防火墙产品原理介绍0407.ppt

防火墙产品原理介绍〔V1.1〕网御神州 客服中心2021.05 学习目标学习完本课程，您应该能够了解网御神州的防火墙产品了解防火墙的工作原理了解防火墙的开展趋势理解防火墙的典型应用 课程内容网御神州产品型录信息平安的层次模型防火墙的开展历程防火墙关键技术防火墙评价指标防火墙的部署防火墙的开展趋势典型应用FAQ 1 网御神州产品型录SecFox 平安管理平台及相关产品SecGate 3600-G10SecGate 3600-G7SecGate 3600-F5SecGate 3600-F4SecGate 3600-F3SecIDS 3600-GSecIDS 3600-I5SecIDS 3600-I4文件交换平安浏览FTP交换邮件访问与同步数据库访问与同步防火墙系列IDS系列平安隔离网闸SecGate 3600-F2内网平安管理系统平安PC/平安笔记本 硬 件 构 架产品分类代号产品描述架构吞吐率接口数机箱SecGate 3600电信级千兆线速防火墙G10NP4G4 GE2U大型企业级千兆防火墙G7X862G16 GE2U大型企业级百兆防火墙F5X86800M4/6/8 FE1U中型企业级百兆防火墙F4X86600M4/6 FE1U小型企业级百兆防火墙F3X86400M4 FE1U分支机构级百兆防火墙F2NP150M3FE+4SW1USecIDS 3600企业级千兆入侵检测系统GX86架构，2U机箱企业级百兆入侵检测系统I5X86架构，1U机箱中小企业级入侵检测系统I4X86架构，1U机箱SecSIS 3600安全隔离与信息交换系统　X86架构，2U机箱　SecFox安全管理平台　软件产品/项目(服务)　内网安全管理系统软件产品＋硬件网关联想安全PC/安全笔记本产品/系统安全解决方案 3.1 防火墙概述 3.1 防火墙概述在信任网络与非信任网络之间，通过预定义的平安策略，对内外网通信强制实施访问控制的平安应用设备。信任网络非信任网络防火墙 3.1 防火墙概述内部网络内部网络2内部网络1防火墙的功能：实现内部网与internet的隔离；不同平安级别内部网之间的隔离。 一切未被允许的就是禁止的！Internet 3.1 防火墙概述防火墙能做什么？1. 转发正常的通信行为2. 禁止未经授权的访问3. 网络地址转换〔NAT〕4. VPN网关5. 记录通过防火墙的通信活动 3.1 防火墙概述防火墙不能做什么？ 不能控制不经防火墙的通信活动2. 无法控制内网中通信行为3. 目前不能进行深度内容检测 3.2 防火墙的技术开展防火墙技术几乎与路由器同时出现，采用了包过滤〔Packet filter〕技术。 1989年，贝尔实验室的Dave Presotto和Howard Trickey推出了电路层防火墙，同时提出了应用层防火墙〔代理防火墙〕的初步结构。 1992年，USC信息科学院的BobBraden开发出了基于动态包过滤〔Dynamic packet filter〕技术的防火墙，后来演变为状态检测〔Stateful inspection〕技术。 1994年，以色列CheckPoint公司开发出了第一个采用这种技术的商业化的产品。 3.2 防火墙的技术开展包过滤防火墙应用层表示层会话层传输层网络层数据链路层物理层外网防火墙内网应用层表示层会话层传输层网络层数据链路层物理层应用层表示层会话层传输层网络层数据链路层物理层数据包包过滤引擎 3.2 防火墙的技术开展IP 包检测包头检查路由平安策略：过滤规那么路由表包过滤防火墙转发符合不符合丢弃IP包源地址IP包目的地址TCP/UDP端口 3.2 防火墙的技术开展包过滤防火墙的特点1. 实现容易2. 数据吞吐率较高4. 对应用完全透明5. 对会话内容无法监控，平安性能较低3. 易配置 3.2 防火墙的技术开展应用代理防火墙应用层表示层会话层传输层网络层数据链路层物理层外网防火墙内网应用层表示层会话层传输层网络层数据链路层物理层应用层表示层会话层传输层网络层数据链路层物理层数据包 3.2 防火墙的技术开展应用代理防火墙的特点1. 可以对应用层数据进行处理 3. 双向通信必须经过应用代理，禁止IP转发5. 处理速度慢2. 对数据包的检测能力比较强4. 难于配置 3.2 防火墙的技术开展状态检测包过滤防火墙应用层表示层会话层传输层网络层数据链路层物理层外网防火墙内网应用层表示层会话层传输层网络层数据链路层物理层应用层表示层会话层传输层网络层数据链路层物理层状态检测引擎 3.2 防火墙的技术开展IP 包检测包头下一步处理平安策略：过滤规那么会话连接状态缓存表状态检测包过滤防火墙不符合丢弃符合符合IP包源地址/目的地址TCP/UDP源端口TCP会话连接状态 3.2 防火墙的技术开展状态包过滤防火墙的