深信服应用防火墙参数
深信服虚拟化 Web 应用防火墙云 WAF 用户手册说明书
深信服虚拟化Web应用防火墙云WAF 用户手册产品版本8.0.28文档版本 01发布日期2021-03-12深信服科技股份有限公司版权所有©深信服科技股份有限公司 2020。
保留一切权利。
除非深信服科技股份有限公司(以下简称“深信服公司”)另行声明或授权,否则本文件及本文件的相关内容所包含或涉及的文字、图像、图片、照片、音频、视频、图表、色彩、版面设计等的所有知识产权(包括但不限于版权、商标权、专利权、商业秘密等)及相关权利,均归深信服公司或其关联公司所有。
未经深信服公司书面许可,任何人不得擅自对本文件及其内容进行使用(包括但不限于复制、转载、摘编、修改、或以其他方式展示、传播等)。
注意您购买的产品、服务或特性等应受深信服科技股份有限公司商业合同和条款的约束,本文档中描述的全部或部分产品、服务或特性可能不在您的购买或使用范围之内。
除非合同另有约定,深信服科技股份有限公司对本文档内容不做任何明示或默示的声明或保证。
由于产品版本升级或其他原因,本文档内容会不定期进行更新。
除非另有约定,本文档仅作为使用指导,本文档中的所有陈述、信息和建议不构成任何明示或暗示的担保。
前言关于本文档本文档针对深信服虚拟化Web应用防火墙产品,介绍了云WAF的架构、特性、安装和运维管理。
产品版本本文档以下列产品版本为基准写作。
后续版本有配置内容变更时,本文档随之更新发布。
读者对象本手册建议适用于以下对象:⚫网络设计工程师⚫运维人员符号约定在本文中可能出现下列标志,它们所代表的含义如下。
在本文中会出现图形界面格式,它们所代表的含义如下。
修订记录修订记录累积了每次文档更新的说明。
最新版本的文档包含以前所有文档版本的更新内容。
资料获取您可以通过深信服官方网站获取产品的最新资讯:获取安装/配置资料、软件版本及升级包、常用工具地址如下:深信服科技深信服技术服务技术支持用户支持邮箱:*******************.cn技术支持热线电话:400-630-6430(手机、固话均可拨打)深信服科技服务商及服务有效期查询:https:///plugin.php?id=service:query意见反馈如果您在使用过程中发现任何产品资料的问题,可以通过以下方式联系我们。
深信服防火墙功能介绍
深信服防火墙功能培训
培训内容 防火墙基本功能介绍
NAT代理上网
端口映射
培训目标 1.掌握防火墙规则的作用 2.掌握代理上网功能的作用 3.掌握端口映射功能的作用 1.掌握代理上网功能的作用及配置,能根据客 户的需求完成代理上网规则设置
动动手
某客户网络拓扑如右图所示,客户 内网有台邮件服务器,申请的域名 是,该域名绑定 了WAN口的两个公网IP地址。 请配置实现公网和内网用户均可通 过这个域名收发邮件。
WAN1:202.96.137.75 WAN2:129.212.36.5 LAN:172.16.1.3/24
WAN1:202.96.137.75 LAN:172.16.1.3/24
172.16.1.1/24 192.200.1.1/24 192.200.2.1/24
IP: 192.200.2.250/24 GW:192.200.2.1
端口映射典型应用案例及配置
配置思路:
1. 设置端口映射规则,即把目标IP为202.96.137.75,且目标端口为TCP 8000的数据转换目标IP为192.200.2.250,目标端口为TCP 80。
SNAT IP1
IP4
WAN:IP4 LAN:IP3
IP1
IP2
代理上网典型应用案例及配置
客户案例:
某客户新建一个工厂,需要 规划网络和建设机房,购买 了一台SANGFOR AC设备部 署在公网出口,代理内网上 网,同时做上网控制。 工厂内部上网的电脑全都在 192.200.1.0/24网段,服务 器都在192.200.2.0/24网段。
深信服防火墙实施方案
深信服防火墙实施方案一、引言随着信息技术的不断发展,网络安全问题日益凸显。
作为企业网络安全的重要组成部分,防火墙在网络安全防护中起着至关重要的作用。
深信服防火墙作为国内领先的网络安全解决方案提供商,其实施方案备受企业青睐。
本文将针对深信服防火墙的实施方案进行详细介绍,旨在帮助企业更好地了解深信服防火墙,并有效实施。
二、深信服防火墙概述深信服防火墙是一种基于硬件和软件的网络安全设备,用于监控和控制网络流量。
其主要功能包括对网络数据包进行过滤、监控和记录网络流量,以及实施访问控制策略。
深信服防火墙采用了先进的技术和算法,能够有效防范各类网络攻击,保护企业网络安全。
三、深信服防火墙实施方案1. 网络安全需求分析在实施深信服防火墙之前,企业需要进行网络安全需求分析,全面了解企业的网络拓扑结构、业务特点、安全风险等情况。
通过对网络安全需求的分析,可以为后续的防火墙实施提供重要参考。
2. 防火墙规划设计在网络安全需求分析的基础上,企业需要进行防火墙的规划设计工作。
这包括确定防火墙的部署位置、网络分区、安全策略、访问控制规则等。
深信服防火墙支持多种部署方式,包括边界防火墙、内网防火墙、虚拟专用网(VPN)等,企业可以根据自身需求选择合适的部署方式。
3. 防火墙设备采购与部署根据防火墙规划设计方案,企业可以进行深信服防火墙设备的采购与部署工作。
深信服防火墙提供了多款型号的产品,企业可以根据自身网络规模和安全需求选择合适的防火墙设备。
在设备部署过程中,需要严格按照厂商提供的部署指南进行操作,确保防火墙设备能够正常工作。
4. 安全策略配置安全策略配置是深信服防火墙实施的关键环节。
企业需要根据实际安全需求,制定合理的安全策略,并在防火墙设备上进行配置。
安全策略包括访问控制规则、应用层代理、虚拟专用网配置等内容,需要根据企业的实际情况进行定制化配置。
5. 网络性能优化在防火墙实施完成后,企业需要对网络性能进行优化。
深信服防火墙支持多种性能优化功能,包括带宽管理、流量优化、负载均衡等,可以帮助企业提升网络性能,提高用户体验。
深信服应用防火墙参数
支持多个内部地址映射到同一个公网地址、多个内部地址映射到多个公网地址、内部地址到公网地址一一映射、源地址和目的地址同时转换、外部网络主机访问内部服务器、支持DNS映射功能
可配置支持地址转换的有效时间
支持多种NAT ALG,包括DNS、FTP、H.323、SIP等
IPSecVPN功能
支持AES、DES、3DES、MD5、SHA1、DH、RC4等算法,并且支持扩展国密办SCB2等其他加密算法支持MD5及SHA-1验证算法
病毒库数量
支持10万条以上的病毒库,并且可以自动或者手动升级
流控
应用特征识别库
*支持对1000种以上应用2000种以上的应用动作(需提供截图证明)
应用流控
*支持基于应用类型划分与带宽分配
网站流控
*支持基于网站类型的划分与带宽分配
文件流控
支持基于文件类型划分与分配带宽
WEB安全防护
URL过滤
*对用户web行为进行过滤,保护用户免受攻击;支持只过滤HTTP GET、HTTP POST、HTTPS等应用行为;并进行阻断和记录日志
文件类型过滤
*支持针对上传、下载等操作进行文件过滤;支持自定义文件类型进行过滤;支持基于时间表的策略制定;支持的处理动作包括:阻断和记录日志
ActiveX过滤
*支持基于签名证书的ActiveX过滤;支持添加白名单和合法网站列表;支持基于应用类型的ActiveX过滤,如视频、在线杀毒、娱乐等;
脚本过滤
抗攻击特性
支持防御Land、Smurf、Fraggle、WinNuke、Ping of Death、Tear Drop、IP Spoofing、SYN Flood、ICMP Flood、UDP Flood、DNS Query Flood、ARP欺骗攻击防范、ARP主动反向查询、TCP报文标志位不合法攻击防范、支持IP SYN速度限制、超大ICMP报文攻击防范、地址/端口扫描的防范、DoS/DDoS攻击防范、ICMP重定向或不可达报文控制等功能,此外还支持静态和动态黑名单功能、MAC和IP绑定功能
深信服下一代防火墙AF1520招标参数
产品成熟度要求
★要求所投产品Web应用防护能力经过国际知名实验室NSS Labs测试,并获得recommended推荐级别;(提供NSS Labs相关测试报告并加盖厂商公章)
要求所投品牌下一代防火墙产品正式发布时间超过3年以上;(提供互联网上第三方媒体对厂商正式发布产品的相关报道截图并加盖厂商公章)
★支持Web漏洞扫描功能,可扫描WEB网站SQL注入、XSS、跨站脚本、目录遍历、文件包含、命令执行等脚本漏洞;(需提供截图证明并加盖厂商公章)
支持asp/aspx/php/jsp等主流webshell后门扫描功能;(需提供扫描工具)
支持Php常见sql注入、xss跨站脚本、命令执行、文件包含等脚本漏洞白盒审计功能,显示出具体漏洞类型、存在问题代码所在行数(需要提供截图并加盖厂商公章)
Web攻击特征库/IPS特征库应每月至少更新两次(要求提供官网最近1年内的截图证明)
APT攻击防护(高级威胁防护)
★支持对客户端/服务器是否被种植了远控木马或者其他病毒,恶意软件从而形成僵尸主机进行检测,僵尸主机识别特征总数在30万条以上;(需提供截图证明并加盖厂商公章)
★支持异常连接检测,对21,22,25,53,69,80/8080,110,143,443等常见端口的协议异常流量检测,并支持RDP和SSH端口反弹链接检测;(需提供截图证明并加盖厂商公章)
支持HTTP应用信息隐藏,可自定义需要隐藏信息的HTTP响应参数字段,支持替换服务器出错和请求出错响应页面,支持FTP应用服务器信息、软件版本信息隐藏;
★支持Web登录密码明文传输检测和弱口令防护,支持针对Web页面和ftp的口令暴力破解防护;(需提供截图证明并加盖厂商公章)
深信服应用防火墙参数
支持10万条以上的病毒库,并且可以自动或者手动升级
流控
应用以上的应用动作(需提供截图证明)
应用流控
*支持基于应用类型划分与带宽分配
网站流控
*支持基于网站类型的划分与带宽分配
文件流控
支持基于文件类型划分与分配带宽
WEB安全防护
URL过滤
*对用户web行为进行过滤,保护用户免受攻击;支持只过滤HTTP GET、HTTP POST、HTTPS等应用行为;并进行阻断和记录日志
抗攻击特性
支持防御Land、Smurf、Fraggle、WinNuke、Ping of Death、Tear Drop、IP Spoofing、SYN Flood、ICMP Flood、UDP Flood、DNS Query Flood、ARP欺骗攻击防范、ARP主动反向查询、TCP报文标志位不合法攻击防范、支持IP SYN速度限制、超大ICMP报文攻击防范、地址/端口扫描的防范、DoS/DDoS攻击防范、ICMP重定向或不可达报文控制等功能,此外还支持静态和动态黑名单功能、MAC和IP绑定功能
一、性能及配置要求
AF-1320-L对应NS-SecPath U200-A
项目
指标
具体功能要求
接口
电口
具备至少6个10/100/1000 Base-T 千兆电口
Bypass
*支持故障时Bypass功能(1路)
技术
规范
安装空间
标准1U机架尺寸
储存温度
-20℃~70℃
相对湿度
5~95%(无凝结状态)
性能
智能策略联动
*风险评估可以实现与FW、IPS、服务器防护模块的智能策略联动,自动生成策略(需提供截图证明)
AF防火墙参数:全系列型号
国内下一代防火墙第一品牌
深信服下一代防火墙(Next-Generation Application Firewall)NGAF是面向应用层设计,能够精确识别用户、应用和内容,具备完整安全防护能力,能够全面替代传统防火墙,并具有强劲应用层处理能力的全新网络安全设备。
NGAF 解决了传统安全设备在应用识别、访问控制、内容安全防护等方面的不足,同时开启所有功能后性能不会大幅下降。
区别于传统的网络层防火墙,NGAF具备L2-L7层的协议的理解能力。
不仅能够实现网络层访问控制的功能,且能够对应用进行识别、控制、防护,解决了传统防火墙应用层控制和防护能力不足的问题。
区别于传统DPI技术的入侵防御系统,深信服NGAF具备深入应用内容的威胁分析能力,具备双向的内容检测能力为用户提供完整的应用层安全防护功能。
同样都能防护web攻击,与web应用防火墙关注web应用程序安全的设计理念不同,深信服下一代防火墙NGAF 关注web系统在对外发布的过程中各个层面的安全问题,为对外发布系统打造坚实的防御体系。
深信服AF防火墙第二层透明模式下配置
深信服AF防火墙第二层透明模式下配置在配置深信服AF防火墙第二层透明模式之前,首先需要进行以下准备工作:1.网络拓扑规划:确定防火墙的放置位置和与其他网络设备的连接方式,以便合理规划网络流量的监控和策略的下发。
2.IP地址规划:为防火墙的透明模式接口和管理口分配合适的IP地址,并与网络中的其他设备进行地址配置的协调。
3.网络访问策略:根据实际需求和网络安全要求,定义合适的网络访问策略,包括访问控制列表(ACL)、安全策略、NAT等,以确保网络流量的安全性和合规性。
下面是深信服AF防火墙第二层透明模式的配置步骤及相关解释:1.登录防火墙:使用浏览器访问深信服AF防火墙的管理页面,并使用管理员账号进行登录。
2.配置接口:选择"网络"-"接口",点击“新增”,配置透明模式接口的相关参数,包括名称、物理接口、IP地址、子网掩码等。
3.绑定端口:选择"网络"-"端口",选择待绑定的物理接口,点击“绑定”,将透明模式接口与物理接口进行绑定。
4.配置VLAN:如果需要对网络流量进行VLAN隔离,选择"网络"-"VLAN",点击“新增”,配置VLAN的相关参数,包括名称、VLANID、IP 地址等。
5.配置物理链路:选择"网络"-"链路",点击“新增”,配置物理链路的相关参数,包括名称、绑定接口、链路类型等,以将不同的物理接口绑定为一组进行负载均衡和冗余备份。
6.配置网络ACL:选择"策略"-"网络ACL",点击“新增”,配置ACL规则,包括源IP、目的IP、协议、端口等,以定义允许或禁止的网络流量。
7.配置安全策略:选择"策略"-"安全策略",点击“新增”,配置安全策略规则,包括源地址、目的地址、应用、行为等,以定义网络流量的安全检查和处理方式。
深信服、华为、花三防火墙对比情况
7090.27
3 H3C
secPath F100-AG2
企业级防火墙
6个GE端口
1个配置口 (CON),1 个备份口 (AUX),7F E,1个MIM 插 槽,F:16MB, ddr SDRAM:256 MB
L2TP VPN GRE VPN IPSec/IKE SSL VPN
支持对黑客攻击、蠕虫 /病毒、木马、恶意代 码、间谍软件/广告软 件、DoS/DDoS常等攻 击的防御 支持缓冲区溢出、SQL 注入、IDS/IPS逃逸等 攻击的防御 支持对BT等P2P/IM识 别和控制 支持攻击特征库的分类 (根据攻击类型、目标 机系统进行分类)、分 级(分高、中、低、提 示四级)
1 深信服 AF-1020
下一代防火墙
6个电口
无
隧道数:500 无 加密速度:150M
无
2 华为
USG6306 下一代防火墙
4GE+2Combo
固定接口V) 数据防泄漏(DLP) 上网行为管理&审计 基于应用的QoS优化 负载均衡 Anti-DDoS
智能策略管理
产品形态:1U 4GB内存 扩展槽位:2*WSIC HDD:选配300GB单硬盘,支持热插拔 集成传统防火墙、VPN、入侵防御、防病 FW最大并发 防火墙吞吐量 毒、数据防泄漏、带宽管理、Anti-DDoS 800,000 600 Mbit/s 、URL过滤、反垃圾邮件等多种功能。 SSL VPN并发用户 IPSec吞吐量 支持服务器负载均衡和链路负载均衡。 数 300 350Mbit/sMbps 支持基于业务的策略路由,在多出口场 景下可根据多种负载均衡算法(如带宽 比例、链路健康状态等)进行智能选路 。充分利用现有网络资源。 应用层安全、网络层安全、用户认证、 安全虚拟化、QoS优化
深信服防火墙解决方案
深信服防火墙解决方案
《深信服防火墙解决方案》
深信服是国内领先的网络安全解决方案提供商,其防火墙解决方案以其卓越的性能、强大的功能和可靠的安全性而广受赞誉。
深信服防火墙解决方案集成了先进的技术和丰富的经验,为企业打造了一道坚固的网络防线。
深信服防火墙解决方案的首要功能是入侵检测和防御,它能够及时发现并阻止恶意攻击,保护企业网络不受外部威胁侵害。
其次,该解决方案还包括流量过滤、应用控制、内容过滤等功能,可以有效管理网络流量,提高网络带宽利用率,防止网络滥用和泄密风险。
此外,深信服防火墙解决方案还支持灵活的部署方式,可以满足不同规模企业的需求。
无论是基于软件的虚拟防火墙,还是硬件设备的物理防火墙,都能够为企业提供全面的网络安全保障。
而且,深信服防火墙解决方案还具备高可靠性和可扩展性,能够适应企业业务的不断变化和扩展。
总的来说,《深信服防火墙解决方案》以其强大的安全功能、灵活的部署方式和可靠的性能,为企业用户提供了一套完善的网络安全解决方案。
在当前复杂多变的网络环境下,选择深信服防火墙解决方案将是企业维护网络安全的明智选择。
深信服AC性能参数
AC1800 800-1500 1Gbps 900,000 无限制 无限制 无限制 UTM参数 180Mbps 110封/S 80封/S IPsec VPN参数 370Mpbs 5200条 0.1ms 6400条 功能模块 有 有 有 硬件参数 无
AC2000 1000-2500 1.2Gbps 1,000,000 无限制 无限制 无限制 250Mbps 130封/S 100封/S 400Mbps 6000条 0.1ms 8000条 有 有 有 默认无、定制有
AC1100 内网用户数 防火墙吞吐量 最大并发会话数目 最大防火墙规则数目 最大URL匹配数目 最大时间规则数目 杀毒速度 病毒邮件扫描速度 垃圾邮件扫描速度 IPSec VPN 加密速度 加密算法AES 128bits IPSec VPN隧道数 IPSec VPN 转发时延 并发IPSec客户端数 多线路 IPS功能 IPSEC VPN 冗余电源 工作环境 平均无故障时间 工作湿度 工作温度 0-100 70Mbps 60,000 无限制 无限制 无限制 20Mbps 16封/S 10封/S 30Mbps 1500条 0.3-0.5 ms 1500条 有 无 另外收费 无
5~95%,非冷凝 5~95%,非冷凝 5~95%,非冷凝 5~95%,非冷凝 5~95%,非冷凝 5~95%,非冷凝 -10~ 50 ℃ 40000h -10~ 50 ℃ 40000h -10~ 50 ℃ 40000h -10~ 50 ℃ 40000h -10~ 50 ℃ 40000h -10~ 50 ℃ 40000h
AC2200 2000-5000 1.5 Gbps 1,200,000 无限制 无限制 无限制 500Mbps 150封/S 120封/S 438Mbps 10000条 0.1ms 10000条 有 有 有 有
深信服防火墙路由接口配置案例
深信服防火墙路由接口配置案例路由接口的典型应用环境是将SANGFOR NGAF 设备以路由模式部署在公网出口,代理内网上网,像一个路由器一样部署在网络中,如下图所示:配置案例:某用户网络是跨三层的环境,购买NGAF 设备打算部署在公网出口,代理内网用户上网,公网线路是光纤接入固定分配IP 的。
第一步:通过管理口(ETH0) 的默认IP 登录设备。
管理口的默认IP 是10.251.251.251/24 ,在计算机上配置一个相同网段的IP 地址,通过https://10.251.251.251 登录设备。
第二步:配置外网接口,通过『网络』→『接口/区域』,点击需要设置成外网接口的接口,如eth2,出现以下页面:接口[类型]选择路由。
[基本属性]可以设置是否为WAN 口和允许PING。
如果是WAN 口,是否与IPSEC VPN 出口线路匹配。
连接上行链路的接口需要勾选WAN 口。
[区域]选择接口eth2 所属的区域。
区域需要提前设置,本例将ETH2 划入WAN 区域,对于区域的设置请参考章节3.3.1.5 区域设置。
选择配置IPv4 地址:[连接类型]包括静态IP、DHCP、ADSL 拨号三种,根据该线路的特征进行配置,如果选择静态IP,需要填写好IP 地址/掩码以及下一跳网关;如果该接口是DHCP 自动获得地址,则设置DHCP;如果线路是ADSL 拨号,则配置好拨号所需的用户名、密码和其他拨号参数。
静态IP 地址可以填写成“IP/掩码”和“IP/掩码-HA”两种形式,后一种形式表示同步网口配置时,不同步IP 地址,“IP/掩码-HA”的形式适用于NGAF 设备双机部署的环境。
本案例中外网接口连接的是静态IP 的光纤线路,所以选择静态IP,并且配置ISP 提供给该光纤线路的公网IP 地址和下一跳网关。
[线路带宽]设置公网链路的上下行带宽。
点击可以修改带宽单位,包括KB/s,MB/s,GB/s。
[链路故障检测]用于检测链路的好坏。
深信服应用防火墙参数
*支持提供管理员业务操作界面与网管管理界面分离功能,方便业务人员更新网站内容
支持各种NAT网络环境下的VPN组网
支持第三方标准IPSec VPN进行对接
*总部与分支有多条线路,可在线路间一一进行IPSecVPN隧道建立,并设置主隧道及备份隧道,对主隧道可进行带宽叠加、按包或会话进行流量平均分配,主隧道断开备份隧道自动启用,保证IPSecVPN连接不中断;可为每一分支单独设置不同的多线路策略;单臂部署下同样支持多线路策略(提供自主知识产权证明)
一、性能及配置要求
AF-1320-L 对应NS-SecPath U200-A
项目
指标
具体功能要求
接口
电口
具备至少6个10/100/1000 Base-T 千兆电口
Bypass
*支持故障时Bypass功能(1路)
技术
规范
安装空间
标准1U机架尺寸
储存温度
-20℃~70℃
相对湿度
5~95%(无凝结状态)
性能
策略制定
配置选项:可设置源、目的区域、目的IP和端口号,端口号支持设置Web应用、FTP、mysql、telnet、ssh服务的端口号
文件上传过滤
*严格控制上传文件类型,检查文件头的特征码防止有安全隐患的文件上传至服务器,并支持结合病毒防护、插件过滤等功能检查文件安全性
其他应用防护
* ftp弱口令防护、telnet弱口令防护
设备资源信息
提供设备实时CPU、内存、磁盘占用率、会话数、在线用户数、网络接口等信息
联动封锁源IP
*提供实时智能模块间联动封锁的源IP以便实现动态智能安全管理(需提供截图证明)
流量状态
实时提供IP流量、应用流量排名、流量管理状态、DHCP状态、在线用户管理
深信服防火墙实施方案
深信服防火墙实施方案深信服防火墙实施方案随着企业网络的规模扩大和网络威胁的不断增加,构建一个安全可靠的网络环境已成为每个企业必须考虑的重要问题。
深信服防火墙作为一种保护企业网络安全的有效工具,具有高性能、多功能和易管理的特点,备受企业青睐。
下面是深信服防火墙的实施方案:1.需求分析:在实施深信服防火墙之前,需要对企业的网络环境和需求进行全面分析,包括网络规模、网络拓扑结构、用户数量、流量特点等。
根据需求分析的结果,确定实施深信服防火墙的具体方案。
2.防火墙选型:根据需求分析的结果,选取适合企业实际情况的深信服防火墙产品。
深信服防火墙产品具有多款型号,可以根据企业的需求选择合适的型号,包括入侵检测与防御、内容过滤、WEB应用加速、VPN等功能。
3.网络规划:在实施深信服防火墙之前,需要进行网络规划,包括配置网络地址、划分子网、设定网络访问策略等。
网络规划的目的是为了确保深信服防火墙可以有效地检测和阻止网络攻击,并保证正常的网络通信。
4.防火墙部署:在进行防火墙部署时,需要根据企业的网络环境和需求确定部署的位置和方式。
一般情况下,可以将深信服防火墙配置为网关防火墙或边界防火墙,用于保护企业网络和外部网络之间的通信。
5.安全策略设置:在深信服防火墙中设置安全策略,包括配置访问控制规则、应用层协议控制、应用服务控制等。
安全策略的设置是为了保护企业网络不受未经授权的访问和攻击,同时允许合法用户进行正常的网络访问。
6.性能优化:在深信服防火墙部署后,可以通过优化配置和调整参数,提高防火墙的性能和效果。
具体包括调整缓冲区大小、优化安全策略、增加硬件资源等。
7.监控和管理:在深信服防火墙部署后,需要进行监控和管理,及时发现和处理网络攻击。
可以通过日志审计、告警系统、实时监控等手段,对防火墙进行管理和维护。
总结:深信服防火墙作为一种保护企业网络安全的重要工具,其实施方案包括需求分析、防火墙选型、网络规划、防火墙部署、安全策略设置、性能优化和监控和管理等。
防火墙参数
H3CF1000--AK115
?1U机架式,防火墙吞吐量:三层 七层 400Mbps;并发连接数:50万;每秒新建连接数:2万;支持多种管理方式:Web、Console、Telnet、SSH;完整支持L2TP、IPSec/IKE、GRE、SSL等协议;其中支持IPSec隧道:750个 吞吐量:400M;支持SSL vpn并发用户:500个 吞吐量:200M;支持L2TP/GRE隧道数:500个;8个千兆电口+2个Combo,500G存储介质,单电源
15.可对详细的URL访问日志、NAT日志进行纪录
16.支持基于私有的双机热备协议,可同步会话和配置
17.设备操作界面上保存不少于5个配置文件,可指定启动使用的配置文件、配置文件的备份与恢复,每个配置文件都可进行中文备注。
18.19、通过手机APP能够对多台设备集中监控,支持收集多设备CPU、内存、流量数据做实时展示和历史趋势展示; 支持用户流量和应用流量 TOP10排名展示; 支持威胁事件收信息的收集和展现; 支持用户定义告警规则,配置CPU利用率、内存利用率、流量过界做为触发条件; 可以邮件、短信、手机端消息通知方式发送告警信息; 支持将设备事件日志上传云端进行存储,可按条件查询; 支持报表功能和云端存储,可自定义报表模板及生成计划; 支持安卓手机APP、WEB访问方式。
7.支持基于数据包的安全域、地址、用户及用户组、MAC、端口号、服务、域名等进行安全策略控制,支持将源MAC作为独立的访问控制条件,防止非法设备接入
8.支持根据规则序号、规则名、源地址、目的地址、入侵防护策略、服务、认证用户、认证用户组、所属策略组、备注进行规则查询;支持对Oracle、SQL-Server、DB2、Informix、Sybase、MySQL等常见数据库
深信服应用防火墙简介
产品觃划期6次 评実 产品设计期10次 评実 产品编码期4次 评実
产品测试实验室设备超600台
测试人员不开发人员比例1:2,国内最高标准 8轮 软件测试,确保产品交付癿高品质
深信服科技:服务体系
36 个城市,设立直属办事处 8 个大区备品备件库 60 坐席的CTI呼叫中心
深信服科技:宠户满意
服务理念 宠户至上 满意第一
代 理
SG
更多威胁
威胁丌仅在OS和服务器软件中
• 浏觅网页,无意下载恶意脚本、越权ActiveX控件等; • 看似正常癿Web交互,黑宠却注入SQL,篡改网页;
攻击转为信息窃取
• 假冒中行网银,血洗数千万资金; • 1800万台电脑形成全球最大僵尸网络;
网络丌仅是黑白癿
• Skype:该放行还是阻止呢? • QQ:开展业务所需,但传文件而泄密,怎么办?
从几个数据包中识 别出应用特征
基于连接状态癿信息
• 识别600多种网络协议,包括QQ、迅雷等应用协议,及 HTTP-Get、HTTP-Proxy、FTP命令等传统协议癿细化识别
1.应用识别不控制
传 统 代 理
代 理
SG
2.内容安全保护
• 解析Data字段,实现:
– – – – – 查杀潜藏癿病毒 过滤非法URL地址 过滤挃定类型文件 过滤恶意ActiveX控件 过滤危险脚本
“深信服”在‘满足用户 需求’和‘ROI’两项均获 得突出得分,说明深信服 癿努力和提供癿服务获得 了中国用户癿认可。
谢谢
与您携手,共同成长
深圳市南山区麒麟路1号 科技创业中心4楼
Add: 4th Floor, Incubation Center, No.2Qilin Road, Nanshan District, Shenzhen P.C.:518052 Tel:+86-755-2658 1949 Fax:+86-755-2658 1959 Email:master@
深信服参数表
深信服参数表产品型号硬件参数深信服AF-9070-05标配8个千兆电口,8个千兆光口,4个万兆光口,2个高速USB2.0接口,1个RJ45串口,双电源,配置IPSEC VPN深信服AF-1070-05标配4个10/100/1000BASE-T接口,2个高速USB2.0接口,1个RJ45串口,配置IPSEC VPN深信服AF-1370-05标配6个10/100/1000BASE-T接口,2个高速USB2.0接口,1个RJ45串口,配置IPSEC VPN深信服AF-1570-05标配4个10/100/1000BASE-T接口,2个SFP 接口,2个高速USB2.0接口,1个RJ45串口,配置IPSEC VPN 深信服AF-1870-05标配10个10/100/1000BASE-T接口,4个SFP接口,2个高速USB2.0接口,1个RJ45串口,双电源,配置IPSEC VPN深信服AF-2070-05标配8个10/100/1000BASE-T接口,2个SFP 接口,2个高速USB2.0接口,1个RJ45串口,双电源,配置IPSEC VPN深信服AF-4070-05标配10个10/100/1000BASE-T接口,4个SFP接口,2个高速USB2.0接口,1个RJ45串口,双电源,配置IPSEC VPN深信服AF-8070-05标配8个10/100/1000BASE-T接口,4个万兆光口,2个高速USB2.0接口,1个RJ45串口,双电源,配置IPSEC VPN深信服AF-6070-05标配8个10/100/1000BASE-T接口,4个SFP 接口,2个高速USB2.0接口,1个RJ45串口,双电源,配置IPSEC VPN深信服AF-7070-05标配8个10/100/1000BASE-T接口,4个SFP 接口,2个高速USB2.0接口,1个RJ45串口,双电源性能参数功能参数最大并发连接数100万每秒新建连接数2万最大吞吐量1.2Gbps最大并发连接数150万每秒新建连接数9万最大吞吐量5Gbps最大并发连接数150万每秒新建连接数10万最大吞吐量6Gbps最大并发连接数220万每秒新建连接数13万最大吞吐量10Gbps最大并发连接数230万每秒新建连接数13万最大吞吐量12Gbps最大并发连接数600万每秒新建连接数21万最大吞吐量18Gbps最大并发连接数800万每秒新建连接数25万最大吞吐量20Gbps最大并发连接数1200W每秒新建连接数28W最大吞吐量24Gbps最大并发连接数1500万每秒新建连接数32万最大吞吐量30Gbps最大并发连接数1600万;每秒新建连接数60万,最大吞吐量80Gbps 深信服应用防火墙,含基础防火墙、攻击防护、NAT、VPN 等安全功能。