Eudemon系列防火墙基础知识.ppt

Eudemon 系列防火墙用服培训 基础知识部分 引入 随着Internet的日益普及，开放式的网络带来了许多不安全的隐患。在开放网络式的网络上，我们的周围存在着许多不能信任的计算机（包括在一个LAN之间），这种这些计算机对我们私有的一些敏感信息造成了很大的威胁。 在大厦的构造中，防火墙被设计用来防止火灾从大厦的一部分传播到大厦的另一部分。我们所涉及的“防火墙”具有类似的目的：“防止Internet的危险传播到你的内部网络”。 什么叫防火墙? 防火墙(Fire Wall)：简单的说，网络安全的第一道防线，是位于两个信任程度不同的网络之间（如企业内部网络和Internet之间）的设备，它对两个网络之间的通信进行控制，通过强制实施统一的安全策略，防止对重要信息资源的非法存取和访问以达到保护系统安全的目的。 防火墙 = 硬件 + 软件 + 控制策略 宽松控制策略：除非明确禁止，否则允许。 限制控制策略：除非明确允许，否则禁止。 防火墙的特性： 内部和外部之间的所有网络数据流必须经过防火墙 只有被安全政策允许的数据包才能通过防火墙 防火墙本身要具有很强的抗攻击、渗透能力 防火墙的简单定义 简单的说，防火墙是保护一个网络免受“不信任”的网络的攻击，但是同时还必须允许两个网络之间可以进行合法的通信。防火墙应该具有如下基本特征： 经过防火墙保护的网络之间的通信必须都经过防火墙。 只有经过各种配置的策略验证过的合法数据包才可以通过防火墙。 防火墙本身必须具有很强的抗攻击、渗透能力。 防火墙可以保护内部网络的安全，可以使受保护的网络避免遭到外部网络的攻击。硬件防火墙应该可以支持若干个网络接口，这些接口都是LAN接口（如Ethernet、Token Ring、FDDI），这些接口用来连接几个网络。在这些网络中进行的连接都必须经过硬件防火墙，防火墙来控制这些连接，对连接进行验证、过滤。 防火墙在安全体系中的位置 防火墙的功能 防火墙的局限性 防火墙技术发展介绍－防火墙的分类 防火墙的关键技术 包过滤技术 代理技术 状态检测技术 网络地址翻译 NAT 虚拟专用网 VPN 应用协议特定的包过滤技术ASPF 双机热备技术 QOS技术 应用层流控技术包括P2P限流 防攻击技术，DPI技术 包过滤防火墙(Packet Filtering) 包过滤技术介绍 对路由器需要转发的数据包，先获取包头信息，然后和设定的规则进行比较，根据比较的结果对数据包进行转发或者丢弃。 实现包过滤的核心技术是访问控制列表ACL。 代理型防火墙(Application Gateway) 状态检测防火墙 状态检测防火墙工作原理(单通道协议) 状态检测防火墙工作原理(多通道协议) 防火墙主要规格介绍－性能衡量指标 Eudemon 200：高效可靠的体系结构 双总线 防火墙基本概念——安全区域（Zone） 防火墙的内部划分为多个区域，所有的转发接口都唯一的属于某个区域 防火墙基本概念——安全区域（Zone）续 根据防火墙的内部划分的安全区域关系，确定其所连接网络的安全区域 防火墙基本概念——安全区域（Zone）配置 域间（InterZone）： 防火墙在引入域概念的同时也引入了域间概念；任何不同的安全域之间形成域间关系，Eudemon防火墙上大部分规则都是配置在域间上，为了便于描述同时引入了域间方向的概念： inbound ： 报文从低优先级区域进入高优先级区域为入方向； outbound ： 报文从高优先级区域进入低优先级区域为出方向 ； ? 说明： 安全策略只能应用在安全区域之间（即配置在域间），从而对分属不同安全区域的接口之间的信息流根据配置的安全策略进行安全检查。 一个安全域间的某个方向上只能配置一条域间包过滤规则。 # 在Trust和Untrust区域间出方向（上图中箭头3所示）上应用安全策略（例如ACL3101规则）。 [Eudemon] firewall interzone untrust trust [Eudemon-interzone-trust-untrust] packet-filter 3101 outbound 注：在防火墙上包过滤规则，Nat outbound等只能配置在域间，这样 会话 会话是状态防火墙的基础，每一个通过防火墙的会话都会在防火墙上建立一个会话表项，以五元组（源目的IP地址、源目的端口、协议号）为Key值；通过建立动态的会话表来可以提供高优先级域更高的安全性，即如下图所示高优先级域可以主动访问低优先级域，反之则不能够；防火墙通过会话表还能提供许多新的功能，如加速转发，基于流的等价路由，应用层流控等。 Eudemon 200防火墙对于一个流只建立一个S