01.TCSP防火墙技术原理教程讲解.ppt

防火墙的体系结构(1) 过滤路由器（Filtering Router）: 过滤路由器作为内外网连接的唯一通道，通过ACL策略要求所有的报文都必须在此通过检查，实现报文过滤功能。 它的缺点是一旦被攻陷后很难发现，而且不能识别不同的用户（没有日志记录）。 基本功能 地址转换 访问控制 VLAN支持 带宽管理（QoS） 入侵检测和攻击防御 用户认证 IP/MAC绑定 动态IP环境支持 数据库长连接应用支持 路由支持 ADSL拨号功能 SNMP网管支持 日志审计 高可用性 防火墙具有内置的IDS模块，可以有效检测并抵御常见的攻击行为，用户通过简单设置即可保护指定的网络对象免于受到以下类型的攻击：1.统计型攻击，包括：Syn Flood、UDP FLOOD、ICMP FLOOD、IP SWEEP、PORT SCAN。2.异常包攻击，包括：Land、Smurf、PingofDeath、Winnuke、TcpScan、IpOption等 高可用性-双系统冗余 扩展功能--病毒过滤功能(1) 扩展功能--病毒过滤功能(2) 扩展功能-- IPSEC VPN功能 支持DDNS功能 防火墙的局限性 防火墙虽然是保护网络安全的基础性设施，但是它还存在着一些不易防范的安全威胁： 首先防火墙不能防范未经过防火墙或绕过防火墙的攻击。例如，如果允许从受保护的网络内部向外拨号，一些用户就可能形成与Internet的直接连接。 防火墙基于数据包包头信息的检测阻断方式，主要对主机提供或请求的服务进行访问控制，无法阻断通过开放端口流入的有害流量，并不是对蠕虫或者黑客攻击的解决方案。 另外，防火墙很难防范来自于网络内部的攻击或滥用。 防火墙的“胖”与“瘦” 胖防火墙的定义 “胖”防火墙是指功能大而全的防火墙，它力图将安全功能尽可能多地包含在内，从而成为用户网络的一个安全平台； 胖防火墙的优势与不足 优势： 首先是功能全 其次是控制力度细 第三是协作能力强 降低采购和管理成本 不足： 主要表现在性能降低 其次是自身安全性相对较弱 还有专业性不强，表现为功能模块的拼凑 第四是稳定性不强，系统越大，BUG越多 最后是配置复杂，不合理的配置会带来更大的安全隐患 瘦防火墙的定义 “瘦”防火墙是指功能少而精的防火墙，它只作访问控制的专职工作，对于综合安全解决方案，则采用多家安全厂商联盟的方式来实现。 瘦防火墙的优势与不足 优势： 性能高 注重核心功能，专业性强 整体安全性高 配置简单，简化对管理员的专业要求 不足： 功能单一 整体防护能力不能满足需求 整体采购成本较高 构建联动、统一的动态安全防护体系 无论是“胖”防火墙的集成，还是“瘦”防火墙的联动，安全产品正在朝着体系化的结构发展，所谓“胖瘦”不过是这种体系结构的具体表现方式，“胖”将这种体系表现在一个产品中，而“瘦”将这种体系表现在一系列产品或是说一个整体方案中。 同时，不管哪种体系结构，都必须通过安全管理中心来监控、协调、管理网络中的其他安全产品和网络产品，构建联动、统一的动态安全防护体系。 防火墙硬件架构 基于X86体系的通用CPU架构 基于网络处理器的NPU架构 基于专用处理芯片的ASIC架构 网络处理器NPU则是专门为处理数据包而设计的可编程处理器，同时，其硬件体系结构的设计大多采用高速的接口技术和总线规范，具有较高的I/O能力； NP架构防火墙采用的是微引擎编程，在它的每一个网口上都有一个网络处理器（NPU），具有很强的编程灵活性，是一个高度整合的，可编程的数据处理器。因此，NP架构实质是以软件编码方式处理来自各个网口的数据转发。 在实际编码中，微引擎编程难度是比较大的，需要根据实践经验不断的总结。一般来说，通过微码（微引擎）仿真便可以发现和定位大多数问题，但是这种仿真与硬件仿真还是有很大的区别的，最终也会导致NP防火墙产品综合成本较高，稳定性开发周期长，相比之下，其成熟性远不及ASIC和Intel IA 架构。 最佳组合： 在系统控制与管理、数据高速处理转发等方面，通用CPU和可编程ASIC将各司其职，共同为防火墙系统提供灵活的服务！ 背靠背 定义：从空闲状态开始，以达到传输介质最小合法间隔极限的传输速率发送相当数量的固定长度的帧，当出现第一个帧丢失时，发送的帧数。 衡量标准：背对背包主要是指防火墙缓冲容量的大小 ,网络上经常有一些应用会产生大量的突发数据包（例如：NFS,备份，路由更新等），而且这样的数据包的丢失可能会产生更多的数据包的丢失，强大缓冲能力可以减小这种突发对网络造成的影响。 Smartbits 6000B 测试仪 时间（t） 包数量（n） 少量包 包增多 峰值 包减少 没有数据 背靠背是体现防火墙对突发数据的