1、2013-1-7防火墙培训目录 一、防火墙概念 二、主流品牌防火墙的介绍、基本工作原理 三、主流品牌防火墙常见组网方式及配置示例 四、防火墙的维护一、防火墙的概念 1、防火墙的概念 2、防火墙和路由器的差异 3、防火墙的分类1、防火墙的概念随着 Internet的日益普及,许多 LAN(内部网络)已经直接可以接入 Internet网络,这种开放式的网络同时带来了许多不安全的隐患。在开放网络式的网络上,我们的周围存在着许多不能信任的计算机(包括在一个 LAN之间),这些计算机对我们私有的一些敏感信息造成了很大的威胁。在大厦的构造 , 防火墙被设计用来防止火从大厦的一部分传播到大厦的另外一部分 。
2、 我们所涉及的防火墙服务具有类似的目的: “ 防止 Internet的危险传播到你的内部网络 ” 。现代的防火墙体系不应该只是一个 “ 入口的屏障 ” ,防火墙应该是几个网络的接入控制点,所有经过被防火墙保护的网络的数据流都应该首先经过防火墙,形成一个信息进入的关口,因此防火墙不但可以保护内部网络在 Internet中的安全,同时可以保护若干主机在一个内部网络中的安全。在每一个被防火墙分割的网络中,所有的计算机之间是被认为 “ 可信任的 ” ,它们之间的通信可以不受防火墙的干涉。而在各个被防火墙分割的网络之间,必须按照防火墙规定的 “ 策略 ” 进行互相的访问 。简单的说,防火墙是保护一个网络
3、免受 “ 不信任 ” 的网络的攻击,但是同时还必须允许两个网络之间可以进行合法的通信。防火墙应该具有如下基本特征:经过防火墙保护的网络之间的通信必须都经过防火墙。只有经过各种配置的策略验证过的合法数据包才可以通过防火墙。防火墙本身必须具有很强的抗攻击、渗透能力。防火墙可以保护内部网络的安全,可以使受保护的网络避免遭到外部网络的攻击。硬件防火墙应该可以支持若干个网络接口,这些接口都是 LAN接口(如 Ethernet、 Token Ring、 FDDI),这些接口用来连接几个网络。在这些网络中进行的连接都必须经过硬件防火墙,防火墙来控制这些连接,对连接进行验证、过滤。连接不受信网络区域连接受信网
4、络区域在连接受信网络区域和非受信网络区域之间的区域,一般称为 DMZ。2、防火墙和路由器的差异A的报文如何能最快的到 B? 网络 A如何和网络 B互联互通?过来一个报文立刻转发一个报文。网络 A 网络 B交流路由信息这个访问是否允许到 B?这个 TCP连接是合法连接吗?这个访问是否是一个攻击行为?路由器的特点:保证互联互通。按照最长匹配算法逐包转发。路由协议是核心特性。防火墙的特点:逻辑子网之间的访问控制,关注边界安全基于连接的转发特性。安全防范是防火墙的核心特性。由于防火墙具有基于连接监控的特性,因此防火墙对业务支持具有非常强的优势。而路由器基于逐包转发的特点,因此路由器设备不适合做非常复杂
5、的业务,复杂的业务对路由器的性能消耗比较大。防火墙支持的接口不如路由器丰富,支持的路由协议不如路由器丰富,因此防火墙不适合做为互联互通的转发设备。防火墙适合做为企业、内部局域网的出口设备,支持高速、安全、丰富的业务特性。3、防火墙的分类按照防火墙实现的方式,一般把防火墙分为如下几类: 包过滤防火墙 (Packet Filtering)包过滤利用定义的特定规则过滤数据包,防火墙直接获得数据包的 IP源地址、目的地址、TCP/ UDP的源端口、和 TCP/UDP的目的端口。利用以上的部分或者全部的信息按照规则进行比较,过滤通过防火墙的数据包。规则的定义就是按照 IP数据包的特点定义的,可以充分利用
6、上述的四个条件定义通过防火墙数据包的条件。包过滤防火墙简单,但是缺乏灵活性。另外包过滤防火墙每包需要都进行策略检查,策略过多会导致性能急剧下降。 代理型防火墙( application gateway)代理型防火墙使得防火墙做为一个访问的中间节点,对 Client来说防火墙是一个 Server,对 Server来说防火墙是一个 Client。代理型防火墙安全性较高,但是开发代价很大。对每一种应用开发一个对应的代理服务是很难做到的,因此代理型防火墙不能支持很丰富的业务,只能针对某些应用提供代理支持。 状态检测防火墙状态检测是一种高级通信过滤。它检查应用层协议信息并且监控基于连接的应用层协议状态。
7、对于所有连接,每一个连接状态信息都将被 ASPF维护并用于动态地决定数据包是否被允许通过防火墙或丢弃。现在防火墙的主流产品为状态检测防火墙。包过滤技术 包过滤的防火墙根据定义好的过滤规则审查每个数据包,以便确定其是否与某一条包过滤规则匹配。过滤规则基于数据包的报头信息进行制订。报头信息中包括 IP源地址、 IP目标地址、传输协议 (TCP、 UDP、 ICMP等等 )、 TCP/UDP目标端口、 ICMP消息类型等。以以色列的 Checkpoint防火墙和 Cisco公司的 PIX防火墙为代表 。IP包过滤技术介绍 对防火墙需要转发的数据包,先获取包头信息,然后和设定的规则进行比较,根据比较的结果对数据包进行转发或者丢弃。而实现包过滤的核心技术是访问控制列表。Internet公司总部内部网络未授权用户办事处代理型防火墙技术 应用代理型防火墙是内部网与外部网的隔离点,起着监视和隔绝应用层通信流的作 用。同时也常结合入过滤器的功能。它工作在 OSI模型的最高层,掌握着应用系统中可用作安全决策的全部信息 。以美国 NAI公司的 Gauntlet防火墙为代表 。
