防火墙技术原理分享
一. 防火墙技术原理
二. 防火墙的定义
三. 防火墙的核心技术
-
防火墙技术原理
防火墙概要
防火墙功能及原理
防火墙应用
防火墙存在问题
-
防火墙定义
防火墙:一种高级访问控制设备, 置于不同网络安全域之间, 它通过相关的安全策略来控制进出网络访问行为
-
防火墙的核心技术
包过滤: 最常用的一种技术, 工作在网络层, 根据数据包头中的IP. 端口, 协议等确定是否通过检查
应用代理; 另一种朱啊哟技术, 工作第七层应用层, 通过编写应用代理程序, 实现对应用数据的检查和分析
状态检测: 工作在2—4层, 控制方式与1 相同, 处理的对象不是单个的数据包, 而是整个连接, 通过规则表, 和连接状态表, 综合判断是否允许数据包通过
完全内容检查: 需要很强的性能支撑, 既有包的过滤, 也有应用代理的功能, 工作在2—7层, 不仅分析数据包头信息, 状态信息, 而且对应用层协议进行还原和内容分析, 有效防混合型病毒的威胁
- 包过滤原理
-
简单包过滤防火墙不检查数据区
-
简单包过滤防火墙不建立连接状态表
-
前后报文无关
-
应用层控制很弱
- 应用代理防火墙技术
-
不检查ip/TCP报头
-
不建立连接状态表
-
网络保护比较弱
- 状态检测防火墙原理
-
不检查数据区
-
不建立连接状态
-
前后报文相关
-
应用层控制很弱
- 完全内容检查防火墙原理
-
网络层保护强
-
应用层保护强
-
会话保护强
-
上下文相关
- 前后报文有联系
- 防火墙体系结构
- 过滤路由器
- 多宿主主机
- 被屏蔽主句
- 被屏蔽子网
- 过滤路由器
- 过滤路由器作为外网连接的唯一渠道, 通弄个ACL策略要求所有的报文都必须在此通过检查, 实现报文过滤功能
- 它的缺点是一旦被攻陷后很难被发现, 而且不能识别不同的用户
- 双宿主主机
- 双宿主主句优于过滤路由器的地方是: 堡垒主机的系统软件可用于系统日志维护
- 它的致命弱点: 一旦入者容器堡垒主机, 则无法霸占内部的网络安全
- 被屏蔽主机
- 通常在路由器上建立ACL过滤规则, 并通过堡垒主机进行数据转发, 来确保内部网络的安全
- 弱点: 如果攻击者进入屏蔽主机内, 内网中就会受到很大的威胁, 这与双宿主主机受攻击的情形差不多
- 屏蔽子网
- 这种结构是在内部网络和外部网络之间一个隔离的子网, 用两台过滤路由器分别于内部网络和外部网络连接, 之间通过堡垒主机进行数据转发
- 特点: 如果攻击者试图进入内网或者子网, 它必须攻破路由器和双宿主主机, 然后才可以进入子网主机, 整个过程将引起警报机制
- 防火墙基本功能
- 防火墙基本功能
- 控制访问(防火墙是一种高级访问控制设备)
- 地址转换(都会部署在内网之间, 尤其是互联网出口, 因此会涉及到地址转换问题)
- 网络环境支持(2层 或 3 层之间的内部连接)
- 带宽管理功能(如观看视频时, 同时其他人要去炒股…)
- 入侵检测和攻击防御
- 用户认证
- 高可用性
- 基本访问控制功能
- 时间控制策略
- 地址转换策略
- 网络环境支持(固定)
- 网络环境支持—动态路由
-
网络环境支持 — ADSL拨号
-
网络环境支持SNMP网络管理
- 网络环境支持—IP MAC绑定(防止IP滥用现象)
-
带宽管理QOS(可以根据业务进行不同的来龙分配, 以保证重要业务的应用)
-
入侵检测和攻击防护— 内置入侵检测
- 入侵检测和攻击防御— 入侵检测联动
- 用户认证
- 高可用性— 上级热备份
- 高可用性-- 链路备份
- 防火墙典型应用-接入方式-透明接入
- 防火墙典型应用-接入方式-路由接入(在同一网段)
- 防火墙典型应用-接入方式-综合接入
- 防火墙典型应用(星形结构)
- 防火墙的典型应用(梯形结构)
- 防火墙的典型应用三(简单结构)
- 防火墙性能介绍-防火墙性能的五大指标
- 吞吐量:很重要。该指标直接影响网络的性能,吞吐量
- 时延:很重要。入口处输入帧最后1个比特到达至出口处输出帧的第1个比特输出所用的时间间隔
- 丢包率:在稳态负载下,应由网络设备传输,但由于资源投入而被丢弃的帧的百分比。现在性能发展了,这种情况已经较少了。
- 背靠背:从空闲状态开始,以达到传输介质最小合法间隔极限的传输速率发送相当数量的固定长度的帧,当出现第一个帧丢失时,发送的帧数现在性能发展了,这种情况已经较少了。
- 并发连接数:很重要。并发连接数是指穿越防火墙的主机之间或主机防火墙之间能同时建立的最大连接数
- 每秒新建连接数:很重要。1秒之内能够新建的连接数量,体现了防火墙的反应能力或者说是灵敏度。
- 吞吐量
- 定义:在不丢包的情况下能够达到的最大速率
- 衡量标准:吞吐量越大,防火墙的性能越高
- 时延
- 定义:入口处输入帧最后1个比特到达至出口处输出帧的第一个比特输出所用的时间间隔
- 衡量标准:延时越小,表示防火(比较好的在us微秒级,有的在ms毫秒级)
- 丢包率
定义:在连续负载。。。
- 背靠背
- 并发连接数
终