防火墙性能指标
• 吞吐率
Single-Rule Bi 64帧 吞吐量率 40% 30% 20% 10% 0%
1
CISCO PIX525防火墙 FORTIGATE(F400)防火墙 NETSCREEN208防火墙 诺基亚IP530防火墙 NORTEL ASF185FE防火墙 SERVGATE EdgeForce防火墙 联想防火墙 龙马卫士防火墙 清华德实防火墙 上海方正防火墙 天融信防火墙 亿阳信通防火墙
网络系统安全基础
体系/技术/产品
主讲人：刘恒 2003年10月
主要内容
体系 技术 产品
防火墙 入侵检测与应急响应 网络防病毒 安全评估与漏洞扫描 网络审计 CA系统
主要内容
体系 技术 产品
防火墙 入侵检测与应急响应 网络防病毒 安全评估与漏洞扫描 网络审计 CA系统
紧急响应体系
落实项目的安全审核工作 策略体系开发和建立
业务连续性管理 安全组织建设
策略的有效发布和执行
安全培训与资质认证
落实安全责任文件
可信信道
冗余、备份和恢复
非优先项目
数据源鉴别
网络设备安全
日志监控系统 动态口令系统
聘请专业公司或者专家作为顾问 制订全员网络安全教育计划
第三方安全管理
策略的定期审查和修订
长期项目
安全管理中心和网络安全平台
PKI体系可行性分析
BS7799认证项目
表示支持或支撑作用
体系到解决方案
IT安全框架
资产风险评估服务 威胁
防护措施
策略框架顾问服务组织框架
顾安问全服管务理 运作平框台架
技术框架
鉴别和认证 CA/RI&SAA
基于系统
访网A问C络功和架能控构制 安全A分C 析 防火墙
加密机 加密机
数
数抗据来自据抵完 整
保 密
赖
性
性
流量分析 入侵监测
网络结构设计， 路由系统安全， 基础服务安全，
网络管理
审
可
用
计
性
PDR主要技术
防护的主要技术 •访问控制:ACL,VLAN,防火墙 •加密机,VPN •认证,CA
检测的主要技术 •入侵检测系统 •漏洞扫描系统 •病毒防护
响应的主要技术 •报警、记录、阻断、联动、反击
6. OS 平 台
专用安全操作系统
专用安全操作系统
7. 支 持 SNM P、 是
是
V PN
8. 内 容 过 滤
内 置 、 URL 级 信 息 过 滤
HTTP、 POP3、 FTP、 TELNET、 SNMP
9.
能 防 御 DOS 攻击类型
端 口 扫 描 、 拒 绝 服 务 、 IP 欺 骗 、 非 法 IP 报 攻 击 等 待 100 多 种
为什么要使用防火墙 ？
• 防火墙具有很好的保护作用。入侵者必须首 先穿越防火墙的安全防线，才能接触目标计算 机。可将防火墙配置成许多不同保护级别。高 级别的保护可以禁止一些服务，如视频流， Java，ActiveX，JavaScript脚本等
• 有时需要将内部网络划分为多个网段，为不 同的部门设置不同的访问级别
硬件
硬件
百兆光纤、百兆以太网
百兆光纤、百兆以太网
2— 6
≥3
2 .5 万
16 万
100M
100M
专用安全操作系统
专用安全操作系统
是
是
支 持 实 时 代 码 检 测 ， 可 外 接 防 病 HTTP、 POP3、 FTP、 TELNET、
毒网关
SNMP
D D O S ， S Y N F L O O D IN G
防火墙典型部署
防火墙
代理式防火墙部署示意图
实际服务器
外部主机
代理 管理终端
代理客户 内部主机
内部网络
主要防火墙品牌
• 中网 • 川大能士 • 方正数码 • 海信数码 • 华堂 • 华依科技 • 联想 • 龙马卫士通 • 三星防火墙 • 四川迈普 • 亿阳信通 • 中软华泰 • 中网通讯 • 天融信 • 东软
东软NetEye与PIX比较
产品名称
东 软 NetEye FW3.2
思 科 PIX515E
1. 产 品 类 型
硬件
硬件
2. 接 口 类 型
千兆光纤、千兆以太网
百 兆 RJ-45
3. LAN 接 口 数
3
2-6 个
4. 并 发 连 接 数
100 万
13 万
5. 防 火 墙 性 能
700M
188M
6. OS 平 台
内 置 ID S 功 能
本 地 管 理 和 远 程 管 理 ，S S H ，W E B
界面
W EB、 RS232、 SSH、 SSL
11. HA 系 统
双机备份、负载均衡
12. 处 理 日 志 的 方 支 持 周 期 备 份 法
13.
支 持 VPN、 与 ID S 联 动
是
双机备份、负载均衡 自动导出、自动分析 是
协议层次
安全管理
层
应 用层 传 输层
络
认
访数
问据
控
完 整
数 据 保
抗审可
抵
用
安 全
安
网
层 证 制 性 密 赖计性
路
服 务
全 管
链
层
理 物
物理安全 计算机网络安全
安 全
理
计算机系统安全
管
应用系统安全
理
系统单元
动态防御体系
在防护检测响应 (PDR) 模 型基础上的动态防御体系, 因为 其优异的自适应、 自控制、 自 反馈特性, 已经在国际上得到了 广泛的接受和采纳.
数字签名 第三方公证
主机和服务 的审计记录
分析
应用系统的容错 容灾、服务管理
传输层
应用层代理或网关
电路层防火墙 ( 如 S O C K s)
网络层
主机、路 由器等源
发认证
包过滤 防火墙
传输层安全 通信协议
主机或路由器间 IPSec 等 协 议
数据链路层
与物理层
相邻节点 间的认证
认
访
问
证
控
制
点到点 点到点
漏审洞计扫跟描踪 AT
IDS
恢网复络和架冗构余 安系全R&统分R析 冗余设计
内防容病安毒全 CS
加密/完整检查
主要内容
体系 技术 产品
防火墙 入侵检测与应急响应 网络防病毒 安全评估与漏洞扫描 网络审计 CA系统
防火墙功能
防火墙就是一个位于计算机和它所 连接的网络之间的硬件或软件。所有流 入流出的网络通信均要经过此防火墙。
什么是安全？
Security is the reduction of risk
安全就是降低风险，并使之达到 “可接受”的程度
信息安全体系的构成
应用 数据安全 应用平台的安全性 操作系统平台的安全性
安全管理 安全评估
网络安全 网络基础结构
物理安全
安全策略
整体安全 技术因素全面
服务保证
传统网络安全防御体系
• 按体系结构
• 硬件防火墙：Netscreen,Nokia,Cisco Pix • 软件防火墙：Checkpoint, ISA Server • 软硬结合
• 按操作模式
• 网桥模式 • 路由模式 • NAT
• 按性能
• 百兆 • 千兆
• 按部署方式
• 边界(企业)防火墙 • 个人（主机）防火墙
防火墙中的主要技术
状态检测将数据包分成4种连接状态： New,Established，Related，Invalid
使用NAT的原因
• 解决IP地址空间紧张的问题 • 共享 modem 拨号上网 • 多重服务器 （负载分担load-sharing）
代理技术
代理技术（Proxy）： 也叫应用网关（ Application Gateway）,作用在应用层，其 特点是完全“阻隔”网络通信流，通过对 每种应用服务(如http,ftp,smtp)编制专门的 代理程序，实现监视和控制应用层通信流 的作用。实际中的应用网关通常由专用工 作站实现。
体系和机制
安全服务
过程和方法
安
全 基 础
网安 络全 安技
安 全
安 全 令
设 全 术 APIs 牌
施
认证 授权 连续性 完整性 抗抵赖 审计 可用性
业务
风 险
安全 连续 安全 监控 性 保障
评 估
事件 灾难 安全 管理 恢复 鉴定
计划
法律法规遵从性和环境调整（银行业、取证、电子传输等）
主要内容
体系 技术 产品
• 青鸟环宇 • 交大捷普 • 重庆银都天网 • 清华得实 • 中科安胜 • 华为 • 广州科达 • 广东海微 • CheckPoint • Netscreen • Cisco • Nokia • 三星
如何选择防火墙？
主要指标
• 设计性能（M）：10/100M，1000M • 最大并发连接数（万） • 接口类型、接口数 • 操作系统类型 • MTBF (平均无故障时间/小时) • 策略规则许可值 • 设计性能策略数 • 管理方式 • 是否支持与IDS联动 • 是否支持VPN、是否支持SNMP • 是否支持双机热备、负载均衡
产品名称 1. 产 品 类 型 2. 接 口 类 型 3. LAN 接 口 数 4. 并 发 连 接 数 5. 防 火 墙 性 能 6. OS 平 台 7. 支 持 SNM P