网络卫士防火墙NGFW 4000系列产品白皮书
天融信产品白皮书网络卫士防火墙NGFW 4000系列
网络卫士防火墙NGFW4000系列
NGFW4000是天融信网络卫士防火墙系统的中端产品系列,适用于网络结构复杂、应用丰富的政府、金融、学校、中型企业等网络环境。产品集成了天融信在客户复杂环境中处理威胁的经验及对客户需求的深入理解,已在各种网络环境中经受了严格考验。该系列产品具有访问控制、内容过滤、防病毒、NAT、IPSEC VPN、SSL VPN、带宽管理、负载均衡、双机热备等多种功能,广泛支持路由、多播、生成树、VLAN、DHCP等各种协议。稳定可靠的硬件平台,满足真实需求的软件功能,超强的网络适应能力,使之成为多年来广受市场认同的系列主流产品。
安全高效的TOS操作系统
具有完全自主知识产权的TOS(TopsecOperating System) 安全操作系统,采用全模块化设计,使用中间层理念,减少了系统对硬件的依赖性,有效保障了防火墙、SSL VPN、IPSEC VPN、防病毒、内容过滤、抗攻击、带宽管理等功能模块的优异性能。TOS良好的扩展性为未来迅速扩展更多特性提供了无限可能。
完全内容检测CCI技术
网络卫士猎豹防火墙采用最新的CCI技术,提供对OSI网络模型所有层次上的网络威胁的实时保护。网络卫士系列防火墙可对还原出来的应用层对象(如文件、网页、邮件等)进行病毒查杀,并可检查是否存在不良WEB内容、垃圾邮件、间谍软件和网络钓鱼欺骗等其他威胁,实现彻底防范。
集成多种安全功能
NGFW4000由于集成了多种安全引擎,使其具备了防火墙、IPSEC VPN、SSL VPN、防病毒、IPS等安全功能,成为了国内安全功能最丰富的防火墙产品。
虚拟防火墙
虚拟防火墙,是指在一台物理防火墙上可以存在多套虚拟系统,每套虚拟系统在逻辑上都相互独立,具有独立的用户与访问控制系统。不同的企业或不同的部门可以共用1台防火墙,但使用不同的虚拟系统。对于用户来说,就像是使用独立的防火墙,大大节省了成本。
强大的应用控制
网络卫士防火墙提供了强大的网络应用控制功能。用户可以轻松的针对一些典型网络应用,如MSN,QQ、Skype、新浪UC、阿里旺旺、Google Talk等即时通信应用,以及BT、Edonkey、Emule、讯雷等p2p应用实行灵活的访问控制策略,如禁止、限时、乃至流量控制。网络卫士防火墙还提供了定制功能,可以对用户所关心的网络应用进行全面控制。CleanVPN服务
企业对VPN应用越来越普及,但是当企业员工或合作伙伴通过各种VPN远程访问企业网络时,病毒、蠕虫、木马、恶意代码等有害数据有可能通过VPN隧道从远程PC或网络传递进来,这种威胁的传播方式极具隐蔽性,很难防范。
网络卫士防火墙同时具备防火墙、VPN、防病毒和内容过滤等功能,并且各功能相互融合,能够对VPN数据进行检查,拦截病毒、蠕虫、木马、恶意代码等有害数据,彻底保证了VPN通信的安全,为用户提供放心的CleanVPN服务。
Active/Active高可用性
能够在核心网络中同所有网络设备一起构建高可用性及高安全性的拓扑结构,自身能够实
现A/A部署和状态同步,能够实现动态的链路切换,同时提供了电源冗余功能,最大限度地满足了网络的健壮性及稳定性,保证了整个网络的不间断工作。
广泛的网络适应性
支持基于源地址、目的地址、接口、Metric的策略路由,支持单臂路由,支持Trunk (802.1Q和ISL),能够在不同的VLAN虚接口间实现路由功能,支持IGMP组播协议和IGMP SNOOPING,支持对非IP协议IPX/NetBEUI的传输与控制。
灵活的接入方式防火墙系统可以提供对复杂环境的接入支持,包括路由、透明以及混合接入模式。
强大的访问控制●支持基于源IP地址、目的IP地址、源端口、目的端口、时间、用户、文
件、网址、关键字、邮件地址、脚本、MAC地址等多种方式进行访问控制;
●支持对HTTP、SMTP、POP3、FTP等协议的深度内容过滤,支持URL、关键字过
滤;
●支持对移动代码如Java applet、Active-X、VBScript、Jscript、Java
script的过滤;
●动态端口支持协议:H.323、SIP、FTP、RTSP、SQL*NET、MMS、TFTP、
RPC(msrpc,dcerpc)等;
●可实现静态或自动的IP/MAC绑定;
●支持MSN、QQ、新浪UC、阿里旺旺、google talk等Instant Messenger通
信,并可以对于这些应用进行登陆限制,支持根据登陆等帐号进行登陆限制;
●支持对MSN,QQ等IM应用通信的连接统计,支持对指定IP地址的IM应用
通信的连接统计;
●可限制BT,eMule,eDonkey、讯雷等多种P2P应用,可以统计和控制P2P流
量和连接数;
●可屏蔽受保护主机/服务器系统信息,可以替换服务器(FTP、SMTP、POP3、
Telnet,HTTP)的BANNER信息;
●可以实现telnet、DNS等应用协议的深度过滤;
●支持HTTP 重定向功能,可以对伪装HTTP的协议进行识别和阻断。
完善的网络地址转换能力防火墙系统有完善的地址转换能力,可以支持正向、反向地址/端口转换、双向地址转换等,能够提供完整的地址转换解决方案。
多种身份认证方式防火墙系统要支持多种、灵活的身份认证技术,至少包括
Radius/OTP/LDAP/TACACS+/SecuID/数字证书/本地认证等。
完善的路由功能支持静态和动态路由,动态路由至少包括:BGP/RIP和OSPF动态路由协议;静态路由协议支持基于源地址、目的地址、METRIC值、网络接口的路由;
VLAN和生成树支持802.1d生成树,能进行802.1d的生成树协商;支持与交换机的Trunk接口对接,并且能够实现Vlan间通过防火墙设备进行路由;支持802.1q,能进行802.1q
的封装和解封装;支持ISL,能进行ISL的封装和解封装;在同一个Vlan内能进行
二层交换。
链路备份支持链路备份功能,可以在用户的多条网络出口之间进行自动的切换;
高可用性●支持双机热备功能,包括主备模式(A/S),主主模式(A/A)
●支持VRRP协议;
●支持对服务器的负载均衡,支持轮询、加权轮询、最少连接、加权最少链
接、基于源IP地址HASH调度等多种负载均衡方式;
●防火墙系统要对长连接的提供全面的解决方案;
●支持链路聚合;
DHCP功能支持DHCP SERVER/CLIENT/RELAY功能
强大的抗攻击能力●支持OPSEC或TOPSEC等类似联动协议,能够与主流入侵检测产品进行联动;
●可以识别并阻断以下攻击行为:
防非法报文攻击:land 、Smurf、Pingofdeath、winnuke 、tcp_sscan、
ip_option、teardrop、targa3、ipspoof;
防统计型报文攻击:Synflood、Icmpflood、Udpflood、Portscan、ipsweep;
●端口阻断:可以根据数据包的来源和数据包的特征进行阻断设置;
●CC攻击:可通过设置端口和阀值阻断CC攻击;
●完善的预防ARP欺骗解决方案;
●支持反向地址检查;
●支持根据协议或地址,限制连接数目;根据连接数目进行源地址排名。
告警能力支持告警信息分类、分级;当发生安全事件的时候支持以邮件、NETBIOS、声音、
SNMP、控制台等方式告警。
管理功能●可以提供多种方式的管理界面,包括GUI、WEBUI、CONSOLE、SSH、TELNET
等;
●远程集中监控管理功能:支持远程集中管理监控功能,在同一个管理平台下
能够对所管理网络中所有的防火墙设备进行管理和监控,提供远程升级和配
置变更方法,非常方便用户对防火墙软件版本和配置变更的管理;
●支持SNMP 的v1 、v2 、v2c 、v3 等不同版本,并与当前通用的网络管理平
台兼容,如HP Openview 等;
●支持Netflow
●各类资源对象、安全策略可单独导入、导出,可以提供简单方便的配置备份
与恢复机制,并且可以恢复到出厂设置;
●支持远程TFTP、FTP、HTTP等方式升级。
完善的日志审计功能日志分级、分类;系统要能够提供多种日志存储方式,可以缓存在设备本地,也可
以将日志以专用格式/Welf/Syslog等多种日志格式的输出;具有完善的日志收集、
传输、存储、分析、报告等解决方案。
完整解决方案防火墙可以内嵌VPN功能模块,并可以提供VPN客户端软件,可方便地建立网关-
网关、网关-客户端、客户端-客户端的加密隧道,具有完善的解决方案。
兼容性支持标准IKE,能与市场上主流的基于标准IKE协议的其他 IPSEC VPN设备进行互
联、互通。
算法要求提供高加密强度,支持国际主流加密算法和经国密办认证的SCB2算法等。
认证支持基于证书的认证,证书遵循X.509证书体系,可自建CA,也支持第三方CA;
支持预共享方式的认证。
网络适用性支持NAT穿越,提供NAT自动发现机制。
支持Cleaned VPN 能对隧道内数据进行病毒查杀和内容过滤。
其它VPN方式得支持允许远程用户通过L2TP/PPTP接入,建立隧道访问内部网络。
支持DDNS 支持DDNS功能,可以在用户的网络环境中没有任何一个合法地址的情况下建立VPN 隧道。
典型应用一:在企业、政府纵向网络中的应用
典型应用二:防火墙作为负载均衡器
典型应用三:防火墙接口备份
典型应用四:AA 模式双机热备
主机订购信息
产品型号 图片
描述
TG-4514
1U 机型,4个10/100/1000MBase-T 端口,1个扩展
槽,可扩展不同子卡,最多可达12端口
模块订购信息
产品型号描述备注TopSEC-CARD-8S8端口千兆SFP插槽接口卡SFP模块需另配TopSEC-CARD-8A 8个千兆自适应电口无需另配模块
TopSEC-CARD-4S4A 4端口千兆SFP插槽接口卡+4
个千兆自适应电口
SFP模块需另配
TopSEC-CARD-2S2A 2端口千兆SFP插槽接口卡+2
个千兆自适应电口
SFP模块需另配
IPSECVPN-MODULE-UF IPSECVPN扩展模块IPSEC VPN模块;支持无限隧道数,缺省含5个客户端IPSECVPN-VRC-LICENCSE
IPSECVPN-VRC-LICENCSE IPSECVPN并发客户端需要安装客户端
SSLVPN-MODULE-UF SSLVPN扩展模块SSLVPN模块,最大支持3500并发用户,缺省5个
SSLVPN的License
SSLVPN-VRC-LICENSE SSLVPN并发客户端不需要安装客户端
ANTIVIRUS-MODULE-2Y AV病毒扩展模块防病毒模块;AV与SSL不能同时购买,防病毒模块的升级服务年限最多3年,到期后可再购买服务。
ANTIVIRUS-MODULE-3Y AV病毒扩展模块防病毒模块;AV与SSL不能同时购买,防病毒模块的升级服务年限最多3年,到期后可再购买服务。
ANTIVIRUS-LIC-1Y AV病毒库1年防病毒模块的1年升级服务ANTIVIRUS-LIC-2Y AV病毒库2年防病毒模块的2年升级服务ANTIVIRUS-LIC-3Y AV病毒库3年防病毒模块的3年升级服务
IDP3000-MODULE 入侵防御扩展模块IDP扩展模块,含1年IDP规则库license IDP3000-LIC-1Y 入侵防御规则库1年IDP规则库1年升级license
IDP3000-LIC-2Y 入侵防御规则库2年IDP规则库2年升级license
IDP3000-LIC-3Y 入侵防御规则库3年IDP规则库3年升级license IPSECVPN-CARD-500 VPN算法加速卡加密速度>400M
IPSECVPN-CARD-800 VPN算法加速卡加密速度>600M
SJY-SCB2-CARD-BM VPN算法加速卡加解密速度>300M SSLVPN-RAM-H SSLVPN的扩展内存1G内存,只用于SSLVPN扩展用,已购产品须返厂
◆ 公安部颁发的《计算机信息系统安全专用产品销售许可证》
◆ 中国国家信息安全测评认证中心颁发的《国家信息安全认证产品型号证书》
◆ 国家保密局涉密信息系统安全保密测评中心颁发的《涉密信息系统产品检测证书》
◆ 中国人民解放军信息安全测评认证中心颁发的《军用信息安全产品认证证书》
天融信(C)版权所有V1.0 https://www.360docs.net/doc/6a14795805.html,
文档维护:吴青松
E-MAIL:wuqs@https://www.360docs.net/doc/6a14795805.html,
声明:非官方文档,仅供参考
防火墙方案
防火墙方案
防火墙方案
区域逻辑隔离建设(防火墙) 国家等级保护政策要求不同安全级别的系统要进行逻辑隔离,各区域之间能够按照用户和系统之间的允许访问规则控制单个用户,决定允许或者禁止用户对受控系统的资源访问。 国家等级化保护政策要求不同安全级别间的系统要进行区域的逻辑隔离,各区域之间能按照用户和系统之间的允许访问规则,控制担搁用户,决定允许或者拒绝用户对受控系统的资源访问。 在网络边界部署防火墙系统,并与原有防火墙形成双机热备,部署防火墙能够实现: 1.网络安全的基础屏障: 防火墙能极大地提高一个内部网络的安全性,并经过过滤不安全的服务而降低风险。由于只有经过精心选择的应用协议才能经过防火墙,因此网络环境变得更安全。如防火墙能够禁止诸如众所周知的不安全的NFS协议进出受保护网络,这样外部的攻击者就不可能利用这些脆弱的协议来攻击内部网络。防火墙同时能够保护网络免受基于路由的攻击,如IP选项中的源路由攻击和ICMP重定向中的重定向路径。防火墙能够拒绝所有以上类型攻击的报文并通知防火墙管理员。 2.强化网络安全策略
经过以防火墙为中心的安全方案配置,能将所有安全软件(如口令、加密、身份认证、审计等)配置在防火墙上。与将网络安全问题分散到各个主机上相比,防火墙的集中安全管理更经济。例如在网络访问时,一次一密口令系统和其它的身份认证系统完全能够不必分散在各个主机上,而集中在防火墙一身上。 3.对网络存取和访问进行监控审计 如果所有的访问都经过防火墙,那么,防火墙就能记录下这些访问并作出日志记录,同时也能提供网络使用情况的统计数据。当发生可疑动作时,防火墙能进行适当的报警,并提供网络是否受到监测和攻击的详细信息。另外,收集一个网络的使用和误用情况也是非常重要的。首先的理由是能够清楚防火墙是否能够抵挡攻击者的探测和攻击,而且清楚防火墙的控制是否充分。而网络使用统计对网络需求分析和威胁分析等而言也是非常重要的。 4.防止内部信息的外泄 经过利用防火墙对内部网络的划分,可实现内部网重点网段的隔离,从而限制了局部重点或敏感网络安全问题对全局网络造成的影响。再者,隐私是内部网络非常关心的问题,一个内部网络中不引人注意的细节可能包含了有关安全的线索而引起外部攻击者的兴趣,甚至因此而曝露了内部网络的某些安全漏洞。使用防火墙就能够隐蔽那些透漏内部细节如Finger,DNS等服务。
迪普防火墙专业技术白皮书
迪普防火墙技术白皮书
————————————————————————————————作者:————————————————————————————————日期:
迪普FW1000系列防火墙 技术白皮书 1 概述 随着网络技术的普及,网络攻击行为出现得越来越频繁。通过各种攻击软件,只要具有一般计算机常识的初学者也能完成对网络的攻击。各种网络病毒的泛滥,也加剧了网络被攻击的危险。目前,Internet网络上常见的安全威胁分为以下几类: 非法使用:资源被未授权的用户(也可以称为非法用户)或以未授权方式(非法权限)使用。例如,攻击者通过猜测帐号和密码的组合,从而进入计算机系统以非法使用资源。 拒绝服务:服务器拒绝合法用户正常访问信息或资源的请求。例如,攻击者短时间内使用大量数据包或畸形报文向服务器不断发起连接或请求回应,致使服务器负荷过重而不能处理合法任务。 信息盗窃:攻击者并不直接入侵目标系统,而是通过窃听网络来获取重要数据或信息。 数据篡改:攻击者对系统数据或消息流进行有选择的修改、删除、延误、重排序及插入虚假消息等操作,而使数据的一致性被破坏。
?基于网络协议的防火墙不能阻止各种攻 击工具更加高层的攻击 ?网络中大量的低安全性家庭主机成为攻 击者或者蠕虫病毒的被控攻击主机 ?被攻克的服务器也成为辅助攻击者 Internet 目前网络中主要使用防火墙来保证内部网路的安全。防火墙类似于建筑大厦中用于防止 火灾蔓延的隔断墙,Internet防火墙是一个或一组实施访问控制策略的系统,它监控可信任 网络(相当于内部网络)和不可信任网络(相当于外部网络)之间的访问通道,以防止外部 网络的危险蔓延到内部网络上。防火墙作用于被保护区域的入口处,基于访问控制策略提供 安全防护。例如:当防火墙位于内部网络和外部网络的连接处时,可以保护组织内的网络和 数据免遭来自外部网络的非法访问(未授权或未验证的访问)或恶意攻击;当防火墙位于组 织内部相对开放的网段或比较敏感的网段(如保存敏感或专有数据的网络部分)的连接处时, 可以根据需要过滤对敏感数据的访问(即使该访问是来自组织内部)。 防火墙技术经历了包过滤防火墙、代理防火墙、状态防火墙的技术演变,但是随着各种 基于不安全应用的攻击增多以及网络蠕虫病毒的泛滥,传统防火墙面临更加艰巨的任务,不 但需要防护传统的基于网络层的协议攻击,而且需要处理更加高层的应用数据,对应用层的 攻击进行防护。对于互联网上的各种蠕虫病毒,必须能够判断出网络蠕虫病毒的特征,把网 络蠕虫病毒造成的攻击阻挡在安全网络之外。从而对内部安全网络形成立体、全面的防护。
网络卫士防火墙NGFW4000-UF系列产品说明
网络卫士防火墙系统NGFW4000-UF系列 产品说明 天融信 TOPSEC?北京市海淀区上地东路1号华控大厦 100085 电话:+8610-82776666 传真:+8610-82776677 服务热线:+8610-8008105119 http: //https://www.360docs.net/doc/6a14795805.html,
版权声明本手册的所有内容,其版权属于北京天融信公司(以下简称天融信)所有,未经天融信许可,任何人不得仿制、拷贝、转译或任意引用。本手册没有任何形式的担保、立场倾向或其他暗示。 若因本手册或其所提到的任何信息引起的直接或间接的资料流失、利益损失,天融信及其员工恕不承担任何责任。本手册所提到的产品规格及资讯仅供参考,有关内容可能会随时更新,天融信恕不承担另行通知之义务。 版权所有不得翻印? 1995-2008天融信公司 商标声明本手册中所谈及的产品名称仅做识别之用,而这些名称可能属于其他公司的注册商标或是版权,其他提到的商标,均属各该商标注册人所有,恕不逐一列明。 TopSEC?天融信 信息反馈 https://www.360docs.net/doc/6a14795805.html,
NGFW 4000-UF系列产品说明 目录 1产品概述 (1) 2关键技术 (2) 1)灵活的接口扩展能力 (2) 2)安全高效的TOS操作系统 (2) 3)集成多种安全引擎:FIREWALL+IPSEC+SSL+ANTIVIRUS+IPS (2) 4)完全内容检测CCI技术 (3) 3产品特点介绍 (4) 4产品功能 (9) 5运行环境与标准 (14) 6典型应用 (16) 1)典型应用一:在大型网络中的应用 (16) 2)典型应用二:虚拟防火墙应用 (17) 3)典型应用三:AA模式双机热备 (18)
防火墙攻击防范技术白皮书
防火墙攻击防范技术白皮书
关键词:攻击防范,拒绝服务 摘要:本文主要分析了常见的网络攻击行为和对应的防范措施,并且介绍了H3C防火墙攻击防范的主要特色和典型组网应用。
目录 1 概述 (3) 1.1 产生背景 (3) 1.2 技术优点 (4) 2 攻击防范技术实现 (4) 2.1 ICMP 重定向攻击 (4) 2.2 ICMP 不可达攻击 (4) 2.3 地址扫描攻击 (5) 2.4 端口扫描攻击 (5) 2.5 IP 源站选路选项攻击 (6) 2.6 路由记录选项攻击 (6) 2.7 Tracert 探测 (7) 2.8 Land 攻击 (7) 2.9 Smurf 攻击 (8) 2.10 Fraggle 攻击 (8) 2.11 WinNuke 攻击 (8) 2.12 SYN Flood 攻击 (9) 2.13 ICMP Flood 攻击. (9) 2.14 UDP Flood 攻击 (10) 3 H3C 实现的技术特色 (10) 4 典型组网应用 (11) 4.1 SYN Flood 攻击防范组网应用. (11)
1 概述 攻击防范功能是防火墙的重要特性之一,通过分析报文的内容特征和行为特征判断报文是否具有攻 击特性,并且对攻击行为采取措施以保护网络主机或者网络设备。 防火墙的攻击防范功能能够检测拒绝服务型( Denial of Service ,DoS )、扫描窥探型、畸形报 文型等多种类型的攻击,并对攻击采取合理的防范措施。攻击防范的具体功能包括黑名单过滤、报 文攻击特征识别、流量异常检测和入侵检测统计。 1.1 产生背景 随着网络技术的普及,网络攻击行为出现得越来越频繁。另外,由于网络应用的多样性和复杂性, 使得各种网络病毒泛滥,更加剧了网络被攻击的危险。 目前,Internet 上常见的网络安全威胁分为以下三类: DoS 攻击 DoS 攻击是使用大量的数据包攻击目标系统,使目标系统无法接受正常用户的请求,或者使目标 主机挂起不能正常工作。主要的DoS攻击有SYN Flood、Fraggle等。 DoS攻击和其它类型的攻击不同之处在于,攻击者并不是去寻找进入目标网络的入口,而是通过 扰乱目标网络的正常工作来阻止合法用户访问网络资源。 扫描窥探攻击 扫描窥探攻击利用ping扫描(包括ICMP和TCP )标识网络上存在的活动主机,从而可以准确地 定位潜在目标的位置;利用TCP和UDP端口扫描检测出目标操作系统和启用的服务类型。攻击 者通过扫描窥探就能大致了解目标系统提供的服务种类和潜在的安全漏洞,为进一步侵入目标系统 做好准备。 畸形报文攻击 畸形报文攻击是通过向目标系统发送有缺陷的IP报文,如分片重叠的IP报文、TCP 标志位非法的报文,使得目标系统在处理这样的IP报文时崩溃,给目标系统带来损 失。主要的畸形报文攻击有Ping of Death 、Teardrop 等。 在多种网络攻击类型中,DOS攻击是最常见的一种,因为这种攻击方式对攻击技能 要求不高,攻击者可以利用各种开放的攻击软件实施攻击行为,所以DoS 攻击的威 胁逐步增大。成功的DoS攻击会导致服务器性能急剧下降,造成正常客户访问失败;同时,提供 服务的企业的信誉也会蒙受损失,而且这种危害是长期性的。 防火墙必须能够利用有效的攻击防范技术主动防御各种常见的网络攻击,保证网络在遭受越来越频
迪普防火墙技术白皮书 (1)
迪普FW1000系列防火墙 技术白皮书 1概述 随着网络技术的普及,网络攻击行为出现得越来越频繁。通过各种攻击软件,只要具有一般计算机常识的初学者也能完成对网络的攻击。各种网络病毒的泛滥,也加剧了网络被攻击的危险。目前,Internet网络上常见的安全威胁分为以下几类: 非法使用:资源被未授权的用户(也可以称为非法用户)或以未授权方式(非法权限)使用。例如,攻击者通过猜测帐号和密码的组合,从而进入计算机系统以非法使用资源。 拒绝服务:服务器拒绝合法用户正常访问信息或资源的请求。例如,攻击者短时间内使用大量数据包或畸形报文向服务器不断发起连接或请求回应,致使服务器负荷过重而不能处理合法任务。 信息盗窃:攻击者并不直接入侵目标系统,而是通过窃听网络来获取重要数据或信息。 数据篡改:攻击者对系统数据或消息流进行有选择的修改、删除、延误、重排序及插入虚假消息等操作,而使数据的一致性被破坏。
?基于网络协议的防火墙不能阻止各种 攻击工具更加高层的攻击 ?网络中大量的低安全性家庭主机成为 攻击者或者蠕虫病毒的被控攻击主机 ?被攻克的服务器也成为辅助攻击者 Internet 止火灾蔓延的隔断墙,Internet防火墙是一个或一组实施访问控制策略的系统,它监控可信任网络(相当于内部网络)和不可信任网络(相当于外部网络)之间的访问通道,以防止外部网络的危险蔓延到内部网络上。防火墙作用于被保护区域的入口处,基于访问控制策略提供安全防护。例如:当防火墙位于内部网络和外部网络的连接处时,可以保护组织内的网络和数据免遭来自外部网络的非法访问(未授权或未验证的访问)或恶意攻击;当防火墙位于组织内部相对开放的网段或比较敏感的网段(如保存敏感或专有数据的网络部分)的连接处时,可以根据需要过滤对敏感数据的访问(即使该访问是来自组织内部)。 防火墙技术经历了包过滤防火墙、代理防火墙、状态防火墙的技术演变,但是随着各种基于不安全应用的攻击增多以及网络蠕虫病毒的泛滥,传统防火墙面临更加艰巨的任务,不但需要防护传统的基于网络层的协议攻击,而且需要处理更加高层的应用数据,对应用层的攻击进行防护。对于互联网上的各种蠕虫病毒,必须能够判断出网络蠕虫病毒的特征,把网络蠕虫病毒造成的攻击阻挡在安全网络之外。从而对内部安全网络形成立体、全面的
数据库安全之--防火墙
数据库安全之--防火墙 姓名:陆超 学号:1503121711
防火墙有很多分类,可以分为硬件防火墙和软件防火墙。硬件防火墙是一台独立的硬件设备,它吞吐量大,处理速度快。它具有一些强大的额外功能(相对软件防火墙来说),例如:支持VPN,CF(内容过滤),DoS、DDoS入侵检测,IPS入侵防护等。硬件防火墙虽然是硬件,其实它里面也有软件,它是把软件防火墙给烧录进去。软件防火墙其实仅是一套软件,它需要安装在操作系统中(如Linux、Windows),且需要消耗操作系统的资源。下图是一款思科的硬件防火墙产品。 防火墙有很多分类,可以分为硬件防火墙和软件防火墙。硬件防火墙是一台独立的硬件设备,它吞吐量大,处理速度快。它具有一些强大的额外功能(相对软件防火墙来说),例如:支持VPN,CF(内容过滤),DoS、DDoS入侵检测,IPS 入侵防护等。硬件防火墙虽然是硬件,其实它里面也有软件,它是把软件防火墙给烧录进去。软件防火墙其实仅是一套软件,它需要安装在操作系统中(如Linux、Windows),且需要消耗操作系统的资源。 防火墙还可以分为单机防火墙和网络防火墙,网络防火墙也叫网关防火墙。网络防火墙为整个网络中的计算机提供防御;而单机防火墙只为防火墙所在的机器提供防御,如每台WINDOW XP都有一个单机防火墙,每台LINUX也默认有一套单机防火墙。此外,对于数据库来说,还有专门的防火墙,叫“数据库防火墙”。 1、“包过滤”防火墙 那么,防火墙是如何防止外敌入侵的呢?在此之前,我们需要大致了解TCP/IP包(Packet)头的构成(如下图所示)。
数据是以包(Packet)的形式在网络中进行传输的。一个包通常由2大部分组成:控制部分(metadata)和数据部分。从包的结构中,可以得到数据的“源地址(Source Address)”和“目标地址(Destination Address)”,“源端口(Source Port)”和“目标端口(Destination Port)”(见图)。防火墙正式基于这些信息狙击入侵者的。当一个包(如来自数据库客户端)通过防火墙时,防火墙会基于一定的规则对该包进行检查,如检查包的发送者是不是合法的IP(如合法的数据库客户端),包的目标是不是特定的数据库服务器?如果检查通过,包会被允许穿过防火墙。如果检查未通过,则该包会被丢弃(Drop)(发送者什么都不知道,犹如石沉大海),或者会给发送者返回(反馈)错误信息(reject)。我们把前面描述的这种防御方式叫“包过滤”(这也就是通常意义上的“包过滤防火墙”)。“包过滤”可工作在OSI模型(见下图)的
企业级防火墙产品介绍
企业级防火墙产品介绍 Document serial number【NL89WT-NY98YT-NC8CB-NNUUT-NUT108】
PRO 3060/4060 企业级防火墙产品介绍 一、产品概述 SonicWALL公司最新RRO家族成员 PRO 3060/4060防火墙,使用更高运算性能的2GHz Intel 处理器,256 M的RAM,64 MB Flash Memory,集合6个10/100 M bps高速以太网接口,适用大、中型网络企业用户及大型分支机构用户,提供防火墙、虚拟局域网络(VPN)、网站内容过滤、网络防病毒、多ISP备份及负载均衡、带宽管理、全球管理、双机热备、等模块化功能,是高效能的硬件式防火墙安全平台。 SonicWALL PRO 3060/4060能充分保障各分支机构办公室及各点间通讯的安全,避免商业机密被窃取与破坏。SonicWALL PRO 3060/4060 采用独立式作业平台,使用者无须具备专业级的网络知识就可容易安装与使用。经过安装后,可由浏览器如:IE、Netscape等来使用与管理。SonicWALL PRO 3060/4060并内含 VPN加速芯片(ASIC) 可使 168 Bits 3DES VPN 效率达75M/190MBps,并且赠送VPN Client客户端软件25/1000个授权用户。 (说明:PRO3060 OS系统有SonicOS 与SonicOS enhanced两种选择,以下PRO3060产品介绍均按照选择SonicOS enhanced系统进行说明;另以下产品提供之功能部分为可选功能模块,请联系供应商确认。) 二、功能介绍 SonicWALL PRO 3060/4060 为19" 标准架构,支持无限制用户,内含SonicOS enhanced 系统软件,具备有6个10/100MBps Ethernet 接口,适用于大中型企业或大型分支机构的办公室、电子商务网站、数据中心等,产品提供以下功能: ?Firewalling–防火墙功能 SonicWALL PRO 3060/4060采用全状态检测技术,防止来自Internet 对私人网络的数据窃取破坏或窜改,并且能自动侦测-阻断服务攻击Denial of Service (DoS),禁止无使用权的人存取使用网络设备与资源。SonicWALL PRO 3060/4060也支持使用网络地址转换Network Address Translation (NAT)使网络环境更易于管理。 ?IPSec VPN–虚拟局域网 SonicWALL VPN 适用于各办公室,事业伙伴及远程使用者一个安全便利的网络加密方式,包括168 bit Data Encryption Standard (Triple-DES), 56 bit Data Encryption Standard (DES),和AES方式。SonicWALL VPN 提供了各分支点间或大多数远程使用者采用IPSec VPN方式,将数据自动加密解密的通讯方式。使用专属高效能 ASIC 加解密芯片有效地减轻加解密负担,使PRO 3060/4060 的VPN处理效能又达另一高峰,状态封包检查防火墙效能高达300 Mbps 以上,3DES 及 AES VPN 传输效率高达75M/190 Mbps,并且支持VPN通道负载均衡、备份;支持动态域名解析。
下一代防火墙_绿盟_下一代防火墙产品白皮书
绿盟下一代防火墙 产品白皮书 ? 2014 绿盟科技■版权声明 本文中出现的任何文字叙述、文档格式、插图、照片、方法、过程等内容,除另有特别注明,版权均属绿盟科技所有,受到有关产权及版权法保护。任何个人、机构未经绿盟科技的书面授权许可,不得以任何方式复制或引用本文的任何片断。
目录 一. 当今网络边界安全的新挑战 (1) 二. 现有防火墙解决方案的不足 (2) 三. 绿盟下一代防火墙产品 (3) 3.1客户价值 (3) 3.1.1 洞察网络应用,识别安全风险 (3) 3.1.2 融合安全功能,保障应用安全 (4) 3.1.3 高效安全引擎,实现部署无忧 (4) 3.1.4 内网风险预警,安全防患未然 (4) 3.1.5 云端高效运维,安全尽在掌握 (5) 3.2产品概述 (5) 3.3产品架构 (6) 3.4主要功能 (7) 3.4.1 识别和可视性 (7) 3.4.2 一体化策略与控制 (8) 3.4.3 应用层防护 (9) 3.4.4 内网资产风险识别 (10) 3.4.5 安全运维云端接入 (11) 3.4.6 基础防火墙特性 (12) 3.5产品优势 (13) 3.5.1 全面的应用、用户识别能力 (13) 3.5.2 细致的应用层控制手段 (15) 3.5.3 专业的应用层安全防护能力 (16) 3.5.4 卓越的应用层安全处理性能 (18) 3.5.5 首创的内网资产风险管理 (18) 3.5.6 先进的云端安全管理模式 (18) 3.5.7 完全涵盖传统防火墙功能特性 (19) 3.6典型部署 (19) 四. 总结 (20)
插图索引 图1 核心理念 (5) 图2 整体架构 (6) 图3 资产管理 (10) 图4 云端接入 (11) 图5 应用/用户识别 (13) 图6 应用控制 (15) 图7 一体化安全引擎 (16) 图8 双引擎多核并发 (18) 图9 典型部署 (19)
网络卫士防火墙NGFWUF系列产品说明
网络卫士防火墙 N G F W U F系列产品说 明 公司内部档案编码:[OPPTR-OPPT28-OPPTL98-OPPNN08]
网络卫士防火墙系统 NGFW4000-UF系列 产品说明 天融信 TOPSEC 北京市海淀区上地东路1号华控大厦 100085 版权声明本手册的所有内容,其版权属于北京天融信公司(以下简称天融信)所有,未经天融信许可,任何人不得仿制、拷贝、转译或任意引用。本手册没有任何形式的担保、立场倾向或其他暗示。 若因本手册或其所提到的任何信息引起的直接或间接的资料流失、利益损失,天融信及其员工恕不承担任何责任。本手册所提到的产品规格及资讯仅供参考,有关内容可能会随时更新,天融信恕不承担另行通知之义务。 版权所有不得翻印 1995-2008天融信公司 商标声明
本手册中所谈及的产品名称仅做识别之用,而这些名称可能属于其他公司的注册商标或是版权,其他提到的商标,均属各该商标注册人所有,恕不逐一列明。 TopSEC天融信 信息反馈
目录1产品概述..................................................... 2关键技术..................................................... 1)灵活的接口扩展能力.......................................... 2)安全高效的TOS操作系统...................................... 3)集成多种安全引擎:FIREWALL+IPSEC+SSL+ANTIVIRUS+IPS .......... 4)完全内容检测CCI技术........................................ 3产品特点介绍................................................. 4产品功能..................................................... 5运行环境与标准............................................... 6典型应用..................................................... 1)典型应用一:在大型网络中的应用.............................. 2)典型应用二:虚拟防火墙应用.................................. 3)典型应用三:AA模式双机热备..................................
华为USG6000系列防火墙产品技术白皮书(总体)
华为USG6000系列下一代防火墙技术白皮书 文档版本V1.1 发布日期2014-03-12
版权所有? 华为技术有限公司2014。保留一切权利。 非经本公司书面许可,任何单位和个人不得擅自摘抄、复制本文档内容的部分或全部,并不得以任何形式传播。 商标声明 和其他华为商标均为华为技术有限公司的商标。 本文档提及的其他所有商标或注册商标,由各自的所有人拥有。 注意 您购买的产品、服务或特性等应受华为公司商业合同和条款的约束,本文档中描述的全部或部分产品、服务或特性可能不在您的购买或使用范围之内。除非合同另有约定,华为公司对本文档内容不做任何明示或暗示的声明或保证。 由于产品版本升级或其他原因,本文档内容会不定期进行更新。除非另有约定,本文档仅作为使用指导,本文档中的所有陈述、信息和建议不构成任何明示或暗示的担保。 华为技术有限公司 地址:深圳市龙岗区坂田华为总部办公楼邮编:518129 网址:https://www.360docs.net/doc/6a14795805.html, 客户服务邮箱:ask_FW_MKT@https://www.360docs.net/doc/6a14795805.html, 客户服务电话:4008229999
目录 1 概述 (1) 1.1 网络威胁的变化及下一代防火墙产生 (1) 1.2 下一代防火墙的定义 (1) 1.3 防火墙设备的使用指南 (2) 2 下一代防火墙设备的技术原则 (1) 2.1 防火墙的可靠性设计 (1) 2.2 防火墙的性能模型 (2) 2.3 网络隔离 (3) 2.4 访问控制 (3) 2.5 基于流的状态检测技术 (3) 2.6 基于用户的管控能力 (4) 2.7 基于应用的管控能力 (4) 2.8 应用层的威胁防护 (4) 2.9 业务支撑能力 (4) 2.10 地址转换能力 (5) 2.11 攻击防范能力 (5) 2.12 防火墙的组网适应能力 (6) 2.13 VPN业务 (6) 2.14 防火墙管理系统 (6) 2.15 防火墙的日志系统 (7) 3 Secospace USG6000系列防火墙技术特点 (1) 3.1 高可靠性设计 (1) 3.2 灵活的安全区域管理 (6) 3.3 安全策略控制 (7) 3.4 基于流会话的状态检测技术 (9) 3.5 ACTUAL感知 (10) 3.6 智能策略 (16) 3.7 先进的虚拟防火墙技术 (16) 3.8 业务支撑能力 (17) 3.9 网络地址转换 (18)
防火墙配置模式
前言 3 一、防火墙的概况、应用及功能 3 1.1 防火墙的定义 3 1.2防火墙的种类 4 1.2.2网络层防火墙 4 1.2.2应用层防火墙 4 1.2.3数据库防火墙 5 1.3 防火墙的功能 5 二、使用设置 5 2.1使用习惯 6 2.1.1所有防火墙文件规则必须更改 6 2.1 .2以最小的权限安装所有的访问规则 6 2.1.3 根据法规协议和更改需求来校验每项防火墙的更改 6 2.1.4当服务过期后从防火墙规则中删除无用的规则 7 2.2配置 7 2.3工作模式 8 2.3.1 透明网桥模式 8 2.3.1.1适用环境 9 2.3.1.2组网实例 9 2.3.2 路由模式 10 2.3.2.1适用环境 11 2.3.2.2NAT(网络地址转换) 11 2.3.2.3组网实例 12 三、总结 13
一、前言 随着计算机的日益发展,计算机早已深入到各个领域,计算机网络已无处不在。而internet的飞速发展,使计算机网络资源共享进一步加强。随之而来的安全问题也日益突出。在人们对网络的优越性还没有完全接受的时候,黑客攻击开始肆虐全球的各大网站;而病毒制造者们也在各显其能,从CIH到爱虫.中毒者不计其数。一般认为,计算机网络系统的安全威胁主要来自黑客的攻击、计算机病毒和拒绝服务攻击三个方面。目前,人们也开始重视来自网络内部的安全威胁。我们可以通过很多网络工具、设备和策略来为我们的网络提供安全防护。其中防火墙是运用非常广泛和效果最好的选择。然而购买了防火墙设备,却不是仅仅装上了硬件就能发挥作用的,而是需要根据你的网络结构和需求在合适的工作模式下配置相应的安全策略,才能满足你的安全需求。由此引出的问题和解决办法就是本文的主要研究对象。 一、防火墙的概况、应用及功能 1、防火墙的定义 所谓防火墙指的是一个由软件和硬件设备组合而成、在内部网和外部网之间、专用网与公共网之间的界面上构造的保护屏障.是一种获取安全性方法的形象说法,它是一种计算机硬件和软件的结合,使Internet与Intranet之间建立起一个安全网关(Security Gateway),从而保护内部网免受非法用户的侵入,防火墙主要由服务访问规则、验证工具、包过滤和应用网关4个部分组成,防火墙就是一个位于计算机和它所连接的网络之间的软件或硬件。该计算机流入流出的所有网络通信和数据包均要经过此防火墙。 在网络中,所谓“防火墙”,是指一种将内部网和公众访问网(如Internet)
NGFW4000防火墙系列白皮书
网络卫士防火墙系统 NGFW4000系列 产品说明 天融信 TOPSEC? 北京市海淀区上地东路1号华控大厦 100085 电话:+8610-82776666 传真:+8610-82776677 服务热线:+8610-8008105119 https://www.360docs.net/doc/6a14795805.html,
版权声明 本手册的所有内容,其版权属于北京天融信公司(以下简称天融信)所有,未经天融信许可,任何人不得仿制、拷贝、转译或任意引用。本手册没有任何形式的担保、立场倾向或其他暗示。 若因本手册或其所提到的任何信息引起的直接或间接的资料流失、利益损失,天融信及其员工恕不承担任何责任。本手册所提到的产品规格及资讯仅供参考,有关内容可能会随时更新,天融信恕不承担另行通知之义务。 版权所有不得翻印? 1995-2006天融信公司 商标声明 本手册中所谈及的产品名称仅做识别之用,而这些名称可能属于其他公司的注册商标或是版权,其他提到的商标,均属各该商标注册人所有,恕不逐一列明。 TopSEC?天融信 信息反馈 https://www.360docs.net/doc/6a14795805.html,
NGFW 4000系列产品说明 目录 1产品概述 (2) 2产品特点 (2) 3产品功能 (8) 4运行环境 (13) 5产品规格 (14) 6典型应用 (15) 6.1典型应用一:在企业、政府纵向网络中的应用 (15) 6.2典型应用二:在企业、政府内部局域网络中的应用 (16) 6.3典型应用四:在大型网络中的应用 (17) 6.4典型应用五:防火墙作为负载均衡器 (17) 6.5典型应用六:防火墙接口备份 (18)
防火墙系统(NSG系列)技术白皮书
目录 1产品概述 (1) 2产品特色 (2) 2.1灵活的管理接口 (2) 2.2管理员权限分权分立 (2) 2.3安全隔离的虚拟系统 (3) 2.3.1一机多用,节省投资 (3) 2.3.2灵活配置,方便管理 (3) 2.3.3业务隔离,互不影响 (3) 2.4全面的IPv6Ready能力 (4) 2.4.1IPv4/IPv6双栈 (4) 2.4.2跨栈隧道方案 (5) 2.5多层次可靠性保证,整机可靠性高 (7) 2.5.1硬件可靠性 (7) 2.5.2整机可靠性 (10) 2.5.3系统可靠性 (16) 2.5.4链路可靠性 (16) 2.6智能DNS解析 (22) 2.7地理位置识别(国内+国际) (22) 2.8全面、智能的路由功能 (22) 2.8.1全面的路由功能 (22) 2.8.2精确的多出口ISP路由智能选路 (22) 2.8.3对称路由保证来回路径一致 (23) 2.8.4高适应性的路由负载均衡算法 (23) 2.9一体化的安全策略 (23) 2.10全面的SSL解密防护 (23) 2.10.1SSL解密防护 (23) 2.10.2SSL入站检查 (24) 2.11丰富的VPN隧道类型 (24) 2.12强大的动态QoS功能 (24)
2.13持续关注重点应用/URL (24) 2.14深度安全检测及DLP,保护网络安全 (25) 2.14.1概述 (25) 2.14.2全面的应用层攻击防护能力 (25) 2.14.3先进的多维动态特征异常检测引擎 (26) 2.14.4灵活的自定义漏洞/间谍软件特征功能 (26) 2.14.5多维度的DLP数据防泄漏 (26) 2.14.6强大的威胁情报渗透 (27) 2.15多系统联动防护,构建立体式防护体系 (27) 2.15.1防火墙和终端系统联动 (28) 2.15.2防火墙和天眼系统联动 (29) 2.15.3防火墙和NGSOC系统联动 (29) 2.15.4防火墙和天御云系统联动 (30) 2.15.5防火墙和ITS系统联动 (30) 2.16应用及流量可视化,网络行为无所遁形 (32) 2.16.1概述 (32) 2.16.2大容量、多维度日志 (33) 2.16.3多样化的日志检索方式 (33) 2.16.4全方位风险信息展示及分析 (33) 2.16.5强大的内容审计策略 (34) 2.17自动化应急响应功能 (34) 3技术优势 (35) 3.1采用第四代SecOS系统 (35) 3.2整体框架采用AMP+并行处理架构 (35) 3.3优化的AMP+架构突破传统SMP架构瓶颈 (36) 3.4更优化的网口数据收发处理 (38) 3.5单引擎一次性数据处理技术 (39) 3.6多级冗余架构提高防火墙可靠性 (39) 3.7云端协同扩展精确定位威胁 (40) 3.8基于NDR安全体系的未知威胁闭环防御 (40) 4应用场景 (42) 4.1企业互联网边界安全应用场景 (42) 4.1.1典型场景 (42) 4.1.2痛点和优势 (43) 4.2行业专网网络安全应用场景 (44) 4.2.1典型场景 (44) 4.2.2痛点和优势 (45) 4.3数据中心出口安全应用场景 (46) 4.3.1典型场景 (46)
2015-4-14web应用防火墙WAF-产品白皮书(WAF)
2015-4-14web应用防火墙WAF-产品白皮书(WAF)
第1章概述 随着互联网技术的发展,Web应用日益增多,同时也面临着Web滥用、病毒泛滥和黑客攻击等安全问题,导致Web应用被篡改、数据被窃取或丢失。根据Gartner的统计当前网络上75%的攻击是针对Web应用的。攻击者通过应用层协议进入组织内部,如Web、Web邮件、聊天工具和P2P等攻击企业网络。利用网上随处可见的攻击软件,攻击者不需要对网络协议的深厚理解基础,即可完成诸如更换web网站主页,盗取管理员密码,破坏整个网站数据等等攻击。而这些攻击过程中产生的网络层数据,和正常数据没有什么区别。常见的威胁如下: 威胁名称威胁描述 非授权访问非授权用户可能试图访问和使用非授权端口、应用类型以及资源 Web应用攻 击恶意用户可能通过构造特殊的HTTP/HTTPS请求,对产品保护的web应用实施SQL注入、XSS等web攻击
络规划复杂化的今天防火墙的不适应性就越发明显,从用户对网络安全建设的需求来看,传统防火墙存在以下问题: 传统防火墙基于IP/端口,无法对WEB应用层进行识别与控制,无法确定哪些WEB应用经过了防火墙,自然就谈不上对各类威胁进行有效防御了。面对WEB应用层的攻击,防火墙显得力不从心,无法检测或拦截嵌入到普通流量中的恶意攻击代码,比如病毒、蠕虫、木马等。 传统防火墙无法抵御来自WEB应用层的威胁,自然就无法提供给用户有效的安全策略制定依据。传统防火墙的防御能力有限导致了用户对内网服务器的安全状态没有直观的体现和把握,缺乏安全信息的可视化。 1.1.1I PS设备能否抵御WEB攻击? IPS只能针对操作系统或者应用软件的底层漏洞进行防护,缺乏针对Web攻击威胁的防御能力,对Web攻击防护效果不佳。缺乏攻击事后防护机制,不具备数据的双向内容检测能力,对未知攻击产生的后果无能为力,如入侵防御设备无法应对来自于web网页上的SQL,XSS漏
SecPath虚拟防火墙技术白皮书
SecPath 虚拟防火墙技术白皮书
关键词:虚拟防火墙MPLS VPN 摘要:本文介绍了H3C 公司虚拟防火墙技术和其应用背景。描述了虚拟防火墙的功能特色,并介绍了H3C 公司具备虚拟防火墙功能的独立防火墙和防火墙插板产品的组网环境应用。 缩略语清单:
目录 1 概述 (3) 1.1 新业务模型产生新需求 (3) 1.2 新业务模型下的防火墙部署 (3) 1.2.1 传统防火墙的部署缺陷 (3) 1.2.2 虚拟防火墙应运而生 (4) 2 虚拟防火墙技术 (5) 2.1 技术特点 (5) 2.2 相关术语 (6) 2.3 设备处理流程 (7) 2.3.1 根据入接口数据流 (7) 2.3.2 根据Vlan ID数据流 (7) 2.3.3 根据目的地址数据流 (8) 3 典型组网部署方案 (8) 3.1 虚拟防火墙在行业专网中的应用 (8) 3.1.1 MPLS VPN组网的园区中的虚拟防火墙部署一 (9) 3.1.2 MPLS VPN组网的园区中的虚拟防火墙部署二 (10) 3.1.3 虚拟防火墙提供对VPE的安全保护 (10) 3.2 企业园区网应用 (11) 4 总结 (12)
1 概述 1.1 新业务模型产生新需求 目前,跨地域的全国性超大企业集团和机构的业务规模和管理复杂度都在急剧的增 加,传统的管理运营模式已经不能适应其业务的发展。企业信息化成为解决目前业 务发展的关键,得到了各企业和机构的相当重视。现今,国内一些超大企业在信息 化建设中投入不断增加,部分已经建立了跨地域的企业专网。有的企业已经达到甚 至超过了IT-CMM3 的级别,开始向IT-CMM4 迈进。 另一方面,随着企业业务规模的不断增大,各业务部门的职能和权责划分也越来越 清晰。各业务部门也初步形成了的相应不同安全级别的安全区域,比如,OA 和数据中 心等。由于SOX 等法案或行政规定的颁布应用,各企业或机构对网络安全的重视程 度也在不断增加。对企业重点安全区域的防护要求越来越迫切。 因此,对企业信息管理人员来说,如何灵活方便的实现企业各业务部门的安全区域 划分和安全区域之间有控制的互访成为其非常关注的问题。这也对安全区域隔离“利 器”――防火墙提出了更高的要求。 1.2 新业务模型下的防火墙部署 目前许多企业已经建设起自己的MPLS VPN 专网,例如电力和政务网。下面我们以 MPLS VPN 组网为例介绍在新的业务模型下防火墙的如何实现对各相互独立的业务 部门进行各自独立的安全策略部署呢? 1.2.1 传统防火墙的部署缺陷 面对上述需求,业界通行的做法是在园区各业务VPN 前部署防火墙来完成对各部门 的安全策略部署实现对部门网络的访问控制。一般部署模式如下图所示:
关于各类防火墙的介绍
关于各类防火墙的介绍 信息安全,历来都是计算机应用中的重点话题。在计算机网络日益扩展与普及的今天,计算机信息安全的要求更高了,涉及面也更广了。 计算机信息安全主要研究的是计算机病毒的防治和系统的安全。不但要求防治病毒,还要提高系统抵抗外来非法黑客入侵的能力,还要提高对远程数据传输的保密性,避免在传输途中遭受非法窃取。 在防治网络病毒方面,主要防范在下载可执行软件如:*.exe ,*.zip,等文件时,病毒的潜伏与复制传播。 对于系统本身安全性,主要考虑服务器自身稳定性、健壮性,增强自身抵抗能力,杜绝一切可能让黑客入侵的渠道,避免造成对系统的威胁。对重要商业应用,必须加上防火墙和数据加密技术加以保护。 在数据加密方面,更重要的是不断提高和改进数据加密技术,使心怀叵测的人在网络中难有可乘之机。 计算机信息安全是个很大的研究范畴,本文主要讨论保障网络信息安全时,作为防火墙的用户如何来评测自身的业务需求,如何来通过产品的对比选型,选择合适自己的防火墙产品。 众所周知,我们目前保护计算机系统信息安全的主要手段,就是部署和应用防火墙。可是,我们在使用防火墙时会遇到许多问题,最具代表性的为以下三个:其一,防火墙是用硬件防火墙呢,还是用软件防火墙?这个对于许多人都是难以确定的。硬、软件防火墙,各有各的优势,可是谁的优势大一些,作为普通用户,很难深入了解。 其二,防火墙如何选型?防火墙产品的种类如此之多,而各防火墙厂商的技术水平参差不齐,到底选谁的?要知道,若是选错了产品,投资回报低是小事,如果系统因此而受到攻击,导致重要信息泄密或受损,则用户的损失就大了。 其三,若是选定了某种软件防火墙,它和用户目前的操作系统的兼容性如何,有没有集成的优势?这也是防火墙用户常问的问题。 下面列举一些防火墙的主流产品,从其各自的特点、功能、处理性能及操作复杂程度等方面进行比较,并将实际使用中遇到的一些问题提出来,供大家借鉴。
绿盟NSF-PROD-WAF-V6.0-产品白皮书-V3.0
绿盟WEB应用防火墙 产品白皮书 【绿盟科技】 ■文档编号■密级完全公开 ■版本编号■日期 ■撰写人■批准人 ? 2014 绿盟科技
■版权声明 本文中出现的任何文字叙述、文档格式、插图、照片、方法、过程等内容,除另有特别注明,版权均属绿盟科技所有,受到有关产权及版权法保护。任何个人、机构未经绿盟科技的书面授权许可,不得以任何方式复制或引用本文的任何片断。 ■版本变更记录 时间版本说明修改人
目录 一. 概述 (3) 二. 关键能力 (3) 2.1客户资产视角 (3) 2.2优化的向导系统 (4) 2.3快捷的配置体系 (5) 2.4完整的防护体系 (5) 2.5细致高效的规则体系 (6) 2.6主动防护的代理架构 (7) 2.7领先的DD O S防护能力 (8) 2.8智能补丁应急响应 (8) 2.9辅助PCI-DSS合规 (9) 2.10高可用性 (10) 三. 典型部署 (10) 四. 典型应用 (11) 4.1网站访问控制 (11) 4.2网页篡改在线防护 (12) 4.3网页挂马在线防护 (12) 4.4敏感信息泄漏防护 (12) 4.5DD O S联合防护 (13) 4.6非对称链路防护 (13) 五. 附录 (14) 5.1客户资产定义 (14) 5.2规则体系定义 (14) 5.3常见W EB应用攻击 (15)
插图索引 图表1策略实例 (3) 图表2资产分层及其防护层级 (4) 图表3向导体系过滤站点规则 (5) 图表4防护体系 (6) 图表5智能补丁 (9) 图表6WAF的典型部署 (11) 图表7绿盟WAF和绿盟ADS的DD O S联合防护方案 (13) 图表8站点的定义 (14) 图表9主机名的定义 (14) 图表10URI及相关字段的定义 (14)
中安威士数据库防火墙系统(VS-FW)
https://www.360docs.net/doc/6a14795805.html, 中安威士数据库防火墙系统(VS-FW)产品概述 中安威士数据库防火墙系统,简称VS-FW。通过实时分析对数据库的访问流量,自动建立合法访问数据库的特征模型,发现和过滤对数据库的违规访问和攻击行为。主要功能包括:屏蔽直接访问数据库的通道、多因子认证、自动建模、攻击检测、访问控制、审计等。该产品具有高性能、大存储和报表丰富等优势。能为客户带来如下价值: 自动识别用户对敏感数据的访问行为模式,识别数据库的安全威胁,并定期更新攻击特征库 全面审核企业内部和外部人员对敏感数据的所有访问,提高数据安全管理能力 报警并阻止对数据库的非法访问和攻击,完善纵深防御体系,提升整体安全防护能力 避免核心数据资产被侵犯,保障业务安全运营 丰富的报表,帮助企业满足合规审计要求,快速通过评测 产品功能 屏蔽直接访问数据库的通道 数据库防火墙部署于数据库服务器和应用服务器之间,屏蔽直接访问数据库的通道,防止数据库隐通道对数据库的攻击,见下图。 多因子认证 基于IP地址、MAC地址、用户、应用程序、时间等因子对访问者进行身份认证,形成多因子认证,弥补单一口令认证方式安全性的不足。应用程序对数据库的访问,必须经过数据库防火墙和数据库自身两层身份认证。 攻击检测和保护 实时检测用户对数据库进行的SQL注入和缓冲区溢出攻击。并报警或者阻止攻击行为,同时详细的记录攻击操作发生的时间、来源IP、用户名、攻击代码等信息。
特征基线—自动建立访问模型 系统将自动学习每一个应用的访问语句,进行模式提取和分类,自动生成行为特征模型,并可以对学习结果进行编辑。系统通过检查访问行为与基线的偏差来识别风险。 虚拟补丁 数据库系统是个复杂的系统,自身具有很多的漏洞,容易被攻击者利用从而导致数据泄漏或致使系统瘫痪。而由于需要保证业务连续性等多种原因,用户通常不会及时对数据库进行补丁安装。中安威士防火墙通过内置的多种策略防止已知漏洞被利用,并有效的降低数据库被零日攻击的风险。 安全审计 系统能够审计对数据库服务器的访问情况。包括用户名、程序名、IP地址、请求的数据库、连接建立的时间、连接断开的时间、通信量大小、风险等信息。并提供灵活的查询分析功能。 报表 提供丰富的报表模板,包括各种审计报表、安全趋势等。 特性优势 技术优势 全自主技术体系:形成高技术壁垒 高速分析技术:特殊数据包分析和转发技术,实现高效的网络通信内容过滤多线程技术和缓存技术,支持高并发连接 ●基于BigTable和MapReduce的存储:单机环境高效、海量存储 ●基于倒排索引的检索:高效、灵活日志检索、报表生成