网络安全技术第3章网络安全技术--防火墙技术.ppt

个人介绍,陈兴钰长春方联计算机高级技术培训中心讲师E-mailchenxyMSNrollen_chenTel0431-85155777/888/999－813,网络安全技术,,第七讲、网络安全技术,防火墙技术,,目录,防火墙的基本概念防火墙的发展历程防火墙的核心技术防火墙的体系结构防火墙的构造体系防火墙的功能与原理防火墙的典型应用,一、防火墙的基本概念,1、防火墙的传统概念,防火墙用来防止大火从建筑物的一部分传播到其另一部分。,,,,,,,安全,2、IT领域防火墙的概念,在两个不同级别的安全域之间进行信息的流通及访问，可以在两个安全域之间安装一台设备，来控制这两个安全域之间的访问行为。该设备添加完成后，就可以将这两个安全域分成两个独立的安全域，只要保证此设备是两个安全域之间通信流的唯一通道，那么就可以在该设备上控制两个安全域之间的任何信息交换。同时还可以在该设备上设置相应的安全策略和规则，来控制两个安全域之间的访问行为，记录两个安全域之间的动作。防火墙防火墙－－Firewall，一种高级访问控制设备，置于不同网络安全域之间的一系列部件的组合（硬件和软件），它是不同网络安全域之间通信流的唯一通道，能够根据企业的有关安全策略控制（允许、禁止、监视、记录）进出网络的访问行为。防火墙的核心功能是做访问控制。,防火墙,,,,,,,安全域1,,,,,,,,,,,,,,,安全域2,H1,H2,H3,H4,根据访问控制规则，决定进出网络的访问行为。,,,唯一的安全通道,,3、防火墙的外形（一）,思科PIX-525-FO-BUN,思科PIX-506E-BUN-K9,NETGEARFVS318,Westone中华卫士6103-SV,机箱及尺寸类似与路由器，通常为1U、2U或4U，从外观看，就是一台特殊的计算机。,3、防火墙的外形（二）,Console口（串口RS-232）利用串口线，通过“超级终端”可以配置防火墙。,网络接口（RJ-45）防火墙标配三个网络接口，通常都是10M/100M自适应的以太口。,扩展槽通过模块化扩展槽，可以选配多个或多种类型的接口。,,,,,,,二、防火墙的发展历程,,1、防火墙发展历程（一）,基于路由器的防火墙,防火墙工具套,基于通用操作系统的防火墙,基于安全操作系统的防火墙,,,,根据路由器本身对分组的解析，对分组进行过滤。工作在网络层，判断依据是地址、端口号、IP头部信息等其他网络特征。防火墙与路由器合而为一，只有过滤功能。适用于对网络安全性要求不高的网络环境。,将过滤功能从路由器中独立出来，加入了审计和告警功能。根据用户需求，提供模块化软件包。软件可通过网络发送，用户根据需要构建防火墙。安全性能提高，价格下降。,产品化的防火墙产品。包含分组过滤或借用路由器的分组过滤功能。安装有专用的代理系统，能够监控所有协议的数据和指令。保护用户编程空间和用户可配置内核参数的设置。性能与速度大大提高。,防火墙厂商有自己产品操作系统的源码，可实现安全内核。去掉了不必要的系统特性，加固了内核，强化了安全保护。功能包括分组过滤、应用网关、电路级网关。增加了附加功能加密、鉴别、审计、NAT转换。透明性好，易于使用。,三、防火墙的核心技术,,1、现有防火墙的核心技术,简单包过滤防火墙状态检测包过滤防火墙应用代理防火墙包过滤与应用代理复合型防火墙核检测防火墙,（1）、简单包过滤防火墙的工作原理,应用层,传输层,网络层,网络接口层,应用层,传输层,网络层,网络接口层,,,外部攻击,01001000011100110101,01001000011100110101,外部攻击,,,,,只检查报头,,,,,,,,,,,简单包过滤防火墙的特点,不检查用户数据不建立状态连接表前后报文无关应用层控制很弱简单包过滤防火墙基于源、目地址/端口/协议号进行检测，由于不检查应用层，所有效率比较高，但是安全性低。,（2）、状态检测包过滤防火墙的工作原理,应用层,传输层,网络层,网络接口层,应用层,传输层,网络层,网络接口层,,,外部攻击,01001000011100110101,01001000011100110101,外部攻击,,,,,只检查报头,,,,,,,,,,,建立连接状态表,,状态检测包过滤防火墙的特点,状态检测包过滤防火墙可以根据连接状态信息，动态地建立和维持一个连接状态表，并将该连接状态表应用到对后续报文的访问控制中去。安全性比简单包过滤防火墙提高了，因为它可以跟踪和监控连接信息，同时其效率也大大增加，因为为一旦建立好连接状态表之后，对于同一连接的后续报文，不用再去逐条匹配规则，可以直接根据连接状态表进行报文的转发。能够跟踪TCP的连接状态信息不检查用户数据建立连接状态表前后报文相关应用层控制很弱（应用层控制力度较弱，但是对网络层和传输层的保护较强。）效率更高，安全性提高。,（3）、应用代理防火墙的工作原理,应用层,传输层,网络层,网络接口层,应用层,传输层,网络层,网络接口层,,,外部攻击,01001000011100110101,01001000011100110101,外部攻击,,,,,只检查应用层数据,,,,,,,,,,,应用代理防火墙的特点,应用代理防火墙对于其代理的协议报文、会话，能够很好的理解，可以对报文进行重组，从而实现对高层（应用层）的访问控制。可以对高层协议进行分析、匹配，所以控制力度更细，安全性大大增加。由于对高层数据（用户数据）进行解封装，所以效率大大降低，所以整体性能有所降低。它对应用层的保护加强了，但对传输层和网络层的保护则降低了。不检查TCP、IP报头不建立连接状态表对网络层、传输层保护较弱对应用层保护较强,（4）、复合型防火墙的工作原理,应用层,传输层,网络层,网络接口层,应用层,传输层,网络层,网络接口层,,,外部攻击,01001000011100110101,01001000011100110101,外部攻击,,,,,检查整个报文内容,,,,,,,,,,,建立连接状态表,,复合型防火墙的特点,复合型防火墙综合了包过滤防火墙和应用代理防火墙的特点，形成了复合型防火墙。它对整个报文进行访问控制和处理，具体检测内容由策略决定，如果策略是包过滤策略，则对TCP、IP报头进行检测，如果策略是应用代理策略，则对用户数据进行检测。所以它可以灵活地对整个报文相关要素进行访问控制。它的安全性和灵活性很高。可以检查整个数据包的内容根据需要建立连接状态表网络层保护强应用层控制细会话控制较弱,（4）、核检测防火墙的工作原理,应用层,传输层,网络层,网络接口层,应用层,传输层,网络层,网络接口层,,,外部攻击,01001000011100110101,01001000011100110101,,,,,重写会话,,,,,,,,,,,检查多个报文组成的会话,,主服务器,硬盘数据,大数据,报文1,报文2,报文3,外部攻击,主服务器,硬盘数据,外部攻击,主服务器,硬盘数据,,,建立连接状态表,,核检测防火墙的特点,当应用层产生大报文时，如果数据量很大，当报文交给传输层时，用一个TCP报文无法发送，就需要拆成多个报文进行转发，如果有三个报文到达防火墙之后，对于简单包过滤防火墙、状态检测包过滤防火墙和应用代理防火墙，他们只是检查单个报文，所以只检查其中的一个报文，但是他们都不能把这些报文组合起来，形成一个会话来进行处理。对于核检测防火墙，它可以将不同报文，在防火墙内部，模拟成应用层客户端或服务器端，对整个报文进行重组，合成一个会话来进行理解，进行访问控制。所以可以提供更细的访问控制，同时能生产访问日志。可以看到，它的上下报文是相关的，它具备包过滤和应用代理防火墙的全部特点，还增加了对会话的保护能力。所以，核检测防火墙在安全性上具有明显的优势，并能提高产品的性能。网络层保护强应用层保护强会话层保护强上下报文相关前后报文有联系，可以关联进行出来。,2、防火墙的核心技术比较,四、防火墙的体系结构,,1、防火墙体系结构（基于核检测防火墙）,路由模块,透明模块,规则检查,还原模块,HTTP还原,FTP还原,SMTP还原,POP3还原,,应用层日志,病毒,应用层过滤,日志守护进程,病毒守护进程,,Kernel,Application,连接表,NIC,,001010111001101,001010101101101,001010011001100,,在操作系统内核完成应用协议的还原，提高了系统的整体性能。,,,,,,,,,,,,,,2、基于内核的会话检测技术,,,01001000011100110101,01001000011100110101,NIC1,NIC2,010010000111001101010100101101110010000111101001011101100101,010010000101001101011101100101010010110111001000010110100101,输入队列,Client,发起请求,,,,,协议还原模块,,虚拟客户端,,底层驱动,防火墙逻辑图,,GET/HTTP/1.1Acceptimage/gif,image/x-xbitmap,application/vnd,ms-powerpoint,application/msword,*/*Accept-Languagezh-cn,输入队列,是否符合安全策略,虚拟服务器端,,,协议还原模块,,,,,,,Y,,N,禁止,允许,核检测技术就是基于操作系统内核的会话检测技术,（1）、会话检测技术,当客户端发起一个访问请求，提交给防火墙后，防火墙可以模拟成服务器端，对客户端的请求进行高层协议的还原，还原成我们能够理解的信息，如果符合安全策略，并与之匹配，则由防火墙的另外一个接口对数据重写进行封装、发送。同时对服务器返回的信息，也可以交给防火墙内核进行还原，将还原后的信息与安全策略进行匹配，决定是否封装、发送。所以，在此过程中，防火墙可以模拟客户端和服务器端，对双方的会话进行会话还原，对整个信息进行访问控制。,,（2）、基于内核,,,,,应用层,系统核心,应用层,系统核心,01001000011100110101,,0100100001110,,,,,1、进行规则匹配、应用层过滤2、频繁在系统核心和应用层之间切换3、消耗大量的系统资源4、产生大量的进程5、影响防火墙的性能,,普通防火墙,,01001000011100110101,,,0100100001110,01001000011100110101,,0100100001110,,,,01001000011100110101,NIC1,NIC2,NIC1,NIC2,,,0100100001110,1、直接在系统内核进行应用层过滤2、不需要频繁在系统核心和应用层之间切换3、在大量并发情况下不会生成大量的进程，能有效保护系统资源4、提高了会话检测的效率,,,,基于内核检测的防火墙,检测,检测,基于内核,对于普通防火墙，数据提交给系统核心以后，核心接收完信息后传递给应用层，应用层的防火墙程序，对信息进行高层过滤和还原，还原之后，如果信息符合策略规则，则将信息再次转发给核心，再由核心从防火墙的另一个接口发送出去。在此过程中将频繁地在核心和应用层之间进行数据的Copy和进程的切换，一旦由大量的并发连接，将生成大量的进程，这也是普通防火墙的瓶颈。基于内核的防火墙，在数据提交给系统核心之后，由核心的协议还原模块直接对高层的信息进行还原、处理，处理完之后，由另外一个接口进行转发，省去了数据Copy和进程切换的时间，即使有大量并发连接，也不会生成大量进程，提高了防火墙的性能。所以其并发连接数量可达120万左右，而普通防火墙的并发连接数量只能到20万左右。,四、防火墙的构造体系,,防火墙构造体系,筛选路由器多宿主主机被屏蔽主机被屏蔽子网,1、筛选路由器构造体系,外部网络,,,内部网络,,,包过滤器,,,,,,,,进行包过滤,这种防火墙部署灵活，但是安全保护能力较弱。,2、多宿主主机构造体系,外部网络,,,,,,,内部网络,,,,,※,禁止内外网之间的直接通信,所有通信都经过双宿主主机,,,,通过应用代理客户端通过登陆到双宿主主机获得服务,双宿主主机,多宿主主机,多宿主主机带有多块网卡的主机，称为多宿主主机。带有两块网卡的主机即双宿主主机。多宿主主机就是代理服务器，其一块网卡接内外，一块网卡接外网，内网和外网之间的通信必须经过多宿主主机（代理服务器），此时多宿主主机对两个安全域之间的信息交互进行保护，进行控制和检查。这种构造体系只有一重防护体系，一旦双宿主主机被攻陷，整个内外将完全暴露，同时，双宿主主机自身的安全将影响整个安全域的安全性。,3、被屏蔽主机的防火墙构造体系,,,,,,,安全域,,内网,包过滤器,,,,,,Internet,堡垒主机,对内部主机的访问必须经过堡垒主机,进行规则匹配，只允许外部主机与堡垒主机进行通信，不允许外部主机直接访问堡垒主机之外的其他主机。,,被屏蔽主机,堡垒主机经过加固的、很难被攻破的主机。通过在包过滤防火墙上设置策略，只允许堡垒主机穿过防火墙，与外网进行通信，封锁其他所有主机与外网的通信，内部主机对外访问时，先将信息请求发送给堡垒主机，再由堡垒主机进行转发。如果堡垒主机被攻破，只要包过滤器正常，外网中的主机还是不能访问内外中的主机，所以，内网还是安全的；如果包过滤器失效，堡垒主机是正常的，由于堡垒主机和内外中的主机都在同一个子网中，内网将完全暴露，所以整个网络将不再安全。被屏蔽主机构造体系在整体上，比筛选路由器、多宿主主机构造体系安全，但是并不是最安全的体系。其缺点是堡垒主机与其他主机在同一个子网中一旦包过滤器被攻破或穿越，内网将不再安全,,4、被屏蔽子网的构造体系,Internet,内网,,,,,,堡垒主机,DMZ,,,,,,,,,,,,,内外网之间的通信都必须经过堡垒主机,内部筛选路由器,外部筛选路由器,外部访问,内部访问,,※,禁止内外网之间的直接访问,被屏蔽子网,被屏蔽子网的构造体系使用了内部筛选路由器和外部筛选路由器，同时使用了堡垒主机。其安全策略是，让内部网络对外的通信通过两道防火墙，再经过堡垒主机发送出去，这样在任何时候，对于内网都有两重防护措施。所以大大增加了网络的安全性，这也是目前用的最多的构造体系。由堡垒主机构建的区域称为“非军事区”（DMZ或SSN区）,改进的被屏蔽子网构造体系,,Internet,内网,,,,堡垒主机,DMZ,,,,,,,,,,,,,内外网之间的通信都必须经过堡垒主机,内部筛选路由器,外部筛选路由器,外部访问,内部访问,,※,禁止内外网之间的直接访问,,三接口防火墙,六、防火墙的功能和原理,,1、基本的访问控制技术,我们说，防火墙是一个高级访问控制设备，所以，防火墙的基本功能就是访问控制功能。,基于源IP地址基于目的IP地址基于源端口基于目的端口基于时间基于用户基于流量基于文件基于网址（URL）基于MAC地址用户,,,0100011100101,0100011100101,Accesslist192.168.0.11to202.52.100.33Accessnat192.168.0.11toanypassAccess202.52.100.33to192.168.0.11Accessdefaultpass,0100011100101,,,,,2,1,,,3,4,匹配成功,,5,,防火墙,访问控制,,,2、服务器负载均衡,当防火墙后面保护的是服务器阵列，当客户端发起访问请求后，到达防火墙后，防火墙可以根据它支持的负载均衡算法，将该访问请求转发给比较空闲的服务器，由该服务器响应客户端的请求。通常，防火墙支持如下负载均衡算法顺序选择地址＋权值根据ping的时间间隔选择地址＋权值根据Connect的时间间隔选择地址＋权值根据Connect然后发送请求并得到应答的时间间隔选择地址＋权值,,,WebServer1,,,,,,,,,服务器阵列,根据负载均衡算法将请求转发到指定Web服务器。,,WebServer4,,,,,0100011100101,3、对Trunk协议的支持,当防火墙部署在VLAN环境中时，要求防火墙要支持Trunk协议，这样能够增加防火墙产品的适应性。,,,Trunk端口,Trunk端口,同一交换机的不同VLAN之间通信,,,,,,,跨交换机的同一VLAN之间通信,Trunk端口,Trunk端口,VLAN1,VLAN2,Switch1,Switch2,4、支持第三方认证服务器,,,,,,,Internet,,,,,,,,,,RADIUS服务器,UserNameMaryPassword*******,,,,,,,请求验证,,验证结果,由防火墙决定用户访问权限,,Y,允许,,N,禁止,,支持第三方RADIUS服务器认证,0100011100101,支持第三方认证服务器,有些大企业有自己的认证服务器及其完备的认证数据库，在部署防火墙时，他不希望在防火墙内再增加一套认证数据库，用户帐号多且不易记忆，同时管理不方便，所以，防火墙需要能够同RADIUS服务器进行认证、通信，此时，就可以利用支持第三方认证服务器的防火墙来完成部署。在客户端输入需要验证的用户帐号和口令，防火墙收到认证信息后，防火墙将该验证信息传递给RADIUS服务器，由RADIUS服务器负责验证，验证通过后，将认证结果通知防火墙，防火墙由此判断该用户具有什么权限，是否允许其访问某网络。这样就可以利用用户已有的认证数据库，建立基于用户的认证系统。,,,5、分级带宽管理,,销售部子网,防火墙分级带宽管理,总带宽1M,DMZ,工程部子网,财务部子网,Internet,,,,,,,,,,,,,,,Mail,Web,FTP,出口带宽1M,DMZ保留512K,128K,192K,192K,内部网络,DMZ保留512K,内部网络512K,财务部子网128K,工程部子网192K,销售部子网192K,,,6、日志分析,对于防火墙日志，可设置（1）、不作日志（2）、作通信日志（传统日志）源地址、目的地址、源端口、目的端口、通信时间、通信协议、通信量（字节数）、是否允许通过等。（3）、作应用层命令日志在通信日志基础上，记录各个应用层命令及其参数。（4）、作访问日志在通信日志基础上，记录用户对网络资源的访问。与应用层命令日志的区别是应用层命令日志记录大量的数据，包括用户不需要的数据；访问日志只记录读、写文件的动作。（5）、作内容日志在应用层命令日志基础上，记录用户传输的内容，如用户发送的邮件，用户访问的网页内容等，普通防火墙不包含该功能。（6）、提供日志分析工具自动生成报表，分析、指出网络可能存在的安全漏洞。,（2）、通信日志（传统日志）,当客户端对服务器进行访问时，如果防火墙做通信日志，则防火墙能够记录如下的通信内容源、目地址协议号、端口号数据包到达时间数据包大小等信息如果某天服务器发生了安全事故，我们可以通过防火墙记录的通信日志，查看是什么客户端、进行了什么行为、对服务器的什么资源进行了操作，从而进行查看。（但是我们不知到客户端对服务器做了什么操作。）,,,Client,Firewall,Server,发送请求,响应请求,,,,,,,,192.168.0.2,61.138.179.25,通信日志,0100011100101,（3）、作应用层命令日志,应用层命令日志可以记录什么高层协议、什么命令、对服务器进行了何种操作，因此，它比通信日志更加详细。（但是我们不知道客户端对服务器的哪个资源进行了操作。）,,,Client,Firewall,Server,发送请求,响应请求,,,,,,,,192.168.0.2,61.138.179.25,应用层命令日志,（4）、作访问日志,防火墙做访问日志，可以记录客户端对服务器的哪些资源进行了操作，对哪些文件、哪些目录进行了操作。,,,Client,Firewall,Server,发送请求,响应请求,,,,,,,,192.168.0.2,61.138.179.25,访问日志,（5）、作内容日志,防火墙做内容日志，可以记录下通信的全部信息，便于做信息审计。,,,Client,Firewall,Server,发送请求,响应请求,,,,,,,,192.168.0.2,61.138.179.25,内容日志,内网,7、防火墙双机热备,Client,ActiveFirewall,Internet,,,,,,,,,,,,,,,,Switch/HUB,Switch/HUB,,StandbyFirewall,心跳线,E0,E0,E2,E1,E2,E1,发生故障，立即切换,,,检测ActiveFirewall的状态,防火墙双机热备,防火墙的可靠性是我们最关心的问题，所以，一般的防火墙都支持双机热备，而且用户会要求防火墙支持状态传输协议（STP）。如果内、外网的两台主机正在进行通信，在通信连接已经建立好，但是通信还没有结束的时候，假如其中一台防火墙突然宕机，那么就需要另外一台防火墙迅速接管工作。在基于状态检测的防火墙内，它会建立和维护一个连接状态表，当备份防火墙接管工作后在它内部没有任何连接状态表，所以它无法维持原来的内、外网间的两台主机的通信连接，除非这两台主机重新建立一个连接。可以看出，这种切换不是透明的切换。如果想进行透明切换，必须要求这两台防火墙支持状态传输协议。我们可以将主防火墙中的连接状态表复制到备份防火墙中，同时定期保持两台防火墙之间连接状态表的同步，这样就可以保证内外网之间通信的不间断，而且两台防火墙之间的切换是透明的切换。,8、防火墙的接口备份,一般，多接口的防火墙都支持接口备份功能，一旦某个接口失效，它只会影响跟该接口有关的通信，其他接口连接的网络可以照常通信。（前提防火墙工作在负载均衡模式下，如果防火墙的某接口故障，另外一台均衡防火墙的接口将接管故障接口的全部通信。）,内网,Firewall1,Internet,Switch/HUB,Switch/HUB,,Firewall2,心跳线,E0,E0,E2,E1,E2,E1,状态同步,内网,Switch/HUB,,,,,,,,,,E3,E3,9、防火墙的负载均衡,两台防火墙通过负载均衡功能，实现负载的均衡分配。,内网,Client,Firewall1,,,,,,,,,,,,,,Switch/HUB,Switch/HUB,,Firewall2,心跳线,E0,E0,E2,E1,E2,E1,,检测Firewall1的状态,Internet,,七、防火墙的典型应用,,1、与IDS的安全联动,目前，安全互动已称为业界的标准，一些公司也推出了自己的安全协议，一旦这些安全协议演变成业界的标准，那么就可以通过这些标准的安全协议，将安全产品整合到一起，以形成一个整体的、动态的安全防护体系。对于IDS与防火墙联动的网络，如果一个黑客通过合法访问穿过防火墙，对内部某台主机发起攻击时，可以被与该主机并联的IDS发现，IDS识别该攻击行为后，它可以做日志、报警、发送数据包切断连接。但是，这些都不是最有效的措施，因为IDS旁路在网络中，而防火墙却是串连在网络中，所以，可以通过IDS将攻击的源地址、协议号、端口号等信息以报文的形式，发送给防火墙，防火墙根据该报文，验证报文的真实性，验证完毕后，根据报文中提供的信息，动态生产一个规则，来阻断该黑客攻击的后续报文，同时防火墙发送响应数据包给IDS，通知IDS防火墙已阻断该攻击，以此来完成对网络的安全防护。同时还可以在IDS中设置策略的生效时间，在有效期过后，防火墙自动清空动态规则，以防止防火墙一直阻断一些用户误操作的连接。在这种环境下，不用管理员的手动干预，只需要建立好安全策略，来完成动态的安全防护体系。,与IDS的安全联动,,,,,,,,Internet,IDS,防火墙,,,,,,黑客,攻击行为,被攻击主机,,识别攻击行为,,,发送通知报文,发送响应报文,验证报文并采取措施,,,√,2、与防病毒服务器的联动,在应用中，我们希望携带有病毒的电子邮件等数据包，在进入内网前就被过滤掉，可以通过两种方式解决在防火墙内集成防病毒模块让防火墙即做访问控制，又做病毒扫描。其缺点是会大大增加防火墙的负担，同时，病毒库升级难度大。让防火墙与防病毒服务器联动防火墙接收到报文后，先提交给防病毒服务器，由防病毒服务器扫描完成后，再交由防火墙进行转发，这样，防火墙做访问控制，防病毒服务器同步进行数据扫描，提高了效率；病毒库升级统一由防病毒服务器来完成，防火墙不参与，可以增加防火墙的安全性。防火墙与防病毒服务器联动的两种方案（1）、整个待发送的数据包先发给防火墙，再由防火墙提交给防病毒服务器对数据包进行扫描，扫描完成后交回给防火墙进行转发。（这种方式会造成报文延时过大）（2）、等待发送的数据包中，先将第一个报文发送给防火墙，此时防火墙将该报文提交给防病毒服务器一份，同时转发给内网一份，后续报文依次同样处理。等到最后一个报文交给防火墙时，防火墙只提交给防病毒服务器，将这些报文在防病毒服务器内合成一个整体的报文，进行病毒扫描，如果带有病毒，则将最后一个报文丢弃，这样内网即使接收到了前面的报文，但是由于没有最后一个报文，不能合成有效的数据，所以不能发挥其原有的作用。（这种方式延时较小）,,与防病毒服务器的联动,,,,Internet,防病毒服务器,防火墙,,内网,待发送报文,,,还原数据进行病毒扫描,接收数据,,00111010100,10111010101,11001010101,10111010101,11001010101,接收数据,无病毒则转发最后一个报文，有病毒则丢弃最后一个报文。,,,3、双地址路由功能,对于我们的网络环境中有两个出口的情况，在没有部署防火墙的时候，我们可以将网内的主机分成两部分，分别指向两个不同的网关，以利用两条链路。如果部署防火墙，我们就需要在两条链路上分别部署两台防火墙，这样会造成设备成本的增加。如果我们不想增加设备成本，想只使用一台防火墙来实现，此时，不管防火墙的缺省网关指向哪条链路，总会有一条链路没有利用。在这种情况下，我们也可以通过部署一台防火墙，来实现两条链路的均衡利用。这时候就要求我们的防火墙支持源、目地址路由技术（即双地址路由技术）。一般的防火墙、路由器都是根据目标地址进行路由，对于改进的防火墙，它可以根据源地址和目标地址来决定下一跳的路径。此时就可以更加不同的源地址，将不同主机的缺省网关指向不同的网关，来实现两条带宽的同时利用。这就是双地址路由技术。,双地址路由功能,,Internet,内网,,,教育网,,,,HostA192.168.0.10/24,HostB192.168.1.20/24,192.168.0.254/24,172.16.1.254/24,202.98.0.25/24,172.16.1.253/24,172.16.1.252/24,200.10.112.33/24,,,,192.168.1.254/24,,路由表,根据源、目标地址进行路由,4、IP与MAC/用户的绑定,启用IP与MAC绑定，可以防止网络内部的IP地址盗用行为，但是只适合与防火墙同网段的主机，当网络内部有路由器时，不能实现该功能，因为数据包经过路由器时，数据包中源MAC地址会被替换为路由器的接口MAC地址。在跨网段的情况下，可以通过IP与用户的绑定，来实现防止IP盗用。,内网,,,HostAMAC00-03-0D-10-09-F3IP192.168.0.10/24,HostBMAC00-03-0E-10-21-03IP192.168.0.20/24,,,Internet,,BIND192.168.0.20To00-03-0E-10-21-03BIND192.168.0.20To00-03-0D-10-09-F3,,5、对DHCP用户环境的支持,当局域网内部署有DHCP服务器之后，客户端都是动态获取IP地址，它们没有固定IP地址，在这种环境下，如何来实现访问控制一种方案是，在防火墙内集成DHCP功能，去掉局域网内的DHCP服务器。但是，这种方式会增加防火墙的负荷，影响防火墙的效率，同时会导致防火墙本身不安全，如果防火墙失效，网络将完全不可用。另一种方案是，防火墙支持基于MAC地址的访问控制。在防火墙内，将网内主机的MAC地址手动绑定，当该主机开机并获取到IP地址后，在防火墙内部再自动将其IP地址与MAC地址绑定，以此来实现访问控制。,Internet,,,,,,,,,,,DHCPServer,DHCPClient,HostAMAC00-03-0D-10-09-F3IP,,Lan1,,基于MAC地址实现访问控制,6、时间策略,网络中可以对不同的用户，实行不同时段的网络通信控制，可以在防火墙上配置基于时间的策略，控制用户不同时段的网络通信行为。,Internet,,,,,,,,,,,Server,Client,基于时间的访问控制策略,,LAN,上班时间可以访问公司局域网，不可以访问Internet。,1、在访问控制策略中配置某条时间规则。2、如果配置了时间策略，防火墙在匹配规则时，将跳过那些当前时间不在策略时间段内的规则。3、该时间段不是允许访问的时间段，而是规则起作用的时间段。,,,,,7、MAP（端口映射）,在局域网中，如果有Web服务器，当外网的客户端对Web服务器进行访问时，通常是客户端直接对服务器进行操作，这使得Web服务器不安全，为了提高服务器的安全性，可以通过端口映射来保护服务器的安全。我们将Web服务器的内部地址映射到防火墙连接外网的接口地址上，这样就可以隐藏局域网内的服务器私有地址，对外只公开防火墙的公有地址，这样，内部服务器可以使用私有地址，同时，还可以隐藏内部网络的结构。,,,,,,,,Server,Client,,LAN,WebServer,MailServer,FTPServer,DNSServer,,,Internet,Client,192.168.0.254,192.168.0.253,192.168.0.252,192.168.0.251,192.168.0.1,202.26.6.18,MAP192.168.0.25425TO202.26.6.1825MAP192.168.0.25353TO202.26.6.1853MAP192.168.0.25221TO202.26.6.1821MAP192.168.0.25180TO202.26.6.1880,61.5.24.133,,MAP,,,8、NAT（地址转换）,内网使用的是私有地址，不可以出现在公网中，可以通过防火墙的地址转换功能，将内网地址转换成公有地址。通过在防火墙上配置地址池，让防火墙随机地为出站的数据包挑选一个公有地址，进行封装、转发。这样有两个好处，一是能够隐藏内网的结构，二是内网可以使用私有地址。对于公有地址不足的网络，可以使用这种方式提供IP地址的复用功能。,,,,,,,,Server,Client,,LAN,Internet,,,,,,,,,LAN,HOSTA,E0,E1,192.168.0.0/24,192.168.0.1/24,源地址192.168.0.11目标地址61.138.179.25,--61.138.179.25,192.168.0.11/24,源地址192.168.0.11目标地址202.73.22.18,192.168.0.254/24,202.73.22.18/24,,,,,9、SNMP管理,对于大行业用户，它们要求防火墙和交换机、路由器一样，能够支持SNMP，这样可以利用已有的网络管理平台，对网络设备和安全设备同时进行管理。所以，我们要求防火墙要支持简单网络管理协议（SNMP）。,结束,,