【課程目標(biāo)】：

一、 防火墻技術(shù)原理

二、 防火墻的定義

三、 防火墻技術(shù)原理

【學(xué)習(xí)筆記】：

一、防火墻技術(shù)原理

1、 防火墻概要介紹

2、 防火墻功能及原理

3、 防火墻典型應(yīng)用

4、 防火墻存在的問題

二、防火墻的定義

防火墻：一種高級訪問控制設(shè)備，置于不同網(wǎng)絡(luò)安全域之間，它通過相關(guān)的安全策略來控制（允許、拒絕、監(jiān)視、記錄）進(jìn)出網(wǎng)絡(luò)的訪問行為。

三、防火墻的核心技術(shù)

1、 包過濾：最常用的技術(shù)。工作在網(wǎng)絡(luò)層，根據(jù)數(shù)據(jù)包頭中的IP、端口、協(xié)議等確定是否數(shù)據(jù)包通過

2、 應(yīng)用代理：另一種主要技術(shù)，工作在第7層應(yīng)用層，通過編寫應(yīng)用代理程序，實現(xiàn)對應(yīng)用層數(shù)據(jù)的檢測和分析

3、 狀態(tài)檢測：工作在2－4層，控制方式與1同，處理的對象不是單個數(shù)據(jù)包，而是整個連接，通過規(guī)則表（管理人員和網(wǎng)絡(luò)使用人員事先設(shè)定好的）和連接狀態(tài)表，綜合判斷是否允許數(shù)據(jù)包通過。

4、 完全內(nèi)容檢測：需要很強(qiáng)的性能支撐，既有包過濾功能、也有應(yīng)用代理的功能。工作在2-7層，不僅分析數(shù)據(jù)包頭信息、狀態(tài)信息，而且對應(yīng)用層協(xié)議進(jìn)行還原和內(nèi)容分析，有效防范混合型安全威脅。

四、包過濾防火墻技術(shù)原理

1、 簡單包過濾防火墻不檢查數(shù)據(jù)區(qū)

2、 簡單包過濾防火墻不建立連接狀態(tài)表

3、 前后報文無關(guān)

4、 應(yīng)用層控制很弱

五、應(yīng)用代理防火墻技術(shù)原理

1、 不檢查IP\TCP報頭

2、 不建立連接狀態(tài)表

3、 網(wǎng)絡(luò)層保護(hù)比較弱

六、狀態(tài)檢測防火墻技術(shù)原理

1、 不檢查數(shù)據(jù)區(qū)

2、 建立連接狀態(tài)表

3、 前后報文相關(guān)

4、 應(yīng)用層控制很弱

七、完全內(nèi)容檢測防火墻技術(shù)原理

1、 網(wǎng)絡(luò)層保護(hù)強(qiáng)

2、 應(yīng)用層保護(hù)強(qiáng)

3、 會話保護(hù)很強(qiáng)

4、 上下文相關(guān)

5、 前后報文有聯(lián)系

八、防火墻體系結(jié)構(gòu)

1、 過濾路由器

2、 多宿主主機(jī)

3、 被屏蔽主機(jī)

4、 被屏蔽子網(wǎng)

九、過濾路由器（Filtering Router）

1、 過濾路由器作為內(nèi)外網(wǎng)連接的唯一通道，通過ACL策略要求所有的報文都必須在此通過檢查，實現(xiàn)報文過濾功能

2、 它的缺點(diǎn)是一旦被攻陷后很難發(fā)現(xiàn)，而且不能識別不同的用戶（沒有日志記錄）。

十、雙宿主主機(jī)（Dual Homed Gateway）

1、 雙宿主主機(jī)優(yōu)于過濾路由器的地方是：堡壘主機(jī)的系統(tǒng)軟件可用于維護(hù)系統(tǒng)日志

2、 它的致使弱點(diǎn)是：一旦入侵者侵入堡壘主機(jī)，則無法保證內(nèi)部網(wǎng)絡(luò)的安全。

十一、被屏蔽主機(jī)（Screened Host Gateway ）

1、 通常在路由器上設(shè)立ACL過濾規(guī)則，并通過堡壘主機(jī)進(jìn)行數(shù)據(jù)轉(zhuǎn)發(fā)，來確保內(nèi)部網(wǎng)絡(luò)的安全

2、 弱點(diǎn)：如果攻擊者進(jìn)入屏蔽主機(jī)內(nèi)，內(nèi)網(wǎng)中就會受到很大的威脅，這與雙宿主主機(jī)受攻擊時的情形差不多。

十二、被屏蔽子網(wǎng)（Screened Subnet）

1、 這種結(jié)構(gòu)是在內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)之間建立一個被隔離的子網(wǎng)，用兩臺過濾路由器分別與內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)連接，中間通過堡壘主機(jī)進(jìn)行數(shù)據(jù)轉(zhuǎn)發(fā)。

2、 特點(diǎn)：如果攻擊者試圖進(jìn)入內(nèi)網(wǎng)或者子網(wǎng)，他必須攻破過濾路由器和雙宿主主機(jī)，然后才可以進(jìn)入子網(wǎng)主機(jī)，整個過程中將引發(fā)警報機(jī)制。

十三、防火墻技術(shù)原理

2、防火墻基本功能

十四、防火墻基本功能

1、 訪問控制（防火墻是一種高級的訪問控制設(shè)備）

2、 地址轉(zhuǎn)換（都會部署在內(nèi)外網(wǎng)之間，尤其是互聯(lián)網(wǎng)出口，因此會涉及到地址轉(zhuǎn)換問題）

3、 網(wǎng)絡(luò)環(huán)境支持（2層或3層之間的內(nèi)部連接）

4、 帶寬管理功能（如觀看視頻時，同時其它人要去炒股，）

5、 入侵檢測和攻擊防御

6、 用戶認(rèn)證

7、 高可用性

十五、基本訪問控制功能

十六、時間控制策略

十七、地址轉(zhuǎn)換策略（1）

十八、地址轉(zhuǎn)換策略（2）

十九、網(wǎng)絡(luò)環(huán)境支持（固定）

二十、網(wǎng)絡(luò)環(huán)境支持

二十一、網(wǎng)絡(luò)環(huán)境支持－動態(tài)路由

二十二、網(wǎng)絡(luò)環(huán)境支持－ADSL撥號

二十三、網(wǎng)絡(luò)環(huán)境支持－SNMP網(wǎng)絡(luò)管理

二十四、網(wǎng)絡(luò)環(huán)境支持－IP MAC綁定（防止IP濫用的現(xiàn)象）

二十五、帶寬管理QOS（可以根據(jù)業(yè)務(wù)進(jìn)行不同的流量分配，以保證重要業(yè)務(wù)的應(yīng)用）

二十六 、入侵檢測和攻擊防御－內(nèi)置入侵檢測

二十七、入侵檢測和攻擊防御－入侵檢測聯(lián)

二十八、用戶認(rèn)證

二十九、高可用性－雙機(jī)熱備

三十、高可用性－負(fù)載均衡

三十一、高可用性－鏈路備份

三十二、防火墻典型應(yīng)用－接入方式－透明接入

三十三、防火墻典型應(yīng)用－接入方式－路由接入（在同一網(wǎng)段）

三十四、防火墻典型應(yīng)用－接入方式－綜合接入

三十五、防火墻典型應(yīng)用（星形結(jié)構(gòu)）

三十六、防火墻的典型應(yīng)用（梯形結(jié)構(gòu)）

三十七、防火墻的典型應(yīng)用三（簡單結(jié)構(gòu)）

三十八、防火墻性能介紹－防火墻性能的五大指標(biāo)

1、 吞吐量：很重要。該指標(biāo)直接影響網(wǎng)絡(luò)的性能，吞吐量

2、 時延：很重要。入口處輸入幀最后1個比特到達(dá)至出口處輸出幀的第1個比特輸出所用的時間間隔

3、 丟包率：在穩(wěn)態(tài)負(fù)載下，應(yīng)由網(wǎng)絡(luò)設(shè)備傳輸，但由于資源投入而被丟棄的幀的百分比?，F(xiàn)在性能發(fā)展了，這種情況已經(jīng)較少了。

4、 背靠背：從空閑狀態(tài)開始，以達(dá)到傳輸介質(zhì)最小合法間隔極限的傳輸速率發(fā)送相當(dāng)數(shù)量的固定長度的幀，當(dāng)出現(xiàn)第一個幀丟失時，發(fā)送的幀數(shù)現(xiàn)在性能發(fā)展了，這種情況已經(jīng)較少了。

5、 并發(fā)連接數(shù)：很重要。并發(fā)連接數(shù)是指穿越防火墻的主機(jī)之間或主機(jī)防火墻之間能同時建立的最大連接數(shù)

6、 每秒新建連接數(shù)：很重要。1秒之內(nèi)能夠新建的連接數(shù)量，體現(xiàn)了防火墻的反應(yīng)能力或者說是靈敏度。

三十九、吞吐量

1、 定義：在不丟包的情況下能夠達(dá)到的最大速率

2、 衡量標(biāo)準(zhǔn)：吞吐量越大，防火墻的性能越高

四十、時延

1、 定義：入口處輸入幀最后1個比特到達(dá)至出口處輸出幀的第一個比特輸出所用的時間間隔

2、 衡量標(biāo)準(zhǔn)：延時越小，表示防火（比較好的在us微秒級，有的在ms毫秒級）

四十一、丟包率

1、 定義：在連續(xù)負(fù)載。。。

四十二、背靠背

四十三、并發(fā)連接數(shù)