《网络信息安全》

1

《《网络信息安全网络信息安全》》

中国科学技术大学肖明军

[email protected]

2

防火墙概述防火墙概述

防火墙分类防火墙分类

防火墙硬件技术防火墙硬件技术

防火墙软件技术防火墙软件技术

防火墙分级防火墙分级

防火墙功能防火墙功能

防火墙性能防火墙性能

防火墙安全性防火墙安全性

防火墙部署防火墙部署

防火墙管理防火墙管理

防火墙可靠性防火墙可靠性

防火墙典型应用防火墙典型应用

防火墙技术发展展望防火墙技术发展展望

怎样选择防火墙怎样选择防火墙

提纲提纲

3

• 定义– 防火墙是一种访问控制技术，在某个机构的网络和不安全的网络之间设置障

碍，阻止对信息资源的非法访问。– 防火墙是放置在两个网络之间的一组组件，这组组件具有下列性质：只允许

本地安全策略授权的通信信息通过；双向通信信息必须通过防火墙；防火墙本身不会影响信息的流通。

– 防火墙是位于两个信任程度不同的网络之间（如企业内部网络和 Internet 之间）的软件或硬件设备的组合，它对两个网络之间的通信进行控制，通过强制实施统一的安全策略，防止对重要信息资源的非法存取和访问，以达到保护系统安全的目的。

• 核心思想– 在不安全的网际网环境中构造一个相对安全的子网环境。

• 目的– 都是为了在被保护的内部网与不安全的非信任网络之间设立唯一的通道，以

按照事先制定的策略控制信息的流入和流出，监督和控制使用者的操作。

防火墙 (Firewall) 定义

4

• 防火墙可在链路层、网络层和应用层上实现；

• 其功能的本质特征是隔离内外网络和对进出信息流实施访问控制。隔离方法可以是基于物理的，也可以是基于逻辑的；

• 从网络防御体系上看，防火墙是一种被动防御的保护装置。

防火墙 (Firewall) 定义

5

• 堡垒主机是一台完全暴露给外网攻击的主机。由于堡垒主机完全暴露在外网安全威胁之下，需要做许多工作来设计和配置堡垒主机，使它遭到外网攻击成功的风险性减至最低。常见的堡垒主机包括： Web，Mail， DNS， FTP 服务器。

• 双宿主主机（ Dual-Homed Host ）结构是围绕着至少具有两个网络接口的双宿主主机而构成的。双宿主主机内外的网络均可与双宿主主机实施通信，但内外网络之间不可直接通信，内外部网络之间的 IP 数据流被双宿主主机完全切断。双宿主主机可以通过代理或让用户直接注册到其上来提供很高程度的网络控制。

• 包过滤：对进出网络的数据包进行有选择的控制与操作。

• DMZ（ demilitarized zone ）：隔离区也称为非军事区域，内外网络之间增加的一层网络，起到缓冲作用。

• 代理服务器：代表内部用户与外部服务器进行信息交换的计算机系统。

防火墙 (Firewall) 相关概念

6

InternetInternet

一种高级访问控制设备，置于不同一种高级访问控制设备，置于不同网络安全域网络安全域之间的一系列部件的组合，它是不同之间的一系列部件的组合，它是不同网络安全域间通信流的网络安全域间通信流的唯一通道唯一通道，能根据企业有关的安全政策，能根据企业有关的安全政策控制控制（允许、拒绝、（允许、拒绝、监视、记录）进出网络的访问行为。监视、记录）进出网络的访问行为。

两个安全域之间通信流的唯一通道

UDPBlockHost CHost B

TCPPassHost CHost A

Destination ProtocolPermitSource

根据访问控制规则决定进出网络的行为

内部网内部网

防火墙图示

7

桌面型防火墙桌面型防火墙

普通百兆防火墙普通百兆防火墙

防火墙防火墙 + VPN+ VPN

高端百兆防火墙高端百兆防火墙

高端千兆防火墙高端千兆防火墙

形形色色的防火墙形形色色的防火墙

8

防火墙整体外观介绍

1. 样式：标准 1U-----4U 机箱，根据接口数量、处理性能等不同而异

2. 网络接口数量：标准一般配置 3 个 10/100M 自适应接口，根据需要可以定制更多接口，有些还可热拔插

3. 网络接口类型：标准一般是 10/100-Base-TX 接口，也可定制其他类型接口

4. 电源：一般单电源，特殊场合可以配置双电源，但需要定制

5. 硬件平台架构：大多基于 X86 工控平台，正在开发基于 NP 加速的新产品

6. 处理器：大多是 CPU ，极少数 CPU+NPU

7. 软件平台：部分自主开发、优化，也有直接基于开放 LINUX 架构改造，使用免费代码构建

网络接口

内网外网 SSN

控制口

9

新结构防火墙新结构防火墙

老结构防火墙老结构防火墙

防火墙模块防火墙模块

防火墙外观的演变防火墙外观的演变

新老结构的变化，体现了防火墙的发展方向：新老结构的变化，体现了防火墙的发展方向：

1.1. 集成化方向发展集成化方向发展

2.2. 模块化方向发展模块化方向发展

3.3. 选择更加灵活，部署更加方便，处理能选择更加灵活，部署更加方便，处理能力更加强大力更加强大

10

防火墙设计结构的变化防火墙设计结构的变化

防火墙机箱与引擎防火墙机箱与引擎

防火墙接口模块防火墙接口模块

防火墙模块封装板防火墙模块封装板

1.1. 根据需要可以通过扩充模块，根据需要可以通过扩充模块，增加端口的数量增加端口的数量

2.2. 根据需要可以通过更换模块，根据需要可以通过更换模块，改变端口的类型改变端口的类型

3.3. 根据需要可以选择根据需要可以选择处理能力更好的机箱与引擎处理能力更好的机箱与引擎

11

千兆电信级防火墙结构千兆电信级防火墙结构

GBICGBIC卡插槽卡插槽10/100M10/100M 接口接口

AUXAUX 接口接口

热拔插冗余电源热拔插冗余电源大功率散热风扇大功率散热风扇

防火墙引擎防火墙引擎

12

防火墙连线图

直通线交叉线交叉线串口线

管理机

SSN （ Secure Server Network ，相当于 DMZ ）区域

外网内网

13

Intranet

通过部署防火墙，可以实现比通过部署防火墙，可以实现比 VLANVLAN 、、

路由器更为强大、有效的访问控制功能；路由器更为强大、有效的访问控制功能；

大大提高抗攻击的能力大大提高抗攻击的能力

禁止访问禁止访问

禁止访问禁止访问

防火墙作用

14

防火墙执行标准

GB/T 18019-1999 GB/T 18019-1999 信息技术包过滤防火墙安全技术要求信息技术包过滤防火墙安全技术要求 GB/T 18020-1999 GB/T 18020-1999 信息技术应用级防火墙安全技术要求信息技术应用级防火墙安全技术要求 GB/T 18336-2001 GB/T 18336-2001 信息技术安全性评估准则（信息技术安全性评估准则（ ISO 15408ISO 15408 ）） GB/T 17900-1999 GB/T 17900-1999 网络代理服务器的安全技术要求网络代理服务器的安全技术要求 GB/T 18018-1999 GB/T 18018-1999 路由器安全技术要求路由器安全技术要求

GB/T 18020---1999GB/T 18020---1999

GB/T 18010---1999GB/T 18010---1999 GB/T 18336---2001GB/T 18336---2001

（（ ISO/IEC 15408ISO/IEC 15408 ））

国内标准国内标准国际标准国际标准

规范需求分析、设计、编码、测试、评估等环节规范需求分析、设计、编码、测试、评估等环节

15















提纲提纲

16

1.个人防火墙•是在操作系统上运行的软件，可为个人计算机提供简单的防火墙功能；

•大家常用的个人防火墙有： Norton Personal

Firewall、天网个人防火墙、瑞星个人防火墙等；

•安装在个人 PC上，而不是放置在网络边界，因此，个人防火墙关心的不是一个网络到另外一个网络的安全，而是单个主机和与之相连接的主机或网络之间的安全。

防火墙简单分类

17

2.软件防火墙

•个人防火墙也是一种纯软件防火墙，但其应用范围较小，且只支持 Windows系统，功能相对来说要弱很多，并且安全性和并发连接处理能力较差；

•作为网络防火墙的软件防火墙具有比个人防火墙更强的控制功能和更高的性能。不仅支持 Windows系统，并且多数都支持 Unix或 Linux系统。如十分著名的 Check Point

FireWall-1， Microsoft ISA Server 2000等。


18

3.一般硬件防火墙

•不等同于采用专用芯片的纯硬件防火墙，但和纯软件防火墙有很大差异；

•一般由小型的防火墙厂商开发，或者是大型厂商开发的中低端产品，应用于中小型企业，功能比较全，但性能一般；

•一般都采用 PC架构（就是一台嵌入式主机），但使用的各个配件都量身定制。


19

•其操作系统一般都采用经过精简和修改过内核的 Linux或Unix，安全性比使用通用操作系统的纯软件防火墙要好很多，并且不会在上面运行不必要的服务，这样的操作系统基本就没有什么漏洞。但是，这种防火墙使用的操作系统内核一般是固定的，是不可升级的，因此新发现的漏洞对防火墙来说可能是致命的；

•国内自主开发的防火墙大部分都属于这种类型。


20

4.纯硬件防火墙

•采用专用芯片（非 X86芯片）来处理防火墙核心策略的一种硬件防火墙，也称为芯片级防火墙。（专用集成电路（ ASIC）芯片或者网络处理器（ NP）芯片）；

•最大的亮点：高性能，非常高的并发连接数和吞吐量；

•采用 ASIC芯片的方法在国外比较流行，技术也比较成熟，如美国 NetScreen公司的高端防火墙产品；国内芯片级防火墙大多还处于开发发展的阶段，采用的是 NP技术。


21

5.分布式防火墙

•前面提到的几种防火墙都属于边界防火墙（ Perimeter

Firewall），它无法对内部网络实现有效地保护；

•随着人们对网络安全防护要求的提高，产生了一种新型的防火墙体系结构——分布式防火墙。近几年，分布式防火墙技术已逐渐兴起，并在国外一些大的网络设备开发商中得到实现，由于其优越的安全防护体系，符合未来的发展趋势，这一技术一出现就得到了许多用户的认可和接受。


22

按部署结构分类从防火墙结构分为单一主机防火墙、路由器集成式防火墙和分布式防火墙三种。

• 单一主机防火墙：是最为传统的防火墙，独立于其它网络设备，它位于网络边界。与一台计算机结构差不多，价格昂贵。

• 路由器集成式防火墙：这种防火墙通常是较低级的包过滤型。许多中、高档路由器中集成了防火墙功能，如 CiscoIOS 防火墙系列。这样企业就不用再同时购买路由器和防火墙，大大降低了网络设备购买成本。

• 分布式防火墙：不只是位于网络边界，而是渗透于网络的每一台主机，对整个内部网络的主机实施保护。在网络服务器中，通常会安装一个用于防火墙系统管理软件，在服务器及各主机上安装有集成网卡功能的PCI 防火墙卡。

防火墙其它分类

23

按部署位置分类按防火墙的应用部署位置分为边界防火墙、个人防火墙和混合式防火墙三大类。

按性能分类按防火墙性能分为百兆级防火墙和千兆级防火墙两类。目前还针对小企业用户（网络流量小、用户数量较少）生产出了桌面型防火墙。

防火墙其它分类

24

InternetInternet

软件防火墙软件防火墙硬件防火墙硬件防火墙

按形态分类

按形态分类

按保护对象分类

按保护对象分类

InternetInternet

防火墙的分类

保护整个网络保护整个网络

保护单台主机保护单台主机

网络防火墙网络防火墙单机防火墙单机防火墙

25

InternetInternet

单机防火墙单机防火墙

网络防火墙网络防火墙

1. 保护单台主机

2. 安全策略分散

3. 安全功能简单

4. 普通用户维护

5. 安全隐患较大

6. 策略设置灵活

1. 保护整个网络

2. 安全策略集中

3. 安全功能复杂多样

4. 专业管理员维护

5. 安全隐患小

6. 策略设置复杂

单机防火墙单机防火墙网络防火墙网络防火墙产品形态产品形态软件软件硬件或者软件硬件或者软件安装点安装点单台独立的单台独立的 HostHost 网络边界处网络边界处安全策略安全策略分散在各个安全点分散在各个安全点对整个网络有效对整个网络有效保护范围保护范围单台主机单台主机一个网段一个网段管理方式管理方式分散管理分散管理集中管理集中管理功能功能功能单一功能单一功能复杂、多样功能复杂、多样管理人员管理人员普通计算机用户普通计算机用户专业网管人员专业网管人员安全措施安全措施单点安全措施单点安全措施全局安全措施全局安全措施

结论结论单机防火墙是网络防火墙的有益补充，但不能代单机防火墙是网络防火墙的有益补充，但不能代替网络防火墙为内部网络提供强大的保护功能替网络防火墙为内部网络提供强大的保护功能

单机防火墙单机防火墙 && 网络防火墙网络防火墙

26

InternetInternet

硬件防火墙硬件防火墙 && 软件防火墙软件防火墙

InternetInternet硬件防火墙硬件防火墙软件防火墙软件防火墙

操作系统平台操作系统平台安全性安全性性能性能稳定性稳定性网络适应性网络适应性分发分发升级升级成本成本

硬件防火墙硬件防火墙基于精简专用OS 高高较高强不易较容易 Price=firewall+Server

软件防火墙软件防火墙基于庞大通用OS 较高较高高较强非常容易容易 Price=Firewall

1. 仅获得 Firewall 软件，需要准备额外的 OS 平台

2. 安全性依赖低层的 OS

3. 网络适应性弱（主要以路由模式工作）

4. 稳定性高

5. 软件分发、升级比较方便

1. 硬件 + 软件，不用准备额外的 OS 平台

2. 安全性完全取决于专用的 OS

3. 网络适应性强（支持多种接入模式）

4. 稳定性较高

5. 升级、更新不太灵活

27


防火墙分类防火墙分类防火墙体系结构防火墙体系结构













提纲提纲

28

防火墙的体系结构一般有以下几种 :

1. 包过滤型防火墙

2. 双宿网关防火墙

3. 屏蔽主机防火墙

4. 屏蔽子网防火墙

5. 其它结构的防火墙

防火墙体系结构

29

•包过滤型防火墙往往可以用一台过滤路由器来实现对所接收的每个数据包做允许拒绝的决定。路由器审查每个数据包，以便确定其是否与某一条包过滤规则匹配。过滤规则基于IP包头信息。

•包头信息中包括 IP源地址、 IP目标端地址、内装协议（ TCP,UDP,ICMP或 IP Tunnel）、 TCP/UDP目标端口、 ICMP消息类型以及 TCP包头中的 ACK位。包的进入接口和出接口如果有匹配，并且规则允许该数据包通过，该数据包会按照路由表转发。如果匹配规则拒绝，则该数据包就会被丢弃。如果没有匹配规则，用户配置的缺省参数会决定是转发还是丢弃数据包。

包过滤型防火墙

30


31

优点•处理包的速度快。过滤路由器为用户提供了一种透明的服务，用户不能改变客户端程序或改变自己的行为。

•实现包过滤几乎不再需要费用（或极少的费用），因为这些特点都包含在标准的路由器软件中。

•包过滤路由器对用户和应用来讲都是透明的，所以不必对用户进行特殊的培训，也不必在每台主机上安装特定的软件。

缺点•防火墙的维护比较困难。定义数据包过滤会比较复杂，


32

因为网络管理员需要对各种互联网服务、包头格式以及每个域的意义有非常深入的理解。

•只能阻止一种类型的 IP欺骗，即外部主机伪装内部主机的IP，对于外部主机伪装其它可信任的外部主机的 IP却不可能阻止。

•一些包过滤网关不支持有效的用户认证。因为 IP地址是可以伪造的，因此如果没有基于用户的认证，仅通过 IP地址来判断是不安全的。

•不可能提供有用的日志，或根本就不提供。

•随着过滤器数目的增加，路由器的吞吐量会下降。


33

•IP包过滤器可能无法对网络上流动的信息提供全面的控制。包过滤路由器能够允许或拒绝特定的服务，但是不能理解特定服务的上下文环境和数据。

适用场合•非集中化管理的机构

•没有强大的集中安全策略的机构

•网络的主机数非常少

•主要依赖于主机安全来防止入侵，但是当主机数增加到一定程度的时候，仅靠主机安全是不够的。

•没有使用 DHCP这样的动态 IP地址分配协议


34

•一个双重宿主主机是一种防火墙，拥有两个连接到不同网络上的网络接口。例如，一个网络接口连到外部的不可信任的网络上，另一个网络接口连接到内部的可信任网络上

•这种防火墙的最大特点是 IP层的通信是被阻止的，两个网络之间的通信可通过应用层数据共享或应用层代理服务来完成。一般情况下，人们采用代理服务的方法，能够为用户提供更为方便的访问手段。

•双重宿主主机用两种方式来提供服务

–用户直接登录到双重宿主主机上：开设账户危险，用户行为不可测

–在双重宿主主机运行代理服务器：“存储转发”型的服务 HTTP

等

双宿网关防火墙

35


应用层数据共享应用层代理

36

注意事项•双重宿主主机是唯一的隔开内部网和外部网络之间的屏障，如果入侵者得到了双重宿主主机的访问权，内部网络就会被入侵，所以双重宿主主机应具有强大的身份认证系统

•为了防止防火墙被入侵，应尽量减少防火墙上用户的账户数目。

•使用双重宿主主机应首先禁用网络层的路由功能。在 Unix

内实现路由禁止，必须重新配置和重建核心，除了要禁止IP转发，还应清除一些 Unix系统中的工具程序和服务。

•双重宿主主机作为中间转接点，性能非常重要。


37

•屏蔽主机防火墙由包过滤路由器和堡垒主机组成，堡垒主机配置在内部网络，包过滤路由器则放置在内部网络和外部网络之间。

•屏蔽主机防火墙强迫所有的外部主机与一个堡垒主机相连，而不让它们直接与内部主机相连。在路由器上进行规则配置，使得外部系统只能访问堡垒主机，去往内部系统上其它主机的信息全部被阻塞。

•由于内部主机和堡垒主机处于同一个网络，内部系统是否允许直接访问 Internet，或者是要求使用堡垒主机上的代理服务来访问，由机构的安全策略来决定。对路由器的过滤规则进行设置，使得其只接受来自堡垒主机的内部数据包，就可以强制内部用户使用代理服务

屏蔽主机防火墙

38

Internet

内部网络

防火墙

POWERFAULT DATA ALARM屏蔽路由器

堡垒主机

×

×

堡垒主机是互联网上的主机能连接到内部网络上的系统的桥梁

数据包过滤也允许堡垒主机开放可允许的连接到外部世界


39

特点•安全等级比包过滤防火墙要高，因为它实现了网络层安全（包过滤）和应用层安全（代理服务）

•该主机可完成多种代理，如 FTP、 Telnet，•还可以完成认证和交互作用，•能提供完善的 Internet访问控制。•这种防火墙主机是网络的单失效点，也是网络黑客集中攻击的目标，安全保障仍不够理想。

•但这种防火墙投资少，功能容易实现，也便于扩充，因而应用比较广泛。

•过滤路由器是否正确配置是这种防火墙安全与否的关键。过滤路由器的路由表应当受到严格保护，如果遭到破坏，则数据包就不会被路由到堡垒主机上，使堡垒主机被越过


40


41

•屏蔽子网防火墙用了两个包过滤路由器和一个堡垒主机。它在两个包过滤路由器之间定义了“非军事区 DMZ”网络，并将堡垒主机、信息服务器以及其它公用服务器放在 DMZ网络中。

•DMZ网络很小，处于 Internet和内部网络之间。一般情况下，把 DMZ配置成使用 Internet和内部网络系统对其访问受限制的系统，而通过 DMZ网络直接进行信息传输是严格禁止的

•外部路由器拥有防范通常的外部攻击，并管理外部网到 DMZ

网络的访问，它只允许外部系统访问堡垒主机（还可能有信息服务器）

屏蔽子网防火墙

42

•内部路由器又称为阻塞路由器，位于内部网和 DMZ之间，提供第二层防御，用于保护内部网络不受 DMZ和Internet的侵害。它负责管理 DMZ到内部网络的访问（只接受源于堡垒主机的数据包）以及内部网络到 DMZ网络的访问。它执行了大部分的过滤工作。

•堡垒主机上则可以运行各种各样的代理服务器

屏蔽子网防火墙

43

1.合并 DMZ的外部路由器和堡垒主机的结构•由双宿堡垒主机来执行原来的外部路由器的功能。由双宿主机进行路由会缺乏专用路由器的灵活性及性能，但在网络速度不高的情况下，可以胜任路由的工作。缺点是堡垒主机完全暴露在 Internet上，需小心保护。

其它结构防火墙

44

2.合并 DMZ的内部路由器和堡垒主机的结构•堡垒主机的一个网络接口接到 DMZ，另一网络接口接到内部网络。过滤路由器必须加以配置，以便它能把外部网络传到内部网络的所有网络流量发给堡垒主机的“ inside”网络接口，只有被过滤路由器规则允许的网络流才能转发给堡垒主机。


45

3.合并 DMZ的内部路由器和外部路由器的结构•当拥有强大的路由器时，可以合并内外部路由器，这种结构中，堡垒主机处于 DMZ的位置，在过滤路由器上一般设置 internet只能访问堡垒主机。


46

4.两个堡垒主机和两个 DMZ的结构•使用两个 DMZ和两个双重宿主堡垒主机，将网络分成 4 部分：内部网络，外部网络，内部非军事区和外部非军事区。内部非军事区受到过滤路由器和外部堡垒主机的保护，具有一定的安全性，可以把一些不是很机密的服务器放在这个网络上，并把敏感的主机隐藏在内部网络中。


47

5.牺牲主机结构•如果一个组织想提供公共信息服务，如匿名 FTP等，它就可以在外部非军事区提供一个主机作为牺牲主机。堡垒主机不能相信来自牺牲主机的流量。


48

6.使用多台外部路由器的体系结构


49


防火墙分类防火墙分类防火墙体系结构防火墙体系结构













提纲提纲

50

CPUCPU 存储器存储器

网络接口

总线位数总线频率总线带宽32 b 33M 1G

64 b 33M 2G

32 b 133M 4G

64 b 133M 8G

总线

网络接口

1

3

4

2

防火墙单总线结构防火墙单总线结构

NPU1NPU1 存储器存储器NPU2NPU2 存储器存储器

ASICASIC

防火墙的硬件瓶颈：防火墙的硬件瓶颈：处理器的计算能力：处理器的计算能力： CPU+NPU+ASICCPU+NPU+ASIC

总线带宽：设计多总线产品总线带宽：设计多总线产品存储器的存储速度存储器的存储速度 I/O I/O 接口速度接口速度

51


网络接口


64 b 33M 2G

32 b 133M 4G

64 b 133M 8G

总线1

网络接口

防火墙多总线结构防火墙多总线结构

存储器存储器存储器存储器

ASICASIC

防火墙的硬件瓶颈：防火墙的硬件瓶颈：处理器的计算能力：处理器的计算能力： CPU+NPU+ASICCPU+NPU+ASIC （提高主频或者采用多处理器（提高主频或者采用多处理器

））总线带宽：设计多总线产品（提高总线带宽或者采用多总线结构）总线带宽：设计多总线产品（提高总线带宽或者采用多总线结构）存储器的存储速度存储器的存储速度 I/O I/O 接口速度接口速度

总线2

NPU1NPU1NPU2NPU2

52

• CPU + 33MCPU + 33M总线总线 + 10/100/1000M+ 10/100/1000M 网络接口网络接口


• CPU + ASIC + 133MCPU + ASIC + 133M总线总线 + 10/100/1000M+ 10/100/1000M 网络接口网络接口

• CPU + NPU + 133MCPU + NPU + 133M总线总线 + 10/100/1000M+ 10/100/1000M 网络接口网络接口

• CPU + NPU + ASIC + 133MCPU + NPU + ASIC + 133M 总线总线 + 10/100/1000M+ 10/100/1000M 网络接口网络接口

• nn个个 CPU + CPU + nn个个 NPU + NPU + nn个个 ASIC + ASIC + nn条总线条总线 + + nn个个 10/100/100010/100/1000 网络网络

接口接口

防火墙硬件结构种类防火墙硬件结构种类

逐步提高处理能力逐步提高处理能力逐步提高总线带宽逐步提高总线带宽逐步提高接口速率逐步提高接口速率

53


网络接口


64 b 33M 2G

32 b 133M 4G

64 b 133M 8G

33M33M总总线线

网络接口

1

3

4

2

CPU + 33M + 10/100MCPU + 33M + 10/100M

防火墙的处理能力：防火墙的处理能力：处理器的计算能力：普通处理器的计算能力：普通 CPUCPU

总线带宽：总线带宽： 33M33M

存储器的存储速度存储器的存储速度 I/O I/O 接口速度：比较适合中低端百兆防火墙接口速度：比较适合中低端百兆防火墙

54


网络接口


64 b 33M 2G

32 b 133M 4G

64 b 133M 8G

网络接口

1

3

4

2

CPU + 133M + 10/100M/1000MCPU + 133M + 10/100M/1000M

防火墙的处理能力：防火墙的处理能力：处理器的计算能力：普通处理器的计算能力：普通 CPUCPU


存储器的存储速度存储器的存储速度 I/O I/O 接口速度：比较适合中低端千兆防火墙或者接口速度：比较适合中低端千兆防火墙或者

高端百兆防火墙高端百兆防火墙

133M133M总线总线

55


网络接口


64 b 33M 2G

32 b 133M 4G

64 b 133M 8G

133M133M总线总线

网络接口

1

3

4

2

CPU + ASIC + 133M + 10/100M/1000MCPU + ASIC + 133M + 10/100M/1000M

防火墙的处理能力：防火墙的处理能力：处理器的计算能力：普通处理器的计算能力：普通 CPU + ASICCPU + ASIC


存储器的存储速度存储器的存储速度 I/O I/O 接口速度：高端百兆、千兆接口速度：高端百兆、千兆

ASICASIC

56


64 b 33M 2G

32 b 133M 4G

64 b 133M 8G

CPU + NPU + 133M + 10/100M/1000MCPU + NPU + 133M + 10/100M/1000M

防火墙的处理能力：防火墙的处理能力：处理器的计算能力：普通处理器的计算能力：普通 CPU + NPUCPU + NPU


存储器的存储速度存储器的存储速度 I/O I/O 接口速度：高端百兆、千兆接口速度：高端百兆、千兆

网络接口

总线1

网络接口

存储器存储器存储器存储器 NPU1NPU1NPU2NPU2


总线2

57


64 b 33M 2G

32 b 133M 4G

64 b 133M 8G

网络接口

总线1

网络接口

存储器存储器存储器存储器 NPU1NPU1NPU2NPU2


总线2

ASICASIC

防火墙的硬件瓶颈：防火墙的硬件瓶颈：处理器的计算能力：处理器的计算能力： CPU+NPU+ASICCPU+NPU+ASIC

总线带宽：多总线总线带宽：多总线存储器的存储速度存储器的存储速度 I/O I/O 接口速度：高端百兆、千兆接口速度：高端百兆、千兆

CPU + NPU +ASIC + 133M + 10/100M/1000MCPU + NPU +ASIC + 133M + 10/100M/1000M

58

基于通用基于通用 CPUCPU 的防火墙的特点的防火墙的特点

• 通用通用 CPUCPU 的优点：高灵活性、高扩展性的优点：高灵活性、高扩展性

• 通用通用 CPUCPU由于考虑了各种应用的需要，具有一般化的通用体系结构和指令集，容易支持复杂的由于考虑了各种应用的需要，具有一般化的通用体系结构和指令集，容易支持复杂的

运算并容易开发新的功能。运算并容易开发新的功能。

• 随着通用随着通用 CPUCPU 性能的快速提高，基于通用性能的快速提高，基于通用 CPUCPU 防火墙的处理速度和能力将会大幅度提高，能够防火墙的处理速度和能力将会大幅度提高，能够

很好的适应多接口百兆、千兆防火墙的计算要求很好的适应多接口百兆、千兆防火墙的计算要求

59

基于基于 ASICASIC 加速技术防火墙的特点加速技术防火墙的特点

• ASICASIC：： Application Specific Integrated CircuitApplication Specific Integrated Circuit ，特定用途集成电路。，特定用途集成电路。

• ASICASIC 专用硬件加速技术主要是部分国外厂商的防火墙产品采用，如专用硬件加速技术主要是部分国外厂商的防火墙产品采用，如 NetScreenNetScreen 的高端防火的高端防火

墙。墙。 ASICASIC 作为硬件集成电路，它把指令或计算逻辑固化到硬件中，获得高处理能力，提升防火墙作为硬件集成电路，它把指令或计算逻辑固化到硬件中，获得高处理能力，提升防火墙

性能。性能。

• ASICASIC 最大缺点是缺乏灵活性，支持有限的应用和服务最大缺点是缺乏灵活性，支持有限的应用和服务。一旦指令或计算逻辑固化到硬件中，就很。一旦指令或计算逻辑固化到硬件中，就很

难修改升级、增加新的功能或提高性能，使得资源重用率很低。而且，难修改升级、增加新的功能或提高性能，使得资源重用率很低。而且， ASICASIC 设计和制造周期长（设计和制造周期长（

设计和制造复杂设计和制造复杂 ASICASIC 一般需要花费一般需要花费 1212 ～～ 1818 个月），研发费用高，也使个月），研发费用高，也使 ASICASIC 很难应对万变的网很难应对万变的网

络新应用，所以基于络新应用，所以基于 ASICASIC 技术，很难快速推出能满足用户需求不断变化的防火墙产品。技术，很难快速推出能满足用户需求不断变化的防火墙产品。

60

• 网络处理器（网络处理器（ Network ProcessorNetwork Processor ，简称，简称 NPNP ）顾名）顾名

思义即专为网络数据处理而设计的芯片或芯片组。思义即专为网络数据处理而设计的芯片或芯片组。

• 能够直接完成网络数据处理的一般性任务，如能够直接完成网络数据处理的一般性任务，如 TCP/TCP/

IPIP 数据的校验和计算、包分类、路由查找等，同时数据的校验和计算、包分类、路由查找等，同时

，硬件体系结构的设计也弥补了传统，硬件体系结构的设计也弥补了传统 IAIA 体系的不足体系的不足

，它们大多采用高速的接口技术和总线规范，具有较，它们大多采用高速的接口技术和总线规范，具有较

高的高的 I/OI/O 能力。能力。

• 基于网络处理器的网络设备的包处理能力得到了很大基于网络处理器的网络设备的包处理能力得到了很大

提升，很多需要高性能的领域，如千兆交换机、防火提升，很多需要高性能的领域，如千兆交换机、防火

墙、路由器的设计都可以采用网络处理器来实现。墙、路由器的设计都可以采用网络处理器来实现。

Intel Intel 公司第一代公司第一代 NPNP芯片芯片

• NPNP 产品远未成熟，包括产品远未成熟，包括 TeragoTerago公司倒闭（公司倒闭（ 10Gbit/sNP10Gbit/sNP ））

• NPNP 不少，产品接口却不统一，无法完成无缝的整合；不少，产品接口却不统一，无法完成无缝的整合；

• NPUNPU论坛（网络处理器论坛（论坛（网络处理器论坛（ NPFNPF ））正在推动相关标准））正在推动相关标准

的制定，但还很不完善；的制定，但还很不完善；

• NPNP 防火墙产品的测试标准并没有推出，有关测试方法的防火墙产品的测试标准并没有推出，有关测试方法的

BenchmarkBenchmark 都还没有制定出来都还没有制定出来

• 对复杂应用数据，对复杂应用数据， NPNP 的表现就不令人满意。例如分片数的表现就不令人满意。例如分片数

据包的重组和加密的处理。据包的重组和加密的处理。

• 目前在网络数据厂商中，采用目前在网络数据厂商中，采用 NPNP 技术的数量非常有限。技术的数量非常有限。

基于基于 NPNP 加速技术防火墙的特点加速技术防火墙的特点

61



• CPU + ASIC + 133MCPU + ASIC + 133M总线总线 + 10/100/1000M+ 10/100/1000M 网络接口网络接口

• CPU + NPU + 133MCPU + NPU + 133M总线总线 + 10/100/1000M+ 10/100/1000M 网络接口网络接口

• CPU + NPU + ASIC + 133MCPU + NPU + ASIC + 133M 总线总线 + 10/100/1000M+ 10/100/1000M 网络接口网络接口

• nn个个 CPU + CPU + nn个个 NPU + NPU + nn个个 ASIC + ASIC + nn条总线条总线 + + nn个个 10/100/100010/100/1000 网络网络

接口接口

TopSEC TopSEC 防火墙硬件结构种类防火墙硬件结构种类

中低端中低端

中高端中高端

电信级产品电信级产品

1.1. 加密处理：采用加密处理：采用 ASIC ASIC 芯片芯片

2.2. 内容过滤：采用通用内容过滤：采用通用 CPU CPU

3.3. 网络报文处理：采用网络报文处理：采用 NPUNPU

62















提纲提纲

63


1.1. 包过滤与状态检测技术包过滤与状态检测技术

2.2. 代理技术代理技术

3.3. 核检测技术核检测技术

64

• 包过滤（ Packet filtering ）工作在 OSI 网络参考模型的网络层和传输层，它根据数据包头源地址、目的地址、端口号和协议类型等标志确定是否允许通过。只有满足过滤条件的数据包才被转发到相应的目的地，其余数据包则被从数据流中丢弃。

• 数据包过滤是通过在网络层检查数据包的 IP头和在传输层检查数据包的 TCP头或 UDP头的方式来实现的，主要信息有：– IP 源地址 – IP 目标地址– 协议（ TCP包、 UDP包和 ICMP包）– TCP或 UDP包的源端口– TCP或 UDP包的目标端口– ICMP消息类型– TCP包头中的 ACK 位– 数据包到达的端口– 数据包出去的端口

包过滤技术

65

• 过滤器的实现– 数据包过滤一般使用过滤路由器来实现，这种路由器与

普通的路由器有所不同。– 普通的路由器只检查数据包的目标地址，并选择一个达

到目的地址的最佳路径。它处理数据包是以目标地址为基础的，存在着两种可能性：若路由器可以找到一个路径到达目标地址则发送出去；若路由器不知道如何发送数据包则通知数据包的发送者“数据包不可达”。

– 过滤路由器会更加仔细地检查数据包，除了决定是否有到达目标地址的路径外，还要决定是否应该发送数据包。“应该与否”是由路由器的过滤策略决定并强行执行的。

包过滤技术

66

•包过滤模型包过滤技术

67

•包过滤技术分类–静态包过滤技术，也称为简单包过滤技术，是一种基于

路由器的技术，根据预先定义好的过滤规则审查每个数据包的报头信息，以便确定其是否与某一条包过滤规则匹配，从而决定是否应该转发该数据包。

–动态包过滤技术，也称为状态检测技术，是防火墙近几年才应用的新技术。传统的包过滤防火墙只是通过检测IP 包头的相关信息来决定数据流的通过还是拒绝，而状态检测技术采用的是一种基于连接的状态检测机制，将属于同一连接的所有包作为一个整体的数据流看待，构成连接状态表，通过规则表与状态表的共同配合，对表中的各个连接状态因素加以识别。这里动态连接状态表中的记录可以是以前的通信信息，也可以是其他相关应用程序的信息，因此，与传统包过滤防火墙的静态过滤规则表相比，它具有更好的灵活性和安全性。

包过滤技术

68

• 规则库是一组由拒绝或者允许规则组成的规则集。包过滤规则往往是在路由器上配置的，是防火墙实际执行的基本安全功能。

• 创建规则库的基本原则– 遵循“拒绝所有”安全策略。也就是说，防火墙或者包过滤器应该一开始就阻止所有类型的通信流量，然后有选择地开放需要的服务。

– 规则库应该阻止除了网络管理人员的任何其他人连接到防火墙。这是因为可以访问防火墙的任何人可以了解到内部网络的所有 IP地址信息，并可以访问内部网络。

– 规则库应该阻止任何来自外网的对位于包过滤器或者防火墙后的主机的访问。

– 规则库应该允许访问位于 DMZ 区的 Web等应用服务器，并且应该允许保护网内的用户访问外网。

包过滤规则

69

数据包过滤

• 通过 IP地址或 TCP端口进行包过滤– 例子：假定防火墙所在的主机 IP地址为 192.168.1.1， Email 服务器的 IP地址为 192.168.1.2，WEB 服务器的 IP地址为 192.168.1.3 ，以及 DNS服务器的 IP地址为 192.168.1.4 ， 192.168.1.0 代表内部网络

规则编号规则编号源地址源地址源端口源端口目的地址目的地址目标端口目标端口动作动作

11 192.168.1.1 AnyAny AnyAny AnyAny 拒绝拒绝22 AnyAny AnyAny 192.168.1.1 AnyAny 拒绝拒绝33 192.168.1.0 AnyAny AnyAny AnyAny 允许允许

44 192.168.1.0 AnyAny 192.168.1.4 5353 允许允许

55 AnyAny AnyAny 192.168.1.2 2525 允许允许66 192.168.1.0 AnyAny 192.168.1.2 110110 允许允许77 AnyAny AnyAny 192.168.1.3 8080 允许允许88 AnyAny AnyAny Any AnyAny 拒绝拒绝

70

– 规则 1 ：阻止防火墙本身发出任何网络连接– 规则 2 ：不仅阻止防火墙与其他任何主机的连接，同时也阻止了与

其自身的连接。一个试图控制这台防火墙的黑客可能打算建立这样的一个连接，这条规则将阻止它。

– 规则 3 ：允许内部用户访问外部计算机– 规则 4 ：允许内部用户访问 DNS 服务器– 规则 5 ：允许外部用户及内部用户使用 SMTP协议端口号 25 访问

Email 服务器– 规则 6 ：允许内部用户使用 POPS协议端口号 110 访问 Email 服务器– 规则 7 ：使外部及内部用户使用端口 80 访问 WEB 服务器– 规则 8 ：这条清除规则拒绝了没有被前述规则明确允许的其他任何传输。

包过滤规则

71

• 通过 SYN/ACK标识位过滤– TCP 包头中存在许多位字段，表示包的传输状态以及方式。在 IETF

RFC793 中，指定了 TCP报头中的 6 个控制位： URG （紧急指针字段位）， ACK （确认字段位）， PSH （本报文请求推进操作位）， RST （连接复位字段位）， SYN （序号同步字段位）和 FIN （发送方字节流结束字段位）。最常用的控制位是 SYN 以及 ACK 。

包过滤规则

72

– 拒绝服务攻击原理：一个正常的 TCP连接需要三次握手。首先客户端发送一个包含 SYN标志的数据包，其后服务器返回一个 SYN/ACK 的应答包，表示客户端的请求被接受，最后客户端再返回一个确认包 ACK ，这样才能完成 TCP连接。在服务器端发送应答包后，如果客户端不发出确认，服务器会等待到超时，其间这些半连接状态都保存在一个空间有限的缓存队列中，如果大量的 SYN 包发送到服务器端后没有应答，就会使服务器的 TCP资源迅速耗尽，导致正常的连接不能进入，甚至会导致服务器的系统崩溃。

包过滤规则

客户端服务器TCP三次握手我可以连接到你么？

序号 =x， SYN=1， ACK=0

序号 =y ，确认号 =x+1 ，当然可以

SYN=1， ACK=1

序号 =x+1 ，确认号 =y+1 ，

SYN=1， ACK=1

？ Zzz….

73

–三种 SYN/ACK 位过滤方式

• SYN 网关： SYN 网关防火墙收到客户端的 SYN 包时，直接转发给服务器，防火墙收到服务器的 SYN/ACK 包后，一方面将SYN/ACK 包转发给客户端，另一方面以客户端的名义给服务器回送一个 ACK 包，完成 TCP 的三次握手，让服务器端由半连接状态进入连接状态。当客户端真正的 ACK 包到达时，有数据则转发给服务器，否则丢弃该包。由于服务器能承受连接状态要比半连接状态高得多，所以能有效减轻 DoS 攻击

• 被动式 SYN 网关：被动式 SYN 网关设置防火墙的 SYN请求超时参数，让它远小于服务器的超时期限。防火墙负责转发客户端发往服务器的 ACK 包。这样，如果客户端在防火墙计时器到期时还没有发送 ACK 包，防火墙则往服务器发送 RST 包，以使服务器从队列中删除该半连接。由于防火墙的超时参数远小于服务器的超时期限，因此可以有效防止 DoS 攻击

• SYN 中继防火墙： SYN 中继防火墙在收到客户端的 SYN 包后，并不向服务器转发而是记录该状态信息然后主动给客户端回送SYN/ACK 包，如果收到客户端的 ACK 包，表明是正常访问，由防火墙向服务器发送 SYN 包并完成三次握手。这样由防火墙作为代理来实现客户端和服务器的连接。

包过滤规则

74

• 包过滤技术的缺点– 包过滤规则难于配置，一旦配置，数据包过滤规则也难

于检验；– 包过滤仅可以访问包头信息中的有限信息；– 简单包过滤是无状态的，因为包过滤不能保持与传输相

关的状态信息或应用相关的状态信息；– 包过滤对信息的处理能力非常有限；– 一些协议不适合数据包过滤，如基于 RPC 应用的“ r”命令。

包过滤技术的缺点

75

• 在状态检测机制里 , 信息包被截取后 , 防火墙从接收到的数据包中提取与安全策略相关的状态信息 , 将这些信息保存在一个动态状态表中 , 其目的是为了验证后续的连接请求。状态检测防火墙截取到数据包时 , 首先检查其是否属于状态表中某一有效连接 , 若是 , 则说明该包所属的数据流已通过安全规则检查 , 从而不需要再进行规则检查 , 而只需要检查其在数据流中的状态是否正确即可。只有当数据包不属于任何有效连接或状态不匹配时 , 才对其进行规则检查。这样 , 避开了复杂的安全规则检查 , 可极大地提高防火墙的整体效率。

• 状态表：状态包过滤器会维护一个名叫状态表的文件，它包含了所有当前连接纪录的信息。状态过滤器将仅允许已连接的，并且在状态表中有记录的来自外部主机的包穿过防火墙，进入内部网络。

状态检测技术介绍

76

• 先进的状态检测防火墙读取、分析和利用了全面的网络通信信息和状态，包括：– 通信信息：即所有 7 层协议的当前信息。防火墙的检测模块位于操

作系统的内核，在网络层之下，能在数据包到达网关操作系统之前对它们进行分析。防火墙先在低协议层上检查数据包是否满足企业的安全策略，对于满足的数据包，再从更高协议层上进行分析。它验证数据的源地址、目的地址和端口号、协议类型、应用信息等多层的标志，因此具有更全面的安全性。

– 通信状态：即以前的通信信息。对于简单的包过滤防火墙，如果要允许 FTP 通过，就必须作出让步而打开许多端口，这样就降低了安全性。状态检测防火墙在状态表中保存以前的通信信息，记录从受保护网络发出的数据包的状态信息，例如 FTP请求的服务器地址和端口、客户端地址和为满足此次 FTP临时打开的端口，然后，防火墙根据该表内容对返回受保护网络的数据包进行分析判断，这样，只有响应受保护网络请求的数据包才被放行。这里，对于 UDP 或者 RPC等无连接的协议，检测模块可创建虚会话信息用来进行跟踪。

状态检测技术介绍状态检测技术介绍

77

– 应用状态：即其他相关应用的信息。状态检测模块能够理解并学习各种协议和应用，以支持各种最新的应用，它比代理服务器支持的协议和应用要多得多；并且，它能从应用程序中收集状态信息存入状态表中，以供其他应用或协议做检测策略。例如，已经通过防火墙认证的用户可以通过防火墙访问其他授权的服务。

– 操作信息：即在数据包中能执行逻辑或数学运算的信息。状态监测技术，采用强大的面向对象的方法，基于通信信息、通信状态、应用状态等多方面因素，利用灵活的表达式形式，结合安全规则、应用识别知识、状态关联信息以及通信数据，构造更复杂的、更灵活的、满足用户特定安全要求的策略规则。


78

Passive Open ：本地用户的被动打开连接 rcv: 本地 TCP 在引发事件中收到 TCP 控制消息Active Open ：本地用户的主动打开连接 send: 本地 TCP 在结果动作中发出 TCP 控制消息CLOSE: 关闭连接请求 x:无动作create TCB: 本地 TCP创建了对应虚电路的协议控制块；create TCB: 本地 TCP撤消 TCP协议控制块并结束通信连接；Timeout=2MSL: 本地 TCP 等待超时 2MSL（ 2倍的最大段生存期）；

CLOSED

LISTEN

ESTAB

CLOSING

TIME WAIT CLOSED

FIN

WAIT_1

CLOSE

WAIT

LAST_ACK

SYS

SENT

SYS

REVD

passive OPEN

create TCB

FIN

WAIT_2

CLOSE

delete TCB

CLOSE

delete TCB

active OPEN

create TCB

send SYN

SEND

send SYN

rcv SYN

send SYN,ACKrcv SYN

send ACKrcv SYN,ACK

send ACK

rcv ACK of SYN

xCLOSE

send FIN CLOSEsend FIN rcv FIN

send ACK

CLOSE

send FIN

rcv FIN

send ACKrcv ACK of FIN

x

rcv FIN

send ACK

rcv ACK of FIN

x

rcv ACK of FIN

xTimeout=2MSL

delete TCB

TCP协议状态转换图

79

TCP连接是有状态的，连接进入不同的阶段具有不同的状态； TCP连接状态的转换要按一定的顺序进行，不可随意改变；

在 TCP连接中客户机与服务器的状态不相同，如客户机不能进入LISTEN状态，服务器不可能进入 SYN_SEND状态；

TCP 包中有 6 个标志位：FIN、 SYS、 RST、 PSH、 ACK、 URG ，其中一些不能同时存在，如 SYS 不能和 FIN、 RST、 PSH同时存在。

这些特征就是设置状态检测包过滤规则的基础。状态信息可以从数据包中的源地址、目的地址、协议类型、连接状态、超时时间以及其他信息（如 TCP/UDP协议的端口号， ICMP的 ID号等）中获得。

在检测中，一旦发现数据包的状态不符，就可以认为是状态异常包而加以拒绝。

80

被保护网络内部

客

户

服务器

客户代理

访问控制

代理服务器

代理服务请求请求转发

转发应答应答

• 代理技术的基本思想就是在两个网络之间设置一个“中间检查站”，两边的网络应用可以通过这个检查站相互通信，但是它们不能越过它直接通信。这个“中间检查站”就是代理服务器，它运行在两个网络之间，对网络之间的每一个请求进行检查。当代理服务器收到用户请求后，它先对该用户身份进行验证，检查用户的请求是否合法。如果合法，就把请求转发到真实的服务器上，并将答复再转发给客户。因此，代理既是服务器又是客户机，它在接受进入的请求时作为服务器，在转发请求时作为客户机。代理服务器对被截获的客户机和服务器之间的通信能进行访问控制。

• 代理技术可以在不同的网络层次上进行。主要的实现层次在应用层和传输层，分别称为应用级代理和电路级代理。它们的工作原理有所不同。

代理技术

81

应用级代理技术应用级代理技术

• 应用级代理技术– 内部网络通过代理访问外部网络

应用层网关上的代理服务事实上分为一个客户代理和一个服务器代理。以Telnet 代理服务为例。 Telnet 代理服务器执行内部网络向外部网络申请服务时起着中间转接的作用。其中 Telnetd 是一个 Telnet 的服务器守护进程，它侦听 Telnet连接。当一个连接到来之后，它首先要进行相应的身份认证，并根据安全策略来决定是否中转连接。当决定转发的时候，代理服务器上的 Telnet客户进程向真正的 Telnet 服务器发出请求， Telnet 服务器返回时的数据由代理服务器转发给 Telnet客户机。对外部网络来说，外部网所见到的只是代理服务器，它收到的请求都是从代理服务器来的；对内部网络来说，客户机所能直接访问的只是代理服务器，它的请求首先发给了代理服务器。

82

内部接口

外部接口

客户公共服务

时间

请求页URL检查

请求页返回页

返回页内容过滤

应用级代理的基本工作过程

应用级代理技术

83

应用级代理技术应用级代理技术– 外部网络通过代理访问内部网络

内部网只接受代理提出的服务请求，拒绝外部网络其他节点的直接请求。代理服务器接受外部网络节点提出的服务请求过程为：它先对该用户的身份进行验证，若为合法用户，则把该请求转发给真正的某个内部网络主机（真正的服务提供者），而且在整个服务过程中，应用代理一直监控着用户的操作，一旦发现用户非法操作，就可以进行干涉，并对每一个操作进行记录。若为不合法用户，则拒绝访问。

84

应用级代理没有通用的安全机制和安全规则描述，它们通用性差，对不同的应用具有很强的针对性和专用性。它们不但转发流量而且对应用层协议做出解释。如果不为特定的应用程序安装代理程序代码，该服务是不会被支持的，不能建立任何连接。这种方式可以拒绝任何没有明确配置的连接，从而提供了额外的安全性和控制性。

FTP代理

TELNET代理

HTTP代理

POP代理

SMTP代理

DNS代理

out

in in

out

in

out out

in in

out

in

out

…

外部客户

内部服务器

客户—代理连接

代理—服务器连接

外部

内部


85

应用级代理的一些功能：• 阻断路由与 URL

代理是通过侦听网络内部客户的服务请求，然后把这些请求发向外部网络。在这一过程中，代理要重新产生服务级请求。例如，一个 Web客户向外部发出一个请求时，这个请求会被代理服务器“拦截”，再由代理服务器向目标服务器发出一个请求。服务协议（如 HTTP ）才可以通过代理服务器，而 TCP/IP 和其他低级协议不能通过，必须由代理服务器重新产生。因此外部主机与内部机器之间并不存在直接连接，从而可以防止传输层因源路由、分段和不同的服务拒绝造成的攻击，确保没有建立代理服务的协议不会被发送的外部网络。

• 隐藏客户应用级代理既可以隐藏内部 IP地址，也可以给单个用户授权，即使攻击者盗用了一个合法的 IP地址，也通不过严格的身份认证。因此应用级代理比数据包过滤具有更高的安全性。但是这种认证使得应用网关不透明，用户每次连接都要受到认证，这给用户带来许多不便。这种代理技术需要为每个应用写专门的程序。


86

•安全监控代理服务是一种服务程序，它位于客户机与服务器之间 , 完全阻挡了二者间的数据交流。从客户机来看 , 代理服务器相当于一台真正的服务器；而从服务器来看 , 代理服务器又是一台真正的客户机。当客户机需要使用服务器上的数据时 ,首先将数据请求发给代理服务器 , 代理服务器再根据这一请求向服务器索取数据 ,然后再由代理服务器将数据传输给客户机。由于外部系统与内部服务器之间没有直接的数据通道 , 外部的恶意侵害也就很难伤害到企业内部网络系统。


87

电路级代理即通常意义的代理服务器，它适用于多个协议，但不能解释应用协议，需要通过其他方式来获得信息，只对数据包进行转发。电路级代理也称电路级网关，其工作原理如图所示。

传输层网络层

数据链路 /物理层

电路级网关

TCP端口 TCP端口

电路级网关依赖于 TCP连接，并且只用来在两个通信端点之间转接，进行简单的字节复制式的数据包转接。数据包处理是要在应用层进行。

电路级网关对外像一个代理，对内又像一个过滤器。这种特点使它可以为各种不同的协议提供服务。简单的电路级网关仅传输 TCP 的数据段，增强的电路级网关还具有认证作用。

电路级代理技术

88

SOCKS代理技术

SOCKS协议（套接字协议）是一个电路级网关协议。一个SOCKS 代理主要由两部分组成：

（ 1） SOCKS客户程序：经过修改的 Internet客户程序，改造的目的是使运行客户程序的主机从与 Internet 通信改为与运行 SOCKS 代理的主机通信。

（ 2） SOCKS服务程序：既可以 Internet 通信又可以和内部网络通信的程序。


89

SOCKS代理的工作过程如下：

对用户来说，受保护网与外部网的信息交换是透明的，感觉不到代理的存在，那是因为网络用户不需要登录到代理上。但是客户端的应用软件必须支持 “ Socketsified API” ，受保护网络用户访问公共网所使用的 IP地址也都是代理服务器的 IP地址。

1 ）当一个经过 SOCKS化的客户程序要连接到 Internet时， SOCKS就会截获这个这个连接，将之连接到运行SOCKS 服务器的主机上。

2 ）连接建立后， SOCKS客户程序发送如下信息：• 版本号• 连接请求命令• 客户端端口号• 发起连接的用户名

3 ）经过确认后， SOCKS 服务器才与外部的服务器建立连接。


90

• 代理使得网络管理员能够实现比包过滤路由器更严格的安全策略。应用层网关不用依赖包过滤工具来管理 Internet 服务在防火墙系统中进出，而是采用为每种所需服务安装代理服务的方式来管理 Internet 服务，应用层网关能够让网络管理员对服务进行全面的控制。

• 提供代理服务的可以是一台双宿网关，也可以是一台堡垒主机• 优点

– 应用层网关有能力支持可靠的用户认证并提供详细的注册信息– 用于应用层的过滤规则相对于包过滤路由器来说更容易配置和测试– 代理工作在客户机和真实服务器之间完全控制会话，所以可以提供

很详细的日志和安全审计功能– 提供代理服务的防火墙可以被配置成唯一的可被外部看见的主机，

这样可以隐藏内部网的 IP地址，可以保护内部主机免受外部主机的攻击

– 通过代理访问 Internet ，可以解决合法 IP地址不够用的问题，因为Internet 所见到的只是代理服务器的地址，内部不合法的 IP 通过代理可以访问 Internet

关于代理技术

91

•缺点– 有限的连接性。代理服务器一般具有解释应用层命令的

功能，那么这种代理服务器就只能用于一种服务– 有限的技术。应用层网关不能为 RPC 和其他一些基于通

用协议族的服务提供代理– 性能明显下降–每个应用程序都必须有一个代理程序来进行安全控制，每一种应用升级时，代理服务程序也要升级

关于代理技术

92

• 基本原理– 来自网络的数据包经底层网络设备到达本地主机后，在

操作系统内核进行了高层应用协议的还原。在会话检测方面，当客户端发起一个访问请求提交给防火墙以后，防火墙可以模拟成服务器端在必要的时候利用内核对高层协议进行还原，并与预先制定的安全策略进行匹配，如果符合就将数据重新封包转发给服务器，同样对于服务器返回的数据信息也是经过上述过程转发给客户端。应用核检测技术的防火墙在操作系统内核模拟出典型的应用层协议，在内核实现了对应用层协议的过滤。

核检测技术

93

核检测防火墙设计结构

路由模块透明模块

规则检查

还原模块

FTP 还原 HTTP 还原 SMTP 还原 POP3 还原 ……

日志守护进程病毒守护进程

应用层日志病毒应用层过滤

Kernel

Application

……

001010101010101111001010100111101010101011

连接表连接表

在操作系统内核完成应用在操作系统内核完成应用协议的还原，极大的提高协议的还原，极大的提高了系统的整体性能了系统的整体性能

94

基于内核的基于内核的会话检测会话检测技术技术

www.sina.com.cnwww.sina.com.cnClintClint

192.168.6.169192.168.6.169 192.168.6.170192.168.6.170

•010101001010101001

•010000111010000111

•110000010110000010

•010101001010101001

•010010010010010010

•110010010110010010

协议还原模块协议还原模块协议还原模块协议还原模块

输入队列输入队列输入队列输入队列

底层驱动底层驱动

•010101001010101001

•010000111010000111

•110000010110000010

•010101001010101001

•010010010010010010

•110010010110010010

符合安全策略？符合安全策略？符合安全策略？符合安全策略？

防火墙逻辑图防火墙逻辑图

010100101001010010010100101001010010

010100101001010010 010100101001010010

010100101001010010010100101001010010010100101001010010 010100101001010010

0101

0001

0100

0101

0101

0101

发起请求发起请求响应请求响应请求

虚拟客户虚拟客户端端

虚拟服虚拟服务器端务器端

在操作系统内核模拟出典型的应用在操作系统内核模拟出典型的应用层协议，在内核实现对应用层协议层协议，在内核实现对应用层协议的过滤，从而得到极高的性能的过滤，从而得到极高的性能

95

• 优点– 与传统防火墙的核心技术相比核检测技术的优点在于：对于应用传

统技术的防火墙，每当接收到数据包将其传给系统核心，系统核心再将其传递给应用层的防火墙程序进行检查和还原，如果符合安全策略，则将数据又转发给系统核心，由系统核心再将其转发出去。在这个过程中，要在系统核心和应用层之间进行频繁的数据拷贝和进程切换，耽误了时间，如果此时存在大量的并发连接（会话），也会生成很多进程，这样就会消耗掉宝贵的系统资源，极大影响了防火墙的性能。而对于核检测技术防火墙接收到数据包以后，由操作系统核心的还原模块和高层的过滤模块对数据进行处理，完毕后再由系统核心对其进行转发。这样就省下了频繁的数据拷贝与进程切换的时间，尤其在存在大量并发连接的情况下也不会产生大量进程，与传统技术相比极大提高了系统性能。

核检测技术

96

101001010101001010

111000010111000010

101000011101000011

101001010101001010

111000010111000010

101000011101000011

110100000001110100000001

100000001111100000001111

10010010001001000010011111001001000100100001001111 1000110100100100100100110001101001001001001001

001100 00

1100

1. 进行规则匹配、应用层过滤

2. 频繁在系统核心和应用层之间切换

3. 消耗掉大量的系统资源

4. 生成大量的进程

5. 影响防火墙的性能

应应用用层层

系系统统核核心心

101001010101001010

111000010111000010

101000011101000011

101001010101001010

111000010111000010

101000011101000011

10010001001000010011111001000100100001001111 1000110100100100100100110001101001001001001001

001100 00

1100

1. 直接在系统核心进行应用层过滤

2. 不需要频繁在系统核心和应用层之间切换

3. 在大量并发情况下不会生成大量进程，有效的保护系统资源

4. 大大提高会话检测的效率

应应用用层层

系系统统核核心心

基于内核基于内核的会话检测技术的会话检测技术

97

几种常见防火墙技术对比比较几种常见防火墙技术对比比较

98

应用层

表示层

会话层

传输层

网络层

链路层

物理层

应用层

表示层

会话层

传输层

网络层

链路层

物理层

网络层

链路层

物理层

优点：• 速度快，性能高• 对应用程序透明

•缺点：• 安全性低• 不能根据状态信息进行控制• 不能处理网络层以上的信息• 伸缩性差• 维护不直观

简单包过滤技术介绍简单包过滤技术介绍

99

应用层应用层

TCP TCP 层层

IP IP 层层

网络接口层网络接口层

TCPTCP 101010101101010101IPIP

101010101101010101TCPTCP

TCPTCP 101010101101010101IPIPETHETH

101010101101010101

TCPTCP 101010101101010101IPIP

应用层应用层

TCP TCP 层层

IP IP 层层


TCPTCP 101010101101010101IPIP

101010101101010101TCPTCP


101010101101010101

只检查报头只检查报头

101001001001010010000011100111101111011010010010010100100000111001111011110111

001001001010010000011100111101111011001001001010010000011100111101111011

简单包过滤简单包过滤防火墙的工作原理防火墙的工作原理

1.1. 简单包过滤防火墙不检查简单包过滤防火墙不检查数据区数据区

2.2. 简单包过滤防火墙不建立简单包过滤防火墙不建立连接状态表连接状态表

3.3. 前后报文无关前后报文无关

4.4. 应用层控制很弱应用层控制很弱

100

应用层

表示层

会话层

传输层

网络层

链路层

物理层

应用层

表示层

会话层

传输层

网络层

链路层

物理层


应用层

表示层

会话层

传输层

网络层

链路层

物理层

• 安全性高– 能够检测所有进入防火墙网关的数据包– 根据通信和应用程序状态确定是否允许包的通行

• 性能高– 在数据包进入防火墙时就进行识别和判断

• 伸缩性好– 可以识别不同的数据包– 已经支持 160 多种应用，包括 Internet 应用、数据库应用、多媒体应用等– 用户可方便添加新应用

• 对用户、应用程序透明

抽取各层的状态信息建立动态状态表

101

应用层应用层

TCP TCP 层层

IP IP 层层


TCPTCP 101010101101010101IPIP

101010101101010101TCPTCP


101010101101010101

TCPTCP 101010101101010101IPIP

应用层应用层

TCP TCP 层层

IP IP 层层


TCPTCP 101010101101010101IPIP

101010101101010101TCPTCP


101010101101010101

只检查报头只检查报头

101001001001010010000011100111101111011010010010010100100000111001111011110111

001001001010010000011100111101111011001001001010010000011100111101111011

状态检测包过滤状态检测包过滤防火墙的工作原理防火墙的工作原理

1.1. 不检查数据区不检查数据区

2.2. 建立连接状态表建立连接状态表

3.3. 前后报文相关前后报文相关

4.4. 应用层控制很弱应用层控制很弱

建立连接状态表建立连接状态表

102

应用层

表示层

会话层

传输层

网络层

链路层

物理层

应用层

表示层

会话层

传输层

网络层

链路层

物理层

应用代理技术介绍应用代理技术介绍

应用层

表示层

会话层

传输层

网络层

链路层

物理层

优点：• 安全性高• 提供应用层的安全

缺点：• 性能差• 伸缩性差• 只支持有限的应用• 不透明

FTP HTTP SMTP

103

应用层应用层

TCP TCP 层层

IP IP 层层


TCPTCP 101010101101010101IPIP

101010101101010101TCPTCP


101010101101010101

TCPTCP 101010101101010101IPIP

应用层应用层

TCP TCP 层层

IP IP 层层


TCPTCP 101010101101010101IPIP

101010101101010101TCPTCP


101010101101010101

只检查数据只检查数据

101001001001010010000011100111101111011010010010010100100000111001111011110111

001001001010010000011100111101111011001001001010010000011100111101111011

应用代理应用代理防火墙的工作原理防火墙的工作原理

1.1. 不检查不检查 IPIP、、 TCPTCP 报头报头

2.2. 不建立连接状态表不建立连接状态表

3.3. 网络层保护比较弱网络层保护比较弱

104

应用层应用层

TCP TCP 层层

IP IP 层层


TCPTCP 开始攻击开始攻击IPIP

开始攻击开始攻击TCPTCP

TCPTCP 开始攻击开始攻击IPIPETHETH

开始攻击主服务器硬盘数据开始攻击主服务器硬盘数据


应用层应用层

TCP TCP 层层

IP IP 层层



开始攻击开始攻击TCPTCP

TCPTCP 开始攻击开始攻击IPIPETHETH

开始攻击主服务器硬盘数据开始攻击主服务器硬盘数据

检查多个报文组成的会话检查多个报文组成的会话

101001001001010010000011100111101111011010010010010100100000111001111011110111

001001001010010000011100111101111011001001001010010000011100111101111011

核检测核检测防火墙的工作原理防火墙的工作原理

建立连接状态表建立连接状态表

TCPTCP 主服务器主服务器IPIP

TCPTCP 硬盘数据硬盘数据IPIP

开始攻击开始攻击

重写会话重写会话

主服务器主服务器硬盘数据硬盘数据

报文报文 11

报文报文 22

报文报文 33

1.1. 网络层保护强网络层保护强

2.2. 应用层保护戗应用层保护戗

3.3. 会话保护很强会话保护很强

4.4. 上下文相关上下文相关

5.5. 前后报文有联系前后报文有联系

105

防火墙核心技术比较防火墙核心技术比较

综合安全性综合安全性网络层保护网络层保护应用层保护应用层保护应用层透明应用层透明整体性能整体性能处理对象处理对象

简单包过滤防火墙简单包过滤防火墙

状态检测包过滤防火墙状态检测包过滤防火墙

应用代理防火墙应用代理防火墙

核检测防火墙核检测防火墙

单个包报头单个包报头

单个包报头单个包报头

单个包数据单个包数据

一次会话一次会话

1001001001TCPIP

1001001001TCPIP

106

• 网络地址转换 (Network Address Translation， NAT)就是使用使用两套 IP地址——内部 IP 地址（也称私有 IP地址）和外部 IP 地址（也称公共 IP地址）。当受受保护的内部网连接到 Internet并且有用户要访问 Internet时，它首先使用自己网络的内部 IP地址，到了 NAT后， NAT就会从公共IP地址集中选一个未分配的地址分配给该用户，该用户即可使用这个合法的 IP地址进行通信。同时，对于内部的某些服务器如Web 服务器，网络地址转换器允许为其分配一个固定的合法地址。外部网络的用户就可通过 NAT 来访问内部的服务器。这种技术既缓解了少量的 IP地址和大量的主机之间的矛盾——被保护网络中的主机不必拥有固定的IP地址；又对外隐藏了内部主机的 IP地址，提高了安全性。

网络地址转换网络地址转换

107

NAT 的工作过程如图所示。

NAT源地址

234.56.7.8

目的地址abc.com.cn

源地址abc.com.cn

目的地址234.56.7.8

源地址123.456.111.3

目的地址abc.com.cn

源地址abc.com.cn

目的地址123.456.111.3

Internet被保护内部网

源 IP 包目的 IP 包

在内部网络通过安全网卡访问外部网络时，将产生一个映射记录。系统将外出的源地址和源端口映射为一个伪装的地址和端口，让这个伪装的地址和端口通过非安全网卡与外部网络连接，这样对外就隐藏了真实的内部网络地址。在外部网络通过非安全网卡访问内部网络时，它并不知道内部网络的连接情况，而只是通过一个开放的 IP地址和端口来请求访问。 NAT 据预先定义好的映射规则来判断这个访问是否安全：当符合规则时，防火墙认为访问是安全的，可以接受访问请求，也可以将连接请求映射到不同的内部计算机中；当不符合规则时，被认为该访问是不安全的，不能被接受，外部的连接请求即被屏蔽。网络地址转换的过程对于用户来说是透明的，不需要用户进行设置，用户只要进行常规操作即可。

NATNAT 的工作过程的工作过程

108

InternetInternet

WWW服务器192.168.0.1

EMAIL服务器192.168.0.3

FTP服务器192.168.0.2

202.106.0.249

NAT目的

110192.168.0.3110202.106.0.249

25192.168.0.325202.106.0.249

21192.168.0.221202.106.0.249

80192.168.0.180202.106.0.249

目的端口

目的IP目的端口

目的IP

目的NAT转换后目的NAT转换前

110192.168.0.3110202.106.0.249

25192.168.0.325202.106.0.249

21192.168.0.221202.106.0.249

80192.168.0.180202.106.0.249

目的端口

目的IP目的端口

目的IP

目的NAT转换后目的NAT转换前

109

NAT 使内部网络的计算机不可能直接访问外部网络：通过包过滤分析，当所有传入的包如果没有专门指定配置到NAT ，就将之丢弃。同时使所有内部的 IP地址对外部是隐蔽的。因此，网络之外没有谁可以通过指定 IP地址的方式直接对网络内的任何一台特定的计算机发起攻击。 NAT还可以使多个内部主机共享数量有限的 IP地址，还可以启用基本的包过滤安全机制。

NAT虽然可以保障内部网络的安全，但也是一些局限。例如，内网用户可以利用某些木马程序通过 NAT 做外部连接。

使用使用 NATNAT 的优缺点的优缺点

110















提纲提纲

111

防火墙安全保障级别防火墙安全保障级别

市场需求市场需求

军队军队

金融金融

证券证券

政府政府

企业企业

EAL2 EAL2 级级

EAL3 EAL3 级级

EAL4 EAL4 级级

EAL5 EAL5 级级EAL6 EAL6 级级

EAL7 EAL7 级级

EAL1 EAL1 级级

不同品牌，不同类型的不同品牌，不同类型的防火墙，谁更安全？防火墙，谁更安全？

不同行业，对防火墙的不同行业，对防火墙的安全性要求也不一样？安全性要求也不一样？

如何来评价防火墙的安全保证级别？如何来评价防火墙的安全保证级别？

《《 CCCC》》对防火墙的安全保证分为七级！对防火墙的安全保证分为七级！

112

防火墙七个安全认证级别防火墙七个安全认证级别

EAL1 级

EAL7 级

EAL2 级

EAL3 级

EAL4 级

EAL5 级

EAL6 级

功能测试功能测试

结构测试结构测试

方法测试和检查方法测试和检查

方法设计、测试和检查方法设计、测试和检查

半形式设计和测试半形式设计和测试

半形式验证设计和测试半形式验证设计和测试

形式验证设计和测试形式验证设计和测试

防火墙防火墙安全级别安全级别

113









防火墙的“胖”与“瘦”防火墙的“胖”与“瘦”







提纲提纲

114

Host C Host D

访问控制功能访问控制功能

Access list 192.168.1.3 to 202.2.33.2

Access nat 192.168.3.0 to any pass

Access 202.1.2.3 to 192.168.1.3 block

Access default pass

1010010101

规则匹配成功

基于源 IP地址基于目的 IP地址基于源端口基于目的端口基于时间基于用户基于流量基于文件基于网址基于 MAC地址

115

Internet Internet RADIUSRADIUS 服务器服务器

S/KEY S/KEY 认证服务器认证服务器

RADIUSRADIUS 服务器服务器

TACAS+ TACAS+ 服务器服务器

chenaifeng

12354876

防火墙将认证信防火墙将认证信息传给真正的息传给真正的RADIUSRADIUS服务器服务器

将认证结果将认证结果传给防火墙传给防火墙

根据认证结果决定用根据认证结果决定用户对资源的访问权限户对资源的访问权限

身份认证功能身份认证功能

116

审计功能审计功能 -------- 日志分析日志分析

1. 无日志

2. 通信日志：即传统日志通信源地址、目的地址、源目端口、通信时间、通信协议、字节数、是否允许通过

3. 应用层命令日志：在通信日志的基础之上，记录下各个应用层命令及其参数。例如 HTTP请求及其要取

的网页名。

4. 访问日志：即在通信日志的基础之上，记录下用户对网络资源的访问。它和应用层命令日志的区

别是：应用层命令日志可以记录下大量的数据，有些用户可能不需要，如协商通信参数过程等。例如针对 FTP协议，访问日志只记录下读、写文件的动作

5. 内容日志：1. 即在应用层命令日志的基础之上，还记录下用户传输的内容。如用户发送的邮件，用

户取下的网页等。但因为这个功能涉及到隐私问题，所以在普通的防火墙中没有包含

2. Firewall 5G 对所有的应用层协议都可以进行通信日志，而命令日志、访问日志、内容日志目前支持 HTTP、 FTP、 SMTP、 POP3、 TELNET、 RSH、 RLOGIN

等协议

6. 日志分析工具1. 自动产生各种报表，智能化的指出网络可能的安全漏洞

117


http://www.sina.com.cnhttp://www.sina.com.cn

响应请求响应请求

发送请求发送请求

通信日志通信日志通信日志通信日志

通信信息通信信息

192.168.6.169192.168.6.169192.168.6.170192.168.6.170

初步审计初步审计 -------- 通信日志通信日志

118





命令日志命令日志命令日志命令日志192.168.6.169192.168.6.169

192.168.6.170192.168.6.170

深度审计深度审计 1----1---- 应用层命令日应用层命令日志志

命令信息命令信息

119





访问日志访问日志访问日志访问日志192.168.6.169192.168.6.169

192.168.6.170192.168.6.170

深度审计深度审计 2-----2----- 访问日志访问日志

访问信息访问信息

120





内容日志内容日志内容日志内容日志192.168.6.169192.168.6.169192.168.6.170192.168.6.170

深度审计深度审计 3-----3----- 内容日志内容日志

内容信息内容信息

121

支持集中审计支持集中审计

安全审计中心安全审计中心

10101011010101

Intranet

122

灵活的带宽管理功能灵活的带宽管理功能

WWW WWW MailMail DNS DNS

出口带宽出口带宽 512512KK

DMZ DMZ 区保留区保留 256256KK

分配分配 7070K K 带宽带宽分配分配 9090K K 带宽带宽

分配分配 9696K K 带宽带宽

DMZ DMZ 区域区域

内部网络内部网络

总带宽总带宽 512 512 KK

内网内网 256 256 KK DMZ 256 KDMZ 256 K

70 70 KK 90 90 KK 96 96 KK

++

++ ++财务子网财务子网采购子网采购子网生产子网生产子网

财务子网财务子网

采购子网采购子网

生产子网生产子网

Internet Internet

123

WWW 1WWW 1 WWW 2WWW 2 WWW 3WWW 3

服务器负载均衡功能服务器负载均衡功能

负载均衡算法：负载均衡算法：

顺序选择地址顺序选择地址 ++ 权值权值

根据根据 PINGPING 的时间间隔来选择地址的时间间隔来选择地址 ++ 权值权值

根据根据 ConnectConnect 的时间间隔来选择地址的时间间隔来选择地址 ++ 权值权值

根据根据 ConnectConnect 然后发送请求并得到应答的时间间隔然后发送请求并得到应答的时间间隔来选择地址来选择地址 ++ 权值权值


根据负载均衡算法根据负载均衡算法将数据重定位到一将数据重定位到一台台WWWWWW服务器服务器

服务器阵列服务器阵列


124

受保护网络

Internet

IDS

黑客黑客

发送通知报文

验证报文并

采取措施

发送响应报文

识别出攻击行为

阻断连接或者报警等

联动功能联动功能 1----- 1----- 与与 IDS IDS 的安全联的安全联动动

能与国内能与国内 3030 多家主流多家主流 IDSIDS 产品进行无缝联产品进行无缝联动动

125

联动功能联动功能 2-----2----- 与病毒网关的安全联与病毒网关的安全联动动

InternetInternet

110010101110010101

病毒服务器病毒服务器

100010101100010101

000010101000010101

待发数据待发数据110010101110010101100010101100010101000010101000010101

110010101110010101100010101100010101000010101000010101

passpasspasspass

无病毒转发最后一个无病毒转发最后一个报文，如带有病毒则报文，如带有病毒则丢弃最后一个报文丢弃最后一个报文

协议还原检查病毒协议还原检查病毒

没有发现病毒可以没有发现病毒可以放过最后一个报文放过最后一个报文

接收数据接收数据

接收数据接收数据

126


InternetInternet

http://www.sina.com.cnhttp://www.sina.com.cnURL URL 服务器服务器

可以访问可以访问 http://www.sina.com.cn 吗？吗？

Ok!Ok!

联动功能联动功能 3-----3-----与与 URLURL 服务器的安全联动服务器的安全联动

127

Internet

Host A

199.168.1.2

Host B

199.168.1.3

Host C

199.168.1.4Host D199.168.1.5

00-50-04-BB-71-A6 00-50-04-BB-71-BC

BIND 199.168.1.2 To 00-50-04-BB-71-A6

BIND 199.168.1.4 To 00-50-04-BB-71-BC

IP与MAC地址绑定后，不允许Host B假冒 Host A的 IP地址上

网防火墙允许 Host A 上网

跨路由器

IPIP与与 MACMAC （（用户）绑定功用户）绑定功能能

128

Internet

公开服务器可以使用私有地址隐藏内部网络的结构

WWW

199.168.1.2

FTP

199.168.1.3

MAIL

199.168.1.4DNS

199.168.1.5

199.168.1.6

12.4.1.5

202.102.1.3

MAP 199.168.1.2： 80 TO 202.102.1.3： 80MAP 199.168.1.3： 21 TO 202.102.1.3： 21

MAP 199.168.1.4： 53 TO 202.102.1.3： 53

MAP 199.168.1.5： 25 TO 202.102.1.3： 25 http://199.168.1.2http://202.102.1.3

MAP (MAP ( 端口映射端口映射 )) 功能功能

129

InternetInternet

202.102.93.54Host A

受保护网络

Host C Host D

192.168.1.21 192.168.1.25

防火墙Eth2：192.168.1.23

Eth0：101.211.23.1

数据IP报头

数据IP报头

源地址： 192.168.1.21

目地址： 202.102.93.54

源地址： 101.211.23.1

目地址： 202.102.93.54

101.211.23.2

隐藏了内部网络的结构隐藏了内部网络的结构内部网络可以使用私有内部网络可以使用私有 IPIP 地址地址公开地址不足的网络可以使用这种方式提供公开地址不足的网络可以使用这种方式提供 IPIP复用功能复用功能

NAT (NAT ( 地址转换地址转换 )) 功能功能

130
















提纲提纲

131

常见防火墙性能指标常见防火墙性能指标

1.1. 最大位转发率最大位转发率

2.2. 吞吐量吞吐量

3.3. 延时延时

4.4. 丢包率丢包率

5.5. 背靠背背靠背

6.6. 最大并发连接数最大并发连接数

7.7. 最大并发连接建立速率最大并发连接建立速率

8.8. 最大策略数最大策略数

9.9. 平均无故障间隔时间平均无故障间隔时间

10.10. 支持的最大用户数支持的最大用户数

132

最大位转发率最大位转发率

1.1. 定义：定义：防火墙的位转发率指在特定负载下每秒钟防火墙将允许的数据流转发至正确的目的接口的位数防火墙的位转发率指在特定负载下每秒钟防火墙将允许的数据流转发至正确的目的接口的位数。。

2.2. 最大位转发率指在不同的负载下反复测量得出的位转发率数值中的最大值最大位转发率指在不同的负载下反复测量得出的位转发率数值中的最大值

100100100100100010101

Smartbits 6000B Smartbits 6000B 测试仪测试仪

101100101000011111001010010001001000101100101000011111001010010001001000

在特定负载下在特定负载下防火墙正确转发的数据流位数防火墙正确转发的数据流位数

单位：f p s

帧长平均吞吐率（%）

64 42.84

128 70.31

256 98.92

512 99.61

1024 99.77

1280 99.77

1518 99.61

备注：将测试结果乘以帧长就是位转发率

133

吞吐量吞吐量

1.1. 定义：在不丢包的情况下能够达到的最大包转发速率。定义：在不丢包的情况下能够达到的最大包转发速率。

2.2. 衡量标准：衡量标准：吞吐量越大，说明防火墙数据处理能力越强；吞吐量越大，说明防火墙数据处理能力越强；吞吐量小就会造成网络新的吞吐量小就会造成网络新的瓶颈，以至影响到整个网络的性能瓶颈，以至影响到整个网络的性能

3.3. 吞吐量是防火墙在各种帧长的满负载（吞吐量是防火墙在各种帧长的满负载（ 100M100M或或 1000M1000M ）双向（）双向（ Bidirectional TrafficBidirectional Traffic

）） UDPUDP 数据包情况下的稳定性表现，是其它指标的基础。数据包情况下的稳定性表现，是其它指标的基础。

4.4. 以太网吞吐量最大理论值称为线速，即指网络设备有足够的能力以全速处理最小的数以太网吞吐量最大理论值称为线速，即指网络设备有足够的能力以全速处理最小的数据封包转发。据封包转发。

~;%#@*$^&*&^#**(&


101100101000011111001010010001001000101100101000011111001010010001001000

以最大速率发包以最大速率发包直到出现丢包时的最大值直到出现丢包时的最大值

防火墙吞吐量小就会成为网络的瓶颈防火墙吞吐量小就会成为网络的瓶颈

100100MM 6060MM

134

吞吐量测试结果吞吐量测试结果

135

数据包首先排队待数据包首先排队待

防火墙检查后转发防火墙检查后转发

延时延时

1.1. 定义：定义：延迟通常是指从测试数据帧的最后一个比特进入被测设备端口开始，至测试数据包的第一延迟通常是指从测试数据帧的最后一个比特进入被测设备端口开始，至测试数据包的第一个比特从被测设备另一端口离开的时间间隔。个比特从被测设备另一端口离开的时间间隔。

2.2. 衡量标准：衡量标准：现在网络的应用种类非常复杂，许多应用对延迟非常敏感现在网络的应用种类非常复杂，许多应用对延迟非常敏感 ((例如：音频，视频等例如：音频，视频等 )) ，，而网络中加入防火墙必然会增加传输延迟，所以较低的延迟对防火墙来说也是不可或缺的。而网络中加入防火墙必然会增加传输延迟，所以较低的延迟对防火墙来说也是不可或缺的。

1010100100100100101010101001001001001010


101100101000011111001010010001001000101100101000011111001010010001001000

最后最后 11 个比特到达个比特到达第一个比特输出第一个比特输出

时间间隔时间间隔

10101010100110011100110011101110

10101010100110011100110011101110

10100100101001000101000101010010010100100010100010 101010100100100100100100011010101001001001001001000100

造成数据包延造成数据包延迟到达目标地迟到达目标地

136

延时测试结果延时测试结果

137

丢包率丢包率

1.1. 定义：定义：在连续负载的情况下，防火墙设备由于资源不足应转发但却未转发的帧百分比在连续负载的情况下，防火墙设备由于资源不足应转发但却未转发的帧百分比

2.2. 衡量标准：衡量标准：是用来确定防火墙在不同传输速率下丢失数据包的百分数，目的在于测试是用来确定防火墙在不同传输速率下丢失数据包的百分数，目的在于测试防火墙在超负载情况下的性能防火墙在超负载情况下的性能

3.3. 较低的丟包率，意味着防火墙在强大的负载压力下，能够稳定地工作，以适应各种网较低的丟包率，意味着防火墙在强大的负载压力下，能够稳定地工作，以适应各种网络的复杂应用和较大数据流量对处理性能的高要求。络的复杂应用和较大数据流量对处理性能的高要求。


发送了发送了 10001000 个包个包防火墙由于资源不足只转发了防火墙由于资源不足只转发了 800800 个包个包

丢包率丢包率 == （（ 1000-8001000-800 ）） /1000=20%/1000=20%

1001010100101001000100100100101010010100100010010011

1001010100101001000100100100101010010100100010010011

138

丢包率测试结果丢包率测试结果

139

背靠背背靠背

1.1. 定义：定义：从空闲状态开始，以达到传输介质最小合法间隔极限的传输速率发送相当数量的固定长度从空闲状态开始，以达到传输介质最小合法间隔极限的传输速率发送相当数量的固定长度的帧，当出现第一个帧丢失时，发送的帧数。即以最小帧间隔发送最多数据包而不引起丢包时的的帧，当出现第一个帧丢失时，发送的帧数。即以最小帧间隔发送最多数据包而不引起丢包时的数据包数量数据包数量

2.2. 衡量标准：衡量标准：背对背包的测试结果能体现出被测防火墙的缓冲容量背对背包的测试结果能体现出被测防火墙的缓冲容量 ,,网络上经常有一些应用会产生网络上经常有一些应用会产生大量的突发数据包（例如：大量的突发数据包（例如： NFS,NFS, 备份，路由更新等），而且这样的数据包的丢失可能会产生更备份，路由更新等），而且这样的数据包的丢失可能会产生更多的数据包，强大缓冲能力可以减小这种突发对网络造成的影响多的数据包，强大缓冲能力可以减小这种突发对网络造成的影响


时间（时间（ tt））

包数量包数量（（ nn））

少量包少量包包增多包增多

峰值峰值

包减少包减少没有数据没有数据

背靠背指标体现防火墙背靠背指标体现防火墙对突发数据的处理能力对突发数据的处理能力

140

背靠背测试结果背靠背测试结果

141

并发连接数并发连接数

1.1. 定义：定义：指穿越防火墙的主机之间或主机与防火墙之间能同时建立的最大连接数指穿越防火墙的主机之间或主机与防火墙之间能同时建立的最大连接数。。

2.2. 衡量标准：衡量标准：并发连接数的测试主要用来测试被测防火墙建立和维持并发连接数的测试主要用来测试被测防火墙建立和维持 TCPTCP 连接的性能，同时也连接的性能，同时也能通过并发连接数的大小体现被测防火墙对来自于客户端的能通过并发连接数的大小体现被测防火墙对来自于客户端的 TCPTCP 连接请求的响应能力连接请求的响应能力

3.3. 理解细化：是防火墙能够同时处理的点对点会话连接的最大数目，它反映防火墙对多个连接的理解细化：是防火墙能够同时处理的点对点会话连接的最大数目，它反映防火墙对多个连接的访问控制能力和连接状态跟踪能力。这个参数的大小可以直接影响到防火墙所能支持的最大信访问控制能力和连接状态跟踪能力。这个参数的大小可以直接影响到防火墙所能支持的最大信息点数息点数

并发连接数指标可以用来衡量穿越防火并发连接数指标可以用来衡量穿越防火墙的主机之间能同时建立的最大连接数墙的主机之间能同时建立的最大连接数

并发连接并发连接并发连接并发连接

142

最大并发连接数建立速率最大并发连接数建立速率

1.1. 定义：定义：指穿越防火墙的主机之间或主机与防火墙之间单位时间内建立的最大连接数指穿越防火墙的主机之间或主机与防火墙之间单位时间内建立的最大连接数。。

2.2. 衡量标准：衡量标准：最大并发连接数建立速率主要用来衡量防火墙单位时间内建立和维持最大并发连接数建立速率主要用来衡量防火墙单位时间内建立和维持 TCPTCP 连接的能连接的能力力

3.3. 测试防火墙每秒所能建立起的测试防火墙每秒所能建立起的 TCP/HTTPTCP/HTTP 连接数及防火墙所能保持的最大连接数及防火墙所能保持的最大 TCP/HTTPTCP/HTTP 连接数连接数

并发连接并发连接并发连接并发连接

单位时间内增加的并发连接数

143
















提纲提纲

144

Intranet

DOS/DDOSDOS/DDOS 攻击攻击

遭受拒绝服务攻击

产生的后果：产生的后果：服务器计算资源被耗尽服务器计算资源被耗尽网络带宽资源被耗尽网络带宽资源被耗尽

防火墙如何在抗防火墙如何在抗 DOS/DDOSDOS/DDOS 攻击中发挥作用？攻击中发挥作用？

145

抗抗 DOS/DDOSDOS/DDOS攻击攻击 -----SYN-----SYN代理代理

Syn-CookieSyn-Cookie （主机）（主机） /Syn-Gate/Syn-Gate （网关）（网关）

在服务器和外部网络之间部署代理服务器在服务器和外部网络之间部署代理服务器

通过代理服务器发送通过代理服务器发送 Syn/AckSyn/Ack 报文，在收到客户端的报文，在收到客户端的 SynSyn包后，防火墙代替服务器向客户端发包后，防火墙代替服务器向客户端发送送 Syn/AckSyn/Ack 包，如果客户端在一段时间内没有应答或中间的网络设备发回了包，如果客户端在一段时间内没有应答或中间的网络设备发回了 ICMPICMP错误消息，错误消息，防火墙则丢弃此状态信息防火墙则丢弃此状态信息

如果客户端的如果客户端的 AckAck 到达，防火墙代替客户端向服务器发送到达，防火墙代替客户端向服务器发送 SynSyn包，并完成后续的握手最终建立包，并完成后续的握手最终建立客户端到服务器的连接。客户端到服务器的连接。

通过这种通过这种 Syn-CookieSyn-Cookie 技术，保证每个技术，保证每个 SynSyn包源的真实有效性，确保服务器不被虚假请求浪费资包源的真实有效性，确保服务器不被虚假请求浪费资源，从而彻底防范对服务器的源，从而彻底防范对服务器的 Syn-FloodSyn-Flood 攻击。攻击。

SYNSYN

SYN/ACKSYN/ACK

ACKACK

SYNSYN

SYN/ACKSYN/ACK

ACKACK

SYNSYN

SYN/ACKSYN/ACK

ACKACK

ClientClient Server Server

146

抗抗 DOS/DDOSDOS/DDOS攻击攻击 -----Random Drop-----Random Drop 算算法法

Random DropRandom Drop 算法算法

当流量达到一定的数量限度时，所采取的一种通过降低性能，保证服务的不得已的方法。当流量达到一定的数量限度时，所采取的一种通过降低性能，保证服务的不得已的方法。

具体过程是：当流量达到一定的阀值的时候，开始按照一定的算法丢弃后续的报文，保持主机的具体过程是：当流量达到一定的阀值的时候，开始按照一定的算法丢弃后续的报文，保持主机的处理能力，这样对于用户而言，许多合法的请求可能被主机随机丢弃，但是有部分请求还是可以处理能力，这样对于用户而言，许多合法的请求可能被主机随机丢弃，但是有部分请求还是可以得到服务器响应，保证服务不间断运行的。得到服务器响应，保证服务不间断运行的。

SYNSYN

SYN/ACKSYN/ACK

ACKACK

ClientClient Server Server

192.168.1.1 1518 202.121.12.11 80 TCP

192.168.1.2 1538 202.121.12.11 80 TCP

192.168.11.1 2518 202.121.12.11 80 TCP

192.168.1.13 3518 202.121.12.11 80 TCP

192.168.1.4 1518 202.121.12.11 80 TCP

192.168.1.5 1518 202.121.12.11 80 TCP

连接表连接表

丢弃连接丢弃连接丢弃连接丢弃连接

147

抗抗 DOS/DDOSDOS/DDOS攻击攻击 ----------带宽限制和带宽限制和 QoSQoS保证保证

带宽限制和带宽限制和 QoS QoS 保证保证通过对报文种类、来源等各种特性设置阀值参数，保证主要服务稳定可靠的资源供给。通过对报文种类、来源等各种特性设置阀值参数，保证主要服务稳定可靠的资源供给。保证在高强度攻击环境下一定的连接保持率和新连接发起成功率保证在高强度攻击环境下一定的连接保持率和新连接发起成功率


192.168.1.1 1518 202.121.12.11 80 TCP

192.168.1.2 1538 202.121.12.11 80 TCP

192.168.11.1 2518 202.121.12.11 80 TCP

192.168.1.13 3518 202.121.12.11 80 TCP

192.168.1.4 1518 202.121.12.11 80 TCP

192.168.1.5 1518 202.121.12.11 80 TCP

Internet

148















提纲提纲

149

受保护网络

Internet

如果防火墙支持透明模式，则内部网络主机的配置不用调整

Host A

199.168.1.2

Host C

199.168.1.4Host D

199.168.1.5

Host B

199.168.1.3

199.168.1.8同一网段

透明模式下，这里不用配置 IP地址

透明模式下，这里不用配置 IP地址

Default Gateway=199.168.1.8

防火墙相当于网桥，原网络结构没有改变

NO.1 透明接入

150

InternetInternet

内部网内部网

202.99.88.1

ETH0： 202.99.88.2 ETH1： 202.99.88.3

ETH2： 202.99.88.4 202.99.88.10/24 网段

202.99.88.20/24 网段

外网、 SSN 、内网在同一个广播域，防火墙做透明设置。此时防火墙为透明模式。

透明模式的典型应用

151

受保护网络

Internet

Host A

199.168.1.2

Host C

199.168.1.4Host D

199.168.1.5

Host B

199.168.1.3

199.168.1.8

Default Gateway=199.168.1.8

防火墙相当于一个简单的路由器 203.12.34.56

203.12.34.57

提供简单的路由功能提供简单的路由功能

199.168.1.8

NO.2 路由接入

152

InternetInternet

内部网内部网

202.99.88.1

ETH0： 202.99.88.2 ETH1： 10.1.1.2

ETH2： 192.168.7.2 10.1.1.0/24 网段

192.168.7.0/24 网段

外网、 SSN 区、内网都不在同一网段，防火墙做路由方式。这时，防火墙相当于一个路由器。

路由模式的典型应用

153

NO.3 综合接入

ETH1： 192.168.7.102

ETH2： 192.168.7.2 192.168.1.100/24 网段

192.168.7.0/24 网段

此时整个防火墙工作于透明 + 路由模式，我们称之为综合模式或者混合模式

202.11.22.1/24 网段

ETH1： 202.11.22.2

两接口在不同网段，防火墙处于路由模式

两接口在不同网段，防火墙处于路由模式

两接口在同一网段，防火墙处于透明模式

154















提纲提纲

155

管理机

本地串口管理本地串口管理

1. 本地串口管理比较安全

2. 但是缺乏灵活性，用户必须在现场才能进行操作

3. 防火墙的初始化配置一般都通过串口来进行设置，比如各个接口的 IP地址、路由信息等

156

防火墙集中管理防火墙集中管理

广域网广域网

通过集中管理器　通过集中管理器　

实现了对防火墙的集中管理实现了对防火墙的集中管理

防火墙集中管理器防火墙集中管理器

157

受保护网络

SNMPSNMP报文报文

获取硬件配置信息获取硬件配置信息

资源使用状况信息资源使用状况信息

防火墙的流量信息防火墙的流量信息

防火墙的连接信息防火墙的连接信息

防火墙的版本信息防火墙的版本信息

防火墙的用户信息防火墙的用户信息

防火墙的规则信息防火墙的规则信息

防火墙的路由信息防火墙的路由信息

…………

SNMPSNMP 服务器端服务器端

SNMPSNMP 客户端客户端((HP OpenView)HP OpenView)

SNMP SNMP 管理管理

InternetInternetInternet

158

瑞星个人防火墙的设置与使用

159


160


161


162

趋势0

5

网络安全版设置与使

用

163

趋势0

5


用

164

趋势0

5


用

165

趋势0

5


用

166















提纲提纲

167

防火墙双机热备防火墙双机热备

内部网

外网或者不信任域

Eth 0 Eth 0Eth1Eth1

Eth2 Eth2

心跳线Active Firewall Standby Firewall

检测 Active Firewall 的状态

发现出故障，立即接管其工作

正常情况下由主防火墙工作主防火墙出故障以

后，接管它的工作

Hub or SwitchHub or Switch

Hub or SwitchHub or Switch

通过通过 STPSTP协议可以交协议可以交换两台防火墙的状态信换两台防火墙的状态信

息息

当一台防火墙故障时，这台防火墙的连接不当一台防火墙故障时，这台防火墙的连接不需要重新建立就可以透明的迁移到另一台防需要重新建立就可以透明的迁移到另一台防火墙上，用户不会察觉到火墙上，用户不会察觉到

168

防火墙接口备份防火墙接口备份

子网 A


HubHub

HubHub

子网 B

HubHub

eth0eth0

eth1eth1eth2eth2

eth3eth3eth0eth0

eth1eth1eth2eth2

eth3eth3

1. 前提：防火墙工作在负载均衡模式下

2. 如果某台防火墙的一个接口出现故障，另外一台均衡防火墙的接口将接管故障接口的全部通信

3. 故障防火墙的其他接口则继续参与通信

eth1 发生故障

0# 0# 墙墙 1# 1# 墙墙

eth2 接管 eth1接口的全部通信

eth2eth2

0# 墙的其他接口继续参与通信

状态同步端口

169

防火墙负载均衡防火墙负载均衡

内部网


Eth 0 Eth 0Eth1Eth1

Eth2 Eth2

心跳线0 # 1 #

检测 0 # Firewall 的状态

发现出故障，立即接管其工作

防火墙根据与 0 # 防火墙一起

工作

HubHub

HubHub

170

防火墙引擎防火墙引擎内置专门的内置专门的 WatchDog WatchDog 电路电路

1.1. 通过编程可以控制通过编程可以控制 WatchDog WatchDog 电路在适电路在适当的时候产生高低电平信号当的时候产生高低电平信号

2.2. 通过通过 WatchDog WatchDog 电路产生的高低电平信电路产生的高低电平信号可以让防火墙在出现意外故障时自动恢号可以让防火墙在出现意外故障时自动恢复到工作状态复到工作状态

3.3. WatchDog WatchDog 产生高低电平的条件可以通产生高低电平的条件可以通过软件编程设定，比如核心软件出现严重过软件编程设定，比如核心软件出现严重错误，防火墙自身遭遇错误，防火墙自身遭遇 DOS/DDOSDOS/DDOS 攻击攻击、发生非常不安全事件等、发生非常不安全事件等

防火墙的自动检测与恢复能力防火墙的自动检测与恢复能力

171















提纲提纲

172

总部如何保证防火墙的如何保证防火墙的状态同步状态同步

101001001101001001101001001101001001

下列情况部署防火墙遇到的问题？下列情况部署防火墙遇到的问题？

1.1. 包过滤防火墙可以正常部署包过滤防火墙可以正常部署

2.2. 状态检测防火墙部署后将会导状态检测防火墙部署后将会导致业务时断时通致业务时断时通

3.3. 如果该网络工作于备份模式，如果该网络工作于备份模式，则至少需要两台对称防火墙的则至少需要两台对称防火墙的状态同步状态同步

4.4. 如果该网络工作于均衡模式，如果该网络工作于均衡模式，必须保证四台防火墙的状态都必须保证四台防火墙的状态都同步同步

173

大型行业用大型行业用户总部户总部

分支机构分支机构 AA

分支机构分支机构 BB

办事处办事处 AA办事处办事处 BB

大型行业用户防火墙解决方案大型行业用户防火墙解决方案

Modem Modem 池池

F R F R

InternetInternet

PSTN/ISDNPSTN/ISDN

骨干网可以考虑骨干网可以考虑：： NGFW4000NGFW4000

营业点接入网考虑营业点接入网考虑：： ARESARES 防火墙防火墙

互联网可以考虑：互联网可以考虑：NGFW3000NGFW3000

174

总部总部

分支机构分支机构 AA

分支机构分支机构 BB

移动用户移动用户 AA

移动用户移动用户 BB

黑客黑客

企业用户防火墙方解决方案？企业用户防火墙方解决方案？

NGFW4000NGFW4000

NGFW3000NGFW3000

ARESARES

ARESARES

Internet

1. 高端

2. 低端

175

应用：防 BT

176

• BitTorrent 是一种分发文件的协议。它通过 URL 来识别内容，并且可以无缝地和 Web 进行交互。它基于HTTP协议。

• 一个 BT文件分布系统由下列实体组成：– 一个普通的 web 服务器、一个静态的“元信息”文件（ torrent文件）、一个跟踪（ tracker ）服务器、终端下载者。

– 其中 tracker从所有下载者处接收信息，并返回给它们一个随机的 peers 的列表，这种交互是通过 HTTP或 HTTPS协议来完成的。

– 下载者周期性的向 tracker登记，使得 tracker 能了解它们的进度，下载者之间通过直接连接进行数据的上传和下载，这种连接使用的是 BitTorrent 对等协议，它基于 TCP 。

BTBT协议协议

177

• 禁止访问 tracker 服务器 – tracker 是指运行于服务器上的一个程序，这个程序能够追踪到底有

多少人同时在下载同一个文件。 – 如果有 BT 下载，则在日志中可发现类似前图的 HTTP报文，根据报文内容可以得到 tracker 服务器为 btfans.3322.org:8000 ，然后我们可以在防火墙配置规则，禁止内部用户访问该服务器。

• 封闭 BT 下载端口 – BT 一般使用 TCP的 6881～ 6889 的端口，然后把一些特定的种子

发布站点和端口给封掉 • 限制用户带宽

– 限制每个用户使用的网络带宽，可以明显缓解 BT 对网络的危害；如可以将 BT 用户下载的优先级限制为 5（ 0 最高， 7 最低），带宽限制为 64 kbps 。

• 限制最大连接数 – 由于 BT 使用 TCP ，因此可以限制 TCP 最大连接数。

防防 BTBT方案方案

178

Hacker ICMP Flood

UDP Flood

TCP Flood 目标网络

•基于数据流的防范 •基于数据包的防范

当源主机在 1 秒内发起的连接数达到门限值时，在该秒内的剩余时段和下一秒中，丢弃该源主机发起的同类连接

当源主机在 1 秒内发出的数据包达到门限值时，在该秒内的剩余时段和下一秒中，丢弃该源主机发出的同类数据

防防 FloodFlood攻击攻击

179















提纲提纲

180

IPSIPS让防火墙与让防火墙与 IDSIDS走向统一走向统一


IPSIPS（（ Intrusion Prevention SystemIntrusion Prevention System ，入侵防御系统），入侵防御系统） IDSIDS（（ Intrusion Detection SystemIntrusion Detection System ，入侵检测系统），入侵检测系统）


交换机交换机防火墙防火墙

IDSIDS 传感器传感器

防火墙防火墙

规则变更规则变更TCPTCP 重置重置

在线在线 IPSIPS

攻击被阻截攻击被阻截

攻击源攻击源

攻击源攻击源

181

• IPSIPS注重接入控制，而注重接入控制，而 IDSIDS则进行网络监控；则进行网络监控；

• IPSIPS 基于策略实现，基于策略实现， IDSIDS则只能进行审核跟踪；则只能进行审核跟踪；

• IDSIDS 的职责不是保证网络安全，而是告知网络安全程度几何。的职责不是保证网络安全，而是告知网络安全程度几何。

• IPSIPS 不仅仅是不仅仅是 IDSIDS 的演化，它具备一定程度的智能处理功能，能实时阻截攻击。的演化，它具备一定程度的智能处理功能，能实时阻截攻击。

• 传统的传统的 IDSIDS 只能被动监视通信，这是通过跟踪交换机端口的信息包来实现的；而只能被动监视通信，这是通过跟踪交换机端口的信息包来实现的；而 IPSIPS

则能实现在线监控，主动阻截和转发信息包。通过在线配置，则能实现在线监控，主动阻截和转发信息包。通过在线配置， IPSIPS 能基于策略设置舍能基于策略设置舍

弃信息包或中止连接；弃信息包或中止连接；

• 传统的传统的 IDSIDS 响应机制有限，如重设响应机制有限，如重设 TCPTCP连接或请求变更防火墙规则都存在诸多不足。连接或请求变更防火墙规则都存在诸多不足。

IPSIPS与与 IDSIDS简要介绍简要介绍

182

• 紧密集成实现互动紧密集成实现互动 IDPIDP 技术与防火墙技术集成到同一个硬件平台上，在统一的操作系统管理下有序地运行。这种方式实际上是技术与防火墙技术集成到同一个硬件平台上，在统一的操作系统管理下有序地运行。这种方式实际上是

把两种产品集成到一起，所有通过这个硬件平台的数据不仅要接受防火墙规则的验证，还要被检测判断是否把两种产品集成到一起，所有通过这个硬件平台的数据不仅要接受防火墙规则的验证，还要被检测判断是否

有攻击，以达到真正的实时阻断。有攻击，以达到真正的实时阻断。

对于这种紧密集成的安全平台，由于对于这种紧密集成的安全平台，由于 IDPIDP 产品和防火墙本身都是很庞大的系统，所以实施的难度比较大产品和防火墙本身都是很庞大的系统，所以实施的难度比较大

，集成后的性能也会受很大的影响。同时，如果集成的话，不会仅仅只集成，集成后的性能也会受很大的影响。同时，如果集成的话，不会仅仅只集成 IDPIDP 与防火墙两种技术，而一与防火墙两种技术，而一

定会把更多的安全技术集成到一起，从而构成多个安全产品的紧密结合定会把更多的安全技术集成到一起，从而构成多个安全产品的紧密结合————入侵防御系统（入侵防御系统（ IPSIPS ）。）。

• 通过开放接口实现互动通过开放接口实现互动

一种是通过开放接口来实现互动。即防火墙或者一种是通过开放接口来实现互动。即防火墙或者 IPSIPS 产品开放一个接口供对方调用，按照一产品开放一个接口供对方调用，按照一

定的协议进行通信，传输警报。这种方式比较灵活，防火墙可以行使它第一层防御的功能定的协议进行通信，传输警报。这种方式比较灵活，防火墙可以行使它第一层防御的功能

————访问控制，访问控制， IPSIPS 系统可以行使它第二层防御的功能系统可以行使它第二层防御的功能————检测入侵，丢弃恶意通信，确保检测入侵，丢弃恶意通信，确保

这个通信不能到达目的地，并通知防火墙进行阻断。而且，这种方式不影响防火墙和这个通信不能到达目的地，并通知防火墙进行阻断。而且，这种方式不影响防火墙和 IDPIDP 产产

品的性能，对于两个产品的自身发展比较好。品的性能，对于两个产品的自身发展比较好。

统一的两种方式统一的两种方式

183

以防火墙为核心的安全联动应用体系将是一个发展方向以防火墙为核心的安全联动应用体系将是一个发展方向

• 以防火墙为核心形成开放的安全联动应用体系将形成一种防火墙系统的发以防火墙为核心形成开放的安全联动应用体系将形成一种防火墙系统的发

展方向。防火墙在这一体系中充当主体角色，同时它也是一个服务中心，展方向。防火墙在这一体系中充当主体角色，同时它也是一个服务中心，

将得到其他安全产品的大力支持，真正成为名副其实的防火墙系统。将得到其他安全产品的大力支持，真正成为名副其实的防火墙系统。

184















提纲提纲

185

适应性适应性 ----------- 能适应将要部署的网络和应用是前提能适应将要部署的网络和应用是前提

安全性安全性 ----------- 符合国家政策、主管单位的策略、自身设计等符合国家政策、主管单位的策略、自身设计等

成熟性成熟性 ----------- 投放市场多年，应用广泛投放市场多年，应用广泛

性能性能 ---------- 满足应用环境的要求满足应用环境的要求

易管理性易管理性 ----------- 容易配置和调整策略容易配置和调整策略

功能功能 --------- 功能的多样性功能的多样性

美观美观 ---------- 外观美观、适用外观美观、适用

价格价格 ---------- 便宜、实惠便宜、实惠

选购防火墙的依据选购防火墙的依据

186

本章小结防火墙是隔离在本地网络与外界网络之间执行访问控制策略的一道防御

系统，目的是保护网络不被他人侵扰。防火墙在企业内网与 Internet之间或与其他外部网络互相隔离、限制网络互访，从而实现内网保护。

典型的防火墙具有三个基本特性：①内部网络和外部网络之间的所有网络数据流都必须经过防火墙；②只有符合安全策略的数据流才能通过防火墙；③防火墙自身应具有非常强的抗攻击免疫力。

防火墙具有以下几种功能：①限定内部用户访问特殊站点；②防止未授权用户访问内部网络；③允许内部网络中的用户访问外部网络的服务和资源而不泄漏内部网络的数据和资源；④记录通过防火墙的信息内容和活动；⑤对网络攻击进行监测和报警。

防火墙的体系结构有以下几种 : ①包过滤型；②双宿主机；③屏蔽主机体系结构；④屏蔽子网体系结构，等。

防火墙的类型有多种分类方法：技术上 “ ” “ ” “分包过滤型、代理型、核检测型”；结构上分单一主机防火墙、路由器集成式防火墙和分布式防火墙三种；应用部署位置分为边界防火墙、个人防火墙和混合式防火墙；性能上分为百兆级防火墙和千兆级防火墙。

防火墙的发展趋势：①功能性能不断突破；②下一代网络的新需求；③高速、安全、可用。

《 网络信息安全 》

Documents

《网络信息安全》