1. IP TCP 开始攻击
2.
3. 4.
简单包过滤防火墙不检查 数据区
简单包过滤防火墙不建立 连接状态表
前后报文无关
应用层控制很弱
101001001001010010000011100111101111011
001001001010010000011100111101111011
1.包过滤防火墙
应用数据
A Episode
防火墙
UTM
安全网关
A Episode
1、防火墙
一种隔离技术，将内部网和外部网络分开的方法； 防火墙是在两个网络通讯时执行的一种访问控制尺度，它能允许你“同意”的人和数据
进入网络，同时将你“不同意”的人和数据拒之门外，最大限度地阻止网络中的黑客来 访问网络； 传统防火墙应该具备状态检测、访问控制以及VPN等功能。
写 会 ETH IP TCP 开始攻击
5. 前后报文有联系
话
报文3 IP TCP 硬盘数据
报文2 IP TCP 服务操作
报文1 IP TCP 开始攻击
IP 层 网络接口层
101001001001010010000011100111101111011
001001001010010000011100111101111011
防火墙的基本分类
1. 包过滤防火墙 2. 状态检测防火墙 3. 应用代理防火墙 4. 复合型防火墙 5. 核检测防火墙
防火墙类型1
1.包过滤防火墙
数据包过滤(Packet Filtering)技术在网络层对数据包进行选择，选择的依
据是系统内设置的过滤逻辑，即访问控制表(Access Control List，ACL)
包过滤防火墙分为静态包过滤、动态包过滤防火墙
包检查器并不是检查数据包的所有内容，只检查报头（IP、TCP头部），通
常只检查下列几项：
• IP源地址
• IP目标地址
• TCP或UDP的源端口号
• TCP或UDP的目的端口号 • 协议类型 • ICMP消息类型
IP报头 TCP报头
数据
包过滤检查信息
目前没有权威而明晰的类似辞典...
针对硬件防火墙的检测方式的分类
防火墙的设备形态（一）
1 防火墙的基本概念
防火墙的设备形态（二）
1 防火墙的基本概念
防火墙的设备形态（三）
1 防火墙的基本概念
1 防火墙的基本概念 2 防火墙的分类 3 防火墙的功能 4 防火墙的典型部署 5 下一代防火墙介绍
防火墙的发展历程
2、UTM（Unified Threat Management）
统一威胁管理，是指由硬件、软件和网络技术组成的具有专门用途的设备，它主要提供 一项或多项安全功能，将多种安全特性集成于一个硬设备里，构成一个标准的统一管理 平台；
IP报头 TCP报头
数据
状态检测信息
状态检测防火墙
应用层
开始攻击
开始攻击
应用层
TCP 层
TCP 开始攻击
建立连接状态表
IP 层
IP TCP 开始攻击
只检查报头
网络接口层 ETH IP TCP 开始攻击
TCP 开始攻击
TCP 层
IP TCP 开始攻击
IP 层
ETH IP TCP 开始攻击 网络接口层
防火墙基础
分类、原理

绿盟科技 2011年11月
密级：内部限制分发
© 2010 绿盟科技
1 防火墙的基本概念 2 防火墙的分类 3 防火墙的功能 4 防火墙的典型部署 5 下一代防火墙介绍
1 防火墙的基本概念
概念：一种高级访问控制设备，即由软件和硬件组成的系统， 置于不同的网络安全域之间的一系列部件的组合，它是不同网 络安全域间通信流的唯一通道，能根据企业有关的安全政策控 制（允许、拒绝、监视、记录）进出网络的访问行为。
防火墙默认阻断一切！
1 防火墙的基本概念
防火墙设计的基本目标：
①所有进出网络的数据流都必须经过防火墙； ②只允许经过授权的数据流通过防火墙； ③防火墙自身对入侵是免疫的。
防火墙对数据流的处理方式有三种：
①允许数据流通过； ②拒绝数据流通过； ③将这些数据流丢弃。
防火墙分类
• 1，按用户终端，分为企业防火墙和个人防火墙 • 2，按照实现方式，分为硬件和软件防火墙； • 3，按照检测技术，分为包过滤、状态检测等； • 4，固定防火墙和移动防火墙 • 5，按照部署，分为单机版和网络版； • 6，产品多元化，服务器版，PC版，Mp4版， • 手机版，电视版.... •
端或服务器端，对整个报文进行重组，合成一个会话来进行理解，进行访问控
制。
可以提供更细的访问控制，同时能生产访问日志。可以看到，它的上下报文
是相关的，它具备包过滤和应用代理防火墙的全部特点，还增加了对会话的保
护能力。
IP报头 TCP报头
数据
核检测检查信息
5.核检测防火墙
应用层
开始攻击 服务操作 硬盘数据
缺点
最大缺点是要求用户改变自己的行为，或者在访问代理服务的每个系统上安 装特殊的软件 分析困难，实现困难
每一种应用服务必须设计一个代理软件模块进行安全控制，并且应用升级时，一半 代理服务程序也要升级
影响用户网络速度（命令解释） 不能防止SYN攻击
防火墙类型4
4.复合型防火墙
复合型防火墙是指综合了状态检测与应用代理的新一代的防火 墙 对整个报文进行访问控制和处理，具体检测内容由策略决定， 如果策略是包过滤策略，则对TCP、IP报头进行检测，如果策略是 应用代理策略，则对用户数据进行检测。
IP TCP 开始攻击 1. 2. 3. 4.
不检查数据区 建立连接状态表 前后报文相关 应用层控制很弱
101001001001010010000011100111101111011
001001001010010000011100111101111011
2.状态检测防火墙
优点
更高的安全性 高效性 应用范围广
•是批量上市的专用防火墙产品 包括分组过滤或者借用路由器的分组过滤功能 装有专用的代理系统，监控所有协议的数据和指令 保护用户编程空间和用户可配置内核参数的设置 安全性和速度大为提高
•防火墙厂商具有操作系统的源代码，并可实现安全内核 去掉了不必要的系统特性，加固内核，强化安全保护 在功能上包括了分组过滤、用于网关、电路级网关 增加了许多附加功能：加密、鉴别、审计、NAT转换 透明性好，易于使用
开始攻击 服务操作 硬盘数据 应用层
TCP 层
TCP 开始攻击
建立连接状态表
TCP 开始攻击
TCP 层
IP 层 网络接口层
检查多个报文组成的会话
IP TCP 开始攻击
IP TCP 开始攻击
1. 网络层保护强
开始攻击 服务操作 硬盘数据
2. 应用层控制细
重
ETH3. IP 会话T保CP护强开始攻击 4. 上下文关联
• TCP报头中的ACK位
• TCP的序列号、确认号
• IP校验和
1.包过滤防火墙
应用层
开始攻击
开始攻击
应用层
TCP 层
TCP 开始攻击
TCP 开始攻击
TCP 层
IP 层
IP TCP 开始攻击
只检查报头
IP TCP 开始攻击
IP 层
网络接口层 ETH IP TCP 开始攻击
ETH IP TCP 开始攻击 网络接口层
优点
逻辑简单 对网有较强的透明性 络性能的影响较小 开销较小，设备便宜
缺点
无法对数据包的内容进行过滤审核
在传输层或则是网络层上检测数据，不能在更高一层检测数据，比如能禁止和通过一 个向内的HTTP请求，但不能判断这个请求是非法的还是合法的。
防止欺骗攻击很难，特别是容易受到IP欺骗攻击 所有可能用到的端口(尤其是>1024的端口)都必需放开,增加了被 攻击的可能性 在复杂的网络中很难管理 通常来说包过滤技术是防火墙技术中最低的。
IP报头 TCP报头
数据
状态检测信息
缺点
不能对应用层数据进行控制
不能产生高层日志
配置复杂
防火墙类型3
3.应用代理防火墙
应用代理（Application Proxy）也称为应用层网关
（Application Gateway）
工作在应用层，其核心是代理进程
每一种应用对应一个代理进程，实现监视和控制应用层通信流
自适应代理防火墙：在每个连接通信的开始仍然需要在应用层接
受检测，而后面的包可以经过安全规则由自适应代理程序自动的选
择是使用包过滤还是代理
客户端
发送请求 转发响应
代理 应用进程
转发请求 请求响应
应用 服务器
IP报头 TCP报头
数据
应用代理检查信息
3.应用代理防火墙
应用层
开始攻击
开始攻击
应用层
TCP 层
防火墙类型2
2.状态检测防火墙
由动态包过滤防火墙演变而来，工作在传输层，使用各种状态表 （state tables）来追踪活跃的TCP会话，它能够根据连接状态信息动态 地建立和维持一个连接状态表，并且这个把这个连接状态表用于后续报文 的处理。
状态检测技术一般的检查点有： • 检查数据包是否是一个已经建立并且正在使用的通信流的一部分。 • 如果数据包和连接表的各项都不匹配，那么防火墙就会检测数据包是 否与它所配置的规则集相匹配。 • 在检测完毕后，防火墙会根据路由转发数据包，并且会在连接表中为 此次对话创建或者更新一个连接项 • 防火墙通常对TCP包中被设置的FIN位进行检测、通过会话超时设置决 定何时从连接表中删除某连接项。