netscreen 防火墙基本概念.pptVIP

NetScreen Security Concepts NetScreen 防火墙基本概念 目标 防火墙部署的必要性 构成防火墙安全特性和功能的组建包括以下的内容： Virtual Systems (VSYS) Zones Policies Virtual Routers Interfaces 了解和分析数据包是如何通过防火墙的 如何正确部署防火墙设备，为企业的网络保驾护航。 安全设备的必备条件 数据包的转发： Bridging (Layer 2) Routing (Layer 3) 防火墙 基于 IP, TCP/UDP, 的内容过滤 ，以及针对应用层的内容过滤。 NAT 网络地址翻译 私网到公网的地址翻译 Virtual Private Networks （虚拟专用网络） 封装、认证、加密 主要通过IPSec来实现 Layer 2 Frame Forwarding (Bridging/Switching) 透明模式的功能 Learning (based on Source MAC address) Forward/Flood/Filter (based on Destination MAC address) Loop prevention (Spanning Tree protocol) Layer 3 Packet Forwarding (Routing) 根据目的地址转发数据包 主要的路由协议 Static routes Dynamic routes (RIP, OSPF, BGP) Default routes Firewall 根据包头进行过滤 IP (SA, DA, Protocol) TCP/UDP (Port #) 实现安全策略的方法： 网络/端口 地址翻译 把私网地址转换为公网的地址 虚拟专用网络（VPN） 在Internet 中传输的数据提供加密的隧道 封装 加密 认证 传统防火墙的特点 外网 Internet or another public network No control 内网 Our private network We have control 停火区（DMZ） 能够为Internet 提供访问服务。 DMZ区可能遭受到黑客的入侵 提供WEB ，邮件， FTP 等服务 Next Step: No Trusted Networks 内部网络中的安全需求 企业网络面临的新的挑战 部署 更加灵活 可以对企业网络进行预测 NetScreen 防火墙的安全特点 NetScreen 的解决方案是针对新的安全挑战 提供更加灵活部署、可以预测的性能、更加安全的保证。 构成: Interfaces Zones Virtual Routers Policy Virtual Systems 安全体系的组成 安全的概念——功能 防火墙的主要作用是阻止企业不希望通过防火墙的流量从防火墙通过。 防火墙有以下的分类： 包过滤 应用代理 状态检测 应用网关 攻击防御 包过滤 对数据包头进行安全过滤 Source/Destination IP Protocol Number Source/Destination Port TCP Ack Flag 大多数的路由器可以实现这个功能 不能了解数据包通过防火墙时候的状态 容易造成地址欺骗的发生 应用代理 对特定的应用程序做代理服务器。 防火墙充当代理服务器的作用实现对流量的访问控制 HTTP and FTP are two commonly used proxies 防火墙可以直接检查应用层的数据，同时根据管理员的需要决定是否允许数据包通过。 实现第七层（OSI模型）的内容过滤 性能比包过滤防火墙要差 状态检测 根据数据包的状态以及我们的访问控制规则决定是否允许数据包通过。 通过多项指标保持IP数据包的连接状态（3-7）层 新的连接被检查后添加到状态表中 只有已经建立session 的数据包和被防火墙允许通过的数据包才能够通过防火墙系统。 提供比包过滤防火墙更高级别的防火墙安全体系 比代理网关型防火墙速度更快，但是可能无法提供像代理网关那样细度的访问控制。 应用层网关 (ALGs) 特殊协议的特点 特殊的命令 动态打开的端口 例如： FTP H.323 ALGs 的开发使得防火墙能够满足更加复杂的应用环境， 支持协议中的多端口，端口重定向 支持每个会话中动态打开/关闭的端口 攻击防御 拒绝服务攻击 SCREEN functions 病毒 Anti-Virus scanning 恶意数据攻击 通过DI中的攻击签名进行防御 NetScreen Decision Process/Packet Flow Packet Flow Example Packet Flow Example