您的位置:360文档中心› DPtech NAT 技术白皮书

DPtech NAT 技术白皮书

合集下载

DPtech FW1000系列防火墙系统用户配置手册解析

DPtech FW1000系列防火墙系统用户配置手册解析

DPtech FW1000系列防火墙用户配置手册杭州迪普科技有限公司为客户提供全方位的技术支持。

通过杭州迪普科技有限公司代理商购买产品的用户,请直接与销售代理商联系;直接向杭州迪普科技有限公司购买产品的用户,可直接与公司联系。

杭州迪普科技有限公司地址:杭州市滨江区火炬大道581号三维大厦B座901室邮编:310053声明Copyright 2010杭州迪普科技有限公司版权所有,保留一切权利。

非经本公司书面许可,任何单位和个人不得擅自摘抄、复制本书内容的部分或全部,并不得以任何形式传播。

由于产品版本升级或其他原因,本手册内容有可能变更。

杭州迪普科技有限公司保留在没有任何通知或者提示的情况下对本手册的内容进行修改的权利。

本手册仅作为使用指导,杭州迪普科技有限公司尽全力在本手册中提供准确的信息,但是杭州迪普科技有限公司并不确保手册内容完全没有错误,本手册中的所有陈述、信息和建议也不构成任何明示或暗示的担保。

目录第1章产品概述1-11.1产品简介1-1 1.2WEB管理1-1 1.2.1登录WEB管理界面1-1 1.2.2WEB界面布局介绍1-2第2章系统管理2-12.1简介2-1 2.2设备管理2-1 2.2.1设备信息2-1 2.2.2设备状态2-3 2.2.3设备设置2-4 2.3SNMP配置2-7 2.3.1简介2-7 2.3.2配置信息2-7 2.3.3IP地址列表2-8 2.4管理员2-8 2.4.1简介2-8 2.4.2当前管理员2-9 2.4.3管理员设置2-9 2.4.4登录参数设置2-11 2.5配置文件2-12 2.6特征库2-13 2.6.1APP特征库2-13 2.6.2URL分类过滤特征库2-16 2.6.3L ICENSE文件管理2-17 2.7软件版本2-18 2.8NTP配置2-19第3章网络管理3-13.1简介3-1 3.2接口管理3-2 3.2.1简介3-2 3.2.2组网配置3-2 3.3网络对象3-93.3.1简介3-9 3.3.2安全域3-10 3.3.3IP地址3-11 3.3.4 MAC地址3-13 3.3.5账号3-14 3.3.6实名3-14 3.3.7服务3-15 3.4单播IP V4路由3-17 3.4.1简介3-17 3.4.2静态路由3-18 3.4.3路由表3-18 3.4.4等价路由3-19 3.4.5BGP协议3-19 3.4.6配置RIP协议3-22 3.4.7配置OSPF协议3-24 3.4.8显示OSPF接口信息3-26 3.4.9显示OSPF邻居信息3-27 3.5单播IP V6路由3-28 3.5.1简介3-28 3.5.2配置IP V6静态路由3-28 3.5.3显示IP V6路由表3-29 3.6组播路由3-30 3.6.1简介3-30 3.6.2配置PIM/IGMP协议3-30 3.7策略路由3-31 3.7.1简介3-31 3.7.2策略路由3-31 3.8ARP配置3-32 3.8.1简介3-32 3.8.2ARP查看3-32 3.8.3静态ARP项配置3-33 3.8.4免费ARP定时发送3-33 3.9DNS配置3-34 3.9.1简介3-34 3.9.2DNS配置3-34 3.10DHCP配置3-35 3.10.1简介3-35 3.10.2DHCP服务器配置3-35 3.10.3DHCP中继代理配置3-37 3.10.4DHCP地址信息列表3-37 3.11无线配置3-38 3.12诊断工具3-39 3.12.1P ING3-39 3.12.2T RACEROUTE3-40第4章防火墙4-14.1简介4-1 4.2包过滤策略4-1 4.3NAT 4-4 4.3.1简介4-4 4.3.2源NAT 4-4 4.3.3目的NAT 4-5 4.3.4一对一NAT 4-6 4.3.5地址池4-7 4.4基本攻击防护4-7 4.4.2攻击防护日志查询4-9 4.5DD O S攻击防护4-10 4.5.1SYN F LOOD防护4-10 4.5.2ICMP F LOOD防护4-10 4.5.3UDP F LOOD防护4-11 4.5.4会话数限制4-12 4.5.5DD O S日志查询4-12 4.6黑名单4-14 4.6.1黑名单4-14 4.6.2黑名单查询4-14 4.6.3黑名单日志查询4-15 4.7MAC/IP绑定4-16 4.7.1MAC/IP绑定4-16 4.7.2MAC/IP绑定自动学习4-17 4.7.3用户MAC绑定4-18 4.7.4用户IP绑定4-19 4.7.5MAC/IP绑定日志查询4-20 4.8会话管理4-22 4.8.1会话列表4-22 4.8.2会话参数4-23 4.9Q O S服务质量4-1 4.9.1简介4-1 4.9.2带宽保证4-1 4.10防ARP欺骗4-1 4.10.1简介4-1 4.10.2防ARP欺骗4-1第5章日志管理5-25.1简介5-2 5.2系统日志5-3 5.2.1最近的日志5-35.2.2系统日志查询5-4 5.2.3系统日志文件操作5-5 5.2.4系统日志配置5-6 5.3操作日志5-7 5.3.1最近的日志5-7 5.3.2操作日志查询5-8 5.3.3操作日志文件操作5-9 5.3.4操作日志配置5-10 5.4业务日志5-11 5.4.1业务日志配置5-11第6章负载均衡6-16.1服务器负载均衡6-1 6.1.1简介6-1 6.1.2虚拟服务器6-1 6.1.3真实服务器6-2 6.1.4健康检查6-2第7章应用防火墙7-37.1网络应用带宽限速7-3 7.1.1简介7-3 7.1.2网络应用用户组限速7-3 7.1.3每IP带宽应用限速7-5 7.1.4网络应用组管理7-6 7.1.5网络应用组管理7-7 7.1.6典型配置7-7 7.2网络应用访问控制7-9 7.2.1简介7-9 7.2.2网络应用访问控制7-9 7.2.3网络应用组管理7-10 7.2.4网络应用组管理7-11 7.2.5典型配置7-12 7.3URL过滤7-14 7.3.1简介7-14 7.3.2URL分类过滤策略7-14 7.3.3高级URL过滤7-16 7.3.4URL过滤推送配置7-17 7.3.5典型配置7-18第8章 VPN 8-18.2IPS EC VPN 8-1 8.2.1IPS EC简介8-1 8.2.2创建IPS EC规则8-2 8.2.3IPS EC连接显示8-3 8.3L2TP VPN 8-5 8.3.1L2TP简介8-5 8.3.2配置L2TP 8-5 8.4GRE VPN 8-6 8.4.1GRE简介8-6 8.4.2配置GRE规则8-6 8.5SSL VPN 8-7 8.5.1SSL VPN简介8-7 8.5.2配置SSL VPN规则8-7 8.6数字证书8-9 8.6.1简介8-9 8.6.2简介8-9第9章审计分析9-19.1简介9-1 9.2流量分析9-1 9.2.1网络流量快照9-1 9.2.2业务流量分析9-3 9.2.3单用户业务流量分析9-6 9.2.4TOP用户流量分析9-8 9.2.5流量统计配置9-9 9.3行为审计9-10 9.3.1创建行为审计规则9-10 9.3.2最近的日志9-11 9.3.3审计日志查询与删除9-12 9.3.4用户当前行为9-13 9.4关键字过滤9-14 9.4.1审计日志查询9-14 9.4.2最近的日志9-15 9.4.3审计日志的查询9-15 9.5行为审计典型配置举例9-17 9.5.1配置需求9-17 9.5.2组网需求9-17 9.5.3配置步骤9-17第10章应用层过滤10-110.2关键字设置10-1 10.3邮箱设置10-2 10.4HTTP过滤10-3 10.5邮件过滤10-3 10.6FTP过滤10-4第11章用户认证11-111.1简介11-1 11.2本地认证用户11-1 11.2.1简介11-1 11.2.2本地认证用户配置11-2 11.3W EB认证11-2 11.3.1W EB认证配置11-2 11.3.2W EB认证在线用户11-4 11.3.3前台管理11-5第12章高可靠性12-112.1简介12-1 12.2VRRP 12-1 12.2.1VRRP备份组配置12-1 12.3双机热备12-3 12.3.1双机热备配置12-3➢图形目录图1-1 WEB管理登陆界面 ..................................................................................................................................... 1-1 图1-2 FW系统结构图............................................................................................................................................ 1-3 图1-3 WEB界面布局 ............................................................................................................................................. 1-4 图2-1 系统管理菜单.............................................................................................................................................. 2-1 图2-2 设备信息...................................................................................................................................................... 2-2 图2-3 设备状态...................................................................................................................................................... 2-3 图2-4 设备状态查看快捷区域.............................................................................................................................. 2-4 图2-5 系统名称设置.............................................................................................................................................. 2-4 图2-6 系统时间设置.............................................................................................................................................. 2-5 图2-7 系统阈值设置.............................................................................................................................................. 2-5 图2-8 系统阈值设置.............................................................................................................................................. 2-6 图2-9 数据库清空设置.......................................................................................................................................... 2-6 图2-10 配置信息设置............................................................................................................................................ 2-7 图2-11 IP地址列表设置 ........................................................................................................................................ 2-8 图2-12 当前管理员................................................................................................................................................ 2-9 图2-13 管理员设置.............................................................................................................................................. 2-10 图2-14 登录参数设置.......................................................................................................................................... 2-11 图2-15 配置文件管理.......................................................................................................................................... 2-12 图2-16 特征库...................................................................................................................................................... 2-14 图2-17 特征库版本信息...................................................................................................................................... 2-14 图2-18 自动升级设置.......................................................................................................................................... 2-15 图2-19 手动升级设置.......................................................................................................................................... 2-16 图2-20 页面升级进度.......................................................................................................................................... 2-16 图2-21 特征库版本信息...................................................................................................................................... 2-17 图2-22 License文件管理...................................................................................................................................... 2-17 图2-23 软件版本.................................................................................................................................................. 2-18 图2-24 NTP配置 .................................................................................................................................................. 2-19 图2-25 NTP client配置......................................................................................................................................... 2-20 图3-1 网络管理菜单.............................................................................................................................................. 3-2 图3-2 组网模式...................................................................................................................................................... 3-3 图3-3 接口组网配置.............................................................................................................................................. 3-3 图3-4 内网IP管理 .................................................................................................................................................. 3-4 图3-5 VLAN配置................................................................................................................................................... 3-5 图3-6 业务接口配置.............................................................................................................................................. 3-6 图3-7 端口聚合配置.............................................................................................................................................. 3-7 图3-8 端口聚合状态.............................................................................................................................................. 3-8 图3-9 安全域........................................................................................................................................................ 3-10 图3-10 地址对象.................................................................................................................................................. 3-11 图3-11 地址对象组.............................................................................................................................................. 3-12 图3-12 地址对象组的配置说明图...................................................................................................................... 3-12 图3-13 地址对象群.............................................................................................................................................. 3-13图3-15 mac对象 ................................................................................................................................................... 3-13 图3-16 账号.......................................................................................................................................................... 3-14 图3-17 实名.......................................................................................................................................................... 3-15 图3-18 服务.......................................................................................................................................................... 3-16 图3-19 自定义服务对象...................................................................................................................................... 3-16 图3-20 服务对象组.............................................................................................................................................. 3-17 图3-21 配置静态路由.......................................................................................................................................... 3-18 图3-22 路由表...................................................................................................................................................... 3-19 图3-23 配置等价路由.......................................................................................................................................... 3-19 图3-24 配置BGP协议 .......................................................................................................................................... 3-19 图3-25 BGP高级配置 .......................................................................................................................................... 3-20 图3-26 显示BGP邻居信息 .................................................................................................................................. 3-21 图3-27 配置RIP协议............................................................................................................................................ 3-22 图3-28 RIP高级配置............................................................................................................................................ 3-23 图3-29 配置OSPF协议 ........................................................................................................................................ 3-24 图3-30 新建区域.................................................................................................................................................. 3-24 图3-31 高级配置.................................................................................................................................................. 3-26 图3-32 显示OSPF接口信息 ................................................................................................................................ 3-27 图3-33 显示路由表.............................................................................................................................................. 3-27 图3-34 IPv6静态路由配置 .................................................................................................................................. 3-29 图3-35 IPv6路由表 .............................................................................................................................................. 3-29 图3-36 配置PIM/IGMP协议................................................................................................................................ 3-30 图3-37 PIM/IGMP协议高级配置........................................................................................................................ 3-31 图3-38 策略路由.................................................................................................................................................. 3-32 图3-39 ARP查看 .................................................................................................................................................. 3-33 图3-40 静态ARP项配置 ...................................................................................................................................... 3-33 图3-41 免费ARP定时发送 .................................................................................................................................. 3-34 图3-42 DNS配置.................................................................................................................................................. 3-34 图3-43 DHCP服务器 ........................................................................................................................................... 3-35 图3-44 DHCP中继代理配置 ............................................................................................................................... 3-37 图3-45 DHCP地址信息列表 ............................................................................................................................... 3-38 图3-46 无线配置.................................................................................................................................................. 3-38 图3-47 网络诊断PING ......................................................................................................................................... 3-39 图3-48 PING结果................................................................................................................................................. 3-39 图3-49 网络诊断Traceroute ................................................................................................................................. 3-40 图3-50 Traceroute结果......................................................................................................................................... 3-40 图4-1 防火墙菜单.................................................................................................................................................. 4-1 图4-2 配置包过滤.................................................................................................................................................. 4-2 图4-3 配置动作...................................................................................................................................................... 4-3 图4-4 源NAT配置列表.......................................................................................................................................... 4-4 图4-5 配置目的NAT .............................................................................................................................................. 4-5 图4-6 配置一对一NAT .......................................................................................................................................... 4-6 图4-7 地址池.......................................................................................................................................................... 4-7图4-9 攻击防护日志查询...................................................................................................................................... 4-9 图4-10 SYN Flood防护........................................................................................................................................ 4-10 图4-11 ICMP Flood防护...................................................................................................................................... 4-11 图4-12 UDP Flood防护........................................................................................................................................ 4-11 图4-13 会话数限制.............................................................................................................................................. 4-12 图4-14 DDoS日志查询........................................................................................................................................ 4-13 图4-15 黑名单配置.............................................................................................................................................. 4-14 图4-16 黑名单查询.............................................................................................................................................. 4-14 图4-17 黑名单日志查询...................................................................................................................................... 4-15 图4-18 MAC/IP绑定 ............................................................................................................................................ 4-16 图4-19 自动学习.................................................................................................................................................. 4-18 图4-20 用户MAC绑定......................................................................................................................................... 4-19 图4-21 用户IP绑定 .............................................................................................................................................. 4-19 图4-22 MAC/IP绑定日志查询 ............................................................................................................................ 4-21 图4-23 会话列表.................................................................................................................................................. 4-22 图4-24 会话列表.................................................................................................................................................. 4-23 图4-25 带宽保证.................................................................................................................................................... 4-1 图4-26 防ARP欺骗 ................................................................................................................................................ 4-2 图5-1 日志管理菜单.............................................................................................................................................. 5-3 图5-2 最近的日志.................................................................................................................................................. 5-3 图5-3 系统日志查询.............................................................................................................................................. 5-5 图5-4 系统日志文件操作...................................................................................................................................... 5-6 图5-5 系统日志配置.............................................................................................................................................. 5-6 图5-6 最近的日志.................................................................................................................................................. 5-7 图5-7 操作日志查询.............................................................................................................................................. 5-9 图5-8 操作日志文件操作.................................................................................................................................... 5-10 图5-9 操作日志配置............................................................................................................................................ 5-10 图5-10 业务日志配置.......................................................................................................................................... 5-11 图6-1 虚拟服务器.................................................................................................................................................. 6-1 图6-2 真实服务器.................................................................................................................................................. 6-2 图6-3 健康检查...................................................................................................................................................... 6-2 图7-1 网络应用带宽限速...................................................................................................................................... 7-3 图7-2 用户组限速列表.......................................................................................................................................... 7-3 图7-3 用户组限速参数.......................................................................................................................................... 7-4 图7-4 每IP限速列表 .............................................................................................................................................. 7-5 图7-5 每IP带宽限速参数 ...................................................................................................................................... 7-5 图7-6 网络应用组管理.......................................................................................................................................... 7-6 图7-7 网络应用浏览.............................................................................................................................................. 7-7 图7-8 应用限速配置组网图.................................................................................................................................. 7-8 图7-9 网络应用访问控制...................................................................................................................................... 7-9 图7-10 网络应用访问控制列表.......................................................................................................................... 7-10 图7-11 网络应用组管理...................................................................................................................................... 7-11 图7-12 网络应用浏览.......................................................................................................................................... 7-12图7-13 网络应用访问控制配置组网图 .............................................................................................................. 7-12 图7-14 URL过滤策略.......................................................................................................................................... 7-14 图7-15 URL分类过滤策略.................................................................................................................................. 7-14 图7-16 自定义URL分类...................................................................................................................................... 7-15 图7-17 高级URL过滤.......................................................................................................................................... 7-16 图7-18 URL过滤推送默认配置.......................................................................................................................... 7-18 图7-19 URL配置组网图...................................................................................................................................... 7-19 图8-1 VPN菜单...................................................................................................................................................... 8-1 图8-2 IPSec VPN规则............................................................................................................................................ 8-2 图8-3 IPSec连接显示............................................................................................................................................. 8-4 图8-4 L2TP规则..................................................................................................................................................... 8-5 图8-5 GRE VPN规则............................................................................................................................................. 8-6 图8-6 SSL VPN规则.............................................................................................................................................. 8-8 图8-7 数字证书规则............................................................................................................................................ 8-10 图9-1 行为审计菜单.............................................................................................................................................. 9-1 图9-2 网络流量快照.............................................................................................................................................. 9-2 图9-3 业务流量分析.............................................................................................................................................. 9-4 图9-4 单用户业务流量分析.................................................................................................................................. 9-7 图9-5 TOP用户流量分析 ...................................................................................................................................... 9-8 图9-6 关闭服务器.................................................................................................................................................. 9-9 图9-7 流量统计本地显示...................................................................................................................................... 9-9 图9-8 所示为配置发向服务器.............................................................................................................................. 9-9 图9-9 行为审计规则............................................................................................................................................ 9-10 图9-10 行为审计规则.......................................................................................................................................... 9-10 图9-11 最近的日志.............................................................................................................................................. 9-11 图9-12 审计日志查询与删除.............................................................................................................................. 9-12 图9-13 用户当前行为.......................................................................................................................................... 9-13 图9-14 添加关键字.............................................................................................................................................. 9-14 图9-15 关键字过滤最近日志详细信息 .............................................................................................................. 9-15 图9-16 审计日志查询与删除.............................................................................................................................. 9-16 图9-17 行为审计配置组网图.............................................................................................................................. 9-17 图9-18 创建行为审计规则.................................................................................................................................. 9-18 图9-19 修改保存详细内容项.............................................................................................................................. 9-18 图10-1 应用层过滤菜单...................................................................................................................................... 10-1 图10-2 关键字设置.............................................................................................................................................. 10-1 图10-3 邮箱设置.................................................................................................................................................. 10-2 图10-4 HTTP过滤................................................................................................................................................ 10-3 图10-5 邮件过滤.................................................................................................................................................. 10-3 图10-6 FTP过滤................................................................................................................................................... 10-4 图11-1 用户认证菜单.......................................................................................................................................... 11-1 图11-2 本地认证用户.......................................................................................................................................... 11-1 图11-3 Web认证 .................................................................................................................................................. 11-3 图11-4 Web认证在线用户 .................................................................................................................................. 11-5 图11-5 前台管理.................................................................................................................................................. 11-5。

迪普防火墙技术白皮书 (1)

迪普防火墙技术白皮书 (1)

迪普FW1000系列防火墙技术白皮书1概述随着网络技术的普及,网络攻击行为出现得越来越频繁。

通过各种攻击软件,只要具有一般计算机常识的初学者也能完成对网络的攻击。

各种网络病毒的泛滥,也加剧了网络被攻击的危险。

目前,Internet网络上常见的安全威胁分为以下几类:非法使用:资源被未授权的用户(也可以称为非法用户)或以未授权方式(非法权限)使用。

例如,攻击者通过猜测帐号和密码的组合,从而进入计算机系统以非法使用资源。

拒绝服务:服务器拒绝合法用户正常访问信息或资源的请求。

例如,攻击者短时间内使用大量数据包或畸形报文向服务器不断发起连接或请求回应,致使服务器负荷过重而不能处理合法任务。

信息盗窃:攻击者并不直接入侵目标系统,而是通过窃听网络来获取重要数据或信息。

数据篡改:攻击者对系统数据或消息流进行有选择的修改、删除、延误、重排序及插入虚假消息等操作,而使数据的一致性被破坏。

•基于网络协议的防火墙不能阻止各种攻击工具更加高层的攻击•网络中大量的低安全性家庭主机成为攻击者或者蠕虫病毒的被控攻击主机•被攻克的服务器也成为辅助攻击者Internet止火灾蔓延的隔断墙,Internet防火墙是一个或一组实施访问控制策略的系统,它监控可信任网络(相当于内部网络)和不可信任网络(相当于外部网络)之间的访问通道,以防止外部网络的危险蔓延到内部网络上。

防火墙作用于被保护区域的入口处,基于访问控制策略提供安全防护。

例如:当防火墙位于内部网络和外部网络的连接处时,可以保护组织内的网络和数据免遭来自外部网络的非法访问(未授权或未验证的访问)或恶意攻击;当防火墙位于组织内部相对开放的网段或比较敏感的网段(如保存敏感或专有数据的网络部分)的连接处时,可以根据需要过滤对敏感数据的访问(即使该访问是来自组织内部)。

防火墙技术经历了包过滤防火墙、代理防火墙、状态防火墙的技术演变,但是随着各种基于不安全应用的攻击增多以及网络蠕虫病毒的泛滥,传统防火墙面临更加艰巨的任务,不但需要防护传统的基于网络层的协议攻击,而且需要处理更加高层的应用数据,对应用层的攻击进行防护。

迪普科技DPtech_DPX8000深度业务交换网关主打胶片-2012.8.3

迪普科技DPtech_DPX8000深度业务交换网关主打胶片-2012.8.3
High HTTP VoIP DB POP IMAP SMTP BT eMule/eD2K CS
3
关键业务应用
Email
关键业务 应用 Med Email Low P2P 网络游戏
从无序到有序
P2P 网络游戏
总 带 宽
带宽管理:P2P等流量的全面透析和管理,提升带宽价值
安全防护:集成卡巴病毒库,具备恶意攻击防御能力
FPGA
RAM Filter Matching RAM RAM
RAM
RAM 解密
IPSec
• 全球第一款万兆线速应用硬件架构:Crossbar+ Multi-Core + FPGA
• 全业务微秒级时延
• 全球第一款支持50000条过滤器并行处理 • 数据与控制相分离
Page25 25
11 Page11

ConPlat OS系统平台
ConPlat 内容操作系统 •防病毒 •间谍软件 •DDoS 网络层 •路由 •接口 •ARP攻击 •交换•NAT •ACL/NAT.. •路由 •防垃圾邮件 •防网页篡改 •带宽滥用 •防火墙 •ACL •交换
目录
IP网络的发展与挑战
DPX8000产品简介 DPX8000业务特色
网络与安全的最佳融合 万兆线速处理性能无衰减
独创的虚拟化技术
数据中心级高可靠
Page21

APP-X分布式无阻塞硬件架构
背板
先进的Crossbar多级多平面交换 架构, 6.48T级交换容量 超高端口密度,单台设备支持324 个万兆端口、480千兆端口
应用层 •防病毒 •防垃圾邮件 •防漏洞攻击 •木马 •负载均衡 •非法扫描 •应用加速 •… •木马

DPtech ADX3000系列应用交付平台运维手册v2.0

DPtech ADX3000系列应用交付平台运维手册v2.0
使用人员
本文档主要面向指定项目网络运维人员。
内容范围
本文档内容涵盖了指定项目网络设备硬件操作规范,包括硬件维护最佳实践、常规硬 件维护操作方法、发生硬件故障时的维护策略等。
DPtech ADX3000 系列运维手册 v2.0
约定
图形界面格式约定
格式 【】 => <>
意义 带方括号“【】”表示各类界面控件名称、选项卡和数据表。如“选择【管理 员】选项卡”。 多级菜单用“=>”分隔。如“选择【系统管理】=>【管理员】菜单项”。 带尖括号“< >”表示按钮名称,如“点击<确定>按钮”。
各类标志约定
格式
意义 表示操作中必须注意的信息,如果忽视这类信息,可能导致数据丢内容的描述进行强调和补充。
DPtech ADX3000 系列运维手册 v2.0
目录
1 配置管理............................................................................................................................................... 1-1 1.1 配置文件管理 .................................................................................................................................... 1-1 1.1.1 备份配置 ...........................................................................................

迪普科技-DNS负载均衡技术白皮书

迪普科技-DNS负载均衡技术白皮书

ADX产品DNS负载均衡功能杭州迪普科技有限公司Hangzhou DPtech Technologies Co., Ltd目录1 前言: (3)2 概述 (3)3 功能分析 (3)3.1 DNS解析实现流程: (3)3.2 多链路环境下的负载均衡应用: (4)3.2.1 Inbound(源负载均衡): (4)3.2.2 就近性(RTT算法): (4)3.2.3 目的负载均衡: (5)3.3 多服务器环境下的负载均衡应用: (5)3.3.1 DNS重定向: (6)3.3.2 地理分布算法: (6)3.3.3 全局负载均衡: (7)1前言:随着服务器负载均衡和链路负载均衡技术的日益发展,人们的关注点大多集中在了链路和服务器存在瓶颈和冗余性的问题,而DNS负载均衡技术为解决这一问题提供了更多、更灵活的解决思路。

2概述DNS 是域名系统(Domain Name System) 的缩写,是一种组织成域层次结构的计算机和网络服务命名系统。

DNS 命名用于TCP/IP 网络,如Internet,用来通过用户友好的名称定位计算机和服务。

当用户在应用程序中输入DNS 名称时,DNS 服务可以将此名称解析为与此名称相关的其他信息,如IP 地址。

在链路方面,为解决单一链路所带了的网络单点故障以及脆弱性和国内所存在跨运营商的问题的,目前大部分的企业都部署了多条互联网链路,来提升网络链路的可靠性。

传统的多链路接入依靠复杂的设计,解决了一些接入链路存在单点故障的问题。

但是,它远远没有把多链路接入的巨大优势发挥出来。

链路负载均衡技术即通过对这些链路的管理,以使其达到最大利用率。

在服务器方面,由于用户访问量的增大,使得单一的网络服务设备已经不能满足需要了,由此需要引入服务器的负载平衡,实现客户端同时访问多台同时工作的服务器,实现动态分配每一个应用请求到后台的服务器,并即时按需动态检查各个服务器的状态,根据预设的规则将请求分配给最有效率的服务器。

中国5G通信行业专网技术白皮书

中国5G通信行业专网技术白皮书

中国5G通信行业专网技术白皮书中国移动5G行业专网技术白皮书目录1.5G行业专网能力需求 (5)1.1组网需求 (5)1.1.1业务加速 (5)1.1.2业务隔离 (5)1.1.3本地业务保障 (5)1.1.4业务数据不出场 (5)1.1.5边缘计算 (5)1.1.6无线上行带宽增强 (6)1.1.7无线专用 (6)1.1.8接入控制 (6)1.1.9能力开放 (6)1.2运营及运维类需求 (6)1.2.1业务运营 (6)1.2.2网络运维 (7)1.2.3安全 (7)1.2.4计费 (7)1.3业务能力与网络技术能力的映射 (7)2.技术架构及技术要求 (9)2.1技术网络架构 (9)2.2技术要求 (10)2.2.1端到端QoS优先调度 (10)2.2.2专用DNN (11)2.2.3网络切片 (12)2.2.4边缘计算 (14)2.2.5无线专网定制 (15)2.2.6无线专网增强 (16)2.2.7核心网定制 (16)2.2.8能力开放 (16)2.2.9开通 (20)2.2.10计费 (21)2.2.11安全 (21)3.产业及商用发展建议 (23)4.结束语 (24)缩略语列表 (25)1.5G行业专网能力需求1.1组网需求行业客户基于不同的应用场景,业务需求众多且差异巨大,各类行业应用的差异化组网需求主要包括:业务质量保障、业务隔离、超低时延需求、数据不出场、边缘计算、超级上行、接入控制和能力开放。

1.1.1业务加速行业用户要求增强的数据业务质量保障,根据业务质量要求在带宽和时延方面提供差异性的服务质量保障,保证高优先级用户获得更好的业务加速体验。

1.1.2业务隔离行业客户要求专用网络资源与公众网隔离,通过专用的业务数据通道实现业务流量的定向汇聚传输和隔离,保证数据专用和安全。

1.1.3本地业务保障行业客户要求对时延敏感的业务(20-40ms)在靠近用户的位置进行卸载,就近处理。

1.1.4业务数据不出场行业客户要求超低时延保障(≤20ms),企业内部相关业务数据要在园区内分流卸载,不出园区,满足数据安全和本地数据快速处理的需求。

DPtechDPX8000系列典型配置v11

DPtechDPX8000系列典型配置v11

27
4.2.3 配置流程
28
4.2.4 配置步骤
28
4.3 NAT 典型配置案例
33
4.3.1 配置需求
33
4.3.2 网络拓扑
33
4.3.3 配置流程
34
4.3.4 配置步骤
34
4.4 防火墙板卡综合典型配置案例
40
4.4.1 配置需求
40
4.4.2 网络拓扑
40
4.4.3 配置流程
41
4.4.4 配置步骤
3
DPtech DPX8000 系列典型配置
(2) 使用 IE 访问设备默认地址 192.168.0.1/24 打开 IE 浏览器,输入 IP 地址访问设备 Web 页面,如下图所示:
4
DPtech DPX8000 系列典型配置
登陆成功后,页面显示如下
说明: 1、建议使用 IE8.0 或以上版本的浏览器,屏幕分辨率最好设置为 1024×768 及以上。 2、WEB 网管不支持浏览器自带的后退、前进、刷新等按钮,使用这些按钮可能会导致 WEB 页面显示不正常。
16
第 3 章 基础转发典型配置案例
23
3.1 特性简介
23
3.2 配置样例
24
3.2.1 配置需求
24
3.2.2 网络拓扑
24
3.2.3 配置流程
24
3.2.4 配置步骤
25
第 4 章 防火墙板卡典型配置案例
26
4.1 特性简介
26
4.2 包过滤典型配置案例
27
4.2.1 配置需求
27
4.2.2 网络拓扑
62
ii
5.3.4 配置步骤

统一智能运维一体化监控平台V6.0 ——技术...

统一智能运维一体化监控平台V6.0 ——技术...

统一智能运维一体化监控平台 V6.0 产品白皮书
运用了先进的 Web 技术,为客户提供分角色、可视化的数据展现和管理功能。
03 产品功能
资源管理 资源管理包括了网络管理、主机管理、数据库管理、中间件管理、J2EE 服务器管理、Web 服务器管理、 邮件服务器管理、Lotus Domino 管理、目录服务器管理、标准服务管理、硬件管理。实现了 IT 系统的统 一监控、管理并对涉密信息进行加密存储,满足客户不同的监控和安全需要,可以实时了解、掌握网络硬 件软件当前的健康状况,以便评估、衡量网络的使用率,为用户进行网络系统优化和了解网络设备的处 理能力提供准确的数据,保障了客户业务的可靠运行和满足各项考核指标,预测潜在的故障,进行提前 预警。 提供了资源模型,资源模型提供了动态配置指标的功能,将指标分为多种类型,包括:信息类、性能 类、可用性,一共三类指标。信息类指标为设备的基础信息和设备的基础配置,如设备 名称、厂商、型 号、CPU 个数等;性能类为设备性能相关的指标,如设备的 CPU 占用、内存占用、端口发送流量等;可用 性为检测设备及设备的组件是否可用的指标,如设备可用性、端口开关状态等。
统一智能运维一体化监控平台是团队经过多年来持续不断的探索和实践,结合了国内外先进监测技术 进 行 研 发,拥 有 深 厚 的 技 术 沉 淀 和 严 格 的 开 发 管 理 机 制 保 证 了 系 统 运 行 的 稳 定 性、功 能 的 全 面 性 和 扩 展 性,真正打造了满足客户需求的 IT 运维管理平台,为服务运营提供支撑。系统可对客户的 IT 系统进行 7*24 小时的全面监控,提供了 IT 系统的性能监控、性能分析、故障监控、故障分析及定位、强大的报表分析 等功能,保证了客户日常运维工作的顺利开展,提升了运维工程师的网络管控水平,降低了管理层的日 常工作量,为决策层提供了可靠的数据依据。

宁盾终端及网络准入技术白皮书V3

宁盾终端及网络准入技术白皮书V3

宁盾终端及网络准入技术白皮书V3 EUNSOL°目录概述 (3)NDACE准入引擎介绍 (3)产品简介 (3)设计原理 (3)信息收集处理分析 (3)准入防护策略 (4)集中管理 (4)工作原理 (4)TCP Reset (4)终端识别 (4)HTTP Notification/HTTP Redirect (5)Switch VLAN (5)无客户端检查 (5)客户端检查 (5)技术原理 (5)产品架构 (6)准入控制平台 (6)客户端/无客户端 (7)产品优势 (7)部署模式 (7)端点精准识别定位 (7)面向业务的自动化 (7)无代理 (7)基于场景化(应用)的身份认证 (8)可定制化报表信息 (8)主要功能介绍 (8)网络发现,全网扫描 (8)终端安全检查 (8)认证管理 (9)动态的访问控制策略 (9)持续透明的安全检查 (9)与第三方整合 (9)终端报表信息 (9)终端准入场景及技术实现 (10)PC准入场景 (10)IOT设备准入场景 (10)摄像头准入 (10)其他智能终端准入 (10)产品应用部署 (10)网络组网拓扑示例 (10)产品价值 (12)注意事项 (12)总结 (12)概述在互联网技术日新月异发展的今天,随之也为企业内网管理带来了新的问题以及挑战。

一般中大型的企业网络中均会部署防火墙、VPN、IDS/IPS、上网行为管理等安全设备,但这些安全设备只对接入网络后的终端或者流量数据进行处理,对终端接入网络准入控制及安全审查没有要求。

对此,我们可以引入宁盾NDACE准入控制引擎,借助它,我们可以仅允许合法并且受信任的终端接入网络,对不合法、不受信任的终端不予接入。

NDACE可以自动发现、识别接入网络的设备,并对其进行诸如杀毒软件、补丁更新等安全检查,然后根据制定好的条件策略下发相应的准入策略:允许接入、受限接入、拒绝接入、重定向登录认证等。

NDACE准入引擎介绍产品简介NDACE是上海宁盾信息技术有限公司面向政府、金融、互联网、制造业、医疗、教育等中大型企业单位推出的以终端安全准入为核心的解决方案。

迪普科技DPtech_DPX8000深度业务交换网关主打胶片XXXX.pptx

迪普科技DPtech_DPX8000深度业务交换网关主打胶片XXXX.pptx
应用防火墙、IPS、UAG统一审计网关、 ADX应用交付、SSL VPN、异常流量 清洗、流量分析…
DPX8000产品形态
机箱出风口 主控单板 配置1~2块
电源出风口
Page10
业务单板 配置1~10块
接口单板 配置1~10块
电源模块,最多 可配置4块
目录
IP网络的发展与挑战 DPX8000产品简介 DPX8000业务特色
•防垃圾邮件
•防漏洞攻•木击马
•负载均衡
•防网页篡改
•非法扫描•应用加速 •…
•带宽滥用
•木马
•防火墙
•VPN
网络层
•ACL
•VoIP •防火墙
•DDoS
•交换
•…
•VPN/NAT •ARP攻击…
网络产品硬件平台 •ASIC+NP
APP-X •多核 + FPGA
Crossbar+ ASIC应用产品硬件平台 •网络接口•X模8块6、ASIC、NP、多核
Page3
当前IP网络建设的趋势和挑战(二)
性能
Firewall IPS
Anti-DDoS Anti-Virus Traffic Management 功能
关键需求: •更多功能、更高性能、更低成本 •性能无衰减 •千兆到万兆线速处理能力的跨越 •高可靠性保障
•趋势:万兆、线速转发 •挑战:应用层功能增加带来的网络性能衰减
DPtech DPX8000深度业务交换网关
目录 IP网络的发展与挑战 DPX8000产品简介 DPX8000业务特色
Page1
IT发展历程
用户数量 (百万)
3,000 1,000
以网络 为中心
以服务器

DPtech自安全交换机产品彩页说明书

DPtech自安全交换机产品彩页说明书

【产品彩页互联网时代,信息系统已成为企业最重要的基础设施,并在企业的运营中扮演着日益重要的角色。

互联网、云计算等新技术帮助企业大幅提高效率,同时也带来了新的问题,核心业务系统和重要数据通过网络承载和传输,必然面临网络和信息安全问题,如何实现效率与安全并举是所有企业关注的问题,网络安全也将成为企业信息化建设的下一个热点。

传统建网理念中,企业内网与互联网相互独立,不会存在安全风险,因此在信息安全建设的过程中,企业长期关注来自于互联网和网络边界的威胁,忽视了内网安全建设。

而实际上,企业信息安全的首要威胁往往来自于内网攻击和病毒,内网安全则成为了整网的薄弱环节。

2017年5月22日,WannaCry勒索病毒在全球爆发,在内网迅速传播,致使大量企业的内网服务器感染停摆,这些企业虽然采购和部署了大量的信息安全设备,但面对层出不穷的内网攻击时仍然捉襟见肘。

勒索病毒是新形势下内网威胁的代表,它的大规模爆发恰恰说明了内网安全是现今企业信息化建设的盲点,构建一张安全内网已经势在必行。

传统的内网是一种共享型网络,终端互访不受控制,为病毒、攻击的传播提供了极大的便利,一旦发生内网安全事件,无法第一时间定位及控制攻击源,事后回溯也极其困难。

同时,传统内网终端往往采用客户端认证,而如今终端、操作系统类型不断丰富,客户端认证存在用户使用不便、管理员难维护及兼容性差的问题,实际上无法有效部署。

迪普科技针对内网安全现状,推出了DPtech自安全园区网解决方案,旨在通过轻量级的部署方式解决内网安全问题。

DPtech自安全系列交换机配合自安全控制器和自安全管理平台,可以提供无客户端认证、用户精确定位、病毒及攻击控制及用户行为回溯等特性,自安全交换机及自安全控制器和自安全管理平台联动,基于SDN架构实现用户整网策略跟随和自动化部署,实现用户轻松接入,网络管理员轻松运维。

DPtech自安全园区网解决方案专门面向园区网、办公网应用场景,可广泛应用于企业、政府、医疗卫生、教育等行业,在新形势的内网安全威胁下,采用轻量级的部署模型实现内网安全接入及安全运维。

DPtech FW1000系列防火墙系统培训胶片

DPtech FW1000系列防火墙系统培训胶片


28
组网模式及其部署——路由模式
Internet
ETH0/2 所属域:untrust,三层接口,接口类型:WAN
untrust域
ETH0/3 所属域:untrust,三层接口,接口类型:WAN
ETH0/4 所属域:DMZ,三层接口,接口类型:LAN
ETH0/7 所属域:trust,三层接口,接口类型:LAN ETH0/6 所属域:trust,三层接口,接口类型:LAN

21
硬件架构
高性能硬件架构
GE单机最大吞吐量10Gbps、并发会话数200万 业界领先的全分布式硬件架构 先进的技术实现:多核处理器+FPGA 多核处理器实现灵活的策略下发、流量整形及组件管理 FPGA实现安全业务的线速处理
22
防火墙发展阶段——代理型防火墙
代理服务器评价来自代理客户的请求并决定请求是否被认可。 如果请求被认可,代理服务器便代表客户接触真正的服务器 并且转发从代理客户到真正的服务器的请求以及真正的服务 器到代理客户的响应。
请求 代理服务器
Client
被转发的 请求
被转发的 应答
安全策略 访问控制
代理客户机 应答
控制平面 数据平面
高性能、一体 化、虚拟化的 动态基础平台
10G NP
NAT Route MAC
Multi-Core Processor
10G
CPU 1 SSL CPU ... 2 CPU 16 RAM RAM 解密
FPGA
RAM
10G
QoS
NAT
Filter Matching
RAM RAM
IPSec
Server
应用代理防火墙

交换机技术白皮书

交换机技术白皮书

交换机技术白皮书一.不同层次上的交换机首先我们对一个很普通的网络结构进行讲解,以大概描述在不同层次上的交换机应该具备的功能;1.接入型2层交换机接入型2层交换机直接接入用户的PC机,为了避免因为办公室内用户的增加而再添加2层交换机,办公室内的2层交换机最好具备16或者24个10/100M以太网接口,然后使用百兆或者千兆以太网接口与汇聚层的3层交换机进行连接;从安全上考虑,交换机、路由器并不会产生恶意的数据,为了最大限度的保护用户PC的安全,需要网络内的2层具备多种功能。

比如,如果2层交换机不支持广播速率限制功能,那么办公室内的某台PC因为出故障或者因为故意的破坏而向交换机发出大量的广播数据,那么这些数据就将会被其它PC接收到,从而会浪费其它PC大量的cpu资源而导致PC的速度严重变慢,并且会浪费2层交换机与3层交换机之间的带宽,导致其它PC机上网速度严重下降;再比如,现在网络病毒泛滥,为了保护其它PC不受感染,如果在2层交换机上使能各种ACL策略,也可以使其它PC受到保护、同时也节约了带宽;为了管理上的方便,2层交换机也应该支持可被远程管理;在有些场合,需要对接入的用户进行认证,如果接入交换机不支持认证功能,那么就需要将认证功能交给汇聚层的交换机或者更上层的设备进行,那么未被认证的用户就有可能对其它用户进行恶意的攻击;因此,2层交换机虽然性能不是很高,然而在网络中,对它的要求也是很高的,因为它可以在很大程度上保证网络的正常运行。

2.汇聚层3层以太网交换机根据网络的大小,汇聚层3层以太网交换机的数量上可能不一样,它的功能主要是完成多个子网之间数据的转发(不使用路由器而使用3层交换机的原因主要是价格以及转发性能的原因)。

需要3层交换机来进行子网间数据转发的原因是:一个LAN就是一个广播域,如果不划分多个LAN,就会导致LAN内的广播数据报过多而降低网络的性能,导致LAN内通信变得很缓慢。

从3层交换机在网络中的层次以及功能上看,3层交换机首要的任务是完成多个子网间数据的快速转发、以及3层交换机之间的数据转发。

迪普 DPtech IPS2000技术白皮书

迪普 DPtech IPS2000技术白皮书

DPtech IPS2000技术白皮书杭州迪普科技有限公司2013年8月目录一、概述 (3)二、产品简介 (3)三、产品特色技术介绍 (4)1.先进的特征提取技术 (4)1.1.协议特征形式化建模流程 (4)1.2.特征数据挖掘算法模型 (5)2.攻击防御技术 (5)2.1.基于指纹特征的检测技术 (5)2.1.1 蠕虫攻击防护 (6)2.1.2 SQL注入防护 (6)2.1.3 XSS攻击防护 (7)2.1.4 缓冲区溢出防护 (7)2.1.5 系统漏洞攻击防护 (7)2.1.6 碎片攻击防护 (7)2.1.7 未知威胁检测防护 (8)2.2.异常流量检测技术 (8)3.病毒过滤技术 (8)4.网络带宽限制技术 (10)4.1.基于用户的带宽管理 (10)4.2.基于服务的带宽管理 (10)5.网络访问控制技术 (10)6.URL过滤技术 (10)7.高可靠安全性 (11)7.1.完善的HA部署方式 (11)7.2.支持冗余电源 (12)7.3.丰富的Bypass功能 (12)一、概述随着网络的飞速发展,以蠕虫、木马、间谍软件、DDoS攻击、带宽滥用为代表的应用层攻击层出不穷。

传统的基于网络层的防护只能针对报文头进行检查和规则匹配,但目前大量应用层攻击都隐藏在正常报文中,甚至是跨越几个报文,因此仅仅分析单个报文头意义不大。

IPS正是通过对报文进行深度检测,对应用层威胁进行实时防御的安全产品。

但目前大多数IPS都是从原有的IDS平台改制而来,性能低、误报和漏报率高、可靠性差,尤其是在新应用不断增多、特征库不断增长的情况下,性能压力持续增加,只能通过减少或关闭特征库来规避。

这样的IPS不仅起不到安全防御的作用,甚至会成为网络中的故障点。

如何保证IPS在深度检测条件下仍能保证线速处理、微秒级时延?很显然,传统的基于串行设计思想的硬件和软件架构,无论是X86、ASIC或是NP,都无法承受成千上万条且在不断更新中的漏洞库,更不用说再增加病毒库、应用协议库……。

DPtech DPX8000系列BRAS业务板用户手册v2.0

DPtech DPX8000系列BRAS业务板用户手册v2.0

DPX8000系列BRAS业务板用户手册手册版本:v2.0产品版本:BRAS1000BLADE-A-S211C008D013P01声明Copyright © 2008-2016杭州迪普科技有限公司版权所有,保留一切权利。

非经本公司书面许可,任何单位和个人不得擅自摘抄、复制本书内容的部分或全部,并不得以任何形式传播。

为杭州迪普科技有限公司的商标。

对于本手册中出现的其他所有商标或注册商标,由各自的所有人拥有。

由于产品版本升级或其他原因,本手册内容有可能变更。

杭州迪普科技有限公司保留在没有任何通知或者提示的情况下对本手册的内容进行修改的权利。

本手册仅作为使用指导,杭州迪普科技有限公司尽全力在本手册中提供准确的信息,但是杭州迪普科技有限公司并不确保手册内容完全没有错误,本手册中的所有陈述、信息和建议也不构成任何明示或暗示的担保。

杭州迪普科技有限公司地址:杭州市滨江区通和路68号中财大厦6层邮编:310051网址:邮箱:support@7x24小时技术服务热线:400-6100-598约定图形界面格式约定格式意义【】带方括号“【】”表示各类界面控件名称、选项卡和数据表。

如“选择【网络管理】选项卡”。

=> 多级菜单用“=>”分隔。

如“选择【基本】=>【防火墙】=>【包过滤策略】菜单项”。

< > 带尖括号“< >”表示按钮名称,如“单击<确定>按钮”。

各类标志约定格式意义表示操作中必须注意的信息,如果忽视这类信息,可能导致数据丢失、功能失效、设备损坏或不可预知的结果。

表示对操作内容的描述进行强调和补充。

目录1产品概述................................................................................................................................................ 1-11.1概述.................................................................................................................................................... 1-11.2产品简介 ............................................................................................................................................ 1-11.3 Web管理系统介绍............................................................................................................................. 1-11.4登录WEB管理界面 ........................................................................................................................... 1-21.5常用操作介绍 ..................................................................................................................................... 1-3 2接入策略................................................................................................................................................ 2-12.1地址池配置......................................................................................................................................... 2-12.2认证服务器配置.................................................................................................................................. 2-42.3域配置................................................................................................................................................ 2-82.4免认证配置....................................................................................................................................... 2-112.5云业务配置....................................................................................................................................... 2-123 PPPoE .................................................................................................................................................. 3-13.1 PPPoE简介 ....................................................................................................................................... 3-13.2 PPPoE配置 ....................................................................................................................................... 3-13.3在线用户 ............................................................................................................................................ 3-43.4接口会话数限制.................................................................................................................................. 3-64 IPoE ...................................................................................................................................................... 4-14.1 IPoE简介........................................................................................................................................... 4-14.2 IPoE配置........................................................................................................................................... 4-24.3在线用户 ............................................................................................................................................ 4-44.4接口会话数限制.................................................................................................................................. 4-55 Portal ..................................................................................................................................................... 5-15.1 Portal简介 ......................................................................................................................................... 5-15.2 Portal配置 ......................................................................................................................................... 5-15.3在线用户 ............................................................................................................................................ 5-35.4接口会话数限制.................................................................................................................................. 5-46 802.1X ................................................................................................................................................... 6-16.1 802.1X简介 ....................................................................................................................................... 6-16.2 802.1X配置 ....................................................................................................................................... 6-16.3在线用户 ............................................................................................................................................ 6-3 Copyright © 杭州迪普科技有限公司 I7用户管理................................................................................................................................................ 7-17.1用户配置 ............................................................................................................................................ 7-18 NAT配置............................................................................................................................................... 8-18.1 NAT简介............................................................................................................................................ 8-18.2源NAT ............................................................................................................................................... 8-29 VPN配置............................................................................................................................................... 9-19.1 VPN简介 ........................................................................................................................................... 9-19.2 L2TP .................................................................................................................................................. 9-110 ALG配置 ........................................................................................................................................... 10-110.1 ALG配置........................................................................................................................................ 10-110.2 DNS ALG ....................................................................................................................................... 10-111 DDOS防护........................................................................................................................................ 11-111.1基本防护配置 ................................................................................................................................. 11-111.2 SYN Flood防护.............................................................................................................................. 11-211.3每IP新建限速防护......................................................................................................................... 11-311.4 DDoS日志配置 .............................................................................................................................. 11-4 12日志管理............................................................................................................................................ 12-112.1认证日志配置 ................................................................................................................................. 12-1 Copyright © 杭州迪普科技有限公司 II1产品概述1.1概述在当今信息化社会中,人们对网络的依赖程度越来越高。

VSM技术白皮书

VSM技术白皮书

DPtech VSM技术白皮书目录1 概述 (4)2 VSM技术介绍 (5)2.1 概念介绍 (5)2.1.1 VSM成员类别 (5)2.1.2 VSM标识 (5)2.1.3 VSM级联 (6)2.1.4 VSM通道 (6)2.2 VSM的形成 (7)2.2.1 VSM配置 (7)2.2.2 物理连接 (7)2.2.3 拓扑收集 (8)2.2.4 成员主备选举 (9)2.3 VSM管理和维护 (9)2.3.1 统一管理 (9)2.3.2 新成员设备加入 (10)2.3.3 已有成员设备离开 (11)2.3.4 分裂冲突检测 (11)2.3.5 VSM在线升级 (11)2.4 控制平面实现原理 (12)2.5 数据平面实现原理 (13)2.5.1 跨框聚合原理 (13)2.5.2 2~3层设备转发原理 (13)2.5.3 4~7层设备转发原理 (14)2.5.4 优先本框转发原理 (15)3 VSM 状态备份 (16)3.1 会话备份 (16)3.2 策略备份 (16)3.3 各种协议状态备份 (17)4 VSM组网应用 (17)1 概述随着网络规模的不断扩大,网络故障点越来越多,配置和维护的复杂度大幅增加。

为了提高网络及安全设备的可靠性,简化管理和组网,提高网络易用性,本白皮书提出了一种将多台L2~7层物理设备虚拟成一台逻辑设备来管理和使用的技术,也就是虚拟交换矩阵(Virtual Switching Matrix ,即VSM)技术。

通过VSM技术,可大大简化组网的复杂性和提高网络的可靠性,同时网络也更容易配置和维护。

本白皮书将介绍VSM实现原理及如何通过该技术实现交换机、路由器、防火墙、IPS、应用交付等L2~7层设备的虚拟化。

VSM虚拟交换矩阵相对于传统的堆叠方式具有如下几个优势:简化配置,提高带宽利用率。

VSM完全作为一台设备使用,无需使用STP等协议对链路进行阻塞,通过跨设备的链路聚合不仅能够提供链路冗余的功能,还能够支持链路负载分担,充分利用带宽。

DPtech WAF技术白皮书

DPtech WAF技术白皮书

DPtech WAF技术白皮书杭州迪普科技有限公司2013年10月目录1概述 (3)1.1Web安全现状 (3)1.2Web应用防火墙(WAF) (3)2WAF典型部署模式 (3)2.1透明模式 (3)2.2反向代理模式 (4)2.3旁路模式 (4)3全方位Web防护功能 (5)3.1参数攻击防护 (5)3.1.1SQL注入攻击防护 (5)3.1.2XSS攻击防护 (6)3.1.3命令注入防护 (6)3.1.4目录遍历攻击 (7)3.2HTTP协议攻击防护 (7)3.2.1HTTP请求正规化检查 (7)3.2.2Cookie正规化检查 (7)3.2.3Cookie加密 (7)3.3缓冲区溢出攻击防护 (8)3.4弱口令、暴力破解防护 (8)3.5应用层DDoS攻击防护 (8)3.6多种策略防护方式 (9)3.7敏感关键词过滤及服务器信息防护 (9)4网页防篡改功能 (10)4.1网页篡改防护功能 (10)4.2网站篡改恢复功能 (11)1概述1.1Web安全现状伴随着网络信息化的高速发展,Web平台渗透到各个行业及领域中,在给我们生活,生产带来便利的同时也产生了极大的风险。

目前Web业务的安全面临着两级分化极其严重的形势:一方面Web业务的易操作化,使得Web业务面向了更广泛的人群,人们大多不具备基本的网络安全意识,使得对于网络上的陷阱疏于防范,易于无意识的成为被攻击对象;另一方面,由于信息化的快速发展,网络上各种资料、工具可以极其方便的被查阅和下载,这使得各种攻击工具极易在网络上进行传播,对于攻击者要求的技术知识逐渐降低,甚至不需要任何网络和Web基础即可按照攻击软件说明对网站服务器进行攻击。

基于这种形势,近年来,国内外网站频繁受到各式攻击,Web安全现状令人堪忧。

1.2Web应用防火墙(WAF)在Web安全问题急剧增加的推动下,迪普可推出了专业的Web应用防火墙WAF3000。

WAF3000是可有效增加Web应用安全系数的产品,部署在Web应用平台前端,为Web应用平台提供了一个忠实可靠的安全护卫。

中科网威防火墙技术白皮书

中科网威防火墙技术白皮书

4.
14 产品技术特点......................................................................................................................... .........................................................................................................................14 4.1 4.2 4.3 4.4 4.5 4.6 4.7 高度可靠的自主专用硬件平台................................................................................. 14 低功耗设计.................................................................................................................14 突出的性价比............................................................................................................. 14 广泛的网络适应性..................................................................................................... 14 强大的 VPN 功能....................................................................................................... 15 优异的高可用性......................................................................................................... 15 方便高效的产品管理和维护..................................................................................... 15

DPtech FW1000-MA-N防火墙安装手册

DPtech FW1000-MA-N防火墙安装手册

DPtech FW1000-MA-N防火墙安装手册杭州迪普科技有限公司为客户提供全方位的技术支持。

通过杭州迪普科技有限公司代理商购买产品的用户,请直接与销售代理商联系;直接向杭州迪普科技有限公司购买产品的用户,可直接与公司联系。

杭州迪普科技有限公司地址:杭州市滨江区火炬大道581号三维大厦B座901室邮编:310053声明Copyright 2009杭州迪普科技有限公司版权所有,保留一切权利。

非经本公司书面许可,任何单位和个人不得擅自摘抄、复制本书内容的部分或全部,并不得以任何形式传播。

由于产品版本升级或其他原因,本手册内容有可能变更。

杭州迪普科技有限公司保留在没有任何通知或者提示的情况下对本手册的内容进行修改的权利。

本手册仅作为使用指导,杭州迪普科技有限公司尽全力在本手册中提供准确的信息,但是杭州迪普科技有限公司并不确保手册内容完全没有错误,本手册中的所有陈述、信息和建议也不构成任何明示或暗示的担保。

目录第1章产品介绍 1-11.1产品概述1-1 1.2DP TECH FW1000-MA-N产品外观 1-1 1.3产品规格1-3 1.3.1存储器1-3 1.3.2外形尺寸和重量 1-3 1.3.3固定接口和槽位数 1-4 1.3.4输入电源 1-4 1.3.5工作环境 1-4第2章安装前的准备 2-12.1通用安全注意事项 2-1 2.2检查安装场所 2-1 2.2.2温度/湿度要求 2-1 2.2.3洁净度要求 2-2 2.2.4防静电要求 2-2 2.2.5抗干扰要求 2-3 2.2.6防雷击要求 2-3 2.2.7接地要求 2-3 2.2.8布线要求 2-3 2.3安装工具2-3第3章设备安装 3-13.1安装前的确认 3-1 3.2安装流程3-2 3.3安装设备到指定位置 3-2 3.3.2安装设备到工作台 3-3 3.3.3安装设备到19英寸机柜 3-4 3.4连接接地线 3-5 3.5连接接口线缆 3-6 3.5.1连接配置口线缆 3-6 3.5.2连接网络管理口 3-63.5.3连接业务口 3-7 3.6连接电源线 3-7 3.7安装后检查 3-7第4章设备启动及软件升级 4-14.1设备启动4-1 4.1.1搭建配置环境 4-1 4.1.2设备上电 4-4 4.1.3启动过程 4-5 4.2W EB默认登录方式 4-6第5章常见问题处理 5-15.1电源系统问题故障处理 5-1 5.2设备故障处理 5-1图形目录图1-1 DPtech FW1000-MA-N前视图 1-1图1-2 DPtech FW1000-MA-N前面板指示灯 1-3图1-3 DPtech FW1000-MA-N后视图 1-3图3-1 设备安装流程 3-2 图3-2 安装设备于工作台 3-4图3-3 安装挂耳3-4图3-4 安装设备到机柜(为清晰起见省略了机柜) 3-4图3-5 固定设备3-5图3-6 连接接地线示意图 3-5图3-7 连接保护地线到接地排 3-6图3-8 电源线连接示意图 3-7图4-1 通过 Console口进行本地配置示意图 4-1图4-2 超级终端连接描述界面 4-1图4-3 超级终端连接使用串口设置 4-2图4-4 串口参数设置 4-3 图4-5 超级终端窗口 4-3 图4-6 终端类型设置 4-4 图4-7 Web网管登录页面 4-7表格目录表1-1 存储器规格1-3表1-2 外形尺寸和重量规格 1-3表1-3 固定接口规格 1-4 表1-4 输入电压1-4表1-5 工作环境1-4表2-1 机房温度/湿度要求 2-1表2-2 机房灰尘含量要求 2-2表2-3 机房有害气体限值 2-2表4-1 设置串接口属性 4-2第1章产品介绍1.1 产品概述DPtech FW1000-MA-N防火墙创新性地采用了“多业务并行处理引擎(MPE)”技术,能够满足各种网络对安全的多层防护、高性能和高可靠性的需求。

  1. 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
  2. 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
  3. 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。

DPtech NAT技术白皮书杭州迪普科技有限公司2013年8月目录1、概述32、迪普科技专业NAT技术32.1源NAT32.2目的NAT42.3一对一NAT52.4NAT stick功能52.5对称NAT62.6圆锥NAT72.7端口块NAT92.8NAT64与DS-Lite102.9Session级NAT122.10NAT会话管理与溯源122.11NAT ALG131、概述随着Internet的发展和网络应用的增多,IPv4地址枯竭已成为制约网络发展的瓶颈,尽管IPv6可以从根本上解决IPv4地址空间不足问题,但目前众多网络设备和网络应用大多是基于IPv4的。

同时对于国内各大运营商而言,随着业务的深入开展,互联网用户数也不断增多,IP地址资源已经严重匮乏,是IPv4网络发展面临的最紧迫问题。

因此在IPv6广泛应用之前,采用NAT(Network Address Translation)技术是解决这个问题最主要、最有效的技术手段。

NAT技术作为一种过渡方案,采用地址复用的方法来满足IP地址的需要,可以在一定程度上缓解IP地址空间枯竭的压力。

对于内部访问可以利用私网IP地址,如果需要与外部通信或访问外部资源,NAT网关会用一个合法的公网IP 地址替换原报文中的源IP地址,并对这种转换进行记录;之后,当报文从外网返回时,NAT网关查找原有的记录,将报文的目的地址再替换回原来的私网地址,并送回发出请求的主机。

对于一般用户而言,与普通的网络访问并没有任何的区别。

2、迪普科技专业NAT技术迪普科技NAT解决方案可支持多种NAT技术,可满足各种城域网、IDC、园区网等多种组网的需求。

2.1源地址NAT源地址NAT方式属于多对一的地址转换,它通过使用“IP地址+端口号”的形式进行转换,使多个私网用户可共用一个公网IP地址访问外网,因此是地址转换实现的主要形式,也称作NAPT。

图1源NAT方式配置截图迪普设备提供灵活的NAT复用方式,可以选择借用出接口、NAT地址池、和特定的流不做NAT功能,部署起来非常灵活,可以满足各种各样的需要。

2.2目的地址NAT出于安全考虑,大部分私网主机通常并不希望被公网用户访问。

但在某些实际应用中,需要给公网用户提供一个访问私网服务器的机会。

而在源NAT方式下,由于由公网用户发起的访问无法动态建立NAT表项,因此公网用户无法访问私网主机。

目的地址NAT(映射内部服务器)方式就可以解决这个问题——通过目的地址NAT配置“公网IP地址+端口号”与“私网IP地址+端口号”间的映射关系,NAT设备可以将公网地址“反向”转换成私网地址。

目的地址NAT方式的处理过程如下:1、在NAT设备上手工配置静态目的NAT转换表项(正反向)。

2、NAT设备收到公网侧主机发送的访问私网侧服务器的报文。

3、NAT设备根据公网侧报文的“目的IP地址+目的端口号”查找目的NAT规则表项,并依据查表结果将报文转换后向私网侧发送,并建立会话信息。

4、NAT设备收到私网侧的回应报文后,根据其五元组查找会话信息,这时刚好匹配会话的反向流信息,并依据查表结果将报文转换后向公网侧发送。

图2目的NAT配置截图2.3一对一NAT一对一NAT是高级的目的地址NAT,将内部服务器的私网IP通过静态的一对一NAT配置映射成公网IP地址。

一对一NAT就是将内部私网服务器的所有服务都进行开放,允许公网用户通过公网IP地址进行访问。

配置如下图:2.4Sticky NAT功能一个IP地址通过NAT转换设备之后建立一个转换后IP与发起方IP的映射关系,之后该IP访问任何地址经过NAT转换设备都将转换为第一映射的IP地址。

图3Sticky NAT某些视频监控客户端软件监控过程要求与多个服务器通信并要求IP和端口要一直保持一致,以及网上银行应用登陆、认证、交易都是多服务器通信要求使用相同的IP地址,如果没有Sticky NAT功能,监控业务可能异常或网银可能登录不了,迪普科技NAT设备采用IP和端口的分配分别通过不同的算法来计算,因此不会存在这个问题,这种问题主要存在于端口+IP作为资源进行离散分配的设备上。

2.5对称NAT一条流通过NAT转换设备后,将在NAT网关中建立一个映射表,在表项老化期内只有同一个设备的反向流量到达NAT网关才能匹配五元组映射表进行NAT 转换。

图4对称NAT2.6圆锥NAT一条流经过NAT设备转换,在老化期内任何IP都可以允许访问该条NAT转换后的IP及端口。

图5圆锥NAT圆锥NAT主要应用在P2P应用比较多的环境中。

由于NAT破坏了IP的端到端的网络模型,通过圆锥NAT可以弥补NAT在UDP方面的缺陷,由于目前各种UDP协议也考虑了NAT设备,因此部分后续的基于UDP协议的应用自身就可以穿越NAT设备,如QQ等。

圆锥NAT主要部署与用户对应用体验非常敏感的地方,如P2P下载,由于破坏了端到端的网络模型,如果应用不支持NAT穿越协议(STUN等协议),由公网侧发起对NAT后私网的下载报文将被NAT设备丢弃,部署圆锥NAT将改善这种情况。

圆锥NAT的公网IP及端口对,是报文匹配圆锥NAT规则,且在首次用户访问外网UDP应用时创建,其老化时间默认为30秒,如果公网用户访问其公网IP 及端口对,则将实时更新这个资源,如30秒后没有报文经过,则删除这资源对。

图6圆锥NAT配置相应的圆锥NAT还有特殊的两种:限制圆锥NAT及端口限制圆锥NAT,这两种NAT无非就是对外部设备的IP及端口进行进一步的限制,如限制圆锥NAT就是对PC的IP地址进行限制,只有PC2的所有端口才可以对这地址及端口进行访问,而端口限制圆锥NAT就是对端口进行限制,所有PC的端口只有一个,不像圆锥NAT对所有的IP及端口都没有限制。

2.7端口块NAT首先把端口范围(1025-65535,由于1-1023属于知名端口因此保留)切块,每块大小是相同的;每个地址池IP中都有port/block(端口范围/块大小)个端口块,端口块总资源=ip*port/block,每个内网IP独占一个端口块资源,内网IP数必须小于等于端口块资源数。

图7端口块NAT端口块NAT:网络设备上配置内网ip范围为addr1~addr2,外网IP地址池为addr3~addr4,块大小为n,根据ip*port/block分配方式得到端口块资源;PC1分到block1,PC2分到block2。

PC1访问PC3转换后的IP和端口一定在block1中,PC2访问PC3转换后的IP和端口一定在block2中。

此种类型的NAT主要应用于对日志溯源有很高要求,且日志溯源系统能力不强的情况下。

由于NAT日志的量很大,用户不清楚是否日志丢失,因此使用端口块分配NAT,通过端口块分配日志来替代会话日志。

如果日志系统能力足够则NAT日志不会丢失则用户的溯源是没有问题的,因此也不需要部署这种NAT。

端口块NAT配置分两种,一种为静态端口块NAT,配置端口块与IP的对应关系已经确定,总资源大小为端口范围除以端口块大小乘以公网IP数。

图8静态端口NAT配置另外一种为动态端口NAT,配置端口块时端口块总数就固定下了,每次有一个新的内网IP发起就会占用一个端口块资源,直到资源耗尽为止,每个资源没有会话引用时会释放资源,新的IP可以重新占用该资源。

图9动态端口NAT配置2.8NAT64与DS-Lite顾名思义,NAT64转换机制是指将IPv6数据报文转换为IPv4数据报文,迪普科技支持完善的NAT64转换技术。

在NAT64网络环境中,发起端的IPv6数据在NAT网关上进行NAT64处理并转发到IPv4网络中去。

图10NAT64配置截图DS-Lite(Dual Strack Lite),是一种IPv4over IPv6的隧道技术。

通过在CPE(Customer Premises EqulPment家庭网关设备)和CGN(Carrier Grade NAT 运营商级NAT)支持双栈实现IPv4到IPv6过渡技术。

由于当前IPv4地址即将耗尽,因此运营商会直接建纯IPv6网络,由于IPv4的业务用户需要持续发展,可以使用隧道+NAT技术保证IPv4的业务正常承载。

通过CPE与CGN之间建立IPv4over IPv6隧道,CPE把IPv4私网报文通过隧道发送到CGN后,由CGN进行NAT,CPE和CGN通过支持双栈完成IP承载。

图11DS-Lite原理图如上图所示,CPE给Private主机分配IPv4的私网地址,当支持IPv4协议的主机想通过IPv6网络访问IPv4网络时,可以通过DS-Lite进行地址转换。

1、当CPE收到IPv4的报文后,将会对报文增加IPv6报文头。

IPv6报文的源地址为CPE的地址,目的地址为隧道的地址,CPE将报文发往CGN设备。

2、当CGN设备收到报文后,会先去除IPv6头部,然后将IPv4报文做NAT44的转换,替换IPv4报文中的源IP和源端口,并将报文发往IPv4公网。

3、当反向报文到达CGN时,先根据IPv4的转换信息替换报文的目的IP和目的端口,根据IPv6转换信息加上IPv6的报文头后将报文发给CPE设备。

4、CPE再去除IPv6头部,将报文转发给主机。

这样就实现了IPv4私网通过IPv6公网访问IPv4公网的目的。

图12防火墙配置DS-Lite2.9Session级NATSession级NAT主要是针对NAT地址池单一地址的会话支持能力而言的。

传统的NAT技术单一地址只能使用65535个端口,而Session级NAT可提供无限制的NAT。

无限制NAT可根据五元组信息区分会话,同一端口可用于不同的会话中,实现端口复用。

Session级NAT功能通常部署在公网地址比较紧张的应用场景下。

2.10NAT会话管理与溯源无论是源NAT,还是目的NAT及一对一NAT,所有类型会话的建立包括NAT 会话都是统一由会话管理模块统一管理,各种协议下(TCP、HTTP、流媒体、P2P),对会话的建立与删除是统一进行管理的,由于会话的老化是由定时器维护的,由于应用协议的不同,各种会话的老化时间也不同,针对不同应用协议,只要不涉及ALG,此类的会话的处理都是一样的,而各类应用协议唯一不同的是会话的老化时间,其处理机制是相同的。

迪普科技可提供强大的NAT溯源能力,用于对用户行为进行追踪。

日志报文被送往设定的统一网管平台进行分析解析存储,以便于查询和检索。

记录的时间分别为NAT转换表项建立、转换表项老化以及转换表项超过一定的活跃时间,日志发送具备可靠性机制,保障在大流量前提下,能将所有会话日志进行完整记录。

2.11NAT ALG通常情况下,NAT只改变IP报文头部地址信息,而不对报文载荷进行分析,这对于普通的应用层协议(如Telnet)来说,并不会影响其业务的开展;然而有一些应用层协议,其报文载荷中可能也携带有地址或端口信息,若这些信息不能被有效转换,就可能导致问题。

相关文档
最新文档