《Eudemon系列防火墙基础知识.ppt》由会员分享,可在线阅读,更多相关《Eudemon系列防火墙基础知识.ppt(74页珍藏版)》请在三一办公上搜索。
1、Eudemon 系列防火墙用服培训,基础知识部分,引入,随着Internet的日益普及,开放式的网络带来了许多不安全的隐患。在开放网络式的网络上,我们的周围存在着许多不能信任的计算机(包括在一个LAN之间),这种这些计算机对我们私有的一些敏感信息造成了很大的威胁。在大厦的构造中,防火墙被设计用来防止火灾从大厦的一部分传播到大厦的另一部分。我们所涉及的“防火墙”具有类似的目的:“防止Internet的危险传播到你的内部网络”。,什么叫防火墙?,防火墙(Fire Wall):简单的说,网络安全的第一道防线,是位于两个信任程度不同的网络之间(如企业内部网络和Internet之间)的设备,它对两个网络
2、之间的通信进行控制,通过强制实施统一的安全策略,防止对重要信息资源的非法存取和访问以达到保护系统安全的目的。防火墙=硬件+软件+控制策略宽松控制策略:除非明确禁止,否则允许。限制控制策略:除非明确允许,否则禁止。防火墙的特性:内部和外部之间的所有网络数据流必须经过防火墙只有被安全政策允许的数据包才能通过防火墙防火墙本身要具有很强的抗攻击、渗透能力,防火墙的简单定义,简单的说,防火墙是保护一个网络免受“不信任”的网络的攻击,但是同时还必须允许两个网络之间可以进行合法的通信。防火墙应该具有如下基本特征:经过防火墙保护的网络之间的通信必须都经过防火墙。只有经过各种配置的策略验证过的合法数据包才可以通
3、过防火墙。防火墙本身必须具有很强的抗攻击、渗透能力。防火墙可以保护内部网络的安全,可以使受保护的网络避免遭到外部网络的攻击。硬件防火墙应该可以支持若干个网络接口,这些接口都是LAN接口(如Ethernet、Token Ring、FDDI),这些接口用来连接几个网络。在这些网络中进行的连接都必须经过硬件防火墙,防火墙来控制这些连接,对连接进行验证、过滤。,防火墙在安全体系中的位置,门防火墙,监视器入侵检测系统,保安员扫描器、漏洞查找,安全传输加密、VPN,门禁系统身份认证、访问控制,监控室安全管理中心,加固的房间系统加固、免疫,防火墙的功能,防火墙能提供的功能 监控和审计网络的存取和访问:过滤进
4、出网络的数据,管理进出网络的访问行为,封堵某些禁止的业务,记录通过防火墙的信息内容和活动,对网络攻击进行检测和告警。部署于网络边界,兼备提供网络地址翻译(NAT)、虚拟专用网(VPN)等功能防病毒、入侵检测、认证、加密、远程管理、代理 深度检测对某些协议进行相关控制攻击防范,扫描检测等,防火墙的基本功能模块,防火墙的局限性,防火墙不是解决所有网络安全问题的万能药方,只是网络安全政策和策略中的一个组成部分。防外不防内(内网用户和内外串通);不能防备全部的威胁,特别是新产生的威胁;在提供深度检测功能以及防火墙处理转发性能上需要平衡;当使用端-端加密时,即有加密隧道穿越防火墙的时候不能处理;目前的防
5、火墙,在网络层可靠性组网中解决单点故障的组网不够灵活并且存在应用限制;防火墙本身可能会存在性能瓶颈,如抗攻击能力,会话数限制等;,防火墙技术发展介绍防火墙的分类,按照防火墙实现的方式,一般把防火墙分为如下几类:包过滤防火墙(Packet Filtering)包过滤利用定义的特定规则过滤数据包,防火墙直接获得数据包的IP源地址、目的地址、TCP/UDP的源端口、和TCP/UDP的目的端口。利用以上的部分或者全部的信息按照规则进行比较,过滤通过防火墙的数据包。规则的定义就是按照IP数据包的特点定义的,可以充分利用上述的四个条件定义通过防火墙数据包的条件。包过滤防火墙简单,但是缺乏灵活性。另外包过滤
6、防火墙每包需要都进行策略检查,策略过多会导致性能急剧下降。代理型防火墙(application gateway)代理型防火墙使得防火墙做为一个访问的中间节点,对Client来说防火墙是一个Server,对Server来说防火墙是一个Client。代理型防火墙安全性较高,但是开发代价很大。对每一种应用开发一个对应的代理服务是很难做到的,因此代理型防火墙不能支持很丰富的业务,只能针对某些应用提供代理支持。状态检测防火墙 状态检测是一种高级通信过滤。它检查应用层协议信息并且监控基于连接的应用层协议状态。对于所有连接,每一个连接状态信息都将被ASPF维护并用于动态地决定数据包是否被允许通过防火墙或丢弃
7、。现在防火墙的主流产品为状态检测防火墙。,防火墙的关键技术,防火墙的关键技术包过滤技术代理技术状态检测技术网络地址翻译 NAT虚拟专用网 VPN应用协议特定的包过滤技术ASPF双机热备技术QOS技术应用层流控技术包括P2P限流防攻击技术,DPI技术,包过滤防火墙(Packet Filtering),包过滤防火墙(Packet Filtering)此类防火墙布放在网络中的适当位置,利用数据包的五元组的部分或者全部的信息,按照定义的规则ACL对通过的数据包进行过滤。这是一种基于网络层的安全技术,对于应用层的黑客行为无能为力。包过滤防火墙简单,但是缺乏灵活性;包过滤防火墙每包需要都进行策略检查,策略
8、过多会导致性能急剧下降;包过滤防火墙对于任何应用需要配置双方向的ACL规则,不能提供差异性保护,协议号源地址目的地址,源端口目的端口,IP 报头,TCP/UDP 报头,数据,包过滤技术介绍,对路由器需要转发的数据包,先获取包头信息,然后和设定的规则进行比较,根据比较的结果对数据包进行转发或者丢弃。实现包过滤的核心技术是访问控制列表ACL。,Internet,公司总部,内部网络,未授权用户,办事处,ACL 规则,从192.110.10.0/24来的数据包能通过,从202.110.10.0/24来的数据包不能通过,代理型防火墙(Application Gateway),代理型防火墙(applica
9、tion gateway)代理型防火墙使得防火墙做为一个访问的中间节点,对Client来说防火墙是一个Server,对Server来说防火墙是一个Client,转发性能低;此类防火墙安全性较高,但是开发代价很大。对每一种应用开发都需要一个对应的代理服务,因此代理型防火墙不能支持很丰富的业务,只能针对某些应用提供代理支持;代理型防火墙很难组成双机热备的组网,因为状态无法保持同步;,服务器,客户机,安全策略、审计监控、报警,WWW、FTP、Email代理,状态检测防火墙,采用状态检测技术的防火墙产品是现在的主流,状态检测防火墙状态检测是一种高级通信过滤。它检查应用层协议信息并且监控基于连接的应用层
10、协议状态。对于所有连接,每一个连接状态信息都将被ASPF维护并用于动态地决定数据包是否被允许通过防火墙或丢弃。状态检测技术在网络层实现所有需要的防火墙能力,它既有包过滤机制的速度和灵活,也有代理型防火墙安全的优点。,状态检测防火墙工作原理(单通道协议),在状态防火墙中会动态维护着一个Session表项,通过Session表项来检测基于TCP/UDP连接的连接状态,动态地判断报文是否可以通过,从而决定哪些连接是合法访问,哪些是非法访问。,保护网络,用户A初始化一个 Telnet 会话,外部网络,用户A,目标服务器,防火墙创建 Session表项,其他用户,用户A的Telnet会话返回报文可以通过
11、,其他的Telnet报文被阻塞不能通过,防火墙匹配Session表项报文,状态检测防火墙工作原理(多通道协议),在状态防火墙中对于多通道协议(例如FTP)还需要深入检测该协议的控制通道信息,并根据该信息动态创建ASPF的servmap表项保证多通道协议应用的正常,防火墙主要规格介绍性能衡量指标,1、吞吐量:是指防火墙对报文的处理能力。业界一般都是使用1K1.5Kbyte的大包来衡量防火墙对报文的处理能力。但网络流量大部分是200Byte字节报文,因此需要考察防火墙小包下转发性能。同时由于防火墙需要配置规则,因此还需要考察防火墙支持ACL下的转发性能。2、每秒建立连接速度:指的是每秒钟可以通过防
12、火墙建立起来的完整TCP连接。由于防火墙的连接是根据当前通信双方状态而动态建立的。每个会话在数据交换之前,在防火墙上都必须建立连接。如果防火墙建立连接速率较慢,在客户端反映是每次通信有较大延迟。因此支持的指标越大,转发速率越高。在受到攻击时,这个指标越大,抗攻击能力越强。这个指标越大,状态备份能力越强。3、并发连接数目:是指的可以同时容纳的最大的连接数目。由于防火墙是针对连接进行处理报文的,并发连接数目是指的防火墙可以同时容纳的最大的连接数目,一个连接就是一个TCP/UDP的访问。,Eudemon 200:高效可靠的体系结构 双总线,接口卡1,接口卡2,PCI-0,PCI-1,高速内部交换,P
13、CI0,PCI1,CPU,纯CPU结构,双总线设计。主控板自带的2个接口,独占一个PCI总线,性能较高。接口卡由于82559芯片问题性能较低。,Eudemon 500/1000:基于NP逻辑结构,全模块化、基于NP硬件集中式转发,大部分防火墙功能都是在NP处理。4个DMU接口,1个用于连接CPU,因此有3个高速插卡。低速插卡的业务需要从NP到CPU处理,因此性能很低。业务运行的时候,优先使用高速接口。低速接口尽量不要使用。接口板自带的2个FE接口,位于CPU的PCI总线上,因此不能跑业务。所有上送CPU处理的业务都会变的性能很低。例如:IPSEC、NAT ALG等。,Eudemon 500/1
14、000:基于NP的集中式多业务路由器,NP,高速交换转 发,2G PCI共享数据总线,2G D_bus交换总线,防火墙基本概念安全区域(Zone),防火墙的内部划分为多个区域,所有的转发接口都唯一的属于某个区域,域(Zone)域是防火墙上引入的一个重要的逻辑概念;通过将接口加入域并在安全区域之间启动安全检查(称为安全策略),从而对流经不同安全区域的信息流进行安全过滤。常用的安全检查主要包括基于ACL和应用层状态的检查,防火墙基本概念安全区域(Zone)续,根据防火墙的内部划分的安全区域关系,确定其所连接网络的安全区域,Eudemon防火墙上预定义了4个安全区域:本地区域Local(指防火墙本身
15、)、受信区域Trust、非军事化区域DMZ(Demilitarized Zone)、非受信区域Untrust,用户可以根据需要自行添加新的安全区域,防火墙基本概念安全区域(Zone)配置,#系统预定义的安全区域(例如trust、local、dmz和untrust),这些区域具有确定的安全级别,无需自行配置,可以通过如下命令进入。Eudemon firewall zone trust Eudemon-zone-trust#创建新的自定义安全区域,需要该区域的安全优先级;Eudemon firewall zone name newzone Eudemon-zone-newzone set prio
16、rity 30 注:如果没有配置安全优先级则该域不能工作,另外两个域的安全优先级不能相同#接口加入到域,Eudemon firewall zone dmz Eudemon-zone-dmz add interface ethernet 1/0/0 注:如果接口没有加入域的话该接口将不能转发不报文,同样对于虚接口、虚模板、子接口也是如此,防火墙基本概念域间(InterZone),域间(InterZone):防火墙在引入域概念的同时也引入了域间概念;任何不同的安全域之间形成域间关系,Eudemon防火墙上大部分规则都是配置在域间上,为了便于描述同时引入了域间方向的概念:inbound:报文从低优先
17、级区域进入高优先级区域为入方向;outbound:报文从高优先级区域进入低优先级区域为出方向;说明:安全策略只能应用在安全区域之间(即配置在域间),从而对分属不同安全区域的接口之间的信息流根据配置的安全策略进行安全检查。一个安全域间的某个方向上只能配置一条域间包过滤规则。,防火墙基本概念域间(InterZone)配置,#在Trust和Untrust区域间出方向(上图中箭头3所示)上应用安全策略(例如ACL3101规则)。Eudemon firewall interzone untrust trust Eudemon-interzone-trust-untrust packet-filter 3
18、101 outbound 注:在防火墙上包过滤规则,Nat outbound等只能配置在域间,这样,防火墙基本概念会话(Session),会话会话是状态防火墙的基础,每一个通过防火墙的会话都会在防火墙上建立一个会话表项,以五元组(源目的IP地址、源目的端口、协议号)为Key值;通过建立动态的会话表来可以提供高优先级域更高的安全性,即如下图所示高优先级域可以主动访问低优先级域,反之则不能够;防火墙通过会话表还能提供许多新的功能,如加速转发,基于流的等价路由,应用层流控等。Eudemon 200防火墙对于一个流只建立一个Session表,而Eudemon 1000会建立2个。,防火墙基本概念会话(
19、Session)相关命令,查看会话表项 Eudemon display firewall session table删除会话表项 reset firewall session table配置会话表老化时间 Eudemon firewall session aging-time syn 20 注:有了动态创建的会话表后,会话表就成为了一个资源,为避免资源耗尽防火墙上的会话表都有老化时间,根据应用的不同可以单独设定;在指定的时间内没有报文通过的话会话表就会被老化掉,该机制在一些特殊的应用中会导致问题,请看后面章节中的长连接问题,防火墙基本概念服务表项(ServerMap),ServerMap 防火
20、墙设备和Nat设备在进行多通道协议通讯时需要支持的功能,即需要动态建立多通道协议中数据通道的包过滤规则和Nat转换规则ServerMap表项,这样数据通道报文才能正常通过防火墙或者进行正确的Nat转换,这才能保证多通道协议业务的正常。ServerMap的实质 ServerMap表项本质上是一个三元组表项,五元组表项过于严格,导致多通道协议不能通过防火墙,因为多通道协议再没有子通道报文通过的时候,并不知道完整的5元组信息,只能预测到3元组信息。ServerMap表项就是用在NAT ALG、ASPF当中,满足多通道协议通过防火墙设计的一个数据结构。,防火墙基本概念服务表项(ServerMap),相
21、关命令 查看ServerMap表项:Eudemon display firewall servermap 删除ServerMap表项(注:防火墙上没有单独的删除命令,在执行删除会话表的时候同时删除ServerMap表项):reset firewall session table,防火墙基本概念多通道协议,多通道协议 是指某个应用在进行通讯或提供服务时需要建立两个以上的会话(通道),其中有一个控制通道,其他的通道是根据控制通道中双方协商的信息动态创建的,一般我们称之为数据通道或子通道;多通道协议在防火墙应用以及NAT设备的应用中需要特殊处理,因为数据通道的端口是不固定的(协商出来的)其报文方向也
22、是不固定的多通道协议的典型应用 这种典型应用有很多,最典型的是ftp,其他的一般都如很音频和视频通讯有关如:H.323(包括T.120、RAS、Q.931和H.245等)、SIP、MGCP,此外许多实时聊天通讯软件也是多通道协议的,如MSN,QQ,ICQ等,防火墙基本概念 ASPF,丰富的ASPF功能保证开展业务时安全性得到保证。,Eudemon 防火墙支持ASPF(Application Specific Packet Filter):是一种改进的高级通信过滤技术,ASPF不但对报文的网络层的信息进行检测,还能对丰富的应用层协议进行深度检测,支持多媒体业务的NAT以及安全防范功能,支持的协议
23、包括:H323协议族、MGCP、SIP、H248、RTSP、HWCC及ICMP、FTP、DNS、PPTP、NBT、ILS、HTTP、SMTP等。支持对SMTP中的有害命令进行过滤。支持对HTTP中的 Activex/JAVA Appelt 进行过滤。,可以针对某些多通道协议(例如FTP)报文中的内容动态决定是否允许其通过防火墙。,ASPF 对多通道协议的支持,用户192.168.0.1,Eudemon防火墙,FTP server19.49.10.10,三次握手,防火墙创建Servermap表项,三次握手,Port 192,168,0,1,89,3,Port 192,168,0,1,89,3,2
24、00 Port Command OK,RETR Sample.txt,RETR Sample.txt,200 Port Command OK,150 Opening ASCII connection,150 Opening ASCII connection,SYN,检测Servermap表项,创建临时规则,打开FTP通道,192.168.0.1:22787,192.168.0.1:22787,SYN,防火墙基本概念NAT,NAT(Network Address Translation,地址转换)是将IP数据报报头中的IP地址转换为另一个IP地址的过程,NAT地址转换的基本过程,可以针对某些多通
25、道协议(例如FTP)报文中的内容动态创建ServerMap表项,保证Nat对应关系的正确性,从而确保业务正常,状态防火墙上NAT 对多通道协议的支持,用户192.168.0.1,Eudemon防火墙Nat outbound202.1.0.1,FTP server19.49.10.10,三次握手,防火墙创建Servermap表项 202.1.0.1:20001 192.168.0.1:22787,三次握手,Port 192,168,0,1,89,3,Port 202,1,0,1,78,33,200 Port Command OK,RETR Sample.txt,RETR Sample.txt,2
26、00 Port Command OK,150 Opening ASCII connection,150 Opening ASCII connection,SYN dest 202.1.0.1:2001,检测Servermap表项,命中后根据表项进行Nat转换,192.168.0.1:22787,202.1.0.1:20001192.168.0.1:22787,SYN dest 192.168.0.1:22787,业务能力NAT能力,丰富的NAT功能保证开启NAT后业务顺利实施。,Eudemon防火墙支持如下NAT功能:Eudemon系列可实现多对多地址转换、限制局部地址转换、内部服务器服务等特
27、性。可同时转换地址和端口(PAT),带给内部网络提供“隐私”保护。Eudemon防火墙的各种业务特性全部支持NAT,包括FTP、ICMP、NBT、QQ和MSN等,并可以通过“用户自定义”的ALG功能。支持完善的多媒体业务。可实现跨NAT的基于H.323(包括T.120、RAS、Q.931和H.245等)、SIP、MGCP、RTSP等协议的业务,能够和多媒体MCU、GK、视讯终端以及VOIP设备灵活组网,支持公网与私网,私网与私网间的呼叫。优异的NAT转换性能,支持每秒高达80万的并发连接数,满足城域网出口的转换需求。Eudemon防火墙不但可以保证多媒体业务网络的安全,同时可以实现数据业务和语
28、音业务的隔离。支持NAT多实例,不同用户的私网地址可重叠。,防火墙基本概念User-Define,user-define是一种特殊的ASPF应用,通过该功能可以根据用户的源地址端口创建三元组的ServerMap,可以用来解决使用同一个端口的多通道应用的问题即有些应用其控制通道和数据通道共用客户端的端口号。典型的应用是TFTPUser-define应用是一种依靠简单的方式创建ServerMap表项的应用。大部分情况下,ServerMap表项是由报文内容触发创建的,而部分业务是依靠报文的源地址、源端口就可以创建ServerMap表,这样的业务就可以采用User-define来进行定义。,可以针对某
29、些数据和控制通道共用端口的多通道协议(例如TFTP)报文中的源端口创建ServerMap保证该应用正常使用。,ASPF user-define对多通道协议的支持-TFTP,用户192.168.0.1,Eudemon防火墙,FTP server19.49.10.10,RRQ,Sample.txt,netascii,防火墙创建Servermap表项192.168.0.1:22787,RRQ,Sample.txt,netascii,(data.),(data),ACK,ACK,命中Servermap表项,建立会话表,打开TFTP数据通道,192.168.0.1:22787,192.168.0.1:2
30、2787,19.49.10.10:tftp(69),19.49.10.10:20001(Data),192.168.0.1:22787,TFTP get Sample.txt,TFTP put Sample.zip,WRQ,Sample.zip,octet,WRQ,Sample.zip,octet,19.49.10.10:tftp(69),192.168.0.1:22788,防火墙创建Servermap表项192.168.0.1:22788,19.49.10.10:20002(Data),(data),(data),192.168.0.1:22788,命中Servermap表项,建立会话表,打
31、开TFTP数据通道,19.49.10.10:20002(Data),192.168.0.1:22788,192.168.0.1:22788,防火墙组网基础出口网络典型配置(NAT),#1、配置接口地址并加入域Eudemon interface ethernet 1/0/0Eudemon-Ethernet1/0/0 ip address 202.168.0.65 26Eudemon firewall zone DMZEudemon-zone-untrust add interface ethernet 1/0/0#2、配置包过滤ACL规则Eudemon Acl 2000Eudemon rule
32、permit#3、配置Nat地址池Eudemon nat address-group 1 202.168.0.10 202.168.0.20#4、配置地址池Nat所需ACL规则Eudemon Acl 3000Eudemon rule permit ip source-address 192.168.0.0 0.0.0.255/注配置反掩码#5、配置域间包过滤规则Eudemon firewall interzone trust untrustEudemon-interzone-trust-untrust packet-filter 2000 outbound#6、配置域间Nat规则Eudemon
33、-interzone-trust-untrust nat outbound 3000 address-group 1 注:1)配置Nat的时候E200/E100可以配置Easy IP,但是E500/E1000目前不支持Easy IP的配置2)如果需要支持某些特殊的多通道协议需要打开相关的Nat alg。NAT ALG对性能影响较大(尤其是Eudemon500/1000),因此ALG业务打开要慎重,没有必要不要开。,RADIUS 服务器,日志服务器,内部网络192.168.0.0/24,对外FTP服务器,对外邮件服务器,对外WEB服务器,DMZ区,Internet,防火墙,通过防火墙将网络分隔成
34、为:内部网络部分、Internet部分、DMZ部分。网络各部分之间的相互访问都将受到不同的安全策略控制。DMZ域有三台服务器需要在防火墙上配置Nat Server,防火墙组网基础出口网络Nat Server配置,同时提供NAT Server服务202.168.0.10-192.168.1.100202.168.0.11:80-192.168.1.101:8080202.168.0.12:1021-192.168.1.102:ftp,Eth0/0/0192.168.0.1/24,Eth0/0/1202.168.0.1/26,192.168.1.0/24,Eth1/0/0192.168.1.1/2
35、4,192.168.1.100,192.168.1.101,192.168.1.102,防火墙组网基础典型配置(NAT Server),#1、配置接口地址并加入域Eudemon interface ethernet 1/0/0Eudemon-Ethernet1/0/0 ip address 202.168.0.65 26Eudemon firewall zone DMZEudemon-zone-untrust add interface ethernet 1/0/0#2、配置包过滤ACL规则Eudemon Acl 2000Eudemon rule permit#3、配置Nat ServerEu
36、demon nat server global 202.168.0.10 inside 192.168.1.100Eudemon nat server protocol tcp global 202.168.0.10 80 inside 192.168.1.100 8080Eudemon nat server protocol tcp global 202.168.0.12 1021 inside 192.168.1.102 ftp#4、配置访问Nat Server所需ACL规则Eudemon Acl 3000Eudemon rule permit ip destination-address
37、 192.168.0.10 0/注意目的地址配置私网地址#5、配置域间包过滤规则Eudemon firewall interzone DMZ untrustEudemon-interzone-DMZ-untrust packet-filter 3000 inbound 注:配置Nat Server的包过滤规则的时候E200/E100需要配置私网地址(inside地址),但是E500/E1000目前不需要配置ACL就能访问,如果要禁止访问的话可以通过配置ACL来禁止;另外在E200上如果想直接访问私网地址需要在域间配置firewall permit local ip;,防火墙基本概念黑名单(Bl
38、ackList),黑名单,指根据报文的源IP地址进行过滤的一种方式。同基于ACL的包过滤功能相比,由于黑名单进行匹配的域非常简单,可以以很高的速度实现报文的过滤,从而有效地将特定IP地址发送来的报文屏蔽。黑名单最主要的一个特色是可以由Eudemon防火墙动态地进行添加或删除,当防火墙中根据报文的行为特征察觉到特定IP地址的攻击企图之后,通过主动修改黑名单列表从而将该IP地址发送的报文过滤掉。因此,黑名单是防火墙一个重要的安全特性 说明 黑名单因为其动态特性,规则添加简单以及对报文过滤的操作简单性而曾经被广泛应用,不过随着高速ACL相关技术被广泛应用而逐渐失去优势,特别是在一些应用场景会出现一些
39、问题,因此在实际应用中不推荐使用。使用的时候一定要小心。,防火墙基本概念Mac地址绑定(Bind),MAC和IP地址绑定,指防火墙可以根据用户的配置,在特定的IP地址和MAC地址之间形成关联关系。对于声称从这个IP发送的报文,如果其MAC地址不是指定关系对中的地址,防火墙将予以丢弃。发送给这个IP地址的报文,在通过防火墙时将被强制发送给绑定的MAC地址,从而形成有效的保护,是避免IP地址假冒攻击的一种方式。MAC和IP地址绑定功能一般应用在与二层交换机直接相连的时候,可以防止假冒IP地址攻击,ARP Flood攻击,DHCP Flood攻击等,还可以应用于用户认证,防火墙基本概念访问控制列表(
40、ACL),ACL(Access Control List,访问控制列表)是防火墙实现数据流控制的手段之一,是防火墙安全策略最基本的规则。ACL根据数据包的源地址、目的地址、端口号、上层协议或其他信息定义一组数据流,并决定是否对该数据流进行后续操作。Eudemon 100&200中,ACL规则分为基本ACL规则、高级ACL规则和基于MAC地址的ACL规则。Eudemon 500&1000中,ACL规则分为基本ACL规则、高级ACL规则和防火墙ACL规则。对于上述四类ACL,可以通过数字型方式来标识,即使用数字来表示一个访问控制列表。ACL规则因为其能实现复杂的流分类特性而被广泛应用在防火墙各模块
41、,几乎需要进行流分类的模块都使用ACL进行流分类,防火墙基本概念包过滤,包过滤就是利用ACL对报文进行阻断的特性。在防火墙中,配置包过滤注意以下问题:默认的时候,防火墙所有规则都是关闭的。一般情况下应该先打开所有的规则,再禁止不必要的访问。防火墙上的包过滤需要对一个TCP/UDP连接的首包设定规则。反向报文是不需要额外设定规则的。这点和路由器包过滤不一样,主要原因就是防火墙是状态防火墙设备。防火墙的包过滤是设定在域间的,inbound、outbound的方向也是指的首包通过域间的方向。,防火墙基本概念统计(Statistic)应用,下图是防火墙的一个典型应用,当启动了外部网络到DMZ区域的基于
42、IP地址的统计分析功能时,如果外部网络对Web服务器129.9.0.1发起的TCP连接数超过了设定的阈值,将限制外部网络向该服务器发起新连接,直到连接数降到正常的范围。,防火墙基本概念服务质量保证(QOS),QOS:服务质量保证,是数通设备需要提供的基于服务的品质保证服务,防火墙上还支持基于应用的QOS,其基本处理流程如下:,防火墙基本概念P2P技术概述,Intel将P2P技术定义为“通过系统间的直接交换达成计算机资源与信息的共享”,这些资源与服务包括信息交换、处理器时钟、缓存和磁盘空间等Peer间以对等互动的方式,直接交换资讯与服务,来达到彼此的需求有别于过去client/server模型,
43、可以直接从网络上数以亿计的电脑中下载资料,PC可同时扮演client与server角色对等网络(P2P)技术是目前国际计算机网络技术领域研究的一个热点,被财富杂志誉为将改变互联网未来的四大新技术之一,防火墙基本概念P2P限流(P2P),对P2P流量可以进行精确控制,采用深度检测的方式,支持对P2P流量进行控制。支持采用划分时间段的方式对P2P流量进行控制。采用硬件方式实现对P2P流量进行监管,启用P2P流量监管不影响系统的性能。,防火墙基本概念端口映射(Port Mapping),端口映射:是解决端口和服务类型映射关系的一个配置功能,对于使用非知名端口提供知名服务时的业务识别非常有用,典型的f
44、tp的服务端口是21,如果有些用户将1021端口作为ftp的服务端口,怎么办呢?可以通过PortMap命令来绑定该对应关系,这样1021端口的服务就被自动识别成ftp服务了,另外如果该端口只对特定地址有效可以通过ACL来限制识别范围,此时显示映射关系如下:Eudemon display port-mapping SERVICE PORT ACL TYPE-ftp 21 system defined smtp 25 system defined http 80 system defined rtsp 554 system defined h323 1720 system defined ftp
45、1021 2010 user defined,防火墙基本概念日志(log),防火墙作为安全设备,除了提供通常的日志外还提供很多与安全相关的日志信息,包括用户每次会话的详细信息,攻击日志,应用流量日志等二进制日志:记录了用户每个会话的详细信息,可供后续分析统计使用应用流量日志:记录了防火墙上识别出来的各种应用的流量数据攻击日志:记录了防火墙上收到的各种攻击的信息,汇总后输出每30秒输出一次黑名单日志:记录用户被加入删除的详细情况,防火墙基本概念工作模式(Mode),目前,Eudemon防火墙能够工作在三种模式下:路由模式、透明模式、混合模式。如果防火墙以第三层对外连接(接口具有IP地址),则认为
46、防火墙工作在路由模式下;若防火墙通过第二层对外连接(接口无IP地址),则防火墙工作在透明模式下;若防火墙同时具有工作在路由模式和透明模式的接口(某些接口具有IP地址,某些接口无IP地址),则防火墙工作在混合模式下。下面分别进行介绍:路由模式透明模式混合模式注:有些防火墙分为路由模式,Nat模式,透明模式;对于Eudemon防火墙而言路由模式就包含这些防火墙所说的Nat模式,防火墙基本概念路由模式(Mode),当Eudemon防火墙位于内部网络和外部网络之间时,需要将防火墙与内部网络、外部网络以及DMZ三个区域相连的接口分别配置成不同网段的IP地址,重新规划原有的网络拓扑,此时相当于一台路由器(
47、如下图所示)。采用路由模式时,可以完成ACL包过滤、ASPF动态过滤、NAT转换等功能。然而,路由模式需要对网络拓扑进行修改,防火墙基本概念透明模式(Mode),如果Eudemon防火墙采用透明模式进行工作,只需在网络中像放置网桥(bridge)一样插入该Eudemon防火墙设备即可,无需修改任何已有的配置;此时防火墙就象一个交换机一样工作如下图所示,该工作模式在现网改造的时候很容易部署,不过目前Eudemon防火墙还不支持STP,因此如果存在网络二层环路的情况下需要慎重部署;另外Eudemon500/1000防火墙在透明模式下还有一个独特功能,可以提供透明模式下的Nat,该功能目前只有我们防
48、火墙能提供;,防火墙基本概念混合模式(Mode),如果Eudemon防火墙既存在工作在路由模式的接口(接口具有IP地址),又存在工作在透明模式的接口(接口无IP地址),则防火墙工作在混合模式下,这种工作模式基本上是透明模式和路由模式的混合,目前只用于透明模式下提供双机热备的特殊应用中,别的环境下不建议使用。其工作方式如下图所示:,防火墙基本概念双机热备(HRP),双机热备是防火墙提供网络层可靠性时所必须具备的特性,为了解决单台防火墙潜在的单点故障风险,在高可靠性网络中都要求两台防火墙提供双机热备功能,其特征是要求网络中不存在任何单点和单链路故障,一般要求具备以下特性:需要支持真正的状态热备技术
49、,保证防火墙主备切换业务不中断;需要支持的组网方式灵活多变,并能支持多个安全域之间的热备;需要保证切换时延尽量短,一般要求在1.5秒以内;需要保证整个网络中不存在单点故障,任何设备、链路出现故障都能保护;双机热备功能本身不能影响系统性能;支持状态触发切换,以及防火墙主动抢占功能,防火墙基本概念双机热备(HRP)续,由于目前流行的防火墙都是状态防火墙,状态防火墙有别于一般数通设备的地方就是需要有动态创建的状态表,而这通常要求对于特点的会话而言其上下行报文必须通过同一台防火墙,因此需要双机热备还支持以下特性:解决报文来回路径一致问题(所谓来回路径一致指同一个会话上下行的报文需要经过同一台防火墙);
50、需要支持网关透明切换问题,该过程对用户透明,因为大部分防火墙都部署在局域网,而局域网上大部分设备不支持动态路由协议;,防火墙基本概念虚拟专用网络(VPN),虚拟私有网(Virtual Private Network)简称VPN,是近年来随着Internet的广泛应用而迅速发展起来的一种新技术,用以实现在公用网络上构建私人专用网络。“虚拟”主要指这种网络是一种逻辑上的网络。目前防火墙上提供L2TP和IPSec VPN服务,其中E200还支持GRE,而E500/E1000不支持GREVPN原理如下图所示,其实质是通过隧道技术让用户通过公网直接访问用户自己的私网:,防火墙基本概念VPN分类,按技术分
