天融信-NGFWARES白皮书
产品说明&技术白皮书-天融信入侵防御系统产品说明
天融信网络入侵防御TopIDP系列产品说明天融信TOPSEC®北京市海淀区上地东路1号华控大厦100085电话:(86)10-82776666传真:(86)10-82776677服务热线:400-610-5119800-810-5119Http: //天融信网络入侵防御系统TopIDP系列产品说明1前言 (2)2网络入侵防御系概况 (2)2.1入侵防御系统与防火墙 (3)2.2入侵防御系统与IDS (3)3天融信网络入侵防御系统TOPIDP (3)3.1产品概述 (3)3.2T OP IDP体系架构 (4)3.3T OP IDP主要功能 (5)3.4天融信网络入侵防御系统T OP IDP特点 (6)3.4.1领先的多核SmartAMP并行处理架构 (6)3.4.2强大的攻击检测能力 (6)3.4.3精准的应用协议识别能力 (7)3.4.4实用的网络病毒检测功能 (8)3.4.5智能的上网行为监控和管理 (8)3.4.6立体的Web安全防护 (8)3.4.7先进的无线攻击防御能力 (9)3.4.8精确的QOS流量控制能力 (9)3.4.9灵活的自定义规则能力 (9)3.4.10丰富的网络部署方式 (9)3.4.11高可靠的业务保障能力 (10)3.4.12可视化的实时报表功能 (10)4天融信网络入侵防御系统TOPIDP部署方案 (11)4.1.1典型部署 (11)4.1.2内网部署 (12)4.1.3IDP.VS.IDS混合部署 (13)4.1.4WIPS旁路部署 (14)5结论 (15)1前言随着计算机网络与信息化技术的高速发展,越来越多的企业、政府构建了自己的互联网络信息化系统,互联网络已成为人们生活中必不可缺的工具,在网络带来高效和快捷的同时,网络安全形势也从早期的随意性攻击,逐步走向了以政治或经济利益为主的攻击;攻击的手段从早期简单的扫描、暴力破解逐步过渡到通过缓冲区溢出、蠕虫病毒、木马后门、间谍软件、SQL注入、DOS/DDoS等各种混合手段攻击;攻击的层面也从网络层,传输层转换到高级别的网络应用层面;而很多黑客攻击行为也由单个个体转变到有组织的群体攻击行为上,其攻击行为有明显的政治或经济诉求目的,给政府、企业的网络信息业务系统安全造成极大隐患。
NGFW管理手册
防病毒配置天融信TOPSEC® 北京市海淀区上地东路1号华控大厦 100085电话:+8610-82776666传真:+8610-82776677服务热线:+8610-8008105119版权声明 本手册中的所有内容及格式的版权属于北京天融信公司(以下简称天融信)所有,未经天融信许可,任何人不得仿制、拷贝、转译或任意引用。
版权所有不得翻印© 1995-2008 天融信公司商标声明 本手册中所谈及的产品名称仅做识别之用。
手册中涉及的其他公司的注册商标或是版权属各商标注册人所有,恕不逐一列明。
TOPSEC® 天融信公司信息反馈目录1病毒防御 (1)1.1查看病毒信息 (1)1.2配置病毒过滤策略 (3)1.2.1HTTP病毒过滤策略 (3)1.2.2FTP病毒过滤策略 (7)1.2.3SMTP病毒过滤策略 (9)1.2.4POP3病毒过滤策略 (11)1.2.5IMAP病毒过滤策略 (13)1.3配置反病毒引擎参数 (15)1.4许可证更新 (16)1.5病毒库更新 (17)1.5.1在线升级 (17)1.5.2离线升级 (18)1病毒防御当前网络病毒泛滥,病毒一旦进入网络内部,就会很快地在网络环境中传播,造成整个网络的阻塞,甚至瘫痪。
网络病毒已被公认为网络安全的最主要威胁之一。
为了解决这一问题,天融信公司在原有网络安全产品的基础上增加了反病毒功能,能够对使用HTTP、FTP传输的文件以及对使用SMTP、POP3和IMAP协议传送的邮件正文、附件进行病毒检查过滤,并可根据文件扩展名选择过滤或者不过滤的附件类型等。
本文档主要介绍反病毒功能,包括的内容有:z查看病毒信息:主要介绍如何查看和统计病毒扫描的情况,以方便用户优化病毒过滤策略,进一步增强网络安全性。
z配置反病毒引擎过滤策略:主要介绍如何设置病毒过滤策略。
目前,该反病毒引擎主要支持HTTP过滤、FTP过滤、SMTP过滤、POP3过滤和IMAP过滤。
天融信安全运维服务-白皮书
目录1服务产生背景 (2)2服务概述 (3)3服务方式 (3)3.1驻场值守方式 (3)3.2定期巡检方式 (3)3.3远程值守方式 (3)3.4应急响应方式 (3)4服务内容 (4)4.1健康检查服务 (4)4.2安全事件审计服务 (4)4.3网络行为审计服务 (4)4.4运维监控与分析服务 (5)4.5敏感问题预警与告警服务 (5)4.6终端安全监控与策略优化服务 (6)4.7等级保护合规性运维服务 (6)4.8应急响应服务 (6)4.9安全通告、漏洞分析服务 (7)4.10知识库维护服务 (7)4.11服务器优化服务 (7)4.12数据库维护服务 (8)4.13功能性定制服务 (8)4.13.1报表定制服务 (8)4.13.2关联分析规则定制开发 (8)4.13.3设备解析定制服务 (9)4.13.4工单流程定制服务 (9)4.14产品升级服务 (9)4.15保修及延保服务 (9)5服务价值 (11)6天融信优势 (11)1 服务产生背景国际著名咨询调查机构Gartner集团的调查发现,在经常出现的问题中,源自技术或产品(包括硬件、软件、网络、电力失常及天灾等)方面的问题其实只占20%,而管理流程失误、人员疏失问题占80%。
经过多年的信息化建设,大多数企业已经建立起了比较完整的信息系统。
但是,在安全运维及应急响应方面缺少一套完整的运维和应急体系来保证各类紧急事件的及时、有效处理。
因此,用户通过引入专业的信息安全服务团队,来保障自身信息系统的稳定安全运行,同时通过专业的安全运维服务,逐步构建动态、完整、高效的用户信息安全整体,形成能持续完善、自我优化的安全运维体系和安全管理体系,提高用户信息系统的整体安全等级,为保证业务的健康发展和提升核心竞争力提供坚实的基础保障。
用户安全运维中面临问题:信息管理部门的人员有限,员工的精力有限安全管理制度体系不完善,安全责任制落实不到位安全技术能力方面或多或少的存在一定的限制安全产品众多,维护、升级不及时海量安全事件无法及时处理异常操作行为无法及时预警处理大量安全事件经验不足外界新技术无法更快更好的应用到内网正是针对用户在运维管理中存在的弊端,天融信依靠长期从事信息安全运维服务的经验,同时结合信息安全保障体系建设中运维体系建设的要求,遵循ITIL (最佳实践指导)、ISO/IEC 27000系列服务标准及《北京市电子政务IT运维服务支撑系统规范》等相关标准,建立了一整套信息安全运维管理的服务内容。
天融信网络防火墙方案白皮书
天融信网络防火墙方案白皮书目录1产品功能描述 (3)1.1防火墙概述 (3)1.1.1系统概述 (3)1.1.2功能描述 (3)2产品硬件规格及性能参数 (4)2.1防火墙品目一:TG-62242 (4)2.2防火墙品目二:TG-42218 (6)3产品测试方案 (7)3.1防火墙测试方案 (7)3.1.1测试说明 (7)3.1.2功能要求及测试方式 (9)3.1.3测试结果记录 (26)1 产品功能描述1.1 防火墙概述1.1.1 系统概述网络层访问控制基本的安全防护手段,通常采用路由器和防火墙等手段实现,然而防火墙相对与路由器而言,不仅仅只是提供简单的访问控制功能,同时也能够提供更为强大的连接检测、攻击检测、认证、内容过滤等更加细粒度的安全防护,所以在网络层访问控制方面通常都采用防火墙设备,通过防火墙设备定义好的安全规则来实现基本的访问控制。
防火墙是实现网络安全的重要设备,防火墙的目的是要在内部、外部两个网络之间建立一个安全控制点,通过允许、拒绝或重新定向经过防火墙的数据流,实现对进、出内部网络的服务和访问的审计和控制。
具体地说,设置防火墙的目的是隔离内部网和外部网,保护内部网络不受攻击,实现以下基本功能:●禁止外部用户进入内部网络,访问内部资源;●保证外部用户可以且只能访问到某些指定的公开信息;●限制内部用户只能访问到某些特定资源,如WWW服务、FTP服务等。
1.1.2 功能描述针对安全建设需求,建议对部署在网络内的防火墙配置如下策略:实现访问控制:通过在防火墙上配置安全访问控制策略过滤访问行为,实现基于协议、源/目的IP地址、端口的访问控制,对来自核心服务器区边界的访问进行认证检查及内容过滤,有选择的接入。
带宽管理:启用带宽管理功能,如当某一地址或某地址段对外连接数超过一定数量或流量超过一个设定的阀值时,实现阻断或流量限制的功能;身份认证:在防火墙上开启用户身份认证功能,利用防火墙自带数据库或通过Radius及SecureID和 LDAP用户认证功能;抗攻击:在防火墙上开启自动抗攻击功能,利用防火墙本身的防御功能防止DoS、端口扫描等攻击,确保网络不被外部黑客攻破;抗蠕虫:通过防火墙的蠕虫过滤等功能保证核心服务器所承载的核心应用系统不受来自核心服务器区边界的蠕虫及网络病毒侵害,保障核心应用系统正常、高效运行;多种手段报警:防火墙发现攻击、非法入侵、未授权访问等违反安全规则的行为,立即以多种手段(告警、日志、SNMP 陷阱等)实现违规行为的告警,并记录日志,以便查询。
天融信网络卫士入侵检测系统白皮书
安全推进应用
3
天融信网络卫士入侵检测系统技术白皮书
公司简介
北京天融信公司是中国网络安全行业的领先企业,是目前国内最大的专业从事网络安 全技术研究、产品开发和安全服务的高科技企业。同时天融信公司正向集团化、国际化迈进, 努力成为中国网络安全领域内最优秀最具国际竞争力的企业。
天融信公司最早成立于 1995 年,目前公司总部设在北京,形成北京、武汉、成都三大 研发中心,同时在上海、广州、西安、沈阳、成都、长沙、武汉等 29 个省市设有分支机构, 拥有 500 多名信息安全专业研发、咨询与服务人员。
根据进行入侵分析的数据来源的不同,可以将入侵检测系统分为基于网络的入侵检 测系统(Network-Based Intrusion Detection System)和基于主机的入侵检测系统 (Host-Based Intrusion Detection System)。
基于网络的入侵检测系统(NIDS)的数据来源为网络中传输的数据包及相关网络会 话,通过这些数据和相关安全策略来进行入侵判断。
电子信箱:market@
安全推进应用
2
天融信网络卫士入侵检测系统技术白皮书
目
录
公司简介 .............................................................. 4
第 1 章 入侵检测系统概述 ..................................................5
2000 年至 2003 年,天融信公司连续四年市场份额均居国内安全厂商之首。特别指出的 是,国际权威咨询机构 IDC 统计:天融信 2003 年下半年防火墙市场份额达到了 17.28%,名 列所有国内外安全厂商第一位,打破了国内安全厂商长期处于弱势地位的局面,为国内网络 安全企业树立了新的里程碑。到目前为止,天融信公司拥有覆盖全国,涉及政府、电信、金 融、军队、能源、交通、教育、流通、邮政、制造等行业的万余家客户群体。
天融信Web应用防火墙-方案白皮书
SQL注入攻击,是发生于应用程序之数据库层的安全漏洞。简而言之,是在输入的字符串之中注入SQL指令,在设计不良的程序当中忽略了检查,那么这些注入进去的指令就会被数据库服务器误认为是正常的SQL指令而运行,因此遭到破坏
测试步骤
1、TopWAF设备上开启安全策略-防护策略-SQL攻击防护开关,在web防护-服务器策略将相应安全策略进行绑定。
测试结果
通过部分通过未通过未测试
测试报文
3.1.2.1.2
测试分项目
XSS钓鱼攻击
测试目的
通过跨站攻击,攻击者修改HTTP页面源代码,实现记录用户认证信息等功能,通过此测试来验证waf对钓鱼攻击漏洞能否能做有效防护
测试步骤
1、TopWAF设备上开启安全策略-防护策略-XSS攻击防护开关,在web防护-服务器策略将相应安全策略进行绑定。
数字型SQL注入攻击
测试目的
SQL注入攻击,是发生于应用程序之数据库层的安全漏洞。简而言之,是在输入的字符串之中注入SQL指令,在设计不良的程序当中忽略了检查,那么这些注入进去的指令就会被数据库服务器误认为是正常的SQL指令而运行,因此遭到破坏
测试步骤
1、TopWAF设备上开启安全策略-防护策略-SQL攻击防护开关,在web防护-服务器策略将相应安全策略进行绑定。
2、在WebGoat服务器如下页面输入参数’or 1=1-
3、执行Go!
预期结果
该攻击被阻止,查看TopWAF攻击日志出现对应攻击防护阻断介绍:
测试结果
通过部分通过未通过未测试
备注
3.1.2.1.5
测试分项目
SQL盲注入
测试目的
如果网站上有盲注入漏洞则攻击者可以做猜解用户名密码等探测,通过此测试来验证waf能否对盲注入漏洞能否能做有效防护
天融信Web应用防火墙-方案白皮书
WebShell检测
HTTP协议异常
HTTP协议违规
其他类型的攻击
除了基于规则的检测方法,WAF产品还应具备基于自学习建模的主动防御引擎。对于URI和POST表单,WAF产品的主动防御引擎都可以学习到其参数的个数,以及每一个参数的类型和长度。在学习一段时间之后(通常是一到两周),WAF产品可以建立目标服务器所有动态页面的正向模型。在应用主动防御策略的条件下,所有不符合正向模型的参数都会被阻断,可有效的防御未知威胁和0day攻击。
符合的标准规范
环境保护GB/T 9813-2000;
电磁辐射GB/T 17618-1998;GB 9254-2008
WAF产品支持硬件bypass功能,可以串行接入用户网络环境,在设备升级维护等需要重新启动过程中确保用户网络通畅。WAF产品支持主主、主备方式的双机热备功能,可以实现链路的高可用性
2
2.1
配置说明
2U机架式结构;最大配置为26个接口;
4个10/100/1000BASE-T接口和4个SFP插槽,2个10/100/1000BASE-T接口(作为HA口和管理口);
默认包括2个可插拨的扩展槽
双电源
性能描述
并发连接>200万
吞吐率>2000Mbps
硬件参数
尺寸:460 *426* 89mm(2U)
电源:100-240V, AC,(47-63HZ),4.5-2A,300W
平均无故障时间(MTBF):超过60,000小时
工作温度:0~45℃
平台净重:9.07KG
产品毛重:12.68KG
有效的缓解拒绝服务攻击
WAF产品整合了DDoS防御能力,采用分层的立体防御和业界领先的源信誉检测机制,可以有效的缓解synflood攻击、CC攻击、slowheader、slowpost等拒绝服务攻击。
天融信Topsec_NGFW系列防火墙介绍 22页PPT文档
模块 模块 模块
模块名称:SSLVPN的扩展内存;模块性能:升级1G内存;
模块名称:防病毒模块;模块性能:支持1000用户,包含两年升级服务;备 注 :到期 后可续缴服务;
模块名称:防病毒模块升级;模块性能:防病毒模块的1年升级服务
模块 模块名称:IDP扩展模块;模块性能:IPS性能>800Mbps,含1年IDP规则库license;
标配10个10/101BASE-T接口
内嵌OS类型和版本
控制台PC的OS平台为Windows;防火墙OS平台为TOS(Topsec Operating System),版本为v3.3。OS 的子版本号为v3.3.010,相应的编译器版本为v3.3。
吞吐量 最大并发连接数
双机热备
上网行为管理
网络吞吐量1G 最大并发连接数80万 支持
模块 模块 模块
模块名称:IPSECVPN-VRC-LICENCSE 模块性能:IPSEC VPN客户端
模块名称:SSLVPN模块;模块性能:用户数>3500,最大支持3500并发用户;备 注 :缺省5个SSLVPN的License; 模块名称:SSLVPN-VRC-LICENSE 模块性能:SSLVPN客户端
支持对p2p协议进行阻断和限制等功能,提供150多种应用程序识别,并实时在线更新识别库,支持对 于应用协议流量的年/月/日图表显示
网页过滤
支持web分类过滤功能。提供包括9个大类、87个小类、百万级别的url库,并支持手动、自动更新。
升级管理
原厂质保期 ISCCC获证级别
包括GUI、WEB界面、命令行界面等。支持远程集中管理功能。包括本地升级和远程在线升级;相同型 号、相同主版本的软件升级终身免费,升级内容包括产品主要版本的故障排除、版本维护、故障修复 、补丁、小版本升级
天融信网络卫士防火墙NGFW ARES系列
流量和连接数; 可屏蔽受保护主机/服务器系统信息,可以替换服务器(FTP、SMTP、POP3、
Telnet,HTTP)的 BANNER 信息; 可以实现 telnet、DNS 等应用协议的深度过滤; 支持 HTTP 重定向功能,可以对伪装 HTTP 的协议进行识别和阻断。
强大的应用控制 网络卫士防火墙提供了强大的网络应用控制功能。用户可以轻松的针对一些典型网络应
用,如 MSN,QQ、Skype、新浪 UC、阿里旺旺、Google Talk 等即时通信应用,以及 BT、 Edonkey、Emule、讯雷等 p2p 应用实行灵活的访问控制策略,如禁止、限时乃至流量控制。 网络卫士防火墙还提供了定制功能,可以对用户所关心的网络应用进行全面控制。 网络处理器技术
等; 远程集中监控管理功能:支持远程集中管理监控功能,在同一个管理平台下
能够对所管理网络中所有的防火墙设备进行管理和监控,提供远程升级和配 置变更方法,非常方便用户对防火墙软件版本和配置变更的管理; 各类资源对象、安全策略可单独导入、导出,可以提供简单方便的配置备份 与恢复机制,并且可以恢复到出厂设置; 支持远程 TFTP、FTP、HTTP 等方式升级。 支持 DDNS 功能,在用户使用 ADSL 等动态获得 IP 地址的情况下可以方便得管 理到设备。
天融信产品白皮书 网络卫士防火墙 NGFW ARES 系列
网络卫士防火墙 NGFW ARES 系列
网络卫士 NGFWARES 系列防火墙产品,是天融信公司为行业分支机构、中小型企业、 教育行业非骨干节点院校、单位内部的部门级等中小用户开发的高性价比的安全平台。网络卫 士 NGFWARES 系列防火墙产品既提供 1U 可上机架的产品,也提供小巧的桌面型产品,具有 灵活的配置向导。
天融信终端防护白皮书
网络卫士主机监控与审计系统技术白皮书目录第一章前言 (1)第二章产品概述 (1)2.1产品架构 (2)2.2设计依据 (3)第三章功能简介 (3)3.1统一安全策略管理 (3)3.2集中补丁管理及软件分发 (3)3.3终端行为监控 (3)3.4终端系统状态监控 (4)3.5非法外联监控 (5)3.6非法内联监控 (5)3.7终端设备监控 (5)3.8移动存储介质管控 (5)3.9文件监控及网络共享监视 (5)3.10终端敏感信息检查 (5)3.11终端流量监控 (6)3.12安全审计 (6)3.13安全报警 (6)3.14资产管理 (7)3.15与天融信TopAnalyzer的完美整合 (7)3.16系统管理责权分立 (7)第四章产品优势与特点 (7)第五章产品性能指标 (7)第六章运行环境与部署 (8)6.1运行环境 (8)6.2产品应用部署 (8)6.2.1局域网应用部署 (8)6.2.2广域网应用部署 (9)第七章产品资质 (10)第八章关于天融信 (10)第一章前言随着计算机网络技术的飞速发展与应用,各行业信息化办公已经得到普及。
各单位经过多年的信息化建设,单位内部网络应用日益复杂,主要体现在网络分布广泛、终端数量庞大、业务应用系统越来越多。
虽然大部分单位都部署了防火墙、漏洞扫描等网络边界安全设备,但是由于业务运行保密性需求越来越高,边界防御产品无法对员工的个人行为进行管制,网络中的终端PC的安全运行无法得到保障,使得单位内部网络想日常运营存在重大的安全隐患,内部网络中的大量敏感信息也受到严重威胁。
来自网络内部终端PC的安全威胁成为众多安全管理者需要面临的新问题,主要体现在以下几方面:1)移动办公设备、终端PC以及存储介质随意接入内网该如何防范。
2)内网中的涉密设备非法连接外网该如何防范。
3)网络中占用大量带宽的终端如何才能及时发现。
4)如何及时发现网络中的终端设备的系统漏洞并自动分发、安装补丁。
天融信网络负载均衡系统白皮书
天融信网络负载均衡系统白皮书目录1产品功能描述 (3)1.1负载均衡系统 (3)1.1.1系统概述 (3)1.1.2功能描述 (3)2产品硬件规格及性能参数 (5)2.1负载均衡:TopApp-81238-NLB-R (5)3产品测试方案 (6)3.1负载均衡系统测试方案 (6)3.1.1测试目的 (6)3.1.2测试内容 (6)3.1.3测试环境 (7)3.1.4测试用例设计 (8)3.1.5测试结论 (24)1 产品功能描述1.1 负载均衡系统1.1.1 系统概述随着云计算、虚拟化等技术的兴起,用户对负载均衡设备提供了更高的要求,负载均衡还要负担应用的优化加速、安全等功能,来提高用户体验,适应各种复杂的场景,比如适配数据中心,对数据中心的虚拟机进行管理等。
用户希望简化部署方式,根据应用所需性能增加或者减少服务器,增加数据中心的利用率,减少运营成本。
应用交付是负载均衡、广域网优化、WEB防火墙等技术的融合,通过这些技术来保证用户关键业务应用能可靠、安全的交付到用户手中。
天融信负载均衡设备能为用户提供数据中心的全套解决方案,包括单数据中心的链路负载均衡和服务器负载均衡、以及多数据中心的全局负载均衡。
支持直连、单臂透明、单臂反向、三角等组网模式,丰富的负载均衡方法,能适用各种场景下的服务负载均衡需求。
通过压缩、缓存、SSL卸载、HTTP优化等技术加速应用的处理,提供全方位防DDOS攻击、WEB应用防火墙等安全防护,为应用安全保驾护航,丰富的统计数据、定制化的报表,用户能实时了解应用运行状态。
通过全方位的负载均衡,增加了数据中心的服务器和网络的利用率,增加了应用的安全性和可靠性,从而减少了用户服务器成本和网络运维成本。
1.1.2 功能描述⏹页面加速通过自动修改HTML页面及其引用的资源如CSS、JavaScript、图片的内容,利用精简、合并、嵌入原始文件内容,转换图片格式等手段来减少HTTP请求,从而加快整个页面的响应速度,最终提升用户体验⏹丰富的服务器负载均衡算法TopAD设备支持的负载均衡算法种类达到13种,这些高效实用的负载均衡算法,能够让用户根据实际的应用场景,选择最佳的负载均衡算法,从而合理分担各个服务器的负载,提高服务器的有效利用率。
天融信云安全监控服务白皮书
天融信云安全监控服务销售白皮书北京天融信公司2012年8月目录1 服务背景 (4)1.1各类网络安全产品的大量使用带来新的工作挑战 (4)1.2WEB的广泛应用导致针对WEB服务器的攻击日益盛行 (5)1.3天融信云安全监控服务 (6)2服务说明 (7)2.1天融信安全设备远程监控服务 (7)2.1.1目标客户 (7)2.1.2产品功能 (7)2.1.2.1多方位可用性监控 (7)2.1.2.2策略评估 (8)2.1.2.3策略监控 (9)2.1.2.4策略备份 (9)2.1.2.5智能风险防御 (10)2.1.2.6设备更新管理 (10)2.1.2.7备件响应服务 (10)2.1.2.8内网事件分析 (10)2.1.2.9外网事件分析 (11)2.1.2.10日志云存储服务 (11)2.1.3典型应用 (11)2.2天融信网站监控防护服务 (11)2.2.1目标客户 (12)2.2.2产品功能 (12)2.2.2.1可用性状态监控 (12)2.2.2.2敏感字监控 (12)2.2.2.3网站页面防篡改监控和网页恢复 (12)2.2.2.4网站遭受攻击后并可能产生影响时,是否被风险隔离122.2.2.5实时阻断对WEB服务的各种攻击行为 (13)2.2.2.6WEB漏洞检测 (13)2.2.2.7防拒绝服务攻击 (13)2.2.2.8异常外联事件分析 (13)2.2.2.9日志云存储服务 (13)2.2.2.10安全信息通报服务 (14)2.2.3典型应用 (14)3服务特点 (14)3.1更彻底的网站防护及页面防篡改、页面恢复 (14)3.2强大的WEB网站防护能力 (14)3.3符合国家信息安全评测的标准和结果 (14)3.4提供专业的网站防护巡检、评测、加固、应急等持续性服务 (14)3.5有效提升网络安全设备的防护价值和风险控制能力 (15)3.6云安全在线监测服务提供全天侯监控和即时预警 (15)3.7提供安全设备和网站防护的日志存储服务 (15)3.8以结果为导向的“托管式全方位服务” (15)3.9丰富经验和专业技术的保障 (16)3.10解决实际问题的专家级报告 (16)4客户收益 (16)1服务背景1.1各类网络安全产品的大量使用带来新的工作挑战过去的十多年来,网络安全形势一直十分严峻,重大网络安全事故频频发生。
统一身份认证平台白皮书
统一身份认证平台产品白皮书1. 产品简介统一身份认证平台可为企业办公网络中的B/S和C/S业务系统、网络设备、主机、数据库等企业资源,提供高性能的安全认证、统一接入、访问控制、安全管理、安全审计服务。
统一身份认证平台分为两个型号:平台-S和平台-G,分别具有不同侧重:平台-S作为应用帐号管理、统一认证、单点登录和权限管理中心,以企业用户、B/S和C/S系统为整合目标,实现统一认证、统一授权和访问控制。
平台-G是以提供企业内部应用系统、服务器主机、网络设备等资源的访问控制为目标,集成强身份认证、会话审计、集中管理功能的一体化硬件设备。
可对企业内部用户应用访问、管理员维护等各类操作进行访问控制。
平台-G基于包过滤及代理技术,可实现对HTTP、Telnet、SSH、FTP、RDP远程桌面、CIFS 文件共享等应用协议的访问控制及会话审计。
列表说明平台-S与平台-G的区别:1.1 产品可解决的问题统一身份认证平台能够满足不同企业集中认证、访问控制和安全管理的需求。
1、安全身份认证服务。
提供口令认证、证书认证、USB智能卡认证、动态令牌认证、指纹认证、短信认证等多种认证方式;同时支持LDAP、AD、RADIUS等外部认证源。
2、联邦身份认证中心。
为企业应用、主机、设备等提供多种认证接口,实现企业内部用户的统一身份认证,将统一身份认证平台作为企业内所有业务系统的认证入口,用户登录统一身份认证平台后,由统一身份认证平台对登录用户进行集中授权。
3、应用系统(B/S、C/S)的安全单点登录。
通过统一身份认证平台认证并授权的用户,可在统一身份认证平台中通过单点登录的方式访问B/S、C/S应用,方便用户使用,提高工作效率。
4、网络访问控制。
在网络设备和服务器资源管理中指定用户可以访问的网络资源,从网络层限制了用户的网络访问权限,可用多种可选方式对维护人员的身份进行认证,可以有效避免非法用户的假冒。
5、访问审计。
记录系统范围内的安全和系统审计信息,有效地分析整个系统的日常操作与安全事件数据,通过归类、合并、关联、优化、直观呈现等方法,使管理员轻松识别应用系统环境中潜在的恶意威胁活动,可帮助用户明显地降低受到来自外界和内部的恶意侵袭的风险。
天融信NGFW4000-UF千兆防火墙白皮书
网络卫士防火墙系统NGFW4000-UF系列产品说明天融信TOPSEC® 北京市海淀区上地东路1号华控大厦 100085电话:+8610-82776666传真:+8610-82776677服务热线:+8610-8008105119http: //版权声明本手册的所有内容,其版权属于北京天融信公司(以下简称天融信)所有,未经天融信许可,任何人不得仿制、拷贝、转译或任意引用。
本手册没有任何形式的担保、立场倾向或其他暗示。
若因本手册或其所提到的任何信息引起的直接或间接的资料流失、利益损失,天融信及其员工恕不承担任何责任。
本手册所提到的产品规格及资讯仅供参考,有关内容可能会随时更新,天融信恕不承担另行通知之义务。
版权所有不得翻印© 1995-2009天融信公司商标声明本手册中所谈及的产品名称仅做识别之用,而这些名称可能属于其他公司的注册商标或是版权,其他提到的商标,均属各该商标注册人所有,恕不逐一列明。
TopSEC®天融信信息反馈NGFW 4000-UF系列产品说明目录1产品概述 (1)2关键技术 (2)1)灵活的接口扩展能力 (2)2)安全高效的TOS操作系统 (2)3)集成多种安全引擎:FIREWALL+IPSEC+SSL+ANTIVIRUS+IPS (3)4)完全内容检测CCI技术 (3)3产品特点介绍 (3)4产品功能 (9)5运行环境与标准 (15)6典型应用 (17)1)典型应用一:在大型网络中的应用 (17)2)典型应用二:虚拟防火墙应用 (18)3)典型应用三:AA模式双机热备 (19)7产品资质 (20)1产品概述网络卫士系列防火墙NGFW4000-UF(NetGuard FireWall)系列产品,是天融信公司积累多年网络安全产品开发与实践经验的应用最为广泛的千兆防火墙。
它继承了天融信公司十多年来在安全产品研发中的积累的多项成果,以自主知识产权的网络安全操作系统TOS (Topsec Operating System)为系统平台,采用开放性的系统架构及模块化的设计思想,充分体现了天融信公司在长期的产品开发和市场推广过程中对于用户需求的深刻理解。
天融信网络负载均衡系统白皮书
天融信网络负载均衡系统白皮书目录1产品功能描述 (3)1.1负载均衡系统 (3)1.1.1系统概述 (3)1.1.2功能描述 (3)2产品硬件规格及性能参数 (5)2.1负载均衡:TopApp-81238-NLB-R (5)3产品测试方案 (6)3.1负载均衡系统测试方案 (6)3.1.1测试目的 (6)3.1.2测试内容 (6)3.1.3测试环境 (7)3.1.4测试用例设计 (8)3.1.5测试结论 (24)1 产品功能描述1.1 负载均衡系统1.1.1 系统概述随着云计算、虚拟化等技术的兴起,用户对负载均衡设备提供了更高的要求,负载均衡还要负担应用的优化加速、安全等功能,来提高用户体验,适应各种复杂的场景,比如适配数据中心,对数据中心的虚拟机进行管理等。
用户希望简化部署方式,根据应用所需性能增加或者减少服务器,增加数据中心的利用率,减少运营成本。
应用交付是负载均衡、广域网优化、WEB防火墙等技术的融合,通过这些技术来保证用户关键业务应用能可靠、安全的交付到用户手中。
天融信负载均衡设备能为用户提供数据中心的全套解决方案,包括单数据中心的链路负载均衡和服务器负载均衡、以及多数据中心的全局负载均衡。
支持直连、单臂透明、单臂反向、三角等组网模式,丰富的负载均衡方法,能适用各种场景下的服务负载均衡需求。
通过压缩、缓存、SSL卸载、HTTP优化等技术加速应用的处理,提供全方位防DDOS攻击、WEB应用防火墙等安全防护,为应用安全保驾护航,丰富的统计数据、定制化的报表,用户能实时了解应用运行状态。
通过全方位的负载均衡,增加了数据中心的服务器和网络的利用率,增加了应用的安全性和可靠性,从而减少了用户服务器成本和网络运维成本。
1.1.2 功能描述⏹页面加速通过自动修改HTML页面及其引用的资源如CSS、JavaScript、图片的内容,利用精简、合并、嵌入原始文件内容,转换图片格式等手段来减少HTTP请求,从而加快整个页面的响应速度,最终提升用户体验⏹丰富的服务器负载均衡算法TopAD设备支持的负载均衡算法种类达到13种,这些高效实用的负载均衡算法,能够让用户根据实际的应用场景,选择最佳的负载均衡算法,从而合理分担各个服务器的负载,提高服务器的有效利用率。
天融信网络漏洞扫描系统白皮书
天融信网络漏洞扫描系统白皮书目录1产品功能描述 (3)1.1漏扫扫描系统 (3)1.1.1系统概述 (3)1.1.2功能描述 (3)2产品硬件规格及性能参数 (6)2.1漏扫:TSC-71528 (6)3产品测试方案 (7)3.1漏洞扫描系统测试方案 (7)3.1.1测试目的 (7)3.1.2测试环境 (8)3.1.3功能测试 (9)3.1.4专项测试 (32)3.1.5漏洞测试 (37)3.1.6压力测试 (55)3.1.7测试结论 (57)1 产品功能描述1.1 漏扫扫描系统1.1.1 系统概述网络系统的安全性取决于网络系统中最薄弱的环节,然而策略的制订和实施在实际应用中相差甚远,网络系统的安全性是一个动态的过程,系统配置的不断更改,攻击技术的不断提高,网络系统的安全系数也会不断的变化,如何及时发现网络系统中最薄弱环节?如果最大限度地保证网络系统的安全?最有效的方式就是定期对网络系统进行安全性分析并及时发现并查找漏洞并进行修改。
因此需要建立一套漏扫主动发现的手段完善企业网络安全。
漏洞扫描系统即是漏洞发现与评估系的统,作用是模拟扫描攻击,通过对系统漏洞、服务后门等攻击手段多年的研究积累,总结出了智能主机服务发现,可以通过智能遍历规则库和多种扫描选项的组合手段,深入检测出系统中存在的漏洞和弱点,最后根据扫描结果,提供测试用例来辅助验证漏洞的准确性,同时提供整改方法和建议,帮助管理员修补漏洞,全面提升整体安全性。
1.1.2 功能描述漏洞扫描管理设计扫描管理漏洞扫描一般采用渐进式扫描分析方法,融合操作系统指纹识别、智能端口服务识别等技术,能够准确识别被扫描对象的各种信息,发现其弱点和漏洞,并提出安全解决建议。
任务管理中心为用户扫描操作提供了方便,可以使用默认扫描策略也可以使用自定义扫描策略,来创建任务扫描计划,创建扫描任务时也可调整执行方式,建立定时任务、周期任务、标准任务等,从而具体针对性的进行脆弱性扫描。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
服务热线:4006105119/8008105119
3
l 强大的应用代理模块
NGFWARES 系列产品说明
具有透明应用代理功能,支持 FTP、HTTP、TELNET、PING、SSH、FTP—DATA、SMTP、 WINS、TACACS、DNS、TFTP、POP3、RTELNET、SQLSERV、NNTP、IMAP、SNMP、NETBIOS、 DNS、IPSEC—ISAKMP、RLOGIN、DHCP、RTSP、MS-SQL-(S、M、R)、RADIUS-1645、PPTP、 SQLNET—1521、SQLNET—1525、H.323、MSN、CVSSERVER、MS-THEATER、MYSQL、QQ、SECURID (TCP、UDP)PCANYWHERE、IGMP、GRE、PPPOE、IPV6 等协议,可以实现文件级过滤。
本手册的所有内容,其版权属于北京天融信公司(以下简称天融信)所有, 未经天融信许可,任何人不得仿制、拷贝、转译或任意引用。本手册没有任何形 式的担保、立场倾向或其他暗示。
若因本手册或其所提到的任何信息引起的直接或间接的资料流失、利益损失, 天融信及其员工恕不承担任何责任。本手册所提到的产品规格及资讯仅供参考, 有关内容可能会随时更新,天融信恕不承担另行通知之义务。
l 深层的内容安全控制功能
防火墙支持对 HTTP 的 URL 过滤,通过将 HTTP 的命令分为读、写和执行来控制命令 的使用,达到命令级的过滤;也支持对 FTP 命令和传输文件的过滤,通过将文件资源和 URL 资源应用到访问规则中来控制对文件或 URL 的请求,支持对移动代码如 Vbscript、 JAVA script、ActiveX、Applet 的过滤,支持页面关键词过滤,支持对邮件主题、发件 人、收件人、附件类型和大小的控制功能。
目录
1 产品概述 ....................................................................................................................................... 1 2 关键技术 ....................................................................................................................................... 2
网络卫士防火墙系统
NGFWARES 系列
产品说明
天融信 TOPSEC® 北京市海淀区上地东路 1 号华控大厦 100085 电话:+861082776666 传真:+861082776677 服务热线:+86108008105119 http: //
版权声明
NGFWARES 作为网络卫士系列防火墙中的低端产品,以其安全、高效、可靠、应用广 泛、方便灵活等特点,特别适用于行业分支机构、中小型企业、教育行业非骨干节点院 校等中小用户,充分满足中小用户的需求。
NGFWARES (TG1*08)
NGFWARES (TG1503)
NGFWARES (TG1*03)
服务热线:4006105119/8008105119
2
l 先进的设计思想
NGFWARES 系列产品说明
采用面向资源的设计方法。把安全控制所涉及的各种实体抽象为对象,包括区域、 地址、地址组、服务、服务组、时间表、服务器、均衡组、关键字、文件、特殊端口等。 不同对象的实体组成资源,用于描述各种安全策略,实现全方位的安全控制。极大地提 高了网络安全性,并保证了配置的方便性。
说明
² 此图片为网络卫士系列防火墙 NGFWARES 新一代产品图片,部分老型 号产品请参见实物。
服务热线:4006105119/8008105119
1
2 关键技术
NGFWARES 系列产品说明
1) 安全高效的 TOS 操作系统
具有完全自主知识产权的 TOS (Topsec Operating System) 安全操作系统,采用全模 块化设计,使用中间层理念,减少了系统对硬件的依赖性,有效保障了防火墙、SSL VPN、 IPSEC VPN、防病毒、内容过滤、抗攻击、带宽管理等功能模块的优异性能。TOS 良好的扩 展性为未来迅速扩展更多特性提供了无限可能。
1) 安全高效的 TOS 操作系统........................................................................................................ 2 2) 高性价比的架构 ........................................................................................................................ 2 3 产品特点介绍 ............................................................................................................................... 2 4 产品功能 ....................................................................................................................................... 7 5 运行环境与标准.......................................................................................................................... 10 6 典型应用 ..................................................................................................................................... 12 1) 典型应用一: NGFWARES 在百兆网络中的应用 .................................................................. 12 2) 典型应用二:在企业、政府互联网出口处的应用 ................................................................. 13 7 产品资质 ..................................................................................................................................... 13
版权所有 不得翻印© 19952009 天融信公司
商标声明
本手册中所谈及的产品名称仅做识别之用,而这些名称可能属于其他公司的 注册商标或是版权,其他提到的商标,均属各该商标注册人所有,恕不逐一列明。
TopSEC®天融信
信息反馈
NGFWARES 系列产品说明
系统核心层实现传输内容的还原、安全检测,实现高性能的 TOPSEC 内容安全协议, 支持病毒检测和垃圾邮件过滤。
l 丰富的 AAA 功能,支持会话认证
网络卫士系列防火墙支持对网络用户提供丰富的安全身份认证,如一次性口令 (OTP)、S/KEY、RADIUS 、TACACS、LDAP、secuid 、域认证及数字证书等常用的安全 认证方法,也可以使用专用的认证客户端软件进行认证。基于用户的安全策略更灵活、 更广泛地实现了用户鉴别和用户授权的控制,并提供了丰富的安全日志来记录用户的安 全事件。
在 MAC 层提供基于 MAC 地址的过滤控制能力,同时支持对各种二层协议的过滤功能; 在网络层和传输层提供基于状态检测的分组过滤,可以根据网络地址、网络协议以及 TCP 、UDP 端口进行过滤,并进行完整的协议状态分析;在应用层通过深度内容检测机 制,可以对高层应用协议命令、访问路径、内容、访问的文件资源、关键字、移动代码 等实现内容安全控制;同时还直接支持丰富的第三方认证,提供用户级的认证和授权控 制。网络卫士系列防火墙的多级过滤形成了立体的、全面的访问控制机制,实现了全方 位的安全控制。
2) 高性价比的架构
NGFWARES 系列产品采用嵌入式硬件设计,并基于自主操作系统 TOS(Topsec Operating System)的多功能安全网关,是第一款集路由、交换、无线接入、语音支持的多 功能、即插即用的安全网关。
3 产品特点介绍
l 独创的安全技术
在 TOS 上的防火墙安全引擎(SE)采用了基于 OS 内核的会话检测技术,在 OS 内 核实现对应用层的访问控制。与包过滤和应用代理防火墙相比,在实现了二到七层的细 粒度访问控制的同时,更有效地保证了产品的高性能。
l 超强的防御功能
高级的 Intelligent Guard 技术提供了强大的入侵防护功能,能抵御常见的各种攻 击,包括 Syn Flood、Smurf、Targa3、Syn Attack、ICMP flood、Ping of death、Ping Sweep、Land attack、Tear drop attack、IP address sweep option、Filter IP source route option、Syn fragments、No flags in TCP、ICMP 碎片、大包 ICMP 攻击、不明 协议攻击、IP 欺骗、IP security options、IP source route、IP record route 、IP bad options、IP 碎片、端口扫描等几十种攻击,网络卫士系列防火墙不但有内置的攻 击检测能力,还可以和 IDS 产品 实现联动。这不但提高了安全性,而且保证了高性能。