阿姆瑞特防火墙功能详解及配置.ppt

洛阳牡丹通讯股份有限公司主讲：董世金§ 系统组成§ 技术特点阿姆瑞特防火墙功能阿姆瑞特防火墙系统组成系统组成防火墙内核 ------专用系统内核没 有通用操作系统开销， 保证了防火墙的高性能 日志服务器 ------一台防火墙最多可以向8 台日志服务器发送日志支持 Syslog日志、提供导入 WebTrends和EIQ等其它第三 方日志分析工具进行日志的分 析 防火墙硬件 ------防火墙采用专用硬 件，采用高性能的CPU 和大容量的内存保证硬 件的高性能集中管理器 ------可以对阿姆瑞特所 有型号的防火墙管理， 最多可管理3千台防火墙 阿姆瑞特防火墙—内核Linux/FreeBSD UNIX O/SInterfaceInterfaceInterfaceNetwork DriversDevice handlerModified TCP/IP StackFirewall Software传统防火墙阿姆瑞特防火墙Ø 存在操作系统上的漏洞 Ø 速度慢 Ø 升级复杂（需要分别升级操作系统和防火墙软件）InterfaceInterfaceInterfaceFirewall Core高安全 Ø 无通用操作系统漏洞 高性能 Ø 无通用操作系统开销，最大程 度的驱动硬件性能 升级简单 Ø 简单的内核升级§ 系统组成§ 技术特点阿姆瑞特防火墙功能全方位安全防护 强大的路由功能专业的带宽管理灵活的网络接入丰富的VPN功能§ 安全防护§ 路由功能§ 带宽管理§网络接入§ VPN功能阿姆瑞特防火墙功能便捷的图形管理细微的网络日志§ 图形管理§ 网络日志全状态检测防火墙v 采用状态检测技术 v 数据包一致性检查 v 防止假冒IP攻击 v 防止非正常连接 v 提高工作效率Illegal Addresses Checksum Control TTL Control Layer Size Consistency IP Option Sizes IP Source Route IP Timestamp IP Bad Options IP Reserved flag TCP Blind Spoofing Protection TCP Header Option Sizes TCP MSS Control TCP Window Scale TCP Selective ACK TCP Timestamp TCP Alternate Checksum TCP Connection Count TCP Bad Options TCP Flag combinations TCP Reserved Field TCP NULL Packets ICMP Response Control ARP Spoofing Protection Strict Interface Matching Connection Timeout Control Payload Size Control Reassembly Timing Control Illegal Fragments Duplicate Fragments Fragmented ICMPCLOSEDLISTENSYN-SENTSYN-RCVDESTABLISHEDFIN-WAIT-1FIN-WAIT-2CLOSE-WAITCLOSINGTIME-WAITLAST-ACK状态检测 表Host C Host D No访问控 制规则 表Yes独特的全状态检测过滤查找对应的 控制策略拆开数据包 进行分析根据策略决定如 何处理该数据包控制策略•源和目的地址•源和目的端口•IP协议号•ICMP信息类型•IP和TCP中都有的选项•IP和TCP标记组合•VLAN标识•路由协议• 时间• 内容•IPSEC、PPTP、L2TP等可以灵活地制定的控制策略数据包数据包灵活的访问控制v 控制某条规则的生效时间基于时间的控制应用层应用层应用层应用层应用层v 应用控制可以对常用的高层应用做更细的控制v 如HTTP的内容、URL过滤等v 如FTP的GET、PUT命令、内容v H.323 全面代理物理层链路层网络层传输层会话层表示层物理层链路层网络层传输层会话层表示层内部网络外部网络防火墙内部接口外部接口根据策略检查 应用层的数据符合策略应用层过滤内容过滤用户认证uOS Fingerprinting 和Firewalkingu网络的TCP/UDP端口扫描uSYN flooduICMP flood攻击uUDP flood攻击u死 of ping(Ping death)攻击uIP欺骗(IP spoofing)攻击u端口扫描(Port scan)u陆地攻击(Land attack)u撕毁攻击(Tear drop attack)u过滤IP源路由选项(Filter IP source route option)uIP地址扫描攻击(IP address sweep attack)uWinNuke attack攻击uJava/ActiveX/Zip/EXEuDos & DDoS攻击u用户定义的不良URLuPer-source session limiting攻 击uSyn fragments攻击uSyn and Fin bit set攻击uNo flags in TCP攻击uFIN with no ACK攻击uICMP fragment攻击uLarge ICMP攻击uIP record route攻击uIP security options攻击uIP stream攻击uIP bad option攻击uUnknown protocols攻击强大的抗攻击能力防攻击原理v 传统的防火墙 § 通过设定阈值进行攻击防范，例如每个IP每秒2000个SYN报文以下才 认为是正常的，超出视为攻击 § 依托通用OS，OS对攻击的抵御能力不足；且防火墙软件与OS间必然 存在开销，消耗系统资源 v 阿姆瑞特防火墙 § 采用类似代理技术进行攻击防范，必须首先与防火墙建立起连接，防 火墙才会再与主机进行连接，攻击不会通过防火墙到达主机 § 专用内核，没有OS开销，提高了自身抵御攻击能力 § 设计中充分考虑了系统抗攻击的能力，预留防火墙系统资源，任何情 况下CPU利用率都不会达到100%全方位安全防护 强大的路由功能专业的带宽管理灵活的网络接入丰富的VPN功能§ 安全防护§ 路由功能§ 带宽管理§网络接入§ VPN功能阿姆瑞特防火墙功能便捷的图形管理细微的网络日志§ 图形管理§ 网络日志v 支持4096条静态路由 v 支持PBR（Policy Based Routing，基于策略的路由），配置主 路由表和多个PBR路由表，不同的规则采用不同的路由表，支 持多个缺省网关 v 支持路由备份 v 支持OSPF V2动态路由 v 支持虚拟路由器/系统 v 全面支持802.1Q强大的路由功能internetcernetWANLAN可以根据需要，按照源IP地址、服务，将数据流从不同的端口送出防火墙基于策略的路由（PBR）基于策略的路由（PBR）反垃圾邮件/抗病毒/HTTP代理v 更安全防火墙防止了来自内外部的恶意攻击 v 更大的吞吐量只有特定的网络需要通过抗病毒/垃圾扫描 和HTTP代理 ，保证网络的吞吐量 v 管理优势不需要客户端的代理设置，防火墙可以高度 控制信息流量使用策略路由ADSL电信支持路由备份CernetTelcomCNCLAN多个出口之间可以做互相备份，避免了因为链路问题出现的故障多出口互相备份OSPFInternet全面支持OSPFOSPF动态路由信息可以穿越VPN通道，进行传递。

Dynamic routed Intranet using OSPFVPN IP-Sec Interface, OSPF memberVPN接口支持动态路由v 一墙多用 §在一台防火墙上创建多个逻辑分离的系统 §在一台物理设备上可以做的任何事在虚系统上都可以做，包括访问控制， 带宽管理和动态路由功能v 高灵活性 §不需要增添硬件，而是通过增加虚系统进行扩展v 简化配置管理 §使复杂的路由及策略配置更简单 §减少所需策略数量－降低由于策略配置错误带来的安全隐患v 增加用户服务机会 §在一台机器上运行多个虚系统来服务多个用户，来增加新业务的机会 §想象一下在一个阿姆瑞特防火墙冗余群集使用成百的虚系统来替代同等数 量的网关设备，而每一个虚系统都为一个负费的客户服务！虚 系 统202.100.100.0/24 202.100.100.0/24202.100.99.0/24虚拟路由/系统虚拟路由/系统VLAN间路由Trunk扩展端口Trunk穿越VLAN10VLAN20 VLAN10VLAN10VLAN20VLAN10 VLAN20VLAN10 VLAN20VLAN10 VLAN20透明模式VLAN20VLAN10VLAN20VLAN10VLAN20VLAN10VLAN20Trunk LinkTrunk Link对VLAN（802.1Q）的支持全方位安全防护 强大的路由功能专业的带宽管理灵活的网络接入丰富的VPN功能§ 安全防护§ 路由功能§ 带宽管理§网络接入§ VPN功能阿姆瑞特防火墙功能便捷的图形管理细微的网络日志§ 图形管理§ 网络日志v 最大带宽限制 v 带宽保证 v 传输优先控制 v 动态流量均衡 v 传输平衡控制Usr1Usr2Usr3Usr4Usr5Usr1Usr2Usr3Usr4Usr5带宽管理v 可以对用户IP地址、服务等通过防火墙的带宽进行限制，例如：限制 某个用户对外访问最大带宽，或者访问某种服务的最大带宽。

带宽控制v 保证网络中重要服务或者重要用户的带宽不被其他服务或者用户占用 ，从而保证了重要数据优先通过网络带宽保证v 通过定义管道的方式提供功CoS/QoS能，并且管道没有数量的限制， 也就是说优先级控制的等级没有数量的限制，同时可在每一个管道中 ，可以设定8个优先级（0-7），从而可以进行更加细致的流量控制优先级控制v 为了保证网络中的所有带宽都得到合理的应用，防火墙提供动态流量 均衡功能 v 例如：假如某网络带宽为256k，设定主机A的带宽为100k，主机B带宽 为156k如果主机B目前只用到120k，而主机A100k的带宽不够用，此 时主机A可以动态获得主机B剩余的36K带宽如果主机B某一时刻的突 发速率到156K，他会动态的从主机A那里获得属于他的36K带宽，从而 保证重要服务或者用户优先进行数据传输动态流量均衡v 可根据需要进行设置，保证内网各用户分配带宽趋于平衡，不致出现 “贫富分化”的现象Usr1Usr2Usr3Usr4Usr5Usr1Usr2Usr3Usr4Usr5传输平衡控制v 通过定义管道的方式提供功CoS/QoS能 v 管道没有数量的限制 v 设置精度为1Kbps，偏差率不超过5% v 可进行带宽限制、带宽保证、动态均衡带宽 v 大差别带宽管理时，不存在“饿死”现象 v 可对上传和下载数据分别进行带宽管理 v 明通、密通数据均可以作带宽管理 v 带宽管理可基于接口、VLAN、IP地址、服务、时间等设定阿姆瑞特防火墙带宽管理特点全方位安全防护 强大的路由功能专业的带宽管理灵活的网络接入丰富的VPN功能§ 安全防护§ 路由功能§ 带宽管理§网络接入§ VPN功能阿姆瑞特防火墙功能便捷的图形管理细微的网络日志§ 图形管理§ 网络日志透明、路由、混合接入同一接口下的透明+NAT源地址、目标地址同时转换对称式接口设计服务器负载均衡单链路双网关接入高可靠性连接灵活的网络接入受保护网络Internet如果防火墙支持透明模式 ，则内部网络主机的配置 不用调整199.168.1.2 Host A199.168.1.4 Host C199.168.1.5Host D199.168.1.3Host B199.168.1.8同一网段Default Gateway=199.168.1.8防火墙相当于网桥，原 网络结构没有改变透明接入。