1-1-04《信息安全产品配置与应用》课程-防火墙篇-体系结.ppt

主要内容
防火墙基本概念
防火墙发展历程
防火墙核心技术
防火墙体系结构
防火墙功能与原理
防火墙的接入方式
防火墙的典型应用
防火墙性能
防火墙局限性
防火墙的两个争议
防火墙的功能
基本功能
地址转换
访问控制
VLAN支持
带宽管理(QoS)
入侵检测和攻击防御
用户认证
IP/MAC绑定
动态IP环境支持
数据库长连接应用支持
路由支持
ADSL拨号功能
SNMP网管支持
日志审计
高可用性
扩展功能
防病毒
IPS
VPN
IPSEC VPN
PPTP/L2TP
GRE
地址转换(NAT)

Host A
受保护网络
Host C
Host D


防火墙
Eth2:
Eth0:
数据
IP报头
数据
IP报头
源地址:
目地址:
源地址:
目地址:

隐藏了内部网络的结构
内部网络可以使用私有IP地址
公开地址不足的网络可以使用这种方式提供IP复用功能
MAP(地址/端口映射)
公开服务器可以使用私有地址
隐藏内部网络的结构
WWW

FTP

MAIL

DNS




MAP :80 TO :80
MAP :21 TO :21
MAP :53 TO :53
MAP :25 TO :25


防火墙的基本访问控制功能
Host C
Host D
Access list to
Access nat to any pass
Access to block
Access default pass
规则匹配成功
基于源IP地址
基于目的IP地址
基于源端口
基于目的端口
基于时间
基于用户
基于流量
基于文件
基于网址
基于MAC地址
时间控制策略
Host C
Host D
在防火墙上制定基于时间的访问控制策略
上班时间可以访问公司的网络
VLAN间控制-对TRUNK的支持
Trunk 口
Trunk 口
VLAN 1
VLAN 2
支持VLAN的交换机
Trunk 口
Trunk 口
VLAN 1
VLAN 2
Switch1
Switch 2
同一交换机的不同 VLAN 之间通讯
不同交换机的同一 VLAN 之间通讯
只有支持TRUNK的防火墙才能在这种环境下工作
只有支持TRUNK的防火墙才能在这种环境下工作
QoS带宽管理
WWW
Mail
DNS
财务部子网
采购部子网
出口带宽 512K
DMZ 区保留 256K
分配 70K 带宽
分配 90K 带宽
分配 96K 带宽
DMZ 区域
内部网络
总带宽512 K
内网256 K
DMZ 256 K
70 K
90 K
96 K
+
+
+
财务子网
采购子网
生产子网
生产部子网
内置入侵检测功能
防火墙具有内置的IDS模块,可以有效检测并抵御常见的攻击行为,用户通过简单设置即可保护指定的网络对象免于受到以下类型的攻击:,包括:Syn Flood、UDP FLOOD、ICMP FLOOD、IP SWEEP、PORT SCAN。,包括:Land、Smurf、PingofDeath、Winnuke、TcpScan、IpOption等
抗Dos攻击功能
防火墙的SYN代理实现原理:
在服务器和外部网络之间部署防火墙系统;
防火墙在收到客户端的Syn包后,防火墙代替服务器向客户端发送Syn/Ack包;
如果防火墙收到客户端的Ack信息,表明访问正常,由防火墙向服务器发送Syn包并完成后续的TCP握手,建立客户端到服务器的连接。
通过这种Syn代理技术,保证每个Syn包源的真实有效性,确保虚假请求不被发往服务器,从而彻底防范对服务器的Syn-