 主機(jī) Syn PROXY 網(wǎng)關(guān) 在服務(wù)器和外部網(wǎng)絡(luò)之間部署代理服務(wù)器通過代理服務(wù)器發(fā)送Syn Ack報(bào)文 在收到客戶端的Syn包后 防火墻代替服務(wù)器向客戶端發(fā)送Syn Ack包 如果客戶端在一段時(shí)間內(nèi)沒有應(yīng)答或中間的網(wǎng)絡(luò)設(shè)備發(fā)回了ICMP錯(cuò)誤消息 防火墻則丟棄此狀態(tài)信息如果客戶端的Ack到達(dá) 防火墻代替客戶端向服務(wù)器發(fā)送Syn包 并完成后續(xù)的握手最終建立客戶端到服務(wù)器的連接 通過這種Syn PROXY技術(shù) 保證每個(gè)Syn包源的真實(shí)有效性 確保服務(wù)器不被虛假請求浪費(fèi)資源 從而徹底防范對服務(wù)器的Syn Flood攻擊 SYN SYN ACK ACK SYN SYN ACK ACK SYN SYN ACK ACK Client Server 抗DOS DDOS攻擊 RandomDrop算法 抗DOS DDOS攻擊 RandomDrop算法 RandomDrop算法當(dāng)流量達(dá)到一定的數(shù)量限度時(shí) 所采取的一種通過降低性能 保證服務(wù)的不得已的方法 具體過程是 當(dāng)流量達(dá)到一定的閥值的時(shí)候 開始按照一定的算法丟棄后續(xù)的報(bào)文 保持主機(jī)的處理能力 這樣對于用戶而言 許多合法的請求可能被主機(jī)隨機(jī)丟棄 但是有部分請求還是可以得到服務(wù)器響應(yīng) 保證服務(wù)不間斷運(yùn)行的 SYN SYN ACK ACK Client Server 連接表 丟棄連接 丟棄連接 抗DOS DDOS攻擊 帶寬限制和QoS保證 帶寬限制和QoS保證通過對報(bào)文種類 來源等各種特性設(shè)置閥值參數(shù) 保證主要服務(wù)穩(wěn)定可靠的資源供給 保證在高強(qiáng)度攻擊環(huán)境下一定的連接保持率和新連接發(fā)起成功率 內(nèi)部網(wǎng)絡(luò) Internet INTERNET Web服務(wù)器3 Web服務(wù)器1 Web服務(wù)器2 服務(wù)器負(fù)載均衡 高可用性 HighAvailability 技術(shù)是為解決防火墻單點(diǎn)故障點(diǎn) 提供無縫的故障恢復(fù) 保障企業(yè)網(wǎng)絡(luò)的關(guān)鍵應(yīng)用 如 雙機(jī)熱備 集群 Cluster 技術(shù)等 內(nèi)部網(wǎng)絡(luò) HABeat Router Switch Switch 高可用性技術(shù) 防火墻雙機(jī)熱備 內(nèi)部網(wǎng) 外網(wǎng)或者不信任域 Eth0 Eth0 Eth1 Eth1 Eth2 Eth2 狀態(tài)同步心跳線 ActiveFirewall StandbyFirewall 檢測ActiveFirewall的狀態(tài) 發(fā)現(xiàn)出故障 立即接管其工作 正常情況下由主防火墻工作 主防火墻出故障以后 接管它的工作 HuborSwitch HuborSwitch 通過STP協(xié)議可以交換兩臺防火墻的狀態(tài)信息 當(dāng)一臺防火墻故障時(shí) 這臺防火墻的連接不需要重新建立就可以透明的遷移到另一臺防火墻上 用戶不會察覺到 目錄 防火墻基本概念防火墻的發(fā)展歷程防火墻功能解析防火墻性能解析 并發(fā)連接數(shù) 定義 指穿越防火墻的主機(jī)之間或主機(jī)與防火墻之間能同時(shí)建立的最大連接數(shù)衡量標(biāo)準(zhǔn) 并發(fā)連接數(shù)的測試主要用來測試被測防火墻建立和維持TCP連接的性能 同時(shí)也能通過并發(fā)連接數(shù)的大小體現(xiàn)被測防火墻對來自于客戶端的TCP連接請求的響應(yīng)能力 理解細(xì)化 是防火墻能夠同時(shí)處理的點(diǎn)對點(diǎn)會話連接的最大數(shù)目 它反映防火墻對多個(gè)連接的訪問控制能力和連接狀態(tài)跟蹤能力 這個(gè)參數(shù)的大小可以直接影響到防火墻所能支持的最大信息點(diǎn)數(shù) CLIENT SERVER 并發(fā)連接數(shù)可以用來衡量穿越防火墻的主機(jī)之間能同時(shí)建立的最大連接數(shù) 吞吐量 定義 在不丟包的情況下能夠達(dá)到的最大速率衡量標(biāo)準(zhǔn) 吞吐量作為衡量防火墻性能的重要指標(biāo)之一 吞吐量小就會造成網(wǎng)絡(luò)新的瓶頸 以至影響到整個(gè)網(wǎng)絡(luò)的性能 Smartbits6000B測試儀 101100101000011111001010010001001000 以最大速率發(fā)包 直到出現(xiàn)丟包時(shí)的最大值 防火墻吞吐量小就會成為網(wǎng)絡(luò)的瓶頸 100M 60M 數(shù)據(jù)包首先排隊(duì)待防火墻檢查后轉(zhuǎn)發(fā) 延時(shí) 定義 入口處輸入幀最后1個(gè)比特到達(dá)至出口處輸出幀的第一個(gè)比特輸出所用的時(shí)間間隔衡量標(biāo)準(zhǔn) 防火墻的時(shí)延能夠體現(xiàn)它處理數(shù)據(jù)的速度 10101001001001001010 Smartbits6000B測試儀 101100101000011111001010010001001000 最后1個(gè)比特到達(dá) 第一個(gè)比特輸出 時(shí)間間隔 1010100111001110 1010100111001110 1010010010100100010100010 101010100100100100100100010 造成數(shù)據(jù)包延遲到達(dá)目標(biāo)地 丟包率 定義 在連續(xù)負(fù)載的情況下 防火墻設(shè)備由于資源不足應(yīng)轉(zhuǎn)發(fā)但卻未轉(zhuǎn)發(fā)的幀百分比衡量標(biāo)準(zhǔn) 防火墻的丟包率對其穩(wěn)定性 可靠性有很大的影響 發(fā)送了1000個(gè)包 防火墻由于資源不足只轉(zhuǎn)發(fā)了800個(gè)包 丟包率 1000 800 1000 20 10010101001010010001001001 10010101001010010001001001 背靠背 定義 從空閑狀態(tài)開始 以達(dá)到傳輸介質(zhì)最小合法間隔極限的傳輸速率發(fā)送相當(dāng)數(shù)量的固定長度的幀 當(dāng)出現(xiàn)第一個(gè)幀丟失時(shí) 發(fā)送的幀數(shù) 衡量標(biāo)準(zhǔn) 背靠背的測試結(jié)果能體現(xiàn)出防火墻的緩沖容量 網(wǎng)絡(luò)上經(jīng)常有一些應(yīng)用會產(chǎn)生大量的突發(fā)數(shù)據(jù)包 如NFS 備份 路由更新等 而且這樣的數(shù)據(jù)包的丟失可能會產(chǎn)生更多的數(shù)據(jù)包 強(qiáng)大的緩沖能力可以減少這種突發(fā)對網(wǎng)絡(luò)造成的影響 Smartbits6000B測試儀 少量包 沒有數(shù)據(jù) 包增多 峰值 包減少 包數(shù)量 N 時(shí)間 T 背靠背指標(biāo)體現(xiàn)防火墻對突發(fā)數(shù)據(jù)的處理能力 軟件發(fā)展 包過濾 應(yīng)用代理 狀態(tài)檢測 深度內(nèi)容過濾硬件發(fā)展 X86 嵌入式 ASIC NPU 多核接入方式 透明 路由 混合實(shí)現(xiàn)技術(shù) 安全區(qū)劃分 NAT 策略路由 認(rèn)證技術(shù) 代理技術(shù) 高可用技術(shù) TRUNK支持性能指標(biāo) 并發(fā)連接數(shù) 吞吐量 時(shí)延 背靠背 丟包率 第一章小節(jié) 知識點(diǎn)回顧 目錄 目錄 引言全系列技術(shù)優(yōu)勢數(shù)據(jù)包處理流程功能性能優(yōu)勢點(diǎn) 安全新動態(tài) 網(wǎng)絡(luò)規(guī)模越來越大網(wǎng)絡(luò)應(yīng)用越來越豐富以政治 利益為代表的網(wǎng)絡(luò)攻擊傳播成為熱點(diǎn)僵尸網(wǎng)絡(luò)規(guī)模逐步擴(kuò)大以拒絕服務(wù) DDOS 為主要手段的網(wǎng)絡(luò)攻擊時(shí)時(shí)考驗(yàn)客戶的網(wǎng)絡(luò)以垃圾信息為代表的非法內(nèi)容浪費(fèi)著網(wǎng)絡(luò)的資源 安全進(jìn)入體系時(shí)代 要求建造安全的整體網(wǎng)絡(luò)從點(diǎn)轉(zhuǎn)變到面的方式考慮安全問題各種整體的解決方案和技術(shù)體系被提出聯(lián)想網(wǎng)御 下一代安全架構(gòu)天融信 可信網(wǎng)絡(luò)架構(gòu)CISCO 自防御網(wǎng)絡(luò)華為 安全滲透網(wǎng)絡(luò)銳捷 全局安全網(wǎng)絡(luò) 安全網(wǎng)關(guān)成為各體系化的基本配置 各種安全網(wǎng)關(guān)是安全的基礎(chǔ)設(shè)施防火墻成為最主要的基礎(chǔ)邊界安全設(shè)備 市場發(fā)展趨勢 CAGR 2008 FW 國內(nèi)防火墻比例 25 網(wǎng)絡(luò)安全總額 11 6億美元 71 市場發(fā)展趨勢 2006年 2008年 0 2 2 3 0 5 1 2 1 3 1 5 IDS IPS等 防火墻 VPN UTM新興市場 UTM 防毒墻等 2008年聯(lián)想網(wǎng)御產(chǎn)品布局 55 防火墻 VPN 20 UTM 防毒墻 IPS 2008年聯(lián)想網(wǎng)御產(chǎn)品銷量比防火墻系列仍為主力產(chǎn)品 安全網(wǎng)關(guān)形態(tài) 專業(yè)化的網(wǎng)關(guān)集成化的網(wǎng)關(guān)軟件網(wǎng)關(guān)硬件網(wǎng)關(guān) 安全網(wǎng)關(guān)的發(fā)展趨勢 一 國際廠家一般都有專用的操作系統(tǒng) 安全網(wǎng)關(guān)的發(fā)展趨勢 二 國際廠家一般都有專用的操作系統(tǒng)硬件化和芯片化成為趨勢 安全網(wǎng)關(guān)的發(fā)展趨勢 三 國際廠家一般都有專用的操作系統(tǒng)硬件化和芯片化成為趨勢硬件平臺多樣化 X86 NPU 多核 嵌入式 ASIC 組合 防火墻角色的演化 由3 4層控制向應(yīng)用層控制發(fā)展由單純防外部攻擊向防外 控內(nèi)發(fā)展由單純提供控制功能向提供系列服務(wù)發(fā)展 實(shí)際場景 79 帶寬在不斷的增加 但是還是感覺捉襟見肘 網(wǎng)速怎么這么慢呀 半天打不開一個(gè)網(wǎng)頁 高效需求 流量帶寬合理分配 無節(jié)制 無秩序的P2P資源下載消耗著有限的帶寬資源 真正需要及時(shí)信息的業(yè)務(wù)得不到有效的保障 高效需求 提高工作效率 虛擬娛樂 如網(wǎng)游 網(wǎng)聊 炒股等應(yīng)用 使員工沉迷其中 消耗大量工作時(shí)間 服務(wù)需求 應(yīng)用種類繁多 網(wǎng)絡(luò)應(yīng)用越來越多 用戶通過防火墻了解和管理網(wǎng)絡(luò)中的應(yīng)用需求越來越大用戶受技術(shù)背景限制 迫切希望防火墻設(shè)備內(nèi)置各種應(yīng)用 安全需求 屏蔽高風(fēng)險(xiǎn)網(wǎng)站 互聯(lián)網(wǎng)上網(wǎng)站眾多 在一些看似合法的網(wǎng)站背后可能隱藏著病毒 木馬 蠕蟲等危險(xiǎn)因素 如何屏蔽高風(fēng)險(xiǎn)網(wǎng)站 降低安全風(fēng)險(xiǎn) 安全需求 規(guī)避法律 道德的風(fēng)險(xiǎn) 各類色情 暴力 反動等非法 負(fù)面網(wǎng)站的訪問會帶來一系列問題 引發(fā)政治問題觸犯道德底線導(dǎo)致法律糾紛 信息安全問題 定位緩慢 技術(shù)人員希望發(fā)現(xiàn)問題后可以快速定位根源 缺少有效的行為查詢使技術(shù)人員定位問題緩慢 內(nèi)容失控 有悖國情的互聯(lián)網(wǎng)訪問很可能在企業(yè)不知情的情況下產(chǎn)生極端不好的負(fù)面影響 外發(fā)隨意 多種多樣的外發(fā)信息可能混雜有害的內(nèi)容 目前大部分外發(fā)信息對管理層來說是蒙在鼓里的 目錄 引言全系列技術(shù)優(yōu)勢數(shù)據(jù)包處理流程功能性能優(yōu)勢點(diǎn) 防火墻專利技術(shù) 防火墻技術(shù)理念 聯(lián)想網(wǎng)御防火墻先進(jìn)理念 VSP平臺 品牌戰(zhàn)略 USE引擎 MRP技術(shù) VSP通用安全平臺 硬件抽象平面 VSP通用安全平臺 硬件抽象平面無縫融合IXP PowerPC到NP ASIC 多核等各種先進(jìn)硬件平臺系統(tǒng)服務(wù)平面與各模塊共同遵循標(biāo)準(zhǔn)函數(shù)接口 具有高度靈活性和可擴(kuò)展性控制平面優(yōu)化配置管理 使得系統(tǒng)性能大幅提升數(shù)據(jù)平面集成統(tǒng)一安全引擎 將漏洞和風(fēng)險(xiǎn)拒之門外 對比 VSP和其他操作系統(tǒng)的比較 VSP通用安全平臺 USE統(tǒng)一安全引擎 URL過濾 文件過濾 郵件檢查 攻擊檢測 病毒檢測 IM過濾 P2P過濾 USE 有效提高系統(tǒng)處理性能 性能是關(guān)鍵 USE統(tǒng)一安全引擎集成于單一平臺 構(gòu)造統(tǒng)一架構(gòu) 綜合并優(yōu)化各子系統(tǒng) 去除冗余 簡化數(shù)據(jù)處理流程 實(shí)現(xiàn)統(tǒng)一的安全引擎處理機(jī)制 方便構(gòu)建可管理的等級化安全體系 推進(jìn)安全策略統(tǒng)一管理 提升系統(tǒng)功能可擴(kuò)展性 USE統(tǒng)一安全引擎 指標(biāo) USE引擎 單引擎 多引擎 專利 USE統(tǒng)一安全引擎優(yōu)勢明顯 USE與其他引擎比較 USE統(tǒng)一安全引擎 MRP多重冗余協(xié)議 狀態(tài)包過濾的核心 狀態(tài)表不管采用什么樣的技術(shù)實(shí)現(xiàn)的雙機(jī)熱備和負(fù)載均衡 多機(jī)之間的狀態(tài)不一致 必然造成切換時(shí)會話中斷或按簡單包過濾處理而損失安全性 也無法處理NAT 動態(tài)應(yīng)用等問題 STP協(xié)議可以保證多臺設(shè)備之間的狀態(tài)一致性 MRP多重冗余協(xié)議 內(nèi)部網(wǎng) Eth0 Eth0 Eth1 Eth1 Eth2 Eth2 心跳線 0 1 狀態(tài)同步 MRP多重冗余協(xié)議可靠性體系1 MRP多重冗余協(xié)議的可靠性體系2 目錄 引言全系列技術(shù)優(yōu)勢數(shù)據(jù)包處理流程功能性能優(yōu)勢點(diǎn) 防火墻數(shù)據(jù)包處理流程 VPN解密 抗攻擊 IP MAC綁定 目的地址轉(zhuǎn)換 路由查找 用戶信息查找 安全規(guī)則檢查 深層內(nèi)容過濾 源地址轉(zhuǎn)換 Qos VPN加密 虛線框表示客觀存在的 潛規(guī)則 可能對界面配置的規(guī)則產(chǎn)生影響紅色框內(nèi)的部分為每個(gè)包檢查 其他框?yàn)槭状芜B接檢查匹配代理規(guī)則轉(zhuǎn)入本機(jī)處理 匹配隱藏內(nèi)部服務(wù) 阻斷和黑名單等規(guī)則直接丟棄數(shù)據(jù)包 防火墻規(guī)則順序圖 防火墻規(guī)則根據(jù)作用順序分為代理 端口映射 IP映射 包過濾 NAT規(guī)則五類 目錄 引言全系列技術(shù)優(yōu)勢數(shù)據(jù)包處理流程功能性能優(yōu)勢點(diǎn) 聯(lián)想網(wǎng)御防火墻產(chǎn)品線介紹 網(wǎng)御防火墻 3條產(chǎn)品線16個(gè)系列50種產(chǎn)品 聯(lián)想網(wǎng)御防火墻全線產(chǎn)品 聯(lián)想網(wǎng)御防火墻全線產(chǎn)品照片 超五系列 多核架構(gòu) NP和ASIC混合架構(gòu) 強(qiáng)五系列 X86架構(gòu) 精五系列 嵌入式架構(gòu) 金剛系列 多核架構(gòu) 聯(lián)想網(wǎng)御防火墻發(fā)展歷程 特性與優(yōu)勢 1 細(xì)節(jié)成就專業(yè) 并發(fā)連接數(shù)控制VPN功能IPSec與SSL復(fù)用多出口策略路由安全聯(lián)動集中管理策略分發(fā)負(fù)載均衡和多機(jī)集群 獨(dú)特細(xì)節(jié)功能點(diǎn) 細(xì)節(jié)成就專業(yè) 細(xì)節(jié)功能點(diǎn) 并發(fā)連接數(shù)控制 精確到單個(gè)IP連接控制動態(tài)學(xué)習(xí)功能會話統(tǒng)計(jì)方式連接狀態(tài)分類查詢源 目的連接排行榜 細(xì)節(jié)功能點(diǎn) VPN功能 IPSec與SSLVPN功能復(fù)用支持國密辦專用算法SCB2獨(dú)有的隧道接力功能 可通過隧道接力實(shí)現(xiàn)分級的樹狀VPN結(jié)構(gòu)部署VPN客戶端兼容WindowsVista系統(tǒng)安全可靠的USB Key 細(xì)節(jié)功能點(diǎn) 多出口路由 多出口策略路由鏈路探測多ISP出口自動選路 減少跨ISP延時(shí)動態(tài)路由 OSPF RIP等 VLAN間路由 單臂路由 組播路由等 核心網(wǎng)絡(luò) 聯(lián)想網(wǎng)御SmartV 120防火墻 辦公區(qū) 策略路由 112 安全聯(lián)動 內(nèi)網(wǎng)安全管理軟件聯(lián)動IDS入侵檢測設(shè)備聯(lián)動遵循安全關(guān)聯(lián)標(biāo)準(zhǔn) 內(nèi)外網(wǎng)安全管理統(tǒng)一解決方案 細(xì)節(jié)功能點(diǎn) 安全聯(lián)動 管理界面簡潔清晰 美觀大方防火墻策略分發(fā) 并實(shí)現(xiàn)對設(shè)備監(jiān)控 集中日志審計(jì) 安全報(bào)警實(shí)現(xiàn)對網(wǎng)絡(luò)拓?fù)涞墓芾?基于域的權(quán)限分配和報(bào)表自動生成 以及設(shè)備的歷史狀況回放對多臺分級的認(rèn)證防火墻進(jìn)行統(tǒng)一管理和分組授權(quán) 113 細(xì)節(jié)功能點(diǎn) 集中管理 細(xì)節(jié)功能點(diǎn) 負(fù)載均衡 智能鏈路探測 無需人工干預(yù)輪詢 最少連接 響應(yīng)速度等多種負(fù)載均衡算法支持基于會話的負(fù)載均衡 同一會話走同一條路由 基于802 3ad標(biāo)準(zhǔn)的多端口聚合 實(shí)現(xiàn)零成本擴(kuò)展帶寬通過狀態(tài)同步技術(shù)實(shí)現(xiàn)2 32臺防火墻的多機(jī)集群 115 P2P下載軟件控制娛樂視頻播放控制IM即時(shí)通訊軟件控制在線游戲控制炒股軟件控制技術(shù)先進(jìn) 特征碼識別 應(yīng)用識別控制 特性與優(yōu)勢 2 應(yīng)用識別控制 復(fù)雜應(yīng)用控制 應(yīng)用識別控制 P2P下載 P2P下載控制細(xì)粒度控制主流P2P下載軟件 迅雷5 BT e Donkey e Mule Gnutella Poco 酷狗 脫兔 超級旋風(fēng)等高效協(xié)同處理的USE統(tǒng)一安全引擎特征分析精細(xì)度高 內(nèi)核匹配速率快識別率高 立竿見影分布式異步處理機(jī)制 DAM 不影響性能 應(yīng)用識別控制 視頻播放 P2P視頻播放控制對PPLive QQLive PPStream UUSee 迅雷看看 沸點(diǎn) PPMate等P2P視頻播放軟件進(jìn)行識別控制對視頻播放軟件進(jìn)行帶寬管理控制可以制定精細(xì)化的P2P視頻控制管理策略 即最大化P2P在工作中應(yīng)用 最小化P2P在娛樂中應(yīng)用 應(yīng)用識別控制 IM控制 IM即時(shí)通訊軟件控制對QQ2008 MSN8 1等多種聊天軟件進(jìn)行精確控制可阻斷POPO 淘寶旺旺 新浪UC LavaLava 百度Hi 雅虎Messenger等主流即時(shí)通訊軟件一鍵式阻斷IM軟件機(jī)密文件傳輸支持對使用權(quán)和使用時(shí)間的監(jiān)控管理精確控制到單個(gè)IP 應(yīng)用識別控制 網(wǎng)游控制 網(wǎng)游控制識別和控制魔獸 CS 征途 聯(lián)眾 天堂 夢幻西游 仙劍情緣 熱血江湖 勁舞團(tuán) 誅仙 浩方 泡泡堂等多種在線游戲軟件 應(yīng)用識別控制 炒股控制 炒股軟件控制識別和控制大智慧 同花順 國泰君安 證券之星 廣發(fā)證券 指南針 通達(dá)信 股票之星 華安證券 和訊報(bào)道 錢龍等多種炒股軟件 應(yīng)用識別控制 專業(yè)技術(shù) MSN HTTP BT Priority0 Priority2 Priority5 支持基于用戶 時(shí)間段 應(yīng)用協(xié)議的帶寬分配管理策略支持自定義帶寬通道 以及對應(yīng)的優(yōu)先級 速率上限和下限的設(shè)定 根據(jù)業(yè)務(wù)需要對應(yīng)用劃分通道 122 特性與優(yōu)勢 3 WEB過濾 國際領(lǐng)先的中文URL過濾系統(tǒng)應(yīng)用協(xié)議分析策略獨(dú)有預(yù)搜索引擎采用高速辨認(rèn)技術(shù) 縮短匹配時(shí)間 WEB分類庫過濾 WEB過濾 URL分類庫 最先進(jìn)的基于行為結(jié)果的URL預(yù)分類模式全部人工校驗(yàn) 保證分類正確率中文URL分類數(shù)據(jù)庫52大類 1000萬條種類包括色情 反動 暴力 毒品 賭博等多種負(fù)面網(wǎng)站基本覆蓋中國大陸網(wǎng)站智能分類引擎客戶定期自動更新 保證實(shí)效性升級包處理方式 方便實(shí)用 WEB過濾 應(yīng)用策略定制 提供用戶定制的WEB過濾策略郵件報(bào)警功能 實(shí)時(shí)狀態(tài)分析用戶自定義URL過濾列表樹狀協(xié)議 分級控制 粒度精細(xì)基于協(xié)議特征值以及行為特征識別 而非傳統(tǒng)IP或端口多層次應(yīng)用協(xié)議分析 確?？刂频男Ч蜏?zhǔn)確度 精細(xì)特征庫 125 無約束的網(wǎng)頁訪問 預(yù)置庫 靈活的自定義 及時(shí)的升級 健康的WEB行為 基于預(yù)搜索引擎的URL過濾機(jī)制 先匹配大類 再進(jìn)行細(xì)粒度過濾 基于預(yù)搜索引擎技術(shù) good WEB過濾 搜索引擎 WEB過濾 高速辨認(rèn)技術(shù) 智能透視分析技術(shù)在IP網(wǎng)絡(luò)中 應(yīng)用層數(shù)據(jù)被分拆封裝在多個(gè)數(shù)據(jù)包中傳輸 為了獲得完整的內(nèi)容 必須把連續(xù)的多個(gè)包 拆封 重新組合起來 聯(lián)想網(wǎng)御專有的智能透視分析技術(shù) 能夠智能判斷哪些包可以放過 哪些包需要暫留重組 減少了包處理的數(shù)量 從而提高數(shù)據(jù)流的分析效率 WEB過濾 智能技術(shù) 數(shù)據(jù)流 數(shù)據(jù)包智能分析 128 特性與優(yōu)勢 4 新硬件 硬