DC050002Eudemon防火墙基础ISSUE10概论.pptVIP

DC050002 Eudemon防火墙基础;前 言;参考资料;目 标;内容介绍;什么叫防火墙;防火墙技术发展介绍－防火墙的分类;包过滤防火墙(Packet Filtering) 此类防火墙布放在网络中的适当位置，利用数据包的五元组的部分或者全部的信息，按照定义的规则ACL对通过的数据包进行过滤。这是一种基于网络层的安全技术，对于应用层的黑客行为无能为力。 包过滤防火墙简单，但是缺乏灵活性；包过滤防火墙每包需要都进行策略检查，策略过多会导致性能急剧下降； 包过滤防火墙对于任何应用需要配置双方向的ACL规则，不能提供差异性保护;包过滤技术介绍;代理型防火墙（application gateway） 代理型防火墙使得防火墙做为一个访问的中间节点，对Client来说防火墙是一个Server，对Server来说防火墙是一个Client，转发性能低； 此类防火墙安全性较高，但是开发代价很大。对每一种应用开发都需要一个对应的代理服务，因此代理型防火墙不能支持很丰富的业务，只能针对某些应用提供代理支持； 代理型防火墙很难组成双机热备的组网，因为状态无法保持同步；;包过滤防火墙的困难;采用状态检测技术的防火墙产品是现在的主流;在状态防火墙中会动态维护着一个Session表项，通过Session表项来检测基于TCP/UDP连接的连接状态，动态地判断报文是否可以通过，从而决定哪些连接是合法访问，哪些是非法访问。;在状态防火墙中对于多通道协议（例如FTP）还需要深入检测该协议的控制通道信息，并根据该信息动态创建servermap表项保证多通道协议应用的正常;门 防火墙;防火墙能提供的功能 监控和审计网络的存取和访问：过滤进出网络的数据，管理进出网络的访问行为，封堵某些禁止的业务，记录通过防火墙的信息内容和活动，对网络攻击进行检测和告警。 部署于网络边界，兼备提供网络地址翻译(NAT)、虚拟专用网(VPN)等功能 防病毒、入侵检测、认证、加密、远程管理、代理 …… 深度检测对某些协议进行相关控制 攻击防范，扫描检测等;防火墙的局限性;内容介绍;1、吞吐量：是指防火墙对报文的处理能力。 业界一般都是使用1K～1.5Kbyte的大包来衡量防火墙对报文的处理能力。但网络流量大部分???200Byte字节报文，因此需要考察防火墙小包下转发性能。同时由于防火墙需要配置规则，因此还需要考察防火墙支持ACL下的转发性能。 2、每秒建立连接速度：指的是每秒钟可以通过防火墙建立起来的完整TCP连接。 由于防火墙的连接是根据当前通信双方状态而动态建立的。每个会话在数据交换之前，在防火墙上都必须建立连接。如果防火墙建立连接速率较慢，在客户端反映是每次通信有较大延迟。因此支持的指标越大，转发速率越高。在受到攻击时，这个指标越大，抗攻击能力越强。这个指标越大，状态备份能力越强。 3、并发连接数目：是指的可以同时容纳的最大的连接数目。 由于防火墙是针对连接进行处理报文的，并发连接数目是指的防火墙可以同时容纳的最大的连接数目，一个连接就是一个TCP/UDP的访问。;Eudemon 系列设备;Eudemon设备性能介绍;防火墙基本概念——安全区域（Zone）;防火墙基本概念——安全区域（Zone）续;防火墙基本概念——安全区域（Zone）配置;防火墙基本概念－－域间（InterZone）;防火墙基本概念－－域间（InterZone配置）;;防火墙基本概念－－会话（Session）;防火墙基本概念－－会话（Session）相关命令;防火墙基本概念－－服务表项（ServerMap）;防火墙基本概念－－服务表项（ServerMap）;防火墙基本概念－－多通道协议;;用户A;ASPF基本工作原理－－单通道协议;FTP server;ASPF基本工作原理－－多通道协议;ASPF可以针对某些多通道协议（例如FTP）报文中的内容动态决定是否允许其通过防火墙。;防火墙基本概念－－NAT;可以针对某些多通道协议（例如FTP）报文中的内容动态创建ServerMap表项，保证Nat对应关系的正确性，从而确保业务正常;;;;;防火墙基本概念－－黑名单（BlackList）;防火墙基本概念－－Mac绑定（Bind）;防火墙基本概念－－访问控制列表（ACL）;包过滤就是利用ACL对报文进行阻断的特性。 在防火墙中，配置包过滤注意以下问题： 默认的时候，防火墙所有规则都是关闭的。一般情况下应该先打开所有的规则，再禁止不必要的访问。 防火墙上的包过滤需要对一个TCP/UDP连接的首包设定规则。反向报文是不需要额外设定规则的。这点和路由器包过滤不一样，主要原因就是防火墙是状态防火墙设备。 防火墙的包过滤是设定在域间的，inbound、outbound的方向也是指的首包