能士精品防火墙技术白皮书(41)
防火墙_产品技术白皮书_V1.0
东软NetEye防火墙技术白皮书目录一、前言 (1)二、NETEYE防火墙产品概述 (2)应用背景 (2)产品概述 (3)三、NETEYE防火墙产品优势 (3)3.1NetEye防火墙产品软件系统架构 (3)3.2NetEye防火墙产品技术优势 (4)3.2.1强大、稳定、高效的基础防火墙功能 (5)3.2.2灵活、可扩展的虚拟系统技术 (6)3.2.3业界领先的DPI智能应用识别技术 (7)3.2.4基于NEL核心技术的入侵防御功能 (7)3.2.5完善的流量分析解决方案 (7)3.3NetEye防火墙系列产品主要功能 (9)3.3.1包过滤规则对域名的支持 (9)3.3.2VPN隧道冗余技术 (9)3.3.3接口冗余 (10)3.3.4Unnumbered IP (10)3.3.5强大的病毒扫描功能 (10)3.3.6强大的反垃圾邮件引擎 (11)3.3.7细粒度的协议限制及协议异常检测 (12)3.3.8互联网域名访问加速机制 (12)3.3.9强大的攻击防御能力 (13)3.3.10应用控制 (13)3.3.11PPPOE支持 (14)3.3.12安全集中管理 (14)3.3.13产品可用性与易用度 (15)一、前言本文档适用于沈阳东软系统集成工程有限公司(以下简称东软公司、东软或者本公司)制造的NetEye防火墙系列产品的销售工作,力图从产品技术角度提供必要的参考说明。
本文档主要内容包括NetEye防火墙产品体系构架、功能特色和技术参数等方面的相关数据,便于阅读者快速掌握NetEye防火墙产品的基本概况,提高对项目需求判断和设备选型的正确率。
同时,需要指出的一点是,本文档所包含的各项数据,尤其是产品技术型号、指标参数,均为现阶段的一般性数据,仅供阅读者了解、理解NetEye防火墙产品的普遍情况使用。
考虑到东软公司经营管理策略、技术研发进度和特定项目需求等因素,在实际供货时,所有数据指标均有可能发生更新变化,并将通过随机标准文档予以说明。
网神SecGate 3600-G7-41HJ防火墙产品白皮书
●版权声明Copyright © 2006-2011 网神信息技术(北京)股份有限公司(“网神”)版权所有,侵权必究。
未经网神书面同意,任何人、任何组织不得以任何方式擅自拷贝、发行、传播或引用本文档的任何内容。
●文档信息●版本变更记录目录1产品概述 (4)2产品特点 (4)3产品功能 (6)4产品型号与指标 (11)5产品形态 (12)6产品资质 (13)1产品概述网神SecGate 3600-G7-41WJ 防火墙(以下简称“防火墙”)是基于完全自主研发、经受市场检验的成熟稳定SecOS 操作系统, 并且在专业防火墙、VPN、IPS、IDS、防毒墙的多年产品经验积累基础上精心研发的, 专门为政府、军队、教育、大中小型企业及各分支机构的互联网出口打造的专业防火墙系统。
防火墙可灵活部署在政府、教育、军队、运营商、大中小型企业及其分支机构的网络边界,完整实现了状态检测包过滤防火墙、IPSec VPN、SSL VPN、URL过滤、绿色上网、流量控制、用户认证等综合安全功能。
基于成熟可靠的多核处理器硬件平台,并可以扩展使用硬件加速,性能超强。
2产品特点●领先的SecOS 安全协议栈完全自主知识产权的SecOS 实现防火墙的控制层和数据转发层分离,全模块化设计,实现独立的安全协议栈,消除了因操作系统漏洞带来的安全性问题,以及操作系统升级、维护对防火墙功能的影响。
同时也减少了因为硬件平台的更换带来的重复开发问题。
由于采用先进的设计理念,使该SecOS 具有更高的安全性、开放性、扩展性和可移植性。
●高性能与高安全的多核架构多核硬件架构与新一代多核并行安全操作系统SecOS 相配合,多个核并行处理,分担数据流量,极大的提升系统性能。
多核并行操作系统可实现驾驭更多处理器核、减少串行比例、降低系统开销。
保证同时开启防火墙、VPN、IPS、AV、P2P限制等功能系统依然运行平稳。
●深度的网络行为关联分析采用独立的安全协议栈,可以自由处理通过协议栈的网络数据。
内部分割防火墙(ISFW)技术白皮书说明书
PROTECTING YOUR NETWORK FROM THE INSIDE-OUTInternal Segmentation Firewall (ISFW)WHITE PAPER: PROTECTING YOUR NETWORK FROM THE INSIDE–OUT – INTERNAL SEGMENTATION FIREWALL (ISFW) PROTECTING YOUR NETWORKFROM THE INSIDE-OUTInternal Segmentation Firewall (ISFW)TABLE OF CONTENTSSummary . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .3Advanced Threats Take Advantage of the “Flat Internal” Network . . . . .4The Answer is a New Class of Firewall – Internal Segmentation Firewall . . .4ISFW Technology Requirements . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .6Conclusion . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .7SUMMARYFor the last decade organizations have been trying to protect their networks by building defenses across the borders of their networks. This includes the Internet edge, perimeter, endpoint, and data center (including the DMZ). This “outside-in” approach has been based on the concept that companies can control clearly defined points of entry and secure their valuable assets. The strategy was to build a border defense as strong as possible and assume nothing got past the firewall.As organizations grow and embrace the latest IT technology such as mobility and cloud the traditional network boundaries are becoming increasingly complex to control and secure. There are now many different ways into an enterprise network.Not long ago, firewall vendors markedthe ports on their appliances “External” (untrusted) and “Internal” (trusted). However, advanced threats use this to their advantage because, once inside, the network is very flat and open. The inside of the network usually consists of non security-aware devices such as switches, routers, and even bridges. So once you gain access to the network as a hacker, contractor, or even rogue employee, then you get free access to the entire enterprise network including all the valuable assets. The solution is a new class of firewall –Internal Segmentation Firewall (ISFW),that sits at strategic points of the internalnetwork. It may sit in front of specific serversthat contain valuable intellectual property ora set of user devices or web applicationssitting in the cloud.Once in place, the ISFW must provideinstant “visibility” to traffic traversing intoand out of that specific network asset. Thisvisibility is needed instantly, without monthsof network planning and deployment.Most importantly the ISFW must alsoprovide “protection” because detection isonly a part of the solution. Sifting throughlogs and alerts can take weeks or months.The ISFW needs to deliver proactivesegmentation and real-time protectionbased on the latest security updates.Finally, the ISFW must be flexible enoughto be placed anywhere within the internalnetwork and integrate with other parts of theenterprise security solution under a singlepane of management glass. Other securitysolutions can also provide additional visibilityand protection. This includes the emailgateway, web gateway, border firewalls,cloud firewalls, and endpoints. Further,Internal Segmentation Firewalls need toscale from low to high throughputs allowingdeployment across the global network.KEY REQUIREMENTSn COMPLETE PROTECTION –Continuous inside-out protectionagainst advanced threats with asingle security infrastructuren EASY DEPLOYMENT –Default Transparent Mode meansno need to re-architect thenetwork and centrally deployedand managedn HIGH PERFORMANCE –Multi-gigabit performance supportswire speed east-west trafficINTERNAL NETWORKCybercriminals are creating customized attacks to evade traditional defenses, and once inside, to avoid detection and enable egress of valuable data. Once inside the network there are few systems in place to detect or better still protect against APT s. It can be seen from the threat life cycle in Figure 1 that once the perimeter border is penetrated, the majority of the activity takes place inside the boundary of the network. Activities include disabling any agent-based security , updates from the botnet command, and control system, additional infection/recruitment and extraction of the targeted assets.THE ANSWER IS A NEW CLASS OF FIREWALL –INTERNAL SEGMENT A TION FIREWALL (ISFW)Most firewall development over the past decade has been focused on the border, the Internet edge, perimeter (host firewall), endpoint, data center (DMZ), or the cloud. This started with the stateful firewall but has evolved to include Unified Threat Management (UTM) for distributed networks, which brought together the firewall, intrusion detection, and antivirus. Later came the Next Generation Firewall (NGFW), which included intrusion prevention and application control for the Internet edge. More recently because of the huge increase in speeds, Data CenterFirewalls (DCFW) have arrived to provide more than 100 Gbps of throughput. All of these firewalls have in common an approach designed to protect from the “outside-in.”For rapid internal deployment and protection, a new class of firewall is required – Internal Segmentation Firewall (ISFW). The Internal Segmentation Firewall has some different characteristics when compared to a border firewall. The differences are laid out in figure 2.14DisposalThreat Production+ ReconThreat VectorExtractionScan for vulnerabilities Design phishing emails Customize malware, etc.ExternalPackage &Encrypt StageFIGURE 1 – ADVANCED THREAT LIFE CYCLEFIGURE 2 – FIREWALL TYPE DIFFERENCESTHE ISFW NEEDS TO PROVIDE COMPLETE PROTECTIONThe first element of security is visibility. And visibility is only as good as network packet knowledge. What does a packet stream look like for a specific application, where did it come from, where is it going, even what actions are being taken (download, upload…).The second and equally important element is protection. Is the application, contentor actions malicious? Should this type of traffic be communicating from this set of assets to another set of assets? While this is very difficult across different contentand application types, it is an essentialpart of the ISFW. The ability to detect a malicious file, application, or exploit gives an enterprise time to react and contain the threat. All of these protection elements must be on a single device to be effective.Both visibility and protection are heavily reliant on a real-time central security threat intelligence service. A question that always needs to be posed – how good is the visibility and protection? Is it keeping up with the latest threats? That’s why all security services should be measured on a constantbasis with 3rd party test and certificationservices.THE ISFW NEEDS TO PROVIDE EASYDEPLOYMENTThe ISFW must be easy to deploy andmanage. Keeping it simple for IT meansbeing able to deploy with minimumconfiguration requirements and withouthaving to re-architect the existing network.The ISFW must also be able to protectdifferent types of internal assets placed atdifferent parts of the network. It could be aset of servers containing valuable customerinformation or a set of endpoint devicesthat may not be able to be updated with thelatest security protection.Additionally, the ISFW must be able tointegrate with other parts of the enterprisesecurity solution. Other security solutionscan also provide additional visibility andprotection. This includes the email gateway,web gateway, border firewalls, cloudfirewalls, and endpoints. This all needs tobe managed with a ‘single pane of glass’approach. This allows security policies to beconsistent at the border, inside the network,and even outside the network in clouds.Traditional firewalls are usually deployedin routing mode. Interfaces (ports) are welldefined with IP addresses. This often takesmonths of planning and deployment. Thisis valuable time in today’s instant cyberattack world. An ISFW can be deployedin the network rapidly and with minimumdisruption. It must be as simple as poweringon a device and connecting. It must betransparent to the network and application.THE ISFW NEEDS TO PROVIDE WIRE-SPEED PERFORMANCEBecause internal segmentation firewalls aredeployed in-line for network zoning, theymust be very high performance in order tomeet the demands of internal or “east-west”traffic, and to ensure they do not becomea bottleneck at these critical points. Unlikefirewalls at the border that deal with WideArea Network (WAN) access or Internetspeeds of less than 1 gigabit per second,internal networks run much faster – multi-gigabit speeds. There, ISFWs need tooperate at multi-gigabit speeds and be ableto provide deep packet/connect inspectionwithout slowing down the network.REQUIREMENTSA FLEXIBLE NETWORK OPERATING SYSTEMAlmost all firewall “deployment modes” require IP allocation and reconfiguration of the network. This is known as network routing deployment and provides traffic visibility and threat prevention capabilities. At the other end of the spectrum is sniffer mode, which is easier to configure and provides visibility, but does not provide protection.Transparent mode combines theadvantages of network routing and sniffer modes. It provides rapid deployment and visibility plus, more importantly, protection. The differences are summarized in Figure 3.FIGURE 3 – FIREWALL TYPE DIFFERENCESA SCALABLE HARDWARE ARCHITECTUREBecause internal networks run at much higher speeds the ISFW needs to be architected for multi-gigabit protection throughput. Although CPU-only based architectures are flexible they become bottlenecks when high throughput isrequired. The superior architecture still uses a CPU for flexibility but adds custom ASICs to accelerate network traffic and content inspection.Because the ISFW is deployed in closer proximity to the data and devices, it may sometimes need to cope with harsher environments. Availability of a moreruggedized form factor is therefore another requirement of ISFWs.with cloud-based sandboxing, allowing for the enforcement of policies thatcomplement standard border firewalls. This real-time visibility and protection is critical to limiting the spread of malware inside the network.NETWORK WIDE ISFW DEPLOYMENT EXAMPLEMost companies have set up border protection with firewalls, NGFWs, and UTMs. These are still critical parts ofnetwork protection. However, to increase security posture, Internal Segmentation Firewalls can be placed strategically internally. This could be a specific set ofendpoints where it is hard to update security or servers where intellectual property is stored.SEGMENT ISFW DEPLOYMENT EXAMPLEThe ISFW is usually deployed in the access layer and protects a specific set of assets. Initially the deployment is transparent between the distribution and access switches. Longer term the integrated switching could take the place of theaccess and distribution switch and provideadditional physical protection.DEPLOYMENT (ISFW) DEPLOYMENTNETWORK SEGMENTATION –HIGH SPEED INTEGRATED SWITCHING An evolving aspect of transparent mode is the ability to physically separatesubnetworks and servers via a switch.Firewalls are starting to appear on the market with fully functional, integrated switches within the appliance. These new firewalls, with many 10 GbE port interfaces, become an ideal data center “top-of-rack” solution, allowing servers to be physically and virtually secured. Also, similar switch-integrated firewalls with a high density of 1 GbE port interfaces become ideal for separation of LAN subsegments. ISFWs should be able to fulfill both of these roles, and as such should ideally have fullyfunctional, integrated switching capabilities.REAL-TIME SECURITYInternal Segmentation Firewalls must be able to deliver a full spectrum of advanced security services, including IPS, application visibility, antivirus, anti-spam, and integrationCopyright © 2016 Fortinet, Inc. All rights reserved. Fortinet , FortiGate , FortiCare and FortiGuard , and certain other marks are registered trademarks of Fortinet, Inc., and other Fortinet names herein may also be registered and/or common law trademarks of Fortinet. All other product or company names may be trademarks of their respective owners. Performance and other metrics contained herein were attained in internal lab tests under ideal conditions, and actual performance and other results may vary. Network variables, different network environments and other conditions may affect performance results. Nothing herein represents any binding commitment by Fortinet, and Fortinet disclaims all warranties, whether express or implied, except to the extent Fortinet enters a binding written contract, signed by Fortinet’s General Counsel, with a purchaser that expressly warrants that the identified product will perform according to certain expressly-identified performance metrics and, in such event, only the specific performance metrics expressly identified in such binding written contract shall be binding on Fortinet. For absolute clarity, any such warranty will be limited to performance in the same ideal conditions as in Fortinet’s internal lab tests. Fortinet disclaims in full any covenants, representations, and guarantees pursuant hereto, whether express or implied. Fortinet reserves the right to change, modify, transfer, or otherwise revise this publication without notice, and the most current version of the publication shall be applicable. Fortinet disclaims in full any covenants, representations, and guarantees pursuant hereto, whether express or implied. Fortinet reserves the right to change, modify, transfer, or otherwise revise this publication without notice, and the most current version of the publication shall be applicable.GLOBAL HEADQUARTERS Fortinet Inc.899 Kifer RoadSunnyvale, CA 94086United StatesTel: +/salesEMEA SALES OFFICE 905 rue Albert Einstein 06560 Valbonne FranceTel: +33.4.8987.0500APAC SALES OFFICE 300 Beach Road 20-01The Concourse Singapore 199555Tel: +65.6513.3730LATIN AMERICA HEADQUARTERS Sawgrass Lakes Center13450 W. Sunrise Blvd., Suite 430Sunrise, FL 33323Tel: +1.954.368.9990ENHANCING ADVANCED THREA T PROTECTION WITH INTERNAL VISIBILITYA proper approach to mitigating advanced threats should include a continuous cycle of prevention, detection, and mitigation. Very typically a next-generation firewall would serve as a key foundation of the prevention component, enabling L2/L3 firewall,intrusion prevention, application control and more to block known threats, while passing high-risk unknown items to a sandbox for detection. But with NGFW’s deployed traditionally at the network edge, this only provides partial visibility into the attack life cycle by primarily observing ingress and egress activity.Deployment of an ISFW can providemore complete visibility into the additional internal activity of the hackers once they’ve compromised the edge. Lateral movement can account for a significant portion of the malicious activity as the hackers try to identify valuable assets and extract data,and having a complete picture of both internal and edge activity enhances allphases of a complete ATP framework. With internal network traffic often being several times the bandwidth of edge traffic, an ISFW can provide many more opportunities to limit the spread of the compromise from known techniques and more high-risk items to be passed to sandboxes for deeper inspection.CONCLUSIONAdvanced Threats are taking advantage of the flat Internal network. Once through the border defense there is little to stop their spread and eventual extraction of valuable targeted assets. Because traditional firewalls have been architected to slower speeds of the Internet edge it’s hard to deploy these security devices internally. And firewall network configuration deployments (IP addresses) take a long time to deploy.Internal Segmentation Firewalls are a new class of firewall that can be deployed rapidly with minimum disruption while keeping up the multi-gigabit speeds of internal networks. Instant visibility and protection can be applied to specific parts of the internal network.FIGURE 5 – ADVANCED THREAT PROTECTION (ATP) FRAMEWORK。
中网智能防火墙白皮书
中网防火墙产品白皮书中网公司2009年7月版权声明中网公司拥有本产品及相关文档的全部版权。
未经本公司书面许可,任何单位及个人不得以任何方式或理由对本产品的任何部分进行复制、抄录、传播或将技术文档翻译成他国语言,并不得与其它产品捆绑销售。
商标声明“中网”是中网公司的注册商标。
中网防火墙是中网公司的产品注册名称。
是中网公司所属的Internet网站域名。
本文档中所涉及的其它产品商标和服务标志皆为各自公司和组织所持有。
信息更新本产品最新版本信息、升级信息以及相关技术文档将在本公司网站上及时推出,敬请留意。
信息反馈中网公司欢迎您通过尽可能多的渠道向我们提供尽可能多的信息,您的意见和问题都会得到我们的重视和妥善处理,请将反馈信息投递到下述地址:北京总公司地址:北京市海淀区学院路30号院49栋B座三层电话:(010)62321001传真:(010)62325989邮编:100083目录一、面临的网络威胁 (4)二、智能防火墙概述 (6)2.1传统防火墙的局限性 (6)2.2智能防火墙 (8)三、为什么选择中网防火墙 (9)3.1产品特点 (10)3.2应用特点 (11)3.3操作特点 (13)3.4性能特点.............................................................................. 错误!未定义书签。
四、产品功能介绍 (15)五、产品信息 (21)5.1硬件指标 (21)六、安全规范 (22)6.1认证注册 (22)6.2执行标准 (23)6.3参考的安全规范 (23)七、中网防火墙的典型应用 (24)7.1中网防火墙典型应用 (24)7.2可以参考的方案 (25)八、技术支持与服务 (27)8.1服务宗旨 (27)8.2服务体制 (27)一、面临的网络威胁随着互联网的迅猛发展,我们的工作方式发生了革命性的变革,同时由于因特网自身的网络结构及其运行方式为安全问题埋下了隐患。
安士领信防火墙F104
产品概述安氏LinkTrust FireWall 防火墙基于专门设计具有国际先进水平的高性能嵌入式硬件平台,以安氏实验室历时6年自主研发的模块化、分层式安全操作系统LTOS 为核心,高度集成了防火墙、ASIC VPN 、入侵检测、带宽管理、防拒绝服务网关、多媒体通信安全、认证授权、内容安全控制、ADSL/ISDN 接入安全、高可用性配置能力等众多安全角色,提供高度安全、可信和健壮的安全解决方案,真正实现了单一设备对您的网络的全方位防护。
FireWall-F104系列专为中小企业和公司分支机构规模的网络而设计,以简洁、快速配置为原则,使复杂的的安全实施得以简化。
它们充分考虑中小型用户特点,支持PPPOE 与DHCP ,集成防火墙、VPN 、IDS 、带宽管理功能,为那些希望以合理价格实现安全的中小企业提供了一站式经济完整的解决方案。
产品主要特性♦ 先进的状态检测引擎实现了极其复杂的,细颗粒度的判断与内容安全控制,以适应日趋复杂的网络数据包构成。
LinkTrust 防火墙利用自己的特有的快速转发(Fast Forwarding )技术,通过将系统的状态表、翻译表和转发表结合起来,把三层上面的路由过程转化成了二层以下快速转发过程。
极大的提高了数据的传输安全性和性能。
♦ 支持各种混合模式支持路由模式、NAT 模式、桥模式及任意的混合模式。
任意接口的工作模式都可以由用户随意指定,同一接口可同时工作在路由和透明模式下,方便防火墙接入各种复杂的网络环境以满足企业网络多样化的部署需求。
♦ 多样化的VPN支持业界标准的IPSec 、PPTP 、L2TP 和L2TP over IPSec VPN ,提供IPSec VPN Client ,支持VPN 的星形部署,支持VPN 的全方向安全控制策略;支持桥下VPN 功能不需对网络地址重新规划就可让数据享受高强度安全防护;支持VPN 的NAT-T (NAT 穿越)能力以及星型连接等多种VPN 部署方式;支持PPTP 下的WINS 、DNS 服务。
防火墙技术白皮书
深信服下一代防火墙NGAF技术白皮书深信服科技有限公司二零一三年四月目录一、概述 (4)二、为什么需要下一代防火墙 (4)2.1 网络发展的趋势使防火墙以及传统方案失效 (4)2.2 现有方案缺陷分析 (5)2.2.1 单一的应用层设备是否能满足? (5)2.2.2 “串糖葫芦式的组合方案” (5)2.2.3 UTM统一威胁管理 (5)三、下一代防火墙标准 (6)3.1 Gartner定义下一代防火墙 (6)3.2 适合国内用户的下一代防火墙标准 (7)四、深信服下一代应用防火墙—NGAF (8)4.1 产品设计理念 (8)4.2 产品功能特色 (9)4.2.1更精细的应用层安全控制 (9)4.2.2全面的应用安全防护能力 (12)4.2.3独特的双向内容检测技术 (17)4.2.4涵盖传统安全功能 (18)4.2.5智能的网络安全防御体系 (19)4.2.6更高效的应用层处理能力 (20)4.3 产品优势技术【】 (20)4.3.1深度内容解析 (20)4.3.2双向内容检测 (20)4.3.3分离平面设计 (21)4.3.4单次解析架构 (22)4.3.5多核并行处理 (23)4.3.6智能联动技术 (23)五、解决方案与部属 (24)5.1 基于业务场景的安全建设方案选择 (24)5.1.1互联网出口-内网终端上网 (24)5.1.2互联网出口-服务器对外发布 (24)5.1.3广域网边界安全隔离 (25)5.1.4数据中心 (25)5.2 部署方式 (26)5.2.1路由部署 (26)5.2.2透明部署 (26)5.2.3虚拟网线部署 (26)5.2.4旁路部署 (26)5.2.5混合部署 (26)5.2.6链路聚合 (26)六、关于深信服 (26)一、概述防火墙自诞生以来,在网络安全防御系统中就建立了不可替代的地位。
作为边界网络安全的第一道关卡防火墙经历了包过滤技术、代理技术和状态监视技术的技术革命,通过ACL 访问控制策略、NAT地址转换策略以及抗网络攻击策略有效的阻断了一切未被明确允许的包通过,保护了网络的安全。
Hillstone虚拟防火墙技术解决方案白皮书
图1 使用虚拟防火墙进行业务灵活扩展在传统数据中心方案中,业务服务器与防火墙基本上是一对一配比。
因此,当业务增加时,用户需要购置新的防火墙;而当业务减少时,对应的防火墙就闲置下来,导致投资浪费。
虚拟防火墙技术以其灵活可扩展的特性帮助用户保护投资,用户可以随时根据业务增减相应的虚拟防火墙。
同时,通过使用虚拟防火墙的CPU资源虚拟化技术,数据中心还可以为客户定量出租虚拟防火墙,例如,可以向某些客户出租10M吞吐量的虚拟防火墙,而向另一些客户出租100M吞吐量的虚拟防火墙。
Hillstone 的虚拟防火墙功能简称为VSYS ,能够将一台物理防火墙在逻辑上划分成多个虚拟防火墙,每个虚拟防火墙系统都可以被看成是一台完全独立的防火墙设备,拥有独立的系统资源,且能够实现防火墙的大部分功能。
每个虚拟防火墙系统之间相互独立,不可直接相互通信。
不同型号的Hillstone 物理防火墙设备支持的最大VSYS 个数不同,支持License 控制的VSYS 个数的扩展。
数据中心业务类型多种多样,需要使用的防火墙策略也不同。
例如,DNS 服务器需要进行DNS Query Flood 攻击防护,而HTTP 服务器则需要进行HTTP Get Flood 攻击防护。
虚拟防火墙的划分能够实现不同业务的专属防护策略配置。
同时,CPU 资源虚拟化可隔离虚拟防火墙之间的故障,当单个虚拟防火墙受到攻击或资源耗尽时,其它虚拟防火墙不会受到影响,这样就大大提升了各业务的综合可用性。
图2使用虚拟防火墙进行业务隔离Hillstone 虚拟防火墙功能包含以下特性:■ 每个VSYS 拥有独立的管理员■ 每个VSYS 拥有独立的安全域、地址簿、服务簿等■ 每个VSYS 可以拥有独立的物理接口或者逻辑接口■ 每个VSYS 拥有独立的安全策略■每个VSYS 拥有独立的日志1.2 业务隔离,互不影响3.2 专有对象与共享对象系统在没有配置任何虚拟防火墙时,只有一个逻辑的防火墙系统,称为根虚拟系统(根VSYS ),所有的系统资源都被根VSYS 所使用(不只是硬件资源)。
KFW防火墙技术白皮书v2.0
KILL防火墙KFW V2.0产品技术白皮书北京冠群金辰软件有限公司目录一概述 (3)二产品特性 (3)三产品功能 (4)四产品性能指标 (7)4.1百兆防火墙系列 (7)4.2千兆防火墙系列 (7)一概述KILL防火墙V2.0是北京冠群金辰公司最新推出的高安全性硬件防火墙产品,它采用高性能硬件平台,加固了操作系统内核、优化了网络协议分析和处理性能。
此外,还提供状态检测包过滤、应用代理、动态路由、入侵检测防护、IPSec VPN、SSL VPN、抗DDoS攻击、深度内容检测、带宽管理和流量控制等功能。
KILL防火墙系列产品广泛应用于政府、公安、军队、企业、电信、金融等行业的网络环境。
KILL防火墙系统有效的解决并改善了传统防火墙产品在性能及功能上存在的缺陷,综合了防火墙、VPN和IDS等多种功能,具有更高的安全性、系统稳定性、更加显著的功能特性和优异的网络性能,同时具备广泛的适应能力。
二产品特性高安全性KILL防火墙具备强大的抗攻击能力,例如:防Syn Flood、Ack Flood、UDP Flood、TCP 连接耗尽攻击、Land攻击、Ping of Death、TearDrop、Smurf、Ping Flood、Jolt2等攻击。
KILL防火墙采用专用的安全系统内核,消除了采用通用操作系统造成的防火墙自身的安全隐患,保障了防火墙自身的安全性。
高稳定性KILL防火墙采用高质量的硬件平台和经过严格检验的软件质量检验,使KILL防火墙在保障安全性的同时,稳定性有了很大的提高。
高性能KILL防火墙型号涵盖高中低端各种性能的产品,可满足不同规模用户的需要,最高级别的设备可达到接近万兆处理性能。
KILL防火墙产品方面具备先进成熟的技术,同等硬件平台上其性能高于同类产品。
灵活的部署方式KILL防火墙可部署在企业网络边界和内部网段。
提供强大的NAT/反向NAT、PAT等功能,可配置为路由模式、混合模式、透明模式等多种方式,适应大多数网络结构与应用需求。
网神SecGaeGHJ防火墙产品白皮书
●版权声明Copyright © 2006-2011 网神信息技术(北京)股份有限公司(“网神”)版权所有,侵权必究。
未经网神书面同意,任何人、任何组织不得以任何方式擅自拷贝、发行、传播或引用本文档的任何内容。
●文档信息●版本变更记录目录1产品概述 (4)2产品特点 (4)3产品功能 (6)4产品型号与指标 (10)5产品形态 (16)6产品资质 (18)1产品概述网神SecGate 3600-G7-41WJ 防火墙(以下简称“防火墙”)是基于完全自主研发、经受市场检验的成熟稳定SecOS 操作系统, 并且在专业防火墙、VPN、IPS、IDS、防毒墙的多年产品经验积累基础上精心研发的, 专门为政府、军队、教育、大中小型企业及各分支机构的互联网出口打造的专业防火墙系统。
防火墙可灵活部署在政府、教育、军队、运营商、大中小型企业及其分支机构的网络边界,完整实现了状态检测包过滤防火墙、IPSec VPN、SSL VPN、URL过滤、绿色上网、流量控制、用户认证等综合安全功能。
基于成熟可靠的多核处理器硬件平台,并可以扩展使用硬件加速,性能超强。
2产品特点●领先的SecOS 安全协议栈完全自主知识产权的SecOS 实现防火墙的控制层和数据转发层分离,全模块化设计,实现独立的安全协议栈,消除了因操作系统漏洞带来的安全性问题,以及操作系统升级、维护对防火墙功能的影响。
同时也减少了因为硬件平台的更换带来的重复开发问题。
由于采用先进的设计理念,使该SecOS 具有更高的安全性、开放性、扩展性和可移植性。
●高性能与高安全的多核架构多核硬件架构与新一代多核并行安全操作系统SecOS 相配合,多个核并行处理,分担数据流量,极大的提升系统性能。
多核并行操作系统可实现驾驭更多处理器核、减少串行比例、降低系统开销。
保证同时开启防火墙、VPN、IPS、AV、P2P限制等功能系统依然运行平稳。
●深度的网络行为关联分析采用独立的安全协议栈,可以自由处理通过协议栈的网络数据。
网御强五系列防火墙产品白皮书精修订
网御强五系列防火墙产品白皮书SANY标准化小组 #QS8QHH-HHGX8Q8-GNHHJ8-HHMHGN#联想网御强五UTM系列防火墙产品白皮书联想网御科技(北京)有限公司版权信息版权所有 2001-2006,联想网御科技(北京)有限公司本文档中出现的任何文字叙述、文档格式、插图、照片、方法、过程等内容,除另有特别注明,版权均属联想网御科技(北京)有限公司所有,受国家有关产权及版权法保护。
如何个人、机构未经联想网御科技(北京)有限公司的书面授权许可,不得以任何方式复制或引用本文档的任何片段。
商标信息联想网御,Legend,Lenovo,leadsec等标识及其组合是联想网御科技(北京)有限公司拥有的商标,受商标法和有关国际公约的保护。
第三方信息本文档中所涉及到的产品名称和商标,属于各自公司或组织所有。
联想网御科技(北京)有限公司Lenovo Security Technologies Inc.北京市海淀区中关村南大街6号中电信息大厦8层 1000868/F Zhongdian Information Tower Zhongguancun South Street,Haidian District, Beijing电话(TEL):0传真(FAX):0技术热线(Customer Hotline):0电子信箱(E-mail):公司网站:目录1、序言近几年来,随着信息化建设的飞速发展,信息安全的内容也越来越广泛,用户对安全设备和安全产品的要求也越来越高。
尽管防火墙、IDS等传统安全产品在不断的发展和自我完善,但是道高一尺魔高一丈,黑客们不仅专门针对安全设备开发各种工具来伪装攻击、逃避检测,在攻击和入侵的形式上也与应用相结合越来越紧密。
这些都使传统的安全设备在保护网络安全上越来越难。
混合攻击带来的新挑战随着红色代码、Nimda等有里程碑式的病毒出现,改写了病毒形态和病毒的历史,病毒已经不再只具有破坏力。
DPtech防火墙技术白皮书
DPtech FW1000系列防火墙技术白皮书杭州迪普科技有限公司2013年8月目录1、概述32、产品简介33、迪普科技防火墙特色技术43.1DPtech FW1000防火墙数据转发流程43.2丰富的网络特性53.3大策略下的高性能、低时延处理能力63.4攻击防范技术(IPv4/IPv6)73.5防火墙高可靠性93.6防火墙全面VPN支持113.7防火墙虚拟化技术133.7.1虚拟防火墙技术133.7.2VSM虚拟化技术173.7.3 N:M虚拟化技术191、概述在应用需求的不断推动下,网络技术得到了飞速发展;而网络技术的进步则又反过来推动应用的发展,应用与网络之间是相辅相成、相互促进的。
随着万兆到核心/千兆到桌面、Web2.0、虚拟化、物联网、网络音频/视频、P2P、云计算等各种新应用、新业务层出不穷,传统的基于端口进行应用识别和访问控制的防火墙,已远远无法满足各种新应用下安全防护的需求。
为解决此类难题,迪普科技推出了基于全新多核处理器架构的FW1000系列下一代应用防火墙。
DPtech FW1000开创了应用防火墙的先河。
基于迪普科技自主知识产权的APP-X硬件平台和ConPlat OS安全操作系统,并配备专业的入侵防御特征库、病毒库、应用协议库、URL库,是目前业界性能最高的应用防火墙。
无以伦比的高可用性、高性能和高可靠性,使得FW1000系列可以放心规模部署于数据中心、大型园区网等各种复杂场景;另外,功能丰富并可按需扩展的应用防火墙方案,也简化了网络的安全架构,并大大降低了企业网络总体拥有成本。
2、产品简介DPtech FW1000系列是迪普公司面向大中型企业、学校、数据中心以及运营商开发的新一代应用防火墙产品,是一种应用级的高性能防火墙,工作在网络边界层,根据安全策略对来自不同区域的数据进行安全控制,同时支持IPv4和IPv6环境,具备业界最高性能,网络无瓶颈,拥有全面的安全防护,可确保网络稳定运行,产品VPN全内置,提供最高性价比,灵活组网能力,可适应各种网络环境。
防火墙技术白皮书v
专注安全追求卓越AngellPRO防火墙技术白皮书本资料将定期更新,如欲获取最新相关信息,请访问安智科技网站,,您的意见和建议请发送至:西安安智科技有限公司Angelltech Corporation地址:西安雁翔路99号西安交大科技园博源大厦二层邮编:710054电话:( 86- 029 ) 83399618传真:( 86- 029 ) 83399620邮箱:services@本白皮书中的内容是安智科技AngellPRO防火墙。
本材料的相关权力归西安安智科技所有。
白皮书中的任何部分未经本公司许可,不得转印、影印或复印。
© 2004 西安安智科技有限公司All rights reserved.目录一产品概述 (3)二设计理念 (3)三产品线概述 (3)四产品特点 (4)五功能特性 (6)5.1设计特点 (6)5.2状态检测的包过滤机制和灵活的访问控制机制 (7)5.3广泛的网络及应用环境支持 (7)5.4多种工作模式应用 (7)5.5网络地址转换功能 (7)5.6透明的应用代理 (8)5.7支持策略路由 (8)5.8多端口的自适应 (9)5.9智能的内容过滤 (9)5.10强大的抗攻击能力 (9)5.11支持透明接入 (11)5.12多层过滤功能 (11)5.13VPN功能特性 (12)5.14访问用户控制 (12)5.15完善的系统管理功能 (12)5.16日志审计功能 (14)5.17高可用性 (15)5.18易用性设计 (16)六AngellPRO防火墙功能列表 (16)七典型应用 (16)7.1企业级应用 (19)7.2高可靠性双机热备应用 (19)八关于安智 (20)一产品概述AngellPRO防火墙是面向政府机关、企业和一般行业用户的网络信息系统推出的防火墙系列产品,可广泛应用于百兆、千兆网络环境中信息安全系统的构建。
与同类产品相比,AngellPRO防火墙不论在技术的先进性还是各项通用技术指标方面均有较大程度的提高。
技术白皮书-EconoPure
W部分 消防装置规制W1 消防装置任何经认可的消防装置均需连接到地方当局提供的汇流管中。
但是,地方当局在认为有必要的条件下,可以允许这些消防装置连接到以下地方:(a)经认可的其它供水源;(b)任何非饮用水的水源,只要这些水源不用于居家生活,也不用于地方当局认为可能危害健康的任何其它用途。
W2 供水在满足以下条件之前,用于消防装置的水不能取自供水系统:(a)向地方当局提交申请来要求这样的供水,而且申请得到批准;(b)对这类水的使用以及消防装置均符合地方当局所订立的条件。
W3 消防装置的设计任何消防装置均需满足以下要求:(a)应当提供合适的抽水连接线以及水压测量装置;(b)提供数量充足的隔离阀来控制进入装置、以及装置中各个位置的水流量,具体遵照地方当局的要求;(c)水的数量、压力及流率要能足够支持与消防装置相连接的任何消防卷盘、消火栓或喷淋系统。
W4 “视同满足规定”的方法性要求如果消防装置符合以下条件,即可认为规制W3中提出的要求得到满足:(a)由专业工程师或其他经批准的适任人员执行了、或监督执行了可接受的合理设计;(b)符合SABS 0400号标准第3节W部分的要求。
“视同满足规定”的方法性准则WW1 总体如果消防装置符合本部分下文所列“视同满足规定”的方法性准则,即可认为W3的要求得到满足。
WW2 汇流管任何消防装置均需连接到地方当局提供的汇流管中,并且定位与深度也应由地方当局决定。
WW3 水表如果地方当局要求,任何消防装置中均应留出余地,以备地方当局提供并安装水表。
WW4 隔离阀在任何消防装置中,均应在现场边界以内不超过1.5米的位置安装隔离阀。
WW5 消防装置WW5.1 任何消防装置在构造方面均需达到以下要求:(a)能够提供数量足够的水,以使任何区域中可以同时操动、或同时进入工作状态的所有消防卷盘、消火栓和喷淋系统均能有效工作。
(b)在任何消防卷盘或消火栓处均能提供不低于300千帕的流压,而且流率不低于以下规定值:(i)每只消防卷盘0.5升/秒;(ii)每只消火栓20升/秒。
Eudemon系列防火墙安全技术白皮书
Eudemon系列防火墙技术白皮书Huawei Technologies Co., Ltd.华为技术有限公司All rights reserved版权所有侵权必究Catalog 目录1概述 (6)1.1网络中存在的问题 (6)1.2防火墙产品介绍 (7)1.3防火墙的定义 (8)1.4防火墙设备的使用指南 (8)2防火墙设备的技术原则 (9)2.1防火墙的可靠性设计 (9)2.2防火墙的性能模型 (10)2.3网络隔离 (11)2.4访问控制 (12)2.5基于流的状态检测技术 (13)2.6业务支撑能力 (13)2.7地址转换能力 (14)2.8攻击防范能力 (14)2.9防火墙的组网适应能力 (15)2.10VPN业务 (15)2.11防火墙管理系统 (16)2.12防火墙的日志系统 (16)3Eudemon系列防火墙的特点 (16)3.1高可靠的电信级防火墙 (16)3.1.1系统可靠性 (16)3.1.2高可靠的硬件体系 (17)3.1.3健壮的软件体系 (17)3.1.4完善的链路备份技术 (18)3.1.5完备的双机备份技术 (18)3.1.6真正的状态热备份 (19)3.2性能卓越的防火墙 (20)3.2.1先进的硬件加速系统 (20)3.2.2优异的转发性能和业务处理能力 (20)3.2.3优异的真实处理能力 (20)3.3灵活的安全区域管理 (21)3.3.1基于安全区域的隔离 (22)3.3.2可管理的安全区域 (22)3.3.3基于安全区域的策略控制 (22)3.3.4丰富的业务支撑 (23)3.4安全策略控制 (24)3.4.1灵活的规则设定 (24)3.4.2基于时间段的规则管理 (24)3.4.3高速策略匹配 (24)3.4.4MAC地址和IP地址绑定 (25)3.4.5动态策略管理-黑名单技术 (25)3.5基于状态检测的防火墙 (25)3.5.1基于会话管理的核心技术 (25)3.5.2深度检测 (26)3.5.3状态检测技术的优势 (27)3.6业务支撑能力 (27)3.6.1针对业务处理的难点 (27)3.6.2对多通道协议支持完善的安全保护 (29)3.6.3针对各种业务的数据流管理 (29)3.6.4业务支持的完整性 (30)3.6.5支持完善的多媒体业务 (30)3.6.6支持GTP协议................................................................................. 错误!未定义书签。
iWall应用防火墙
iWall应用防火墙技术白皮书目录第1章应用安全需求 (1)1.1来自W EB的攻击 (1)1.2网络安全设备 (3)1.3应用安全防护系统 (4)第2章产品原理和功能 (5)2.1 I W ALL概述 (5)2.2 I W ALL工作原理 (5)2.3 I W ALL功能 (7)第3章产品特点 (9)3.1安全性 (9)3.2高效性 (9)3.3灵活性 (9)3.4稳定性 (9)3.5广泛性 (10)3.6低成本 (10)3.7可扩充 (10)第4章产品组成和型号 (11)4.1产品组成和部署 (11)4.2平台支持 (12)4.3产品型号 (12)第5章常见应用层攻击简介 (13)5.1SQL数据库注入式攻击 (13)5.2脚本源代码泄露 (13)5.3非法执行系统命令 (13)5.4非法执行脚本 (13)5.5上传假冒文件 (14)5.6跨站脚本漏洞 (14)5.7网站资源盗链 (14)5.8不安全的本地存储 (14)图示目录图示2-1W EB服务器的体系结构 (5)图示2-2W EB系统核心内嵌模块的位置 (6)图示2-3应用防护模块 (6)图示4-1部署示意图 (11)表格目录表格4-1产品型号 (12)第1章应用安全需求1.1 来自Web的攻击1.1.1 危险的Web系统现代的信息系统,无论是建立对外的信息发布平台,还是建立内部的业务应用系统,都离不开Web网站和Web应用。
Web方式不仅给用户提供一个方便和易用的交互手段,也给信息和服务提供者构建一个标准技术开发和应用平台,可以预计在相当长的一段时间内,Web方式是网络应用的最主要方式之一。
但是,随着网络技术的普及和发展,Web应用越来越多,使用对象越来越广泛,系统功能越来越复杂,而与此同时,针对Web网站和应用的攻击越来越多。
仅从公开的媒体报导我们就能知道,以下针对Web网站和应用的安全事件全世界每天都在发生着:⏹非法上传网页;⏹篡改网页;⏹篡改数据库;⏹非法执行命令;⏹窃取脚本源程序;⏹窃取系统信息;⏹窃取用户信息;⏹绕过身份认证;⏹跨站提交虚假信息;⏹网站资源盗链;⏹拒绝服务攻击。
Hillstone下一代智能防火墙技术白皮书之增强的智能流量管理(iQoS)篇
Hillstone下一代智能防火墙技术白皮书之• 流量的划分不够精细,大部分QoS只能做到基于5元组的流量划分• 缺乏QoS管理手段,缺少直观可视,简单易用的QoS呈现• 优先级的处理效果有限,不能很好的保证关键业务优先调度处理• 剩余带宽不能得到合理有效的利用Hillstone T系列下一代智能防火墙独创的具有专利技术的增强的智能流量管理(iQoS),可以实现两层八级的管道嵌套以及更细粒度的流量控制,满足不同网络层次部署的需要,能够很好的解决传统QoS无法解决的问题。
制总P2P下载带宽30Mbps;这种配置很不灵活,其实是通过分别限制财务总监和普通员工的P2P下载带宽达到限制总P2P下载带宽30Mbps的目的。
iQoS两层流控的做法是:第一层流控基于用户进行控制,即限制财务总监带宽50Mbps、普通财务员工带宽30Mbps,第二层流控基于P2P应用进行控制,即将总的P2P下载速率限制到30Mbps。
这种处理很灵活,不需要分别限制财务总监和普通员工的P2P下载带宽,他们各自P2P的下载带宽不用设置成固定的值,经过第二层流控时很自然会将总的P2P下载速率限制到30Mbps。
两层流控工作流程如下图:第一层流控第二层流控图1 两层流控工作流程示意图2.1.2 单层四级嵌套Hillstone 增强的智能流量管理(iQoS )在每一层流控中,最多支持四级管道的嵌套。
流量会按照匹配条件,逐级匹配管道;未匹配到任何管道的流量,则进入预定义的默认管道。
每一级管道都有各自的匹配条件(rule )和流控动作,满足匹配条件的流量按照该管道配置的流控动作进行相应的流量控制。
匹配条件(rule )包括源安全域、源接口、源地址条目、目的安全域、目的接口、目的地址条目、用户/用户组、服务/服务组、应用/应用组、TOS 、Vlan ,可以根据一种条件来划分流量,如根据源地址条目;也可以根据多种条件组合来划分流量,多种条件之间是”与”的关系,如根据源接口、目的地址条目和应用HTTP ,即从指定的源接口到具体的目的地址的HTTP 流量,这样能够更加精细的划分流量。
USG6300E系列AI防火墙技术白皮书
华为USG6300E系列AI防火墙
(桌面型)
华为USG 6311E是为小型企业、行业分支、连锁商业机构设计开发的新一代桌面型防火墙设备。
除了传统防火墙管理模式,还支持云管模式。
云管模式为大量分支机构安全接入网络提供了即插即用、业务配置自动化、运维自动化可视化和网络大数据分析等优势。
自研网络处理芯片提供模式匹配以及加解密业务处理加速能力,使得防火墙处理内容安全检测、IPSec等业务的性能显著提升。
产品图
USG6300E系列AI 防火墙(桌面型)
华为USG6300E 系列AI 防火墙(桌面型)
6-2产品亮点
• 采用虚拟化架构,多业务融合,灵活集成第三方检测能力•降低Capex 80%
• 基于AI 技术的高级威胁检测,联动云端,威胁检测准确率大于99%
智能• 全新自研安全芯片,内置加速引擎 •处理性能提升至业界2倍
创“芯”创“芯”:基于ARM
的自研芯片,业务性能提升显著
加密引擎
创“芯”:
从“芯”开始,打造安全可信计算
华为USG6300E 系列AI 防火墙(桌面型)
6-3
融合:
可信可控的视频终端安全接入,威胁全网可视
海康安防业务
大华安防业务
可信接入、安全、易部署后续可扩展至其他物联终端认证突破后可实施第二道防线
深度防仿冒、防入侵持续更新安全能力
融合:云管理方式简化设备上线运维
华为USG6300E 系列AI 防火墙(桌面型)
6-4Software Features
华为USG6300E 系列AI 防火墙(桌面型)
6-5
产品规格
1. 无独立的WAN 接口,与业务口共用
订购信息。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
能士精品防火墙技术白皮书NESEC110-H SeriesNESEC110-M SeriesNESEC110-L SeriesVersion4.2有“能士”就有安全!四川川大能士信息安全有限公司SCU-NESEC INFOSEC CO., LTD.公司信息四川川大能士信息安全有限公司SCU-NESEC INFOSEC CO., LTD.成都市一环路南一段24号四川大学科技创新中心201邮编:610065电话:(86-028)66712184 66711475传真:(86-028)85403488网址: E-mail:cd@北京能士信息安全技术有限公司BEIJING NESEC INFOSEC TECHNOLOGY CO., LTD.北京市北三环西路43号当代青云大厦1504室邮编:100086电话:(86-010)88356851传真:(86-010)62135979转8032E-mail:bj@深圳市能士信息安全有限公司SHENZHEN NESEC INFOSEC CO., LTD.深圳市福田区八卦路众鑫大厦2209-2210邮编:518209电话:(86-0755)25887808 25884162传真:(86-0755)25884172E-mail:sz@服务与支持若您需要更详细的服务与技术支持,或有相关问题需要咨询解答,请按以下方式联系我们。
电话:(86-028)66712045 66712047传真:(86-028)85403488E-mail:support@版本说明本技术白皮书中所涉及到的相关说明、技术指标、硬件参数等内容随着产品硬件、软件的不断升级可能会发生改变,对此,能士公司保留修改的权利。
能士公司将不定期对本技术白皮书的内容进行更新,相关更新情况恕不另行通知,详情请向能士公司咨询。
能士千兆防火墙相关介绍、指标、参数请参见《能士千兆防火墙技术白皮书》。
版权声明本技术白皮书版权归四川川大能士信息安全有限公司所有,未经能士公司书面许可,任何单位或个人不得改变(包括删除、修改、增加等操作)本技术白皮书中的内容,否则,能士公司将追究相应责任。
目录1 序言 (6)2 产品概述 (7)3 产品组成 (8)3.1 能士防火墙(专用硬件) (8)3.2 能士防火墙管理器(专用软件) (8)3.3 能士防火墙串口管理器(专用软件) (8)4 产品主要功能特点 (9)4.1 状态检测包过滤功能 (9)4.2 完善的访问控制功能(Access Control List) (9)4.3 基于用户的控制功能 (9)4.4 完善的网络地址转换(NAT)功能 (9)4.4.1 源地址转换 (9)4.4.2 目的地址转换 (10)4.4.3 一对一地址转换(静态NAT) (10)4.5 提供独立DMZ区 (10)4.6 MAC与IP地址绑定功能 (10)4.7 高级路由功能 (11)4.8 面向对象的管理机制 (11)4.9 完善的分级权限管理功能 (11)4.10 支持多种认证功能 (11)4.11 丰富的内容安全过滤功能 (12)4.12 完善的日志记录与审计分析功能 (12)4.13 全面的安全策略与配置备份、恢复功能 (13)4.14 自动告警功能 (13)4.15 提供对防火墙运行状态监控功能 (13)4.16 内嵌式网络入侵检测(IDS)功能 (13)4.17 支持入侵检测联动功能扩展 (14)4.18 支持双机热备扩展 (14)4.19 支持VPN功能扩展 (15)4.20 支持移动用户远程VPN接入与管理 (16)4.21 带宽管理功能 (17)4.22 嵌入式安全系统内核 (17)4.23 支持路由及透明桥工作模式 (18)4.24 支持远程集中管理模式 (18)4.25 支持多种管理模式 (18)4.26 支持多种网络协议 (19)4.27 专用能士安全网络管理协议(NSNMP) (19)4.28 支持SNMP管理协议 (19)4.29 支持长连接应用 (19)4.30 强大的抗网络攻击和自我保护能力 (20)4.31 灵活的升级扩展模式 (20)5 技术指标 (21)6 资质荣誉 (22)7 典型应用 (23)7.1 能士防火墙典型应用之一 (23)7.2 能士防火墙典型应用之二 (23)7.3 能士防火墙典型应用之三 (24)1 序言在Internet迅速发展的今天,每个网络用户都非常关注如何能够高效、高质量、安全地在网络上开展自己的业务。
传统的Internet作为一种开放式的互连网络由于其连接的方便性已越来越成为人们的依赖,但另一方面,随着应用的不断深入,原有的TCP/IP协议逐渐暴露出来的安全问题已越来越不能适应一些新业务(如电子政务、电子商务、电视会议、IP电话等)在安全性等方面的要求。
与此同时,在人们对网络的依赖程度越来越大的同时,因为安全问题而使其造成的损失也在不断的增加,网络安全问题已成为我们不可忽视的一个重要问题。
如今,防火墙已成为最成熟、最基本的网络安全产品之一。
在全球有大量用户在广泛的使用,它已成为众多用户选择网络安全保障措施的必然之选。
作为国内优秀的信息安全系统解决方案提供商,四川川大能士信息安全有限公司长期致力于为客户提供完善的整体安全解决方案。
从安全体系设计到产品选择,从基础理论研究到产品开发,川大能士公司都具有非常雄厚的技术实力。
四川川大能士信息安全有限公司作为国内最早从事信息安全领域的技术研究、产品开发的专业公司之一,早在安全问题尚未充分暴露的时候,与国内权威研究机构合作,利用所掌握的国际先进技术,按照软件工程的原理,由公司多名专业开发人员组成的优秀团队协同工作,自主研制、开发出了专用的硬件防火墙系列产品——“能士防火墙”系列。
作为专用的网络安全产品,能士防火墙可以为政府、金融、证券、税务、企事业网络提供强大的安全保护措施,并能有效抵御来自外部网络的攻击、防止不法分子的入侵,为用户提供完善的安全保障。
能士防火墙属于专用的硬件防火墙,通过能士工程师的不懈努力,将专业硬件平台与嵌入式操作系统完美结合,造就全新一代的能士防火墙系列产品。
能士防火墙主要分为以下几大系列(千兆防火墙不在此范围):●H series(H系列)具有百兆网络接口、百兆线速性能的高性能、高稳定性防火墙。
适合大流量、大用户规模、复杂网络环境下的应用。
如政府、金融、通信、电力、军队等高端用户。
●M series(M系列)具有百兆网络接口、百兆性能的标准百兆防火墙。
适合用户规模、流量普通的网络环境下的应用。
如政府、工商、税务、电力、卫生医疗、企业等普通用户。
●L series(L系列)具有百兆网络接口、十兆线速性能的高稳定性防火墙。
适合小流量、少量用户、简单网络环境下的应用。
如教育、地方政府、企业、行业等低端用户。
能士防火墙系统由三部分组成:●能士防火墙(专用硬件);●能士防火墙管理器软件;●能士防火墙串口管理器软件;3.1 能士防火墙(专用硬件)能士防火墙采用特殊设计的专用硬件结构平台和嵌入式专用操作系统,通过能士公司数十位研发专家的共同努力,完美造就全新能士精品防火墙。
能士精品防火墙根据产品系列划分的不同,也具有不同的硬件结构,包括IU非机架式结构、1U机架式结构、2U机架式结构、4U机架式结构等多种形式。
在硬件结构上,全部采用抗震设计,并通过一系列的技术措施保障产品的稳定可靠。
通过专用的嵌入式操作系统平台,实现能士防火墙性能的最优化。
同时,通过ISO9001:2000质量认证体系认证的生产工艺与管理,严格保障每一台能士防火墙的产品质量。
3.2 能士防火墙管理器(专用软件)能士防火墙管理器是一套能士防火墙的专用管理软件,安装并运行在Microsoft Windows NT、Windows 2000 Series、Windows XP操作系统上,采用直观、简洁的交互式图形界面,实现对能士防火墙的网络管理。
通过能士防火墙管理器软件可完成对防火墙的系统配置、参数修改、状态查询、审计等多种功能。
3.3 能士防火墙串口管理器(专用软件)能士防火墙串口管理器是能士防火墙的初始网络参数配置软件,安装并运行在Microsoft Windows NT、Windows 2000 Series、Windows XP操作系统上,采用直观、简洁的交互式图形界面,实现对能士防火墙的初始参数设置、网络故障恢复、配置错误恢复等功能。
4 产品主要功能特点4.1 状态检测包过滤功能传统的包过滤防火墙由于无法实现对网络通信的细粒度控制以及在高性能网络状态下的应用,已逐渐被淘汰,取而代之的是采用状态检测技术的包过滤防火墙。
通过状态检测技术,对通过防火墙的网络连接根据预先设置的访问控制规则进行匹配,并将匹配结果保存到状态控制列表之中。
对同一网络连接的后续数据包则根据状态列表的匹配结果自动判断该数据包是否允许穿过防火墙。
由于在网络通讯中,一个网络连接所包含的往往都是大量的、具有相同特性的数据包,状态检测包过滤防火墙不再像传统的包过滤防火墙那样对每一个数据包进行规则匹配,因而大大提高了防火墙的网络性能。
全新的能士精品防火墙采用当今最新的基于状态检测包过滤技术,实现细粒度的访问控制和高速的网络性能。
4.2 完善的访问控制功能(Access Control List)作为防火墙产品的基本功能之一,能士防火墙拥有完善的访问控制(ACL)功能,能针对源/目的IP地址、协议、服务、源/目的端口、用户、方向、时间、接口等因素制订详细的安全策略,实现细粒度的访问控制,充分保障用户网络安全。
4.3 基于用户的控制功能全新能士防火墙具有基于用户/用户组的访问控制功能。
很多用户在使用防火墙的时候,很容易被复杂的ACL配置规则、ACL规则顺序及参数所疑惑,而没有专业的网络和安全知识,很难实现对ACL的完美配置,往往配置的ACL规则或多或少的存在规则不合理、逻辑错误、遗漏等问题。
能士防火墙在传统的ACL基础上引入对“用户”控制的管理模式,可以很方便的实现对ACL的设置。
通过将IP、MAC与人为定义的“用户”名称像对应,再将相同类型的用户组成“用户组”,然后将常见的网络服务与协议端口进行对应(如WWW服务对应80端口、邮件服务对应25端口和110端口、FTP服务对应21端口等),根据用户或用户组再按照网络服务进行访问控制规则的设置,快速、简单的实现对ACL规则的设置。
4.4 完善的网络地址转换(NAT)功能能士防火墙提供完善的网络地址转换功能,包括源地址转换、目的地址转换、一对一地址转换。
4.4.1 源地址转换故名思意,源地址转换功能即是内部网络的主机在对外部网络进行访问时,由防火墙对源IP地址进行转换,并由转换后的IP地址对外进行访问。