防火墙基本知识课件.ppt

1、 Westone Legend Maker防火墙防火墙 防火墙设置在不同网络域（如可信任的企业防火墙设置在不同网络域（如可信任的企业内部网和不可信的公共网）之间，它可通过监测、内部网和不可信的公共网）之间，它可通过监测、限制、更改跨越防火墙的数据流，尽可能地对外限制、更改跨越防火墙的数据流，尽可能地对外部屏蔽网络内部的信息、结构和运行状况，以此部屏蔽网络内部的信息、结构和运行状况，以此来实现网络的安全保护。来实现网络的安全保护。防火墙采用的阻断策略与放行策略防火墙采用的阻断策略与放行策略 所有进出网络的数据流必须经过防火墙所有进出网络的数据流必须经过防火墙 所有穿过防火墙的数据流必须所有穿过防

2、火墙的数据流必须匹配匹配安全策略安全策略防火墙策略防火墙策略防火墙的作用防火墙的作用信息隐藏信息隐藏互联网互联网防火墙防火墙安全通信安全通信入侵检测入侵检测审记预警审记预警WLM防火墙基本功能概述防火墙基本功能概述 实时的连接状态监控功能实时的连接状态监控功能 动态过滤技术动态过滤技术 基于网络基于网络IP和和MAC地址绑定的包过滤地址绑定的包过滤 网络地址转换（网络地址转换（NAT） 透明代理（透明代理（Transparent Proxy） URL级的信息过滤级的信息过滤 流量控制管理流量控制管理 支持支持IDS互动互动 基于基于SSL的远程管理的远程管理 认证、授权、记帐（认证、授权、记帐

3、（AAA） 抗攻击和自我保护能力抗攻击和自我保护能力 工作模式的多样性工作模式的多样性 支持双机热备份功能支持双机热备份功能 审计和告警功能审计和告警功能 安全的网络结构和安全的体系结构安全的网络结构和安全的体系结构 提供操作简单的图形化用户界面对防火墙进行配置提供操作简单的图形化用户界面对防火墙进行配置 实时的连接状态监控功能实时的连接状态监控功能 基于连接的状态检查，将属于同一连接的所有包作为一个基于连接的状态检查，将属于同一连接的所有包作为一个整体的数据流看待，构成连接状态表整体的数据流看待，构成连接状态表 通过规则表与状态表的共同配合，对表中的各个连接状态通过规则表与状态表的共同配合，

4、对表中的各个连接状态因素加以识别，大大的提高了系统的性能和安全性因素加以识别，大大的提高了系统的性能和安全性 连接状态表里的记录可以随意排列，提高系统查询效率连接状态表里的记录可以随意排列，提高系统查询效率 对基于对基于UDP协议的连接处理时，会为协议的连接处理时，会为UDP建立虚拟的连接，建立虚拟的连接，对连接过程状态进行监控对连接过程状态进行监控动态过滤技术动态过滤技术 利用静态规则打开的极少数端口，作动态利用静态规则打开的极少数端口，作动态的分析，适时打开所需端口，服务结束后，的分析，适时打开所需端口，服务结束后，自动关闭端口自动关闭端口 这样，尽可能地消除这样，尽可能地消除“开口开口”

5、隐患隐患包过滤技术包过滤技术 定制数据包过滤规则，除了对源目的定制数据包过滤规则，除了对源目的地址，端口的控制外，还可以对服务，协议，地址，端口的控制外，还可以对服务，协议，传输方向，源路由以及时间的访问控制。传输方向，源路由以及时间的访问控制。MAC地址绑定地址绑定 将内部网络接口的将内部网络接口的IP地址同它的硬地址同它的硬件物理地址（件物理地址（MAC地址）进行绑定的功地址）进行绑定的功能，防止能，防止IP地址盗用。地址盗用。 同时提供一种自动搜索局域网内给同时提供一种自动搜索局域网内给定网段的定网段的MAC地址的方法，自动获取所地址的方法，自动获取所有有IP地址对应的地址对应的MAC地

6、址。主动地探寻地址。主动地探寻到内部网络到内部网络MAC盗用情况。盗用情况。 网络地址转换（网络地址转换（NATNAT） 一对一的地址映射一对一的地址映射 多对一的地址映射多对一的地址映射 提供源地址转换和目的地址转换提供源地址转换和目的地址转换 动态地址池动态地址池 隐藏了内部网络的真实地址与拓扑结构隐藏了内部网络的真实地址与拓扑结构 解决解决IPIP地址短缺的问题地址短缺的问题 提高整体的安全性提高整体的安全性源地址：端口202.106.92.26：61*目的地址：端口202.94.1.35：80源地址：端口202.94.1.35：80目的地址：端口202.106.92.26：61*回应的

7、包源地址：端口202.94.1.35：80目的地址：端口192.168.2.2：1024源地址：端口192.168.2.2：1024目的地址：端口202.94.1.35：80源IP包内内部部网网NAT外外部部网网NATNAT原理图原理图202.106. 92.26192.168.2.1透明的应用代理访问透明的应用代理访问 FTPFTP，TELNETTELNET，HTTPHTTP，SMTPSMTP，POP3POP3，DNSDNS等应用实现了透等应用实现了透明的代理服务明的代理服务 提供特殊的筛选命令，禁止用户使用容易造成攻击的不提供特殊的筛选命令，禁止用户使用容易造成攻击的不安全命令，抵御攻击安

8、全命令，抵御攻击 还能够过滤非安全脚本，如还能够过滤非安全脚本，如ActiveXActiveX，JAVA AppletJAVA Applet，JavaScriptJavaScript以及进行邮件过滤。以及进行邮件过滤。 屏蔽内部网的细节屏蔽内部网的细节 可以对出入防火墙的所有应用层连接进行统一的管理，可以对出入防火墙的所有应用层连接进行统一的管理，处理速度快，处理连接多，保证了系统的高效性。处理速度快，处理连接多，保证了系统的高效性。 透明的应用代理访问方式透明的应用代理访问方式应用层应用层IPTCPURL级信息过滤级信息过滤 控制屏蔽内部网络对某些站点的访问，进行智控制屏蔽内部网络对某些站点

9、的访问，进行智能分析、过滤功能。提供能分析、过滤功能。提供URLURL拦截、屏蔽功能，拦截、屏蔽功能，管理员可以根据智能的内容统计结果，手动或管理员可以根据智能的内容统计结果，手动或计算机自动屏蔽某些计算机自动屏蔽某些URLURL 实达实达-龙马卫士防火墙提供龙马卫士防火墙提供URLURL级屏蔽的另一大特级屏蔽的另一大特点，是能够控制屏蔽用户通过其他代理服务器点，是能够控制屏蔽用户通过其他代理服务器访问的访问的WebWeb站点。站点。 智能的内容过滤智能的内容过滤-提供提供URL级内容拦截、屏蔽功能级内容拦截、屏蔽功能国际互联网国际互联网公司职员公司职员PPP支持支持国际互联网国际互联网mod

10、emRS232modemRS232PSTN/ISDN流量控制 基于基于IP地址与用户的流量控制可以对通过防地址与用户的流量控制可以对通过防火墙各个网络接口的流量进行控制，监视所火墙各个网络接口的流量进行控制，监视所有使用有使用TCP、UDP和和ICMP协议通过防火墙协议通过防火墙的数据连接的数据连接 可以防止某些应用或用户占用过大的资源以可以防止某些应用或用户占用过大的资源以及资源的不正常消耗，从而保证了关键接口及资源的不正常消耗，从而保证了关键接口以及重要用户的连接，有效地管理网络资源，以及重要用户的连接，有效地管理网络资源，更有效地利用宝贵的带宽资源，进而保证网更有效地利用宝贵的带宽资源，

11、进而保证网络的正常运行，防止网络阻塞。络的正常运行，防止网络阻塞。 IDS系统互动系统互动 入侵检测（入侵检测（IDS-Intrusion Detection SystemIDS-Intrusion Detection System）技术）技术作为主动的安全防御技术，通过分析网络数据流实时作为主动的安全防御技术，通过分析网络数据流实时发现和跟踪网络攻击和违规活动，对网络进行实时检发现和跟踪网络攻击和违规活动，对网络进行实时检测，提供对内部攻击、外部攻击和误操作的主动保护。测，提供对内部攻击、外部攻击和误操作的主动保护。但其技术局限性在于它在网络中的物理位置，通常情但其技术局限性在于它在网络中的

12、物理位置，通常情况下它并不是网络的一个关口，因此它的阻断功能并况下它并不是网络的一个关口，因此它的阻断功能并不能保证百分之百的成功率。不能保证百分之百的成功率。 实达实达- -龙马卫士防火墙结合入侵检测技术与防火墙技术龙马卫士防火墙结合入侵检测技术与防火墙技术各自的优势，实现各自的优势，实现IDSIDS系统互动。系统互动。 IDS系统互系统互动动 实达实达- -龙马卫士防火墙实现两系统互动，当龙马卫士防火墙实现两系统互动，当IDSIDS系系统在检测到异常情况时，实现统在检测到异常情况时，实现IDSIDS系统向防火墙系统向防火墙发送阻断命令的功能。其中发送阻断命令的功能。其中IDSIDS系统到防

13、火墙的系统到防火墙的通讯使用加密通道，并对发送者的身份进行认证，通讯使用加密通道，并对发送者的身份进行认证，从而防火墙能够只接受那些来自具有合法身份的从而防火墙能够只接受那些来自具有合法身份的发送者发送者 所发出的阻断命令。所发出的阻断命令。 IDS系统互系统互动动防火牆防火牆STOP!ALERT!ATTACK DETECTED入侵检测入侵检测IDS系统系统互动互动防火牆防火牆STOP!入侵检测入侵检测基于基于SSLSSL的远程管理的远程管理 防火墙支持远程设置和管理，用户即使防火墙支持远程设置和管理，用户即使不在本地，也可以直接对防火墙进行管不在本地，也可以直接对防火墙进行管理，配置各项服务

14、和网络功能，方便易理，配置各项服务和网络功能，方便易行。行。 管理客户端和防火墙的通讯采用管理客户端和防火墙的通讯采用SSL加加密技术，所有配置管理信息在网络上全密技术，所有配置管理信息在网络上全部以密文传输，可以防止恶意攻击者使部以密文传输，可以防止恶意攻击者使用网络监听工具窃取信息。用网络监听工具窃取信息。 认证、授权、记帐（认证、授权、记帐（AAAAAA） 防火墙提供基于用户的认证、授权以及防火墙提供基于用户的认证、授权以及记帐（即记帐（即AAA体系）功能。体系）功能。 可以对所有用户进行分组管理，对用户组进行可以对所有用户进行分组管理，对用户组进行授权。当用户通过防火墙进行访问时，首先

15、需授权。当用户通过防火墙进行访问时，首先需要对其身份进行要对其身份进行认证认证，认证方式简单方便，认，认证方式简单方便，认证的工具可以是任何支持认证的网页浏览器如证的工具可以是任何支持认证的网页浏览器如IEIE或或NetscapeNetscape。身份认证是基于密码技术的，。身份认证是基于密码技术的，在传输时进行加密，并且，对防火墙和控制端在传输时进行加密，并且，对防火墙和控制端之间通过网络传输的所有数据全部加密，这样之间通过网络传输的所有数据全部加密，这样有效地防止了在网络传输过程中数据被窃听、有效地防止了在网络传输过程中数据被窃听、篡改，达到更高可靠性的身份认证。篡改，达到更高可靠性的身份

16、认证。 认证通过后确定用户所属的用户组，系统将检认证通过后确定用户所属的用户组，系统将检查安全策略中对此用户组的查安全策略中对此用户组的授权授权。用户被授权。用户被授权后所有的资源访问能够进行记录实现后所有的资源访问能够进行记录实现记帐记帐。 用户身份认证用户身份认证抗攻击和自我保护能力抗攻击和自我保护能力 除了专用的服务口外，不接受来自任何其它端口的除了专用的服务口外，不接受来自任何其它端口的直接访问直接访问 禁止所有的常规服务和用户的直接登录禁止所有的常规服务和用户的直接登录 防火墙能够处理一些常见的对于防火墙能够处理一些常见的对于TCPTCP、UDPUDP、ICMPICMP协协议的攻击或

17、探测，议的攻击或探测，如如F Floodinglooding攻击攻击、Jolt2Jolt2、Ping Ping of Deathof Death、ICMP Smurf AttackICMP Smurf Attack、操作系统探测等多操作系统探测等多种攻击，并能对这些异常情况做出忽略、记录日志、种攻击，并能对这些异常情况做出忽略、记录日志、警告以及拒绝等操作。警告以及拒绝等操作。 工作模式的多样性工作模式的多样性 在保留现有功能的前提在保留现有功能的前提下，支持透明的网络连接，下，支持透明的网络连接，使用户无需更改现有网络的使用户无需更改现有网络的任何配置，使系统安装更方任何配置，使系统安装更方

18、便便工作模式工作模式系统能提供：系统能提供： 路由模式路由模式 透明模式透明模式 混合模式混合模式 外部路由器202.92.26.1非军事区（非军事区（DMZ）WWW202.92.26.2FTP202.92.26.3HTTP202.92.26.4DNS202.92.26.5IP：控制区（控制区（Control）外部网络外部网络 外部DNS服务器IP：192.168.88.8 内部网络（内部网络（LAN）IP:IP:IP:Switcheth3（透明）IP：202.92.26.6eth0（透明）IP：127.0.0.2WLM 防火墙防火墙eth1（非透明）IP：192.168.1.1eth2（透明

19、）IP：127.0.0.3单机混合模式单机混合模式 -路由、透明模式路由、透明模式 CfgGUIIP：控制区（控制区（Control） IP：202.92.26.2 IP：202.92.26.3 IP：202.92.26.4WWW服务器 FTP服务器 DNS服务器非军事区（非军事区（DMZ） 内部网络（内部网络（LAN）IP:eth3（非透明）IP：192.168.3.1eth0（透明）IP：127.0.0.2WLM 防火墙防火墙（主）（主）外部网络外部网络 eth3（非透明）IP：192.168.3.2eth0（透明）IP：127.0.0.2WLM 防火墙防火墙（从）（从）IP:HUBHUB

20、HUBHUB外部路由器IP：202.92.26.1IP:外部DNS服务器IP：192.168.88.8Switcheth1（非透明）IP：192.168.1.1eth2（透明）IP：127.0.0.3eth2（透明）IP：127.0.0.3eth1（非透明）IP：192.168.1.2SwitchSwitch网桥IP：202.92.26.6双机热备份混合模式双机热备份混合模式 -路由、混合模式路由、混合模式工作模式工作模式双机热备份双机热备份 常规运作的时候分为主服务器和备份服务器常规运作的时候分为主服务器和备份服务器 如果因网络或某些因素使主防火墙服务器不能如果因网络或某些因素使主防火墙服务

21、器不能正常运作时，备份服务器会在数秒钟内自动启正常运作时，备份服务器会在数秒钟内自动启动，保护网络安全，并发出警告通知网络管理动，保护网络安全，并发出警告通知网络管理员。员。 提高系统的稳定性、容错提高系统的稳定性、容错性性双机热备份双机热备份集线器集线器Internet双机热备份双机热备份切换条件一：切换条件一：主机主机DOWN机机集线器集线器双机热备份双机热备份切换条件二：切换条件二：网络故障网络故障集线器集线器双机热备份双机热备份切换条件三：切换条件三：性能下降性能下降CPU内存内存8030集线器集线器双机热备份双机热备份切换条件四：切换条件四：关键进程错误关键进程错误集线器集线器安全的

22、网络结构安全的网络结构区域隔离区域隔离 LANLAN区区不对外提供不对外提供服务服务 DMZDMZ区区对外提供服对外提供服务务 ControlControl区区专用来专用来配置防火墙的区域配置防火墙的区域 WWW服务器服务器 FTP服务器服务器 SMTP等服务器等服务器 开放区开放区D DMZ实达实达- -龙马卫士龙马卫士防火墙防火墙互联网络互联网络The Internet用户控制区用户控制区 内部网内部网内部网络内部网络安全的体系结构安全的体系结构 在应用层、传输层、网在应用层、传输层、网络层，数据链路层络层，数据链路层 对内外通讯进行监控对内外通讯进行监控表示层表示层网络层网络层传输层传输

23、层会话层会话层应用层应用层物理层物理层数据链路层数据链路层实达实达-龙马卫士防火墙龙马卫士防火墙包过滤包过滤 网络地址转换网络地址转换透明代理透明代理实达实达-龙马卫士防龙马卫士防火墙火墙IP 包头包头DATAUDPTCPICMP实时监视与事件告警实时监视与事件告警 利用事件分析机制，实时监控分析网络活动，利用事件分析机制，实时监控分析网络活动，一旦发现有入侵倾向或行为时（如地址盗用，网一旦发现有入侵倾向或行为时（如地址盗用，网络连接错误，系统错误等），立即向系统管理员络连接错误，系统错误等），立即向系统管理员发出报警提示，对受到的攻击进行完备的记录。发出报警提示，对受到的攻击进行完备的记录。

24、 真正实现了内部监控，使防火墙处于主动地位，真正实现了内部监控，使防火墙处于主动地位，能及时有效地防止入侵行为的攻击。能及时有效地防止入侵行为的攻击。审计审计 审计日志审计日志提供网络访问活动情况、对防火墙的访问操作等的审计日志提供网络访问活动情况、对防火墙的访问操作等的审计日志 数据记录数据记录提供基于各种网络的数据记录；提供基于数据记录的数据内容提供基于各种网络的数据记录；提供基于数据记录的数据内容分析，包括分析，包括Telnet、FTP、WWW等各项服务及带宽使用，网络传等各项服务及带宽使用，网络传输等内容的查看和分析。输等内容的查看和分析。 日志文件日志文件系统管理员可以实时地查询配置

25、更改日志，告警日志，一般事系统管理员可以实时地查询配置更改日志，告警日志，一般事件日志，包过滤日志或代理服务的日志信息。也可以根据需要查看件日志，包过滤日志或代理服务的日志信息。也可以根据需要查看存档在数据库中的日志，日志系统还能够对网络流量进行分析。存档在数据库中的日志，日志系统还能够对网络流量进行分析。 。流量统计分析流量统计分析从日志数据库中统计分析网络流量，有效利用资从日志数据库中统计分析网络流量，有效利用资源，减轻负荷源，减轻负荷 基于基于IP、用户或端口的流量统计、控制、用户或端口的流量统计、控制 基于协议的流量统计、控制基于协议的流量统计、控制 基于时间的流量统计、控制（可设置某个基于时间的流量统计、控制（可设置某个IP地地址在几分钟、址在几分钟、1小时、小时、1天、天、1星期、星期、1月的总流量）月的总流量）可提供超出流量后的策略选择（告警、阻断）可提供超出流量后的策略选择（告警、阻断）流量统计报表流量统计报表 输出统计报表，流量统计输出统计报表，流量统计报表可以为直方图，饼图报表可以为直方图，饼图或表格的形式。易于查看，或表格的形式。易于查看，方便系统管理员查看和分方便系统管理员查看和分析网络的运行情况析网络的运行情况