【正文】 開發(fā)源代碼的操作系統(tǒng)內(nèi)核，開發(fā)了安全防護(hù)的一些基本特性構(gòu)成硬件防火墻產(chǎn)品形態(tài)。代表產(chǎn)品有 CheckPoint公司的防火墻產(chǎn)品。 HUAWEI TECHNOLOGIES CO., LTD. HUAWEI Confidential 防火墻技術(shù)發(fā)展方向 ? 軟件防火墻。對于所有連接，每一個(gè)連接狀態(tài)信息都將被維護(hù)并用于動態(tài)地決定數(shù)據(jù)包是否被允許通過防火墻或丟棄。 ? 狀態(tài)檢測防火墻 狀態(tài)檢測是一種高級通信過濾。 代理型防火墻安全性較高，但是開發(fā)代價(jià)很大。另外包過濾防火墻每包需要都進(jìn)行策略檢查，策略過多會導(dǎo)致性能急劇下降。HUAWEI TECHNOLOGIES CO., LTD. HUAWEI Confidential Security Level: 防火墻產(chǎn)品與維護(hù) ISSUE HUAWEI TECHNOLOGIES CO., LTD. HUAWEI Confidential ? 學(xué)習(xí)完本課程，您應(yīng)該能夠： ?了解 Eudemon產(chǎn)品工作原理 ?了解 Eudemon產(chǎn)品規(guī)格和特性 ?掌握 Eudemon產(chǎn)品典型組網(wǎng)及配置 HUAWEI TECHNOLOGIES CO., LTD. HUAWEI Confidential 第一章 防火墻技術(shù)簡介 第二章 防火墻體系結(jié)構(gòu) 第三章 防火墻原理與特性 HUAWEI TECHNOLOGIES CO., LTD. HUAWEI Confidential 防火墻概述 ? 網(wǎng)絡(luò)安全問題成為近年來網(wǎng)絡(luò)問題的焦點(diǎn) ? 網(wǎng)絡(luò)安全包括基礎(chǔ)設(shè)施安全、邊界安全和管理安全等全方位策略 ? 防火墻的主要作用是劃分邊界安全，實(shí)現(xiàn)關(guān)鍵系統(tǒng)與外部環(huán)境的安全隔離，保護(hù)內(nèi)部網(wǎng)絡(luò)免受外部攻擊 ? 與路由器相比 ,防火墻提供了更豐富的安全防御策略，提高了安全策略下數(shù)據(jù)報(bào)轉(zhuǎn)發(fā)速率 ? 由于防火墻用于邊界安全，因此往往兼?zhèn)?NAT、 VPN等功能 ? 我司防火墻： Eudemon系列（英文含義－－－守護(hù)神） 一夫當(dāng)關(guān)，萬夫莫開 HUAWEI TECHNOLOGIES CO., LTD. HUAWEI Confidential 防火墻的分類（一） ? 包過濾防火墻 ? 代理防火墻 ? 狀態(tài)防火墻 包過濾防火墻 代理防火墻 狀態(tài)防火墻 HUAWEI TECHNOLOGIES CO., LTD. HUAWEI Confidential 防火墻的分類 (二） 按照防火墻實(shí)現(xiàn)的方式，一般把防火墻分為如下幾類： ? 包過濾防火墻 (Packet Filtering) 包過濾利用定義的特定規(guī)則過濾數(shù)據(jù)包，防火墻直接獲得數(shù)據(jù)包的 IP源地址、目的地址、 TCP/ UDP的源端口、和 TCP/UDP的目的端口。 包過濾防火墻簡單，但是缺乏靈活性，對一些動態(tài)協(xié)商端口沒有辦法設(shè)置規(guī)則。 ? 代理型防火墻（ application gateway） 代理型防火墻使得防火墻做為一個(gè)訪問的中間節(jié)點(diǎn)，對 Client來說防火墻是一個(gè)Server，對 Server來說防火墻是一個(gè) Client。對每一種應(yīng)用開發(fā)一個(gè)對應(yīng)的代理服務(wù)是很難做到的，因此代理型防火墻不能支持很豐富的業(yè)務(wù)，只能針對某些應(yīng)用提供代理支持。它檢查應(yīng)用層協(xié)議信息并且監(jiān)控基于連接的應(yīng)用層協(xié)議狀態(tài)。 現(xiàn)在防火墻的主流產(chǎn)品都為狀態(tài)檢測防火墻：高性能 和高安全的完美結(jié)合。 一般是直接安裝在 PC上的一套軟件，基于 PC提供基本的安全防護(hù)，此時(shí)防火墻基本上就是一個(gè)應(yīng)用軟件。 ? 工控機(jī)類型防火墻。從外觀上面看，該種防火墻是一個(gè)硬件防火墻產(chǎn)品，但是其軟件、硬件和第一種防火墻產(chǎn)品從硬件上面說沒有本質(zhì)區(qū)別。 ? 電信級硬件防火墻。代表產(chǎn)品有華為公司的 Eudemon 200產(chǎn)品、NetScreen 204等防火墻產(chǎn)品。 由于純軟件設(shè)計(jì)的防火墻產(chǎn)品在流量很大的地方逐步成為瓶頸，基于網(wǎng)絡(luò)處理器（ NP）的業(yè)務(wù)加速模式的防火墻產(chǎn)品開始出現(xiàn)。代表產(chǎn)品有華為公司的 Eudemon 500/1000產(chǎn)品。對于特定應(yīng)用協(xié)議的所有連接，每一個(gè)連接狀態(tài)信息都將被 ASPF維護(hù)并用于動態(tài)的決定數(shù)據(jù)包是否被允許通過防火墻或丟棄 . 動態(tài)創(chuàng)建和刪除過濾規(guī)則 監(jiān)視通信過程中的報(bào)文 HUAWEI TECHNOLOGIES CO., LTD. HUAWEI Confidential ASPF與 ACL的比較 比較內(nèi)容 ACL ASPF 原理 對每個(gè) IP數(shù)據(jù)包按照用戶所定義的策略規(guī)則（訪問控制列表， ACL）進(jìn)行過濾。并且需要實(shí)時(shí)增加協(xié)議的支持 對系統(tǒng)性能影響 速度快，但 策略過多會導(dǎo)致性能急劇下降 需要進(jìn)行狀態(tài)檢測等復(fù)雜處理，效率相對于ACL低，并且消耗部分系統(tǒng)資源 對多通道協(xié)議的支持 不支持 非常適用于需要動態(tài)建立連接的應(yīng)用協(xié)議 安全性 低，無法檢測某些來自于應(yīng)用層的攻擊行為 高，能夠根據(jù)連接的狀態(tài)及應(yīng)用層報(bào)文內(nèi)容進(jìn)行過濾，有效防范攻擊 HUAWEI TECHNOLOGIES CO., LTD. HUAWEI Confidential ASPF基本概念 ? ASPF三個(gè)基本概念 ?會話表（ Session）： 5元組完成連接； ?多通道協(xié)議：多通道（控制通道 +數(shù)據(jù)通道） ? 多通道協(xié)議主要包括：數(shù)據(jù)傳輸協(xié)議（ FTP、 TFTP等）、 音視頻相關(guān)（ 、 SIP、 MGCP等）、聊天通訊軟件（ MSN， ICQ等） ?Servermap表項(xiàng)：臨時(shí)通道（三元組） HUAWEI TECHNOLOGIES CO., LTD. HUAWEI Confidential ASPF對單通道協(xié)議的支持 ? 在狀態(tài)防火墻中會動態(tài)維護(hù)著一個(gè) Session表項(xiàng)，通過 Session表項(xiàng)來檢測基于連接的狀態(tài)，動態(tài)地判斷報(bào)文是否可以通過，從而決定哪些連接是合法訪問，哪些是非法訪問 保護(hù)網(wǎng)絡(luò) ① 用戶 A初始化一個(gè) Tel 會話 外部網(wǎng)絡(luò) 用戶 A 目標(biāo)服務(wù)器 ② 防火墻創(chuàng)建 Session表項(xiàng) 其他用戶 用戶 A的 Tel會話返回報(bào)文可以通過 其他的 Tel報(bào)文被阻塞不能通過 ③ 防火墻匹配 Session表項(xiàng)報(bào)文 HUAWEI TECHNOLOGIES CO., LTD. HUAWEI Confidential ASPF對多通道協(xié)議的支持 — FTP 用戶 USG5000 FTP server （ 21/20） 三次握手 防火墻創(chuàng)建 Servermap表項(xiàng) 三次握手 Port :893 Port :893 200 Port Command OK RETR RETR 200 Port Command OK 150 Opening ASCII connection 150 Opening ASCII connection SYN 檢測 Servermap表項(xiàng)，創(chuàng)建臨時(shí)規(guī)則，打開數(shù)據(jù)通道 :22787 :22787 SYN HUAWEI TECHNOLOGIES CO., LTD. HUAWEI Confidential 第一章 防火墻技術(shù)簡介 第二章 防火墻體系結(jié)構(gòu) 第三章 防火墻原理與特性 HUAWEI TECHNOLOGIES CO., LTD. HUAWEI Confidential Eudemon 200 Eudemon 100E Eudemon 500 Eudemon 1000 小型企業(yè)、遠(yuǎn)程辦公 中小型企業(yè) 華賽電信級硬件防火墻，從桌面式終端設(shè)備到高端千兆級別，以卓越的性能和先進(jìn)的安全體系架構(gòu)為網(wǎng)絡(luò)提供強(qiáng)大的安全保障。因網(wǎng)絡(luò)流量大部分是 200字節(jié)報(bào)文，因此需要考察防火墻 小包轉(zhuǎn)發(fā)下性能 。 ? 每秒建立連接速度 指的是每秒鐘可以通過防火墻建立起來的完整 TCP連接。每個(gè)會話在數(shù)據(jù)交換之前，在防火墻上都必須建立連接。 ? 并發(fā)連接數(shù)目 由于防火墻是針對連接進(jìn)行處理報(bào)文的，并發(fā)連接數(shù)目是指的防火墻可以同時(shí)容納的最大的連接數(shù)目，一個(gè)連接就是一個(gè) TCP/UDP的訪問 HUAWEI TECHNOLOGIES CO., LTD. HUAWEI Confidential 防火墻產(chǎn)品 參數(shù)一覽 型號 參數(shù) USG50 Eudemon 100E Eudemon 200 Eudemon 200S USG3030 USG3040 應(yīng)用 小型企業(yè) 小型企業(yè) 中小型企業(yè) 中小型企業(yè) 中型企業(yè) 中型企業(yè) 整機(jī)吞吐量 (bps) 100M 260M 400M 500M 1G 每秒新建連接數(shù) 2023條 /秒 13000條 /秒 2萬條 /秒 2萬條 /秒 2萬 3萬 并發(fā)連接數(shù) 10萬 50萬 50萬 50萬 50/100萬 50