|
【课程目标】: 一、 防火墙技术原理 二、 防火墙的定义 三、 防火墙技术原理 【学习笔记】: 一、防火墙技术原理 1、 防火墙概要介绍 2、 防火墙功能及原理 3、 防火墙典型应用 4、 防火墙存在的问题 二、防火墙的定义 防火墙:一种高级访问控制设备,置于不同网络安全域之间,它通过相关的安全策略来控制(允许、拒绝、监视、记录)进出网络的访问行为。 三、防火墙的核心技术 1、 包过滤:最常用的技术。工作在网络层,根据数据包头中的IP、端口、协议等确定是否数据包通过 2、 应用代理:另一种主要技术,工作在第7层应用层,通过编写应用代理程序,实现对应用层数据的检测和分析 3、 状态检测:工作在2-4层,控制方式与1同,处理的对象不是单个数据包,而是整个连接,通过规则表(管理人员和网络使用人员事先设定好的)和连接状态表,综合判断是否允许数据包通过。 4、 完全内容检测:需要很强的性能支撑,既有包过滤功能、也有应用代理的功能。工作在2-7层,不仅分析数据包头信息、状态信息,而且对应用层协议进行还原和内容分析,有效防范混合型安全威胁。 四、包过滤防火墙技术原理 1、 简单包过滤防火墙不检查数据区 2、 简单包过滤防火墙不建立连接状态表 3、 前后报文无关 4、 应用层控制很弱 五、应用代理防火墙技术原理 1、 不检查IP\TCP报头 2、 不建立连接状态表 3、 网络层保护比较弱 六、状态检测防火墙技术原理 1、 不检查数据区 2、 建立连接状态表 3、 前后报文相关 4、 应用层控制很弱 七、完全内容检测防火墙技术原理 1、 网络层保护强 2、 应用层保护强 3、 会话保护很强 4、 上下文相关 5、 前后报文有联系 八、防火墙体系结构 1、 过滤路由器 2、 多宿主主机 3、 被屏蔽主机 4、 被屏蔽子网 九、过滤路由器(Filtering Router) 1、 过滤路由器作为内外网连接的唯一通道,通过ACL策略要求所有的报文都必须在此通过检查,实现报文过滤功能 2、 它的缺点是一旦被攻陷后很难发现,而且不能识别不同的用户(没有日志记录)。 十、双宿主主机(Dual Homed Gateway) 1、 双宿主主机优于过滤路由器的地方是:堡垒主机的系统软件可用于维护系统日志 2、 它的致使弱点是:一旦入侵者侵入堡垒主机,则无法保证内部网络的安全。 十一、被屏蔽主机(Screened Host Gateway ) 1、 通常在路由器上设立ACL过滤规则,并通过堡垒主机进行数据转发,来确保内部网络的安全 2、 弱点:如果攻击者进入屏蔽主机内,内网中就会受到很大的威胁,这与双宿主主机受攻击时的情形差不多。 十二、被屏蔽子网(Screened Subnet) 1、 这种结构是在内部网络和外部网络之间建立一个被隔离的子网,用两台过滤路由器分别与内部网络和外部网络连接,中间通过堡垒主机进行数据转发。 2、 特点:如果攻击者试图进入内网或者子网,他必须攻破过滤路由器和双宿主主机,然后才可以进入子网主机,整个过程中将引发警报机制。 十三、防火墙技术原理 2、防火墙基本功能 十四、防火墙基本功能 1、 访问控制(防火墙是一种高级的访问控制设备) 2、 地址转换(都会部署在内外网之间,尤其是互联网出口,因此会涉及到地址转换问题) 3、 网络环境支持(2层或3层之间的内部连接) 4、 带宽管理功能(如观看视频时,同时其它人要去炒股,) 5、 入侵检测和攻击防御 6、 用户认证 7、 高可用性 十五、基本访问控制功能
十六、时间控制策略
十七、地址转换策略(1)
十八、地址转换策略(2)
十九、网络环境支持(固定)
二十、网络环境支持
二十一、网络环境支持-动态路由
二十二、网络环境支持-ADSL拨号
二十三、网络环境支持-SNMP网络管理
二十四、网络环境支持-IP MAC绑定(防止IP滥用的现象)
二十五、带宽管理QOS(可以根据业务进行不同的流量分配,以保证重要业务的应用)
二十六 、入侵检测和攻击防御-内置入侵检测
二十七、入侵检测和攻击防御-入侵检测联
二十八、用户认证
二十九、高可用性-双机热备
三十、高可用性-负载均衡
三十一、高可用性-链路备份
三十二、防火墙典型应用-接入方式-透明接入
三十三、防火墙典型应用-接入方式-路由接入(在同一网段)
三十四、防火墙典型应用-接入方式-综合接入
三十五、防火墙典型应用(星形结构)
三十六、防火墙的典型应用(梯形结构)
三十七、防火墙的典型应用三(简单结构)
三十八、防火墙性能介绍-防火墙性能的五大指标 1、 吞吐量:很重要。该指标直接影响网络的性能,吞吐量 2、 时延:很重要。入口处输入帧最后1个比特到达至出口处输出帧的第1个比特输出所用的时间间隔 3、 丢包率:在稳态负载下,应由网络设备传输,但由于资源投入而被丢弃的帧的百分比。现在性能发展了,这种情况已经较少了。 4、 背靠背:从空闲状态开始,以达到传输介质最小合法间隔极限的传输速率发送相当数量的固定长度的帧,当出现第一个帧丢失时,发送的帧数现在性能发展了,这种情况已经较少了。 5、 并发连接数:很重要。并发连接数是指穿越防火墙的主机之间或主机防火墙之间能同时建立的最大连接数 6、 每秒新建连接数:很重要。1秒之内能够新建的连接数量,体现了防火墙的反应能力或者说是灵敏度。 三十九、吞吐量 1、 定义:在不丢包的情况下能够达到的最大速率 2、 衡量标准:吞吐量越大,防火墙的性能越高
四十、时延 1、 定义:入口处输入帧最后1个比特到达至出口处输出帧的第一个比特输出所用的时间间隔 2、 衡量标准:延时越小,表示防火(比较好的在us微秒级,有的在ms毫秒级)
四十一、丢包率 1、 定义:在连续负载。。。
四十二、背靠背
四十三、并发连接数
|
|
|
