LDAP、域认证等认证
进行认证 OTP 认证服务器
Internet
liming
******
将认证结果 传给防火墙
防火墙将认证信 息传给真正的 RADIUS服务器
根据认证结果决定用 户对资源的访问权限
19
IP与MAC（用户）的绑定
00-50-04-BB-71-A6
00-50-04-BB-71-BC
199.168.1.2 119999..116688..11..32 199.168.1.4 199.168.1.5
规则匹配成功
❖ 基于源IP地址 ❖ 基于目的IP地址 ❖ 基于源端口 ❖ 基于目的端口 ❖ 基于时间 ❖基于用户 ❖ 基于流量 ❖ 基于文件 ❖ 基于网址 ❖ 基于MAC地址
Host C Host D
13
时间控制策略
Internet
在防火墙上制定基于 时间的访问控制策略
Host C Host D
上班时间不允许 访问Internet
16
抗DOS攻击功能
防火墙的SYN代理实现原理:
❖ 在服务器和外部网络之间部署防火墙系统;
❖ 防火墙在收到客户端的Syn包后，防火墙代替服务器向客户端发送 Syn/Ack包;
❖ 如果防火墙收到客户端的Ack信息，表明访问正常,由防火墙向服务器 发送Syn包并完成后续的TCP握手,建立客户端到服务器的连接。
2
安全域1 Host A Host B
防火墙的概念
两个安全域之间通 信流的唯一通道
安全域2 Host C Host D
Source Host A Host B
Destination Host C Host C
Permit Pass Block
Protocol TCP UDP
根据访问控制规则决 定进出网络的行为
7
目录 ❖ 防火墙基本概念 ❖ 防火墙发展历程 ❖ 防火墙核心技术 ❖防火墙功能与原理 ❖ 防火墙的接入方式 ❖ 防火墙的典型应用 ❖ 防火墙性能 ❖ 防火墙局限性 ❖ 防火墙的两个争议
8
防火墙的作用
• 集中的访问控制 • 集中的加密保护 • 集中的认证授权 • 集中的内容检查 • 集中的病毒防护 • 集中的邮件过滤 • 集中的流量控制 • 集中的安全审计
3. 状态检测（Stateful Inspection）：工作在 2~4层，访问控制方式与1同，但处理的对象不 是单个数据包，而是整个连接，通过规则表和 连接状态表，综合判断是否允许数据包通过。
4. 完全内容检测（Compelete Content Inspection）：工作在2~7层，不仅分析数据包 头信息、状态信息，而且对应用层协议进行还 原和内容分析，有效防范混合型安全威胁。
❖ 通过这种Syn代理技术，保证每个Syn包源的真实有效性，确保虚假请 求不被发往服务器，从而彻底防范对服务器的Syn-Flood攻击。
SYN
SYN/ACK
SAYCNK
SYN
SYN ACK
SYN/ACK
SYN ACK
SYN/ACK
Client
Server
17
黑客
与 IDS 的安全联动
发起攻击 Host A Host B
生产部子网
采购部子网
内部网络
15
内置入侵检测功能
防火墙具有内置的IDS模块，可以有效检测并抵御常见的攻击行为，用户通过简单设置即可 保护指定的网络对象免于受到以下类型的攻击：1.统计型攻击，包括：Syn Flood、UDP FLOOD、ICMP FLOOD、IP SWEEP、PORT SCAN。2.异常包攻击，包括：Land、Smurf、 PingofDeath、Winnuke、TcpScan、IpOption等
Host C Host D
IDS
识别出攻 击行为
发送通知报文
受保护网络
Internet
阻断连接或 者报警等
发送响应 报文
验证报文并 采取措施
18
丰富的认证方式和第三方认证支持
1. 本地认证、内置OTP服务器认证
2. 支持第三方RADIUS服务器认证
3. 支持TACAS/TACAS+服务器认证
4. 支持S/KEY 、SECUID、VIECA、 RADIUS服务器
23
动态路由功能--OSPF
24
ADSL拨号功能－PPPOE
25
受保护网络 Host A Host B
Host C
支持SNMP 网络管理
Host D
SNMP服务器端
Internet
Internet
SNMP报文
获取硬件配置信息
资源使用状况信息
防火墙的流量信息
防火墙的连接信息
防火墙的版本信息
防火墙的用户信息
hhtttptp:/://2/10929.1.10628.1.1.3.2
Internet
12.4.1.5
12
防火墙的基本访问控制功能
Access list 192.168.1.3 to 202.2.33.2 Access nat 192.168.3.0 to any pass Access 202.1.2.3 to 192.168.1.3 block Access default pass
Host A Host B
Host C
Host D
BIND 199.168.1.2 To 00-50-04-BB-71-A6 BIND 199.168.1.4 To 00-50-04-BB-71-BC
防火墙允许Host A上网
Internet
IP与MAC地址绑定后，不允许 Host B假冒Host A的IP地址上网
受保3.1
IP报头
数据
Eth2： 192.168.1.23
防火墙
❖ 隐藏了内部网络的结构 ❖ 内部网络可以使用私有IP地址 ❖ 公开地址不足的网络可以使用这种方式提供IP复用功能
11
199.168.1.2 199.168.1.3 199.168.1.4
WWW
FTP
MAIL
MAP (地址/端口映射)
199.168.1.5 DNS
❖ 公开服务器可以使用私有地址 ❖ 隐藏内部网络的结构
199.168.1.6 202.102.1.3
MAP 199.168.1.2：80 TO 202.102.1.3：80 MAP 199.168.1.3：21 TO 202.102.1.3：21 MAP 199.168.1.5：25 TO 202.102.1.3：25 MAP 199.168.1.4：53 TO 202.102.1.3：53
访问日志 访问日志
响应请求
192.168.6.170
访问信息
30
通过ISTP协议可以交换 两台防火墙的状态信息
高可用性--双机热备功能
外网或者不信任域
Active Firewall
正常情况下由 主防火墙工作
Hub or Switch
发现出故障，立即接管其工作
Eth 0
一种高级访问控制设备，置于不同网络安全域之间的一系列部件的组合，它是不同 网络安全域间通信流的唯一通道，能根据企业有关的安全政策控制（允许、拒绝、 监视、记录）进出网络的访问行为。
3
目录 ❖ 防火墙基本概念 ❖ 防火墙发展历程 ❖ 防火墙核心技术 ❖防火墙功能与原理 ❖ 防火墙的接入方式 ❖ 防火墙的典型应用 ❖ 防火墙性能 ❖ 防火墙局限性 ❖ 防火墙的两个争议
上班时间可以访 问公司的网络
14
总带宽512 K
Internet
QoS带宽管理
WWW Mail
DNS
内网256 K
+ DMZ 256 K
出口带宽 512K
70 K + 90 K + 96 K
财务子网 采购子网
生产子网
DMZ 区保留 256K
DMZ 区域
财务部子网 分配 70K 带宽
分配 90K 带宽 分配 96K 带宽

Clint
发送请求
192.168.6.169
命令日志 命令日志
响应请求
192.168.6.170
命令信息
29
深度分析日志(2) －内容日志

Clint
发送请求
192.168.6.169
询时间
FR 客户机
建立连接并维持连接 状态直到查询结束
需要在防火墙里面维护这个连接状态，直 到查询结束。该功能是可选的。
数据库查询一般需要比较长的时间，这些通讯连接建立成功后可能暂 时没有数据通过（空连接），普通防火墙在连接建立一段时间后如果 没有数据通讯会自动切断连接，导致业务不能正常运行
22
动态路由功能--RIP
4
基于路由器的防火墙
防火墙的发展历程
• 在路由器中通过ACL规则来实现对数据包的控制； • 过滤判断依据：地址、端口号、协议号等特征
防火墙工具套
• 软件防火墙的初级形式，具有审计和告警功能 • 对数据包的访问控制过滤通过专门的软件实现 • 与第一代防火墙相比，安全性提高了，价格降低了
基于通用操作 系统的防火墙
Eth1
心跳线
Eth1
Eth 0
Standby Firewall
Eth2
检测Active Firewall的状态
Eth2
Hub or Switch
主防火墙出故障以 后，接管它的工作
内部网
当一台防火墙故障时，这台防火墙的连接不 需要重新建立就可以透明的迁移到另一台防 火墙上，用户不会察觉到
防火墙的规则信息
防火墙的路由信息 ……
SNMP客户端 (HP openview)