FW03防火墙体系结构.pptx

信息安全产品配置与应用 Configuration and Application of Information Security Products,重庆电子工程职业学院| 路亚,模块一、防火墙产品配置与应用,主要内容 防火墙概念和作用 防火墙发展历程 防火墙核心技术 防火墙体系结构 防火墙功能与原理 防火墙的接入方式 防火墙的典型应用 防火墙性能 防火墙局限性 防火墙的两个争议,,可扩展的百兆防火墙外观构造,,,,防火墙模块封装板,根据需要可以通过扩充模块，增加端口的数量 根据需要可以选择 处理能力更好的机箱与引擎,防火墙机箱与引擎,防火墙接口模块,千兆级防火墙外观构造,,GBIC卡插槽,,10/100/1000M以太口,,AUX接口,,热拔插冗余电源,,,大功率散热风扇,防火墙引擎,防火墙内部系统,内核技术——经过专门加固、精简、安全化的操作系统 模块化结构设计、可扩展性好、方便用户定制与升级 系统大小——约5M代码，可以驻留在稳定的Flash盘上 配置文件存取在NVRAM里，可以保证配置文件的安全性,TopsecOS架构,,,应用层,专用安全操作系统内核,内核层,,基础层,服务层,硬件,基于内核的会话检测技术,,Clint,192.168.6.169,192.168.6.170,010101001 010000111 110000010 010101001 010010010 110010010,,,协议还原模块协议还原模块,输入队列,输入队列,底层驱动,,,010101001 010000111 110000010 010101001 010010010 110010010,,,,,,,,,,,,,,,,符合安全策略？,符合安全策略？,,,,防火墙逻辑图,010100101001010010,010100101001010010,010100101001010010,010100101001010010,,010100,010101,发起请求,响应请求,虚拟客户端,虚拟服务器端,在操作系统内核模拟出典型的应用层协议，在内核实现对应用层协议的过滤，从而得到极高的性能,基于内核的会话检测技术,,,,101001010 111000010 101000011,101001010 111000010 101000011,,,,,110100000001 100000001111,,1001001000100100001001111,10001101001001001001001,010,010,,,进行规则匹配、应用层过滤 频繁在系统核心和应用层之间切换 消耗掉大量的系统资源 生成大量的进程 影响防火墙的性能,应用层,系统核心,,,,,,,,101001010 111000010 101000011,101001010 111000010 101000011,,,,,1001000100100001001111,10001101001001001001001,010,010,,,直接在系统核心进行应用层过滤 不需要频繁在系统核心和应用层之间切换 在大量并发情况下不会生成大量进程，有效的保护系统资源 大大提高会话检测的效率,应用层,系统核心,,,,,,,,,,,,,,,,,,,,,,,,,1.3 防火墙的体系结构,防火墙的体系结构一般有以下几种:,1）双重宿主主机体系结构。

2）屏蔽主机体系结构 3）屏蔽子网体系结构1、 双宿/多宿主机体系结构,,双宿/多宿主机：有两个或多个网络接口的计算机系统，可以连接多个网络，实现多个网络之间的访问控制 双宿/多宿主机防火墙：用双宿/多宿主机实现防火墙的功能,1.3 防火墙的体系结构,2.屏蔽主机体系结构,专门设置一个过滤路由器，把所有外部到内部的连接都路由到堡垒主机上，强迫所有的外部主机与一个堡垒主机相连，而不让它们直接与内部主机相连,,,屏蔽主机体系结构防火墙使用一个路由器把内部网络和外部网络隔离开，堡垒主机是 Internet 上的主机能连接到的惟一的内部网络上的系统任何外部的系统要访问内部的系统或服务都必须先连接到这台主机 同样内部网也只有堡垒主机可以连接 Internet3 屏蔽子网体系结构,,本质上同屏蔽主机防火墙一样，但增加了一层保护体系——非军事区(DMZ)堡垒主机位于非军事区上，非军事区和内部网络被内部屏蔽路由器分开,谢谢！,。