【正文】 HUAWEI TECHNOLOGIES CO., LTD. HUAWEI Confidential Security Level: 防火墻產(chǎn)品與維護 ISSUE HUAWEI TECHNOLOGIES CO., LTD. HUAWEI Confidential ? 學習完本課程，您應該能夠： ?了解 Eudemon產(chǎn)品工作原理 ?了解 Eudemon產(chǎn)品規(guī)格和特性 ?掌握 Eudemon產(chǎn)品典型組網(wǎng)及配置 HUAWEI TECHNOLOGIES CO., LTD. HUAWEI Confidential 第一章 防火墻技術簡介 第二章 防火墻體系結構 第三章 防火墻原理與特性 HUAWEI TECHNOLOGIES CO., LTD. HUAWEI Confidential 防火墻概述 ? 網(wǎng)絡安全問題成為近年來網(wǎng)絡問題的焦點 ? 網(wǎng)絡安全包括基礎設施安全、邊界安全和管理安全等全方位策略 ? 防火墻的主要作用是劃分邊界安全，實現(xiàn)關鍵系統(tǒng)與外部環(huán)境的安全隔離，保護內(nèi)部網(wǎng)絡免受外部攻擊 ? 與路由器相比 ,防火墻提供了更豐富的安全防御策略，提高了安全策略下數(shù)據(jù)報轉發(fā)速率 ? 由于防火墻用于邊界安全，因此往往兼?zhèn)?NAT、 VPN等功能 ? 我司防火墻： Eudemon系列（英文含義－－－守護神） 一夫當關，萬夫莫開 HUAWEI TECHNOLOGIES CO., LTD. HUAWEI Confidential 防火墻的分類（一） ? 包過濾防火墻 ? 代理防火墻 ? 狀態(tài)防火墻 包過濾防火墻 代理防火墻 狀態(tài)防火墻 HUAWEI TECHNOLOGIES CO., LTD. HUAWEI Confidential 防火墻的分類 (二） 按照防火墻實現(xiàn)的方式，一般把防火墻分為如下幾類： ? 包過濾防火墻 (Packet Filtering) 包過濾利用定義的特定規(guī)則過濾數(shù)據(jù)包，防火墻直接獲得數(shù)據(jù)包的 IP源地址、目的地址、 TCP/ UDP的源端口、和 TCP/UDP的目的端口。 包過濾防火墻簡單，但是缺乏靈活性，對一些動態(tài)協(xié)商端口沒有辦法設置規(guī)則。另外包過濾防火墻每包需要都進行策略檢查，策略過多會導致性能急劇下降。 ? 代理型防火墻（ application gateway） 代理型防火墻使得防火墻做為一個訪問的中間節(jié)點，對 Client來說防火墻是一個Server，對 Server來說防火墻是一個 Client。 代理型防火墻安全性較高，但是開發(fā)代價很大。對每一種應用開發(fā)一個對應的代理服務是很難做到的，因此代理型防火墻不能支持很豐富的業(yè)務，只能針對某些應用提供代理支持。 ? 狀態(tài)檢測防火墻 狀態(tài)檢測是一種高級通信過濾。它檢查應用層協(xié)議信息并且監(jiān)控基于連接的應用層協(xié)議狀態(tài)。對于所有連接，每一個連接狀態(tài)信息都將被維護并用于動態(tài)地決定數(shù)據(jù)包是否被允許通過防火墻或丟棄。 現(xiàn)在防火墻的主流產(chǎn)品都為狀態(tài)檢測防火墻：高性能 和高安全的完美結合。 HUAWEI TECHNOLOGIES CO., LTD. HUAWEI Confidential 防火墻技術發(fā)展方向 ? 軟件防火墻。 一般是直接安裝在 PC上的一套軟件，基于 PC提供基本的安全防護，此時防火墻基本上就是一個應用軟件。代表產(chǎn)品有 CheckPoint公司的防火墻產(chǎn)品。 ? 工控機類型防火墻。 采用 PC硬件結構，基于 linux等開發(fā)源代碼的操作系統(tǒng)內(nèi)核，開發(fā)了安全防護的一些基本特性構成硬件防火墻產(chǎn)品形態(tài)。從外觀上面看，該種防火墻是一個硬件防火墻產(chǎn)品，但是其軟件、硬件和第一種防火墻產(chǎn)品從硬件上面說沒有本質區(qū)別。國內(nèi)大多數(shù)防火墻是采用這種技術。 ? 電信級硬件防火墻。 采用獨立設計的硬件結構，在 CPU、電源、風扇、PCI總線設計、擴展插卡等方面優(yōu)化結構，保證防火墻產(chǎn)品可以得到最優(yōu)的處理性能和高可靠性。代表產(chǎn)品有華為公司的 Eudemon 200產(chǎn)品、NetScreen 204等防火墻產(chǎn)品。 ? 基于 NP電信級防火墻。 由于純軟件設計的防火墻產(chǎn)品在流量很大的地方逐步成為瓶頸，基于網(wǎng)絡處理器（ NP）的業(yè)務加速模式的防火墻產(chǎn)品開始出現(xiàn)。通過網(wǎng)絡處理器的高性能，使得防火墻產(chǎn)品可以達到 1G線速的處理能力。代表產(chǎn)品有華為公司的 Eudemon 500/1000產(chǎn)品。 軟件防火墻 = 工控機類型防火墻 =電信級硬件防火墻 =基于 NP電信級防火墻 HUAWEI TECHNOLOGIES CO., LTD. HUAWEI Confidential ASPF安全技術（一） ? ASPF ( Application Specific Packet Filter) 是一種高級通信過濾，它檢查應用層協(xié)議信息并且監(jiān)控連接的應用層協(xié)議狀態(tài)。對于特定應用協(xié)議的所有連接，每一個連接狀態(tài)信息都將被 ASPF維護并用于動態(tài)的決定數(shù)據(jù)包是否被允許通過防火墻或丟棄 . 動態(tài)創(chuàng)建和刪除過濾規(guī)則 監(jiān)視通信過程中的報文 HUAWEI TECHNOLOGIES CO., LTD. HUAWEI Confidential ASPF與 ACL的比較 比較內(nèi)容 ACL ASPF 原理 對每個 IP數(shù)據(jù)包按照用戶所定義的策略規(guī)則（訪問控制列表， ACL）進行過濾。包過濾不管會話的狀態(tài)，也不分析數(shù)據(jù) 對于每一個應用層協(xié)議建立會話信息以及狀態(tài)信息，實時檢測數(shù)據(jù)流的狀態(tài)信息，并動態(tài)的根據(jù)狀態(tài)信息決定數(shù)據(jù)包的動作 配置 較繁瑣 簡單 設計實現(xiàn) 簡單 復雜，必須支持盡可能多的應用層協(xié)議，以保證用戶的正常使用。并且需要實時增加協(xié)議的支持 對系統(tǒng)性能影響 速度快，但 策略過多會導致性能急劇下降 需要進行狀態(tài)檢測等復雜處理，效率相對于ACL低，并且消耗部分系統(tǒng)資源 對多通道協(xié)議的支持 不支持 非常適用于需要動態(tài)建立連接的應用協(xié)議 安全性 低，無法檢測某些來自于應用層的攻擊行為 高，能夠根據(jù)連接的狀態(tài)及應用層報文內(nèi)容進行過濾，有效防范攻擊 HUAWEI TECHNOLOGIES CO., LTD. HUAWEI Confidential ASPF基本概念 ? ASPF三個基本概念 ?會話表（ Session）： 5元組完成連接； ?多通道協(xié)議：多通道（控制通道 +數(shù)據(jù)通道） ? 多通道協(xié)議主要包括：數(shù)據(jù)傳輸協(xié)議（ FTP、 TFTP等）、 音視頻相關（ 、 SIP、 MGCP等）、聊天通訊軟件（ MSN，， ICQ等） ?Servermap表項：臨時通道（三元組） HUAWEI TECHNOLOGIES CO., LTD. HUAWEI Confidential ASPF對單通道協(xié)議的支持 ? 在狀態(tài)防火墻中會動態(tài)維護著一個 Session表項，通過 Session表項來檢測基于連接的狀態(tài)，動態(tài)地判斷報文是否可以通過，從而決定哪些連接是合法訪問，哪些是非法訪問 保護網(wǎng)絡 ① 用戶 A初始化一個 Tel 會話 外部網(wǎng)絡 用戶 A 目標服務器 ② 防火墻創(chuàng)建 Session表項 其他用戶 用戶 A的 Tel會話返回報文可以通過 其他的 Tel報文被阻塞不能通過 ③ 防火墻匹配 Session表項報文 HUAWEI TECHNOLOGIES CO., LTD. HUAWEI Confidential ASPF對多通道協(xié)議的支持 — FTP 用戶 USG5000 FTP server （ 21/20） 三次握手 防火墻創(chuàng)建 Servermap表項 三次握手 Port :893 Port :893 200 Port Command OK RETR RETR 200 Port Command OK 150 Opening ASCII connection 150 Opening ASCII connection SYN 檢測 Servermap表項，創(chuàng)建臨時規(guī)則，打開數(shù)據(jù)通道 :22787 :22787 SYN HUAWEI TECHNOLOGIES CO., LTD. HUAWEI Confidential 第一章 防火墻技術簡介 第二章 防火墻體系結構 第三章 防火墻原理與特性 HUAWEI TECHNOLOGIES CO., LTD. HUAWEI Confidential Eudemon 200 Eudemon 100E Eudemon 500 Eudemon 1000 小型企業(yè)、遠程辦公 中小型企業(yè) 華賽電信級硬件防火墻，從桌面式終端設備到高端千兆級別，以卓越的性能和先進的安全體系架構為網(wǎng)絡提供強大的安全保障。 Eudemon 300 中型企業(yè) Eudemon 200S