1、防火墻知識介紹網絡安全現狀網絡安全現狀 隨著信息化進程的深入和互聯網的迅速發展，網絡安全問題已成為信息時代人類共同面臨的挑戰，國內的網絡安全問題也日益突出。具體表現為： 計算機系統受病毒感染和破壞的情況相當嚴重 電腦黑客活動已形成重要威脅 信息基礎設施面臨網絡安全的挑戰 信息系統在預測、防范、反應和恢復能力方面存在許多薄弱環節 網絡政治顛覆活動頻繁 網絡安全現狀網絡安全現狀 據統計，目前美國每年由于網絡安全問題而遭受的經濟損失超過170億美元，德國、英國也均在數十億美元以上，法國為100億法郎，日本、新加坡問題也很嚴重。在國際刑法界列舉的現代社會新型犯罪排行榜上，計算機犯罪已名列榜首。 200

2、3年，CSI/FBI調查所接觸的524個組織中，有56%遇到電腦安全事件，其中38%遇到15起、16%以上遇到11起以上。因與互聯網連接而成為頻繁攻擊點的組織連續3年不斷增加；遭受拒絕服務攻擊(DoS)則從2000年的27%上升到2003年的42%。調查顯示，521個接受調查的組織中96%有網站，其中30%提供電子商務服務，這些網站在2003年1年中有20%發現未經許可入侵或誤用網站現象。更令人不安的是，有33%的組織說他們不知道自己的網站是否受到損害。據統計，全球平均每20s就發生1次網上入侵事件，黑客一旦找到系統的薄弱環節，所有用戶均會遭殃。 國內網絡安全現狀國內網絡安全現狀 從國內情況來

3、看，目前我國95%與互聯網相聯的網絡管理中心都遭受過境內外黑客的攻擊或侵入，其中銀行、金融和證券機構是黑客攻擊的重點。 據2001年調查，我國約73%的計算機用戶曾感染病毒，2003年上半年升至83%。其中，感染3次以上的用戶高達59%，而且病毒的破壞性較大，被病毒破壞全部數據的占14%，破壞部分數據的占57%。 近年來，國內與網絡有關的各類違法行為以每年30%的速度遞增。據某市信息安全管理部門統計，2003年第1季度內，該市共遭受近37萬次黑客攻擊、2.1萬次以上病毒入侵和57次信息系統癱瘓。 網絡風險網絡風險 業內安全專家公認：所謂的“周界殺手”蠕蟲和“零日攻擊”將大量增加，這將是目前及今

4、后網絡安全面臨的最大威脅。 （“周界殺手”：那些不通過傳統的電子郵件方式傳播而是通過進攻系統、軟件的漏洞而對網絡實施攻擊的病毒軟件） （“零日攻擊”： 病毒或蠕蟲利用操作系統或者軟件某個未知和未修補的漏洞發起攻擊） 基于“零日”漏洞而制造的一種“沖擊波”式的蠕蟲可以毀壞計算機網絡，并使管理人員對網絡保護束手無策。 部署防火墻的必要性部署防火墻的必要性 基于目前網絡安全的現狀，為了保證網絡的安全，防止機密信息被盜取，各企業、政府機關、高校等均紛紛采取相應的安全措施，而防火墻則一般是眾多網絡安全產品中首要考慮的重要一環，是網絡的第一道安全門坎。提綱提綱 網絡安全現狀 防火墻概念防火墻概念 防火墻關

5、鍵技術 防火墻功能一覽 防火墻性能指標 防火墻發展及趨勢什么是防火墻什么是防火墻信任網絡非信任網絡網絡的唯一通路防火墻，Firewall，是一種高級訪問控制設備，置于不同網絡安全域之間的一系列部件的組合，它是不同網絡安全域間通信流的唯一通道，能根據有關的安全政策控制（允許、拒絕、監視、記錄）進出網絡的行為，本身具有較強的抗網絡攻擊能力。它是提供信息安全服務，實現網絡和信息安全的基礎設施。 防火墻的分類防火墻的分類 從產品形式上分為： 軟件防火墻：純軟件防火墻，安裝在操作系統之上 硬件防火墻：硬件/軟件一體化防火墻（X86結構）、ASIC芯片級防火墻、網絡處理器（Network Processo

6、r，NP處理器）架構防火墻 從部署位置上分為： 網關防火墻：邊界防火墻，部署于網絡邊界出口處 個人防火墻：多為軟件防火墻，安裝在單個主機系統上 分布式防火墻：包括邊界防火墻、主機防火墻以及集中管理平臺，把防火墻的安全防護系統延伸到網絡中各臺主機，準確地說，它不是一個單一的產品，而是一個完整的體系防火墻的分類防火墻的分類 從產品性能上分為： 百兆防火墻 千兆防火墻 從發展歷程上分為： 包過濾防火墻：基本包過濾訪問控制功能，安全性差 應用代理防火墻：應用代理功能，支持應用層內容級控制，但是支持協議有限 狀態檢測防火墻：跟蹤網絡會話狀態實現訪問控制，性能好，安全性高 復合型防火墻：結合狀態檢測、應用

7、代理以及眾多其他功能，功能強大，安全性高提綱提綱 網絡安全現狀 防火墻概念 防火墻關鍵技術防火墻關鍵技術 防火墻功能一覽 防火墻性能指標 防火墻發展及趨勢（一）包過濾訪問控制（一）包過濾訪問控制源目標許可協議Host AHost C允許TCPHost BHost C阻止UDPHost CHost AHost D數據包數據包拆數據包查詢控制策略根據策略決定如何處理數據包數據包IP包頭TCP/udp包頭 數據包過濾的判斷信息數據包包過濾工作原理包過濾工作原理應用層TCP層 I P 層網絡接口層應用層TCP層 I P 層網絡接口層數據數據TCPIP數據TCPETHIP數據TCP數據IP數據TCPET

8、HIP數據TCP數據TCPIP數據TCP只檢查包頭 IP 源地址 IP目的地址 封裝協議 TCP/UDP源端口 TCP/UDP目的端口 ICMP包類型 包輸入接口 包輸出接口（二）狀態檢測工作原理（二）狀態檢測工作原理Host A數據包數據包拆數據包查詢控制策略根據策略決定如何處理數據包數據包IP包頭TCP包頭數據數據包控制策略狀態檢測可以結合前一數據包里的數據信息進行綜合分析，以此來判別數據包是否允許通過。IP包頭TCP包頭數據IP包頭TCP包頭數據狀態檢測的判斷信息建立連接狀態表狀態檢測工作原理狀態檢測工作原理應用層TCP層 I P 層網絡接口層應用層TCP層 I P 層網絡接口層數據數據

9、TCPIP數據TCPETHIP數據TCP數據IP數據TCPETHIP數據TCP數據TCPIP 數 據 TCP只檢查包頭建立連接狀態表檢查檢查 IP 源地址 IP目的地址 封裝協議 TCP/UDP源端口 TCP/UDP目的端口 ICMP包類型 包輸入接口 包輸出接口 TCP通信的連接狀態 UDP/ICMP通信的通信狀態（三）應用代理的工作原理（三）應用代理的工作原理Host CHost AHost D數據包數據包拆數據包查詢控制策略根據策略決定如何處理數據包數據包IP報頭TCP報頭數據包過濾及狀態檢測的判斷信息數據包控制策略應用代理的判斷信息應用代理可以對數據包的數據區進行分析，以此來判別數據包

10、是否允許通過。應用代理工作原理應用代理工作原理應用層TCP層 I P 層網絡接口層應用層TCP層 I P 層網絡接口層數據數據TCPIP數據TCPETHIP數據TCP數據IP數據TCPETHIP數據TCP數據TCPIP 數 據 TCP只檢查數據（四）地址轉換（四）地址轉換 網絡地址轉換，Network Address Translation，簡稱NAT，是用于將一個地址域如專用Intranet映射到另一個地址域如Internet的標準方法。NAT對終端用戶是透明的，用于全球唯一注冊地址連接私有地址域到外部域。 RFC1597 “專用網絡地址分配”規定，以下地址為保留地址，路由器不在互聯網上對這

11、些地址進行路由選擇：--55--55--55 一般在內部網絡均選用以上保留地址作為私有地址進行NAT，轉換成合法注冊地址訪問互聯網。地址轉換技術種類地址轉換技術種類 NAT技術有三種類型：靜態NAT(Static NAT)、動態地址NAT(Pooled NAT)、網絡地址端口轉換NAPT（PortLevel NAT） 靜態NAT：內部網絡中的每個主機都被永久映射成外部網絡中的某個合法的地址（一個公有地址對應一個私有地址 ） 動態NAT：在外部網絡中定義了一系列的合

12、法地址，采用動態分配的方法分配給內部網絡私有地址（多個公有地址對應一大群私有地址） NAPT：把內部地址映射到外部網絡的一個IP地址的不同端口上（一個公有地址對應一大群私有地址）地址轉換工作原理地址轉換工作原理WANA:0S=0:2733D=:80B:0LAN-ALAN-BNAPT：/24 靜態NAT：0 S=:3236D=:80S=:3236D=:80S=202.2.2

13、.2:3236D=0:80網絡A中A主機訪問網絡B中B服務器www服務的NAT過程地址轉換的作用地址轉換的作用 解決IP地址不足的問題 隱藏內部網絡的網絡結構，加強內部網絡的安全提綱提綱 網絡安全現狀 防火墻概念 防火墻關鍵技術 防火墻功能一覽防火墻功能一覽 防火墻性能指標 防火墻發展及趨勢防火墻功能一覽（防火墻功能一覽（1） 訪問控制：根據數據包的源/目的IP地址、源/目的端口、協議、流量、時間等參數對數據包進行訪問控制 地址轉換：源地址轉換（SNAT）、目的地址轉換（DNAT）、雙向地址轉換（IP映射） 靜態路由/策略路由：靜態路由：基于目的地址的路由選擇；策略路由：基

14、于源地址和目的地址的策略路由選擇 工作模式：路由模式、網橋模式（交換/透明模式）、混雜模式（路由+網橋模式并存） 接入支持：防火墻接口類型一般有GBIC、以太網接口等；接入支持靜態IP設置、DHCP、PPPoE（比如ADSL接入）等防火墻功能一覽（防火墻功能一覽（2） VPN： 分為點到端傳輸模式（PPTP協議）和端到端隧道模式（IPSec，IPIP，GRE隧道），支持DES、3DES、Blowfish、AES、Cast128、Twofish等加密算法，支持MD5、SHA-1認證算法；VPN功能支持NAT穿越 IP/MAC綁定：IP地址與MAC地址綁定，防止IP盜用，防止內網機器有意/無意搶占

15、關鍵服務器IP DHCP：內置DHCP Server為網絡中計算機動態分配IP地址；DHCP Relay的支持能為防火墻不同端口的DHCP Server和計算機之間動態分配IP地址 虛擬防火墻：在一臺物理防火墻設備上提供多個邏輯上完全獨立的虛擬防火墻，每個虛擬防火墻為一個特定的用戶群提供安全服務 應用代理：HTTP、FTP、SMTP等協議應用代理，大多數內容級過濾通過應用代理實現 防火墻功能一覽（防火墻功能一覽（3） 認證支持：是指防火墻支持的身份認證協議，一般情況下具有一個或多個認證方案，如內置用戶認證、數字證書、RADIUS、OTP、LDAP、SECURE ID、Kerberos、TACA

16、CS/TACACS等等。防火墻能夠為本地或遠程用戶提供經過認證與授權的對網絡資源的訪問，防火墻管理員必須決定客戶以何種方式通過認證 ARP代理：防火墻代理應答特定的ARP請求，在特殊網絡環境中可能用到該功能 內容過濾：內容級過濾，比如URL過濾、WEB網頁內容過濾、Java/JavaScript/Active X控件過濾、FTP命令過濾、郵件過濾、入侵過濾（特征字匹配）等等 VLAN支持：支持802.1Q、VTP、Cisco專有的Trunk 封裝協議ISL，識別VLAN數據包，實現VLAN間的數據包轉發 協議/應用支持：H.323、SIP、IPX、NETBEUI、AppleTalk、RIP、

17、OSPF 、BGP、DECnet、RTSP、VOIP、VOD、視頻會議、組播協議等等 防火墻功能一覽（防火墻功能一覽（4） 流量控制：流量控制，流量優先級，帶寬允許條件下的優先保障關鍵業務帶寬 防攻擊：防止各類TCP、UDP端口掃描，源路由攻擊，IP碎片包攻擊，DoS、DDoS攻擊，蠕蟲病毒以及其他網絡攻擊行為 內置IDS：內置IDS模塊，加強防火墻的防攻擊能力 內置防病毒模塊：內置防病毒模塊，在網關級進行病毒防護 內置安全評估模塊：內置安全評估模塊，對網絡中的計算機、網絡設備等進行漏洞掃描，做出安全評估分析，提供安全建議，及時彌補網絡中存在的安全隱患 安全產品聯動：防火墻與其他安全產品比如I

18、DS、Scanner、防病毒等的聯動功能 防火墻功能一覽（防火墻功能一覽（5） 鏈路備份/雙機熱備：在可靠性要求高的環境中，防火墻的多端口的鏈路備份以及雙機熱備功能提供了一個較好的解決方案 配置文件上傳/下載：配置文件的備份/恢復功能 SNMP：支持SNMP協議，方便網絡管理員對防火墻狀態進行監控管理 負載均衡：分為鏈路負載均衡和服務器負載均衡 日志審計：日志存儲、備份、查詢、過濾、分析統計報表等 入侵響應：日志記錄、消息框報警、郵件報警、聲音報警、發送SNMP Trap信息、手機短信報警等 提綱提綱 網絡安全現狀 防火墻概念 防火墻關鍵技術 防火墻功能一覽 防火墻性能指標防火墻性能指標 防火

19、墻發展及趨勢防火墻性能指標（防火墻性能指標（1） 吞吐量：吞吐量是指防火墻在不丟包的情況下能夠達到的最大包轉發速率。吞吐量越大，說明防火墻數據處理能力越強 延遲：延遲是指防火墻轉發數據包的延遲時間，延遲越低，防火墻數據處理速度越快 丟包率：丟包率是指在正常穩定網絡狀態下，應該被轉發由于缺少資源而沒有被轉發的數據包占全部數據包 的百分比。較低的丟包率，意味著防火墻在強大的負載壓力下，能夠穩定地工作，以適應各種網絡的復雜應用和較大數據流量對處理性能的高要求 背對背（Back to Back）：是用于衡量網絡設備緩沖數據包能力的一個指標，指的是固定長度的數據幀以合法的最小幀間隔在傳輸媒介上突發一段較

20、短的時間（以太網標準規定最小幀間隔為96bits），一般以幀數多少來表示，背對背幀數越大，緩沖能力就越強。網絡上經常有一些 應用會產生大量的突發數據包（例如：NFS，備份，路由更新等），而且這樣的數據包的丟失可能會 產生更多的數據包，防火墻強大的緩沖能力可以減小這種突發數據對網絡造成擁塞等不良影響防火墻性能指標（防火墻性能指標（2） 平均無故障時間：平均無故障時間（MTBF）是指防火墻連續無故障正常運行的平均時間 并發連接數：并發連接數是防火墻能夠同時處理的點對點連接的最大數目，它反映出防火墻設備對多個連接的訪問控制能力和連接狀態跟蹤能力，這個參數的大小直接影響到防火墻所能支持的最大信息點數

21、最大連接速率：是指在指定時間（比如1秒）內防火墻能成功建立的最大連接數目 乍看并發連接數越大越好，其實不然：并發連接數的增大意味著對系統內存資源的消耗 并發連接數的增大應當充分考慮CPU的處理能力 物理鏈路的實際承載能力將嚴重影響防火墻發揮出其對海量并發連接的處理能力 提綱提綱 網絡安全現狀 防火墻概念 防火墻關鍵技術 防火墻功能一覽 防火墻性能指標 防火墻發展及趨勢防火墻發展及趨勢（一）防火墻發展歷程（一）防火墻發展歷程 目前防火墻技術主要經歷了四個發展歷程： 簡單包過濾技術階段 應用代理網關技術階段 狀態檢測包過濾技術階段 復合型防火墻第一代簡單包過濾防火墻第一代簡單包過濾防火墻 優點：

22、包過濾工作在網絡層和傳輸層，只對數據包的頭部信息進行控制，過濾效率較高，性能較好 缺點： 早期的包過濾技術無法分辨IP具體來源，即無法區分該IP處于內部網絡還是外部網絡，這樣便不能防止IP欺騙 只對數據包的頭部信息進行過濾，不支持應用層協議，訪問控制粒度粗糙，靈活性低 不能處理新的安全威脅，它不能跟蹤TCP狀態，所以對TCP層的控制有漏洞。比如當它配置了僅允許從內到外的TCP訪問時，一些以TCP應答包的形式從外部對內網進行的攻擊仍可以穿透防火墻 第二代應用代理防火墻第二代應用代理防火墻 優點： 跟應用層緊密結合，可以檢查應用層、傳輸層和網絡層的協議特征，對數據包的檢測能力比較強，具備應用層內容

23、級的高級訪問控制能力，安全性較高 缺點： 并發連接數低，吞吐量小，性能非常差。對于內網的每個訪問請求，應用代理都需要開一個單獨的代理進程；要保護內網的Web服務器、數據庫服務器、文件服務器、郵件服務器，及業務程序等，就需要建立一個個的服務代理，以處理客戶端的訪問請求。這樣，應用代理的處理延遲會很大，內網用戶的正常訪問難以及時得到響應 支持協議有限。針對每一種應用都需要相應的協議分析，應用代理網關防火墻只能支持一些常見常用的協議，而針對眾多的其他協議、各行業的業務應用難以支持，不用不夠廣泛第三代狀態檢測包過濾防火墻第三代狀態檢測包過濾防火墻 優點： 狀態檢測防火墻在內核部分建立狀態連接表，并利用

24、狀態表跟蹤每一個數據包的會話狀態，提供了完整的對傳輸層的控制能力，安全性較高 狀態監測技術采用了一系列優化技術，使防火墻性能大幅度提升 缺點： 與具體應用結合程度較低，無法做到應用層內容級控制 對一些網絡攻擊、病毒難以防范，比如紅色代碼、nimda、沖擊波、振蕩波等。第四代復合型防火墻第四代復合型防火墻 優點： 融合了狀態檢測、應用代理技術，并結合了其他眾多輔助功能比如：用戶認證、VPN、IPMAC綁定、策略路由等等，安全性高，功能強大，適應范圍廣泛 缺點： 使用應用代理功能時，性能不夠高；使用包過濾功能時，由于不檢查數據包內容，難以防范一些網絡攻擊、病毒入侵（二）防火墻發展趨勢（二）防火墻發

25、展趨勢 隨著新的網絡攻擊的出現，對防火墻的挑戰也越來越嚴峻，必然要求防火墻新技術的出現來滿足不斷增長的新需求。這主要可以從以下四個方面來體現 ： 包過濾技術 硬件體系結構 系統管理體制 產品聯動體系（1）過濾技術發展趨勢）過濾技術發展趨勢 采用多級過濾技術： 在網絡層，分組過濾掉所有的源路由攻擊數據包和假冒IP源地址的數據包； 在傳輸層，遵循過濾規則，過濾掉所有禁止出或/和入的協議和非法數據包、蠕蟲病毒等； 在應用層，對數據包進行協議分析并還原，控制和監測Internet提供的常見服務，比如HTTP、FTP、SMTP等，提供細粒度內容級過濾。 深度包檢測技術深度包檢測技術 下一代過濾技術：深度

26、包檢測技術（Deep Packet Inspection） 深度包檢測技術，不僅檢查IP包頭，并且能對IP包進行重組、拆包，檢查數據包的具體內容，深入檢查信息包流，查出惡意行為，可以根據特征檢測和內容過濾，來尋找已知的攻擊，阻止異常的訪問，很好地提供了入侵檢測和攻擊防范的功能 深度包檢測技術成功地解決了普遍存在的拒絕服務攻擊（DDoS）的問題、病毒傳播問題和高級應用入侵問題，能識別并有效地阻斷惡意數據流量，有效地切斷惡意病毒或木馬的流量攻擊；能防范黑客攻擊，能識別黑客的惡意掃描，并有效地阻斷或欺騙惡意掃描者。深度包檢測技術代表著防火墻的主流發展方向（2）硬件體系結構發展趨勢）硬件體系結構發展趨

27、勢 隨著網絡應用的增加、多媒體應用的普及，對網絡帶寬提出了更高的要求，這意味著防火墻要能夠以非常高的速率處理數據，延遲足夠小，傳統的X86結構防火墻已經難以滿足如此高性能的要求。 防火墻的硬件體系結構目前已經處于一個更新換代的門檻上，未來的發展趨勢基本上是網絡處理器（Network Processor，簡稱NP處理器）與ASIC芯片兩種解決方案，各有優劣。 硬件體系結構另外一個需要考慮的問題，為了避免運輸等過程中造成內存等接插件的松動、脫落，盡量少使用接插件，采取貼片等方式避免此類問題X86結構方案特點結構方案特點 優點 X86架構的高靈活性和擴展性 在百兆防火墻上獲得了巨大成功 有較豐富的軟件資源可以利用 豐富的有經驗的開發人員以及OpenSource代碼 功能擴展和升級方便 缺點 通用硬件架構和通用軟件體系結構極大地限制了性能的提高 通用操作系統易受到攻擊ASIC方案特點方案特點 ASIC優點 ASIC可以很容易達到較高的性能 大批量生產時成本很低 ASIC缺點 固化的邏輯不能靈活地適應應用的變化，要增加新的功能必須重新設計ASI