Transcript 高职大赛培训13
防火墙技术
本章内容
防火墙技术
防火墙的分类
防火墙部署方式
配置RG-WALL防火墙
课程议题
防火墙技术
什么是防火墙?
传统意义的防火墙
用于控制实际的火灾,使火
灾被限制在建筑物的某部分,
不会蔓延到其他区域
网络安全中的防火墙
用于保护网络免受恶意行为
的侵害,并阻止其非法行为
的网络设备或系统
作为一个安全网络的边界点
在不同的网络区域之间进行
流量的访问控制
防火墙的作用
防火墙能够做什么?
控制和管理网络访问
保护网络和系统资源
数据流量的深度检测
身份验证
扮演中间人角色
记录和报告事件
防火墙与OSI
基本防火墙
Network
Transport
高级防火墙
DataLink
Session
Application
课程议题
防火墙分类
防火墙的分类
防火墙分类
按照操作对象
主机防火墙
网络防火墙
按照实现方式
软件防火墙
硬件防火墙
按照过滤和检测方式
包过滤防火墙
状态防火墙
应用网关防火墙
地址转换防火墙
透明防火墙
混合防火墙
主机防火墙与网络防火墙
主机防火墙
网络防火墙
位置优势
功能强大
低成本
性能高
难于部署、维护
透明度强
缺乏透明度
成本高
功能局限性
内部攻击保护性差
示例
示例
Microsoft ICF
Norton Personal Firewall
Ruijie RG-WALL
Juniper Netscreen
Cisco PIX/ASA
Fortinet FortiGate
天融信NetGuard
软件防火墙与硬件防火墙
软件防火墙
硬件防火墙
应用层控制和检测
性能高
功能丰富
自身安全性高
性能低
易于维护
自身安全性问题
缺乏高级功能
示例
示例
Microsoft ISA
SunScreen
CheckPoint Firewall
Ruijie RG-WALL
Juniper Netscreen
Cisco PIX/ASA
Fortinet FortiGate
天融信NetGuard
包过滤防火墙
无状态包过滤防火墙技术
最基本的防火墙过滤方式
根据L3/L4信息进行过滤
源和目的IP
协议
ICMP消息和类型
TCP/UDP源和目的端口
处理速度快
无法阻止应用层攻击
部署复杂,维护量大
部署方式
作为Internet边界的第一层防线
隐式拒绝,显示允许
示例
使用ACL过滤的路由器
包过滤防火墙(续)
无状态包过滤防火墙示例
状态防火墙
有状态包过滤防火墙技术
与无状态包过滤防火墙执行相似的操作
保持对连接状态的跟踪,状态表
无需开放高端口访问权限
不属于现有会话的访问将被拒绝
检查更高级的信息
TCP Flag、TCP Seq.
更多的DoS防护
特定应用层协议检测
不能阻止应用层攻击
状态表导致的系统开销
部署方式
作为主要的防御措施
需要更加严格的控制
状态防火墙(续)
无状态包过滤的问题
有状态包过滤防火墙的实现
跟踪连接的状态
状态防火墙(续)
无应用层检测的状态防火墙
状态防火墙(续)
支持应用层检测的状态防火墙
动态协议检测(FTP、NetBIOS、SQLNET、SIP…..)
检测应用层报头中的信息(应用层命令)
应用网关防火墙
应用网关防火墙技术
通常称为代理防火墙(Proxy Firewall)
操作在L3/L4/L5/L7
支持身份认证
监控和过滤应用层信息
通过软件处理
支持的应用有限可能需要部署客户端软件
部署方式
作为主要的的防御措施
需要更严格的身份及会话验证
应用网关防火墙(续)
连接网关防火墙
执行传统的应用网关防火墙检测方式
直通代理防火墙(Cut-Through)
简化的应用网关防火墙
对于初始连接请求进行身份验证
会话的后续信息执行L3/L4过滤
更好的性能
地址转换防火墙
NAT防火墙技术
解决了公有IP地址匮乏的问题
在L3/L4操作
隐藏了内部网络结构
引入了延时
破坏了IP的端到端模型
对应用的支持限制
一些应用将连接信息嵌入到应用层报文中
NAT ALG(Application Layer Gateway)
地址转换防火墙(续)
NAT ALG(SQLNET)
地址转换防火墙(续)
NAT ALG(DNS)
透明防火墙
透明防火墙
充当网桥的角色
可操作于L2/L3/L4/L5/L7
易于部署
即插即用
零配置
无需更改编制结构
无需更改路由拓扑
隐蔽性高
透明设备,0跳
无IP,无连接可达到
混合防火墙
高级防火墙
包过滤(无状态/有状态)
NAT操作
应用内容过滤
透明防火墙
防攻击
入侵检测
VPN
安全管理
课程议题
防火墙部署
防火墙区域
防火墙拓扑位置
专用(内部)和公共(外部)网络之间
网络的出口和入口处
专用网络内部:关键的网段,如数据中心
防火墙区域
Trust(内部)
Untrust(外部,Internet)
DMZ(Demilitarized Zone,非武装军事区)
DMZ中的系统通常为提供对外服务的系统
增强信任区域中设备的安全性
特殊的访问策略
信任区域中的设备也会对DMZ中的系统进行访问
防火墙区域(续)
防火墙区域设计
双接口无DMZ区域
网络无需对外提供服务
防火墙区域设计(续)
带边界路由器的单防火墙双接口DMZ区域
双层次防火墙设计的替代方案
防火墙区域设计(续)
单防火墙三接口DMZ区域
最通用的部署方式
防火墙区域设计(续)
单防火墙多DMZ区域
常用于ISP设计
防火墙区域设计(续)
背靠背防火墙设计
课程议题
配置RG-WALL防火墙
RG-WALL防火墙介绍
锐捷RG-WALL防火墙
状态过滤
应用层检测
NAT
防攻击
透明防火墙
流量控制
高可用性
VPN
RG-WALL防火墙管理界面
登录RG-WALL防火墙
RG-WALL防火墙默认配置
WAN接口为管理接口,IP为192.168.10.100
默认管理员帐号“admin”,密码“firewall”
登录方式
证书认证
导入管理员证书到浏览器
https://192.168.10.100:6666
电子钥匙认证
插入电子钥匙并认证
https://192.168.10.100:6667
证书认证
导入证书
证书认证(续)
登录防火墙
电子钥匙认证
电子钥匙认证
电子钥匙认证(续)
登录防火墙
配置管理主机
配置管理主机
只有管理主机可以对防火墙进行管理
配置管理员
配置管理员及其权限级别
配置接口
配置物理特性、工作模式等
配置接口(续)
配置接口地址及管理选项
配置路由
配置路由、路由负载均衡
配置对象
地址对象
地址列表&地址组
定义IP地址的集合
可被包过滤规则、NAT规则引用
服务器地址
定义服务器地址的集合
可被IP映射规则、端口映射规则引用
NAT地址池
定义NAT转换地址的集合
可被NAT规则引用
服务器对象
服务器列表&服务组
定义服务的集合,包括协议、端口号、
ICMP类型等
可被任何规则引用
配置对象(续)
时间对象
时间列表&时间组
定义时间的集合
可被任何规则引用
带宽列表
定义带宽限制参数
可被任何规则引用
URL列表
定义URL集合
可被任何规则引用
配置规则
包过滤规则
对用户的连接请求进行访问控制
NAT规则
执行NAT转换操作
IP映射规则
配置内部主机与公有地址间的映射,用于服务器发布
端口映射规则
配置内部服务与外部服务间的映射,用于对外发布服务
配置规则(续)
包过滤规则
指定源地址信息
指定源目的地址信息
指定协议或服务信息
指定过滤动作
NAT规则
指定被转换报文
的源地址信息
指定转换后的地址
指定被转换报
文的服务信息
指定被转换报文
的目的地址信息
IP映射规则
指定外部用户可
访问的公有地址
指定内部主
机的地址
端口映射规则
指定外部用户可
访问的公有地址
指定内部服
务器的地址
指定对外发布
的服务信息
内部服务器
的服务信息
配置IP/MAC绑定
IP/MAC绑定
防止IP/MAC欺骗
若使绑定生效,
必须启用接口的
IP/MAC绑定功能
当未检查到匹配条
目时采取的操作
使防火墙自动
探测绑定信息
手工添加绑定信息
配置IP/MAC绑定(续)
配置防攻击
配置连接限制
配置连接限制
连接限制用于保护服务器资源
如果连接超出了策略限制,则对主机进行阻断,
禁止其再访问服务器资源
限制方式
主机保护
服务保护
主机限制
服务限制
主机保护
限制对服务器地址的访问
服务保护
限制对服务器的服务的访问
主机限制
对发起访问的源进行限制
服务限制
对访问某类服务的源进行限制
启用连接限制
在安全规则中启用连接限制
启用连接限制