防火墙技术防火墙技术

本章内容本章内容

防火墙技术防火墙技术

防火墙的分类防火墙的分类

防火墙部署方式防火墙部署方式

配置配置 RG-WALLRG-WALL防火墙防火墙

课程议题课程议题

防火墙技术防火墙技术

什么是防火墙？什么是防火墙？

传统意义的防火墙传统意义的防火墙 用于控制实际的火灾，使火用于控制实际的火灾，使火灾被限制在建筑物的某部分，灾被限制在建筑物的某部分，不会蔓延到其他区域不会蔓延到其他区域

网络安全中的防火墙网络安全中的防火墙 用于保护网络免受恶意行为用于保护网络免受恶意行为的侵害，并阻止其非法行为的侵害，并阻止其非法行为的网络设备或系统的网络设备或系统

作为一个安全网络的边界点作为一个安全网络的边界点 在不同的网络区域之间进行在不同的网络区域之间进行流量的访问控制流量的访问控制

防火墙的作用防火墙的作用

防火墙能够做什么？防火墙能够做什么？ 控制和管理网络访问控制和管理网络访问 保护网络和系统资源保护网络和系统资源 数据流量的深度检测数据流量的深度检测 身份验证身份验证 扮演中间人角色扮演中间人角色 记录和报告事件记录和报告事件

防火墙与防火墙与 OSIOSI

基本防火墙基本防火墙 NetworkNetwork

TransportTransport

高级防火墙高级防火墙 DataLinkDataLink

SessionSession

ApplicationApplication

课程议题课程议题

防火墙分类防火墙分类

防火墙的分类防火墙的分类

防火墙分类防火墙分类 按照操作对象按照操作对象

主机防火墙 网络防火墙

按照实现方式按照实现方式 软件防火墙 硬件防火墙

按照过滤和检测方式按照过滤和检测方式 包过滤防火墙 状态防火墙 应用网关防火墙 地址转换防火墙 透明防火墙 混合防火墙

主机防火墙与网络防火墙主机防火墙与网络防火墙

主机防火墙主机防火墙 位置优势位置优势 低成本低成本 难于部署、维护难于部署、维护 缺乏透明度缺乏透明度 功能局限性功能局限性 示例示例

Microsoft ICF Norton Personal Firewall

网络防火墙网络防火墙 功能强大功能强大 性能高性能高 透明度强透明度强 成本高成本高 内部攻击保护性差内部攻击保护性差 示例示例

Ruijie RG-WALL Juniper Netscreen Cisco PIX/ASA Fortinet FortiGate 天融信 NetGuard

软件防火墙与硬件防火墙软件防火墙与硬件防火墙

软件防火墙软件防火墙 应用层控制和检测应用层控制和检测 功能丰富功能丰富 性能低性能低 自身安全性问题自身安全性问题 示例示例

Microsoft ISA SunScreen CheckPoint Firewall

硬件防火墙硬件防火墙 性能高性能高 自身安全性高自身安全性高 易于维护易于维护 缺乏高级功能缺乏高级功能 示例示例

Ruijie RG-WALL Juniper Netscreen Cisco PIX/ASA Fortinet FortiGate 天融信 NetGuard

包过滤防火墙包过滤防火墙

无状态包过滤防火墙技术无状态包过滤防火墙技术 最基本的防火墙过滤方式最基本的防火墙过滤方式 根据根据 L3/L4L3/L4信息进行过滤信息进行过滤

源和目的 IP 协议 ICMP消息和类型 TCP/UDP源和目的端口

处理速度快处理速度快 无法阻止应用层攻击无法阻止应用层攻击 部署复杂，维护量大部署复杂，维护量大 部署方式部署方式

作为 Internet边界的第一层防线 隐式拒绝，显示允许

示例示例 使用 ACL过滤的路由器

包过滤防火墙（续）包过滤防火墙（续） 无状态包过滤防火墙示例无状态包过滤防火墙示例

状态防火墙状态防火墙 有状态包过滤防火墙技术有状态包过滤防火墙技术

与无状态包过滤防火墙执行相似的操作与无状态包过滤防火墙执行相似的操作 保持对连接状态的跟踪，状态表保持对连接状态的跟踪，状态表

无需开放高端口访问权限 不属于现有会话的访问将被拒绝

检查更高级的信息检查更高级的信息 TCP Flag、 TCP Seq. 更多的 DoS防护 特定应用层协议检测

不能阻止应用层攻击不能阻止应用层攻击 状态表导致的系统开销状态表导致的系统开销 部署方式部署方式

作为主要的防御措施 需要更加严格的控制

状态防火墙（续）状态防火墙（续）

无状态包过滤的问题无状态包过滤的问题

有状态包过滤防火墙的实现有状态包过滤防火墙的实现 跟踪连接的状态跟踪连接的状态

状态防火墙（续）状态防火墙（续）

无应用层检测的状态防火墙无应用层检测的状态防火墙

状态防火墙（续）状态防火墙（续）

支持应用层检测的状态防火墙支持应用层检测的状态防火墙 动态协议检测（动态协议检测（ FTPFTP、、 NetBIOSNetBIOS、、 SQLNETSQLNET、、 SIPSIP……..)..)

检测应用层报头中的信息（应用层命令）检测应用层报头中的信息（应用层命令）

应用网关防火墙应用网关防火墙

应用网关防火墙技术应用网关防火墙技术 通常称为代理防火墙（通常称为代理防火墙（ Proxy FirewallProxy Firewall）） 操作在操作在 L3/L4/L5/L7L3/L4/L5/L7

支持身份认证支持身份认证 监控和过滤应用层信息监控和过滤应用层信息 通过软件处理通过软件处理 支持的应用有限可能需要部署客户端软件支持的应用有限可能需要部署客户端软件 部署方式部署方式

作为主要的的防御措施 需要更严格的身份及会话验证

应用网关防火墙（续）应用网关防火墙（续）

连接网关防火墙连接网关防火墙 执行传统的应用网关防火墙检测方式执行传统的应用网关防火墙检测方式

直通代理防火墙（直通代理防火墙（ Cut-ThroughCut-Through）） 简化的应用网关防火墙简化的应用网关防火墙

对于初始连接请求进行身份验证 会话的后续信息执行 L3/L4过滤

更好的性能更好的性能

地址转换防火墙地址转换防火墙

NATNAT防火墙技术防火墙技术 解决了公有解决了公有 IPIP地址匮乏的问题地址匮乏的问题 在在 L3/L4L3/L4操作操作 隐藏了内部网络结构隐藏了内部网络结构 引入了延时引入了延时 破坏了破坏了 IPIP的端到端模型的端到端模型 对应用的支持限制对应用的支持限制

一些应用将连接信息嵌入到应用层报文中 NAT ALG（ Application Layer Gateway）

地址转换防火墙（续）地址转换防火墙（续）

NAT ALGNAT ALG（（ SQLNETSQLNET））

地址转换防火墙（续）地址转换防火墙（续）

NAT ALGNAT ALG（（ DNSDNS））

透明防火墙透明防火墙

透明防火墙透明防火墙 充当网桥的角色充当网桥的角色 可操作于可操作于 L2/L3/L4/L5/L7L2/L3/L4/L5/L7

易于部署易于部署 即插即用 零配置 无需更改编制结构 无需更改路由拓扑

隐蔽性高隐蔽性高 透明设备， 0跳 无 IP，无连接可达到

混合防火墙混合防火墙

高级防火墙高级防火墙 包过滤（无状态包过滤（无状态 //有状态）有状态） NATNAT操作操作 应用内容过滤应用内容过滤 透明防火墙透明防火墙 防攻击防攻击 入侵检测入侵检测 VPNVPN

安全管理安全管理

课程议题课程议题

防火墙部署防火墙部署

防火墙区域防火墙区域

防火墙拓扑位置防火墙拓扑位置 专用（内部）和公共（外部）网络之间专用（内部）和公共（外部）网络之间 网络的出口和入口处网络的出口和入口处 专用网络内部：关键的网段，如数据中心专用网络内部：关键的网段，如数据中心

防火墙区域防火墙区域 TrustTrust（内部）（内部） UntrustUntrust（外部，（外部， InternetInternet ）） DMZDMZ（（ Demilitarized ZoneDemilitarized Zone，非武装军事区），非武装军事区）

DMZ中的系统通常为提供对外服务的系统 增强信任区域中设备的安全性 特殊的访问策略 信任区域中的设备也会对 DMZ中的系统进行访问

防火墙区域（续）防火墙区域（续）

防火墙区域设计防火墙区域设计

双接口无双接口无 DMZDMZ区域区域 网络无需对外提供服务网络无需对外提供服务

防火墙区域设计（续）防火墙区域设计（续）

带边界路由器的单防火墙双接口带边界路由器的单防火墙双接口 DMZDMZ区域区域 双层次防火墙设计的替代方案双层次防火墙设计的替代方案

防火墙区域设计（续）防火墙区域设计（续）

单防火墙三接口单防火墙三接口 DMZDMZ区域区域 最通用的部署方式最通用的部署方式

防火墙区域设计（续）防火墙区域设计（续） 单防火墙多单防火墙多 DMZDMZ区域区域

常用于常用于 ISPISP设计设计

防火墙区域设计（续）防火墙区域设计（续）

背靠背防火墙设计背靠背防火墙设计

课程议题课程议题

配置配置 RG-WALLRG-WALL防火墙防火墙

RG-WALLRG-WALL 防火墙介绍防火墙介绍

锐捷锐捷 RG-WALLRG-WALL防火墙防火墙 状态过滤状态过滤 应用层检测应用层检测 NATNAT

防攻击防攻击 透明防火墙透明防火墙 流量控制流量控制 高可用性高可用性 VPNVPN

RG-WALLRG-WALL 防火墙管理界面防火墙管理界面

登录登录 RG-WALLRG-WALL 防火墙防火墙

RG-WALLRG-WALL防火墙默认配置防火墙默认配置 WANWAN接口为管理接口，接口为管理接口， IPIP为为 192.168.10.100192.168.10.100

默认管理员帐号默认管理员帐号““ adminadmin””，密码，密码““ firewallfirewall””

登录方式登录方式 证书认证证书认证

导入管理员证书到浏览器 https://192.168.10.100:6666

电子钥匙认证电子钥匙认证 插入电子钥匙并认证 https://192.168.10.100:6667

证书认证证书认证

导入证书导入证书

证书认证（续）证书认证（续）

登录防火墙登录防火墙

电子钥匙认证电子钥匙认证

电子钥匙认证电子钥匙认证

电子钥匙认证（续）电子钥匙认证（续）

登录防火墙登录防火墙

配置管理主机配置管理主机

配置管理主机配置管理主机 只有管理主机可以对防火墙进行管理只有管理主机可以对防火墙进行管理

配置管理员配置管理员

配置管理员及其权限级别配置管理员及其权限级别

配置接口配置接口 配置物理特性、工作模式等配置物理特性、工作模式等

配置接口（续）配置接口（续） 配置接口地址及管理选项配置接口地址及管理选项

配置路由配置路由

配置路由、路由负载均衡配置路由、路由负载均衡

配置对象配置对象

地址对象地址对象 地址列表地址列表 &&地址组地址组

定义 IP地址的集合 可被包过滤规则、 NAT规则引用

服务器地址服务器地址 定义服务器地址的集合 可被 IP映射规则、端口映射规则引用

NATNAT地址池地址池 定义 NAT转换地址的集合 可被 NAT规则引用

服务器对象服务器对象 服务器列表服务器列表 &&服务组服务组

定义服务的集合，包括协议、端口号、 ICMP类型等

可被任何规则引用

配置对象（续）配置对象（续）

时间对象时间对象 时间列表时间列表 &&时间组时间组

定义时间的集合 可被任何规则引用

带宽列表带宽列表 定义带宽限制参数定义带宽限制参数 可被任何规则引用可被任何规则引用

URLURL列表列表 定义定义 URLURL集合集合 可被任何规则引用可被任何规则引用

配置规则配置规则

包过滤规则包过滤规则 对用户的连接请求进行访问控制对用户的连接请求进行访问控制

NATNAT规则规则 执行执行 NATNAT转换操作转换操作

IPIP 映射规则映射规则 配置内部主机与公有地址间的映射，用于服务器发布配置内部主机与公有地址间的映射，用于服务器发布

端口映射规则端口映射规则 配置内部服务与外部服务间的映射，用于对外发布服务配置内部服务与外部服务间的映射，用于对外发布服务

配置规则（续）配置规则（续）

包过滤规则包过滤规则

指定源地址信息 指定源目的地址信息

指定协议或服务信息

指定过滤动作

NATNAT 规则规则

指定被转换报文的源地址信息

指定转换后的地址

指定被转换报文的目的地址信息

指定被转换报文的服务信息

IPIP 映射规则映射规则

指定外部用户可访问的公有地址

指定内部主机的地址

端口映射规则端口映射规则

指定外部用户可访问的公有地址

指定内部服务器的地址

内部服务器的服务信息

指定对外发布的服务信息

配置配置 IP/MACIP/MAC 绑定绑定

当未检查到匹配条目时采取的操作

若使绑定生效，必须启用接口的IP/MAC绑定功能

使防火墙自动探测绑定信息

手工添加绑定信息

IP/MACIP/MAC绑定绑定 防止防止 IP/MACIP/MAC欺骗欺骗

配置配置 IP/MACIP/MAC 绑定（续）绑定（续）

配置防攻击配置防攻击

配置连接限制配置连接限制

配置连接限制配置连接限制 连接限制用于保护服务器资源连接限制用于保护服务器资源 如果连接超出了策略限制，则对主机进行阻断，如果连接超出了策略限制，则对主机进行阻断，禁止其再访问服务器资源禁止其再访问服务器资源

限制方式限制方式 主机保护 服务保护 主机限制 服务限制

主机保护主机保护 限制对服务器地址的访问限制对服务器地址的访问

服务保护服务保护 限制对服务器的服务的访问限制对服务器的服务的访问

主机限制主机限制 对发起访问的源进行限制对发起访问的源进行限制

服务限制服务限制 对访问某类服务的源进行限制对访问某类服务的源进行限制

启用连接限制启用连接限制 在安全规则中启用连接限制在安全规则中启用连接限制

启用连接限制