Eudemon系列防火墙安全技术白皮书0508V10.docx

1、Eudemon系列防火墙安全技术白皮书0508V10Eudemon系列防火墙技术白皮书Huawei Technologies Co., Ltd. 华为技术有限公司All rights reserved版权所有 XX Catalog 目 录1 概述 61.1 网络中存在的问题 61.2 防火墙产品介绍 71.3 防火墙的定义 81.4 防火墙设备的使用指南 82 防火墙设备的技术原则 92.1 防火墙的可靠性设计 92.2 防火墙的性能模型 102.3 网络隔离 122.4 访问控制 122.5 基于流的状态检测技术 132.6 业务支撑能力 142.7 地址转换能力 142.8 攻击防范能力

2、152.9 防火墙的组网适应能力 152.10 VPN业务 162.11 防火墙管理系统 162.12 防火墙的日志系统 163 Eudemon系列防火墙的特点 163.1 高可靠的电信级防火墙 163.1.1 系统可靠性 173.1.2 高可靠的硬件体系 173.1.3 健壮的软件体系 183.1.4 完善的链路备份技术 183.1.5 完备的双机备份技术 183.1.6 真正的状态热备份 193.2 性能卓越的防火墙 193.2.1 先进的硬件加速系统 193.2.2 优异的转发性能和业务处理能力 203.2.3 优异的真实处理能力 203.3 灵活的安全区域管理 213.3.1 基于安全

3、区域的隔离 213.3.2 可管理的安全区域 213.3.3 基于安全区域的策略控制 223.3.4 丰富的业务支撑 233.4 安全策略控制 233.4.1 灵活的规则设定 233.4.2 基于时间段的规则管理 243.4.3 高速策略匹配 243.4.4 MAC地址和IP地址绑定 243.4.5 动态策略管理黑名单技术 243.5 基于状态检测的防火墙 253.5.1 基于会话管理的核心技术 253.5.2 ASPF技术 263.5.3 状态检测技术的优势 263.6 业务支撑能力 273.6.1 针对业务处理的难点 273.6.2 对多通道协议支持完善的安全保护 283.6.3 针对各种

4、业务的数据流管理 293.6.4 业务支持的完整性 293.6.5 支持完善的多媒体业务 293.6.6 支持组播业务 303.6.7 支持QoS业务 303.7 流量监管服务 303.7.1 针对用户的流量监控 313.7.2 针对用户的连接监控 313.7.3 P2P业务的流量监管 313.8 地址转换服务 323.8.1 优异的地址转换性能 323.8.2 灵活的地址转换管理 333.8.3 强大的内部服务器支持 333.8.4 强大的业务支撑 343.8.5 对注册服务支持良好 353.8.6 无数目限制的PAT方式转换 363.8.7 支持多接口负载分担 363.9 攻击防范能力 3

5、73.9.1 优秀的Dos防御能力的必要条件 373.9.2 丰富的Dos防御手段 383.9.3 高级的TCP代理防御体系 383.9.4 ARP攻击防御 393.9.5 扫描攻击防范 393.9.6 畸形报文防范 393.10 智能蠕虫病毒的防范 403.10.1 蠕虫病毒的原理 403.10.2 防范蠕虫病毒的基本方法 403.10.3 智能防范蠕虫病毒的基本要求 413.10.4 扫描防范功能 423.10.5 后续的策略防范 423.11 IDS联动组网 433.11.1 灵活的组网模型 433.11.2 高可靠的主动防御模型 433.11.3 安全灵活的联动接口 433.12 优秀

6、的组网适应能力 433.12.1 支持丰富的接口类型 433.12.2 高密度的端口支持 443.12.3 丰富的路由协议和路由管理 443.12.4 多种工作模式 443.12.5 接入服务 453.12.6 多种认证手段 453.12.7 多ISP组网适应能力 453.13 完善的VPN功能 453.14 完善的管理系统 463.15 日志系统 463.15.1 日志服务器 463.15.2 两种日志输出方式 473.15.3 多种日志信息 474 组网案例 484.1 安全防范组网 484.2 地址转换组网 494.3 NGN安全防范组网 494.4 双机热备份组网 504.5 多出口负

7、载分担和备份组网 514.6 流量监控组网 52 Eudemon系列防火墙技术白皮书Keywords 关键词：Eudemon系列防火墙、网络安全、VPNAbstract 摘 要：本文详细介绍了防火墙设备的技术特点、工作原理等，并提供了防火墙选择过程的一些需要关注的技术问题。同时本文对Eudemon系列防火墙的技术特点、支持特性等做了一个比较详细的介绍。List of abbreviations 缩略语清单： Abbreviations缩略语Full spelling 英文全名Chinese explanation 中文解释VPNVirtual Private Network虚拟私有网AAAAu

8、thentication, Authorization, Accounting验证，授权，计费ASPFApplication Specific Packet Filter基于应用层规范的包过滤DoSDenial of Service拒绝服务，一种常见的网络攻击手段IDSIntrusion Detective System入侵检测系统 1 概述1.1 网络中存在的问题网络为人们提供了极大的便利。但由于构成Internet的TCP/IP协议本身缺乏安全性，网络安全成为必须面对的一个实际问题。网络上存在着各种类型的攻击方式，例如：窃听报文 攻击者使用报文获取设备，从传输的数据流中获取数据并进行分析，

9、以获取用户名/口令或者是敏感的数据信息。IP地址欺骗 攻击者通过改变自己的IP地址来伪装成内部网用户或可信任的外部网络用户，发送特定的报文以扰乱正常的网络数据传输，或者是伪造一些可接受的路由报文（如发送ICMP的特定报文）来更改路由信息，以窃取信息。源路由攻击 报文发送方通过在IP报文的Option域中指定该报文的路由，使报文有可能被发往一些受保护的网络。地址端口扫描 通过探测防火墙在侦听的端口，来发现系统的漏洞；或者事先知道主机的系统软件的某个版本存在漏洞，通过查询特定端口，判断是否存在该漏洞。然后利用这些漏洞对主机进行攻击，使得主机整个DOWN掉或无法正常运行。拒绝服务攻击 （Deny o

10、f service） 攻击者的目的是阻止合法用户对资源的访问。比如通过发送大量报文使得网络带宽资源被消耗。由于拒绝式服务攻击，现在的方式越来越简单，已经成为网络上公害之一。应用层攻击 有多种形式，包括探测应用软件的漏洞、“特洛依木马”等。蠕虫病毒的传播 随着电子邮件、Internet的普及，蠕虫病毒的传播已经逐步成为了Internet上的最大的公害之一。因为网络的普及，蠕虫病毒的传播速度非常之快，通过网络可以迅速的传播的世界的各个角落。蠕虫病毒传播的时候会消耗大量的网络带宽，造成整个网络的繁忙以及各种网络设备的不堪负重。另外，网络本身的可靠性与线路安全也是值得关注的问题。随着网络应用的日益普及

11、，尤其是在一些敏感场合（如电子商务）的应用，网络安全成为日益迫切的需求。同时网络安全也是一个复杂的课题，网络安全包含了网络通信的各个层面，涉及到主机系统安全、线路安全、协议安全、通信安全等各个领域。同时，安全就意味着“不开放”，而互联网的设计初衷就是造就一个开放的通信环境，因此网络安全技术还需要在安全防范和网络开放之间找到一个平衡点。针对每种层次，需要采用不同的安全技术和方式加强系统的保护。例如：针对主机系统安全可以采用安装个人版PC防火墙、防病毒软件等主机专业软件来提高主机系统的安全性，同时需要针对操作系统的漏洞经常对操作系统打补丁及时解决操作系统的漏洞；针对线路安全可以考虑对重要的网络设备

12、提供一个安全可靠的运行环境，防止网络设备被盗用，同时采用可靠、安全的通信线路等；针对协议安全可以多关注各种协议可能出现的漏洞，启用各种协议的安全防范措施，采用认证等方式保证协议运行的可靠，尽量避免使用安全性较差的通信协议等。从上面的讨论可以看出，网络安全是一个综合性的学科，包括各种技术、管理方式、安全法规、人的安全意识等各个方面。本文是集中讨论了防火墙设备的安全特性，防火墙主要是用在网络中集中解决安全问题的一个设备。防火墙对解决安全问题具有一些很强的优势，是网络安全整体解决方案中非常重要的一个部件。1.2 防火墙产品介绍随着Internet的日益普及，许多LAN（内部网络）已经直接可以接入In

13、ternet网络，这种开放式的网络同时带来了许多不安全的隐患。在开放网络式的网络上，我们的周围存在着许多不能信任的计算机（包括在一个LAN之间），这些计算机对我们私有的一些敏感信息造成了很大的威胁。传统的口令保护等已经不能安全的保护一些重要的信息，而安全技术就是为了解决这样一个问题，在开放式的网络环境中保护我们自己的私有数据的安全，同时还兼顾网络的开放性。因此安全技术是随着网络的更新和发展不断进步的，是融合了多种学科和技术手段的一种综合性技术。防火墙技术是安全技术中的一个具体体现。这里讨论的硬件防火墙就是将各种安全技术融合在一起，采用专用的硬件结构，选用高速的CPU、嵌入式的操作系统，支持各种

14、高速接口（LAN接口），用来保护私有网络（计算机）的安全，这样的设备我们称为硬件防火墙。硬件防火墙可以独立于操作系统（HP-UNIX、SUN OS、AIX、NT等）、计算机设备（IBM6000、HP、PC）运行。它用来集中解决网络安全问题，可以适合各种场合，同时能够提供高效率的“过滤”。同时它应该可以提供包括访问控制、身份验证、数据加密、VPN技术、地址转换等安全特性，用户可以根据自己的网络环境的需要配置复杂的安全策略，阻止一些非法的访问，保护自己的网络安全。现代的防火墙体系不应该只是一个“入口的屏障”，防火墙应该是几个网络的接入控制点，所有经过被防火墙保护的网络的数据流都应该首先经过防火墙，

15、形成一个信息进入的关口，因此防火墙不但可以保护内部网络在Internet中的安全，同时可以保护若干主机在一个内部网络中的安全。在每一个被防火墙分割的网络内部中，所有的计算机之间是被认为“可信任的”，它们之间的通信不受防火墙的干涉。而在各个被防火墙分割的网络之间，必须按照防火墙规定的“策略”进行互相的访问。1.3 防火墙的定义简单的说，防火墙是保护一个网络免受“不信任”的网络的攻击，但是同时还必须允许两个网络之间可以进行合法的通信。防火墙应该具有如下一些基本特征： 经过防火墙保护的网络之间的通信必须都经过防火墙。 只有经过各种配置的策略验证过的合法数据包才可以通过防火墙。 防火墙本身必须具有很强

16、的抗攻击、渗透能力，同时防火墙本身应该具有很强的高可靠性。 防火墙可以保护内部网络的安全，可以使受保护的网络避免遭到外部网络的攻击。硬件防火墙应该可以支持若干个网络接口，这些接口用来连接几个网络。在这些网络中进行的连接都必须经过硬件防火墙，防火墙来控制这些连接对连接进行验证、过滤。 防火墙具有明确的网络隔离功能，通过防火墙可以将一个完全平等的网络分隔成若干个逻辑区域，各个逻辑区域之间的访问是不对等的。通过防火墙的这种非常明确的网络隔离特性以及访问的不对等性可以保护特定网络，给企业内部网带来高可靠的安全保护。因此，在重要的场合需要部署专业防火墙，以用来提供更可靠的安全保护。 通过防火墙可以主动隔

17、断网络上的一些攻击行为。1.4 防火墙设备的使用指南 防火墙设备放在整个网络中的汇聚点，如果被保护网络的通信流量有可能会绕过防火墙，则防火墙设备不能对该网络起到安全防范的功能。因此，在使用防火墙设备的时候，需要保证被防火墙保护的网络流量必须全部经过防火墙。 默认情况下，防火墙的规则一般是禁止所有的访问。在防火墙设备接入到网络中之后，一定需要按照网络的实际需要配置各种安全策略。防火墙策略的有效性、多样性、灵活性等是考察防火墙的一个重要指标，另外在复杂的网络环境有可能会使用非常多的规则，需要考察防火墙本身规则的容量和在大规则下的转发性能等因素。 防火墙本身的安全性也是选择防火墙的一个重要标准。防火

18、墙的安全性能取决于防火墙是否基于安全的操作系统和是否采用专用的硬件平台，安全的操作系统从软件方面保证了防火墙本身的安全可靠，专用的硬件平台保证防火墙可以经受长时间运行的考验。防火墙设备属于一个基础网络设备，一定要保证防火墙可以长时间不间断运行，其硬件可靠性是非常关键的。 在防火墙实施之前，需要先根据网络的实际情况确定需要解决的问题，选择性能、功能均能满足的防火墙设备。在性能和功能的平衡过程中，对性能指标一定要特别关注，因为在实际运行的过程中防火墙的性能是非常重要的，如果性能低下会造成网络的堵塞、故障频繁，这样的网络是没有安全性可谈。性能指标体现了防火墙的可用性能，同时也体现了企业用户使用防火墙

19、产品的代价，用户无法接受过高的代价。如果防火墙对网络造成较大的延时，还会给用户造成较大的损失。 现在的主流防火墙设备都是基于状态检测的防火墙设备，这类防火墙设备对业务应用是敏感的。涉及音频、视频等的一些多媒体业务，协议比较复杂，经常会因为对协议的状态处理不当造成加入防火墙之后会造成业务不通，或者是为了保证业务的畅通就需要打开很多不必要的端口，造成安全性非常低。因此针对状态防火墙一定要考察防火墙设备对业务的适应性能力，避免引入了防火墙设备导致对正常业务造成影响。 防火墙应该具有和IDS等其他网络安全产品协同工作的能力，因为依靠防火墙设备进行完善、全面的“深层检测”从技术上是不可行的（深层检测主要

20、指的针对特定的业务进行细致的划分，例如针对邮件的附件进行病毒检测，在上网的过程中扫描木马等攻击性程序等等），应用层的“深层检测”是一件非常复杂的工程，需要CPU具有非常强大的计算能力，依靠现在的硬件技术是不可能在防火墙这样的网络节点设备上提供很强大的“深层检测”技术。因此，在防火墙上需要优先实现强大、高效、灵活的控制能力，而依靠IDS、病毒网关等特定专业设备针对不同的报文类型完成相应的深层检测，通过各种设备的协同工作提供完善、可靠、高性能的安全解决方案是更好的方法。2 防火墙设备的技术原则2.1 防火墙的可靠性设计防火墙本身是一个重要的网络设备，而且其位置一般都是作为网络的出口。防火墙的位置和

21、功能决定了防火墙设备应该具有非常高的可靠性。保证防火墙的高可靠性主要依靠如下几点技术来保证： 高可靠的硬件设计，硬件设计是任何网络设备可靠运行的基础。网络设备不同于普通PC等个人、家用系统，网络设备必须要求可以24小时不间断正常工作，对其主板、CPU、风扇、板卡等各种硬件设备都是一个严格的考验。为了可以保证防火墙设备可以长时间不间断工作，必须保证防火墙本身具有一个优秀的硬件结构体系。 双机备份技术。由于防火墙设备位置的特殊性为了提供更可靠的运行保证，一般防火墙都应该提供双机备份技术。双机备份是采用两台独立的、型号一致的防火墙设备共同工作，提供更可靠的工作环境。完善的双机备份环境可以有两种工作模

22、式：第一种是，两台设备中只有一台防火墙在工作，当发生意外故障的时候另外一台防火墙接替工作。第二种是，两台设备都在工作，当一台发生意外故障的时候，另外一台自动接替所有的工作。 链路备份技术。链路备份是为了防止因为物理链路故障而导致服务的终止，实现链路备份的具体技术可能有多样。一般最终实现的具体形式是：提供两条链路同时提供服务，当链路都正常的时候可以选择两条链路一起工作起到负载均衡的作用，当某条链路坏的时候，流量全部自动切换到另外一条链路上。实现链路备份，应该要求防火墙能提供各种路由协议、各种路由管理功能。基于路由提供的链路备份技术可以非常好的使用在各种场合，通过多条链路的互相备份提供更可靠的服务

23、。 热备份技术。热备份指的是在发生故障产生设备切换或者是链路切换的时候完全不影响业务，这样的备份机制一般称为“热备份”。而如果因为故障等产生的备份行为发生的时候业务会中断，这样的备份机制应该称为“冷备份”或者“温备份”。在大部分介绍资料里面，热备份、温备份、冷备份的概念并没有严格的区分，许多厂商都是使用“热备份”概念来宣传的，但是从实际效果上看大部分备份机制并不是严格的热备份。从热备份的机制上可以知道，如果动态信息越多则热备份的实现机制越复杂，防火墙设备需要维护大量的规则信息、连接信息等，针对防火墙设备的热备份机制都会比较复杂，因此在考察防火墙的备份技术的时候，需要注意区分热备份和冷备份。防火

24、墙设备的可靠性设计反映出了防火墙在设计方面的一种综合考虑，必须明确的是防火墙设备是一台重要的网络设备，其可靠性要求设计要求比较高，在选择防火墙设备的时候需要综合考虑其可靠性方面的设计。2.2 防火墙的性能模型前面已经提到防火墙的性能对于衡量一个防火墙设备来说非常重要，那么到底应该通过哪些指标来具体的衡量防火墙的性能呢？本小节主要讨论一下，衡量防火墙的性能的时候应该注意哪些方面。业界现在衡量防火墙的性能的时候，主要使用“吞吐量”这个指标。吞吐量主要是指防火墙在大包的情况下，尽量转发能通过防火墙的总的流量，一般使用BPS（比特每秒）为单位来衡量的，使用吞吐量作为衡量防火墙的性能指标非常片面，不能反

25、映出防火墙的实际工作能力。除了吞吐量之外，在衡量防火墙性能的时候一定还要考察下面几个指标：1、小包转发能力防火墙的吞吐量在业界一般都是使用1K1.5K的大包衡量防火墙对报文的处理能力的。因网络流量大部分是200字节报文，因此需要考察防火墙小包转发下性能，防火墙的小包转发性能真实的反映了防火墙在实际环境下工作的转发性能指标。2、规则数目对转发效率的影响防火墙一般都是工作在大量的规则下，规则、业务的实施对转发性能有必然的影响，因此需要考察防火墙在大量规则下的转发效率，避免业务对防火墙性能影响太大，导致防火墙在实际环境下无法工作。3、每秒建立连接速度指的是每秒钟可以通过防火墙建立起来的完整TCP连接

26、。由于防火墙的连接是动态产生的是根据当前通信状态而动态建立的一个信息表。每个会话在数据交换之前，在防火墙上都必须建立连接。如果防火墙建立连接速率较慢，在客户端反映是每次通信有较大延迟。因此支持的指标越大，转发速率越高。在受到攻击时，这个指标越大，抗攻击能力越强。这个指标越大，状态备份能力越强。 每秒新建连接速度是衡量防火墙功能能力的一个重要指标，该指标偏低的时候防火墙无法在实际的网络环境中体现优异的性能，尤其是遭受DOS攻击的时候，如果该指标偏低防火墙会停止工作。4、并发连接数目由于防火墙是针对连接进行处理报文的，并发连接数目是指的防火墙可以同时容纳的最大的连接数目，一个连接就是一个TCP/U

27、DP的访问。5、延时延时测试是指在不丢包的前提下转发数据包所需要的时间，延时越小越好。延时在一些对实时性要求高的场合非常重要，例如语音、视频等业务。如果通过防火墙的延时太大，会造成声音失真、重要业务中断等情况发生，因此保持很小的延时是防火墙性能的一个重要指标。以上是衡量防火墙性能的一些基本数据，在实际选择防火墙的时候也可以根据具体的组网要求衡量一些其他的指标。由于防火墙本身是一个“处理复杂业务”的数据通信设备，涉及的性能指标比传统数据通信设备的多，在实际选择的时候一定要注意这一点，防火墙的性能指标同时反映了一台防火墙的综合指标，包括软件设计、硬件设计等各个方面，是选择防火墙设备的一个重要依据。

28、2.3 网络隔离防火墙的本质功能就是隔离网络，通过防火墙可以把普通区域、重点区域等各种逻辑网络进行隔离，避免了不安全因素的扩散。在防火墙技术体系中，灵活的网络隔离特性是防火墙非常重要的一个特性，只有合理的划分了网络区域，安全策略也可以更有效的实施。防火墙是否具有合理的网络隔离，可以根据以下一些情况考察： 整个防火墙的网络隔离体系是否具有清晰的逻辑结构，使得防火墙可以适应不同的场合。例如，防火墙至少应该具有单独的DMZ区域。 网络区域应该可以和各种物理接口配合工作，并且不依赖于物理接口提供网络隔离的划分。如果依靠物理接口进行网络隔离，很明显不能满足各种方案的灵活实施，网络隔离是一个逻辑上面的概念

29、，必须可以灵活设定才能更好的满足业务的实施。 网络隔离的时候，是不是考虑了针对隧道、VPN、VLAN接口等各种虚拟接口的实施。现在网络业务灵活多变，VPN、VLAN隔离是各种网络经常实施的一些业务，区域隔离必须考虑各种虚拟接口的实施以及和各种VPN、VLAN等业务的配合实施。 在整个体系当中，是否考虑防火墙本身的安全问题。防火墙是一个网络隔离的控制点，因此防火墙本身的安全问题是一个非常重要的问题，如果防火墙本身得不到保证，整个网络的安全性就无法保证。如何保证被防火墙分隔的网络中对防火墙本身的访问也必须是网络隔离中考虑的一个问题。2.4 访问控制防火墙另外一个重要功能就是访问控制，在防火墙中主要

30、涉及如下几种访问控制技术： IP访问控制列表IP访问控制列表主要是对IP报文的IP报头及所承载的上层协议（如TCP）报头的每个域进行控制，通常会用到IP报文的以下属性： IP的源、目的地址及协议域； TCP或UDP的源、目的端口； ICMP码、ICMP的类型域； TCP的标志域 表示请求连接的单独的SYN 表示连接确认的SYN/ACK 表示正在使用的一个会话连接 表示连接终断的FIN可以由这些域的各式各样的组合形成不同的规则。 二层的访问控制列表二层的访问控制列表主要利用了VLAN、MAC地址等二层信息，定义的访问控制规则，一个二层的访问控制列表，主要可以通过以下一些参数定义访问控制规则： 以

31、太网承载的报文协议类型，例如ip、arp、rarp等 以太网的格式类型，例如ether_ii、802.3、802.3/802.2、802.3snap等 报文类型，例如单播、广播、多播等 VLAN的标签 源VLAN ID 源IP地址 源地址通配符 源接口信息 目的VLAN ID 目的IP地址 目的地址通配符通过报文的特征定义一系列的规则，通过这些规则特征可以控制通过防火墙报文。访问控制特性是防火墙最重要的特性。由于在一些复杂场合，防火墙需要设定大量的规则，因此针对大量规则的性能指标也是衡量防火墙性能和功能的一个重要条件。2.5 基于流的状态检测技术在访问控制中应用的较多的是基于ACL的IP包过滤技术，这种技术简单可靠，但缺乏一定的灵活性。对于类似于应用FTP协议进行通信的多通道协议来说，配置防火墙则是困难的。FTP包含一个预知端口的TCP控制通道和一个动态协商的TCP数据通道，对于一般的防火墙来说，配置安全策略时无法预知数据通道的端口号，因此无法确定数据通道的入口。基于状态检测的技术可以解决这样的问题，通过对数据包的状态进行检测，可以动态的发现应