文档介绍:防火墙制作人:袁清国防火墙概述1、网络设备(系统)简介路由器、(二/三)层交换机、防火墙、VPN、|DS|PS、UTM、计费网关、AAA设备、流控(流量整形)系统、上网行为管理系统、日志系统、网络管理系统、桌面管理系统、物理网闸、负载均衡等2、防火墙定义防火墙是位于两个或多个网络之间,执行访问控制策略的一个设备或组系统的总称。3、防火墙的功能及作用它可以有效地保护本地系统或网络,抵制外部网络安全威胁,同时支持受限的通过WAN或Interne对外界进行访问基本功能:(1)限定内部用户访问外部网络(内网对外网访问的控制)。(2)防止未授权用户访问内部网络(外部对内部的访问控制)3)允许内部网络中的用户访问外部网络而不泄漏自身的数据和资源(例如通过NAT后对外网不可见,单向PNG)。(4)记录通过防火墙的信息内容和活动(日志功能)。(5)对网络攻击进行监测报警及防御(基本的网络安全检测防御能力)(6)使用互连/NAT方式进行网络组建扩展功能(1)路由和网桥模式的安全防御2)实现VPN的功能。(3)和IDS联动或集成IDs/IPS功能(4)集成流量控制的功能,实现负载均衡功能(5)集成网络计费,防范垃圾邮件,网页内容过滤,防范病毒/木马3、防火墙的分类软/screen,CiscopIx,/ASA,H3Csecpath,天融信,神码DCFW,锐捷RG-wal,中软,联想网御等软件防火墙:ISA,monO,Checkpoint,Iptables,pfsense,电信级:华为Eudemon100E、DCFW-1800E网间防火墙:企业级:ISA,DCFW-1800s,PX515/525/525SOHO%K:Cisco501/506,SONICWALL按照用途服务器防火墙:Blackice诺顿、Checkpoint服务防火墙:SecurelIsWeb、Anti-ARP、抗DDos防火墙等个人防火墙:瑞星、天网、费尔、ZoneAlarmNP架构(网络处理器):天融信,联想网御按硬件体系结构ASC架构(专用集成电路):soX86架构(PC架构工控机):国内大部分的SOHO防火墙包过滤防火墙:Winroute,ROs,大部分的硬件路由器按工作原理应用级代理防火墙:Wingate,proxy状态监测防火墙:IsA,mon0,大部分的硬件防火墙4、防火墙的工作原理(1)包过滤防火墙(静态包过滤)包过滤防火墙工作在网络层,对数据包的源及目地IP具有识别和控制作用,对于传输层,也只能识别数据包是TCP还是UDP及所用的端口信息现在的路由器、三层交换机以及某些操作系统已经具有包过滤的控制能力。优点:由于只对数据包的IP地址、TcP/UDP协议和端口进行分析,包过滤防火墙的处理速度较快,并且易于配置。缺点:不能有效防范黑客入侵,不支持应用层协议,不能处理新的安全威胁。工P毛只检查报头TCP包过痣防墙工作原理图2)应用代理技术防火墙:应用代理网关防火墙彻底隔断内网与外网的直接通信,内网用户对外网的访问变成防火墙对外网的访问,然后再由防火墙转发给内网用户所有通信都必须经应用层代理软件转发,访问者任何时候都不能与服务器建立直接的TCP连接,应用层的协议会话过程必须符合代理的安全策略要求。工PTCPWEB/FTP/Socke代理毛晝只检测数据应用代理防火墙原理图优点:可以检查应用层、传输层和网络层的协议特征,对数据包的检测能力比较强,网络安全级别高。缺点,难于配置,处理速度非常慢,需配置各种代理。(3)状态检测防火墙(动态包过滤)状态检测防火墙摒弃了包过滤防火墙仅考查数据包的IP地址端口等几个参数,而不关心数据包连接状态变化的缺点,在防火墙的核心部分建立状态连接表,并将进出网络的数据当成一个个的会话,利用状态表跟踪每一个会话状态。状态监测对每一个包的检查不仅根据规则表,更考虑了数据包是否符合会话所处的状态,因此提供了完整的对传输层的控制能力工P目三只枪查报头TCP建立连接状态表状态位测防!墙工作理图优缺点:包转发效率和网络安全性高,但对应用层的控制较差。5、防火墙的工作模式防火墙的工作模式有路由模式、透明桥模式和混合模式三大类。(1)路由模式:防火墙可以充当路由器,提供路由功能。防火墙缺省工作模式,防火墙可以充当路由器,提供路由功能防火墙的各个接口处于不同的网段内部网络(2)网桥模式:防火墙可以方便的接入到网络(类似于交换机),而且保持所有的网络设备配置完全不变。Router防火墙可以方便的接入到网络,而且保持所有的网络设备配置完全不变3Switch此时防火墙类似网桥的工作方式,降低网络管理的复杂度内部网络(3)混合模式:防火墙同时工作在路由模式和桥模式(NAT基于路由模式)。火墙同时工作在路由模式和桥模NAT路由DMZ区内部网络(4)