天融信产品交流[1]

综合安全网关系统TopGate产品概述网络卫士安全网关TopGate(UTM)是天融信公司自主研发的新一代基于TOS平台研发推出的一款多功能综合应用网关产品。

集合了防火墙、虚拟专用网（VPN）、入侵检测和防御（IPS）、网关防病毒、WEB 内容过滤、反垃圾邮件，流量整形，用户身份认证、审计及BT、IM控制等应用。

TopGate不但能为用户提供全方位的安全威胁防护方案，还为用户提供全面的策略管理、服务质量(QoS)保证、负载均衡、高可用性(HA)以及网络带宽管理等功能。

TopGate安全网关(UTM)可灵活部署在大中型企业及其分支机构或中小企业网络的网关处，保护用户网络免受黑客攻击、病毒、蠕虫、木马、恶意代码以及未知的“零小时”（zero-hour）攻击等混合威胁的侵害；同时还为用户提供简便统一地管理各种安全特性及相关日志、报告，大大降低了设备部署、管理和维护的运营成本。

除此之外，TopGate还为企业提供了CleanVPN服务，使得用户通过VPN远程访问企业内网时，确保VPN数据没有病毒等有害内容。

在新攻击的防护上，TopGate对VoIP, IM/P2P, 间谍软件, 网络钓鱼, 混合攻击等都有出色的表现。

TopGate UTM 在技术上采用先进的完全内容检测技术和独特的加速引擎处理技术，可通过简单的配置和管理，以较低的维护成本为用户提供一个高级别保护的“安全隔离区”。

它对经过网关的数据流量进行病毒、蠕虫、入侵等进行高效检测，而且能够阻挡来自垃圾邮件、恶意网页的威胁，所有的检测都是在实时状态下进行，具有很高的网络性能。

典型应用产品特点多功能与高性能的完美结合TopGate网络卫士安全网关是高性能与多功能的完美结合，它通过提供全系列产品而为不同类型的用户提供多功能与高性能的UTM产品。

真正实现了一机多用，管理简单，节省大量成本。

TopGate作为一款优秀的UTM产品，具备多种安全功能，既可以作为防火墙设备，也可以作为VPN设备、病毒网关或IPS设备，更重要的是这些功能融为一体，可同时任意组合使用，满足用户各种安全需求，为用户节省大量购置与维护成本。

天融信网络安全产品供货安装方案目录1天融信安全设备供货方案 (4)1.1供货计划和安排 (4)1.2运输安装计划 (4)1.3货物包装及标注 (6)1.4货物运输及交货 (6)2天融信安全产品安装部署方案 (7)2.1安全设备安装 (7)2.1.1安装步骤概述 (7)2.1.2安装准备工作确认 (8)2.1.3检查安装场所 (9)2.1.4安装计划 (11)2.1.5安装工具 (12)2.1.6设备安装流程 (13)2.1.7设备安装到指定位置 (13)2.1.8地线的连接 (14)2.1.9配置电缆的连接 (15)2.1.10安装中的布线推荐 (18)2.1.11安装中的电缆捆扎 (19)2.1.12安装后的检查 (22)2.2安全设备上线调试 (22)2.2.1产品上线过程 (22)2.2.2安全策略调试 (24)2.3系统集成割接 (25)2.3.1现有应用系统数据访问业务特点 (25)2.3.2割接时间点的选择 (27)2.3.3割接原则 (28)1 天融信安全设备供货方案正式合同签订后我方设备采购小组将按照合同中关于设备购货有关条款和议定的日期，组织设备软硬件的购置工作。

订购的设备在运抵用户指定安装现场后，我方将与用户方人员共同开箱验收。

验收时发现短缺、破损，我方将立即要求供货商补发或更换。

1.1 供货计划和安排1、到货时间我方承诺标书中要求中的到货日期内全部到达到货地点。

2、到货地点到货地点为用户的指定地点。

1.2 运输安装计划我方将在此次项目合同签订后，按照合同时限运至指定地点。

我方运货在途运输基本流程：1.3 货物包装及标注1、我方将提供货物送达合同规定的项目现场所需要的原厂包装，以防货物在运输中损坏，并提供原厂包装证明。

2、我方将以醒目的中文印刷字体在各包装箱上标明通用规范的运输标记或标志，如项目名称、货物名称与合同号、以及客户、我方双方名称等相关信息。

3、我方将在每个箱子侧面标明交货地点的全称；装箱单注明每个站点总数量；我方对包装箱内每件辅件进行标签，标明“备件”或“工具”及具体名称，并注明合同号、箱号及安装站。

天融信网络安全产品大全目录1产品功能描述 (5)1.1防火墙 (5)1.1.1系统概述 (5)1.1.2功能描述 (5)1.2入侵防御系统 (6)1.2.1系统概述 (6)1.2.2功能描述 (6)1.3WEB应用防火墙 (7)1.3.1系统概述 (7)1.3.2功能描述 (8)1.4漏扫扫描系统 (11)1.4.1系统概述 (11)1.4.2功能描述 (11)1.5数据库审计系统 (13)1.5.1系统概述 (13)1.5.2功能描述 (14)1.6负载均衡系统 (15)1.6.1系统概述 (15)1.6.2功能描述 (16)2安全产品硬件规格及性能参数 (17)2.1防火墙品目一：TG-62242 (17)2.2防火墙品目二：TG-42218 (19)2.3入侵防御：TI-51628 (20)2.4WAF :TWF-72138 (21)2.5漏扫：TSC-71528 (22)2.6数据库审计:TA-11801-NET/DB (24)2.7负载均衡：TopApp-81238-NLB-R (25)2.8相关应答： (26)3产品测试方案 (29)3.1负载均衡系统测试方案 (29)3.1.1测试目的 (29)3.1.2测试内容 (29)3.1.3测试环境 (29)3.1.4测试用例设计 (30)3.1.5测试结论 (46)3.2防火墙测试方案 (46)3.2.1测试说明 (46)3.2.2功能要求及测试方式 (48)3.2.3测试结果记录 (64)3.3入侵防御系统测试方案 (66)3.3.1测试说明 (66)3.3.2测试环境 (66)3.3.3攻击测试内容和方法 (69)3.3.4WEB过滤测试内容和方法 (76)3.3.5应用监控测试和方法 (77)3.3.6防病毒测试内容和方法 (78)3.3.7防火墙联动 (79)3.3.8事件审计 (79)3.3.9测试结果 (81)3.4WEB应用防火墙测试方案 (82)3.4.1测试环境 (82)3.4.2防护能力测试 (83)3.5漏洞扫描系统测试方案 (116)3.5.1测试目的 (116)3.5.2测试环境 (116)3.5.3功能测试 (117)3.5.4专项测试 (140)3.5.5漏洞测试 (145)3.5.6压力测试 (163)3.5.7测试结论 (165)3.6数据库审计系统测试方案 (165)3.6.1测试目的 (165)3.6.2数据库审计基本功能 (166)1 产品功能描述1.1 防火墙1.1.1 系统概述网络层访问控制基本的安全防护手段，通常采用路由器和防火墙等手段实现，然而防火墙相对与路由器而言，不仅仅只是提供简单的访问控制功能，同时也能够提供更为强大的连接检测、攻击检测、认证、内容过滤等更加细粒度的安全防护，所以在网络层访问控制方面通常都采用防火墙设备，通过防火墙设备定义好的安全规则来实现基本的访问控制。

1产品概述1.1平安接入的应用趋势随着电子政务和电子商务信息化建设的快速推动和发展，越来越多的政府、企事业单位已经依托互联网构建了自己的网上办公系统和业务应用系统，从而使内部办公人员通过网络可以快速地获得信息，使远程办公和移动办公模式得以逐步实现，同时使合作伙伴也能够访问到相应的信息资源。

但是通过互联网接入来访问企业内部网络信息资源，会面临着信息窃取、非法篡改、非法访问、网络攻击等越来越多的来自网络外部的平安威逼。

而且我们目前所运用的操作系统、网络协议和应用系统等，都不行避开地存在着平安漏洞。

因此，在通过Internet构建企业网络应用系统时，必须要保证关键应用和数据信息在开放网络环境中的平安，同时还需尽量降低实施和维护的成本。

1.2平安接入的技术趋势目前通过公用网络进行平安接入和组网一般采纳VPN技术。

常见的VPN接入技术有多种，它们所处的协议层次、解决的主要问题都不尽相同，而且每种技术都有其适用范围和优缺点，主流的VPN技术主要有以下三种：1．L2TP/PPTP VPNL2TP/PPTP VPN属于二层VPN技术。

在windows主流的操作系统中都集成了L2TP/PPTP VPN客户端软件，因此其无需安装任何客户端软件，部署和运用比较简洁；但是由于协议自身的缺陷，没有高强度的加密和认证手段，平安性较低；同时这种VPN 技术仅解决了移动用户的VPN访问需求，对于LAN-TO-LAN的VPN应用无法解决。

2．IPSEC VPNIPSEC VPN属于三层VPN技术，协议定义了完整的平安机制，对用户数据的完整性和私密性都有完善的爱护措施；同时工作在网络协议的三层，对应用程序是透亮的，能够无缝支持各种C/S、B/S应用；既能够支持移动用户的VPN应用，也能支持LAN-TO-LAN 的VPN组网；组网方式敏捷，支持多种网络拓扑结构。

其缺点是网络协议比较困难，配置和管理须要较多的专业学问；而且须要在移动用户的机器上安装单独的客户端软件。

天融信网络卫士入侵防御系统-Web网站防护网关FAQQ1 本产品的核心是什么？竞争对手的情况？A：本产品的核心内容包括：1）防止恶意代码对网站服务器的破坏；2）防止黑客通过溢出类攻击破坏网页内容；3）防止黑客通过SQL 注入攻击或跨站攻击篡改系统网页。

其它主要功能包括：1）SSL 支持；2）抗DoS/DDoS 攻击。

目前没有此类技术的竞争对手。

市场上的网页防篡改技术都是采用文件指纹比对、然后恢复的方式，这种方式一般都存在性能和安全空档问题，它们的另一个缺点是不支持动态网页的保护，对需要频繁更新的静态网页也十分地不方便。

Q2 本产品的特性是什么？A： 1）对未知病毒具备免疫能力；目前市场上的计算机病毒防杀类产品的安全滞后性已经不能满足用户尤其是机构（包括政府和企业）用户的业务安全要求。

本产品已经过国内某权威机构的上千种病毒样本的攻击测试，能够抵御包括病毒、木马、流氓软件在内的各种恶意代码攻击。

2）更有效的网页防篡改技术；目前市场上常见的网页防篡改技术主要有外挂轮询技术、核心内嵌技术、事件触发技术三种。

这三种技术共同安全隐患是，需要备份要监控的网页，以便在网页被篡改之后能够恢复。

但是，其备份服务器也面临着被攻击的风险，一旦备份的网页也被篡改，就不具有恢复的可能。

本产品的保护方式可以禁止任何非法的网页修改行为，不存在网页恢复的问题；同时，对于正常的访问行为不做任何的处理，因而对系统性能没有任何的影响。

3）更简便的布署与管理过程。

目前常见的防止SQL 注入的方式为在网页代码中加入过滤语句，但这种方式是在应用层基础上实现，需要针对不同的网页作不同的处理，不能通用。

我们采用网络中间层驱动（NDIS）进行过滤，可以支持所有的网站服务。

Q3 是否能保护动态网页不被篡改？A：通过SQL 注入或跨站攻击过滤可以防止动态网页被篡改。

如果问题中的动态网页是指论坛内容，那就不叫篡改了，这种情况下，大家都可以提交发言内容，但内容安全需要斑竹控制了，这属于另一个范畴的安全控制了。

XXXX VPN系统解决方案天融信科技2020年11月目录第一章 XXXX网络现状及需求分析 (3)1.1网络现状 (3)1.2现有组网方式的缺陷 (3)1.2.1访问没有保护 (3)1.2.2无法运行部管理软件 (3)1.2.3增值服务无法实施 (3)1.2.4网络管理混乱 (3)1.3需求分析 (4)第二章 VPN技术及天融信VPN产品 (5)2.1VPN基本概念 (5)2.2VPN的基本技术 (5)2.3一般VPN解决方案所面临的几个问题 (7)2.4天融信VPN产品及其典型解决方案 (9)2.4.1天融信VPN硬件安全网关 (9)2.4.2天融信VPN客户端 (15)2.4.3天融信VPN安全策略管理平台 (17)2.5天融信VPN产品的主要特点 (22)2.5.1支持国密局《IPSec VPN技术规》 (22)2.5.2全面支持IPSec协议标准 (23)2.5.3 CleanVPN (23)2.5.4完善的PKI体系提高用户网络安全等级 (23)2.5.5支持全动态IP地址间建VPN隧道 (24)2.5.6 NAT自动穿越 (24)2.5.7隧道路由技术实现VPN灵活自动部署 (24)2.5.8完善的VPN网络集中管理功能 (25)2.5.9支持组播穿越隧道 (25)2.5.10多机多线路负载均衡与备份 (26)2.5.11支持灵活的移动用户接入策略 (26)2.5.12丰富多样的认证与授权 (26)2.5.13分级可信接入体系 (27)2.5.14简单易用的无驱客户端 (27)2.5.15 iOS零安装 (27)2.5.16集成功能强大的防火墙功能 (28)2.5.17集成强大的网络附加功能 (28)第三章 XXXX网络系统互联VPN解决方案 (29)3.1VPN解决方案 (29)3.2配置及功能说明 (31)3.2.1天融信安全策略管理平台 (31)3.2.2天融信VPN硬件安全网关 (31)3.2.3天融信VPN客户端 (31)3.3通信过程分析 (31)3.4安全性分析 (31)3.5密钥管理 (32)3.6本解决方案的主要特点 (32)第一章XXXX网络现状及需求分析1.1网络现状XXXX业务网络系统由总部和100个左右分支机构组成。

网络卫士防火墙&UTM系统技术工程师讲义（初级）目录1售后技术部分 (3)1.1配置管理 (3)1.2系统时间配置 (5)1.3网络配置 (5)1.3.1物理接口 (5)1.3.2子接口 (6)1.4路由模式基本属性设置 (7)1.5交换模式基本属性设置 (8)1.6ADSL接入方式配置 (9)1.7动态主机配置协议DHCP (11)1.8虚拟线 (12)1.9设置主机资源 (12)1.10防火墙安全规则配置 (13)1.11IP/MAC地址绑定 (13)1.12内容安全配置 (15)1.13地址转换NAT (19)1.14IDS配置 (19)1.15用户认证配置 (20)1.16PKI配置 (21)1.17高可用性 (22)1.17.1接口联动功能 (22)1.17.2双机热备模式 (22)1.17.3服务器负载均衡组 (23)1.18虚拟防火墙 (25)1.19日志和报警 (25)1.19.1日志 (25)1.19.2报警 (26)1.20辅助功能简介 (27)1.20.1设备版本信息 (27)1.20.2设备软件版本升级 (27)1.20.3健康记录 (28)1.20.4设备License (28)1.20.5扩展IP协议支持 (28)1.20.6重要命令行配置 (29)1.21性能测试指标说明 (29)1.22提交外部故障要点 (30)1售后技术部分1.1配置管理系统配置指的是整个防火墙中各个功能模块的配置和文件，包括防火墙配置（包括网络基本配置）、VPN配置、AV配置。

系统配置基本上可以分为三种：∙运行配置，指的是设备当前运行状态下的配置情况，该配置可以随用户的操作而动态调整，当系统重新启动后，该配置失效。

∙存盘配置，指的是用户最后一次手工保存在设备上的配置文件，当系统重新启动后，会自动加载该配置文件。

∙备份配置，指的是用于备份的存盘配置，通常是某一历史时刻的存盘配置。

备份配置只存在于V3.3.006之后的TOS版本。

天融信网络安全产品大全目录1产品功能描述 (5)1.1防火墙 (5)1.1.1系统概述 (5)1.1.2功能描述 (5)1.2入侵防御系统 (6)1.2.1系统概述 (6)1.2.2功能描述 (6)1.3WEB应用防火墙 (7)1.3.1系统概述 (7)1.3.2功能描述 (8)1.4漏扫扫描系统 (11)1.4.1系统概述 (11)1.4.2功能描述 (11)1.5数据库审计系统 (13)1.5.1系统概述 (13)1.5.2功能描述 (14)1.6负载均衡系统 (15)1.6.1系统概述 (15)1.6.2功能描述 (16)2安全产品硬件规格及性能参数 (17)2.1防火墙品目一：TG-62242 (17)2.2防火墙品目二：TG-42218 (19)2.3入侵防御：TI-51628 (20)2.4WAF :TWF-72138 (21)2.5漏扫：TSC-71528 (22)2.6数据库审计:TA-11801-NET/DB (24)2.7负载均衡：TopApp-81238-NLB-R (25)2.8相关应答： (26)3产品测试方案 (29)3.1负载均衡系统测试方案 (29)3.1.1测试目的 (29)3.1.2测试内容 (29)3.1.3测试环境 (29)3.1.4测试用例设计 (30)3.1.5测试结论 (46)3.2防火墙测试方案 (46)3.2.1测试说明 (46)3.2.2功能要求及测试方式 (48)3.2.3测试结果记录 (64)3.3入侵防御系统测试方案 (66)3.3.1测试说明 (66)3.3.2测试环境 (66)3.3.3攻击测试内容和方法 (69)3.3.4WEB过滤测试内容和方法 (76)3.3.5应用监控测试和方法 (77)3.3.6防病毒测试内容和方法 (78)3.3.7防火墙联动 (79)3.3.8事件审计 (79)3.3.9测试结果 (81)3.4WEB应用防火墙测试方案 (82)3.4.1测试环境 (82)3.4.2防护能力测试 (83)3.5漏洞扫描系统测试方案 (116)3.5.1测试目的 (116)3.5.2测试环境 (116)3.5.3功能测试 (117)3.5.4专项测试 (140)3.5.5漏洞测试 (145)3.5.6压力测试 (163)3.5.7测试结论 (165)3.6数据库审计系统测试方案 (165)3.6.1测试目的 (165)3.6.2数据库审计基本功能 (166)1 产品功能描述1.1 防火墙1.1.1 系统概述网络层访问控制基本的安全防护手段，通常采用路由器和防火墙等手段实现，然而防火墙相对与路由器而言，不仅仅只是提供简单的访问控制功能，同时也能够提供更为强大的连接检测、攻击检测、认证、内容过滤等更加细粒度的安全防护，所以在网络层访问控制方面通常都采用防火墙设备，通过防火墙设备定义好的安全规则来实现基本的访问控制。

天融信网络卫士过滤网关系统一、产品概述天融信网络卫士过滤网关系统TopFilter（简称：TopFilter）采取了一个与单机防护不同的基于网络的病毒防护方案。

它被设计成安装在网络边缘，在病毒侵入网络之前实时的阻止它们，并且没有传统解决方案通常都有的延时。

TopFilter具有真正的即插即用能力，只要部署好之后就可以进行网络协议数据的病毒过滤功能；目前TopFilter基本可以支持主要的网络协议，SMTP、IMAP4、POP3、HTTP以及FTP协议。

TopFilter采用业界先进的扫描技术，所以具有优秀的扫描性能，对各协议的处理性能表现优越。

二、产品特点介绍1、独创的TCP粘合技术天融信网络卫士过滤网关系统基于透明代理技术实现。

透明代理技术的优点是可以在应用层实现复杂的过滤。

缺点是降低设备的吞吐，并且造成较大的网络延迟。

TCP粘合技术显著的提升了透明代理的性能，大大降低了通信延时。

连接粘合后的性能接近内核的路由转发。

TCP粘合连接的原理如下图所示。

该结构与应用级代理的最大不同在于：客户端和服务器之间的连接在操作系统的核心层进行连接粘合。

TCP粘合避免了数据包从核心空间到用户空间的拷贝和多次socket系统调用导致的上下文切换，显著提高了转发的性能，并且大大降低了通信延迟。

由于TCP粘合技术需要对两个连接上的报文进行处理，所以有很多TCP协议的细节需要注意。

包括：对TCP报文序号的处理；对校验和的重新计算；对常见的TCP选项的协商和转换。

如果客户端和服务器不是同一类型的系统，可能在TCP协议栈的实现上有所差异。

因此必须要考虑协议兼容性，以保证双向通信的正确性。

图1 TCP粘合技术示意2、透明扫描大多数传统的解决方案工作在OSI的应用层，以代理的方式截获数据进行扫描：客户机首先连接到防病毒网关，防病毒网关再连接到真正的服务器，转发并扫描通过的数据流，这种方法丢失了很多有用的客户端及服务器的信息。

邮件服务器往往需要知道客户机的地址来决定是否允许客户端通过它发送邮件，特别是现在的垃圾邮件实在是泛滥成灾，这一点尤其重要。