天融信网络安全产品大全

天融信网络安全产品大全
目录
1产品功能描述 (5)
1.1防火墙 (5)
1.1.1系统概述 (5)
1.1.2功能描述 (5)
1.2入侵防御系统 (6)
1.2.1系统概述 (6)
1.2.2功能描述 (6)
1.3WEB应用防火墙 (7)
1.3.1系统概述 (7)
1.3.2功能描述 (8)
1.4漏扫扫描系统 (11)
1.4.1系统概述 (11)
1.4.2功能描述 (11)
1.5数据库审计系统 (13)
1.5.1系统概述 (13)
1.5.2功能描述 (14)
1.6负载均衡系统 (15)
1.6.1系统概述 (15)
1.6.2功能描述 (16)
2安全产品硬件规格及性能参数 (17)
2.1防火墙品目一：TG-62242 (17)
2.2防火墙品目二：TG-42218 (19)
2.3入侵防御：TI-51628 (20)
2.4WAF :TWF-72138 (21)
2.5漏扫：TSC-71528 (22)
2.6数据库审计:TA-11801-NET/DB (24)
2.7负载均衡：TopApp-81238-NLB-R (25)
2.8相关应答： (26)
3产品测试方案 (29)
3.1负载均衡系统测试方案 (29)
3.1.1测试目的 (29)
3.1.2测试内容 (29)
3.1.3测试环境 (29)
3.1.4测试用例设计 (30)
3.1.5测试结论 (46)
3.2防火墙测试方案 (46)
3.2.1测试说明 (46)
3.2.2功能要求及测试方式 (48)
3.2.3测试结果记录 (64)
3.3入侵防御系统测试方案 (66)
3.3.1测试说明 (66)
3.3.2测试环境 (66)
3.3.3攻击测试内容和方法 (69)
3.3.4WEB过滤测试内容和方法 (76)
3.3.5应用监控测试和方法 (77)
3.3.6防病毒测试内容和方法 (78)
3.3.7防火墙联动 (79)
3.3.8事件审计 (79)
3.3.9测试结果 (81)
3.4WEB应用防火墙测试方案 (82)
3.4.1测试环境 (82)
3.4.2防护能力测试 (83)
3.5漏洞扫描系统测试方案 (116)
3.5.1测试目的 (116)
3.5.2测试环境 (116)
3.5.3功能测试 (117)
3.5.4专项测试 (140)
3.5.5漏洞测试 (145)
3.5.6压力测试 (163)
3.5.7测试结论 (165)
3.6数据库审计系统测试方案 (165)
3.6.1测试目的 (165)
3.6.2数据库审计基本功能 (166)
1 产品功能描述
1.1 防火墙
1.1.1 系统概述
网络层访问控制基本的安全防护手段，通常采用路由器和防火墙等手段实现，然而防火墙相对与路由器而言，不仅仅只是提供简单的访问控制功能，同时也能够提供更为强大的连接检测、攻击检测、认证、内容过滤等更加细粒度的安全防护，所以在网络层访问控制方面通常都采用防火墙设备，通过防火墙设备定义好的安全规则来实现基本的访问控制。

防火墙是实现网络安全的重要设备，防火墙的目的是要在内部、外部两个网络之间建立一个安全控制点，通过允许、拒绝或重新定向经过防火墙的数据流，实现对进、出内部网络的服务和访问的审计和控制。

具体地说，设置防火墙的目的是隔离内部网和外部网，保护内部网络不受攻击，实现以下基本功能：
●禁止外部用户进入内部网络，访问内部资源；
●保证外部用户可以且只能访问到某些指定的公开信息；
●限制内部用户只能访问到某些特定资源，如WWW服务、FTP服务等。

1.1.2 功能描述
针对安全建设需求，建议对部署在网络内的防火墙配置如下策略：
实现访问控制：通过在防火墙上配置安全访问控制策略过滤访问行为，实现基于协议、源/目的IP地址、端口的访问控制，对来自核心服务器区边界的访问进行认证检查及内容过滤，有选择的接入。

带宽管理：启用带宽管理功能，如当某一地址或某地址段对外连接数超过一定数量或流量超过一个设定的阀值时，实现阻断或流量限制的功能；
身份认证：在防火墙上开启用户身份认证功能，利用防火墙自带数据库或
通过Radius及SecureID和 LDAP用户认证功能；
抗攻击：在防火墙上开启自动抗攻击功能，利用防火墙本身的防御功能防止DoS、端口扫描等攻击，确保网络不被外部黑客攻破；
抗蠕虫：通过防火墙的蠕虫过滤等功能保证核心服务器所承载的核心应用系统不受来自核心服务器区边界的蠕虫及网络病毒侵害，保障核心应用系统正常、高效运行；
多种手段报警：防火墙发现攻击、非法入侵、未授权访问等违反安全规则的行为，立即以多种手段（告警、日志、SNMP 陷阱等）实现违规行为的告警，并记录日志，以便查询。

日志管理：在防火墙上开启日志记录功能（建议安装单独的日志服务器），利用防火墙的日志功能记录完整日志和统计报表等资料，尤其是流量日志、访问日志、管理日志等重要信息。

1.2 入侵防御系统
1.2.1 系统概述
天融信公司的网络入侵防御系统（以下简称TopIDP产品）采用在线部署方式，能够实时检测和阻断包括溢出攻击、RPC攻击、WEBCGI攻击、拒绝服务、木马、蠕虫、系统漏洞等在内的11大类超过3500种网络攻击行为，有效保护用户网络IT服务资源，使其免受各种外部攻击侵扰。

TopIDP产品能够阻断或限制p2p下载、网络视频、网络游戏等各种网络带宽滥用行为，确保网络业务通畅。

TopIDP产品还提供了详尽的攻击事件记录、各种统计报表，并以可视化方式动态展示，实现实时的全网威胁分析。

1.2.2 功能描述
网络适应性
直连、路由、IDS监听及混合模式接入。

多端口链路聚合，支持11种负载均衡算法。

支持IPv6、MPLS、PPPoE网络。

⏹入侵防御能力
全面防御溢出攻击（BufferOverflow）、 RPC攻击（RPC）、WEBCGI攻击（WebAccess）、拒绝服务（DDOS）、木马（TrojanHorse）、蠕虫（VirusWorm）、扫描（Scan）、HTTP攻击类（HTTP）、系统漏洞类（system）。

TopIDP产品的检测引擎采用协议分析、模式识别、统计阀值和流量异常监视等综合技术手段来判断入侵行为，可以准确地发现并阻断各种网络恶意攻击。

产品采用了先进的基于目标系统的流重组检测引擎，首先对到达的TCP数据包按照其目标服务器主机的操作系统类型进行流重组，然后对重组后的完整数据进行攻击检测，从而从根源上彻底阻断了TCP流分段重叠攻击行为。

全面支持DOS/DDOS防御，通过构建统计性攻击模型和异常包攻击模型，可以全面防御SYN flood、ICMP flood、UDP flood、DNS Flood，DHCP flood、Winnuke、TcpSScan以及CC等多达几十种DOS/DDOS攻击行为；系统可以通过自学习模式，针对用户所需保护的服务器进行智能防御。

针对本地化业务系统，深度挖掘业务系统漏洞，形成防御阻断规则后直接应用于入侵防御系统，更有效保护企业信息化资产。

系统支持IPv6协议的攻击检测，完全识别IPv6封包下的攻击检测。

⏹可视化实时报表功能
实时显示按发生次数排序的攻击事件排名，使网络攻击及其威胁程度一目了然。

可以实时显示Top10攻击者、Top10被攻击者、Top10攻击事件等统计报表，更可以显示24小时连续变化的事件发生统计曲线图。

借助于可视化的实时报表功能，用户可以轻松实现全网威胁分析。

1.3 WEB应用防火墙
1.3.1 系统概述
借助互联网的发展，越来越多的医疗服务开始在互联网上提供入口，以提
高就医体验和效率，如网上挂号预约、网上缴费等服务，可以大幅提高工作效率，并提高用户体验，节约用户排队等待的时间。

医疗服务的部分内容放到互联网上，需要将相关业务应用的入口如web应用服务器放到互联网上，而WEB 服务器以其强大的计算能力、处理性能及蕴含的较高价值逐渐成为主要忘了攻击目标。

SQL注入、网页挂马等安全事件，频繁发生。

传统防火墙针对WEB的防护能力已经不能满足日益丰富的WEB应用。

Web应用防护系统（Web Application Firewall, 简称：WAF）代表了一类新兴的信息安全技术，专门用于解决Web应用安全问题。

与传统防火墙不同，WAF工作在应用层，因此对Web应用防护具有先天的技术优势。

基于对Web应用业务和逻辑的深刻理解，WAF对来自Web应用程序客户端的各类请求进行内容检测和验证，确保其安全性与合法性，对非法的请求予以实时阻断，从而对各类网站站点进行有效防护。

1.3.2 功能描述
⏹全面的攻击防御能力
WAF产品提供传统的基于规则的检测和主动防御两个引擎。

基于规则的保护是信息安全产品最主流的防护方法，虽然对于未知攻击和0day攻击缺少防护能力，但是对于大量的已知攻击可以提供精确的、细致的防护。

WAF产品提供了精细的防护规则包括：
●跨站脚本攻击
●扫描器防护
●SQL注入攻击
●操作系统命令注入
●远程文件包含攻击
●本地文件包含攻击
●目录遍历
●信息泄漏
●WebShell检测
●HTTP协议异常
●HTTP协议违规
●其他类型的攻击
除了基于规则的检测方法， WAF产品还应具备基于自学习建模的主动防御引擎。

对于URI和POST表单，WAF产品的主动防御引擎都可以学习到其参数的个数，以及每一个参数的类型和长度。

在学习一段时间之后（通常是一到两周），WAF产品可以建立目标服务器所有动态页面的正向模型。

在应用主动防御策略的条件下，所有不符合正向模型的参数都会被阻断，可有效的防御未知威胁和0day攻击。

⏹有效的缓解拒绝服务攻击
WAF产品整合了DDoS防御能力，采用分层的立体防御和业界领先的源信誉检测机制，可以有效的缓解syn flood攻击、CC攻击、slowheader、slowpost 等拒绝服务攻击。

WAF产品首先识别明显的攻击源，比如单个源流量明显异常，通过源限速模块把所有可能的攻击源的流量限制在某一个范围之内。

第二步也是整个DDoS 防御的核心：源信誉检测机制，该机制可以有效的把正常流量和攻击工具生成的攻击流量区分开来，阻断攻击流量，放行正常流量。

最后一步，当所有的正常流量的总和仍然超过了目标服务器的处理能力，为了保证服务器正常工作，通过目的限速模块把放行到服务器的流量限制在服务器处理能力之内。

通过这种分层的防御机制，使服务器不间断的对外提供服务，保障了业务的连续性。

⏹灵活的部署模式
WAF产品具有在线串接、旁路检测和服务器负载均衡三种工作模式。

在线串接部署虽然对用户网络有一定的侵入性，但WAF产品的高可靠性设计极大的缓解了这一影响。

在线串接的一个显著好处是可以实现非常可靠的攻击阻断能力。

而旁路检测完全没有侵入性，对用户的网络环境不造成任何影响，但旁路检测没有提供攻击阻断的能力。

在多个服务器对外提供相同服务的环境里面，WAF产品可以作为负载均衡器工作，并且提供了灵活的会话调度的能力和服务器状态检查能力。

在线串接部署时，WAF产品提供了多种网络层的接入方式，比如虚拟线、交换、路由。

虚拟线方式使WAF产品像一根虚拟的网线一样接入用户网络，是最简单最便捷的方式。

交换模式同时支持access、trunk两种方式，路由模式支持静态路由和策略路由，也就是说在用户预算受限时WAF产品可以在检测攻击的同时，充当交换机或者路由器。

⏹全64位ipv6支持
WAF产品的管理平面和数据平面均为全64位系统，具备原生ipv4/ipv6双栈处理能力，不仅能够在纯ipv6网络环境中部署和检测攻击，还能够在
ipv4/ipv6混合网络环境中部署和检测攻击行为。

全64位系统在处理ipv4和ipv6地址相关操作时具有相同的处理效率，所以WAF产品在ipv6网络环境中具有与在ipv4网络环境中一样的性能。

WAF产品中处理的所有ip地址均支持ipv4和ipv6地址，所有应用层攻击无论来自ipv4网络还是ipv6网络均采用统一处理流程，使得各种应用层攻击都无所遁形。

WAF产品还支持配置ipv6地址的主机管理、ipv6 SNMP网管以及支持ipv6的日志服务器等增强功能。

⏹高可用性
WAF产品应采用双引擎设计，主检测引擎和影子检测引擎不仅功能完全相同，且均处于运行态，即只要有数据报文传送就可以进行攻击检测。

不同的是，正常情况下，数据流只上送到主检测引擎，影子检测引擎没有数据可以处理，相当于处于“待命”状态。

一旦主检测引擎出现故障无法处理数据报文，平台底层负责数据流分发的模块会及时将数据流切换到影子检测引擎，由于影子检测引擎处于准工作的“待命”状态，此时会即刻开始数据报文的检测工作，从而确保整个检测引擎的不间断工作，大幅提高了检测业务的可靠性。

WAF产品支持硬件bypass功能，可以串行接入用户网络环境，在设备升级维护等需要重新启动过程中确保用户网络通畅。

WAF产品支持主主、主备方式的双机热备功能，可以实现链路的高可用性
1.4 漏扫扫描系统
1.4.1 系统概述
网络系统的安全性取决于网络系统中最薄弱的环节,然而策略的制订和实施在实际应用中相差甚远,网络系统的安全性是一个动态的过程,系统配置的不断更改,攻击技术的不断提高,网络系统的安全系数也会不断的变化,如何及时发现网络系统中最薄弱环节?如果最大限度地保证网络系统的安全?最有效的方式就是定期对网络系统进行安全性分析并及时发现并查找漏洞并进行修改。

因此需要建立一套漏扫主动发现的手段完善企业网络安全。

漏洞扫描系统即是漏洞发现与评估系的统，作用是模拟扫描攻击，通过对系统漏洞、服务后门等攻击手段多年的研究积累，总结出了智能主机服务发现，可以通过智能遍历规则库和多种扫描选项的组合手段，深入检测出系统中存在的漏洞和弱点，最后根据扫描结果，提供测试用例来辅助验证漏洞的准确性，同时提供整改方法和建议，帮助管理员修补漏洞，全面提升整体安全性。

1.4.2 功能描述
漏洞扫描管理设计
扫描管理
漏洞扫描一般采用渐进式扫描分析方法，融合操作系统指纹识别、智能端口服务识别等技术，能够准确识别被扫描对象的各种信息，发现其弱点和漏洞，并提出安全解决建议。

任务管理中心为用户扫描操作提供了方便，可以使用默认扫描策略也可以使用自定义扫描策略，来创建任务扫描计划，创建扫描任务时也可调整执行方式，建立定时任务、周期任务、标准任务等，从而具体针对性的进行脆弱性扫描。

安全域管理
系统运用预探测、渐进式、多线程的扫描技术，全面、快速、准确的发现
被扫描网络中的存活主机，准确识别其属性，包括主机名称、主机地址、操作系统等。

策略管理
系统包含多个策略模板，全策略模板的漏洞库涵盖目前的安全漏洞和攻击特征，具备至少CVE、CNNVD、CNCVE、CNVD、BUGTRAQ 等标准，系统还支持自定义策略模板，为用户扫描操作变得更加灵活。

报表管理
报表管理可以将扫描的结果生成在线或离线报表，也可以根据不同的用户角色生成报表，并对扫描结果进行细致全面的分析，并以图、表、文字说明等多种形式进行展现，并以Html、PDF、Word、Excel等格式进行导出。

⏹系统漏洞检测
漏洞扫描系统可以针对各种系统、设备及应用进行漏洞发现，至少包括如下信息：
网络主机：服务器、客户机、网络打印机等；
操作系统：Microsoft Windows 9X/NT/2000/XP/2003、Sun Solaris、HP Unix、IBM AIX、IRIX、Linux、BSD等；
网络设备：Cisco、3Com、Checkpoint等主流厂商网络设备；
应用系统：数据库、Web、FTP、电子邮件等。

⏹数据库漏洞检测
数据库漏洞扫描应当可以针对当下主流的数据库，如Oracle、MySQL、DB2、PostgreSQL、Sybase、SQL Server等进行漏洞检测，包括对数据库系统的各项设置、数据库系统软件本身已知漏洞、数据库系统完整性进行检查和对数据库系统的整体安全性做出评估，并给出提高数据库安全性的修复建议。

⏹丰富的漏洞库
系统包含CNNVD认证的系统漏洞库；并且覆盖当前网络环境中重要的，主流的系统和数据库等漏洞，并且能够根据网络环境的变化及时调整更新，确保漏洞识别的全面性和时效性。

用户除了可以使用软件默认提供的检测库外，也可以添加自定义的规则
库，并具备规则库的转换和合并等功能。

⏹强有力的扫描效率
综合运用预探测、渐进式、多线程的扫描技术，能够快速发现目标网络中的存活主机，然后根据渐进式探测结果选择适合的扫描策略，启动多个线程进行并发扫描，从而保证了扫描任务可以迅速完成。

⏹准确的漏洞识别率
采用渐进式扫描分析方法，融合最新的操作系统指纹识别、智能端口服务识别等技术，能够准确识别被扫描对象的各种信息，如操作系统、网络名、用户信息、非常规端口上开放的服务等。

⏹多样化的结果报表呈现
生成面向多个用户角色的客户化报表，并以图、表、文字说明等多种形式进行展现，同时支持以HTML、EXCEL、WORD、PDF等多种格式导出结果报表。

1.5 数据库审计系统
1.5.1 系统概述
数据库安全审计是整个数据库系统安全的有机组成部分，完善的数据库安全审计系统结合有效的审计制度，能够有效地避免内部人员进行数据库破坏活动，对外部攻击者的行为也能够及时发现，避免因数据库内容泄露或破坏造成企业损失。

数据库审计系统主要的功能模块包括“静态审计、实时监控与风险控制、实时审计、双向审计、细粒度审计规则、精准的行为检索、三层关联审计、完备的审计报表、安全事件回放、审计对象管理、多形式的预警机制”几个部分。

其中：
●风险趋势管理：通过基线创建生成数据库结构的指纹文件，通过基
线扫描发现数据库结构的变化，从而实现基于基线的风险趋势分
析；
●弱点检测与弱点分析：根据内置自动更新的弱点规则完成对数据库
配置信息的安全检测及数据库对象的安全检测；
●弱口令检测：依据内嵌的弱口令字典完成对口令强弱的检测；
●补丁检测：根据补丁信息库及被扫描数据库的当前配置，完成补丁
安装检测
●存储过程检测：根据内嵌的安全规则，对存储过程进行安全检测，
如：是否存在SQL注入漏洞；
●项目管理：按项目方式对扫描任务进行增/删/改管理；
●报表管理：提供扫描报告的存储、查看、多文件格式导入/导出功
能；
系统管理：提供鉴权管理、许可管理、日志管理、升级管理及自身完整性检测；
1.6 负载均衡系统
1.6.1 系统概述
随着云计算、虚拟化等技术的兴起，用户对负载均衡设备提供了更高的要求，负载均衡还要负担应用的优化加速、安全等功能，来提高用户体验，适应各种复杂的场景，比如适配数据中心，对数据中心的虚拟机进行管理等。

用户希望简化部署方式，根据应用所需性能增加或者减少服务器，增加数据中心的利用率，减少运营成本。

应用交付是负载均衡、广域网优化、WEB防火墙等技术的融合，通过这些技术来保证用户关键业务应用能可靠、安全的交付到用户手中。

天融信负载均衡设备能为用户提供数据中心的全套解决方案，包括单数据中心的链路负载均衡和服务器负载均衡、以及多数据中心的全局负载均衡。

支持直连、单臂透明、单臂反向、三角等组网模式，丰富的负载均衡方法，能适用各种场景下的服务负载均衡需求。

通过压缩、缓存、SSL卸载、HTTP优化等技术加
速应用的处理，提供全方位防DDOS攻击、WEB应用防火墙等安全防护，为应用安全保驾护航，丰富的统计数据、定制化的报表，用户能实时了解应用运行状态。

通过全方位的负载均衡，增加了数据中心的服务器和网络的利用率，增加了应用的安全性和可靠性，从而减少了用户服务器成本和网络运维成本。

1.6.2 功能描述
⏹页面加速
通过自动修改HTML页面及其引用的资源如CSS、JavaScript、图片的内容，利用精简、合并、嵌入原始文件内容，转换图片格式等手段来减少HTTP请求，从而加快整个页面的响应速度，最终提升用户体验
⏹丰富的服务器负载均衡算法
TopAD设备支持的负载均衡算法种类达到13种，这些高效实用的负载均衡算法，能够让用户根据实际的应用场景，选择最佳的负载均衡算法，从而合理分担各个服务器的负载，提高服务器的有效利用率。

⏹丰富的链路负载均衡算法
Round Robin
按照轮询的方式返回虚拟服务映射中配置的链路,返回链路的个数由虚拟服务映射的配置决定。

最终所有链路的返回次数相等。

轮询算法的特点是简单、稳定、效率高。

⏹DNS代理
TopAD对于内网用户的OUTBOUND流量，采用了DNS代理技术做负载均衡，将用户的DNS请求按照用户指定的负载均衡算法选择链路发送出去，用户配置的DNS透明代理服务器（一主一备，支持健康检查，可将请求发送给状态正常的DNS服务器）进行解析，然后将解析结果返回给客户端，客户端会根据返回的解析结果发起应用流量请求。

DNS代理支持DNS缓存，减少用户DNS 开销。

⏹应用路由
应用路由是为了满足特定的出口流量调度到指定的链路，实现特定流量分离，目前支持根据源地址范围、源端口范围、协议类型、拓扑区域、具体应用的条件
分别调度，并支持引用多个应用规则，应用规则从上到下匹配，当所有规则都无法匹配的时候会跳出应用路由，在outbound对象默认策略中选路。

⏹多维度数据统计
从多个维度对负载均衡设备各个业务模块进行数据统计。

统计对象多样化，包括接口、会话、链路、虚拟服务器、服务器节点等。

统计内容多样化，包含流量、连接数、报文数、健康检查状态、访问次数、服务分布、带宽利用率、故障分析、性能分析等，各个业务模块还有自己特定的统计数据。

内容分析多样化，每个统计内容又包含了多个维度的分析，包括趋势分析、占比分析、排行分析、服务分布、故障分类、故障分布、性能分析、模块统计、地域分析、URL分析、IP分析等。

⏹定制化报表
报表可定制化，可自定义报表模板。

报表模板包括负载统计、决策分析、故障分析、前言后记等几大块内容。

负载统计又包括链路负载、虚拟服务器负载、服务器节点负载等；决策分析又包括来源、地域、运营商分析等；故障分析又包括链路和服务器节点故障分析。

每种统计又细分为多个维度的统计选项，比如流量走势、总流量占比、报文数走势、报文数排、访问次数占比、带宽利用率走势、服务分布、IP数量地域分析、访问次数地域分析，流量地域分析，IP数量的运营商分析、访问次数运营商分析、流量的运营商分析、来源分析等，可以根据需要配置不同的报表模板。

可以引用不同的报表模板并按照时间每天、周、月自动生成报表。

2 安全产品硬件规格及性能参数
2.1 防火墙品目一：TG-62242
2.2 防火墙品目二：TG-42218。