目前的防火墙，在网络层可靠性组网中解决单点故障的组网不够灵活并
且存在应用限制； 防火墙本身可能会存在性能瓶颈，如抗攻击能力，会话数限制等；

防火墙的分类
防火墙基础知识
按照防火墙实现的方式，一般把防火墙分为如下几类： 包过滤防火墙(Packet Filtering) 包过滤利用定义的特定规则过滤数据包，防火墙直接获得数据包的IP源地 址、目的地址、TCP/ UDP的源端口、和TCP/UDP的目的端口。利用以上的 部分或者全部的信息按照规则进行比较，过滤通过防火墙的数据包。规则 的定义就是按照IP数据包的特点定义的，可以充分利用上述的四个条件定义 通过防火墙数据包的条件。 包过滤防火墙简单，但是缺乏灵活性。另外包过滤防火墙每包需要都进行 策略检查，策略过多会导致性能急剧下降。 代理型防火墙（application gateway） 代理型防火墙使得防火墙做为一个访问的中间节点，对Client来说防火墙是 一个Server，对Server来说防火墙是一个Client。代理型防火墙安全性较高， 但是开发代价很大。对每一种应用开发一个对应的代理服务是很难做到的， 因此代理型防火墙不能支持很丰富的业务，只能针对某些应用提供代理支 持。 状态检测防火墙 状态检测是一种高级通信过滤。它检查应用层协议信息并且监控基于连接 的应用层协议状态。对于所有连接，每一个连接状态信息都将被ASPF维护 并用于动态地决定数据包是否被允许通过防火墙或丢弃。
防火墙的关键技术


防火墙基础知识
防火墙的关键技术


包过滤技术 代理技术 状态检测技术 网络地址翻译 NAT 虚拟专用网 VPN 应用协议特定的包过滤技术ASPF 双机热备技术 QOS技术 应用层流控技术包括P2P限流 防攻击技术，DPI技术
防火墙的关键技术


防火墙基础知识
保护，是避免IP地址假冒攻击的一种方式。

MAC和IP地址绑定功能一般应用在与二层交换机直接相连的 时候，可以防止假冒IP地址攻击，ARP Flood攻击，DHCP Flood攻击等，还可以应用于用户认证


防火墙的关键技术


防火墙基础知识
状态检测防火墙(Stateful-inspection)
状态检测是一种高级通信过滤。它检查应用层协议信息并且监控
基于连接的应用层协议状态。对于所有连接，每一个连接状态信 息都将被ASPF维护并用于动态地决定数据包是否被允许通过防
火墙或丢弃。

状态检测技术在网络层实现所有需要的防火墙能力，它既有包过 滤机制的速度和灵活，也有代理型防火墙安全的优点。
（通道），其中有一个控制通道，其他的通道是根据控制通道中双
方协商的信息动态创建的，一般我们称之为数据通道或子通道；多 通道协议在防火墙应用以及NAT设备的应用中需要特殊处理，因为 数据通道的端口是不固定的（协商出来的）其报文方向也是不固定 的 多通道协议的典型应用 这种典型应用有很多，最典型的是ftp，其他的一般都如很音频和视 频通讯有关如：H.323（包括T.120、RAS、Q.931和H.245等）、SIP、 MGCP，此外许多实时聊天通讯软件也是多通道协议的，如MSN， QQ，ICQ等.
防火墙基础知识
防火墙 = 硬件 + 软件 + 控制策略 宽松控制策略：除非明确禁止，否则允许。 限制控制策略：除非明确允许，否则禁止。 防火墙的特性： 内部和外部之间的所有网络数据流必须经过防火墙 只有被安全政策允许的数据包才能通过防火墙 防火墙本身要具有很强的抗攻击、渗透能力
什么叫防火墙
防火墙的基本特征：
防火墙的关键术语
防火墙基础知识
NAT（Network Address Translation，地址转换）是将IP数据报报
头中的IP地址转换为另一个IP地址的过程
数据报1： 源：192.168.1.3 目的：202.120.10.2 数据报1： 源：202.169.10.1 目的：202.120.10.2 Server 202.120.10.2
IP 报头 TCP/UDP 报头 数据


协议号 源地址 目的地址
源端口 目的端口
访问控制列表由这5个元 素来组成定义的规则
防火墙的关键技术

防火墙基础知识
对路由器需要转发的数据包，先获取包头信息，然后和设定的规则进行比较，
根据比较的结果对数据包进行转发或者丢弃。

实现包过滤的核心技术是访问控制列表ACL。
防火墙基础知识
经过防火墙保护的网络之间的通信必须都经过防火墙。 只有经过各种配置的策略验证过的合法数据包才可以通过防火墙。 防火墙本身必须具有很强的抗攻击、渗透能力。 防火墙可以保护内部网络的安全，可以使受保护的网络避免遭到外部网络 的攻击。硬件防火墙应该可以支持若干个网络接口，这些接口都是LAN接口（如 Ethernet、Token Ring、FDDI），这些接口用来连接几个网络。 在这些网络中进行的连接都必须经过硬件防火墙，防火墙来控制这些连接， 对连接进行验证、过滤。


说明： 安全策略只能应用在安全区域之间（即配置在域间），从而 对分属不同安全区域的接口之间的信息流根据配置的安全策 略进行安全检查。 一个安全域间的某个方向上只能配置一条域间包过滤规则。
防火墙的关键术语
会话（Session）
防火墙基础知识
会话是状态防火墙的基础，每一个通过防火墙的会话都会在防火墙 上建立一个会话表项，以五元组（源目的IP地址、源目的端口、协 议号）为Key值；通过建立动态的会话表来可以提供高优先级域更 高的安全性，即如下图所示高优先级域可以主动访问低优先级域，
连接受信网 络区域
连接不受信 网络区域
在连接受信网络区域和非受信网络区域之间 的区域，一般称为DMZ。
防火墙基础知识
防火墙在网络安全体系中的位置
门
监视器
入侵检测系统
加固的房间
系统加固、免疫
安全传输
加密、VPN
防火墙
监控室 安全管理中心
门禁系统 身份认证、访问控制
保安员 扫描器、漏洞查找
防火墙的功能
Trust区域
防火墙的内部划分为多个区域，所有的转发接口都唯一的属于某个区域
防火墙的关键术语
防火墙基础知识
一般 防火墙上预定义了4个安全区域：本地区域Local（指防 火墙本身）、受信区域Trust、非军事化区域DMZ（Demilitarized Zone）、非受信区域Untrust，用户可以根据需要自行添加新的安全 区域
防火墙综合知识培训
快速入门防火墙技术保障
防火墙基础知识 防火墙网络部署 防火墙配置要点
工程师
赵**
引言
防火墙基础知识
开放式的网络带来了许多不安全的隐患。在开放网络式的网 络上，我们周围存在着许多不能信任的计算机（包括在一个LAN之 间），这种这些计算机对我们私有的一些敏感信息造成了很大的威 胁。 在大厦的构造中，防火墙被设计用来防止火灾从大厦的一部 分传播到大厦的另一部分。我们所涉及的“防火墙”具有类似的目 的：“防止外部的危险传播到你的内部网络”。
防火墙基础知识
域（Zone） 域是防火墙上引入的一个重要的逻辑概念；通过将接口加入域并在安 全区域之间启动安全检查（称为安全策略），从而对流经不同安全区域 的信息流进行安全过滤。常用的安全检查主要包括基于ACL和应用层状 态的检查
接口2 DMZ区域 Untrust区域 Local区域 接口1 接口3
反之则不能够；防火墙通过会话表还能提供许多新的功能，如加速
转发，基于流的等价路由，应用层流控等。
用户A初始化一个telnet会话 其它telnet报文被阻塞
创建Session表项
用户A的telnet会话返回报文被允许
防火墙的关键术语
多通道协议
防火墙基础知识
是指某个应用在进行通讯或提供服务时需要建立两个以上的会话
R
从192.110.10.0/24 来的数据包能通过
Internet Internet
办事
ACL 规则
从202.110.10.0/24来 的数据包不能通过
公司总部
未授权用户
防火墙的关键技术


防火墙基础知识
代理型防火墙（application gateway）
代理型防火墙使得防火墙做为一个访问的中间节点，对Client来说防火 墙是一个Server，对Server来说防火墙是一个Client，转发性能低； 此类防火墙安全性较高，但是开发代价很大。对每一种应用开发都需要 一个对应的代理服务，因此代理型防火墙不能支持很丰富的业务，只能 针对某些应用提供代理支持； 代理型防火墙很难组成双机热备的组网，因为状态无法保持同步；
DMZ Server LAN 区域
接口2
Trust
区域
Untrust Internet
区域
Local 区域 LAN
PC
PC 接口 1 接口3
外部网络
内部网络
根据防火墙的内部划分的安全区域关系，确定其所连接网络的安全区域
防火墙的关键术语
防火墙基础知识
域间（InterZone）： 防火墙在引入域概念的同时也引入了域间概念；任何不同 的安全域之间形成域间关系，防火墙上大部分规则都是配置 在域间上，为了便于描述同时引入了域间方向的概念： inbound ： 报文从低优先级区域进入高优先级区域为入方向； outbound ： 报文从高优先级区域进入低优先级区域为出方向 ；
PC 192.168.1.3
Eudemon Trust Untrust Eth0/0/0 Eth0/0/0 202.169.10.1 192.168.1.1
Internet
Server 192.168.1.2