迪普防火墙技术白皮书
DPtech FW1000系列防火墙系统用户配置手册解析
DPtech FW1000系列防火墙用户配置手册杭州迪普科技有限公司为客户提供全方位的技术支持。
通过杭州迪普科技有限公司代理商购买产品的用户,请直接与销售代理商联系;直接向杭州迪普科技有限公司购买产品的用户,可直接与公司联系。
杭州迪普科技有限公司地址:杭州市滨江区火炬大道581号三维大厦B座901室邮编:310053声明Copyright 2010杭州迪普科技有限公司版权所有,保留一切权利。
非经本公司书面许可,任何单位和个人不得擅自摘抄、复制本书内容的部分或全部,并不得以任何形式传播。
由于产品版本升级或其他原因,本手册内容有可能变更。
杭州迪普科技有限公司保留在没有任何通知或者提示的情况下对本手册的内容进行修改的权利。
本手册仅作为使用指导,杭州迪普科技有限公司尽全力在本手册中提供准确的信息,但是杭州迪普科技有限公司并不确保手册内容完全没有错误,本手册中的所有陈述、信息和建议也不构成任何明示或暗示的担保。
目录第1章产品概述1-11.1产品简介1-1 1.2WEB管理1-1 1.2.1登录WEB管理界面1-1 1.2.2WEB界面布局介绍1-2第2章系统管理2-12.1简介2-1 2.2设备管理2-1 2.2.1设备信息2-1 2.2.2设备状态2-3 2.2.3设备设置2-4 2.3SNMP配置2-7 2.3.1简介2-7 2.3.2配置信息2-7 2.3.3IP地址列表2-8 2.4管理员2-8 2.4.1简介2-8 2.4.2当前管理员2-9 2.4.3管理员设置2-9 2.4.4登录参数设置2-11 2.5配置文件2-12 2.6特征库2-13 2.6.1APP特征库2-13 2.6.2URL分类过滤特征库2-16 2.6.3L ICENSE文件管理2-17 2.7软件版本2-18 2.8NTP配置2-19第3章网络管理3-13.1简介3-1 3.2接口管理3-2 3.2.1简介3-2 3.2.2组网配置3-2 3.3网络对象3-93.3.1简介3-9 3.3.2安全域3-10 3.3.3IP地址3-11 3.3.4 MAC地址3-13 3.3.5账号3-14 3.3.6实名3-14 3.3.7服务3-15 3.4单播IP V4路由3-17 3.4.1简介3-17 3.4.2静态路由3-18 3.4.3路由表3-18 3.4.4等价路由3-19 3.4.5BGP协议3-19 3.4.6配置RIP协议3-22 3.4.7配置OSPF协议3-24 3.4.8显示OSPF接口信息3-26 3.4.9显示OSPF邻居信息3-27 3.5单播IP V6路由3-28 3.5.1简介3-28 3.5.2配置IP V6静态路由3-28 3.5.3显示IP V6路由表3-29 3.6组播路由3-30 3.6.1简介3-30 3.6.2配置PIM/IGMP协议3-30 3.7策略路由3-31 3.7.1简介3-31 3.7.2策略路由3-31 3.8ARP配置3-32 3.8.1简介3-32 3.8.2ARP查看3-32 3.8.3静态ARP项配置3-33 3.8.4免费ARP定时发送3-33 3.9DNS配置3-34 3.9.1简介3-34 3.9.2DNS配置3-34 3.10DHCP配置3-35 3.10.1简介3-35 3.10.2DHCP服务器配置3-35 3.10.3DHCP中继代理配置3-37 3.10.4DHCP地址信息列表3-37 3.11无线配置3-38 3.12诊断工具3-39 3.12.1P ING3-39 3.12.2T RACEROUTE3-40第4章防火墙4-14.1简介4-1 4.2包过滤策略4-1 4.3NAT 4-4 4.3.1简介4-4 4.3.2源NAT 4-4 4.3.3目的NAT 4-5 4.3.4一对一NAT 4-6 4.3.5地址池4-7 4.4基本攻击防护4-7 4.4.2攻击防护日志查询4-9 4.5DD O S攻击防护4-10 4.5.1SYN F LOOD防护4-10 4.5.2ICMP F LOOD防护4-10 4.5.3UDP F LOOD防护4-11 4.5.4会话数限制4-12 4.5.5DD O S日志查询4-12 4.6黑名单4-14 4.6.1黑名单4-14 4.6.2黑名单查询4-14 4.6.3黑名单日志查询4-15 4.7MAC/IP绑定4-16 4.7.1MAC/IP绑定4-16 4.7.2MAC/IP绑定自动学习4-17 4.7.3用户MAC绑定4-18 4.7.4用户IP绑定4-19 4.7.5MAC/IP绑定日志查询4-20 4.8会话管理4-22 4.8.1会话列表4-22 4.8.2会话参数4-23 4.9Q O S服务质量4-1 4.9.1简介4-1 4.9.2带宽保证4-1 4.10防ARP欺骗4-1 4.10.1简介4-1 4.10.2防ARP欺骗4-1第5章日志管理5-25.1简介5-2 5.2系统日志5-3 5.2.1最近的日志5-35.2.2系统日志查询5-4 5.2.3系统日志文件操作5-5 5.2.4系统日志配置5-6 5.3操作日志5-7 5.3.1最近的日志5-7 5.3.2操作日志查询5-8 5.3.3操作日志文件操作5-9 5.3.4操作日志配置5-10 5.4业务日志5-11 5.4.1业务日志配置5-11第6章负载均衡6-16.1服务器负载均衡6-1 6.1.1简介6-1 6.1.2虚拟服务器6-1 6.1.3真实服务器6-2 6.1.4健康检查6-2第7章应用防火墙7-37.1网络应用带宽限速7-3 7.1.1简介7-3 7.1.2网络应用用户组限速7-3 7.1.3每IP带宽应用限速7-5 7.1.4网络应用组管理7-6 7.1.5网络应用组管理7-7 7.1.6典型配置7-7 7.2网络应用访问控制7-9 7.2.1简介7-9 7.2.2网络应用访问控制7-9 7.2.3网络应用组管理7-10 7.2.4网络应用组管理7-11 7.2.5典型配置7-12 7.3URL过滤7-14 7.3.1简介7-14 7.3.2URL分类过滤策略7-14 7.3.3高级URL过滤7-16 7.3.4URL过滤推送配置7-17 7.3.5典型配置7-18第8章 VPN 8-18.2IPS EC VPN 8-1 8.2.1IPS EC简介8-1 8.2.2创建IPS EC规则8-2 8.2.3IPS EC连接显示8-3 8.3L2TP VPN 8-5 8.3.1L2TP简介8-5 8.3.2配置L2TP 8-5 8.4GRE VPN 8-6 8.4.1GRE简介8-6 8.4.2配置GRE规则8-6 8.5SSL VPN 8-7 8.5.1SSL VPN简介8-7 8.5.2配置SSL VPN规则8-7 8.6数字证书8-9 8.6.1简介8-9 8.6.2简介8-9第9章审计分析9-19.1简介9-1 9.2流量分析9-1 9.2.1网络流量快照9-1 9.2.2业务流量分析9-3 9.2.3单用户业务流量分析9-6 9.2.4TOP用户流量分析9-8 9.2.5流量统计配置9-9 9.3行为审计9-10 9.3.1创建行为审计规则9-10 9.3.2最近的日志9-11 9.3.3审计日志查询与删除9-12 9.3.4用户当前行为9-13 9.4关键字过滤9-14 9.4.1审计日志查询9-14 9.4.2最近的日志9-15 9.4.3审计日志的查询9-15 9.5行为审计典型配置举例9-17 9.5.1配置需求9-17 9.5.2组网需求9-17 9.5.3配置步骤9-17第10章应用层过滤10-110.2关键字设置10-1 10.3邮箱设置10-2 10.4HTTP过滤10-3 10.5邮件过滤10-3 10.6FTP过滤10-4第11章用户认证11-111.1简介11-1 11.2本地认证用户11-1 11.2.1简介11-1 11.2.2本地认证用户配置11-2 11.3W EB认证11-2 11.3.1W EB认证配置11-2 11.3.2W EB认证在线用户11-4 11.3.3前台管理11-5第12章高可靠性12-112.1简介12-1 12.2VRRP 12-1 12.2.1VRRP备份组配置12-1 12.3双机热备12-3 12.3.1双机热备配置12-3➢图形目录图1-1 WEB管理登陆界面 ..................................................................................................................................... 1-1 图1-2 FW系统结构图............................................................................................................................................ 1-3 图1-3 WEB界面布局 ............................................................................................................................................. 1-4 图2-1 系统管理菜单.............................................................................................................................................. 2-1 图2-2 设备信息...................................................................................................................................................... 2-2 图2-3 设备状态...................................................................................................................................................... 2-3 图2-4 设备状态查看快捷区域.............................................................................................................................. 2-4 图2-5 系统名称设置.............................................................................................................................................. 2-4 图2-6 系统时间设置.............................................................................................................................................. 2-5 图2-7 系统阈值设置.............................................................................................................................................. 2-5 图2-8 系统阈值设置.............................................................................................................................................. 2-6 图2-9 数据库清空设置.......................................................................................................................................... 2-6 图2-10 配置信息设置............................................................................................................................................ 2-7 图2-11 IP地址列表设置 ........................................................................................................................................ 2-8 图2-12 当前管理员................................................................................................................................................ 2-9 图2-13 管理员设置.............................................................................................................................................. 2-10 图2-14 登录参数设置.......................................................................................................................................... 2-11 图2-15 配置文件管理.......................................................................................................................................... 2-12 图2-16 特征库...................................................................................................................................................... 2-14 图2-17 特征库版本信息...................................................................................................................................... 2-14 图2-18 自动升级设置.......................................................................................................................................... 2-15 图2-19 手动升级设置.......................................................................................................................................... 2-16 图2-20 页面升级进度.......................................................................................................................................... 2-16 图2-21 特征库版本信息...................................................................................................................................... 2-17 图2-22 License文件管理...................................................................................................................................... 2-17 图2-23 软件版本.................................................................................................................................................. 2-18 图2-24 NTP配置 .................................................................................................................................................. 2-19 图2-25 NTP client配置......................................................................................................................................... 2-20 图3-1 网络管理菜单.............................................................................................................................................. 3-2 图3-2 组网模式...................................................................................................................................................... 3-3 图3-3 接口组网配置.............................................................................................................................................. 3-3 图3-4 内网IP管理 .................................................................................................................................................. 3-4 图3-5 VLAN配置................................................................................................................................................... 3-5 图3-6 业务接口配置.............................................................................................................................................. 3-6 图3-7 端口聚合配置.............................................................................................................................................. 3-7 图3-8 端口聚合状态.............................................................................................................................................. 3-8 图3-9 安全域........................................................................................................................................................ 3-10 图3-10 地址对象.................................................................................................................................................. 3-11 图3-11 地址对象组.............................................................................................................................................. 3-12 图3-12 地址对象组的配置说明图...................................................................................................................... 3-12 图3-13 地址对象群.............................................................................................................................................. 3-13图3-15 mac对象 ................................................................................................................................................... 3-13 图3-16 账号.......................................................................................................................................................... 3-14 图3-17 实名.......................................................................................................................................................... 3-15 图3-18 服务.......................................................................................................................................................... 3-16 图3-19 自定义服务对象...................................................................................................................................... 3-16 图3-20 服务对象组.............................................................................................................................................. 3-17 图3-21 配置静态路由.......................................................................................................................................... 3-18 图3-22 路由表...................................................................................................................................................... 3-19 图3-23 配置等价路由.......................................................................................................................................... 3-19 图3-24 配置BGP协议 .......................................................................................................................................... 3-19 图3-25 BGP高级配置 .......................................................................................................................................... 3-20 图3-26 显示BGP邻居信息 .................................................................................................................................. 3-21 图3-27 配置RIP协议............................................................................................................................................ 3-22 图3-28 RIP高级配置............................................................................................................................................ 3-23 图3-29 配置OSPF协议 ........................................................................................................................................ 3-24 图3-30 新建区域.................................................................................................................................................. 3-24 图3-31 高级配置.................................................................................................................................................. 3-26 图3-32 显示OSPF接口信息 ................................................................................................................................ 3-27 图3-33 显示路由表.............................................................................................................................................. 3-27 图3-34 IPv6静态路由配置 .................................................................................................................................. 3-29 图3-35 IPv6路由表 .............................................................................................................................................. 3-29 图3-36 配置PIM/IGMP协议................................................................................................................................ 3-30 图3-37 PIM/IGMP协议高级配置........................................................................................................................ 3-31 图3-38 策略路由.................................................................................................................................................. 3-32 图3-39 ARP查看 .................................................................................................................................................. 3-33 图3-40 静态ARP项配置 ...................................................................................................................................... 3-33 图3-41 免费ARP定时发送 .................................................................................................................................. 3-34 图3-42 DNS配置.................................................................................................................................................. 3-34 图3-43 DHCP服务器 ........................................................................................................................................... 3-35 图3-44 DHCP中继代理配置 ............................................................................................................................... 3-37 图3-45 DHCP地址信息列表 ............................................................................................................................... 3-38 图3-46 无线配置.................................................................................................................................................. 3-38 图3-47 网络诊断PING ......................................................................................................................................... 3-39 图3-48 PING结果................................................................................................................................................. 3-39 图3-49 网络诊断Traceroute ................................................................................................................................. 3-40 图3-50 Traceroute结果......................................................................................................................................... 3-40 图4-1 防火墙菜单.................................................................................................................................................. 4-1 图4-2 配置包过滤.................................................................................................................................................. 4-2 图4-3 配置动作...................................................................................................................................................... 4-3 图4-4 源NAT配置列表.......................................................................................................................................... 4-4 图4-5 配置目的NAT .............................................................................................................................................. 4-5 图4-6 配置一对一NAT .......................................................................................................................................... 4-6 图4-7 地址池.......................................................................................................................................................... 4-7图4-9 攻击防护日志查询...................................................................................................................................... 4-9 图4-10 SYN Flood防护........................................................................................................................................ 4-10 图4-11 ICMP Flood防护...................................................................................................................................... 4-11 图4-12 UDP Flood防护........................................................................................................................................ 4-11 图4-13 会话数限制.............................................................................................................................................. 4-12 图4-14 DDoS日志查询........................................................................................................................................ 4-13 图4-15 黑名单配置.............................................................................................................................................. 4-14 图4-16 黑名单查询.............................................................................................................................................. 4-14 图4-17 黑名单日志查询...................................................................................................................................... 4-15 图4-18 MAC/IP绑定 ............................................................................................................................................ 4-16 图4-19 自动学习.................................................................................................................................................. 4-18 图4-20 用户MAC绑定......................................................................................................................................... 4-19 图4-21 用户IP绑定 .............................................................................................................................................. 4-19 图4-22 MAC/IP绑定日志查询 ............................................................................................................................ 4-21 图4-23 会话列表.................................................................................................................................................. 4-22 图4-24 会话列表.................................................................................................................................................. 4-23 图4-25 带宽保证.................................................................................................................................................... 4-1 图4-26 防ARP欺骗 ................................................................................................................................................ 4-2 图5-1 日志管理菜单.............................................................................................................................................. 5-3 图5-2 最近的日志.................................................................................................................................................. 5-3 图5-3 系统日志查询.............................................................................................................................................. 5-5 图5-4 系统日志文件操作...................................................................................................................................... 5-6 图5-5 系统日志配置.............................................................................................................................................. 5-6 图5-6 最近的日志.................................................................................................................................................. 5-7 图5-7 操作日志查询.............................................................................................................................................. 5-9 图5-8 操作日志文件操作.................................................................................................................................... 5-10 图5-9 操作日志配置............................................................................................................................................ 5-10 图5-10 业务日志配置.......................................................................................................................................... 5-11 图6-1 虚拟服务器.................................................................................................................................................. 6-1 图6-2 真实服务器.................................................................................................................................................. 6-2 图6-3 健康检查...................................................................................................................................................... 6-2 图7-1 网络应用带宽限速...................................................................................................................................... 7-3 图7-2 用户组限速列表.......................................................................................................................................... 7-3 图7-3 用户组限速参数.......................................................................................................................................... 7-4 图7-4 每IP限速列表 .............................................................................................................................................. 7-5 图7-5 每IP带宽限速参数 ...................................................................................................................................... 7-5 图7-6 网络应用组管理.......................................................................................................................................... 7-6 图7-7 网络应用浏览.............................................................................................................................................. 7-7 图7-8 应用限速配置组网图.................................................................................................................................. 7-8 图7-9 网络应用访问控制...................................................................................................................................... 7-9 图7-10 网络应用访问控制列表.......................................................................................................................... 7-10 图7-11 网络应用组管理...................................................................................................................................... 7-11 图7-12 网络应用浏览.......................................................................................................................................... 7-12图7-13 网络应用访问控制配置组网图 .............................................................................................................. 7-12 图7-14 URL过滤策略.......................................................................................................................................... 7-14 图7-15 URL分类过滤策略.................................................................................................................................. 7-14 图7-16 自定义URL分类...................................................................................................................................... 7-15 图7-17 高级URL过滤.......................................................................................................................................... 7-16 图7-18 URL过滤推送默认配置.......................................................................................................................... 7-18 图7-19 URL配置组网图...................................................................................................................................... 7-19 图8-1 VPN菜单...................................................................................................................................................... 8-1 图8-2 IPSec VPN规则............................................................................................................................................ 8-2 图8-3 IPSec连接显示............................................................................................................................................. 8-4 图8-4 L2TP规则..................................................................................................................................................... 8-5 图8-5 GRE VPN规则............................................................................................................................................. 8-6 图8-6 SSL VPN规则.............................................................................................................................................. 8-8 图8-7 数字证书规则............................................................................................................................................ 8-10 图9-1 行为审计菜单.............................................................................................................................................. 9-1 图9-2 网络流量快照.............................................................................................................................................. 9-2 图9-3 业务流量分析.............................................................................................................................................. 9-4 图9-4 单用户业务流量分析.................................................................................................................................. 9-7 图9-5 TOP用户流量分析 ...................................................................................................................................... 9-8 图9-6 关闭服务器.................................................................................................................................................. 9-9 图9-7 流量统计本地显示...................................................................................................................................... 9-9 图9-8 所示为配置发向服务器.............................................................................................................................. 9-9 图9-9 行为审计规则............................................................................................................................................ 9-10 图9-10 行为审计规则.......................................................................................................................................... 9-10 图9-11 最近的日志.............................................................................................................................................. 9-11 图9-12 审计日志查询与删除.............................................................................................................................. 9-12 图9-13 用户当前行为.......................................................................................................................................... 9-13 图9-14 添加关键字.............................................................................................................................................. 9-14 图9-15 关键字过滤最近日志详细信息 .............................................................................................................. 9-15 图9-16 审计日志查询与删除.............................................................................................................................. 9-16 图9-17 行为审计配置组网图.............................................................................................................................. 9-17 图9-18 创建行为审计规则.................................................................................................................................. 9-18 图9-19 修改保存详细内容项.............................................................................................................................. 9-18 图10-1 应用层过滤菜单...................................................................................................................................... 10-1 图10-2 关键字设置.............................................................................................................................................. 10-1 图10-3 邮箱设置.................................................................................................................................................. 10-2 图10-4 HTTP过滤................................................................................................................................................ 10-3 图10-5 邮件过滤.................................................................................................................................................. 10-3 图10-6 FTP过滤................................................................................................................................................... 10-4 图11-1 用户认证菜单.......................................................................................................................................... 11-1 图11-2 本地认证用户.......................................................................................................................................... 11-1 图11-3 Web认证 .................................................................................................................................................. 11-3 图11-4 Web认证在线用户 .................................................................................................................................. 11-5 图11-5 前台管理.................................................................................................................................................. 11-5。
新华三集团联合IDC发布下一代防火墙技术白皮书
’ ’
一
A
坷 j 新 Fra biblioteki t l nd t t s t r y I n n o v a t i o m
新 华 三 集 团联 合 I DC 发 布 下 一 代 防 火 墙 技 术 白皮 书
…
醇涸 国 _
H, 新 # i
趋 势 l I ) ( 、 人 为, F ・ 代 防 火墙 其仃 f 个主 特 点 : “ 坩能
丧l , J ,发 网络 、 安 全 的虚拟 化 , 以应 川 为中心 . 打造 橄 简 、 随需 J 变 、
个 = 址 n 、 J I I ; 架构 的第 l J q 人乡 n 成部 分 ,作 一 个 坝 的越 平 滑演 进 的 I T新去 『 l 架 构 来越 被 f f 场 匝 的技 术发 展方 向 ,需 要 虹J J l 1 々业 、更7 J 『 1 1 圳 没施 会的发 全 J 不被刺 化 单 独将 安 令作 为 ・ 个子 . 牌 ,足 0 KJ l : 姒蒯 ,i f : F I " 简单、 信" f 连 一 以来 ・ 持 的 l f 场 定位 安 伞 、哇 ! 有 价 值 足深
【 国 内 市 皤 第 一 时 豁
下 代 防 火 艟 霉 晦 她 J
: 1 … _ r 下 在 州 代 举 防 f 火 化 的 没 、 汁 I t J ‘ 思 路 化 / 、 f J 、 拟 化 、 协 旧 ” 这 新 华 i 下 ・ 代 防 火 墙 .
斤 应 刈 “ 互联 + ” 时代 的新 J 安 全 b 战 .给 、 l l , 新 r r 拟 化 、叮 化 、 技 术 同和『 J 】 I 、 { 务链 等 方l 进 仃令面 的 新 , 、 l 努提 供 令 发 障 存符 类 复杂I ' l , ' J I 、 川环 境 F, 能构缱l 1 . 啦 的 网络 防御 体 系 ,
Eudemon系列防火墙技术白皮书
. 基于状态检测的防火墙 ................................................................................................................................................. 10 . 业务支撑能力 ................................................................................................................................................................ 11 . 流量监管服务 ......................................................................Байду номын сангаас......................................................................................... 13 2.7.1 2.7.2 2.7.3 针对用户的流量监控 ......................................................................................................................................... 13 针对用户的连接监控 ......................................................................................................................................... 13 P2P业务的流量监管 ........................................................................................................................................... 13
DPtech FW1000系列应用防火墙运维手册v2.0
迪普科技-负载均衡技术白皮书
负载均衡技术白皮书关键词:负载均衡,服务器,链路,连接复用,HTTP安全防护,SLB,LLB,摘要:本文介绍了负载均衡技术的应用背景,描述了负载均衡技术的实现与运行机制,并简单介绍了迪普科技负载均衡技术在实际环境中的应用。
缩略语:目录1 负载均衡技术概述........................................................................................ 错误!未定义书签。
1.1负载均衡技术背景........................................................................ 错误!未定义书签。
1.1.1 服务器负载均衡技术背景ﻩ错误!未定义书签。
1.1.2网关负载均衡技术背景...................................................... 错误!未定义书签。
1.1.3 链路负载均衡技术背景ﻩ错误!未定义书签。
1.2 负载均衡技术优点分析 ...................................................................... 错误!未定义书签。
2 负载均衡具体技术实现ﻩ错误!未定义书签。
2.1负载均衡相关概念介绍................................................................. 错误!未定义书签。
2.2服务器负载均衡基本概念和技术ﻩ错误!未定义书签。
2.2.1NAT方式的服务器负载均衡 (7)2.2.2 DR方式的服务器负载均衡ﻩ错误!未定义书签。
2.3 网关负载均衡基本概念和技术ﻩ错误!未定义书签。
2.4 服务器负载均衡和网关负载均衡融合ﻩ错误!未定义书签。
2.5 链路负载均衡基本概念和技术......................................................... 错误!未定义书签。
DPtech-FW1000系列防火墙系统操作手册
DPtech FW1000操作手册杭州迪普科技有限公司2011年10月目录DPtech FW1000操作手册 (1)第1章组网模式 (1)1.1组网模式1-透明模式 (1)1.2组网模式2-路由模式 (2)1.3组网模式3-混合模式 (3)第2章基本网络配置 (4)2.1实现功能 (4)2.2网络拓扑 (4)2.3配置步骤 (4)第3章深度检测功能配置 (7)3.1实现功能 (7)3.2网络拓扑 (7)3.3配置步骤 (7)第4章VPN (9)4.1IPS EC VPN (9)4.1.1 客户端接入模式 (9)4.1.2 网关—网关模式 (10)4.2L2TP VPN (12)4.2.1 实现功能 (12)4.2.2 网络拓扑 (12)4.2.3 配置步骤 (12)4.3GRE VPN (16)4.3.1 实现功能 (16)4.3.2 网络拓扑 (16)4.3.3 配置步骤 (16)4.4SSL VPN (17)4.4.1 实现功能 (17)4.4.2 网络拓扑 (18)4.4.3 配置步骤 (18)第5章VRRP双机热备 (20)5.1实现功能 (20)5.2网络拓扑 (20)5.3配置步骤 (20)第6章日志输出UMC (24)6.1业务日志输出 (24)6.2会话日志输出 (24)6.3流量分析输出 (25)第1章组网模式1.1 组网模式1-透明模式组网应用场景需要二层交换机功能做二层转发在既有的网络中,不改变网络拓扑,而且需要安全业务防火墙的不同网口所接的局域网都位于同一网段特点对用户是透明的,即用户意识不到防火墙的存在部署简单,不改变现有的网络拓扑,无需更改其他网络设备的配置 支持各类安全特性:攻击防护、包过滤、应用识别及应用访问控制等配置要点接口添加到相应的域接口为二层接口,根据需要,配置接口类型为ACCESS或TRUNK接口配置VLAN属性必须配置一个vlan-ifxxx的管理地址,用于设备管理1.2 组网模式2-路由模式组网应用场景需要路由功能做三层转发需要共享Internet接入需要对外提供应用服务需要使用虚拟专用网特点提供丰富的路由功能,静态路由、RIP、OSPF等提供源NAT支持共享Internet接入提供目的NAT支持对外提供各种服务支持各类安全特性:攻击防护、包过滤、应用识别及应用访问控制等 需要使用WEB认证功能配置要点接口添加到相应的域接口工作于三层接口,并配置接口类型配置地址分配形式静态IP、DHCP、PPPoE1.3 组网模式3-混合模式组网应用场景需结合透明模式及路由模式特点在VLAN内做二层转发在VLAN间做三层转发支持各类安全特性:攻击防护、包过滤、应用识别及应用访问控制等配置要点接口添加到相应的域接口为二层接口,根据需要,配置接口类型为ACCESS或TRUNK 接口配置VLAN属性添加三层接口,用于三层转发配置一个vlan-ifxxx的地址,用于三层转发第2章基本网络配置2.1 实现功能内网(3.3.3.2/24)可访问外网(10.99.0.1/24) 内网地址为DHCP获得内网对外提供HTTP服务(安装web服务器)2.2 网络拓扑2.3 配置步骤【网络管理】->【接口管理】下,配置接口参数在【网络管理】->【网络对象】下,将接口添加到安全域在【网络管理】->【单播IPv4路由】下,添加出口路由在【网络管理】->【DHCP配置】下,启动DHCP Server在【防火墙】->【NAT】下,添加源NAT在【防火墙】->【NAT】下,添加目的NAT在【防火墙】->【包过滤策略】下,添加Untrust到Trust包过滤策略第3章深度检测功能配置3.1 实现功能采用第1章——基本网络配置内网(Trust)到外网(Untrust)方向匹配DPI策略(包括应用限速、每IP限速、访问控制、URL过滤、行为审计等)备注:本次功能配置以应用限速为例3.2 网络拓扑3.3 配置步骤在【访问控制】->【网络应用带宽限速】下,配置限速策略在【防火墙】->【包过滤策略】下,添加包过滤策略,并引用应用限速策略部分DPI功能配置举例第4章VPN4.1 IPSec VPN4.1.1 客户端接入模式4.1.1.1 实现功能采用第1章——基本网络配置外网(10.99.0.4)可通过IPSec VPN客户端方式连接到内网,共享内网资源4.1.1.2 网络拓扑4.1.1.3 配置步骤在【VPN】->【IPSec】下,启动IPSec,配置客户端接入模式在客户端安装IPSec VPN客户端程序4.1.2 网关—网关模式4.1.2.1 实现功能两端配置采用第1章——基本网络配置(相关IP不同)PC(3.3.3.2)可通过IPSec VPN访问PC(4.4.4.2),并可共享两端资源4.1.2.2 网络拓扑4.1.2.3 配置步骤在【VPN】->【IPSec】下,进行网关—网关模式配置4.2 L2TP VPN4.2.1 实现功能采用第1章——基本网络配置外网(10.99.0.4)可通过L2TP VPN连接到内网,共享内网资源4.2.2 网络拓扑4.2.3 配置步骤在【网络管理】->【网络对象】下,将L2TP使用接口添加到安全域中在【VPN】->【L2TP】下,启动L2TP,配置LNS和用户信息在客户端上添加注册表键值(windows默认的l2tp/ipsec是只支持用证书认证的,对于用pre-share的认证方式或者不使用ipsec的l2tp连接,必须修改注册表),需重启客户端PC,键值如下:#Windows Registry Editor Version 5.00[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RasMan\Parameters] "ProhibitIPSec"=dword:00000001#新建L2TP客户端,在【网上邻居】中创建新连接需要修改的参数如下4.3 GRE VPN4.3.1 实现功能两端配置采用第1章——基本网络配置(相关IP不同)PC(3.3.3.2)可通过GRE VPN访问PC(4.4.4.2),并可共享两端资源4.3.2 网络拓扑4.3.3 配置步骤在【网络管理】->【单播IPv4路由】下,添加静态路由在【VPN】->【GRE】下,创建GRE VPN策略4.4 SSL VPN4.4.1 实现功能采用第1章——基本网络配置外网(10.99.0.4)可通过SSL VPN连接到内网,共享分配相应权限的内网资源4.4.2 网络拓扑4.4.3 配置步骤在【VPN】->【SSL VPN】下,启动SSL VPN,并导入相应证书(新版本自带证书,老版本需搭建服务器获得)在【VPN】->【SSL VPN】下,配置资源(IP资源、web资源等)在【VPN】->【SSL VPN】下,添加用户第5章VRRP双机热备5.1 实现功能内网PC(3.3.3.3)可访问Internet资源当FW1(10.99.0.192,主)与FW2(10.99.0.193,备)为主备模式下,断开FW1与SW1的连接,流量自动切换至FW2,PC应用无影响重新连接FW1与SW1的连接,流量自动切换回FW1,PC应用无影响5.2 网络拓扑5.3 配置步骤在【网络管理】->【接口管理】下,配置接口参数(eth_4为双机热备心跳线,eth_5连接内网,eth_6连接外网)在【网络管理】->【网络对象】下,将接口添加到安全域中在【网络管理】->【单播IPv4路由】下,添加出口默认路由在【防火墙】->【NAT】下,配置源NAT策略在【高可靠性】->【VRRP】下,配置VRRP备份组(内网PC网关指向备份组虚拟IP)在【高可靠性】->【双机热备】下,进行双机热备配置(心跳线),此功能将同步配置、会话等参数在【高可靠性】->【接口状态同步组】下,进行端口同步组配置(可选);此功能作用为,如下行接口(eth0_5)down掉,则相同接口同步组下的其他接口,也将down 掉,如需重新up,则需重新打开接口的管理状态第6章日志输出UMC6.1 业务日志输出在【日志管理】->【业务日志】下,配置业务日志输出 FW中,业务日志主要包括行为审计日志6.2 会话日志输出在【防火墙】->【会话管理】下,配置会话日志输出 FW中,会话日志主要包括NAT日志6.3 流量分析输出在【上网行为管理】->【流量分析】下,配置流量分析输出 FW中,流量分析主要包括流量分析日志。
迪普出口防火墙设置方法
迪普出口防火墙设置方法1.引言1.1 概述概述随着互联网的迅速发展,网络安全已经成为当今社会亟需解决的一个重要问题。
作为企业网络安全的关键组成部分之一,出口防火墙的设置对于保护企业的信息资产以及维护网络的正常运转起着至关重要的作用。
迪普出口防火墙作为一种行业领先的安全设备,为企业提供了强大而可靠的网络安全解决方案。
本文将详细介绍迪普出口防火墙的设置方法,以帮助企业管理员有效地配置和管理其网络安全策略。
在接下来的文章中,我们将首先介绍迪普出口防火墙设置方法的要点,包括网络拓扑结构的规划、防火墙规则的制定和应用、入侵检测与防护等内容。
随后,我们将针对每个要点进行详细的阐述,包括相关的设置步骤、配置技巧以及注意事项等。
最后,我们将对迪普出口防火墙设置方法进行总结,并展望未来的发展方向。
通过本文的阅读,读者将能够深入了解迪普出口防火墙的设置方法,掌握相关的配置技巧,并在实际应用中提高网络安全防护能力。
同时,本文也将为读者提供一种思路和参考,以便更好地应对不断演化的网络威胁和安全挑战。
1.2 文章结构文章结构部分的内容可以按照以下方式编写:文章结构:本文共分为三个部分:引言、正文、结论。
通过这三个部分的分析与总结,旨在介绍迪普出口防火墙的设置方法。
引言:本部分主要对文章的背景和目的进行概述。
首先,先介绍迪普出口防火墙的重要性和应用场景,说明防火墙对于网络安全的重要性。
接着,介绍本文将要讨论的主题——迪普出口防火墙的设置方法。
正文:本部分是文章的核心内容,主要介绍迪普出口防火墙的设置方法的要点。
在第2.1节中,将详细阐述第一个要点,包括迪普出口防火墙的基本设置步骤、配置规则的方法和策略等。
在第2.2节中,将进一步介绍第二个要点,探讨更高级的设置方法,包括如何应对不同的网络攻击和保护机构内部网络的安全等。
结论:本部分主要对前面的内容进行总结,并对迪普出口防火墙的设置方法进行展望。
在第3.1节中,将对设置方法要点进行总结,强调其重要性和实际应用价值。
DPtech防火墙技术白皮书
DPtech FW1000系列防火墙技术白皮书杭州迪普科技有限公司2013年8月目录1、概述32、产品简介33、迪普科技防火墙特色技术43.1DPtech FW1000防火墙数据转发流程43.2丰富的网络特性53.3大策略下的高性能、低时延处理能力63.4攻击防范技术(IPv4/IPv6)73.5防火墙高可靠性93.6防火墙全面VPN支持113.7防火墙虚拟化技术133.7.1虚拟防火墙技术133.7.2VSM虚拟化技术173.7.3 N:M虚拟化技术191、概述在应用需求的不断推动下,网络技术得到了飞速发展;而网络技术的进步则又反过来推动应用的发展,应用与网络之间是相辅相成、相互促进的。
随着万兆到核心/千兆到桌面、Web2.0、虚拟化、物联网、网络音频/视频、P2P、云计算等各种新应用、新业务层出不穷,传统的基于端口进行应用识别和访问控制的防火墙,已远远无法满足各种新应用下安全防护的需求。
为解决此类难题,迪普科技推出了基于全新多核处理器架构的FW1000系列下一代应用防火墙。
DPtech FW1000开创了应用防火墙的先河。
基于迪普科技自主知识产权的APP-X硬件平台和ConPlat OS安全操作系统,并配备专业的入侵防御特征库、病毒库、应用协议库、URL库,是目前业界性能最高的应用防火墙。
无以伦比的高可用性、高性能和高可靠性,使得FW1000系列可以放心规模部署于数据中心、大型园区网等各种复杂场景;另外,功能丰富并可按需扩展的应用防火墙方案,也简化了网络的安全架构,并大大降低了企业网络总体拥有成本。
2、产品简介DPtech FW1000系列是迪普公司面向大中型企业、学校、数据中心以及运营商开发的新一代应用防火墙产品,是一种应用级的高性能防火墙,工作在网络边界层,根据安全策略对来自不同区域的数据进行安全控制,同时支持IPv4和IPv6环境,具备业界最高性能,网络无瓶颈,拥有全面的安全防护,可确保网络稳定运行,产品VPN全内置,提供最高性价比,灵活组网能力,可适应各种网络环境。
防火墙技术白皮书v
专注安全追求卓越AngellPRO防火墙技术白皮书本资料将定期更新,如欲获取最新相关信息,请访问安智科技网站,,您的意见和建议请发送至:西安安智科技有限公司Angelltech Corporation地址:西安雁翔路99号西安交大科技园博源大厦二层邮编:710054电话:( 86- 029 ) 83399618传真:( 86- 029 ) 83399620邮箱:services@本白皮书中的内容是安智科技AngellPRO防火墙。
本材料的相关权力归西安安智科技所有。
白皮书中的任何部分未经本公司许可,不得转印、影印或复印。
© 2004 西安安智科技有限公司All rights reserved.目录一产品概述 (3)二设计理念 (3)三产品线概述 (3)四产品特点 (4)五功能特性 (6)5.1设计特点 (6)5.2状态检测的包过滤机制和灵活的访问控制机制 (7)5.3广泛的网络及应用环境支持 (7)5.4多种工作模式应用 (7)5.5网络地址转换功能 (7)5.6透明的应用代理 (8)5.7支持策略路由 (8)5.8多端口的自适应 (9)5.9智能的内容过滤 (9)5.10强大的抗攻击能力 (9)5.11支持透明接入 (11)5.12多层过滤功能 (11)5.13VPN功能特性 (12)5.14访问用户控制 (12)5.15完善的系统管理功能 (12)5.16日志审计功能 (14)5.17高可用性 (15)5.18易用性设计 (16)六AngellPRO防火墙功能列表 (16)七典型应用 (16)7.1企业级应用 (19)7.2高可靠性双机热备应用 (19)八关于安智 (20)一产品概述AngellPRO防火墙是面向政府机关、企业和一般行业用户的网络信息系统推出的防火墙系列产品,可广泛应用于百兆、千兆网络环境中信息安全系统的构建。
与同类产品相比,AngellPRO防火墙不论在技术的先进性还是各项通用技术指标方面均有较大程度的提高。
DPtech FW1000-TS-N防火墙安装手册
重量
10.0Kg
1.3.3 固定接口和槽位数
表1-3 固定接口规格
项目
规格
管理口
1 个 Console 配置口
USB 接口
1 个 USB 口(Host)
业务接口
固定接口: 14 个 10/100/1000M 电接口 12 个 1000M 光接口 2 个 10000M 光接口
第 1 章 产品介绍
1-4
DPtech FW1000-TS-N 防火墙 安装手册
表格目录
1-4 1-4 1-4 1-5 1-5 2-1 2-2 2-2 4-2
i
DPtech FW1000-TS-N 防火墙 安装手册
第1章 产品介绍
1.1 产品概述
DPtech FW1000-TS-N 防火墙创新性地采用了“多业务并行处理引擎(MPE)”技术,能够满足各 种网络对安全的多层防护、高性能和高可靠性的需求。可以提供安全域划分、VPN 接入、NAT 地址转换、攻击防护和应用控制等功能,是业务安全保障的最佳选择。FW1000-TS-N 采用领先 的多核多线程硬件设计技术,万兆级处理能力,是业内性能最高的 2U 防火墙。具备 14 个固定 Combo 千兆接口,12 个千兆光口,2 个万兆光口,适用于大中型规模网络、数据中心和运营商 网络环境。
第 4 章 设备启动及软件升级
4.1 设备启动 4.1.1 搭建配置环境 4.1.2 设备上电 4.1.3 启动过程 4.2 WEB默认登录方式
第 5 章 常见问题处理
5.1 电源系统问题故障处理 5.2 设备故障处理
DPtech FW1000-TS-N 防火墙 安装手册
3-5 3-6 3-6 3-7 3-7 3-7 3-7
特征库升级技术白皮书V1.1
Conplat 特征库升级说明文档Prepared by拟制杨兴博Date日期2014-5-5Reviewed by 评审人Date 日期Authorized by签发Date 日期日期Date 修订版本Revisionversion描述 Description作者Author2014-3-20初稿完成杨兴博2014-5-5按照文档规范进行修改杨兴博2014-6-9修订最新病毒特征库规格杨兴博目录一、特征库简介............................................... 错误!未定义书签。
二、特征库升级说明 ........................................... 错误!未定义书签。
1.设备初次启动................................................ 错误!未定义书签。
2.软件版本更换................................................ 错误!未定义书签。
Conplat主线V100R003B00D013P02、神州一号V100R002B01D083之前版本及其他分支 ......................................................错误!未定义书签。
Conplat主线V100R003B00D013P02、神州一号V100R002B01D083及之后版本错误!未定义书签。
3.特征库自动升级.............................................. 错误!未定义书签。
4.特征库手动升级.............................................. 错误!未定义书签。
(1)“.*”版本特征库 ...................................错误!未定义书签。
DPtech-FW1000应用防火墙(培训文档)
固定接入
•IPSec VPN
分支机构
技
术
•GRE
特
性
移动接入 •SSL VPN •IPSec •L2TP •PPTP
分支机构 合作伙伴 移动办公
Internet 加密传输
Internet 加密传输
总部网络 总部网络
未经授权禁止扩散
Page22
NAT智能地址转换
未经授权禁止扩散
Page13
万兆防火墙
产 品 介 绍
FW1000-TS-N
FW1000-GE-N
• 2U高度,万兆性能,节能环保 • 接口丰富, 14GE电+12GE光 +2*10GE光 • 安全区域划分,虚拟防火墙 • 内臵双电源,确保稳定运行 • 内臵IPSec/SSL VPN硬件加密
静态路由协议/RIPv1/2/OSPF/BGP/策略路由 流量监管/拥塞检测及避免/流量整形 MPLS VPN/VLAN/QinQ/虚拟防火墙/多播
Internet
技
术
特
性
DPtechFW1000
虚拟防火墙
虚拟防火墙
虚拟防火墙
安全域1
安全域2
安全域3
虚拟防火墙组网示意
未经授权禁止扩散
Page26
灵活的URL过滤-专业URL库
迪普科技 升级服务区
上网终端
技 术 特 性
URL预分类 特征库
网址等关键字
自定义网址和
处理
未知网址自动反馈
URL地址过滤: 提供超过1000万URL地址信息,每天定制更新 提供灵活的分类信息,便于产品配臵 具有未知URL地址自动更新功能
4
迪普防火墙技术白皮书
迪普防火墙技术白皮书(总19页)-CAL-FENGHAI.-(YICAI)-Company One1-CAL-本页仅作为文档封面,使用请直接删除迪普FW1000系列防火墙技术白皮书1概述随着网络技术的普及,网络攻击行为出现得越来越频繁。
通过各种攻击软件,只要具有一般计算机常识的初学者也能完成对网络的攻击。
各种网络病毒的泛滥,也加剧了网络被攻击的危险。
目前,Internet网络上常见的安全威胁分为以下几类:非法使用:资源被未授权的用户(也可以称为非法用户)或以未授权方式(非法权限)使用。
例如,攻击者通过猜测帐号和密码的组合,从而进入计算机系统以非法使用资源。
拒绝服务:服务器拒绝合法用户正常访问信息或资源的请求。
例如,攻击者短时间内使用大量数据包或畸形报文向服务器不断发起连接或请求回应,致使服务器负荷过重而不能处理合法任务。
信息盗窃:攻击者并不直接入侵目标系统,而是通过窃听网络来获取重要数据或信息。
数据篡改:攻击者对系统数据或消息流进行有选择的修改、删除、延误、重排序及插入虚假消息等操作,而使数据的一致性被破坏。
•基于网络协议的防火墙不能阻止各种攻击工具更加高层的攻击•网络中大量的低安全性家庭主机成为攻击者或者蠕虫病毒的被控攻击主机•被攻克的服务器也成为辅助攻击者Internet的系统,它监控可信任网络(相当于内部网络)和不可信任网络(相当于外部网络)之间的访问通道,以防止外部网络的危险蔓延到内部网络上。
防火墙作用于被保护区域的入口处,基于访问控制策略提供安全防护。
例如:当防火墙位于内部网络和外部网络的连接处时,可以保护组织内的网络和数据免遭来自外部网络的非法访问(未授权或未验证的访问)或恶意攻击;当防火墙位于组织内部相对开放的网段或比较敏感的网段(如保存敏感或专有数据的网络部分)的连接处时,可以根据需要过滤对敏感数据的访问(即使该访问是来自组织内部)。
防火墙技术经历了包过滤防火墙、代理防火墙、状态防火墙的技术演变,但是随着各种基于不安全应用的攻击增多以及网络蠕虫病毒的泛滥,传统防火墙面临更加艰巨的任务,不但需要防护传统的基于网络层的协议攻击,而且需要处理更加高层的应用数据,对应用层的攻击进行防护。
迪普 DPtech IPS 技术白皮书
DPtech IPS2000技术白皮书杭州迪普科技有限公司2013年8月目录一、概述 (3)二、产品简介 (3)三、产品特色技术介绍 (4)1.先进的特征提取技术 (4)1.1.协议特征形式化建模流程 (4)1.2.特征数据挖掘算法模型 (5)2.攻击防御技术 (5)2.1.基于指纹特征的检测技术 (5)2.1.1 蠕虫攻击防护 (6)2.1.2 SQL注入防护 (6)2.1.3 XSS攻击防护 (7)2.1.4 缓冲区溢出防护 (7)2.1.5 系统漏洞攻击防护 (7)2.1.6 碎片攻击防护 (7)2.1.7 未知威胁检测防护 (8)2.2.异常流量检测技术 (8)3.病毒过滤技术 (8)4.网络带宽限制技术 (10)4.1.基于用户的带宽管理 (10)4.2.基于服务的带宽管理 (10)5.网络访问控制技术 (10)6.URL过滤技术 (10)7.高可靠安全性 (11)7.1.完善的HA部署方式 (11)7.2.支持冗余电源 (12)7.3.丰富的Bypass功能 (12)一、概述随着网络的飞速发展,以蠕虫、木马、间谍软件、DDoS攻击、带宽滥用为代表的应用层攻击层出不穷。
传统的基于网络层的防护只能针对报文头进行检查和规则匹配,但目前大量应用层攻击都隐藏在正常报文中,甚至是跨越几个报文,因此仅仅分析单个报文头意义不大。
IPS正是通过对报文进行深度检测,对应用层威胁进行实时防御的安全产品。
但目前大多数IPS都是从原有的IDS平台改制而来,性能低、误报和漏报率高、可靠性差,尤其是在新应用不断增多、特征库不断增长的情况下,性能压力持续增加,只能通过减少或关闭特征库来规避。
这样的IPS不仅起不到安全防御的作用,甚至会成为网络中的故障点。
如何保证IPS在深度检测条件下仍能保证线速处理、微秒级时延?很显然,传统的基于串行设计思想的硬件和软件架构,无论是X86、ASIC或是NP,都无法承受成千上万条且在不断更新中的漏洞库,更不用说再增加病毒库、应用协议库……。
迪普防火墙方案范文
迪普防火墙方案范文一、迪普防火墙的特点1.高性能:迪普防火墙采用多核芯片和高速内存等硬件配置,支持高速数据处理和并发连接,可以满足大规模企业网络的需求。
2.多层防护:迪普防火墙采用多种安全隔离技术,包括基于应用层、传输层和网络层的过滤和限制,可以有效防御网络攻击和恶意行为。
3.全面的安全策略:迪普防火墙支持多种安全策略配置,如访问控制列表、安全策略管理和入侵防御等功能,可以根据实际需求进行灵活配置。
4.可扩展性:迪普防火墙支持模块化设计和可插拔的接口,可以根据需求进行灵活扩展和升级,满足企业不断变化的网络安全需求。
5.可视化管理:迪普防火墙提供图形化界面和丰富的管理工具,可以方便地进行配置和管理,降低运维成本和复杂性。
二、迪普防火墙的工作原理1.流量分析:迪普防火墙通过数据包分析技术对进出网络的流量进行分析,可以识别和过滤不符合策略的数据包。
2.安全策略:迪普防火墙支持多种安全策略配置,如访问控制列表、应用层过滤和入侵防御等功能,可以根据需求进行灵活配置,实现网络安全的多层防护。
3.用户认证:迪普防火墙支持用户认证功能,可以对用户进行身份验证,并实现用户访问权限的细粒度控制。
4.VPN功能:迪普防火墙支持虚拟专用网络(VPN)功能,可以通过加密隧道实现远程用户间的安全通信。
5.日志和报告:迪普防火墙可以记录和生成网络安全事件的日志和报告,提供给管理员进行安全监控和分析。
三、迪普防火墙的实施方案1.环境评估:在实施迪普防火墙方案之前,需要对企业网络环境进行评估,包括网络拓扑、设备配置和安全策略等方面的评估,以确定实施方案的具体需求。
2.设备选型:根据企业的网络规模和安全需求,选择适合的迪普防火墙设备,包括硬件配置、接口数量和性能特点等方面进行选择。
3.网络规划:根据企业网络的拓扑和安全需求,进行网络规划,包括防火墙设备的部署位置、接口配置和安全域划分等方面的规划。
4.安全策略配置:根据企业的安全需求和网络规划,对迪普防火墙进行安全策略的配置,包括访问控制列表、应用层过滤和入侵防御等功能的配置。
DPtech入侵防御系统DDoS防范技术白皮书概要
杭州迪普科技有限公司DPtech入侵防御系统DDoS防范技术白皮书防范技术白皮书1、概述1.1 背景从上世纪90年代到现在,DoS/DDoS 技术主要经历大约阶段:1) 技术发展时期。
90年代,Internet 开始普及,很多新的DoS 技术涌现。
技术,其中大多数技术至今仍然有效,且应用频度相当高,等等。
2) 从实验室向产业化转换2000年前后,DDoS 出现,Yahoo, Amazon等多个著名网站受到攻击并瘫痪,SQL slammer 等蠕虫造成的事件。
3) “商业时代”最近一两年,宽带的发展使得接入带宽增加,个人电脑性能大幅提高,使越频繁,可以说随处可见,而且也出现了更专业的、用于出租的攻击的威胁已经无处不在。
DDoS(分布式拒绝服务攻击)是产生大规模破坏的武器。
不像访问攻击穿透安全周边来窃取信息,DDoS攻击通过伪造的流量淹没服务器、网络链路和网络设备瘫痪来使得网络系统瘫痪。
1.2 DDoS攻击原理由于DDoS攻击往往采取合法的数据请求技术,再加上傀儡机器,造成最难防御的网络攻击之一。
据美国最新的安全损失调查报告,跃居第一。
DDoS攻击的一个致命趋势是使用复杂的欺骗技术和基本协议,不是采用可被阻断的非基本协议或高端口协议,非常难识别和防御,率的措施只是通过停止服务来简单停止攻击任务,但同时合法用户的请求也被拒绝,中断或服务质量的下降;DDoS事件的突发性,往往在很短的时就可使网络资源和服务资源消耗殆尽。
DDoS攻击主要是利用了Internet协议和Internet基本数据包到任意目的地。
DDoS 攻击分为两种:要么大数据,大流量来90年代末发明和研究过许多新的Ping of death, Smurf, SYN flooding, 还有 Codered, DDoS 攻击越来‘D DoS 攻击经济’。
可以说DDoS (路由器,防火墙等)DDoS攻击成为目前DDoS攻击所造成的经济损失已经如HTTP,Email等协议,而通常采用的包过滤或限制速造成业务的间内,大量的DDoS攻击数据——无偏差地从任何的源头传送压垮网络设备和服务器,要第1页共6页如优点杭州迪普科技有限公司么有意制造大量无法完成的不完全请求来快速耗尽服务器资源。
迪普 DPtech IPS2000技术白皮书
DPtech IPS2000技术白皮书杭州迪普科技有限公司2013年8月目录一、概述 (3)二、产品简介 (3)三、产品特色技术介绍 (4)1.先进的特征提取技术 (4)1.1.协议特征形式化建模流程 (4)1.2.特征数据挖掘算法模型 (5)2.攻击防御技术 (5)2.1.基于指纹特征的检测技术 (5)2.1.1 蠕虫攻击防护 (6)2.1.2 SQL注入防护 (6)2.1.3 XSS攻击防护 (7)2.1.4 缓冲区溢出防护 (7)2.1.5 系统漏洞攻击防护 (7)2.1.6 碎片攻击防护 (7)2.1.7 未知威胁检测防护 (8)2.2.异常流量检测技术 (8)3.病毒过滤技术 (8)4.网络带宽限制技术 (10)4.1.基于用户的带宽管理 (10)4.2.基于服务的带宽管理 (10)5.网络访问控制技术 (10)6.URL过滤技术 (10)7.高可靠安全性 (11)7.1.完善的HA部署方式 (11)7.2.支持冗余电源 (12)7.3.丰富的Bypass功能 (12)一、概述随着网络的飞速发展,以蠕虫、木马、间谍软件、DDoS攻击、带宽滥用为代表的应用层攻击层出不穷。
传统的基于网络层的防护只能针对报文头进行检查和规则匹配,但目前大量应用层攻击都隐藏在正常报文中,甚至是跨越几个报文,因此仅仅分析单个报文头意义不大。
IPS正是通过对报文进行深度检测,对应用层威胁进行实时防御的安全产品。
但目前大多数IPS都是从原有的IDS平台改制而来,性能低、误报和漏报率高、可靠性差,尤其是在新应用不断增多、特征库不断增长的情况下,性能压力持续增加,只能通过减少或关闭特征库来规避。
这样的IPS不仅起不到安全防御的作用,甚至会成为网络中的故障点。
如何保证IPS在深度检测条件下仍能保证线速处理、微秒级时延?很显然,传统的基于串行设计思想的硬件和软件架构,无论是X86、ASIC或是NP,都无法承受成千上万条且在不断更新中的漏洞库,更不用说再增加病毒库、应用协议库……。
DPtech WAF技术白皮书
DPtech WAF技术白皮书杭州迪普科技有限公司2013年10月目录1概述 (3)1.1Web安全现状 (3)1.2Web应用防火墙(WAF) (3)2WAF典型部署模式 (3)2.1透明模式 (3)2.2反向代理模式 (4)2.3旁路模式 (4)3全方位Web防护功能 (5)3.1参数攻击防护 (5)3.1.1SQL注入攻击防护 (5)3.1.2XSS攻击防护 (6)3.1.3命令注入防护 (6)3.1.4目录遍历攻击 (7)3.2HTTP协议攻击防护 (7)3.2.1HTTP请求正规化检查 (7)3.2.2Cookie正规化检查 (7)3.2.3Cookie加密 (7)3.3缓冲区溢出攻击防护 (8)3.4弱口令、暴力破解防护 (8)3.5应用层DDoS攻击防护 (8)3.6多种策略防护方式 (9)3.7敏感关键词过滤及服务器信息防护 (9)4网页防篡改功能 (10)4.1网页篡改防护功能 (10)4.2网站篡改恢复功能 (11)1概述1.1Web安全现状伴随着网络信息化的高速发展,Web平台渗透到各个行业及领域中,在给我们生活,生产带来便利的同时也产生了极大的风险。
目前Web业务的安全面临着两级分化极其严重的形势:一方面Web业务的易操作化,使得Web业务面向了更广泛的人群,人们大多不具备基本的网络安全意识,使得对于网络上的陷阱疏于防范,易于无意识的成为被攻击对象;另一方面,由于信息化的快速发展,网络上各种资料、工具可以极其方便的被查阅和下载,这使得各种攻击工具极易在网络上进行传播,对于攻击者要求的技术知识逐渐降低,甚至不需要任何网络和Web基础即可按照攻击软件说明对网站服务器进行攻击。
基于这种形势,近年来,国内外网站频繁受到各式攻击,Web安全现状令人堪忧。
1.2Web应用防火墙(WAF)在Web安全问题急剧增加的推动下,迪普可推出了专业的Web应用防火墙WAF3000。
WAF3000是可有效增加Web应用安全系数的产品,部署在Web应用平台前端,为Web应用平台提供了一个忠实可靠的安全护卫。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
迪普FW1000系列防火墙技术白皮书1概述随着网络技术的普及,网络攻击行为出现得越来越频繁。
通过各种攻击软件,只要具有一般计算机常识的初学者也能完成对网络的攻击。
各种网络病毒的泛滥,也加剧了网络被攻击的危险。
目前,Internet网络上常见的安全威胁分为以下几类:非法使用:资源被未授权的用户(也可以称为非法用户)或以未授权方式(非法权限)使用。
例如,攻击者通过猜测和密码的组合,从而进入计算机系统以非法使用资源。
拒绝服务:服务器拒绝合法用户正常访问信息或资源的请求。
例如,攻击者短时间使用大量数据包或畸形报文向服务器不断发起连接或请求回应,致使服务器负荷过重而不能处理合法任务。
信息盗窃:攻击者并不直接入侵目标系统,而是通过窃听网络来获取重要数据或信息。
数据篡改:攻击者对系统数据或消息流进行有选择的修改、删除、延误、重排序及插入虚假消息等操作,而使数据的一致性被破坏。
•基于网络协议的防火墙不能阻止各种攻击工具更加高层的攻击•网络中大量的低安全性家庭主机成为攻击者或者蠕虫病毒的被控攻击主机•被攻克的服务器也成为辅助攻击者Internet络(相当于部网络)和不可信任网络(相当于外部网络)之间的访问通道,以防止外部网络的危险蔓延到部网络上。
防火墙作用于被保护区域的入口处,基于访问控制策略提供安全防护。
例如:当防火墙位于部网络和外部网络的连接处时,可以保护组织的网络和数据免遭来自外部网络的非法访问(未授权或未验证的访问)或恶意攻击;当防火墙位于组织部相对开放的网段或比较敏感的网段(如保存敏感或专有数据的网络部分)的连接处时,可以根据需要过滤对敏感数据的访问(即使该访问是来自组织部)。
防火墙技术经历了包过滤防火墙、代理防火墙、状态防火墙的技术演变,但是随着各种基于不安全应用的攻击增多以及网络蠕虫病毒的泛滥,传统防火墙面临更加艰巨的任务,不但需要防护传统的基于网络层的协议攻击,而且需要处理更加高层的应用数据,对应用层的攻击进行防护。
对于互联网上的各种蠕虫病毒,必须能够判断出网络蠕虫病毒的特征,把网络蠕虫病毒造成的攻击阻挡在安全网络之外。
从而对部安全网络形成立体、全面的防护。
造成当前网络“安全危机”另外一个因素是忽视对网安全的监控管理。
防火墙防了来之外网的攻击,对于潜伏于部网络的“黑手”却置之不理,很容易造成网变成攻击的源头,导致网数据泄密,通过NAT从部网络的攻击行为无法进行审计。
由于对部网络缺乏防,当部网络主机感染蠕虫病毒时,会形成可以感染整个互联网的污染源头,导致整个互联网络环境低劣。
为。
防火墙需要提供对部网络安全保障的支持,形成全面的安全防护体系。
2功能介绍DPtech FW1000系列硬件防火墙产品是一种改进型的状态防火墙,采用专门设计的高可靠性硬件系统和具有自主知识产权的专有操作系统,将高效的包过滤功能、透明的代理服务、基于改进的状态检测安全技术、丰富的统计分析功能、多种安全保障措施集于一身,提供多类型接口和工作模式。
不但提供对网络层攻击的防护,而且提供多种智能分析和管理手段,•来自内部网络的攻击污染互联网•来自内部网络的蠕虫病毒感染互联网Internet全面立体的防护部网路。
DPtech FW1000防火墙提供多种网络管理监控的方法,协助网络管理员完成网络的安全管理。
DPtech FW1000防火墙采用ASPF状态检测技术,可对连接过程和有害命令进行监测,并协同ACL完成包过滤,支持NAT-PAT,支持IPSec VPN加密等特性,提供包括DES、3DES等多种加密算法,并支持证书认证。
此外,还提供数十种攻击的防能力,所有这些都有效地保障了网络的安全。
下面重点描述DPtech FW1000防火墙的主要安全功能。
2.1ASPFASPF(Application Specific Packet Filter)是针对应用层的包过滤,即基于状态的报文过滤。
它和普通的静态防火墙协同工作,以便于实施部网络的安全策略。
ASPF能够检测试图通过防火墙的应用层协议会话信息,阻止不符合规则的数据报文穿过。
为保护网络安全,基于访问控制列表的包过滤可以在网络层和传输层检测数据包,防止非法入侵。
ASPF能够检测应用层协议的信息,并对应用的流量进行监控。
ASPF还提供以下功能:•DoS(Denial of Service,拒绝服务)的检测和防。
•Java Blocking(Java阻断),用于保护网络不受有害的Java Applets的破坏。
•支持端口到应用的映射,用于应用层协议提供的服务使用非通用端口时的情况。
•增强的会话日志功能。
可以对所有的连接进行记录,包括:记录连接的时间、源地址、目的地址、使用的端口和传输的字节数。
ASPF对应用层的协议信息进行检测,并维护会话的状态,检查会话的报文的协议和端口号等信息,阻止恶意的入侵。
2.2攻击防通常的网络攻击,一般是侵入或破坏网上的服务器(主机),盗取服务器的敏感数据或干扰破坏服务器对外提供的服务;也有直接破坏网络设备的网络攻击,这种破坏影响较大,会导致网络服务异常,甚至中断。
防火墙的攻击防功能能够检测出多种类型的网络攻击,并能采取相应的措施保护部网络免受恶意攻击,保证部网络及系统的正常运行。
DPtech FW1000防火墙的攻击防技术可以有效的阻止下面的网络攻击行为:•IP地址欺骗攻击为了获得访问权,入侵者生成一个带有伪造源地址的报文。
对于使用基于IP地址验证的应用来说,此攻击方法可以导致未被授权的用户可以访问目的系统,甚至是以root权限来访问。
即使响应报文不能达到攻击者,同样也会造成对被攻击对象的破坏。
这就造成IP Spoofing攻击。
•Land攻击所谓Land攻击,就是把TCP SYN包的源地址和目标地址都配置成受害者的IP地址。
这将导致受害者向它自己的地址发送SYN-ACK消息,结果这个地址又发回ACK消息并创建一个空连接,每一个这样的连接都将保留直到超时掉。
各种受害者对Land攻击反应不同,许多UNIX 主机将崩溃,Windows NT主机会变的极其缓慢。
•Smurf攻击简单的Smurf攻击,用来攻击一个网络。
方法是发ICMP应答请求,该请求包的目标地址配置为受害网络的广播地址,这样该网络的所有主机都对此ICMP应答请求作出答复,导致网络阻塞,这比ping大包的流量高出一或两个数量级。
高级的Smurf攻击,主要用来攻击目标主机。
方法是将上述ICMP应答请求包的源地址改为受害主机的地址,最终导致受害主机雪崩。
攻击报文的发送需要一定的流量和持续时间,才能真正构成攻击。
理论上讲,网络的主机越多,攻击的效果越明显。
Smurf攻击的另一个变体为Fraggle攻击。
•Fraggle攻击使用UDP echo和Chargen服务的smurf方式的攻击。
•Teardrop攻击构造非法的分片报文,填写不正确的分片偏移量和报文长度,使得各分片的容有所重叠,目标机器如果处理不当会造成异常。
•WinNuke攻击WinNuke攻击通常向装有Windows系统的特定目标的NetBIOS端口()发送OOB(out-of-band)数据包,引起一个NetBIOS片断重叠,致使目标主机崩溃。
还有一种是IGMP 分片报文,一般情况下,IGMP报文是不会分片的,所以,不少系统对IGMP分片报文的处理有问题。
如果收到IGMP分片报文,则基本可判定受到了攻击。
•SYN Flood攻击由于资源的限制,TCP/IP栈的实现只能允许有限个TCP连接。
而SYN Flood攻击正是利用这一点,它伪造一个SYN报文,其源地址是伪造的、或者一个不存在的地址,向服务器发起连接,服务器在收到报文后用SYN-ACK应答,而此应答发出去后,不会收到ACK报文,造成一个半连接。
如果攻击者发送大量这样的报文,会在被攻击主机上出现大量的半连接,消耗尽其资源,使正常的用户无法访问。
直到半连接超时。
在一些创建连接不受限制的实现里,SYN Flood具有类似的影响,它会消耗掉系统的存等资源。
•ICMP和UDP Flood攻击短时间用大量的ICMP消息(如ping)和UDP报文向特定目标不断请求回应,致使目标系统负担过重而不能处理合法的传输任务。
•地址扫描与端口扫描攻击运用扫描工具探测目标地址和端口,对此作出响应的表示其存在,用来确定哪些目标系统确实存活着并且连接在目标网络上,这些主机使用哪些端口提供服务。
Ping of Death攻击IP报文的长度字段为16位,这表明一个IP报文的最大长度为65535。
对于ICMP 回应请求报文,如果数据长度大于65507,就会使ICMP数据+IP头长度(20)+ICMP头长度(8)> 65535。
对于有些路由器或系统,在接收到一个这样的报文后,由于处理不当,会造成系统崩溃、死机或重启。
这种攻击就是利用一些尺寸超大的ICMP报文对系统进行的一种攻击。
另外,DPtech FW1000防火墙提供了对ICMP重定向报文、ICMP不可达报文、带路由记录选项IP报文、Tracert报文的控制功能,以及增强的TCP报文标志合法性检测功能,在攻击前期阶段阻止攻击分析行为。
2.3实时流量分析对于防火墙来说,不仅要对数据流量进行监控,还要对外部网络之间的连接发起情况进行检测,因此要进行大量的统计计算与分析。
防火墙的统计分析一方面可以通过专门的分析软件对日志信息进行事后分析;另一方面,防火墙系统本身可以完成一部分分析功能,它表现在具有一定的实时性。
DPtech FW1000防火墙提供了实时的网络流量分析功能,及时发现攻击和网络蠕虫病毒产生的异常流量。
用户可以使用防火墙预先定义的流量分析模型,也可以自己定义各种协议流量的比例,连接速率阀值等参数,形成适合当前网络的分析模型。
比如,用户可以指定系统的TCP连接和UDP连接总数的上限阈值和下限阈值。
当防火墙系统的TCP或UDP连接个数超过设定的阈值上限后,防火墙将输出日志进行告警,而当TCP、UDP连接个数降到设定的阈值下限时,防火墙输出日志,表示连接数恢复到正常。
另外,也可以指定配置不同类型的报文在正常情况下一定时间所占的百分比以及允许的变动围,系统定时检测收到的各类报文百分比,并和配置进行比较,如果某类型(TCP、UDP、ICMP或其他)报文百分比超过配置的上限阈值(加波动围),则系统输出日志告警;如果某类型报文百分比低于配置的下限阈值(加波动围),则系统输出日志告警。
Internet•流量实时分析实时流量分析技术可以有效的发现未知的网络蠕虫病毒造成的异常流量,可以及时通知网络管理员进行处理。
并且通过DPtech FW1000防火墙的地址动态隔离技术(地址黑)对异常流量进行及时阻断,从而避免垃圾流量对网络带宽的拥塞。
2.4网地址安全在受保护的部网络,如何防发自部网络的攻击将是网络安全领域面临的一个十分重要的问题。