域（Zone） 域是防火墙上引入的一个重要的逻辑概念；通过将接口加入域并在安全区域之间启动安全检查（称 为安全策略），从而对流经不同安全区域的信息流进行安全过滤。常用的安全检查主要包括基于ACL 和应用层状态的检查
接口2 DMZ区域 Untrust区域 Local区域 接口1 接口3
Trust区域
防火墙的内部划分为多个区域，所有的转发接口都唯一的属于某个区域


状态检测防火墙


状态检测防火墙 状态检测是一种高级通信过滤。它检查应用层协议信息并且监控 基于连接的应用层协议状态。对于所有连接，每一个连接状态信 息都将被ASPF维护并用于动态地决定数据包是否被允许通过防 火墙或丢弃。 状态检测技术在网络层实现所有需要的防火墙能力，它既有包过 滤机制的速度和灵活，也有代理型防火墙安全的优点。


域间（InterZone）： 防火墙在引入域概念的同时也引入了域间概念；任何不同的安全域之间 形成域间关系，SecPath 防火墙上大部分规则都是配置在域间上，为了便于 描述同时引入了域间方向的概念： inbound ： 报文从低优先级区域进入高优先级区域为入方向； outbound ： 报文从高优先级区域进入低优先级区域为出方向 ；
。
用户A初始化一个telnet会话 其它telnet报文被阻塞
创建Session表项
用户A的telnet会话返回报文被允许
防火墙基本概念——多通道协 议
多通道协议 是指某个应用在进行通讯或提供服务时需要建立两个以上的会话（通道），其中有一个控 制通道，其他的通道是根据控制通道中双方协商的信息动态创建的，一般我们称之为数 据通道或子通道；多通道协议在防火墙应用以及NAT设备的应用中需要特殊处理，因为 数据通道的端口是不固定的（协商出来的）其报文方向也是不固定的
Internet Internet
办事
ACL 规则
从202.110.10.0/24来 的数据包不能通过
公司总部
未授权用户
代理型防火墙(Application Gateway)


代理型防火墙（application gateway）
代理型防火墙使得防火墙做为一个访问的中间节点，对Client来说防火 墙是一个Server，对Server来说防火墙是一个Client，转发性能低； 此类防火墙安全性较高，但是开发代价很大。对每一种应用开发都需要 一个对应的代理服务，因此代理型防火墙不能支持很丰富的业务，只能 针对某些应用提供代理支持； 代理型防火墙很难组成双机热备的组网，因为状态无法保持同步；
防火墙的简单定义

简单的说，防火墙是保护一个网络免受“不信任”的网络的攻击，但是同 时还必须允许两个网络之间可以进行合法的通信。防火墙应该具有如下基 本特征： 经过防火墙保护的网络之间的通信必须都经过防火墙。



只有经过各种配置的策略验证过的合法数据包才可以通过防火墙。
防火墙本身必须具有很强的抗攻击、渗透能力。 防火墙可以保护内部网络的安全，可以使受保护的网络避免遭到外部网络 的攻击。硬件防火墙应该可以支持若干个网络接口，这些接口都是LAN接 口（如Ethernet、Token Ring、FDDI），这些接口用来连接几个网络。在 这些网络中进行的连接都必须经过硬件防火墙，防火墙来控制这些连接， 对连接进行验证、过滤。
什么叫防火墙?




防火墙(Fire Wall)：简单的说，网络安全的第一道防线，是位于两个 信任程度不同的网络之间（如企业内部网络和Internet之间）的设备， 它对两个网络之间的通信进行控制，通过强制实施统一的安全策略， 防止对重要信息资源的非法存取和访问以达到保护系统安全的目的。 防火墙 = 硬件 + 软件 + 控制策略 宽松控制策略：除非明确禁止，否则允许。 限制控制策略：除非明确允许，否则禁止。 防火墙的特性： 内部和外部之间的所有网络数据流必须经过防火墙 只有被安全政策允许的数据包才能通过防火墙 防火墙本身要具有很强的抗攻击、渗透能力
IP 报头 TCP/UDP 报头 数据


协议号 源地址 目的地址
源端口 目的端口
访问控制列表由这5个元 素来组成定义的规则
包过滤技术介绍

对路由器需要转发的数据包，先获取包头信息，然后和设定的规则进行比较，
根据比较的结果对数据包进行转发或者丢弃。

实现包过滤的核心技术是访问控制列表ACL。
R
从192.110.10.0/24 来的数据包能通过
引入
随着Internet的日益普及，开放式的网络带来了许多不安全的隐患。 在开放网络式的网络上，我们的周围存在着许多不能信任的计算机 （包括在一个LAN之间），这种这些计算机对我们私有的一些敏感 信息造成了很大的威胁。 在大厦的构造中，防火墙被设计用来防止火灾从大厦的一部分传播 到大厦的另一部分。我们所涉及的“防火墙”具有类似的目的： “防止Internet的危险传播到你的内部网络”。


ቤተ መጻሕፍቲ ባይዱ

说明： 安全策略只能应用在安全区域之间（即配置在域间），从而对分属不同安全 区域的接口之间的信息流根据配置的安全策略进行安全检查。 一个安全域间的某个方向上只能配置一条域间包过滤规则。
防火墙基本概念——域间 （InterZone）配置
DMZ区域 接口2
11 1 2 7 8 Untrust区域 接口1 外部网络
采用状态检测技术的防火墙产品是现在的主流
状态检测防火墙工作原理(单通 道协议)
在状态防火墙中会动态维护着一个Session表项，通过Session表 项来检测基于TCP/UDP连接的连接状态，动态地判断报文是否 可以通过，从而决定哪些连接是合法访问，哪些是非法访问。
防火墙基本概念——安全区域 （Zone）

防火墙技术发展介绍－防火墙 的分类
按照防火墙实现的方式，一般把防火墙分为如下几类： 包过滤防火墙(Packet Filtering) 包过滤利用定义的特定规则过滤数据包，防火墙直接获得数据包的IP源地 址、目的地址、TCP/ UDP的源端口、和TCP/UDP的目的端口。利用以上的 部分或者全部的信息按照规则进行比较，过滤通过防火墙的数据包。规则 的定义就是按照IP数据包的特点定义的，可以充分利用上述的四个条件定 义通过防火墙数据包的条件。 包过滤防火墙简单，但是缺乏灵活性。另外包过滤防火墙每包需要都进行 策略检查，策略过多会导致性能急剧下降。 代理型防火墙（application gateway） 代理型防火墙使得防火墙做为一个访问的中间节点，对Client来说防火墙 是一个Server，对Server来说防火墙是一个Client。代理型防火墙安全性较 高，但是开发代价很大。对每一种应用开发一个对应的代理服务是很难做 到的，因此代理型防火墙不能支持很丰富的业务，只能针对某些应用提供 代理支持。 状态检测防火墙 状态检测是一种高级通信过滤。它检查应用层协议信息并且监控基于连接 的应用层协议状态。对于所有连接，每一个连接状态信息都将被ASPF维护 并用于动态地决定数据包是否被允许通过防火墙或丢弃。 现在防火墙的主流产品为状态检测防火墙。
12 5 6 10 9 3 4 接口3 内部网络 Trust区域
Local 区域
Eudemon

# 在Trust和Untrust区域间出方向（上图中箭头3所示）上应用安全策略（例如 ACL3101规则）。 [SecPath ] firewall interzone untrust trust [SecPath -interzone-trust-untrust] packet-filter 3101 outbound 注：在防火墙上包过滤规则，Nat outbound等只能配置在域间，这样
内容 过滤
用户认证 应用程序代理 包过滤&状态检测 NAT
VPN
IDS与 报警

日志
防火墙的基本功能模块
防火墙的局限性

防火墙不是解决所有网络安全问题的万能药方，只是网络安全政策 和策略中的一个组成部分。

防外不防内（内网用户和内外串通）；
不能防备全部的威胁，特别是新产生的威胁； 在提供深度检测功能以及防火墙处理转发性能上需要平衡； 当使用端-端加密时，即有加密隧道穿越防火墙的时候不能处理； 目前的防火墙，在网络层可靠性组网中解决单点故障的组网不够灵活并 且存在应用限制； 防火墙本身可能会存在性能瓶颈，如抗攻击能力，会话数限制等；
接口2
Trust
区域
Untrust Internet
区域
Local 区域 LAN
PC
PC 接口 1 接口3
根据防火墙的内部划分的安全区域关系，确定其所连接网络的安全区域
外部网络
内部网络
防火墙基本概念——安全区域 （Zone）配置

# 系统预定义的安全区域（例如trust、local、dmz和untrust），这些 区域具有确定的安全级别，无需自行配置，可以通过如下命令进入。
防火墙基本概念——会话 （Session）
会话 会话是状态防火墙的基础，每一个通过防火墙的会话都会在防火墙上建立一个会话表项，以五 元组（源目的IP地址、源目的端口、协议号）为Key值；通过建立动态的会话表来可以提供高优 先级域更高的安全性，即如下图所示高优先级域可以主动访问低优先级域，反之则不能够；防 火墙通过会话表还能提供许多新的功能，如加速转发，基于流的等价路由，应用层流控等。 SecPath 200防火墙对于一个流只建立一个Session表，而SecPath 1000会建立2个
防火墙基本概念——安全区域 （Zone）续
SecPath 防火墙上预定义了4个安全区域：本地区域Local（指防火墙 本身）、受信区域Trust、非军事化区域DMZ（Demilitarized Zone）、 非受信区域Untrust，用户可以根据需要自行添加新的安全区域