您的位置:360文档中心› DPtech防火墙技术白皮书

DPtech防火墙技术白皮书

合集下载

DPtech FW1000系列防火墙系统用户配置手册解析

DPtech FW1000系列防火墙系统用户配置手册解析

DPtech FW1000系列防火墙用户配置手册杭州迪普科技有限公司为客户提供全方位的技术支持。

通过杭州迪普科技有限公司代理商购买产品的用户,请直接与销售代理商联系;直接向杭州迪普科技有限公司购买产品的用户,可直接与公司联系。

杭州迪普科技有限公司地址:杭州市滨江区火炬大道581号三维大厦B座901室邮编:310053声明Copyright 2010杭州迪普科技有限公司版权所有,保留一切权利。

非经本公司书面许可,任何单位和个人不得擅自摘抄、复制本书内容的部分或全部,并不得以任何形式传播。

由于产品版本升级或其他原因,本手册内容有可能变更。

杭州迪普科技有限公司保留在没有任何通知或者提示的情况下对本手册的内容进行修改的权利。

本手册仅作为使用指导,杭州迪普科技有限公司尽全力在本手册中提供准确的信息,但是杭州迪普科技有限公司并不确保手册内容完全没有错误,本手册中的所有陈述、信息和建议也不构成任何明示或暗示的担保。

目录第1章产品概述1-11.1产品简介1-1 1.2WEB管理1-1 1.2.1登录WEB管理界面1-1 1.2.2WEB界面布局介绍1-2第2章系统管理2-12.1简介2-1 2.2设备管理2-1 2.2.1设备信息2-1 2.2.2设备状态2-3 2.2.3设备设置2-4 2.3SNMP配置2-7 2.3.1简介2-7 2.3.2配置信息2-7 2.3.3IP地址列表2-8 2.4管理员2-8 2.4.1简介2-8 2.4.2当前管理员2-9 2.4.3管理员设置2-9 2.4.4登录参数设置2-11 2.5配置文件2-12 2.6特征库2-13 2.6.1APP特征库2-13 2.6.2URL分类过滤特征库2-16 2.6.3L ICENSE文件管理2-17 2.7软件版本2-18 2.8NTP配置2-19第3章网络管理3-13.1简介3-1 3.2接口管理3-2 3.2.1简介3-2 3.2.2组网配置3-2 3.3网络对象3-93.3.1简介3-9 3.3.2安全域3-10 3.3.3IP地址3-11 3.3.4 MAC地址3-13 3.3.5账号3-14 3.3.6实名3-14 3.3.7服务3-15 3.4单播IP V4路由3-17 3.4.1简介3-17 3.4.2静态路由3-18 3.4.3路由表3-18 3.4.4等价路由3-19 3.4.5BGP协议3-19 3.4.6配置RIP协议3-22 3.4.7配置OSPF协议3-24 3.4.8显示OSPF接口信息3-26 3.4.9显示OSPF邻居信息3-27 3.5单播IP V6路由3-28 3.5.1简介3-28 3.5.2配置IP V6静态路由3-28 3.5.3显示IP V6路由表3-29 3.6组播路由3-30 3.6.1简介3-30 3.6.2配置PIM/IGMP协议3-30 3.7策略路由3-31 3.7.1简介3-31 3.7.2策略路由3-31 3.8ARP配置3-32 3.8.1简介3-32 3.8.2ARP查看3-32 3.8.3静态ARP项配置3-33 3.8.4免费ARP定时发送3-33 3.9DNS配置3-34 3.9.1简介3-34 3.9.2DNS配置3-34 3.10DHCP配置3-35 3.10.1简介3-35 3.10.2DHCP服务器配置3-35 3.10.3DHCP中继代理配置3-37 3.10.4DHCP地址信息列表3-37 3.11无线配置3-38 3.12诊断工具3-39 3.12.1P ING3-39 3.12.2T RACEROUTE3-40第4章防火墙4-14.1简介4-1 4.2包过滤策略4-1 4.3NAT 4-4 4.3.1简介4-4 4.3.2源NAT 4-4 4.3.3目的NAT 4-5 4.3.4一对一NAT 4-6 4.3.5地址池4-7 4.4基本攻击防护4-7 4.4.2攻击防护日志查询4-9 4.5DD O S攻击防护4-10 4.5.1SYN F LOOD防护4-10 4.5.2ICMP F LOOD防护4-10 4.5.3UDP F LOOD防护4-11 4.5.4会话数限制4-12 4.5.5DD O S日志查询4-12 4.6黑名单4-14 4.6.1黑名单4-14 4.6.2黑名单查询4-14 4.6.3黑名单日志查询4-15 4.7MAC/IP绑定4-16 4.7.1MAC/IP绑定4-16 4.7.2MAC/IP绑定自动学习4-17 4.7.3用户MAC绑定4-18 4.7.4用户IP绑定4-19 4.7.5MAC/IP绑定日志查询4-20 4.8会话管理4-22 4.8.1会话列表4-22 4.8.2会话参数4-23 4.9Q O S服务质量4-1 4.9.1简介4-1 4.9.2带宽保证4-1 4.10防ARP欺骗4-1 4.10.1简介4-1 4.10.2防ARP欺骗4-1第5章日志管理5-25.1简介5-2 5.2系统日志5-3 5.2.1最近的日志5-35.2.2系统日志查询5-4 5.2.3系统日志文件操作5-5 5.2.4系统日志配置5-6 5.3操作日志5-7 5.3.1最近的日志5-7 5.3.2操作日志查询5-8 5.3.3操作日志文件操作5-9 5.3.4操作日志配置5-10 5.4业务日志5-11 5.4.1业务日志配置5-11第6章负载均衡6-16.1服务器负载均衡6-1 6.1.1简介6-1 6.1.2虚拟服务器6-1 6.1.3真实服务器6-2 6.1.4健康检查6-2第7章应用防火墙7-37.1网络应用带宽限速7-3 7.1.1简介7-3 7.1.2网络应用用户组限速7-3 7.1.3每IP带宽应用限速7-5 7.1.4网络应用组管理7-6 7.1.5网络应用组管理7-7 7.1.6典型配置7-7 7.2网络应用访问控制7-9 7.2.1简介7-9 7.2.2网络应用访问控制7-9 7.2.3网络应用组管理7-10 7.2.4网络应用组管理7-11 7.2.5典型配置7-12 7.3URL过滤7-14 7.3.1简介7-14 7.3.2URL分类过滤策略7-14 7.3.3高级URL过滤7-16 7.3.4URL过滤推送配置7-17 7.3.5典型配置7-18第8章 VPN 8-18.2IPS EC VPN 8-1 8.2.1IPS EC简介8-1 8.2.2创建IPS EC规则8-2 8.2.3IPS EC连接显示8-3 8.3L2TP VPN 8-5 8.3.1L2TP简介8-5 8.3.2配置L2TP 8-5 8.4GRE VPN 8-6 8.4.1GRE简介8-6 8.4.2配置GRE规则8-6 8.5SSL VPN 8-7 8.5.1SSL VPN简介8-7 8.5.2配置SSL VPN规则8-7 8.6数字证书8-9 8.6.1简介8-9 8.6.2简介8-9第9章审计分析9-19.1简介9-1 9.2流量分析9-1 9.2.1网络流量快照9-1 9.2.2业务流量分析9-3 9.2.3单用户业务流量分析9-6 9.2.4TOP用户流量分析9-8 9.2.5流量统计配置9-9 9.3行为审计9-10 9.3.1创建行为审计规则9-10 9.3.2最近的日志9-11 9.3.3审计日志查询与删除9-12 9.3.4用户当前行为9-13 9.4关键字过滤9-14 9.4.1审计日志查询9-14 9.4.2最近的日志9-15 9.4.3审计日志的查询9-15 9.5行为审计典型配置举例9-17 9.5.1配置需求9-17 9.5.2组网需求9-17 9.5.3配置步骤9-17第10章应用层过滤10-110.2关键字设置10-1 10.3邮箱设置10-2 10.4HTTP过滤10-3 10.5邮件过滤10-3 10.6FTP过滤10-4第11章用户认证11-111.1简介11-1 11.2本地认证用户11-1 11.2.1简介11-1 11.2.2本地认证用户配置11-2 11.3W EB认证11-2 11.3.1W EB认证配置11-2 11.3.2W EB认证在线用户11-4 11.3.3前台管理11-5第12章高可靠性12-112.1简介12-1 12.2VRRP 12-1 12.2.1VRRP备份组配置12-1 12.3双机热备12-3 12.3.1双机热备配置12-3➢图形目录图1-1 WEB管理登陆界面 ..................................................................................................................................... 1-1 图1-2 FW系统结构图............................................................................................................................................ 1-3 图1-3 WEB界面布局 ............................................................................................................................................. 1-4 图2-1 系统管理菜单.............................................................................................................................................. 2-1 图2-2 设备信息...................................................................................................................................................... 2-2 图2-3 设备状态...................................................................................................................................................... 2-3 图2-4 设备状态查看快捷区域.............................................................................................................................. 2-4 图2-5 系统名称设置.............................................................................................................................................. 2-4 图2-6 系统时间设置.............................................................................................................................................. 2-5 图2-7 系统阈值设置.............................................................................................................................................. 2-5 图2-8 系统阈值设置.............................................................................................................................................. 2-6 图2-9 数据库清空设置.......................................................................................................................................... 2-6 图2-10 配置信息设置............................................................................................................................................ 2-7 图2-11 IP地址列表设置 ........................................................................................................................................ 2-8 图2-12 当前管理员................................................................................................................................................ 2-9 图2-13 管理员设置.............................................................................................................................................. 2-10 图2-14 登录参数设置.......................................................................................................................................... 2-11 图2-15 配置文件管理.......................................................................................................................................... 2-12 图2-16 特征库...................................................................................................................................................... 2-14 图2-17 特征库版本信息...................................................................................................................................... 2-14 图2-18 自动升级设置.......................................................................................................................................... 2-15 图2-19 手动升级设置.......................................................................................................................................... 2-16 图2-20 页面升级进度.......................................................................................................................................... 2-16 图2-21 特征库版本信息...................................................................................................................................... 2-17 图2-22 License文件管理...................................................................................................................................... 2-17 图2-23 软件版本.................................................................................................................................................. 2-18 图2-24 NTP配置 .................................................................................................................................................. 2-19 图2-25 NTP client配置......................................................................................................................................... 2-20 图3-1 网络管理菜单.............................................................................................................................................. 3-2 图3-2 组网模式...................................................................................................................................................... 3-3 图3-3 接口组网配置.............................................................................................................................................. 3-3 图3-4 内网IP管理 .................................................................................................................................................. 3-4 图3-5 VLAN配置................................................................................................................................................... 3-5 图3-6 业务接口配置.............................................................................................................................................. 3-6 图3-7 端口聚合配置.............................................................................................................................................. 3-7 图3-8 端口聚合状态.............................................................................................................................................. 3-8 图3-9 安全域........................................................................................................................................................ 3-10 图3-10 地址对象.................................................................................................................................................. 3-11 图3-11 地址对象组.............................................................................................................................................. 3-12 图3-12 地址对象组的配置说明图...................................................................................................................... 3-12 图3-13 地址对象群.............................................................................................................................................. 3-13图3-15 mac对象 ................................................................................................................................................... 3-13 图3-16 账号.......................................................................................................................................................... 3-14 图3-17 实名.......................................................................................................................................................... 3-15 图3-18 服务.......................................................................................................................................................... 3-16 图3-19 自定义服务对象...................................................................................................................................... 3-16 图3-20 服务对象组.............................................................................................................................................. 3-17 图3-21 配置静态路由.......................................................................................................................................... 3-18 图3-22 路由表...................................................................................................................................................... 3-19 图3-23 配置等价路由.......................................................................................................................................... 3-19 图3-24 配置BGP协议 .......................................................................................................................................... 3-19 图3-25 BGP高级配置 .......................................................................................................................................... 3-20 图3-26 显示BGP邻居信息 .................................................................................................................................. 3-21 图3-27 配置RIP协议............................................................................................................................................ 3-22 图3-28 RIP高级配置............................................................................................................................................ 3-23 图3-29 配置OSPF协议 ........................................................................................................................................ 3-24 图3-30 新建区域.................................................................................................................................................. 3-24 图3-31 高级配置.................................................................................................................................................. 3-26 图3-32 显示OSPF接口信息 ................................................................................................................................ 3-27 图3-33 显示路由表.............................................................................................................................................. 3-27 图3-34 IPv6静态路由配置 .................................................................................................................................. 3-29 图3-35 IPv6路由表 .............................................................................................................................................. 3-29 图3-36 配置PIM/IGMP协议................................................................................................................................ 3-30 图3-37 PIM/IGMP协议高级配置........................................................................................................................ 3-31 图3-38 策略路由.................................................................................................................................................. 3-32 图3-39 ARP查看 .................................................................................................................................................. 3-33 图3-40 静态ARP项配置 ...................................................................................................................................... 3-33 图3-41 免费ARP定时发送 .................................................................................................................................. 3-34 图3-42 DNS配置.................................................................................................................................................. 3-34 图3-43 DHCP服务器 ........................................................................................................................................... 3-35 图3-44 DHCP中继代理配置 ............................................................................................................................... 3-37 图3-45 DHCP地址信息列表 ............................................................................................................................... 3-38 图3-46 无线配置.................................................................................................................................................. 3-38 图3-47 网络诊断PING ......................................................................................................................................... 3-39 图3-48 PING结果................................................................................................................................................. 3-39 图3-49 网络诊断Traceroute ................................................................................................................................. 3-40 图3-50 Traceroute结果......................................................................................................................................... 3-40 图4-1 防火墙菜单.................................................................................................................................................. 4-1 图4-2 配置包过滤.................................................................................................................................................. 4-2 图4-3 配置动作...................................................................................................................................................... 4-3 图4-4 源NAT配置列表.......................................................................................................................................... 4-4 图4-5 配置目的NAT .............................................................................................................................................. 4-5 图4-6 配置一对一NAT .......................................................................................................................................... 4-6 图4-7 地址池.......................................................................................................................................................... 4-7图4-9 攻击防护日志查询...................................................................................................................................... 4-9 图4-10 SYN Flood防护........................................................................................................................................ 4-10 图4-11 ICMP Flood防护...................................................................................................................................... 4-11 图4-12 UDP Flood防护........................................................................................................................................ 4-11 图4-13 会话数限制.............................................................................................................................................. 4-12 图4-14 DDoS日志查询........................................................................................................................................ 4-13 图4-15 黑名单配置.............................................................................................................................................. 4-14 图4-16 黑名单查询.............................................................................................................................................. 4-14 图4-17 黑名单日志查询...................................................................................................................................... 4-15 图4-18 MAC/IP绑定 ............................................................................................................................................ 4-16 图4-19 自动学习.................................................................................................................................................. 4-18 图4-20 用户MAC绑定......................................................................................................................................... 4-19 图4-21 用户IP绑定 .............................................................................................................................................. 4-19 图4-22 MAC/IP绑定日志查询 ............................................................................................................................ 4-21 图4-23 会话列表.................................................................................................................................................. 4-22 图4-24 会话列表.................................................................................................................................................. 4-23 图4-25 带宽保证.................................................................................................................................................... 4-1 图4-26 防ARP欺骗 ................................................................................................................................................ 4-2 图5-1 日志管理菜单.............................................................................................................................................. 5-3 图5-2 最近的日志.................................................................................................................................................. 5-3 图5-3 系统日志查询.............................................................................................................................................. 5-5 图5-4 系统日志文件操作...................................................................................................................................... 5-6 图5-5 系统日志配置.............................................................................................................................................. 5-6 图5-6 最近的日志.................................................................................................................................................. 5-7 图5-7 操作日志查询.............................................................................................................................................. 5-9 图5-8 操作日志文件操作.................................................................................................................................... 5-10 图5-9 操作日志配置............................................................................................................................................ 5-10 图5-10 业务日志配置.......................................................................................................................................... 5-11 图6-1 虚拟服务器.................................................................................................................................................. 6-1 图6-2 真实服务器.................................................................................................................................................. 6-2 图6-3 健康检查...................................................................................................................................................... 6-2 图7-1 网络应用带宽限速...................................................................................................................................... 7-3 图7-2 用户组限速列表.......................................................................................................................................... 7-3 图7-3 用户组限速参数.......................................................................................................................................... 7-4 图7-4 每IP限速列表 .............................................................................................................................................. 7-5 图7-5 每IP带宽限速参数 ...................................................................................................................................... 7-5 图7-6 网络应用组管理.......................................................................................................................................... 7-6 图7-7 网络应用浏览.............................................................................................................................................. 7-7 图7-8 应用限速配置组网图.................................................................................................................................. 7-8 图7-9 网络应用访问控制...................................................................................................................................... 7-9 图7-10 网络应用访问控制列表.......................................................................................................................... 7-10 图7-11 网络应用组管理...................................................................................................................................... 7-11 图7-12 网络应用浏览.......................................................................................................................................... 7-12图7-13 网络应用访问控制配置组网图 .............................................................................................................. 7-12 图7-14 URL过滤策略.......................................................................................................................................... 7-14 图7-15 URL分类过滤策略.................................................................................................................................. 7-14 图7-16 自定义URL分类...................................................................................................................................... 7-15 图7-17 高级URL过滤.......................................................................................................................................... 7-16 图7-18 URL过滤推送默认配置.......................................................................................................................... 7-18 图7-19 URL配置组网图...................................................................................................................................... 7-19 图8-1 VPN菜单...................................................................................................................................................... 8-1 图8-2 IPSec VPN规则............................................................................................................................................ 8-2 图8-3 IPSec连接显示............................................................................................................................................. 8-4 图8-4 L2TP规则..................................................................................................................................................... 8-5 图8-5 GRE VPN规则............................................................................................................................................. 8-6 图8-6 SSL VPN规则.............................................................................................................................................. 8-8 图8-7 数字证书规则............................................................................................................................................ 8-10 图9-1 行为审计菜单.............................................................................................................................................. 9-1 图9-2 网络流量快照.............................................................................................................................................. 9-2 图9-3 业务流量分析.............................................................................................................................................. 9-4 图9-4 单用户业务流量分析.................................................................................................................................. 9-7 图9-5 TOP用户流量分析 ...................................................................................................................................... 9-8 图9-6 关闭服务器.................................................................................................................................................. 9-9 图9-7 流量统计本地显示...................................................................................................................................... 9-9 图9-8 所示为配置发向服务器.............................................................................................................................. 9-9 图9-9 行为审计规则............................................................................................................................................ 9-10 图9-10 行为审计规则.......................................................................................................................................... 9-10 图9-11 最近的日志.............................................................................................................................................. 9-11 图9-12 审计日志查询与删除.............................................................................................................................. 9-12 图9-13 用户当前行为.......................................................................................................................................... 9-13 图9-14 添加关键字.............................................................................................................................................. 9-14 图9-15 关键字过滤最近日志详细信息 .............................................................................................................. 9-15 图9-16 审计日志查询与删除.............................................................................................................................. 9-16 图9-17 行为审计配置组网图.............................................................................................................................. 9-17 图9-18 创建行为审计规则.................................................................................................................................. 9-18 图9-19 修改保存详细内容项.............................................................................................................................. 9-18 图10-1 应用层过滤菜单...................................................................................................................................... 10-1 图10-2 关键字设置.............................................................................................................................................. 10-1 图10-3 邮箱设置.................................................................................................................................................. 10-2 图10-4 HTTP过滤................................................................................................................................................ 10-3 图10-5 邮件过滤.................................................................................................................................................. 10-3 图10-6 FTP过滤................................................................................................................................................... 10-4 图11-1 用户认证菜单.......................................................................................................................................... 11-1 图11-2 本地认证用户.......................................................................................................................................... 11-1 图11-3 Web认证 .................................................................................................................................................. 11-3 图11-4 Web认证在线用户 .................................................................................................................................. 11-5 图11-5 前台管理.................................................................................................................................................. 11-5。

TAC终端接入控制技术白皮书V1.20

TAC终端接入控制技术白皮书V1.20

TAC终端接入控制解决方案技术白皮书规模日益扩大的互联网在为企业带来巨大运营便利的同时,也向越来越多的安全攻击敞开了大门。

计算机终端不及时升级系统补丁和病毒库、脆弱的安全设置、私自访问外部USB存储、滥用网络资源等行为,助长了来自互联网的安全威胁在全网范围内更加快速地传播。

提升网络终端系统的防御能力、对用户的网络访问行为进行有效地控制,是保证企业网络安全运行的前提,也是目前企业网络亟待解决的问题。

DPtech终端接入控制(TAC,Terminal Access Control)解决方案从加强终端系统自防御能力入手,整合网络接入控制、入侵检测与防御以及终端安全产品,通过SecHelper安全上网助手、接入交换机(或UAG统一接入网关)、UMC统一管理中心的协同,对接入网络的用户终端强制实施企业终端安全策略,有效地加强了用户终端的自防御能力,为企业网络管理人员提供了有效、易用的终端安全管理手段。

方案概述DPtech TAC 终端接入控制解决方案首先通过对尝试接入网络的用户进行身份认证以确定接入用户的合法身份,并根据网络管理人员制定的安全策略进行包括病毒库更新情况、系统补丁安装情况、终端安全设置在内的终端安全性检查。

对于不符合企业安全策略的终端系统,DPtech TAC 终端接入控制解决方案可以提醒或强制用户进行安全性加固,比如强制安装操作系统补丁、提醒升级病毒库版本等。

此外,利用UAG强大的行为审计功能,TAC能对终端用户的网络访问和USB使用行为进行实时监控,可有效防止信息泄漏,强化企业网络安全。

DPtech TAC 终端接入控制解决方案的主要部件包括SecHelper安全上网助手、接入交换机(UAG统一接入网关)、UMC统一管理中心。

SecHelper安全上网助手:安装了DPtech SecHelper安全上网助手的用户终端是TAC解决方案的客户端安全代理,负责发起用户身份认证、评估终端安全状态、提醒或强制实施安全策略。

DPtech_FW1000-Bla de_应用防火墙模 块产品概述

DPtech_FW1000-Bla de_应用防火墙模 块产品概述

目录1产品简介............................................................................................................................................... 1-1 2产品特点............................................................................................................................................... 2-12.1 强大的硬件平台 ................................................................................................................................ 2-12.2 硬件加密........................................................................................................................................... 2-12.3 接口扩展........................................................................................................................................... 2-12.4 灵活组网........................................................................................................................................... 2-12.5 虚拟防火墙技术 ................................................................................................................................ 2-12.6 应用层防护 ....................................................................................................................................... 2-12.7 高可靠性........................................................................................................................................... 2-12.8 支持丰富的网络协议......................................................................................................................... 2-1 3特性参数............................................................................................................................................... 3-13.1 规格说明........................................................................................................................................... 3-13.2 功能特性列表.................................................................................................................................... 3-1 4典型应用............................................................................................................................................... 4-14.1 企业园区网中的中小型数据中心应用................................................................................................ 4-14.2 电信运营商和门户网站的大型数据中心应用..................................................................................... 4-1 5选购指南............................................................................................................................................... 5-15.1 主机选购........................................................................................................................................... 5-1目前,Web2.0、音频/视频、P2P、云计算等各种新应用、新业务层出不穷,传统的基于端口进行应用识别和访问控制的防火墙,已远远无法满足各种新应用下安全防护的需求,增加其它辅助设备又会增加组网复杂性;而通过在传统防火墙上简单叠加部分应用层安全防护功能,也由于系统设计和硬件架构的天然不足,造成性能的大幅衰减,导致应用层功能不敢真正启用。

01-蓝盾高性能万兆防火墙技术白皮书

01-蓝盾高性能万兆防火墙技术白皮书

蓝盾万兆高性能防火墙技术白皮书⏹电信级架构⏹专用智能安全芯片⏹多核(128)并行处理广东天海威数码技术有限公司目录第1章产品简介 (2)1.1 系统组成 (3)第2章防火墙体系架构分析 (4)2.1 体系架构的演变 (4)2.2 基于FDT指标的体系架构分布 (6)2.3 蓝盾第三代ISS集成安全体系架构 (7)第3章蓝盾芯片级硬件防火墙体系架构 (9)3.1 高速安全处理单元SPU (11)3.2 安全处理芯片 (11)3.3 安全处理芯片处理流程 (14)3.4 高速背板总线及高速管理通道 (15)3.5 软件系统 (15)第4章产品特性 (17)4.1 强大的攻击防范能力 (17)4.2 增强的防火墙过滤功能 (17)4.3 IDS联动 (18)4.4 All In One集成功能 (19)4.5 支持多种功能模式 (20)4.6 NAT应用 (21)4.7 安全保障的VPN应用 (22)1.2 防火墙双机热备份 (22)4.8 完备的流量监控 (22)4.9 灵活便捷的维护管理 (23)4.10 支持多种以太网接口 (24)4.11 详尽统一的日志 (24)4.12 可靠的产品设计 (25)第5章系统结构 (26)5.1 产品外观 (26)产品前视图 (26)产品后视图 (26)产品顶视图 (27)5.2 产品性能指标 (27)5.3 功能特性列表 (27)第1章产品简介随着网络带宽和各种应用的高速增长,对防火墙产品的处理性能提出了更高的要求。

X86架构的防火墙采用通用CPU和PCI总线接口,往往会受到PCI 总线的带宽及CPU处理能力的限制;NP、ASIC架构的防火墙虽然解决了带宽问题,但对高层业务应用支持较差。

作为专门设计网络安全产品的广东天海威数码技术有限公司利用自身的优势,结合我国的网络安全现状,成功研制出了基于电信级架构,专用智能安全芯片及多核(128)并行处理能力的万兆级高性能防火墙,既成功解决了带宽问题,全双工吞吐量FDT最大支持高达12Gbps,又实现了高层应用业务的全面支持能力。

DPtech防火墙技术白皮书

DPtech防火墙技术白皮书

DPtech FW1000系列防火墙技术白皮书杭州迪普科技有限公司2013年8月目录1、概述32、产品简介33、迪普科技防火墙特色技术43.1DPtech FW1000防火墙数据转发流程43.2丰富的网络特性53.3大策略下的高性能、低时延处理能力63.4攻击防范技术(IPv4/IPv6)73.5防火墙高可靠性93.6防火墙全面VPN支持113.7防火墙虚拟化技术133.7.1虚拟防火墙技术133.7.2VSM虚拟化技术173.7.3 N:M虚拟化技术191、概述在应用需求的不断推动下,网络技术得到了飞速发展;而网络技术的进步则又反过来推动应用的发展,应用与网络之间是相辅相成、相互促进的。

随着万兆到核心/千兆到桌面、Web2.0、虚拟化、物联网、网络音频/视频、P2P、云计算等各种新应用、新业务层出不穷,传统的基于端口进行应用识别和访问控制的防火墙,已远远无法满足各种新应用下安全防护的需求。

为解决此类难题,迪普科技推出了基于全新多核处理器架构的FW1000系列下一代应用防火墙。

DPtech FW1000开创了应用防火墙的先河。

基于迪普科技自主知识产权的APP-X硬件平台和ConPlat OS安全操作系统,并配备专业的入侵防御特征库、病毒库、应用协议库、URL库,是目前业界性能最高的应用防火墙。

无以伦比的高可用性、高性能和高可靠性,使得FW1000系列可以放心规模部署于数据中心、大型园区网等各种复杂场景;另外,功能丰富并可按需扩展的应用防火墙方案,也简化了网络的安全架构,并大大降低了企业网络总体拥有成本。

2、产品简介DPtech FW1000系列是迪普公司面向大中型企业、学校、数据中心以及运营商开发的新一代应用防火墙产品,是一种应用级的高性能防火墙,工作在网络边界层,根据安全策略对来自不同区域的数据进行安全控制,同时支持IPv4和IPv6环境,具备业界最高性能,网络无瓶颈,拥有全面的安全防护,可确保网络稳定运行,产品VPN全内置,提供最高性价比,灵活组网能力,可适应各种网络环境。

防火墙攻击防范技术白皮书

防火墙攻击防范技术白皮书

防火墙攻击防范技术白皮书关键词:攻击防范,拒绝服务摘要:本文主要分析了常见的网络攻击行为和对应的防范措施,并且介绍了H3C防火墙攻击防范的主要特色和典型组网应用。

缩略语:目录1 概述 (3)1.1 产生背景 (3)1.2 技术优点 (4)2 攻击防范技术实现 (4)2.1 ICMP重定向攻击 (4)2.2 ICMP不可达攻击 (4)2.3 地址扫描攻击 (5)2.4 端口扫描攻击 (5)2.5 IP源站选路选项攻击 (6)2.6 路由记录选项攻击 (6)2.7 Tracert探测 (7)2.8 Land攻击 (7)2.9 Smurf攻击 (8)2.10 Fraggle攻击 (8)2.11 WinNuke攻击 (8)2.12 SYN Flood攻击 (9)2.13 ICMP Flood攻击 (9)2.14 UDP Flood攻击 (10)3 H3C实现的技术特色 (10)4 典型组网应用 (11)4.1 SYN Flood攻击防范组网应用 (11)1 概述攻击防范功能是防火墙的重要特性之一,通过分析报文的内容特征和行为特征判断报文是否具有攻击特性,并且对攻击行为采取措施以保护网络主机或者网络设备。

防火墙的攻击防范功能能够检测拒绝服务型(Denial of Service,DoS)、扫描窥探型、畸形报文型等多种类型的攻击,并对攻击采取合理的防范措施。

攻击防范的具体功能包括黑名单过滤、报文攻击特征识别、流量异常检测和入侵检测统计。

1.1 产生背景随着网络技术的普及,网络攻击行为出现得越来越频繁。

另外,由于网络应用的多样性和复杂性,使得各种网络病毒泛滥,更加剧了网络被攻击的危险。

目前,Internet上常见的网络安全威胁分为以下三类:•DoS 攻击DoS攻击是使用大量的数据包攻击目标系统,使目标系统无法接受正常用户的请求,或者使目标主机挂起不能正常工作。

主要的DoS攻击有SYN Flood、Fraggle 等。

DPtech-FW1000应用防火墙(培训文档)

DPtech-FW1000应用防火墙(培训文档)

固定接入
•IPSec VPN
分支机构


•GRE


移动接入 •SSL VPN •IPSec •L2TP •PPTP
分支机构 合作伙伴 移动办公
Internet 加密传输
Internet 加密传输
总部网络 总部网络

未经授权禁止扩散
Page22
NAT智能地址转换

未经授权禁止扩散
Page13
万兆防火墙
产 品 介 绍
FW1000-TS-N
FW1000-GE-N
• 2U高度,万兆性能,节能环保 • 接口丰富, 14GE电+12GE光 +2*10GE光 • 安全区域划分,虚拟防火墙 • 内臵双电源,确保稳定运行 • 内臵IPSec/SSL VPN硬件加密
静态路由协议/RIPv1/2/OSPF/BGP/策略路由 流量监管/拥塞检测及避免/流量整形 MPLS VPN/VLAN/QinQ/虚拟防火墙/多播
Internet




DPtechFW1000
虚拟防火墙
虚拟防火墙
虚拟防火墙
安全域1
安全域2
安全域3
虚拟防火墙组网示意

未经授权禁止扩散
Page26
灵活的URL过滤-专业URL库
迪普科技 升级服务区
上网终端
技 术 特 性
URL预分类 特征库
网址等关键字
自定义网址和
处理
未知网址自动反馈
URL地址过滤: 提供超过1000万URL地址信息,每天定制更新 提供灵活的分类信息,便于产品配臵 具有未知URL地址自动更新功能
4

迪普防火墙技术白皮书

迪普防火墙技术白皮书

迪普防火墙技术白皮书(总19页)-CAL-FENGHAI.-(YICAI)-Company One1-CAL-本页仅作为文档封面,使用请直接删除迪普FW1000系列防火墙技术白皮书1概述随着网络技术的普及,网络攻击行为出现得越来越频繁。

通过各种攻击软件,只要具有一般计算机常识的初学者也能完成对网络的攻击。

各种网络病毒的泛滥,也加剧了网络被攻击的危险。

目前,Internet网络上常见的安全威胁分为以下几类:非法使用:资源被未授权的用户(也可以称为非法用户)或以未授权方式(非法权限)使用。

例如,攻击者通过猜测帐号和密码的组合,从而进入计算机系统以非法使用资源。

拒绝服务:服务器拒绝合法用户正常访问信息或资源的请求。

例如,攻击者短时间内使用大量数据包或畸形报文向服务器不断发起连接或请求回应,致使服务器负荷过重而不能处理合法任务。

信息盗窃:攻击者并不直接入侵目标系统,而是通过窃听网络来获取重要数据或信息。

数据篡改:攻击者对系统数据或消息流进行有选择的修改、删除、延误、重排序及插入虚假消息等操作,而使数据的一致性被破坏。

•基于网络协议的防火墙不能阻止各种攻击工具更加高层的攻击•网络中大量的低安全性家庭主机成为攻击者或者蠕虫病毒的被控攻击主机•被攻克的服务器也成为辅助攻击者Internet的系统,它监控可信任网络(相当于内部网络)和不可信任网络(相当于外部网络)之间的访问通道,以防止外部网络的危险蔓延到内部网络上。

防火墙作用于被保护区域的入口处,基于访问控制策略提供安全防护。

例如:当防火墙位于内部网络和外部网络的连接处时,可以保护组织内的网络和数据免遭来自外部网络的非法访问(未授权或未验证的访问)或恶意攻击;当防火墙位于组织内部相对开放的网段或比较敏感的网段(如保存敏感或专有数据的网络部分)的连接处时,可以根据需要过滤对敏感数据的访问(即使该访问是来自组织内部)。

防火墙技术经历了包过滤防火墙、代理防火墙、状态防火墙的技术演变,但是随着各种基于不安全应用的攻击增多以及网络蠕虫病毒的泛滥,传统防火墙面临更加艰巨的任务,不但需要防护传统的基于网络层的协议攻击,而且需要处理更加高层的应用数据,对应用层的攻击进行防护。

迪普 DPtech IPS 技术白皮书

迪普 DPtech IPS 技术白皮书

DPtech IPS2000技术白皮书杭州迪普科技有限公司2013年8月目录一、概述 (3)二、产品简介 (3)三、产品特色技术介绍 (4)1.先进的特征提取技术 (4)1.1.协议特征形式化建模流程 (4)1.2.特征数据挖掘算法模型 (5)2.攻击防御技术 (5)2.1.基于指纹特征的检测技术 (5)2.1.1 蠕虫攻击防护 (6)2.1.2 SQL注入防护 (6)2.1.3 XSS攻击防护 (7)2.1.4 缓冲区溢出防护 (7)2.1.5 系统漏洞攻击防护 (7)2.1.6 碎片攻击防护 (7)2.1.7 未知威胁检测防护 (8)2.2.异常流量检测技术 (8)3.病毒过滤技术 (8)4.网络带宽限制技术 (10)4.1.基于用户的带宽管理 (10)4.2.基于服务的带宽管理 (10)5.网络访问控制技术 (10)6.URL过滤技术 (10)7.高可靠安全性 (11)7.1.完善的HA部署方式 (11)7.2.支持冗余电源 (12)7.3.丰富的Bypass功能 (12)一、概述随着网络的飞速发展,以蠕虫、木马、间谍软件、DDoS攻击、带宽滥用为代表的应用层攻击层出不穷。

传统的基于网络层的防护只能针对报文头进行检查和规则匹配,但目前大量应用层攻击都隐藏在正常报文中,甚至是跨越几个报文,因此仅仅分析单个报文头意义不大。

IPS正是通过对报文进行深度检测,对应用层威胁进行实时防御的安全产品。

但目前大多数IPS都是从原有的IDS平台改制而来,性能低、误报和漏报率高、可靠性差,尤其是在新应用不断增多、特征库不断增长的情况下,性能压力持续增加,只能通过减少或关闭特征库来规避。

这样的IPS不仅起不到安全防御的作用,甚至会成为网络中的故障点。

如何保证IPS在深度检测条件下仍能保证线速处理、微秒级时延?很显然,传统的基于串行设计思想的硬件和软件架构,无论是X86、ASIC或是NP,都无法承受成千上万条且在不断更新中的漏洞库,更不用说再增加病毒库、应用协议库……。

(售前)DPtech FW、UTM培训胶片

(售前)DPtech FW、UTM培训胶片

安全威胁的演进
n 攻击方式越来越复杂,单 一攻击转向复合性攻击
ü 应用层攻击占据90%以上. ü 多种和混合式攻击 已经成 为常见的行为.
n 动机和关注点发生了变化
ü 从捣乱转向获取金钱. ü 盗取金钱和个人信息.

22
当前网络安全威胁
传统安全是不够的!
Internet
新建会话数 5000 并发会话数 100,000 IPSec 100M 电源 单电源
2010年5月推出
10
高性能——研发实力的最佳体现
FW1000-GT
n基于分布式硬件架构,集成多核+ASIC n采用Crosbar无阻塞交换技术 n提供12GE和2*10GE接口模块 n整机处理能力可达40G n报文处理时延仅20us
内部网络
Internet
办事处
禁止外网发起的 各种访问
外网用户
ACL 规则
公司总部
状态检测更安全
13
丰富的安全功能
NAT
安全区域
流量控制 攻击防范
FW1000 VPN n n n
……
双机热备 攻击防范和远程安全接入一体化 深度状态识别,提供基于状态的安全过滤 集成地址转换、流量控制等网络应用
Trust 可信区域
15
灵活智能NAT转换
n支持多个地址对一个地址的转换 n支持多个地址对多个地址的转换 n支持一对一地址转换 n支持基于端口的转换
USER1 SIP:192.168.0.1 USER2 SIP:192.168.0.1 USER3 SIP:192.168.0.1
FW1000防火墙 NAT
1. SIP:192.168.01=>SIP:10.153.100.1 2. SIP:192.168.02=>SIP:10.153.100.1 3. SIP:192.168.01=>SIP:10.153.100.1

DPtech入侵防御系统DDoS防范技术白皮书概要

DPtech入侵防御系统DDoS防范技术白皮书概要

杭州迪普科技有限公司DPtech入侵防御系统DDoS防范技术白皮书防范技术白皮书1、概述1.1 背景从上世纪90年代到现在,DoS/DDoS 技术主要经历大约阶段:1) 技术发展时期。

90年代,Internet 开始普及,很多新的DoS 技术涌现。

技术,其中大多数技术至今仍然有效,且应用频度相当高,等等。

2) 从实验室向产业化转换2000年前后,DDoS 出现,Yahoo, Amazon等多个著名网站受到攻击并瘫痪,SQL slammer 等蠕虫造成的事件。

3) “商业时代”最近一两年,宽带的发展使得接入带宽增加,个人电脑性能大幅提高,使越频繁,可以说随处可见,而且也出现了更专业的、用于出租的攻击的威胁已经无处不在。

DDoS(分布式拒绝服务攻击)是产生大规模破坏的武器。

不像访问攻击穿透安全周边来窃取信息,DDoS攻击通过伪造的流量淹没服务器、网络链路和网络设备瘫痪来使得网络系统瘫痪。

1.2 DDoS攻击原理由于DDoS攻击往往采取合法的数据请求技术,再加上傀儡机器,造成最难防御的网络攻击之一。

据美国最新的安全损失调查报告,跃居第一。

DDoS攻击的一个致命趋势是使用复杂的欺骗技术和基本协议,不是采用可被阻断的非基本协议或高端口协议,非常难识别和防御,率的措施只是通过停止服务来简单停止攻击任务,但同时合法用户的请求也被拒绝,中断或服务质量的下降;DDoS事件的突发性,往往在很短的时就可使网络资源和服务资源消耗殆尽。

DDoS攻击主要是利用了Internet协议和Internet基本数据包到任意目的地。

DDoS 攻击分为两种:要么大数据,大流量来90年代末发明和研究过许多新的Ping of death, Smurf, SYN flooding, 还有 Codered, DDoS 攻击越来‘D DoS 攻击经济’。

可以说DDoS (路由器,防火墙等)DDoS攻击成为目前DDoS攻击所造成的经济损失已经如HTTP,Email等协议,而通常采用的包过滤或限制速造成业务的间内,大量的DDoS攻击数据——无偏差地从任何的源头传送压垮网络设备和服务器,要第1页共6页如优点杭州迪普科技有限公司么有意制造大量无法完成的不完全请求来快速耗尽服务器资源。

迪普 DPtech IPS2000技术白皮书

迪普 DPtech IPS2000技术白皮书

DPtech IPS2000技术白皮书杭州迪普科技有限公司2013年8月目录一、概述 (3)二、产品简介 (3)三、产品特色技术介绍 (4)1.先进的特征提取技术 (4)1.1.协议特征形式化建模流程 (4)1.2.特征数据挖掘算法模型 (5)2.攻击防御技术 (5)2.1.基于指纹特征的检测技术 (5)2.1.1 蠕虫攻击防护 (6)2.1.2 SQL注入防护 (6)2.1.3 XSS攻击防护 (7)2.1.4 缓冲区溢出防护 (7)2.1.5 系统漏洞攻击防护 (7)2.1.6 碎片攻击防护 (7)2.1.7 未知威胁检测防护 (8)2.2.异常流量检测技术 (8)3.病毒过滤技术 (8)4.网络带宽限制技术 (10)4.1.基于用户的带宽管理 (10)4.2.基于服务的带宽管理 (10)5.网络访问控制技术 (10)6.URL过滤技术 (10)7.高可靠安全性 (11)7.1.完善的HA部署方式 (11)7.2.支持冗余电源 (12)7.3.丰富的Bypass功能 (12)一、概述随着网络的飞速发展,以蠕虫、木马、间谍软件、DDoS攻击、带宽滥用为代表的应用层攻击层出不穷。

传统的基于网络层的防护只能针对报文头进行检查和规则匹配,但目前大量应用层攻击都隐藏在正常报文中,甚至是跨越几个报文,因此仅仅分析单个报文头意义不大。

IPS正是通过对报文进行深度检测,对应用层威胁进行实时防御的安全产品。

但目前大多数IPS都是从原有的IDS平台改制而来,性能低、误报和漏报率高、可靠性差,尤其是在新应用不断增多、特征库不断增长的情况下,性能压力持续增加,只能通过减少或关闭特征库来规避。

这样的IPS不仅起不到安全防御的作用,甚至会成为网络中的故障点。

如何保证IPS在深度检测条件下仍能保证线速处理、微秒级时延?很显然,传统的基于串行设计思想的硬件和软件架构,无论是X86、ASIC或是NP,都无法承受成千上万条且在不断更新中的漏洞库,更不用说再增加病毒库、应用协议库……。

防火墙技术白皮书

防火墙技术白皮书

防火墙技术白皮书一、序言Internet 技术带领信息科技进入新的时代。

企业、单位都纷纷建立与互联网络相连的企业内部互联网,使用户可以通过网络查询信息。

这时企业内部互联网的安全性就受到了考验,网络上的不法分子不断的寻找网络上的漏洞,企图潜入内部网络。

一旦企业内部互联网被人攻破,一些机密的资料可能会被盗、网络可能会被破坏,给网络所属单位带来难以预测的损失。

网络安全问题已经得到普遍重视。

防火墙系统就是针对以上情况开发、研制的,本系统可以为企业网络提供强大的保护措施,抵御来自外部网络的攻击、防止不法分子的入侵。

2.产品概述防火墙是一种将内部网和公众网如Internet分开的方法。

它可以作为不同网络或网络安全域之间信息的出入口,能根据企业的安全策略控制出入网络的信息流,且本身具有较强的抗攻击能力。

它是提供信息安全服务,实现网络和信息安全的基础设施。

在逻辑上,防火墙是一个分离器,一个限制器,也是一个分析器,有效地监控了内部网和Internet之间的任何活动,保证了内部网络的安全。

防火墙逻辑位置示意图公司长期追踪国内外网络安全的发展动态,时刻关注国内外防火墙的最新技术,投入了大量的人员,开发出一种高效率,高安全的综合性防火墙。

防火墙将强大的信息分析功能、高效包过滤功能、多种反电子欺骗手段、多种安全措施综合运用,它根据系统管理者设定的安全规则(Security Rules)保护内部网络,同时提供强大的访问控制、网络地址转换(Network Address Translation)、透明的代理服务(Proxy Server)、信息过滤(Filter)、流量控制等功能。

提供完善的安全性设置,通过高性能的网络核心进行访问控制。

它采用了简明的图形化用户界面(GUI),通过直观、易用的界面管理强大、复杂的系统。

是一套功能全面、安全性高的网络安全系统。

其功能示意图如下:防火墙功能示意图防火墙从用户角度考虑,旨在保护安全的内部网络。

VSM技术白皮书

VSM技术白皮书

DPtech VSM技术白皮书目录1 概述 (4)2 VSM技术介绍 (5)2.1 概念介绍 (5)2.1.1 VSM成员类别 (5)2.1.2 VSM标识 (5)2.1.3 VSM级联 (6)2.1.4 VSM通道 (6)2.2 VSM的形成 (7)2.2.1 VSM配置 (7)2.2.2 物理连接 (7)2.2.3 拓扑收集 (8)2.2.4 成员主备选举 (9)2.3 VSM管理和维护 (9)2.3.1 统一管理 (9)2.3.2 新成员设备加入 (10)2.3.3 已有成员设备离开 (11)2.3.4 分裂冲突检测 (11)2.3.5 VSM在线升级 (11)2.4 控制平面实现原理 (12)2.5 数据平面实现原理 (13)2.5.1 跨框聚合原理 (13)2.5.2 2~3层设备转发原理 (13)2.5.3 4~7层设备转发原理 (14)2.5.4 优先本框转发原理 (15)3 VSM 状态备份 (16)3.1 会话备份 (16)3.2 策略备份 (16)3.3 各种协议状态备份 (17)4 VSM组网应用 (17)1 概述随着网络规模的不断扩大,网络故障点越来越多,配置和维护的复杂度大幅增加。

为了提高网络及安全设备的可靠性,简化管理和组网,提高网络易用性,本白皮书提出了一种将多台L2~7层物理设备虚拟成一台逻辑设备来管理和使用的技术,也就是虚拟交换矩阵(Virtual Switching Matrix ,即VSM)技术。

通过VSM技术,可大大简化组网的复杂性和提高网络的可靠性,同时网络也更容易配置和维护。

本白皮书将介绍VSM实现原理及如何通过该技术实现交换机、路由器、防火墙、IPS、应用交付等L2~7层设备的虚拟化。

VSM虚拟交换矩阵相对于传统的堆叠方式具有如下几个优势:简化配置,提高带宽利用率。

VSM完全作为一台设备使用,无需使用STP等协议对链路进行阻塞,通过跨设备的链路聚合不仅能够提供链路冗余的功能,还能够支持链路负载分担,充分利用带宽。

DPtech WAF技术白皮书

DPtech WAF技术白皮书

DPtech WAF技术白皮书杭州迪普科技有限公司2013年10月目录1概述 (3)1.1Web安全现状 (3)1.2Web应用防火墙(WAF) (3)2WAF典型部署模式 (3)2.1透明模式 (3)2.2反向代理模式 (4)2.3旁路模式 (4)3全方位Web防护功能 (5)3.1参数攻击防护 (5)3.1.1SQL注入攻击防护 (5)3.1.2XSS攻击防护 (6)3.1.3命令注入防护 (6)3.1.4目录遍历攻击 (7)3.2HTTP协议攻击防护 (7)3.2.1HTTP请求正规化检查 (7)3.2.2Cookie正规化检查 (7)3.2.3Cookie加密 (7)3.3缓冲区溢出攻击防护 (8)3.4弱口令、暴力破解防护 (8)3.5应用层DDoS攻击防护 (8)3.6多种策略防护方式 (9)3.7敏感关键词过滤及服务器信息防护 (9)4网页防篡改功能 (10)4.1网页篡改防护功能 (10)4.2网站篡改恢复功能 (11)1概述1.1Web安全现状伴随着网络信息化的高速发展,Web平台渗透到各个行业及领域中,在给我们生活,生产带来便利的同时也产生了极大的风险。

目前Web业务的安全面临着两级分化极其严重的形势:一方面Web业务的易操作化,使得Web业务面向了更广泛的人群,人们大多不具备基本的网络安全意识,使得对于网络上的陷阱疏于防范,易于无意识的成为被攻击对象;另一方面,由于信息化的快速发展,网络上各种资料、工具可以极其方便的被查阅和下载,这使得各种攻击工具极易在网络上进行传播,对于攻击者要求的技术知识逐渐降低,甚至不需要任何网络和Web基础即可按照攻击软件说明对网站服务器进行攻击。

基于这种形势,近年来,国内外网站频繁受到各式攻击,Web安全现状令人堪忧。

1.2Web应用防火墙(WAF)在Web安全问题急剧增加的推动下,迪普可推出了专业的Web应用防火墙WAF3000。

WAF3000是可有效增加Web应用安全系数的产品,部署在Web应用平台前端,为Web应用平台提供了一个忠实可靠的安全护卫。

中科网威防火墙技术白皮书

中科网威防火墙技术白皮书

4.
14 产品技术特点......................................................................................................................... .........................................................................................................................14 4.1 4.2 4.3 4.4 4.5 4.6 4.7 高度可靠的自主专用硬件平台................................................................................. 14 低功耗设计.................................................................................................................14 突出的性价比............................................................................................................. 14 广泛的网络适应性..................................................................................................... 14 强大的 VPN 功能....................................................................................................... 15 优异的高可用性......................................................................................................... 15 方便高效的产品管理和维护..................................................................................... 15

阿姆瑞特(亚洲) 阿姆瑞特 F 系列防火墙 技术指南

阿姆瑞特(亚洲) 阿姆瑞特 F 系列防火墙 技术指南

阿姆瑞特F系列防火墙技术白皮书阿姆瑞特(亚洲)网络有限公司目 录前言 (3)第一章阿姆瑞特防火墙产品线 (4)第二章阿姆瑞特防火墙组成 (11)2.1 阿姆瑞特防火墙(硬件) (11)2.2 防火墙内核 (11)2.3 防火墙管理器 (12)2.4 Amaranten防火墙日志服务器 (12)第三章防火墙的功能 (14)3.1数据包状态检测过滤 (14)3.2强大的防御功能 (14)3.3支持DHCP客户端 (14)3.4支持DHCP Relay (16)3.5支持DHCP Server (16)3.6支持ADSL接入 (16)3.7基于策略的路由(PBR) (16)3.8支持H.323协议 (16)3.9支持SIP协议 (17)3.10内容过滤 (17)3.11策略时间表 (17)3.12支持VLAN (17)3.13提供CoS/QoS(服务级别/服务质量)服务 (18)3.14 IP地址和MAC地址绑定 (19)3.15 支持双机热备 (19)3.16 支持接口备份 (19)3.17 支持与防病毒网关联动 (20)3.18 防火墙和IDS联动 (20)3.19 支持Radius认证 (20)3.20 NAT地址转换 (20)3.21 反向地址映射 (21)3.22 多重DMZ区保护 (21)3.23 VPN功能 (21)3.24 丰富的日志审计 (22)3.25 GRE隧道封装 (22)3.26 灵活IPSec (22)3.27 多种接入模式 (23)3.28 安全的远程升级 (23)3.29独特的防火墙状态监测 (23)第四章防火墙的管理 (25)4.1分级管理 (25)4.2基于对象名称过滤 (25)4.3组策略管理 (25)4.4预定义服务 (26)4.5便捷的策略模板 (26)4.6集中远程管理 (26)4.7专业级防火墙管理 (27)4.8支持SNMP协议 (27)4.9 远程Console控制 (27)4.10 NTP时钟同步 (28)第五章 防火墙性能 (29)第六章防火墙应用范例 (31)6.1 在XXXXX电信网中的“高可靠性”功能特点: (31)6.2 在XXX企业网中的“混合接入” 功能特点: (31)6.3 在XXX石化网中的“ 支持VLAN”功能特点: (32)6.4 在XXX银行证券网中的“多DMZ区保护”的功能特点: (33)6.5 在XXX电力网中“内网安全分段”的功能特点 (34)6.6 在XXXX宽带网上的“动态IP分配”的功能特点: (34)6.7 在xxxx大学“多出口”的应用 (35)6.8 VPN的点对点接入的应用 (36)6.9星型拓扑的VPN接入的应用 (36)6.10动态IP地址接入应用 (37)6.11 NAT穿越的接入应用 (38)6.12 XXXX网站“端口映射”应用 (39)6.13 在无线网络的“带宽保证”的应用 (40)前言Internet的发展给政府机构、银行、证券、企事业单位带来了革命性的改革和变化。

  1. 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
  2. 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
  3. 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。

DPtech FW1000系列防火墙技术白皮书杭州迪普科技有限公司2013年8月目录1、概述32、产品简介33、迪普科技防火墙特色技术43.1DPtech FW1000防火墙数据转发流程43.2丰富的网络特性53.3大策略下的高性能、低时延处理能力63.4攻击防范技术(IPv4/IPv6)73.5防火墙高可靠性93.6防火墙全面VPN支持113.7防火墙虚拟化技术133.7.1虚拟防火墙技术133.7.2VSM虚拟化技术173.7.3 N:M虚拟化技术191、概述在应用需求的不断推动下,网络技术得到了飞速发展;而网络技术的进步则又反过来推动应用的发展,应用与网络之间是相辅相成、相互促进的。

随着万兆到核心/千兆到桌面、Web2.0、虚拟化、物联网、网络音频/视频、P2P、云计算等各种新应用、新业务层出不穷,传统的基于端口进行应用识别和访问控制的防火墙,已远远无法满足各种新应用下安全防护的需求。

为解决此类难题,迪普科技推出了基于全新多核处理器架构的FW1000系列下一代应用防火墙。

DPtech FW1000开创了应用防火墙的先河。

基于迪普科技自主知识产权的APP-X硬件平台和ConPlat OS安全操作系统,并配备专业的入侵防御特征库、病毒库、应用协议库、URL库,是目前业界性能最高的应用防火墙。

无以伦比的高可用性、高性能和高可靠性,使得FW1000系列可以放心规模部署于数据中心、大型园区网等各种复杂场景;另外,功能丰富并可按需扩展的应用防火墙方案,也简化了网络的安全架构,并大大降低了企业网络总体拥有成本。

2、产品简介DPtech FW1000系列是迪普公司面向大中型企业、学校、数据中心以及运营商开发的新一代应用防火墙产品,是一种应用级的高性能防火墙,工作在网络边界层,根据安全策略对来自不同区域的数据进行安全控制,同时支持IPv4和IPv6环境,具备业界最高性能,网络无瓶颈,拥有全面的安全防护,可确保网络稳定运行,产品VPN全内置,提供最高性价比,灵活组网能力,可适应各种网络环境。

3、迪普科技防火墙特色技术3.1DPtech FW1000防火墙数据转发流程防火墙的用途是通过允许、拒绝、重定向通过防火墙的数据量,提供对一个组织的不同网络之间服务访问的控制和审计,包括基于用户和协议的策略定义、URL过滤、协议识别等特性,DPtech FW1000 防火墙设备同时支持包过滤和应用级防火墙要求。

防火墙根据网络中各点的安全规则策略,有选择的在不同网络间发送信息流,默认安全规则策略拒绝所有入站和出站的信息流,仅授权的管理员具有改变安全规则策略的权限。

典型的包过滤策略由源地址、目的地址、传输层协议、源端口、目的端口、应用协议决定,并以数据包达到或者离开接口为基准。

迪普防火墙采用安全域的控制方式在包过滤处进行整体调用,默认规则为:1、高安全域可以访问低安全域。

2、低安全域不可访问高安全域。

3、相同安全级别的不同安全域,相互间禁止访问。

4、同一个安全域下面的不同接口,接口间可相互访问。

防火墙内部数据转发简要流程图如下: 入接口驱动收包是否已存在的session ?是否有目的NAT ?是否有目的网段的路由?状态监测包过滤、攻击防御是否放通?是否有源NAT 转换?NONONO 丢包处理NO 丢包处理NO 走三层转发Yes 做DNAT 转换Yes YesYesARP 请求出接口下一跳二层地址走防火墙快速转发匹配快速转发表项出接口驱动发包YesUser-ID 、APP-ID 、协议识别等应用层策略是否放通?NO 丢包处理Yes (审计策略)图1 防火墙内部转发流程图 防火墙数据转发流程依据上述顺序进行,先查找会话表项,然后再目的NAT 转换,路由查找,包过滤规则,攻击防火墙策略、应用层匹配规则,审计策略,最后查询源NAT 从设备转发出去。

3.2丰富的网络特性ConPlat 软件平台支持丰富的网络特性,既包括STP 、VLAN 、ARP 等二层特性、也包括BGP 、OSPFv2/v3、MPLS 等IPv4/IPv6的三层特性。

DPtech FW1000网络特性:●支持透明组网模式、路由组网模式、混合组网模式●支持IPv4/IPv6协议栈,具备完善丰富的IPv6协议栈过渡以及隧道技术●Access、Trunk VLAN、端口聚合、端口镜像●策略路由、静态路由、组播IPv4/6路由(IGMP、PIM、MSDP、组播VPN)●IPv4路由(支持RIP v1/2、OSPF、IS-IS、BGP、Guard路由)●IPv6路由(支持RIPng、OSPFv3、Guard路由)、IPv6隧道技术●支持完善的MPLS VPN●支持DNS、DHCP、ARP、BFD、STP、QOS●支持WIFI模块、3G上网卡迪普防火墙丰富的网络特性为用户提供了灵活组网能力,可适应各种类型的网络环境,支持路由模式、透明模式、混合模式组网,可适应各种复杂应用组网环境。

3.3海量策略数下的高性能、低时延处理能力迪普防火墙包过滤、NAT匹配采用决策树算法把安全策略编译成快速匹配表项,报文经过设备时提取五元组一次性送入快速匹配表项进行策略匹配,可以一次性查找到相应的匹配,形成单数据流并行处理的体系结构,即便防火墙在有海量策略数的情况下,依旧可保持高性能、低时延的处理能力,满足管理员对设备超高处理性能与低传输延迟的需求,让安全防护设备从此不再成为网络传输的瓶颈。

3.4攻击防范技术(IPv4/IPv6)攻击防范功能是DPtech防火墙的重要特性之一,是指通过分析报文的内容特征和行为特征判断报文是否具有攻击特性,并且对攻击行为采取措施以保护网络主机或者网络设备。

防火墙的攻击防范功能能够检测拒绝服务型(Denial of Service,DoS)、扫描窥探型、畸形报文型等多种类型的攻击,并对攻击采取合理的防范措施。

攻击防范的具体功能包括黑名单过滤、报文攻击特征识别、流量异常检测和入侵检测统计。

除了对传统的IPv4安全防范技术,迪普防火墙对于IPv6的安全也拥有全面防护,支持IPv6的包过滤、业务长连接、huge-icmp-pak、icmp-flood、ip-sweep、ip-spoofing(l2/l3)、udp-flood、tear-drop、ip-fragment、ping-of-death、port-scan、syn-flood、syn-proxy、tcp abnormal、land-attack、NDP defender等。

DDoS攻击在多种网络攻击类型中,DDoS攻击是最常见的一种,因为这种攻击方式对攻击技能要求不高,攻击者可以利用各种开放的攻击软件实施攻击行为,使用大量的数据包攻击目标系统,让目标系统无法接受正常用户的请求,或者使目标主机挂起不能正常工作。

DDoS攻击和其它类型的攻击不同之处在于,攻击者并不是去寻找进入目标网络的入口,而是通过扰乱目标网络的正常工作来阻止合法用户访问网络资源。

防火墙通过攻击防范技术可主动防御各种常见的网络攻击,保证网络在遭受越来越频繁的攻击的情况下能够正常运行,从而实现防火墙的整体安全防护。

对于采用服务器允许的合法协议发起的DDoS攻击,攻击防范采用基于行为模式的异常检测算法,能够精确识别攻击流量和正常流量,有效阻断攻击流量,同时保证正常流量通过,避免对正常流量产生拒绝服务。

攻击防范能够检测到的流量异常攻击类型包括SYN Flood、ICMP Flood、UDP Flood等。

DDoS攻击也可以存在于IPv6 Internet上。

由感染木马的计算机组成的大型网络成为僵尸网络,他们的攻击可以聚焦到一个受害者。

IPv6的使用不会改变僵尸网络的生成和运行,不幸的是,僵尸网络将仍然存在于IPv6网络上。

IPv6将允许Internet包含比IPv4 Internet更多的设备,如果这样多的设备都发起一次DDoS攻击的情形,相比如今在IPv4 Internet上的攻击而言,结果将更具毁灭性。

迪普防火墙支持DDoS指纹识别技术,可针对网络中的IPv4/IPv6流量进行自动学习,形成用户流量指纹特征,如果网络有攻击出现异常攻击流量,DDoS 将快速识别异常流量,阻断攻击流量或者对攻击流量进行限速处理,实现DDoS 攻击防御的智能化、简洁化。

同时用户还可以手动配置指纹识别的特征,对特定的流量进行识别,如TCP可配置参数有报文长度、报文ID、TTL、源IP、目的IP、序列号、确认号、源端口、目的端口、flag标记以及自定义特征,可对于已知的攻击特征可进行有效手动识别与防护。

✓扫描窥探攻击扫描窥探攻击利用PING扫描(包括ICMP和TCP)标识网络上存在的活动主机,从而可以准确地定位潜在目标的位置;利用TCP和UDP端口扫描检测出目标操作系统和启用的服务类型。

攻击者通过扫描窥探就能大致了解目标系统提供的服务种类和潜在的安全漏洞,为进一步侵入目标系统做好准备。

迪普防火墙能够有效的防御IP地址扫描、端口扫描、漏洞扫描等扫描窥探攻击。

✓畸形报文攻击畸形报文攻击是通过向目标系统发送有缺陷的IP报文,如分片重叠的IP 报文、TCP标志位非法的报文,使得目标系统在处理这样的IP报文时崩溃,给目标系统带来损失。

迪普防火墙通过特征识别技术,能够精确识别出数十种攻击特征报文,能够对LAND攻击、死亡之Ping、IP分片重叠攻击、UDP Fraggle 攻击、WinNuke攻击、TcpFlag攻击、ICMP不可达报文、ICMP重定向报文、ICMP Smurf攻击、源路由选项IP报文、路由记录选项IP报文、超大ICMP报文等畸形报文攻击进行防护。

3.5防火墙高可靠性DPtech FW1000具备完善的双机热备技术,包括普通双机热备、高级双机热备、非对称双机热备、静默双机热备等。

✓普通双机热备提供配置同步的双机功能,实时相互备份防火墙的配置,包括IP地址对象/组、服务对象/组、包过滤策略、路由等。

✓高级双机热备在提供备份配置的基础上,实时同步两台防火墙的会话,一旦主备发生切换,有状态连接的应用访问可继续进行,无需重新连接。

✓非对称双机热备可配置备份与会话备份,同时支持业务流量非对称的双主部署模式。

对于ALG的会话实时同步,对多通道应用层业务提供支持。

普通、高级以及非对称双机热备主备切换可配合协议来实现,如VRRP协议、OSPF协议、STP协议等。

管理员通过规划VRRP、OSPF、STP等的优先级参数来控制业务流量走向,从而实现防火墙部署为主备模式或主主模式,如下图:图2 双机热备(VRRP协议)图3 双机热备(OSPF协议)静默双机热备主备防火墙所有配置完全一样(接口IP也一致),正常运行的情况下,逻辑上只能感知到主设备的存在,备设备处于静默的状态,在网络中不可见也不可感知。

相关文档
最新文档