防火墻知識(shí)介紹現(xiàn)狀I(lǐng)nternet的發(fā)展呈現(xiàn)新特點(diǎn)：

新型網(wǎng)絡(luò)應(yīng)用層出不窮，在線視頻、互動(dòng)游戲、實(shí)時(shí)語(yǔ)音通信等

P2P應(yīng)用無(wú)處不在，占用更大的帶寬，Bt、迅雷、電驢等

數(shù)據(jù)包更小、流量更大網(wǎng)絡(luò)的安全問(wèn)題日益嚴(yán)重：安全的風(fēng)險(xiǎn)更大，Web迅雷等應(yīng)用，利用80開(kāi)放端口安全威脅手段越來(lái)越多樣化，新的應(yīng)用層攻擊不斷涌現(xiàn)防火墻的重要性：根據(jù)《信息系統(tǒng)等級(jí)保護(hù)安全設(shè)計(jì)技術(shù)要求》定級(jí)系統(tǒng)安全保護(hù)環(huán)境，由安全計(jì)算環(huán)境、安全區(qū)域邊界、安全通信網(wǎng)絡(luò)和（或）安全管理中心構(gòu)成。防火墻作為網(wǎng)絡(luò)區(qū)域邊界安全防護(hù)設(shè)備，扮演著極其重要的角色。發(fā)展現(xiàn)狀不良網(wǎng)站DDOS網(wǎng)絡(luò)攻擊網(wǎng)絡(luò)病毒/蠕蟲(chóng)IM/P2P帶寬濫用非法訪問(wèn)Internet商業(yè)間諜Intranet訪問(wèn)控制數(shù)據(jù)安全加密P2P/IM應(yīng)用限制/帶寬限制DDOS攻擊防御內(nèi)網(wǎng)地址隱藏黑客第2頁(yè),共37頁(yè)，2024年2月25日，星期天防火墻概述內(nèi)部網(wǎng)絡(luò)內(nèi)部網(wǎng)絡(luò)2內(nèi)部網(wǎng)絡(luò)1防火墻的功能：實(shí)現(xiàn)內(nèi)部網(wǎng)與internet的隔離；不同安全級(jí)別內(nèi)部網(wǎng)之間的隔離。 一切未被允許的就是禁止的！Internet第3頁(yè),共37頁(yè)，2024年2月25日，星期天可以對(duì)應(yīng)用層數(shù)據(jù)進(jìn)行處理對(duì)數(shù)據(jù)包的檢測(cè)能力比較強(qiáng)雙向通信必須通過(guò)應(yīng)用代理，禁止IP轉(zhuǎn)發(fā)難于配置處理速度慢可以重組會(huì)話，記錄會(huì)話狀態(tài)對(duì)網(wǎng)絡(luò)數(shù)據(jù)進(jìn)行更細(xì)粒度的檢測(cè)數(shù)據(jù)吞吐率較高對(duì)會(huì)話內(nèi)容的處理不夠采用狀態(tài)檢測(cè)包過(guò)濾技術(shù)采用應(yīng)用代理技術(shù)防火墻的發(fā)展數(shù)據(jù)吞吐率較高易配置對(duì)應(yīng)用完全透明對(duì)會(huì)話內(nèi)容無(wú)法監(jiān)測(cè)，安全性能較低包過(guò)濾防火墻應(yīng)用代理防火墻狀態(tài)檢測(cè)包過(guò)濾防火墻復(fù)合型過(guò)濾防火墻第4頁(yè),共37頁(yè)，2024年2月25日，星期天防火墻：包過(guò)濾技術(shù)應(yīng)用層表示層會(huì)話層傳輸層網(wǎng)絡(luò)層數(shù)據(jù)鏈路層物理層應(yīng)用層表示層會(huì)話層傳輸層網(wǎng)絡(luò)層數(shù)據(jù)鏈路層物理層應(yīng)用層表示層會(huì)話層傳輸層網(wǎng)絡(luò)層數(shù)據(jù)鏈路層物理層客戶端防火墻服務(wù)器包過(guò)濾引擎包過(guò)濾防火墻工作原理包過(guò)濾防火墻，對(duì)單個(gè)包本身信息如源地址、目的地址、端口號(hào)等進(jìn)行檢測(cè)，允許和拒絕包的決定完全取決于包自身所包含的信息。不對(duì)包在信息流中的位置的信息進(jìn)行檢測(cè)。第5頁(yè),共37頁(yè)，2024年2月25日，星期天防火墻：包過(guò)濾技術(shù)檢查項(xiàng)IP

包的源地址IP包的目的地址TCP/UDP源端口IP包檢測(cè)包頭檢查路由安全策略：過(guò)濾規(guī)則路由表包過(guò)濾防火墻轉(zhuǎn)發(fā)符合不符合丟棄包過(guò)濾防火墻轉(zhuǎn)發(fā)原理第6頁(yè),共37頁(yè)，2024年2月25日，星期天應(yīng)用層表示層會(huì)話層傳輸層網(wǎng)絡(luò)層數(shù)據(jù)鏈路層物理層應(yīng)用層表示層會(huì)話層傳輸層網(wǎng)絡(luò)層數(shù)據(jù)鏈路層物理層應(yīng)用層表示層會(huì)話層傳輸層網(wǎng)絡(luò)層數(shù)據(jù)鏈路層物理層客戶端防火墻（代理網(wǎng)關(guān)）服務(wù)器應(yīng)用防火墻工作原理客戶端服務(wù)器2：防火墻對(duì)客戶端的訪問(wèn)進(jìn)行控制1：客戶端訪問(wèn)服務(wù)器需先訪問(wèn)防火墻3：防火墻代替客戶端向服務(wù)器發(fā)送請(qǐng)求FTP、HTTP、SMTP對(duì)每一個(gè)通過(guò)防火墻的數(shù)據(jù)包進(jìn)行逐層的拆包、比對(duì)、再封裝逐層的拆包、比對(duì)、封裝第7頁(yè),共37頁(yè)，2024年2月25日，星期天應(yīng)用層表示層會(huì)話層傳輸層網(wǎng)絡(luò)層數(shù)據(jù)鏈路層物理層應(yīng)用層表示層會(huì)話層傳輸層網(wǎng)絡(luò)層數(shù)據(jù)鏈路層物理層應(yīng)用層表示層會(huì)話層傳輸層網(wǎng)絡(luò)層數(shù)據(jù)鏈路層物理層客戶端防火墻服務(wù)器狀態(tài)檢測(cè)引擎會(huì)話連接狀態(tài)、上下文信息監(jiān)控狀態(tài)檢測(cè)防火墻工作原理狀態(tài)檢測(cè)防火墻不僅是跟蹤包中包含的信息。還對(duì)包的狀態(tài)，有用的信息進(jìn)行跟蹤，例如已有的網(wǎng)絡(luò)連接、數(shù)據(jù)的傳出請(qǐng)求等。第8頁(yè),共37頁(yè)，2024年2月25日，星期天檢查項(xiàng)IP

包的源、目的地址、端口TCP會(huì)話的連接狀態(tài)上下文信息狀態(tài)檢測(cè)防火墻技術(shù)特點(diǎn)IP包檢測(cè)包頭下一步處理安全策略：過(guò)濾規(guī)則會(huì)話連接狀態(tài)緩存表狀態(tài)檢測(cè)包過(guò)濾防火墻符合不符合丟棄符合第9頁(yè),共37頁(yè)，2024年2月25日，星期天不同架構(gòu)對(duì)比可擴(kuò)展、集成化的架構(gòu)；結(jié)合了專用的硬件加速和高性能多核處理器架構(gòu)技術(shù)，數(shù)據(jù)包、內(nèi)容檢測(cè)效率高。采用可編程的ASIC網(wǎng)絡(luò)處理器（NP）；兼具了ASIC的性能和通用處理器的功能；無(wú)法實(shí)現(xiàn)深度報(bào)文檢測(cè)（數(shù)據(jù)內(nèi)容）。采用專用IC集成電路；基于硬件的數(shù)據(jù)處理，轉(zhuǎn)發(fā)速率高；系統(tǒng)升級(jí)難，高層業(yè)務(wù)流識(shí)別難。采用通用處理器（如：x86）；數(shù)據(jù)處理由軟件實(shí)現(xiàn)，易升級(jí)；處理能力低，帶寬低、吞吐率低、穩(wěn)定性差。多核網(wǎng)絡(luò)處理器+控制管理CPU可編程網(wǎng)絡(luò)處理器+控制管理CPUASIC芯片+控制管理CPUOS內(nèi)核IP協(xié)議棧+通用服務(wù)器平臺(tái)第10頁(yè),共37頁(yè)，2024年2月25日，星期天永達(dá)AFW2000防火墻采用多核網(wǎng)絡(luò)處理器+控制管理CPU的架構(gòu)采用狀態(tài)檢測(cè)包過(guò)濾技術(shù)及應(yīng)用代理技術(shù)相結(jié)合的復(fù)合型過(guò)濾防火墻精細(xì)的用戶訪問(wèn)控制深度網(wǎng)絡(luò)行為分析防火墻+VPN強(qiáng)強(qiáng)聯(lián)合增強(qiáng)型抗攻擊超強(qiáng)的網(wǎng)絡(luò)適用性豐富的安全防范手段第11頁(yè),共37頁(yè)，2024年2月25日，星期天網(wǎng)絡(luò)的安全性第12頁(yè),共37頁(yè)，2024年2月25日，星期天精細(xì)的用戶訪問(wèn)控制基于Web的無(wú)客戶端認(rèn)證用戶身份認(rèn)證：本地認(rèn)證，第三方認(rèn)證Radius/LDAP/AD認(rèn)證用戶的網(wǎng)絡(luò)行為管理：實(shí)時(shí)連接監(jiān)控和管理，基于用戶的流量限制、時(shí)間監(jiān)控,基于用戶的策略InternetRADIUS服務(wù)器OTP認(rèn)證服務(wù)器AETHER

********FW將認(rèn)證信息傳給RADIUS服務(wù)器進(jìn)行認(rèn)證將認(rèn)證結(jié)果傳給防火墻根據(jù)認(rèn)證結(jié)果決定用戶對(duì)資源的訪問(wèn)權(quán)限第13頁(yè),共37頁(yè)，2024年2月25日，星期天帶寬管理、QOS（服務(wù)質(zhì)量）Web服務(wù)器視頻應(yīng)用服務(wù)器客戶機(jī)客戶機(jī)客戶機(jī)瀏覽下載一級(jí)二級(jí)三級(jí)視頻Ftp服務(wù)器帶寬管理規(guī)則庫(kù)內(nèi)網(wǎng)外網(wǎng)流量帳戶管理、實(shí)時(shí)精確的流量控制基于IP地址和用戶組（IP段）的流量編組基于時(shí)間段、應(yīng)用服務(wù)進(jìn)行帶寬分配管理基于優(yōu)先級(jí)的帶寬控制，優(yōu)先級(jí)可達(dá)8級(jí)第14頁(yè),共37頁(yè)，2024年2月25日，星期天Bt、迅雷、電驢、電騾等10種P2P應(yīng)用P2P應(yīng)用控制和帶寬限制MSN、QQ、Skype等及時(shí)通信工具的控制即時(shí)通信應(yīng)用控制支持SIP/H.323/Ftp/PPTP/RTSP等動(dòng)態(tài)協(xié)議動(dòng)態(tài)協(xié)議解析深度內(nèi)容過(guò)濾深度網(wǎng)絡(luò)行為分析HTTP、FTP、POP3、SMTP的內(nèi)容檢測(cè)和病毒過(guò)濾第15頁(yè),共37頁(yè)，2024年2月25日，星期天深度內(nèi)容過(guò)濾對(duì)應(yīng)用數(shù)據(jù)內(nèi)容的安全過(guò)濾FTP過(guò)濾郵件過(guò)濾HTTP內(nèi)容過(guò)濾支持文件名、數(shù)據(jù)鏈接的關(guān)鍵字和命令過(guò)濾，并禁止多線程下載。收發(fā)件人、主題、郵件附件的內(nèi)容、郵件中轉(zhuǎn)過(guò)濾，限定收件人數(shù)量以及強(qiáng)大的郵件病毒檢測(cè)。URL過(guò)濾，網(wǎng)頁(yè)關(guān)鍵字過(guò)濾，特殊代碼的剝離（如JAVA,JAVASCRIPT，ACTIVEX等）。第16頁(yè),共37頁(yè)，2024年2月25日，星期天狀態(tài)包過(guò)濾永達(dá)防火墻可以基于數(shù)據(jù)包的MAC地址、源地址、目的地址、源端口、目標(biāo)端口、協(xié)議標(biāo)志位對(duì)連接的狀態(tài)進(jìn)行監(jiān)測(cè)，極大地提高了系統(tǒng)的性能。WebServerFTP/SMTPServer

源目的根據(jù)預(yù)定義的規(guī)則列表，進(jìn)行狀態(tài)包過(guò)濾。第17頁(yè),共37頁(yè)，2024年2月25日，星期天入侵檢測(cè)Internet隔離區(qū)EmailFtpHTTP財(cái)務(wù)部市場(chǎng)部研發(fā)部Router來(lái)自內(nèi)部的攻擊來(lái)自外部的攻擊告警!攻擊次數(shù)比率(%)源地址目的地址攻擊方法2013.0702IDS127-TELNET-oginIncorrect

入侵特征庫(kù)深入到應(yīng)用層，結(jié)合特征庫(kù)快速掃描流量并匹配IDS特征。將攻擊源的詳細(xì)信息進(jìn)行審計(jì)。第18頁(yè),共37頁(yè)，2024年2月25日，星期天應(yīng)用代理

提供對(duì)常用高層應(yīng)用服務(wù)（HTTP、FTP、SMTP、POP3、TELNET、ICMP）的透明代理。使用代理時(shí)，支持用戶認(rèn)證和內(nèi)容過(guò)濾?？蛻舳朔?wù)器2：防火墻對(duì)客戶端的訪問(wèn)進(jìn)行控制1：客戶端訪問(wèn)服務(wù)器需先訪問(wèn)防火墻3：防火墻代替客戶端向服務(wù)器發(fā)送請(qǐng)求FTPHTTPSMTP第19頁(yè),共37頁(yè)，2024年2月25日，星期天增強(qiáng)型抗攻擊AllchartsanddiagramsdrawnupwithgreatdetailandconsistsofeditableshapesAFW2000自身防御：管理端口僅對(duì)相應(yīng)的管理主機(jī)開(kāi)放；管理端口具有FLOOD攻擊防御能力；防火墻自身不存在掃描漏洞。常用攻擊：PingFlood、UdpFlood、SynFlood、Teardrop、Sweep、Land、PingofDeath、Smurf；其他攻擊：源路由攻擊、地址欺騙碎片攻擊、Fin掃描攻擊、圣誕樹(shù)攻擊、Null等。第20頁(yè),共37頁(yè)，2024年2月25日，星期天防火墻+VPN剛?cè)峤Y(jié)合防火墻+VPNVPN設(shè)備，可以做到數(shù)據(jù)內(nèi)容的私密性、完整性，但設(shè)備容易被攻擊；防火墻通過(guò)防火墻策略控制IPSecVPN流量VPN加密隧道也可以進(jìn)行防火墻和防病毒檢查可以通過(guò)冗余的ISP連接來(lái)建立冗余的VPN隧道加密算法DES/3DES/AES認(rèn)證算法MD5/SHA-1IPsec協(xié)議ESP/AH/ESP+AH認(rèn)證方式預(yù)共享密鑰、數(shù)字證書(shū)協(xié)議IPsec、L2TPIPsecNAT穿越支持星型結(jié)構(gòu)VPN支持VPN鏈路備份支持第21頁(yè),共37頁(yè)，2024年2月25日，星期天堅(jiān)固數(shù)據(jù)安全網(wǎng)絡(luò)AFW2000生產(chǎn)部市場(chǎng)部財(cái)政部人事部Internet家庭用戶應(yīng)用服務(wù)商移動(dòng)用戶保稅區(qū)企業(yè)保稅區(qū)企業(yè)保稅區(qū)企業(yè)保稅區(qū)企業(yè)VPN連接第22頁(yè),共37頁(yè)，2024年2月25日，星期天網(wǎng)絡(luò)的適用性第23頁(yè),共37頁(yè)，2024年2月25日，星期天負(fù)載均衡支持動(dòng)態(tài)負(fù)載均衡算法，針對(duì)對(duì)外提供的服務(wù)進(jìn)行均衡，將訪問(wèn)均攤給內(nèi)部服務(wù)器。INTERNETWeb服務(wù)器3Web服務(wù)器1Web服務(wù)器2INTERNET內(nèi)網(wǎng)防火墻集群支持32臺(tái)防火墻集群，機(jī)群間進(jìn)行負(fù)載均衡負(fù)載均衡第24頁(yè),共37頁(yè)，2024年2月25日，星期天正向NAT隱藏內(nèi)部網(wǎng)絡(luò)的IP地址及內(nèi)部網(wǎng)絡(luò)結(jié)構(gòu)節(jié)約有效的IP地址空間Internet6HostC內(nèi)部網(wǎng)絡(luò)HostAHostB數(shù)據(jù)IP報(bào)頭數(shù)據(jù)IP報(bào)頭源地址：目地址：6源地址：8目地址：6eth1:eth2:8第25頁(yè),共37頁(yè)，2024年2月25日，星期天反向NAT（端口映射）InternetWWW1FTP2MAIL3DNS4輸入：1:80->:802:21->:213:25->:254:53->:53第26頁(yè),共37頁(yè)，2024年2月25日，星期天透明接入模式網(wǎng)絡(luò)A網(wǎng)絡(luò)B192.168.0.X/24192.168.0.X/24透明模式下，這里不用配置IP地址透明模式下，這里不用配置IP地址透明模式下，網(wǎng)絡(luò)A和網(wǎng)絡(luò)B不用做任何調(diào)整第27頁(yè),共37頁(yè)，2024年2月25日，星期天路由模式網(wǎng)絡(luò)A192.168.0.X/24/24202.16.1.x/26202.16.1.y/26路由模式下，防火墻的內(nèi)外網(wǎng)接口必須配置不同的IP地址INTERNET支持源/目的地址路由、支持基于協(xié)議的策略路由、動(dòng)態(tài)路由第28頁(yè),共37頁(yè)，2024年2月25日，星期天混合接入防火墻隔離區(qū)（DMZ）內(nèi)網(wǎng)1內(nèi)網(wǎng)2網(wǎng)橋INTERNETNAT第29頁(yè),共37頁(yè)，2024年2月25日，星期天可靠性、管理性第30頁(yè),共37頁(yè)，2024年2月25日，星期天內(nèi)網(wǎng)可靠性HABeatRouterSwitchSwitchINTERNET內(nèi)網(wǎng)支持雙主機(jī)熱備份一旦防火墻設(shè)備出現(xiàn)故障，能夠快速平滑切換支持鏈路備份SwitchRouterINTERNET第31頁(yè),共37頁(yè)，2024年2月25日，星期天WEB方式管理：永達(dá)防火墻支持基于HTTPS的Web方式管理。命令行方式管理：支持串口命令行管理，SSH命令行管理。集中管理：防火墻具備集中管理的功能，可以通過(guò)永達(dá)的集中管理工具進(jìn)行集中管理。集中管理包括拓?fù)渖伞⑷旨腥罩緦徲?jì)、全局集中監(jiān)控。支持管理員分級(jí)，支持超級(jí)管理員、管理員、只讀管理員、日志管理員多種管理身份。支持內(nèi)部日志數(shù)據(jù)庫(kù)、Syslog、遠(yuǎn)程系統(tǒng)日志服務(wù)器強(qiáng)大的管理功能第32頁(yè),共37頁(yè)，2024年2月25日，星期天典型應(yīng)用第33頁(yè),共37頁(yè)，2024年2月25日，星期天數(shù)據(jù)服務(wù)器防護(hù)1、IDC托管服務(wù)器2、企業(yè)客戶對(duì)外服務(wù)器3、政府、涉密單位內(nèi)網(wǎng)服務(wù)器4、金融數(shù)據(jù)機(jī)房服務(wù)器群Web服務(wù)器對(duì)外服務(wù)器區(qū)DNS服務(wù)器INTERNETIDC托管機(jī)房

金融數(shù)據(jù)機(jī)房服務(wù)器防護(hù)內(nèi)網(wǎng)服務(wù)器區(qū)1、支持抗DDOS攻擊，識(shí)別率高2、內(nèi)置殺毒引擎，防止病毒侵害服務(wù)器3、支持并發(fā)連接、新建連接的限制，智能識(shí)別業(yè)務(wù)類型，轉(zhuǎn)發(fā)核心業(yè)務(wù)數(shù)據(jù)，有效提高服務(wù)器的效率永達(dá)優(yōu)勢(shì)第34頁(yè),共37頁(yè)，2024年2月25日，星期天邊界防護(hù)Web服務(wù)器電信公司總部辦公網(wǎng)公司總部信息發(fā)布網(wǎng)公司總部業(yè)務(wù)網(wǎng)業(yè)務(wù)服務(wù)器分支機(jī)構(gòu)1、Internet出口2、政企專網(wǎng)出口網(wǎng)絡(luò)接入1、多種NAT類型的轉(zhuǎn)換，隱藏內(nèi)部真實(shí)地址2、大容量NAT并發(fā)數(shù)，性能強(qiáng)勁3、多出口業(yè)務(wù)負(fù)載均衡，網(wǎng)絡(luò)結(jié)構(gòu)穩(wěn)定性高永達(dá)優(yōu)勢(shì)業(yè)務(wù)專網(wǎng)、廣域網(wǎng)網(wǎng)通第35頁(yè),共37頁(yè)，2024