东软防火墙产品详细介绍
2015年东软NetEye_防火墙_产品技术白皮书_V1.0_20150521
东软NetEye防火墙技术白皮书目录一、前言 (1)二、NETEYE防火墙产品概述 (2)应用背景 (2)产品概述 (3)三、NETEYE防火墙产品优势 (3)3.1NetEye防火墙产品软件系统架构 (3)3.2NetEye防火墙产品技术优势 (4)3.2.1强大、稳定、高效的基础防火墙功能 (5)3.2.2灵活、可扩展的虚拟系统技术 (6)3.2.3业界领先的DPI智能应用识别技术 (7)3.2.4基于NEL核心技术的入侵防御功能 (7)3.2.5完善的流量分析解决方案 (7)3.3NetEye防火墙系列产品主要功能 (9)3.3.1包过滤规则对域名的支持 (9)3.3.2VPN隧道冗余技术 (9)3.3.3接口冗余 (10)3.3.4Unnumbered IP (10)3.3.5强大的病毒扫描功能 (10)3.3.6强大的反垃圾邮件引擎 (11)3.3.7细粒度的协议限制及协议异常检测 (12)3.3.8互联网域名访问加速机制 (12)3.3.9强大的攻击防御能力 (13)3.3.10应用控制 (13)3.3.11PPPOE支持 (14)3.3.12安全集中管理 (14)3.3.13产品可用性与易用度 (15)一、前言本文档适用于沈阳东软系统集成工程有限公司(以下简称东软公司、东软或者本公司)制造的NetEye防火墙系列产品的销售工作,力图从产品技术角度提供必要的参考说明。
本文档主要内容包括NetEye防火墙产品体系构架、功能特色和技术参数等方面的相关数据,便于阅读者快速掌握NetEye防火墙产品的基本概况,提高对项目需求判断和设备选型的正确率。
同时,需要指出的一点是,本文档所包含的各项数据,尤其是产品技术型号、指标参数,均为现阶段的一般性数据,仅供阅读者了解、理解NetEye防火墙产品的普遍情况使用。
考虑到东软公司经营管理策略、技术研发进度和特定项目需求等因素,在实际供货时,所有数据指标均有可能发生更新变化,并将通过随机标准文档予以说明。
东软防火墙 NetEye FW 用户管理器 使用
Neusoft Group Ltd.
防火墙
网卡
• 使用交叉线连接管理主机和防火 墙的管理口;
• 交叉线和网线有一定的区别; • 管理主机的IP必须为192.168.1.0
网段;
管理主机
6
2019/10/30
管理器连接防火墙
Neusoft Group Ltd.
• 在已有的地址簿中,选择要维护 的防火墙IP地址,进行连接;
14
2019/10/30
用户的约束关系
Neusoft Group Ltd.
用户 / 权限
root 用户管理
员 安全员 审计员
管理用户权限
用户管理 员
安全员 审计员
+
+
+Biblioteka ++
安全控制权 限
+
审计权 限
+
15
2019/10/30
Neusoft Group Ltd.
认证方式
• 本地认证代表用户名 / 口令信息存放在防火墙上 • Radius认证采用第三方标准的认证方式
1.帐号发起“登录防火墙”的请求
管理主机
5.防火墙根据Radius返回的认证信息,如果成功,则 允许此帐号登录;如果失败,给出相应的错误提示
防火墙
2.防火墙检测此帐号为Radius认证,将管理主机 发送过来的用户名 / 口令发送给Radius服务器
4. Radius服务器将认证 结果返回给防火墙主机
21
2019/10/30
Neusoft Group Ltd.
Q&A
Q:管理器的root帐号不能被删除?
A:防火墙的初始化帐号,必须存在,不能修改其认证 方式,不能修改名字,否则无法通过管理器登录到防 火墙。
求东软防火墙使用手册
求东软防火墙使用手册
东软Neteye 4032 防火墙维护手册
一、 Neteye 4032 的默认管理IP为192.168.1.100 ,我们用防火墙自带的一根交叉线和PC相连,PC的IP设置为和防火墙一个网段,在运行下ping 192.168.1.100,显示连通;在WEB浏览器下输入192.168.1.100,进入防火墙的WEB管理界面。
二、默认用户为:root 密码:eye 进入用户管理界面,此页面下可以创建用户,并设置权限(安全控制、审计、管理)
三、为方便调试已创建用户: xxxx 密码:xxxx 权限为:安全控制
四、用xxxx 这个用户进入WEB界面后,先看到防火墙的所有信息
然后根据需求,设置防火墙的工作模式,是交换还是路由,
1、交换模式下,Eth 口不需要配地址,也没有NAT的转换
2、路由模式下,根据需求可以配置NAT、默认路由,它既充当路由器,又起到防火墙的作用。
五、 Eth 0口为管理接口,只有在配置防火墙时才使用
Eth 1-4可随意定义为内网口、外网、DMZ区等
在我们这次配置中,Eth 口的定义:
Eth 1----内网
Eth 2---外网
Eth---3 用交叉线直连防火墙
Eth 4----xxx网
六、访问控制:允许Eth 1 访问 Eth 2 , 拒绝访问 Eth 3、4
允许Eth 2 访问 Eth 1 , 拒绝访问 Eth 3、4
允许Eth 3 访问 Eth 4 , 拒绝访问 Eth 1、2
允许Eth 4访问 Eth 3 , 拒绝访问 Eth 1、2
七、在配置完成后,一定要选择“应用并保存”选项。
NetEye东软防火墙配置手册
东软防火墙配置手册版本历史目录第一章文档说明 (4)1.1 编写目的 (4)1.2 项目背景 (4)第二章配置命令 (5)2.1 通过WEB登录 (5)2.2 虚拟系统 (6)2.2.1 查看虚拟系统信息 (6)2.2.2 创建一个虚拟系统 (6)2.2.3 删除一个虚拟系统 (7)2.2.4 添加描述 (8)2.2.5 启用/ 禁用虚拟系统 (8)2.2.6 切换虚拟系统 (9)2.3 制定安全策略 (10)2.3.1 IP包过滤 (10)2.3.2 安全策略流程 (12)2.4 地址转换NA T (14)2.5 高可用性HA (15)第一章文档说明1.1 编写目的编写该手册的主要目的是针对贵州二次安防项目工程技术人员提供东软防火墙基本的操作规范,同时,也可以作为贵州二次安防项目东软防火墙维护人员的参考阅读手册。
1.2 项目背景本项目是贵州电网公司根据《电力二次系统安全防护规定》(电监会5号令)、《电力系统安全防护总体方案》(国家电力监管委员会[2006]34号文及配套文件)和《南方电网电力二次系统安全防护技术实施规范》等电力二次系统安全防护相关规程规范的要求完成贵州电网公司省/地两级调度中心及220kV及以上电压等级变电站的生产控制大区业务系统接入电力调度数据网系统工程。
通过本项目的实施建立健全贵州电网电力二次系统安全防护体系。
项目的重点是通过有效的技术手段和管理措施保护电力实时监控系统及调度数据网络的安全,在统一的安全策略下保护重要系统免受黑客、病毒、恶意代码等的侵害,特别是能够抵御来自外部有组织的团体、拥有丰富资源的威胁源发起的恶意攻击,能够减轻严重自然灾害造成的损害,并能在系统遭到损害后,迅速恢复绝大部分功能,防止电力二次系统的安全事件引发或导致电力一次系统事故或大面积停电事故,保障贵州电网安全稳定运行。
第二章配置命令2.1 通过WEB登录1. 在可通过网络连接到NetEye 的计算机上打开Web 浏览器。
东软防火墙配置手册01
第1章用户管理该章节中的操作仅在root用户登录后可用。
语法:1.添加用户NetEye(config)# user username{ local | radius } { security [ audit ] | audit [ security ] } 2.配置RADIUS服务器NetEye(config)# radius-server host ipaddress]3.配置RADIUS服务器端口NetEye(config)#radius-server port number4.设置RADIUS服务器密码NetEye(config)# radius-server secret5.将RADIUS服务器设置为默认状态NetEye(config)# no radius-server6.查看RADIUS服务器1-1NetEye防火墙3.2.2命令手册NetEye# show radius-server7.删除用户NetEye(config)# no user username8.更改用户口令NetEye(config)# password [ username ]9.显示当前防火墙上的用户信息(包括用户名、权限、认证方式) NetEye#show user [ username ]1-2第1章用户管理表1-1 命令描述关键字和变量描述user 用户管理security 安全员权限audit 审计员权限radius-server 设置RADIUS服务器host RADIUS服务器主机port RADIUS服务器端口secret RADIUS服务器密码password 修改用户的口令show 查看信息username 用户名WORD{1-12}number 端口号<1-65535>ipaddress RADIUS服务器的ip地址1-3。
东软防火墙配置
阅读指南〖手册目标〗本手册是沈阳东软软件股份有限公司的产品NetEye防火墙CLI的使用指南,它详细地介绍了CLI的功能和操作。
通过阅读本手册,用户可以掌握NetEye防火墙CLI的使用方法。
〖阅读对象〗本手册专为购买NetEye防火墙的用户编写。
用户在使用防火墙之前请仔细阅读本手册,以免误操作,造成不必要的损失。
〖手册构成〗本手册主要由以下几个部分组成:1.2.3.4. 第1章用户管理介绍管理员(root)登录CLI后所能进行的操作,如添加、编辑或删除其他具有管理权限的用户,以及修改自身或其它用户口令。
第2章安全管理介绍具有安全管理权限的用户登录CLI后所能进行的一系列操作,主要是防火墙接口的配置以及各种规则的配置。
第3章审计管理介绍具有安全管理权限的用户登录CLI后所能进行的关于审计功能的开启和关闭的操作。
附录命令速查为用户提供了快速查找命令的工具。
〖手册约定〗CLI约定y斜体——命令行参数(命令中必须由实际值进行替代的部分)采用斜体表示。
y[ ]——表示用“[ ]”括起来的部分在命令配置时是可选的。
y{ x | y | ... }——表示从两个或多个选项中必须选取一个。
y[ x | y | ... ]——表示从两个或多个选项中选取一个或者不选。
范例:sync { info-down | info-up } ipaddress filenamesync info-down 10.1.2.110 neteyefwCLI模式NetEye防火墙CLI配置共提供三种模式,分别为:普通模式:管理员(root)和安全员可以进入该模式。
在该模式下可以进行的操作有:进入特权模式、退出和语言管理。
特权模式:管理员(root)和安全员可以进入该模式。
在该模式下,可以查看系统信息及配置信息,可以对系统进行高级别的操作,但不能更改配置信息。
不同权限的用户进入特权模式后,所能做的操作也不同。
管理员(root)进入特权模式后可以进行的操作有:进入全局配置模式、退出特权模式、退出命令控制台、测试连通性、显示和终端配置。
虚拟化应用防火墙东软NISG-VA产品介绍
东软NISG-VA虚拟化应用防火墙通过实时监测和智能分析技术,有效 识别和拦截恶意流量,确保政府关键业务系统的安全稳定运行。
客户收益
该政府机构通过部署东软NISG-VA虚拟化应用防火墙,显著提高了关 键业务系统的安全防护能力,保障了政府业务的正常运行。
客户案例三:大型企业应用
客户背景
某跨国大型企业需要保护其云数据中心免受网络威胁和攻 击。
CHAPTER
测试环境与工具
测试环境
在虚拟化环境中搭建测试平台,包括 服务器、存储、网络等基础设施。
测试工具
使用业界标准的性能测试工具,如 LoadRunner、Gatling等,进行压力 测试和性能指标采集。
测试结果与分析
吞吐量
在一定负载下,东软NISG-VA产品 能够达到较高的吞吐量,满足虚拟化 环境的需求。
06 总结与展望
CHAPTER
产品总结
东软NISG-VA虚拟化应用防火墙提供了全面的安全防 护功能,包括入侵检测与防御、病毒防护、内容过滤
等,保障虚拟化环境的安全。
输入 部标署方题式
支持集中部署和分布式部署,可以根据实际需求灵活 配置,有效满足各种规模虚拟化环境的防护需求。
功能特性
管理界面
东软NISG-VA虚拟化应用防火墙具备良好的性能和稳 定性,能够确保虚拟化环境的顺畅运行。
启用日志记录功能,监控防火墙 的运行状态和流量情况,以便及 时发现和处理安全事件。
5. 测试与验收
完成配置后,对东软nisg-va虚拟 化应用防火墙进行测试,确保各项 功能正常工作,符合安全需求。
常见问题与解决方案
1. 问题
无法登录管理界面。
01
2. 问题
东软防火墙NetEye FW5000系列技术白皮书
NetEye Firewall 5000 Series东软防火墙NetEye FW5000系列技术白皮书目录应用背景 (3)东软NetEye FW5000系列的技术特点 (4)面向关键业务提供全面可用性保证 (4)优异的网络适应性 (5)充分适应特殊应用环境要求 (6)支持基于策略的透明VPN (7)强大的攻击防御能力 (7)东软NetEye FW5000系列防火墙主要功能 (8)基于状态检测技术的访问控制 (8)网络地址转换(NAT) (8)IP与MAC地址绑定 (9)支持VLAN Trunk (9)支持 Radius 、XAUTH、Web等认证协议 (10)支持NTP (10)SCM安全集中管理 (11)服务器负载均衡 (12)并发连接数限制 (12)对多播协议的支持 (12)可视化管理 (12)强大便利的向导功能 (13)支持SNMP (13)2应用背景网络和信息安全基础设施己经和电力、水力一样,成为国家稳定和发展的关键基础设施。
因此,保证关键行业的业务应用和信息资产安全显得日益紧迫和重要。
在这些应用环境中,业务服务器、核心骨干设备以及内网的安全性和可用性一旦遭到破坏,后果不堪设想,因此必须采用高性能的防火墙设备加以严密保护。
政府、金融、电信、电力等行业对网络安全的强劲需求推动了防火墙技术的不断发展。
本白皮书将说明东软NetEye FW5000系列防火墙如何帮助客户满足关键网络骨干节点的安全防护和性能保障要求。
关键行业骨干节点的边界安全防护有着共同的特点,最主要的就是对防火墙的性能、稳定性、网络适应性和应用适应性有着严苛的要求。
以性能的要求为例,一些大型商业银行数据中心的服务器数量高达上千台,仅备份网络的带宽就达 2.5G;大型政府网站的对外服务处理的查询量高达每秒20000次以上,而响应时间的要求是5秒以下。
因此,理想的防火墙设备应该能够提供最佳的安全性、性能、网络适应性和应用适应性,达到以下标准:l将高安全性放在首要地位,可抵御各种网络入侵和攻击,在瞬间做出安全和流量路由决策,即使在处理数Gbps的网络流量时也能做到这一点;l支持多样化的部署方式,具备面向复杂应用环境的功能特性,适应复杂且变化迅速的业务需求;l采用高性能的硬件架构,提供最佳的产品性价比,提高行业安全项目建设的投资回报率。
东软_FW_5120-T概要
初始配置
NetEye 设备首次开机后,管理员需要对其进行初始配置。 通过初始配置,管理员可以远程访问并且配置和管理 NetEye 设备。
其他配置
当完成了初始配置并将NetEye 设备加入到用户网络后, 管理用户还需要对NetEye 系统作后续配置(例如:安全 域的划分、安全策略的添加等)。后续配置除了通过串口 连接的CLI 配置方法以外还包括以下三种网络配置方式:
数据包处理流程
功能组件
虚拟系统
– 虚拟系统(Virtual System, Vsys)是指将一个物理设备从逻辑 上划分为多个独立的虚拟设备,每个Vsys 都有自己的管理员、安 全策略和用户认证数据库等。通过划分Vsys,可以将原本只能由 一个管理员完成的工作分派给多个管理员来完成,使得规模较大、 拓扑较复杂的网络也能够易于管理。例如,在一个企业网络中, 企业级管理员只需将不同部门的网络划分到不同的Vsys 中,然后 为每个部门对应的Vsys 分配管理员即可,剩下的配置和管理工作 则由各部门的管理员在相应的Vsys 上完成。
功能组件
深层检测
– NetEye 支持的深度检测(Deep Inspection, DI)针对应用层数据进行 解析,并对应用层数据的内容进行安全性检测和控制。NetEye 支持以 RFC 规范及管理员设置的协议限制条件对应用层数据进行检测,支持对 应用层数据进行防病毒、反垃圾邮件、URL 过滤、攻击签名和防信息泄 漏等内容检测,并且支持防病毒规则和攻击签名规则的实时更新。
防火墙通常使用的安全控制技术主要是包过滤和应用代理 服务。
工作原理
NetEye 采用状态检测包过滤的技术,以会话为单位处理 网络之间的数据流,并在此基础上实现了混合模式(即数 据的二层交换和三层路由功能),能够根据数据包的目的 地址进行不同层次的转发。 NetEye 能根据数据包所属会话的会话状态,决定该数据 包是否符合NetEye 的过滤规则。会话的引入使得包过滤 过程不再以包为单位进行,而是以会话为单位进行,缩减 了系统开销。
东软安全产品资料
1.1.1NetEye IDS 2200功能特性1.1.1.1强大的攻击入侵检测功能支持3400种以上的特征库NetEye IDS根据数据流智能重组,轻松处理分片和乱序数据包。
利用统计与模式匹配,异常分析,检测3400多种攻击与入侵行为。
系统提供默认策略,用户也可以方便的定制策略。
使用数据库存储攻击与入侵信息以便随时检索。
系统还提供详细的攻击与入侵资料,包括发生时间、发起主机与受害主机地址、攻击类型、以及针对此类型攻击的详细解释与解决办法。
管理员可根据资料加强系统安全,并追究攻击者责任。
支持高级用户自定义检测规则不同行业用户管理网络面临的安全问题有时各不一样,NetEye IDS为高级用户提供了自定义检测事件编辑功能,用户可以根据自身网络应用特点添加需要检测的安全事件。
特征库定期升级NetEye IDS固定每周提供特征库的升级,当遇到重大安全事件或者突发安全事件时,提供及时升级,如针对冲击波、振荡波的及时升级。
与国际标准同步根据CVE标准,以策略模板的形式预存了3000种多种攻击特征,管理员可以直接使用预存的策略,或者继承原有的策略,根据自己的特殊业务需求进行修改和补充,灵活地制定攻击检测策略。
根据BID标准对事件进行描述,将所能对应的攻击事件注明了相应的BID编号,便于用户更为详细的了解事件的详细内容。
检测ARP攻击针对当前网络中常见的ARP攻击现象,通过地址的绑定技术,全面解决网络中的ARP 欺骗攻击,保证网络中的“纯净”。
1.1.1.2全面的审计功能详尽的内容恢复,支持多种常用协议NetEye IDS针对十几种常用的应用协议(SMTP、POP3、TELNET、FTP、HTTP、NNTP、MSN、IMAP、DNS、YAHOO、Rlogin、Rsh等)具备内容恢复功能。
NetEye IDS实现完全记录通信的过程与内容,并将其回放。
支持自定义协议的内容恢复,便于用户根据自己的业务需求进行扩充。
此功能可用于监控内部网络中的用户是否滥用网络资源、是否窃取帐户进行非法访问、是否进行非法授权,从而发现网络中的机密信息泄露,直接获取犯罪分子活动信息。
东软防火墙NetEye FW5000系列技术白皮书
NetEye Firewall 5000 Series东软防火墙NetEye FW5000系列技术白皮书目录应用背景 (3)东软NetEye FW5000系列的技术特点 (4)面向关键业务提供全面可用性保证 (4)优异的网络适应性 (5)充分适应特殊应用环境要求 (6)支持基于策略的透明VPN (7)强大的攻击防御能力 (7)东软NetEye FW5000系列防火墙主要功能 (8)基于状态检测技术的访问控制 (8)网络地址转换(NAT) (8)IP与MAC地址绑定 (9)支持VLAN Trunk (9)支持 Radius 、XAUTH、Web等认证协议 (10)支持NTP (10)SCM安全集中管理 (11)服务器负载均衡 (12)并发连接数限制 (12)对多播协议的支持 (12)可视化管理 (12)强大便利的向导功能 (13)支持SNMP (13)2应用背景网络和信息安全基础设施己经和电力、水力一样,成为国家稳定和发展的关键基础设施。
因此,保证关键行业的业务应用和信息资产安全显得日益紧迫和重要。
在这些应用环境中,业务服务器、核心骨干设备以及内网的安全性和可用性一旦遭到破坏,后果不堪设想,因此必须采用高性能的防火墙设备加以严密保护。
政府、金融、电信、电力等行业对网络安全的强劲需求推动了防火墙技术的不断发展。
本白皮书将说明东软NetEye FW5000系列防火墙如何帮助客户满足关键网络骨干节点的安全防护和性能保障要求。
关键行业骨干节点的边界安全防护有着共同的特点,最主要的就是对防火墙的性能、稳定性、网络适应性和应用适应性有着严苛的要求。
以性能的要求为例,一些大型商业银行数据中心的服务器数量高达上千台,仅备份网络的带宽就达 2.5G;大型政府网站的对外服务处理的查询量高达每秒20000次以上,而响应时间的要求是5秒以下。
因此,理想的防火墙设备应该能够提供最佳的安全性、性能、网络适应性和应用适应性,达到以下标准:l将高安全性放在首要地位,可抵御各种网络入侵和攻击,在瞬间做出安全和流量路由决策,即使在处理数Gbps的网络流量时也能做到这一点;l支持多样化的部署方式,具备面向复杂应用环境的功能特性,适应复杂且变化迅速的业务需求;l采用高性能的硬件架构,提供最佳的产品性价比,提高行业安全项目建设的投资回报率。
NetEye 防火墙 V3.2技术白皮书
NetEye 防火墙 V3.2 技术白皮书目录一、概述 (3)二、体系结构:基于状态包过滤的流过滤 (3)三、功能介绍 (7)3.1 创新的高性能核心保护能力,基于状态包过滤的流过滤 (7)3.2 可扩展的模块化的应用层协议支持 (7)3.3 集成的VPN功能,方便快捷部署各种VPN (8)3.4 与IDS联动,构建实时,动态防御体系 (8)3.5 高可靠性和高可用性保护网络永不间断 (8)3.6 人性化的GUI管理工具 (9)3.7 多样化的管理方式 (13)3.8 身份认证,角色划分 (13)3.9 完备的审计功能 (14)3.10 其他重要特性 (14)一、概述目前市场上存在着各种各样的网络安全工具,而技术最成熟、最早产品化的就是防火墙,由于防火墙技术的针对性很强,它已成为实现Internet网络安全的最重要的保障之一。
NetEye防火墙V3.2型是NetEye防火墙系列中的优秀型号,达到了运营级的水准,是一个“运营级的防火墙”。
该系统在状态包过滤的基础上,采用了专门设计的TCP协议栈实现对应用协议信息流的过滤,能够实现在透明方式下对应用层协议的控制。
系统的整体结构严格按照国家应用级防火墙的最新标准设计,具备完善的身份鉴别、访问控制和审计能力。
经国家权威部门检测,NetEye防火墙V3.2符合GB/T 18019-1999(包过滤防火墙安全技术要求)和GB/T 18020-1999(应用级防火墙安全技术要求)两个标准的技术要求。
NetEye防火墙V3.2是东软NetEye系列防火墙中采用流过滤技术的产品,基于状态包过滤的流过滤体系结构,保证从数据链路层到应用层的完全高性能过滤。
系统的主要模块工作在操作系统的内核模式下,并对协议的处理进行了优化,其性能达到线速,完全满足高速、对性能要求苛刻网络的应用。
系统达到了高可靠性和高可用性,从硬件体系结构的设计,系统内关键部件的冗余到仅需一秒的双机热备自动切换,保证网络永不间断。
虚拟化应用防火墙东软NISGVA产品介绍
如何配置东软NISGVA虚拟化应用防火墙?
解答
可以参考产品文档中的配置指南进行配置,或者联系东软 技术支持团队获取帮助。
问题二
遇到网络攻击时,如何快速响应?
解答
可以启用东软NISGVA虚拟化应用防火墙的入侵防御功能 ,自动识别和防御网络攻击。同时,也可以联系东软技术 支持团队获取专业的应急响应服务。
产品采用高性能硬件架构和优化算法,确 保在处理大量网络流量时仍能保持出色的 性能表现。
灵活的部署方式
丰富的功能特性
支持多种部署方式,包括物理机、虚拟机 、容器等,满足不同场景下的安全需求。
提供访问控制、入侵防御、病毒防护、日 志审计等功能,满足用户多样化的安全需 求。
未来发展趋势预测
云网端一体化安全
与其他同类产品相比,东软NISGVA产品在吞吐量、延迟和并发连接数等方面均表 现出色。
此外,东软NISGVA产品还具有丰富的安全特性和灵活的管理功能,能够更好地满 足企业的安全需求。
综上所述,东软NISGVA产品在性能上具有较高的竞争力,是企业网络安全防护的 理想选择。
06 使用案例与客户反馈
CHAPTER
易于管理和维护
东软nisgva提供直观的管理界面 和丰富的管理功能,方便用户进 行配置、监控和维护。
全面的虚拟化安全防护
东软nisgva提供全面的虚拟化安全 防护功能,包括网络防火墙、应用 防火墙、入侵检测与防御等。
广泛的兼容性
东软nisgva兼容多种虚拟化平台 和操作系统,可轻松集成到现有 的虚拟化环境中。
随着云计算、物联网等技术的快 速发展,未来安全产品将更加注 重云、网、端一体化的安全防护。
AI驱动的安全防护
人工智能技术在安全领域的应用 将逐渐普及,通过AI驱动的安全 防护将更加智能、高效。
虚拟化应用防火墙东软NISG-VA产品介绍
Operating System
Operating System
vNIC
vNIC
vNIC
vNIC
vNIC
vCenter
Security API vSwitch
V
常见解决方案 基于vSwitch/Hypervisor的防火墙(推荐方式)
数据库
防火墙嵌入vSwitch/Hypervisor,成为网络基础架构的一部分 vCenter只需要为vSwitch设置安全策略 任何实例间数据传递均直接通过防火墙的过滤 实例迁移丌影响安全策略 该方案适合保护数据中心和建设私有云的企业用户
Large & Medium Enterprises/ Agencies NISG7K-XI/XII NISG6K-TV NISG6K-SV/SVI NISG7K-XI/XII NISG6K-TV NISG6K-SV/SVI NISG7K-XI/XII NISG6K-TV NISG6K-SV/SVI
Virtual Switch
Hypervisor
VM
VM
•
NISG-VA将通过对虚 拟化平台的二次开发 嵌入到Hypervisor层
Hypervisor Connector Hypervisor
•
优点 – 简化网络拓扑的复 杂性 – 提升安全防护的性 能 – 将安全作为系统架 构的一部分提供给 上层业务系统
User Pertais Canalogs Securlty
VMware vCloud API
Virtusl Datacenter I (Gold)
VMware vShieid
Virtusl Datacenter a (sitrer)
Programmasic Comrol and Iniegrations
东软NetEye FW5200组网能力强
东软NetEye FW5200组网能力强沈阳东软软件股份有限公司送测的NetEye FW5200是一款定位于骨干网络安全防护的千兆防火墙产品。
该产品具有4个千兆接口,具备热插拔双冗余电源,可以为电信、电力、政府、教育等行业的核心网络提供良好的安全防护。
NetEye FW5200采用先进的cPCI(CompactPCI)硬件架构。
cPCI是面向电信、监控和数采系统、航空航天等领域的,具有高性能和高可靠性的硬件架构。
基于cPCI的冗余设计、故障切换和故障管理可以将设备可靠性提升到电信级水平,因此cPCI被广泛应用于研制下一带网络系统(NGN)产品,如2.5G和3G无线设备、软交换设备、信令网关等。
为了更好地提高网络性能,NetEye FW5200采用Intel IXP2400网络处理器。
IXP2400通过8个多线程的、相互独立的32位微引擎提供了强大的处理能力,在防火墙处理IPv4/v6数据包以及VPN加解密方面都具有非常出色的性能表现。
NetEye FW5200集成了防火墙、VPN、多媒体通信安全(H.323、SIP等)、内容安全控制、高可用性配置能力等众多的安全功能。
另外,NetEye FW5200具备基于VLAN的虚拟防火墙功能,以及以太网通道功能。
虚拟防火墙功能可为电信等行业开展运营商级的安全服务提供强有力的支持;以太网通道技术则可以有效提高关键网络节点的可靠性。
在功能测试中,NetEye FW5200发挥出色,是为数不多的两款完全按照测试拓扑完成混杂模式组网的产品之一。
虽然不支持DNS中继、DHCP/VLAN等两项功能,但是对于定位骨干网核心的NetEye FW5200来说这些并不是必须的。
由于运输延迟的原因,NetEye FW5200只在我们测试截止时完成了吞吐量和最大并发连接测试。
在这两项测试中,NetEye FW5200表现出色,在千条规则、NAT模式状态下,混合包和64字节包的吞吐量三次测试平均成绩为100%,在千条规则、路由模式状态下,最大并发用户达到了100万。
东软FW5120-L-A1-Ma
指标
指标项
规格要求
硬件参数
描述
1U机架式结构;标配1个10/100 Base-T铜口,5个10/100/1000 Base-T铜口;虚拟系统数2个;具备VPN功能,默认隧道数1000、默认客户端数1000;具备基本的URL过滤、反垃圾邮件功能;并发连接数80万;具备2对硬件bypass接口;1个交流电源
硬件用模块化设计,便于进行接口扩展和硬件升级;
系统要求
采用专用安全操作系统;
硬件尺寸(长x宽x高)
300mmx440mmx44.5mm(1U)
环境
工作环境温度:0℃─40℃;存储运输温度:-40℃─+70℃;工作环境湿度:5%─95%RH,不凝结
电源类型
(最大功率/额定电压/额定电流)
交流单(60W/100V-240V/1.5A-1A)
接口
标配1个管理接口
性能要求
整机吞吐量
300M
VPN吞吐量
80M
最大并发连接数
80万
每秒新建连接数
不小于11000
东软防火墙400
东软防火墙400
东软防火墙400是一种高效的网络安全解决方案,它被广泛应用于各类企业和机构的网络环境中。
该防火墙具有强大的防御功能,能够有效地保护网络免受各种网络攻击的威胁。
东软防火墙400采用了先进的技术和算法,可以实时监测网络流量,并通过智能分析和过滤,阻止恶意流量进入网络系统。
它能够识别和阻止各类网络攻击,包括DDoS攻击、SQL注入、跨站脚本攻击等,从而保护网络系统的安全性。
该防火墙还具有灵活的配置和管理功能,管理员可以根据实际需求,自定义规则和策略,对网络流量进行精确控制。
此外,东软防火墙400还支持多种安全认证方式,包括身份认证、IP地址认证等,确保只有经过授权的用户才能访问网络系统。
东软防火墙400还具有强大的日志记录和审计功能,它可以记录网络流量、安全事件等重要信息,并提供详细的审计报告,帮助管理员及时发现和解决网络安全问题。
总之,东软防火墙400是一种功能强大、性能稳定的网络安全解决方案,它能够帮助企业和机构保护网络安全,提高网络系统的可靠性和稳定性。
在当前日益复杂的网络安全威胁下,东软防火墙400是保障
网络安全的不可或缺的工具。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
NetEye 防火墙资格证书
防火墙的体系结构
> 主流防火墙技术:
状态检测包过滤技术 应用代理技术
> 目前市场上主流产品的形态:
集成了状态检测包过滤和应用代理的混合型产品
混合型产品的样子
应用级代 理 状态检测 包过滤
缺点: • 规则并行 • 有IP、端口 • 性能
NetEye防火墙内核处理模式
采用NAP协议入侵检测产品完美集成工作
生产部
工程部
警告!
记录进攻, 发送消息, 市场终部止连接
DMZ E-Mail File Transfer HTTP
中继
路由
Internet
邮件等多种方式 通知管商理务伙员伴
人事部
Intranet
外部攻击
企业网络
重新配置 防火墙以便 阻断攻击者
中止连接
> 对网络中的数据流进行分析,解码。查找网络问题
乌鲁木齐
> 在全国建有8个研发中心,在32个 ▲ 城市设有分支机构,形成分布式 的研发、销售、服务体系
> 现有正式员工5000多人,大学以 上学历占93%,软件开发人员2500 多人
> 2001年5月更名为东软股份
哈尔滨▲
总部
长春
▲ 服务机构
▲
沈阳
▲
北京 ▲
▲大连
▲天津
太原 ▲
济南 ▲ ▲ 青岛
西安 ▲ ▲郑州
> 先后获得辽宁省和国家级优秀新 产品证书
> 2001年5月发布3.0版本
> 2002年3月发布3.1版本
> 2003年2月发布3.2版本
NetEye防火墙符合的国家标准
> 通过公安部第三研究所检测,NetEye防火墙符合三个最新的国家标准:
GB/T 18019-1999:包过滤防火墙安全技术要求 GB/T 18020-1999:应用级防火墙安全技术要求 GB/T18366-2001的标准:信息技术、安全技术,信息技术安全性评估
NetEye防火墙—应用级过滤
H.323应用
ORACLE访问
BEA TUXEDO
用户定制应用
流过滤平台
WWW访问控制---对内网用户的访问限制
生产部 工程部 市场部
DMZ E-Mail File Transfer HTTP
中继
路由
Internet
访问非法的国外站点 反动 色情 聊天危害企
业正常网络通讯。
• 实时监控当前网络的连接状态 • 设置连接延迟、中断连接 • 网络数据的采集和分析
NetEye 防火墙的显著优势
东软NETEYE防火墙
苏州工业园区云睿网络科技有限公司
2010-05
©2004 Neteye. All rights reserved. Confidential – Do Not Copy or Distribute
东软股份资质
> 公司概述 > 质量管理 > 信息安全领域发展历程
公司概述
> 原名:东大阿尔派软件股份有限 公司公司,创建于1991年,96年 成为首家上市的软件公司
Internet
Firewall+VPN
• NetEye VPN 同时集成了防火墙和VPN的功能 • 具有NetEye防火墙先进的体系结构和可靠的安全性 • 可防御各种攻击,保护了VPN自身的安全性 • 具有与防火墙一致的身份验证机制 • 具有VPN产品数据传输的完整性和机密性
管理功能特性
> 管理功能 全GUI图形界面 按角色分权管理模式 > 管理员、安全员、审计员 集中的远程管理能力 快速配置备份和恢复能力 支持SNMP管理(V1,V2,V3)
成都
▲ ▲重庆
合肥 武汉 ▲
▲
▲
南京 ▲上海
▲杭州
长沙 ▲南昌
▲贵阳 ▲
福州 ▲
▲昆明 南宁 ▲
广州 ▲
▲ 深圳
中国软件产业质量体系的领导者
1998年1月,中国第一家同时通过软件开发与系 统集成ISO9001质量体系认证
2000年9月,率先通过CMM Level 2 2000年10月,中国第一家通过ISO9001 2000版
定制安全系统 安全咨询与服务
NetEye NetEye NetEye U- 安全 安全 FireWall IDS VPN CA 快递 数据库
NetEye Platform
PKI Infrastructure
DataBase
NetEye Platform
操作系统内核中的安全平台
增强的OS内核
入侵识别与 响应
VPN Firewall
InInteternrneet t
需要在防火墙上开通VPN流量的 通道
VPN Firewall
Internet
VPN流量的安全性得不到保证
不同种类的 VPN/Firewall 结构
Firewall VPN
Internet
VPN 设备容易被攻击 例如: denial of service (DOS)
行高级别的安全防护。
正常用户邮件不受限制
生产部
工程部
DMZ E-Mail File Transfer HTTP
中继
路由
SMTP邮件控制
Internet
垃圾邮件制造者
市场部
Intranet
在防火墙中可以限制本地邮 件服务器允许接受的邮件域 ,对不属于规则范围的地址
直接阻断!
FTP访问控制实现更细的访问粒度
外部DNS服务器
公网环境
返回服务器对外NAT地址 为202.106.0.22
内部服务器地址:10.0.0.1 域名:
DMZ服务区
模块化升级
> Unicode缺陷
2001年5月份发布警告及基于HTTP过滤模块的保护规则
> SQL Slammer
发现攻击样本后当天发布安全警告 1天后提供IDS升级包 2天后提供防火墙保护策略
管理员可以正常从内部网络访问服务器
生产部 工程部
DMZ E-Mail File Transfer HTTP
中继
路由
Internet
市场部
Intranet
在防火墙中进行设置不允许 管理员帐号从外部网络登陆
访问服务器。
双向NAT
正向NAT
192.168.1.0/24
INTERNAL
202.94.1.1
> 监控功能 实时在线监控和分析工具 查看、分析连接表 设置连接延迟、中断连接 网络数据采集和分析工具
其它功能特性
> 容灾冗余设计
双机热备切换时间少于1秒钟 提供策略同步工具
> QoS管理
流量帐户管理、实时精确的流量控制 基于IP和用户组的流量编组 周期性和预存式流量管理 基于优先级的带宽控制
Intranet
在防火墙中可以对企业内部 用户访问WWW页面内容进 行访问规则限制,支持关键 字,实现阻断保护企业内部
网络。
WWW访问控制---对DMZ服务器的检查保护措施
生产部 工程部 市场部
DMZ E-Mail File Transfer HTTP
中继
路由
Internet
Intranet
在防火墙中可以对企业内部 DMZ区域的WWW服务器进
Router
DMZ
•Email •Ftp •HTTP
告警!
来自外部 Internet 的攻击
入侵特征库
财务部
内置入侵检测系统
来自内部 的攻击
市场部
研发部
攻击次数 20
比率(%)
源地址
目的地址
13.07
192.168.32. 70
192.168.32.12
攻击方法
IDS127-TELNEToginIncorrect
核心技术—流过滤
> 以包过滤的外部形态实现对应用层信息流的过滤
> 提供覆盖应用层和网络层的完整的访问控制
> 流过滤的突出特点: 融合了状态检测包过滤和应用代理安全保护能力 具有包过滤防火墙的透明性:容易部署、对应用透明 可以实现应用防护特性的迅速升级以抵御新出现的攻击手段
> 专为防火墙实现的TCP协议栈: 抛弃了Socket接口,轻量、高效、极低的内存占用,支持大规模并 发访问 极强的抗攻击能力 抵御各种TCP层的扫描
> 骨干封装能力
- 对VLAN Trunk的支持
> 视频多播、NetMeeting等
> 防止DoS攻击
> 双向DNS解析
> 与NetEye IDS联动
> 与防病毒产品联动
> 硬件特性
多处理器平台 冗余电源 可扩展网口
> 千兆产品
> 军队内部专用版本
盾—JUN1专用防火墙
权威组织的高度评价
NetEye 防火墙的显著优势
1999
2000
2001 > 防火墙3.1、NetEye灵巧网关、 NetEyeVPN移动客户端
> 发布NetEy FW 3.0、NetEye IDS NetEye VPN
> 发布NetEye FW 2.0
1996 > 年发布第一个防火墙产品
> 进开始进入信息安全领域
网络安全研发队伍
> 100余人的研发队伍 10%前瞻性研究 58%产品开发 25%测试队伍 7%售前售后技术支持
认证(挪威船级社) 2001年6月,中国第一家通过
CMM Level 3 2002年12月,中国第一家通过 CMM Level 5
强大的系统集成能力