【正文】 蔽子網六、防火墻功能與原理 基于訪問控制技術常用訪問控制對象： ? 協(xié)議 （ TCP,UDP,ICMP)? 源 IP地址 ，目的 IP地址，　源端口，　目的 端口? 時間，　用戶，　流量，　文件，　網址，　 MAC地址防止 DoS和 DDoS攻擊216。 DoS ( Denial of Service ) 拒絕服務攻擊216。 攻擊者利用系統(tǒng)自身陋洞或者協(xié)議陋洞，耗盡可用資源乃至系統(tǒng)崩潰，而無法對合法用戶作出響應。216。 DDoS ( Distributed Denial of Service )216。 　　分布式拒絕服務攻擊216。 拒絕服務攻擊通常是以消耗服務器端資源為目標，通過偽造超過服務器處理能力的請求數據造成服務器響應阻塞，從而使正常的用戶請求得不到應答，實現攻擊目的。216。 DDoS的表現形式主要有兩種，一種是流量攻擊，主要是針對網絡帶寬的攻擊，即大量攻擊包導致網絡帶寬被阻塞，合法的網絡數據包被虛假的網絡數據包淹沒而無法到達主機；另一種為資源耗盡攻擊，主要是針對服務器主機進行的攻擊，即通過大量的攻擊包導致主機的內存被耗盡，或是 CPU被內核及應用程序占完而造成無法提供網絡服務。與 MAC地址綁定時間策略在訪問中配置某條規(guī)則起作用的時間。如配置了時間策略，防火墻在規(guī)則匹配時將跳過那些當前時間不在策略時 間段內的規(guī)則注：這個時間段不是允許訪問的時間段，而是規(guī)則起作用的時間段。NAT 網絡地址轉換? 隱藏了內部網絡結構? 內部網絡可以使用私有 IP地址NAT原理－源地址轉換網關： Intra:Inter:報頭 數據源地址： 目的地址： 報頭 數據源地址： 目的地址： NAT轉換的數據包經過 NAT轉換后，源地址成為 MAP端口（地址）映射 MAP也稱為反向 NAT網關： Intra:Inter:報頭 數據源地址： 目的地址： 報頭 數據源地址： 目的地址： MAP映射MAP映射原理－目的地址轉換的數據包經過 MAP映射后，目的地址成為 服務器負載均衡? 負載均衡算法：? 順序選擇算法＋權值? 根據 PING的時間間隔來選擇地址＋權值? 根據 CONNET的時間間隔來選擇地址＋權值? 根據 CONNET來發(fā)送請求并得到應答的時間間隔來選擇地址＋權值 根據負載均衡算法將數據重定位到一臺WWW服務器 減少單個服務器負載防火墻對 TRUCK協(xié)議的支持 支持第三方認證服務器 支持第三方 RADIUS服務器認證支持 OTP認證服務器與 IDS的安全聯動IDS：入侵檢測系統(tǒng)。 是指對入侵行為的發(fā)覺，通過對算機網絡系統(tǒng)中的若干關鍵點收集信息并對其進行分析，從中發(fā)覺網絡系統(tǒng)中是否有違反安全策略的行為或被攻擊的跡像。為什么需要 IDS216。 防范透過防火墻的入侵216。利用應用系統(tǒng)漏洞實施的入侵216。利用防火墻配置失誤實施的入侵216。 防范來自內部網的入侵216。內部網的攻擊占總的攻擊事件的 70%216。沒有監(jiān)測的內部網是內部人員的 “自由王國 ”216。 對網絡行為的審計，防范無法自動識別的惡意破壞216。 入侵很容易216。入侵教程隨處可見216。各種工具唾手可得216。安全漏洞日益暴露入侵檢測系統(tǒng) (IDS)連接方式l注意事項：216。對于交換式 HUB來說和交換機連接方法類似硬件安裝：入侵檢測系統(tǒng)接入方式之 HUB入侵檢測系統(tǒng)連接方式 ? 硬件安裝：入侵檢測系統(tǒng)接入方式之交換機注意事項：鏡像多個源端口可能導致鏡像端口丟包應對收發(fā)端口同時進行鏡像接到 INTRANET一般直接連入 核心交換機 ,用來 檢測在核心交換機上的服務器等網絡服務設備 .與病毒服務器的安全聯動SNMP管理防火墻的不足之處216。 無法防護內部用戶的攻擊 超過 50%的攻擊自來內部，防火墻只能防備外部網絡的攻擊。216。無法防護基于操作系統(tǒng)漏洞的攻擊216。無法防護端口木馬的攻擊216。無法單獨防護病毒的侵襲216。無法防護非法通道的出現216。無法防護所有新的威協(xié)。 人們不斷發(fā)現利用以前可信賴的服務的新的侵襲方法。八、防火墻的典型應用應用一：防火墻的典型應用應用二：九、防火墻的性能216。衡量防火墻的五大性能指標：216。吞吐量：該指標直接影響網絡的性能，吞吐量。216。時延：入口處輸入幀最后一個最后一個比特到達至出口處輸出幀第一個比特輸出所用的時間間隔。216。丟包率：在穩(wěn)定負載下，應由網絡設備傳輸，但由于資源缺乏而被丟棄的幀的百分比。216。背靠背：比空閑狀態(tài)開始，以達到傳輸介質最小合法間隔極限的傳輸速率發(fā)送相當數量的固定長度的幀，當出現第一個幀丟失時，發(fā)送的幀數。216。并發(fā)連接數：指穿越防火墻的主機之間或主機與防火墻之間能同時建立的連接數。吞吐量定義： 在不丟包的情況下，能夠達到的最大速率。衡量標準： 吞吐量作為衡量防火墻的重要性能指標之一，吞吐量小就會造成網絡新的瓶頸，以后影響整個網絡的性能。時 延? 定義： 入口處輸入幀最后一個最后一個比特到達至出口處輸出幀第一個比特輸出所用的時間間隔。? 衡量標準： 防火墻的時延能夠體現它處理數據的速度。丟包率? 定義： 在穩(wěn)定負載下，應由網絡設備傳輸，但由于資源缺乏而被丟棄的幀的百分比。? 衡量標準： 防火墻的丟包率對其穩(wěn)定性、可靠性有很大影響。背靠背? 定義： 比空閑狀態(tài)開始，以達到傳輸介質最小合法間隔極限的傳輸速率發(fā)送相當數量的固定長度的幀，當出現第一個幀丟失時，發(fā)送的幀數。? 衡量標準： 背對背包的測試結果能體現出防火的緩沖容量，網絡上經常有一些應用會產生大量的突發(fā)數據包（如：路由更新，備份等），而且這樣的數據包的丟失可能會產生更多的數據包，強大緩沖能力可以減少這種突發(fā)對網絡造成的影響。并發(fā)連接數? 定義： 指穿越防火墻的主機之間或主機與防火墻之間能同時建立的連接數。? 衡量標準： 并發(fā)連接數的測試主要用來測試被測防火墻建立和維持 TCP連接的性能，同時也能通過并發(fā)連接數的大小體現被測防火墻對來自于客戶端的TCP連接的響應能力。