华为安全接入网关技术白皮书
华为SVN
安全接入网关技术白皮书
华为技术有限公司
版权所有? 华为技术有限公司2014。保留一切权利。
非经本公司书面许可,任何单位和个人不得擅自摘抄、复制本文档内容的部分或全部,并不得以任何形式传播。
商标声明
和其他华为商标均为华为技术有限公司的商标。
本文档提及的其他所有商标或注册商标,由各自的所有人拥有。
注意
您购买的产品、服务或特性等应受华为公司商业合同和条款的约束,本文档中描述的全部或部分产品、服务或特性可能不在您的购买或使用范围之内。除非合同另有约定,华为公司对本文档内容不做任何明示或默示的声明或保证。
由于产品版本升级或其他原因,本文档内容会不定期进行更新。除非另有约定,本文档仅作为使用指导,本文档中的所有陈述、信息和建议不构成任何明示或暗示的担保。
华为技术有限公司
地址:深圳市龙岗区坂田华为总部办公楼邮编:518129
网址:
客户服务邮箱:support@
客户服务电话:4008302118
目录
1概述 (5)
1.1企业网络的新挑战 (5)
1.2传统VPN解决方案 (5)
1.3 SSL VPN解决方案 (7)
1.4华为一体化VPN解决方案 (8)
2 SVN安全接入网关的特点 (9)
2.1灵活的部署方式 (9)
2.2丰富的远程安全接入功能 (11)
2.2.1 Web代理 (11)
2.2.2文件共享 (12)
2.2.3端口转发 (12)
2.2.4网络扩展 (13)
2.2.5隧道定制开发 (14)
2.3强大的安全云网关功能 (14)
2.3.1桌面云网关 (15)
2.3.2负载均衡网关 (16)
2.4整体安全防护特性 (18)
2.4.1传输数据加密 (18)
2.4.2用户身份认证 (19)
2.4.3接入终端安全 (22)
2.4.4专业的防火墙防护 (23)
2.4.5网关设备安全防护 (27)
2.4.6灵活的资源授权 (27)
2.4.7细粒度的访问控制 (28)
2.4.8防暴力破解机制 (29)
2.4.9日志与审计 (29)
2.5完备的IPv6技术 (30)
2.5.1 IPv6基本功能 (31)
2.5.2 IPv4/IPv6解决方案 (31)
2.5.3 IPv6路由技术 (32)
2.6高可靠性 (32)
2.6.1可靠的硬件平台 (32)
2.6.2健壮的软件体系 (35)
2.6.3双机备份技术 (35)
2.6.4链路备份技术 (36)
2.6.5华为SVN可靠性技术优势 (36)
2.7优秀的组网适应能力 (37)
2.7.1一体化VPN网关 (37)
2.7.2高密度的端口支持 (37)
2.7.3丰富的路由协议和路由管理 (38)
2.7.4多线路智能选路 (38)
2.7.5敏捷园区配套 (40)
2.8完善的维护管理系统 (41)
2.8.1丰富的维护管理手段 (41)
2.8.2基于SNMP的终端系统管理 (41)
2.8.3 WEB管理 (41)
2.9领先的虚拟网关技术 (42)
2.10典型组网 (43)
2.10.1 SVN用于企业网络 (43)
2.10.2 SVN用于电信BOSS系统 (46)
2.10.3 SVN用于政府及事业单位 (48)
2.10.4 SVN用于桌面云解决方案 (49)
3附录A (50)
3.1 SVN特性列表 (50)
4附录B: 缩略语 (54)
1 概述
随着现代企业信息网络的不断发展以及智能终端的广泛应用,远程安全访问/移动办公的需求也呈现出迅猛的增长态势。如何实现安全、可控、随时随地可建立的远程接入,成为越来越多的企业所面临的一个重大问题。
1.1 企业网络的新挑战
随着当今网络业务的迅速发展,企业必须扩展其内网OA、ERP、CRM、SCM等应用服务资源和数据资源的访问领域,以满足越来越多的远程接入需求,比如分支机构接入、合作伙伴接入、客户接入、出差员工接入、移动办公接入、居家办公接入等等。接入的网络环境也越来越复杂,除了受管理的分支机构网络以及合作伙伴的网络接入之外,还需要考虑从分散的、未受有效管理的家庭网络以及公共WiFi、3G网络接入;使用的接入设备类型也越来越丰富,除了传统的固定接入终端(包括PC和便携机)外,智能终端设备接入企业网络的需求也逐步增强;另外一方面,云计算的兴起,使得企业的资源进一步集中化,基于云计算的桌面云解决方案能让企业用户在任何有网络的地方通过TC/SC访问使用云主机。
为了提供快速及时的商务能力,企业必须确保处于各种复杂的网络环境以及使用不同接入终端的合法用户,能够快速方便的安全地接入内网或是访问桌面云服务,同时还必须确保企业内网的安全性。
1.2 传统VPN解决方案
传统的VPN解决方案主要有PPTP/L2TP、MPLS VPN、IPSec等几种,它们具备各自的
特点,应用于不同的场景。
L2TP是一个国际标准隧道协议,它结合了PPTP和第二层L2F协议的优点。L2TP VPN 本身并没有提供加密功能,严格的说,不能称为是安全的VPN。另外,由于运行在UDP上而不是TCP上,通信的可靠性难以保证。
MPLS是一种在开放的通信网上,利用标签引导数据高速、高效传输的技术。其安全性相当于帧中继或者是ATM虚拟电路的安全性。由于数据传输仍然是明文,MPLS VPN不能解决传输的机密性和数据完整性问题。另外,MPLS VPN主要在骨干网上通过标记交换区分IP通道,达到逻辑上通道专用的目的,MPLS VPN更适合于企业互联和内网扩展。
IPSec(IP Security)是一组开放协议的总称,特定的通信方之间在IP层通过加密与数据源验证,以保证数据包在Internet网上传输时的私有性、完整性和真实性。
IPSec协议有两种工作模式:隧道模式和传输模式。在隧道模式下,IPSec将整个原始IP 数据包放入一个新的IP数据包中,这样每一个IP数据包都有两个IP包头:外部IP包头和内部IP包头。外部IP包头指定将对IP数据包进行IPSec处理的目的地址,内部IP包头指定原始IP 数据包最终的目的地址。IP包的源地址和目的地址都被隐藏起来,使IP包能安全地在网上传送。其最大优点在于终端系统不必为了适应IP安全而作任何改动。隧道模式既可以用于两个主机之间的IP通信,又可以用于两个安全网关之间或一个主机与一个安全网关之间的IP通信。
在传输模式下,要保护的内容是IP包的载荷,在IP包头之后和传输层数据字段之前插入IPSec包头(AH或ESP或二者同时),原始的IP包头未作任何修改,只对包中的净荷(数据)部分进行加密。由于传输模式的IP包头暴露在外,因而容易遭到攻击。传输模式常用于两个终端节点间的连接,如客户机和服务器之间。
IPSec定义了一套用于认证、保护私有性和完整性的标准协议。它支持一系列加密算法
如DES、3DES;检查传输数据包的完整性,以确保数据没有被修改。IPSec可用来在多个防火墙和服务器之间提供安全性,确保运行在TCP/IP协议上的VPN之间的互操作性。
IPSec VPN适用于site-to-site的远程连接方式,但它是基于网络层的,在穿越NAT和防火墙时会遇到困难。
1.3 SSL VPN解决方案
SSL VPN是以SSL/TLS协议为基础,利用标准浏览器都内置支持SSL/TLS的优势,对其应用功能进行扩展的新型VPN。
SSL协议分为两层,上层是握手协议,底层是记录协议。SSL握手协议主要完成客户端与服务器之间的相互认证,协商加密算法与密钥。在握手协议中,认证可以是双向的,协商密钥的过程是可靠的,协商得到的密钥是安全的。SSL记录协议建立在可靠的传输协议之上,主要完成数据的加密和鉴别。通过对称密码算法确保了数据传输的机密性,通过HMAC算法确保数据传输过程的完整性。
由此可见,SSL协议从以下方面确保了数据通信的安全:
认证-在建立SSL连接之前,客户端和服务器之间需要进行认证,认证采用数字证书,可以是客户端对服务器的认证,也可以是双方进行双向认证。
机密性-采用加密算法对需要传输的数据进行加密。
完整性-采用数据鉴别算法验证所接收的数据在传输过程中是否被修改。
除了web访问、TCP/UDP应用之外,SSL VPN还能够对IP通信进行保护。在保证通信安全性的基础上,SSL VPN实现了更加细致的访问控制能力,大大增强了对内网的安全保护。同时,SSL VPN通信基于标准TCP/IP,因而不受NAT限制,能够穿越防火墙,使用户在任何地方都能够通过SSL VPN网关代理访问内网资源,使得远程安全接入更加灵活简单。
另外,使用SSL VPN访问B/S应用时不需要安装任何客户端软件,只要用标准的浏览器就可以实现对内网Web资源的访问,省去了客户端的繁琐的维护和支持工作,不仅极大地解放了IT管理员的时间和精力,更提高了远程接入人员(如出差员工)的工作效率,节省了企业的培训和IT服务费用;同时,也意味着远程用户在进行远程访问时不会再受到地域的限制,不论是在公共网吧或是在商业合作伙伴那里,甚至是随手借一台笔记本,只要有网络,远程访问就没问题。
SSL VPN以其独特的技术优势,给出了理想的point-to-site安全接入解决方案,受到越来越多IT管理者和企业的关注。
1.4 华为一体化VPN解决方案
SSL VPN并不能完全取代IPSec VPN,这两种技术目前应用在不同的领域,是可以进行互补的。SSL VPN适用于point-to-site的接入场景,是应用在点对网络的接入模式;而IPSec VPN是在两个网络节点之间安全互联,保护的是网对网之间的通信。所以华为推出的SVN 安全接入网关实现了这两种主流的VPN技术,客户可根据实际的业务需求选择更适用的VPN技术来满足安全接入需求。
SVN V200R003系列安全接入网关是华为公司面向运营商、企业、政府、行业推出的优秀的SSL/IPSec一体化VPN网关设备。部署SVN安全接入网关,无需改变网络结构,可以直接单臂挂接到出入口防火墙或者路由器、交换机上,简单快捷。移动办公时,用户终端无需安装任何客户端软件,只需标准的Web浏览器即可对企业内网资源进行安全访问。在两个固定网络间进行通信时,能够通过SVN在两个网络间建立IPSec安全隧道,实现总部与分部网络之间的安全稳定互连。SVN V200R003系列安全接入网关基于华为专业的高可靠硬件平台和专用的实时操作系统,具备业界领先的系统性能、安全性和可靠性,为企业员工、
分支机构、客户和合作伙伴访问内网资源提供灵活便捷、安全可控的端到端解决方案。
目前该系列产品分两种型号共七款产品:
安全接入型号:SVN5630、SVN5660、SVN5830、SVN5850、SVN5860、SVN5880。应用于远程办公安全接入场景,提供丰富的远程接入功能和高性能的SSL加解密能力。
桌面云型号:SVN5880-C。应用于桌面云解决方案,提供高性能的负载均衡和云协议代理处理能力。
2 SVN安全接入网关的特点
2.1 灵活的部署方式
SVN V200R003系列安全接入网关组网方式灵活,部署简单,一般位于网络出入口防火墙之后,既可以单臂挂接在出入口防火墙或者交换机上,也可以双臂挂接在防火墙和交换机之间,不改变原有的网络拓扑结构。
图1SVN单臂组网方式
图2SVN双臂组网方式
图3双机热备组网方式
SVN V200R003安全接入网关支持IPSEC VPN功能,可以与Eudemon、USG系列的安全网关或者两台SVN之间建立Site-to-Site的IPSEC VPN安全链接,移动用户通过SSL VPN 方式远程访问内部资源。
图4SSL/IPSec VPN组网
2.2 丰富的远程安全接入功能
远程用户可通过SVN产品提供的web代理技术在多种终端类型上使用标准浏览器随时随地的安全访问内网的web服务器。除了提供web代理技术外,SVN产品还提供其他各种全面的业务资源访问能力,包括对内网C/S服务器、多媒体资源服务器、基于IPv4的资源服务器的访问。
随着各种应用的丰富,通用的SSLVPN产品有时无法满足用户的定制化需求。SVN产品可提供一套客户端编程组件,通过将客户端组件和用户的应用软件进行集成(或基于该编程组件开发新的用户应用),一方面可以保证用户应用软件的业务灵活性,另一方面也可以提供SSL安全能力。
SVN V200R003系列产品中应用于远程安全接入场景的型号:SVN5630、SVN5660、SVN5830、SVN5850、SVN5860、SVN5880。
2.2.1 Web代理
远端用户通过浏览器对内网页面发起请求,SVN接收这一请求转发给内网服务器,并将服务器的响应以网页形式回传给用户。网页信息在公网传输的过程,经过SSL加密隧道,
确保了将内网WEB资源安全、真实地反映给远程用户。
针对内网的web访问,SVN产品可提供单点登录功能。用户登录SVN产品后访问内网的web资源,SVN产品可以使用配置在该用户上的单点登录账号或者配置在该web资源上的单点登录账号或者该用户的SVN网关登录账号进行自动登录,如果登录成功则用户无需在访问web资源时再次输入账号信息。
Web代理功能可以在多种终端系统上使用,包括Android、iOS(iPhone/iPad)、Linux、Symbian、Blackberry、Windows系列(2000/xp/2003/2008/vista/win7)、MacOS。
2.2.2 文件共享
通过将内网文件系统Web化,使用户直接通过浏览器就能在内网文件系统上创建和浏览目录,进行下载、上传、改名、删除等文件操作,就像对本机文件系统进行操作一样方便安全。SVN安全接入网关通过支持SMB/CIFS协议和NFS协议,实现了用户对Windows文件系统和Linux文件系统的安全远程访问。
2.2.3 端口转发
采用SSL协议对TCP应用进行保护,并且对TCP应用进行访问控制。通过在客户端安装控件拦截待转发的TCP服务,并且将数据流经SSL协议加密传送给SVN安全接入网关,由SVN安全接入网关解密并解析后传送给相应的应用服务器,从而确保了应用的安全。通过控制应用服务端口,完成对应用的访问控制。SVN安全接入网关能够充分支持多种端口转发应用服务,包括单端口单服务器应用,如MS RDP、Telnet、SSH、VNC等;单端口多服务器应用,如:Notes;多端口应用,如Email,以及动态端口应用:FTP、Oracle。
2.2.4 网络扩展
有两种方式实现企业内网的逻辑扩展,一种是基于SSL的3层VPN(以下简称SSL
L3VPN),另外一种是基于IPSec的3层VPN(以下简称IPSec L3VPN)。
2.2.4.1 SSL L3 VPN
SSL L3 VPN功能也是基于SSL协议进行的功能扩展,这一功能实现了对所有IP应用的支持,用户远程访问内网资源就像访问局域网一样方便,这一功能与IPSec VPN相当。实现SSL L3 VPN功能可以通过在客户端安装虚拟网卡实现,虚拟网卡截获原始IP报文,经过SSL协议封装,然后转发至SVN安全接入网关。SVN安全接入网关的SSL L3 VPN功能又可以分成全通道方式、分离通道方式和手动方式,全通道方式是指在用户启动全网访问功能时,虚拟网卡截获所有的IP报文,并转发给SVN安全接入网关,这样,用户只与SVN安全接入网关建立网络连接,只能对内网进行访问。在分离通道模式下,用户不仅能够经过SSL VPN网关安全远程访问内网,同时也可以访问本地子网。采用手动模式时,用户不仅能访问企业内网的特定资源、本地子网,还能访问公网的各种资源。
2.2.4.2 IPSec L3 VPN
SVN产品除了能够提供基于SSL协议的L3VPN客户端接入功能外,还能够提供标准的L2TP over IPSec 客户端接入方式。
SVN产品支持标准的L2TP over IPSec客户端接入,用户可以使用各种标准的IPSec客户端软件接入SVN产品。该功能对于Symbian、iOS、Android、BlackBerry等智能终端的远程接入特别有意义,用户可以使用智能终端上内置的VPN软件接入SVN网关,实现与内网的互通。
2.2.4.3 SSL L3VPN和IPSec L3 VPN的比较
IPSec和SSL L3VPN都能够为网络层的应用和资源提供远程接入能力,但两种实现方式针对具体的需求和场景具有各自的优势。
SSL L3VPN 可以在任何具有Internet访问权限的地方提供远程接入能力,可以通过web浏览器自动下载安装所需的客户端,因此不需要预先在接入终端上安装客户端软件。SSL L3VPN的客户端可以自动下载和升级,因此减少桌面软件的维护成本。另外SSL L3VPN 可以针对用户提供定制化的web portal页面。
IPSec L3VPN是一种成熟的、被广泛使用的VPN实现方式,对于已经习惯使用IPSec VPN的客户,使用IPSec L3VPN可以保护已有的网络部署以及现有的业务流程。IPSec
L3VPN需要预先在接入终端上安装客户端软件,并且相比较而言IPSec L3VPN客户端的配置相对复杂。
2.2.5 隧道定制开发
隧道定制功能是SVN产品为多媒体业务开发的一种功能,因此也称为多媒体隧道功能。SVN产品开发的隧道定制功能,通过提供客户端软件组件,由多媒体业务客户端将该SVN 软件组件集成后,可以为多媒体客户端软件提供SSL安全加密功能,并且由于SSL隧道在穿越NAT、防火墙方面天然具有的优势,隧道定制功能也可以解决多媒体业务在实际部署时经常遇到的私网穿越问题。
2.3 强大的安全云网关功能
经过多年的市场培育,目前云计算的商用正在快速发展,而在已经商用的云计算项目中桌面云应用所占的比例较大。为了解决桌面云应用中TC或者SC访问云端虚拟机的数据传输
安全,SVN网关可提供WI服务访问负载均衡功能和桌面云协议代理功能。
SVN V200R003系列产品中应用于桌面云场景的型号:SVN5880-C。
2.3.1 桌面云网关
部署SVN前,桌面云客户端(TC或者SC)与云端虚拟机之间通过桌面云协议直连,一方面数据传输的安全性得不到保障,另外也暴露了云中心的内部结构,进一步加大了云中心的安全风险。
要有效而安全地使用桌面云应用,需要在企业云中心的网络边界设立一扇“门”(云网关) ,对外只暴露该“门”而无法看到“门”后的情况。即所有访问云中心的服务只能通过企业对外提供的云网关地址,且必须是通过安全的隧道,这就为企业IT部门提供一个单一的控制点,来控制用户可以如何安全有效地使用桌面云服务,大大简化了用户的部署配置,同时也对外部隐蔽了内部结构。
部署SVN作为云网关后,桌面云协议层的数据在传输链路上分为两段,依次为TC/SC 和SVN之间,以及SVN和云端虚拟机之间。当桌面云协议层的数据在TC/SC和SVN之间传递时,桌面云协议的数据可承载在SSL隧道之上,经过SSL协议进行传输加密;当桌面云协议层的数据在SVN和云端虚拟机之间传输时,仍承载在TCP连接上。SVN云网关支持如下云协议:
?支持ICA\CGP协议
?支持HDP协议
?支持VNC协议
2.3.2 负载均衡网关
SVN产品提供SSL负载均衡功能,可以在云端的Web服务器(实服务器)群前部署SVN 网关,通过配置,可以将web服务器群虚拟化成一个web服务器向用户提供服务。用户通过HTTPS协议访问虚拟Web服务器时,HTTPS协议涉及的SSL加解密操作可以在SVN网关上完成,然后SVN网关按照负载均衡算法在web服务器群中选择一个web服务器响应用户的HTTPS访问。
负载均衡网关通过将SSL加解密操作从原本Web上执行转移至SVN网关上执行,降低了对Web服务器上运算能力的要求,使得Web服务器可以更加关注Web业务,能够提供更高的用户访问能力。同时对外只暴漏负载均衡网关的地址信息,对外屏蔽了内部的网络结构,也进一步加强云中心的安全性。
负载均衡网关上的负载均衡算法可选举出一台符合标准的WEB服务器来处理用户的请求。如果这个算法原先选定的最合适的服务器达到或者超过了其最大用户连接数,那么另外一个连接数比较合适的服务器将被代替。SVN可以设置按照以下这些算法来实现服务器负载均衡:
?最小连接数
?最快响应
?等比例论询
?权值论询
另外我们还可以在虚拟的web服务器上配置“会话保持”:一旦一个服务器被选择了,后续的从该用户发出的请求都被转发到同一服务器上。SVN支持了实际应用中最为有效的“会话保持”算法:
?源IP
?Cookie
2.3.2.1 实服务器的接入保护
SVN系列设备支持在客户端接入web服务器之前,进行认证保护,可以有效的防止客户端对web服务器的攻击,并且能够记录相关的用户登录信息,锁定相关的用户。
SVN支持在用户接入实服务器之前进行的认证和校验包含:
?AD外部认证
?USBKEY+CA数字证书认证
?云客户端主机策略检查
?实时防截屏
?实时防跳转
其中主机检查包含了丰富的客户端校验策略,例如:检查系统、杀毒软件、进程、端口等等,并且在某些应用场景中,用户在办公时需要访问公司的核心区域,但是又无法保证资料的安全性,这时,通过上述的配置可以防范公司资料的泄密。
SVN接入认证还提供单点登陆功能,开启了接入认证后,SVN在认证用户成功后,会接入到选中的实服务器,并且实现单点登陆,不需要用户再次输入用户名和密码。
2.3.2.2 实服务器的健康检查
SVN还负责检查服务器群的服务的健康状况,一旦发现问题,系统仍然继续依照负载均衡算法把服务转向到其他正常的服务上去,不影响用户使用。SVN的健康探测支持实服务器的进程级检测。SVN主要支持的健康探测包含如下方式:
?TCP
?HTTP
?TCP-TOUT
?HTTP-TOUT
?HTTP-RSP CODE
?HTTP-CONTENT
2.4 整体安全防护特性
2.4.1 传输数据加密
当远程用户通过SVN访问企业内网服务器时,数据的传输路径可以划分为两段。一是从客户端到SVN,需要经过公网,另一部分是从SVN到内网服务器,这一段属于内网数据传输。由于内网网络出入口一般都部署有防火墙,因而内网的数据传输被视为是安全的,采用标准的TCP/IP协议。而客户端到SVN之间的数据传输则面临着诸多的安全威胁,因此就需要一种强有力的措施来保护机密数据不被窃取或是篡改。
SVN V200R003系列安全接入网关支持多种SSL加密算法,对传输数据进行强加密,确保了数据传输的真实性、完整性。支持常用的商密算法和国密算法:
加密算法:3DES/DES, RC4, AES
非对称密码算法:RSA
Hash算法:MD5, SHA-1
国密算法:SM2/SM3/SM4
2.4.2 用户身份认证
SVN V200R003系列安全接入网关支持多种身份认证方式,能够提供本地认证和外部认证。企业或机构可以根据自身需求、认证体系的建设情况灵活选择认证方式,保护企业的原始投资。
2.4.2.1 本地认证
SVN V200R003系列安全接入网关支持本地认证方式,在设备上建立本机用户数据库保存用户账号和密码信息,客户无需另外建立认证系统。本地认证方式下,可灵活制定各种密码策略和密码有效期。
2.4.2.2 外部认证
针对已建设起相对完善的认证体系的企业,SVN还能够支持多种外部认证系统,比如:Radius认证系统、LDAP认证、USBKEY+CA数字证书认证、AD认证系统、SecurID认证系统。
使用Radius、LDAP、AD认证系统,用户登录时通过SSL加密隧道将用户账号和密码信息提交给SVN安全接入网关,SVN按照标准协议格式向认证服务器发送认证请求,认证服务器将认证结果返回给SVN。此时SVN上不保存用户的账号密码信息,最终认证过程在外部认证服务器上完成。
使用SecurID认证系统,每个SVN的用户将获得一个Token卡和一个PIN码,Token卡每分钟动态产生一个Token码。用户登录时将PIN码和Token码组合作为密码输入。用户输入的密码和账号信息通过SSL加密隧道发送到SVN后,SVN按照标准协议格式将这些信息传递到SecurID认证服务器并从认证服务器获得认证结果。此时SVN上不保存用户的账号密码
信息,最终认证过程在外部SecurID认证服务器上完成。
2.4.2.3 数字证书认证
SVN可以基于CA数字证书(X.509v3,下同)对用户进行认证,支持证书匿名和证书挑战两种证书认证方式。证书匿名方式下,用户登录时在SSL协议交互过程中将用户证书提交给SVN,SVN通过检查该证书的有效性来对用户进行认证;证书挑战方式下,可将其他几种认证系统作为辅助认证方式。用户登录时提供证书和挑战密码,SVN首先检查用户证书的有效性,然后从证书信息中提取出代表用户身份的信息作为用户账号,将用户账号和挑战密码发送到辅助认证系统对用户进行认证。
用户证书可以被导入到Windows系统中,由PC机操作系统管理和存储,也可以保存到USBKey中。保存到USBKey中的证书一般情况下只能够查看和使用,不能够修改和导出。USBKey便于携带,增强了证书的物理安全性,另外USBKey可以设置密码,对证书又增加了一层保护。证书保存到PC机或者保存到USBKey,对于用户使用证书进行认证一样方便。
SVN经过两个步骤确定用户证书的有效性,首先检查颁发该证书的CA是否是被信任的(在使用证书认证前需要在SVN上配置可被信任的证书颁发者),然后判断该证书是否过期失效或者被其颁发者撤销。证书中包含有效期信息和该证书的颁发者信息,SVN根据设备上的日期时间判断用户证书是否处于有效期内。SVN从用户证书中获得其颁发者信息,然后判断该颁发者是否可被信任。在有效期内的证书也有可能被其颁发者撤销,SVN可以使用HTTP或者LDAP协议从颁发者获取CRL,判断证书是否被撤销,也可以使用OCSP协议实时从颁发者查询证书是否被撤销。
为了降低中小企业部署数字证书认证系统的成本,SVN产品可提供简单的CA功能,包括用户证书颁发、吊销,网关证书颁发等功能。利用SVN产品提供的CA功能,用户可以部
华为交换机各种配置实例[网管必学]
华为交换机各种配置实例[网管必学 交换机配置(一)端口限速基本配置 华为3Com 2000_EI、S2000-SI、S3000-SI、S3026E、S3526E、S3528、S3552、S3900、S3050、S5012、S5024、S5600系列: 华为交换机端口限速 2000_EI系列以上的交换机都可以限速! 限速不同的交换机限速的方式不一样! 2000_EI直接在端口视图下面输入LINE-RATE (4 )参数可选! 端口限速配置 1功能需求及组网说明 端口限速配置 『配置环境参数』 1. PC1和PC2的IP地址分别为10.10.1.1/24、10.10.1.2/24 『组网需求』 1. 在SwitchA上配置端口限速,将PC1的下载速率限制在3Mbps,同时将PC1的上传速率限制在1Mbps
2数据配置步骤 『S2000EI系列交换机端口限速配置流程』 使用以太网物理端口下面的line-rate命令,来对该端口的出、入报文进行流量限速。 【SwitchA相关配置】 1. 进入端口E0/1的配置视图 [SwitchA]interface Ethernet 0/1 2. 对端口E0/1的出方向报文进行流量限速,限制到3Mbps [SwitchA- Ethernet0/1]line-rate outbound 30 3. 对端口E0/1的入方向报文进行流量限速,限制到1Mbps [SwitchA- Ethernet0/1]line-rate inbound 16 【补充说明】 报文速率限制级别取值为1~127。如果速率限制级别取值在1~28范围内,则速率限制的粒度为64Kbps,这种情况下,当设置的级别为N,则端口上限制的速率大小为N*64K;如果速率限制级别取值在29~127范围内,则速率限制的粒度为1Mbps,这种情况下,当设置的级别为N,则端口上限制的速率大小为(N-27)*1Mbps。 此系列交换机的具体型号包括:S2008-EI、S2016-EI和S2403H-EI。
新一代网关架构内容与网络安全的融合
新一代网关架构内容与网络安全的融合 近日,卫士通公司结合网络安全技术发展现状及市场需求,提出了开发新一代安全网关(New-qeneration seCur5ty GateWay,NGsG)的指导思想:采用内容加速硬件,在保证网络通信质量的前提下,增加内容安全功能,提升安全的控制粒度和广度,保证内容安全和网络安全,同时提供灵活的管理和网络部署特性。 新一代安全网关在内容安全方面以内容过滤、行为监控功能为主,提供Web页面的内容过滤、邮件内容过滤、URL 地址过滤、病毒过滤、垃圾邮件过滤、行为识别与控制(对QQ、MSN、SKYPE、BT、edonkey、迅雷等常用的IM工具和P2P工具的监控等)、行为记录与审计等功能;在网络安全方面提供访问控制、流量控制、NAT、IPSECVPN、SSL VPN、IP MAC 绑定、身份认证功能等。在管理方面采用灵活多样的方式,支持集中和分布式相结合的部署方式,可以通过安全管理平台进行统一管理,也可以通过B/S方式进行无客户端的管理。 新一代安全网关(NGsG)的处理机制
NGSG包含了如图1所示的组成部分。整个系统采用层 次结构,在通用的安全架构基础上增加了内容过滤加速模块和密码加速模块。 采用通用X86硬件平台架构,当添加大量内容过滤规则、开启网络行为识别与记录后,系统的处理能力就会急剧下降,会严重影响网络的通信质量,但不启用这些功能又会形成严重的安全隐患。解决方法就是采用基于全包多任务并行内容查询与过滤的加速模块,其简单结构如图2。它不仅能够实 现常用的基于协议、IP地址、服务端口的访问控制功能,还能够实现基于报文特征和内容字段的全包查询功能,将CPU 从繁忙的规则匹配、内容匹配中释放出来,更好地为复杂的分析、处理和调度功能服务。网络报文在该系统中的处理过程如下:CPU将收到的报文通过Memory和SCFC(special ContentFilter Channels)发送给CFC(ContentFilter Core),CFC将查询的结果信息通过SCFC返回给CPU,根据结果信息,CPU 对报文作后续的处理(状态刷新、地址转换、记录日志等), 高速地完成报文转发。 强大的加解密功能也是这款设备的亮点之一。结合IP加密处理技术,实现了内容过滤模块与IP加密模块的有机融合,达到内容过滤与IP加密双加速的目的,在充分保证内容安全
应用安全网关产品白皮书 v6.2
新一代的SSL VPN产品 网康应用安全网关6.2 产品白皮书 北京网康科技有限公司 2012年5月
版权声明 北京网康科技有限公司?2012版权所有,保留一切权力。 本文件中出现的任何文字叙述、文档格式、插图、照片、方法、过程等内容,除另有特别注明,版权均属北京网康科技有限公司(以下简称网康科技)所有,受到有关产权及版权法保护。未经网康科技书面许可不得擅自拷贝、传播、复制、泄露或复写本文档的全部或部分内容。 信息更新 本文档仅用于为最终用户提供信息,并且随时可由网康科技更改或撤回。 适用版本 本文档适用于ASG 6.2版本。 免责条款 根据适用法律的许可范围,网康科技按“原样”提供本文档而不承担任何形式的担保,包括(但不限于)任何隐含的适销性、特殊目的适用性或无侵害性。在任何情况下,网康科技都不会对最终用户或任何第三方因使用本文档造成的任何直接或间接损失或损坏负责,即使网康科技明确得知这些损失或损坏,这些损坏包括(但不限于)利润损失、业务中断、信誉或数据丢失。 期望读者 期望了解本产品主要技术特性的用户、企业管理人员、系统管理员、网络管理员等。本文档假设您对下面的知识有一定的了解: ?Web与HTTP ?TCP/IP协议 ?SSL与IPSec ?网络安全基础知识 ?Windows操作系统
目录 1 背景 (5) 1.1 企业应用发展趋势 (5) 1.2 企业应用安全的新挑战 (5) 1.3 网康科技虚拟应用网络VAN新理念 (6) 2 网康科技应用安全网关ASG (7) 2.1 ASG产品系统架构 (8) 2.2 应用安全网关工作原理 (8) 2.3 用户使用场景 (9) 2.3.1 采用浏览器访问企业内部应用 (9) 2.3.2 使用客户端软件访问企业内部应用 (9) 2.3.3 在分支机构内部的用户 (10) 2.4 应用安全网关ASG主要功能列表 (10) 3 应用安全网关ASG功能特点与优势 (10) 3.1 SSL与IPSec二合一 (10) 3.2 高强的用户认证技术与动态认证功能模块添加 (11) 3.2.1 用户认证模板 (12) 3.2.2 动态添加第三方认证 (12) 3.3 全面支持安卓与苹果智能终端 (12) 3.4 高度整合虚拟应用,完美支持“云”计算 (13) 3.5 支持多种类型的浏览器插件 (14) 3.6 单点登陆(SSO) (14) 3.7 支持用户自注册与在线审核 (15) 3.8 用户账户的自助管理 (15) 3.9 虚拟站点,支持门户定制化 (17) 3.10 支持自用软件的自助上传 (18) 3.11 基于应用的访问策略控制 (18) 3.12 客户终端接入扫描与终端流量控制 (19) 3.13 完备的系统管理方式 (19) 3.14 丰富的日志与统计报表工具 (20) 3.15 双机与多机热备 (20) 3.16 简便易用,快速部署 (22) 3.16.1 无需安装客户端软件,即插即用 (22) 3.16.2 Web优化技术 (22) 3.16.3 支持各种网络环境 (22) 3.16.4 动态页面重构技术,完美支持WEB应用访问 (23) 3.16.5 使用SSL Tunnel技术支持所有的C/S架构应用 (23) 3.16.6 大量使用配置模板与默认设置,方便管理 (24) 3.16.7 典型配置指导 (24) 3.16.8 开机快速初始化,无需复杂配置 (24) 4 应用安全网关的部署建议 (26) 4.1 网关方式部署 (26)
加密安全网关使用说明
加密安全网关使用说明 企业内的加密文件有时候需要上传到OA、PLM、SVN等系统中,希望OA等系统中保存的文件是明文的,从OA等系统中下载到本地为加密文件,并希望其它没有允许访问的计算机不可以访问OA等服务器,ViaControl安全网关功能就是为了解决这一问题而诞生的。 ViaControl安全网关,可以实现启用安全通讯的加密客户端上传解密下载加密。未启用加密功能的客户端或者未启动安全通讯的加密客户端,不能访问受保护的OA等系统。 1网络架构 ViaControl安全网关功能的工作模式为:网桥模式。 企业内的网络常见的网络简易拓扑结构: ViaControl的安全网关控制模式: 使用网桥模式,可以对网络结构和配置不做任何修改,直接将安全网关控制设备串接进网络中需要进行控制的重要的服务器处,对通过其的网络通讯进行控制。
2 控制流程 当计算机或其他网络终端设备,访问受安全网关保护的服务器时,安全网关会判断访问请求是否属于安全通讯。当安装了客户端的计算机,使用已经启动安全通讯功能的授权软件访问时,就可以正常访问服务器。而其他的计算机会被阻止访问服务器。 对于一些外来的或者特殊权限的计算机,也可以通过设置白名单允许未启用安全通讯的计算机访问服务器。 非法客户端 安全网关控制 器
3部署 3.1设备介绍 ViaControl网络控制设备(以下称控制器),分为三个型号: 2000: 3个千兆网卡,其中管理端口为ETH2; 3000: 4个千兆网卡,一组BYPASS(ETH0和ETH1),其中管理端口为ETH3; 4000: 4个千兆网卡,一组BYPASS(ETH0和ETH1),其中管理端口为ETH3; 说明管理端口的固定IP为190.190.190.190,初始配置时使用; BYPASS功能,可以在控制器断电或死机的情况下,将控制器所连接的两端 直接物理上导通,不影响网络的使用。 3.2部署方式 ViaControl网络控制器以桥接的方式串接入网络。控制器一般位于限制访问的计算机之前。 连接方法:使用设备的两个端口将其连入网络; 2000使用ETH0和ETH1;3000、4000使用ETH0、ETH1、ETH2中任两个;
华为交换机基本配置命令
华为交换机基本配置命令 一、单交换机VLAN划分 命令命令解释 system 进入系统视图 system-view 进入系统视图 quit 退到系统视图 undo vlan 20 删除vlan 20 sysname 交换机命名 disp vlan 显示vlan vlan 20 创建vlan(也可进入vlan 20) port e1/0/1toe1/0/5 把端口1-5放入VLAN 20 中 5700系列 单个端口放入VLAN [Huawei]intg0/0/1 [Huawei]port link-typeaccess(注:接口类型access,hybrid、trunk) [Huawei]port default vlan 10 批量端口放入VLAN [Huawei]port-group 1 [Huawei-port-group-1]group-member ethernet G0/0/1 to ethernet G0/0/20 [Huawei-port-group-1]port hybrid untagged vlan 3 删除group(组)vlan 200内的15端口 [Huawei]intg0/0/15 [Huawei-GigabitEthernet0/0/15]undo port hybrid untagged vlan 200 通过group端口限速设置 [Huawei]Port-group 2 [Huawei]group-member g0/0/2 to g0/0/23 [Huawei]qos lr outbound cir 2000 cbs 20000 disp vlan 20 显示vlan里的端口20 int e1/0/24 进入端口24 undo port e1/0/10 表示删除当前VLAN端口10 disp curr 显示当前配置 return 返回 Save 保存 info-center source DS channel 0 log state off trap state off通过关闭日志信息命令改变 DS模块来实现(关闭配置后的确认信息显示) info-center source DS channel 0 log state on trap state on 通过打开日志信息命令改变DS模块来实现(打开配置后的确认信息显示)
安全网关和IDS互动解决方案
安全网关和IDS互动解决方案 该方案特点: 通过安全网关(被动防御体系)与入侵检测系统(主动防御体系)的互动,实现“主动防御和被动防御”的结合。对在企业内网发起的攻击和攻破了安全网关第一道关卡的黑客攻击,可以依靠入侵检测系统阻断和发现攻击的行为,同时通过与安全网关的互动,自动修改策略设置上的漏洞不足,阻挡攻击的继续进入。两者的联动示意如下图: 方案概述: 1、项目简介 某市电力局为安徽省级电力公司下属的二级单位,信息化程度较高,目前已经建成生产技术和运行子系统、用电管理子系统、办公自动化子系统、财务子系统、物资子系统和人劳党政子系统等。 该电力局内部网络与三个外网相连,分别通过路由器与省电力公司网络、下属六个县局
网络和银行网络进行数据交换。 2、安全方案 通过对该电力局的网络整体进行系统分析,考虑到目前网上运行的业务需求,本方案对原有网络系统进行全面的安全加强,主要实现以下目的: 1)保障现有关键应用的长期可靠运行,避免病毒和黑客攻击; 2)防止内外部人员的非法访问,特别是对内部员工的访问控制; 3)确保网络平台上数据交换的安全性,杜绝内外部黑客的攻击; 4)方便内部授权员工(如:公司领导,出差员工等)从互联网上远程方便地、安全地 访问内部网络,实现信息的最大可用性; 5)能对网络的异常行为进行监控,并作出回应,建立动态防护体系。 为了实现上述目的,我们采用了主动防御体系和被动防御体系相结合的全面网络安全解决方案,如下图所示。
主动防御体系 主动防御体系由漏洞扫描和入侵检测及与安全网关的联动系统组成。 主要在网络中心增加“入侵检测系统”、“漏洞扫描系统”和统一的“安全策略管理”平台。用户主动防范攻击行为,尤其是防范从单位内部发起的攻击。 对在企业内网发起的攻击和攻破了安全网关第一道关卡的黑客攻击,可以依靠入侵检测系统阻断和发现攻击的行为,同时通过与安全网关的互动,自动修改策略设置上的漏洞不足,阻挡攻击的继续进入。 本方案在交换机上连入第三方的入侵检测系统,并将其与交换机相连的端口设置为镜像端口,由IDS传感器对防火墙的内口、关键服务器进行监听,并进行分析、报警和响应;在入侵检测的控制台上观察检测结果,并形成报表,打印。 在实现安全网关和入侵检测系统的联动后,可以通过下面方法看到效果:使用大包ping 位于安全网关另一边的主机(这属于网络异常行为)。IDS会报警,ping通一个icmp包后无法再ping通。这时检查安全网关“访问控制策略”会发现动态地添加了阻断该icmp的策略。 “漏洞扫描系统”是一种网络维护人员使用的安全分析工具,主动发现网络系统中的漏洞,修改安全网关和入侵检测系统中不适当的设置,防患于未然。 “安全策略管理”统一管理全网的安全策略(包括:安全网关、入侵检测系统和防病毒等),作到系统安全的最优化。 被动防御体系 被动防御体系主要采用上海本公司的SGW系列安全网关(Firewall+VPN)产品。 在Cisco路由器4006与3640之间,插入安全网关SGW25是必须的。主要起到对外防止黑客入侵,对内进行访问控制和授权员工从外网安全接入的问题,SGW25在这里主要发挥防火墙和VPN的双重作用。 1)保障局域网不受来自外网的黑客攻击,主要担当防火墙功能; 2)能够根据需要,让外网向internet的访问提供服务,如:Web,Mail,DNS等服务; 3)对外网用户访问(internet)提供灵活的访问控制功能。如:可以控制任何一个内 部员工能否上网,能访问哪些网站,能不能收发email、ftp等,能够在什么时间 上网等等。简而言之,能够基于“六元组”【源地址、目的地址、源端口号(即: 服务)、目的端口号(即:服务)、协议、时间】进行灵活的访问控制。 4)下属单位能够通过安全网关与安全客户端软件之间的安全互联,建立通过
华为交换机基础配置命令
实验三华为交换机配置 【实验题目】 华为交换机配置 【实验课时】 2课时。 【实验目的】 1.了解华为交换机的基本端口以及IOS软件。 2.掌握华为交换机的配置途径。 3.掌握华为交换机的三种访问方式。 4.掌握华为交换机初始设置。 【实验环境】 华为交换机一台(型号不限)、PC机一台,操作系统要为Windows 98/NT/2000/xp,装有超级终端软件;Console 电缆1条。 【实验内容和主要步骤】 一、交换机配置途径 一般来说,可以用5种方式来设置交换机: 1.Console口接终端或运行终端仿真软件的微机; 2.AUX口接MODEM,通过电话线与远方的终端或运行终端仿真软件的微机相连; 3.通过Ethernet上的TFTP服务器; 4.通过Ethernet上的TELNET程序; 5.通过Ethernet上的SNMP网管工作站。 但交换机的第一次设置必须通过第1种方式进行;这时终端的硬件设置为波特率:9600,数据位:8,停止位:1,无校验。
二、交换机的几种基本访问模式: 一台新交换机开机时自动进入的状态,这时可通过对话方式对交换机进行设置。利用设置对话过程可以避免手工输入命令的烦琐,但它还不能完全代替手工设置,一些特殊的设置还必须通过手工输入的方式完成。 进入设置对话过程后,交换机首先会显示一些提示信息, 华为交换机基本配置过程 一:交换机基本配置: 1.进入2403交换机,进入用户模式。 2.在命令提示符“>”下,键入“system-view”并回车。 3.键入“display courrent-config”,察看当前配置情况,注意这是缺省值。(有可能是display courrent-config,因为版本不一)。 4.键入“display version”参看交换机上IOS版本。 5.设置2403交换机名称,使用“sysname”命令(也有可能是hostname命令)。 如:Hostname 2403A(此交换机名为2403A)。 6.使用display interface来察看关于全部接口的统计表。 7.使用display int ?来察看所有可用的以太网和快速以太网的命令。 8.使用display int Ethernet ? 9. 使用display int e 0/2 来察看关于2接口的统计表 10. 使用reset saved-configuration 删除flash或NVRAM中的配置信息。保持默认信息。请大家不要轻易使用。.
安全网关产品介绍
安全网关产品介绍 一、产品定义 简单的说:是为互联网接入用户解决边界安全问题的安全服务产品。 详细的说:“安全网关”是集防火墙、防病毒、防垃圾邮件、IPS 入侵防御系统/IDS入侵检测系统、内容过滤、VPN、DoS/DdoS攻击检测、P2P应用软件控制、IM应用软件控制等九大功能和安全报表统计分析服务为一体的网络信息安全产品。 二、产品特点 1)采用远程管理方式,利用统一的后台管理平台对放在客户网络边界的网关设备进行远程维护和管理。 2)使用范围广,所有运营商的互联网专线用户均可使用。 3)解决对信息安全防护需求迫切、资金投入有限、专业人员缺乏的客户群体,以租用方式为用户提供安全增值服务,实现以较低成本获得全面防御。 4)功能模块化、部署简便、配置灵活。 四、(UTM)功能模块 1)防火墙功能及特点:针对IP地址、服务、端口等参数,实现网络层、传输层及应用层的数据过滤。 2)防病毒功能及特点:能够有效检测、消除现有网络的病毒和蠕虫。实时扫描输入和输出邮件及其附件。
3)VPN功能及特点:可以保护VPN网关免受Ddos(distributed Deny of Service)攻击和入侵威胁,并且提供更好的处理性能,简化网络管理的任务,能够快速适应动态、变化的网络环境。 4)IPS(Intrusion Prevention System , 入侵防御系统)功能及特点:发现攻击和恶意流量立即进行阻断;实时的网络入侵检测和阻断。随时更新攻击特征库,保障防御最新的安全事件攻击。 5)Wed内容过滤功能及特点:处理浏览的网页内容,阻挡不适当的的内容和恶意脚本。 6)垃圾邮件过滤功能及特点:采用内容过滤、邮件地址/MIME头过滤、反向DNS解析以及黑名单匹配等多种垃圾邮件过滤手段。 7)DoS/DDoS(distributed Deny of Service)攻击检测功能:“安全网关”能够有效检测至少以下典型的DoS/DDoS攻击,并可以根据设定的Tcp_syn_flood、udp_flood等阀值阻断部分攻击。 8)P2P应用软件控制功能:可以实现对BitTorrent、eDonkey、Gnutella、KaZaa、Skype、WinNY,Xunlei等P2P软件的通过、阻断及限速。 9)IM应用软件控制功能:“安全网关”提供对IM应用软件的控制功能,可以实现对AIM、ICQ、MSN、Yahoo!、SIMPLE、QQ等IM软件的控制,包括:阻断登录、阻断文件传输等控制。 10)安全报表服务:“安全网关”提供用户报表定制功能,能够根据用户的要求对报表格式、发送方式及发送频率进行定制。其中内容包括:A、安全服务套餐报表;B、安全策略设置一览表;C、网络带宽占用及流量分析报告或报表;D、攻击事件分析报告或报表;E、按名称的病毒排名:本客户的病毒爆发次数排名;F、按IP的病毒排名:本客户所有计算机的病毒爆发多少排名;G、垃圾邮件排名:统计垃
安全网关产品说明书
安全网关产品说明书集团文件发布号:(9816-UATWW-MWUB-WUNN-INNUL-DQQTY-
安全网关产品说明书 介绍 欢迎并感谢您选购联通网络信息安全产品,用以构筑您的实时网络防护系统。ZXSECUS统一威胁管理系统(安全网关)增强了网络的安全性,避免了网络资源的误用和滥用,帮助您更有效的使用通讯资源的同时不会降低网络性能。ZXSECUS统一安全网关是致力于网络安全,易于管理的安全设备。其功能齐备,包括:应用层服务,例如病毒防护、入侵防护、垃圾邮件过滤、网页内容过滤以及IM/P2P过滤服务。 网络层服务,例如防火墙、入侵防护、IPSec与SSLVPN,以及流量控制。 管理服务,例如用户认证、发送日志与报告到USLA、设备管理设置、安全的web与CLI管理访问,以及SNMP。 ZXSECUS统一安全网关采用ZXSECUS动态威胁防护系统(DTPSTM)具有芯片设计、网络通信、安全防御及内容分析等方面诸多技术优势。独特的基于ASIC上的网络安全构架能实时进行网络内容和状态分析,并及时启动部署在网络边界的防护关键应用程序,随时对您的网络进行最有效的安全保护。 ZXSECUS设备介绍 所有的ZXSECUS统一安全网关可以对从soho到企业级别的用户提供基于网络的反病毒,网页内容过滤,防火墙,VPN以及入侵防护等防护功能。 ZXSECUS550 ZXSECUS550设备的性能,可用性以及可靠性迎合了企业级别的需求。ZXSECUS550同样也支持高可用性群集以及包括在HA设备主从设备切换时不会丢弃会话,该设备是关键任务系统的理想选择。 ZXSECUS350
华为交换机配置常用命令
华为交换机配置命令:
安全网关部署方案
安全网关部署方案 随着企业网络的普及和网络开放性,共享性,互连程度的扩大,网络的信息安全问题也越来越引起人们的重视。一个安全的计算机局域网络应该具有可靠性、可用性、完整性、保密性和真实性等特点。计算机局域网络不仅要保护计算机网络设备安全和计算机网络系统安全,还要保护数据安全。这样,局域网络信息安全问题就成为危害网络发展的核心问题,与外界的因特网连接使信息受侵害的问题尤其严重。目前局域网信息的不安全因素来自病毒、黑客、木马、垃圾邮件等几个方面。另外域网内部的信息安全更是不容忽视的。网络内部各节点之间通过网络共享网络资源,就可能因无意中把重要的涉密信息或个人隐私信息存放在共享目录下,因此造成信息泄漏;甚至存在内部人员编写程序通过网络进行传播,或者利用黑客程序入侵他人主机的现象。因此,网络安全不仅要防范外部网,同时更防范内部网安全。因此,企业采取统一的安全网关策略来保证网络的安全是十分需要的。一个完整的安全技术和产品包括:身份认证、访问控制、流量监测、网络加密技术、防火墙、入侵检测、防病毒、漏洞扫描等;而造成安全事件的原因则包括技术因素、管理因素以及安全架构设计上的疏漏等问题。安全网关是各种技术有机融合,具有重要且独特的保护作用,其范围从协议级过滤到十分复杂的应用级过滤,对保护计算机局域网起着关键性的作用。
安全网关部署拓扑图: (图1)
上图为安全网关部署示意图,包含了组建局域网网的基本要素。下面对其各个部分进行讲解。 一、安全网关接入网络。 安全网关一般具有2个W AN口以及4个LAN口。如上图所示,外网IP为221.2.197.149,连接网线到W AN口上。LAN的口IP地址是可以自由设置的,图中设定的2个LAN口的IP为192.168.0.1(局域网用户)以及10.0.0.1(服务器用网段)。另外安全网关具有了无线网络功能,分配IP地址为192.168.10.1。下面对上述接入方式进行详细说明。 1.路由NET部署 图一所示接入方式即为路由NET部署拓扑图。安全网关设备部署在网络的出口位置,实现路由、NAT转发功能。同时可以开启Qos (流量)控制、URL过滤、IM限制等功能,这种部署模式是最为常见的部署模式,应用客户最多。 2. 透明模式部署拓扑图
安全网关业务常见问题
安全网关业务常见问题 Q:安全网关支持哪些网络接入模式? A:安全网关支持两种网络接入模式:一种是网桥模式,一种是网关模式。网关模式下有ADSL拨号、静态路由、DHCP client端三种外网接入类型。 Q:网桥模式下安全网关应该部署在网络中的什么位置? A:如果安全网关采用网桥模式,通常情况下应该部署在企业接入设备(防火墙或者路由器)的后面。安全网关的两个网口(内网口和外网口)连接的是同一网段的两个部分,用户只需给安全网关配置一个本网段的IP地址,不需要改变网络拓扑以及其它配置,透明接入网络。 Q:网关模式下安全网关应该部署在网络中的什么位置? A:如果安全网关采用网关模式,通常情况下应该部署在企业网络出口处,做为宽带网络接入设备,保护整个内部网络。 Q:无法通过浏览器登录安全网关的管理页面? A:出现这种情况有以下几个原因: 未将登陆pc加入安全网关的管理客户端 网络无法连通(该登陆PC到安全网关的链路) Q:为什么在外网ping不通安全网关的外网口地址? A:安全网关出于安全考虑对外网口是禁ping的,因此是ping不通外网口地址的。不过从内网PC能ping通安全网关的外网口地址。 Q:安全网关支持哪些方式的VPN? A:对于企业连接不同地域网络的需求,安全网关提供了VPN功能,企业可以通过Internet连接不同地域的网络。 安全网关提供IPSEC和PPTP VPN接入方法。安全网关的VPN功能适用于网关接入模式下。 Q:安全网关安装完毕后,为什么能ping通外网,而无法浏览网页? A:出现这种情况有以下的原因 如果安全网关作为网桥模式部署在防火墙的后面,并且做了访问控制的策略,由于安全网关对于扫描的协议采取的是非透明的方式,所以需要增加安全网关的地址到策略中; 未在安全网关中设置本地区的DNS服务器,或pc客户端的DNS设置有误。 Q:安全网关支持DHCP服务器功能吗? A:安全网关可以做为一个单一DHCP 服务器使用,也可以成为其他DHCP服务器的代理。网关模式支持DHCP服务器功能,网桥模式下不支持DHCP服务器功能。 Q:如果忘记安全登录密码,怎么办?
新一代多核安全网关-SG-6000-M3100
新一代多核安全网关 SG-6000-M3100 SG-6000是Hillstone山石网科公司全新推出的新一代多核安全网关系列产品。其基于角色,深度应用的多核Plus?G2安全架构突破了传统防火墙只能基于IP和端口的防范限制。处理器模块化设计可以提升整体处理能力,突破传统UTM在开启病毒防护或IPS等功能所带来的性能下降的局限。SG-6000-M3100处理能力高达1Gbps,适用于政府机关、企业、教育等机构,可部署在网络的主要结点、及Internet出口,为网络提供基于角色,深度应用安全的访问控制、IPSec/SSLVPN、应用带宽管理、病毒过滤、入侵防护、上网行为管理等安全服务。 产品亮点 新一代防火墙 - 深度应用安全 随着网络的快速发展,越来越多的应用都建立在HTTP/HTTPS等应用层协议之上。新的安全威胁也随之嵌入到应用之中,而传统基于状态检测的防火墙只能依据端口或协议去设置安全策略,根本无法识别应用,更谈不上安全防护。 Hillstone山石网科新一代防火墙可以根据应用的行为和特征实现对应用的识别和控制,而不依赖于端口或协议,即使加密过的数据流也能应付自如。 StoneOS?识别的应用多达几百种,而且跟随着应用的发展每天都在增加;其中包括P2P、IM(即时通讯)、游戏、办公软件以及基于SIP、H.323、HTTP等协议的应用。同时,应用特征库通过网络服务可以实时更新,无须等待新版本软件发布。 全面的VPN解决方案 SG-6000多核安全网关支持多种IPSec VPN的部署,它能够完全兼容标准的IPSec VPN。SG-6000系列产品对VPN(包括SSL VPN)都提供硬件加速,结合多核平台的处理能力,可为用户提供高容量、高性能的VPN解决方案。 Hillstone独具特色的即插即用VPN,可以让远端分支机构只需简单的用户名和密码即可自动从中心端下载网络和安全配置,完全解决了传统IPSec VPN设备配置难、使用难、维护成本高的缺点。 SG-6000多核安全网关还通过集成第三代SSL VPN实现角色访问控制和即插即用特性,为用户提供方便、快捷的安全远程接入服务。 内容安全(UTM Plus?) SG-6000可选UTM Plus?软件包提供病毒过滤,入侵防御,内容过滤,上网行为管理和应用流量整形等功能,可以防范病毒,间谍软件,蠕虫,木马等网络的攻击。关键字过滤和基于超过2000万域名的Web页面分类数据库可以帮助管理员轻松设置工作时间禁止访问的网页,提高工作效率和控制对不良网站的访问。病毒库,攻击库,URL库可以通过网络服务实时下载,确保对新爆发的病毒、攻击、新的URL做到及时响应。 安全可视化 - 基于角色和应用的管理 没有能见度就谈不上安全。StoneOS?的应用和身份识别,能够满足越来越多的深度安全需求。 基于身份和角色的管理(RBNS)让网络配置更加直观和精细化。不同的用户甚至同一用户在不同的地点或时间都可以有不同的管理策略。用户访问的内容也可以记录在本机存储模块或专用服务器中,通过用户的名称审阅相关记录使查找更简单。
华为交换机的基本设置
华为交换机的应用 精网科技 交换的概述 @交换是指在一个接口上收到数据帧并且从另一个接口上将该数据帧发送出去的过程。 @交换机是二层的设备,它用来解决带宽不足和网络瓶颈的问题,主要作为工作站、服务器、路由器、集线器和其它交换机的集中点。它可以看作是一个多端口的网桥,为所连接的两台网络设备提供一条独享的虚电路,因此避免了冲突。可工作在全双工模式下,意味着可同时收发数据。 @交换机是根据MAC地址传递数据帧的的二层设备。它不能处理三层地址信息。所以交换机的操作与网络层使用什么样的协议无关。 @交换机把大的网络细分成若干微分段,以减小冲突域的大小,即每个接口是一个冲突域。但所有接口仍在一个广播域内。可以认为交换机是硬件桥,而网桥是软件的。交换机与网桥的区分是:网桥最多16个端口,但交换机可有很多端口,这一个缺点,足可以彻底打败网桥。 @网络中的通信分为三种,单播,组播,广播。(举例) 网络环境大的时候,所有主机都在一个广播域内网络性能会很差,所
以这样一来,靠划分微分段的方法已经不行,而常用的就是用交换机在二层隔离广播帧的VLAN技术,实现二层广播域的划分,以后会讲到。 @路由器在网络中的位置,我们用路由器把交换的网络分成若干广播域。这样可以避免广播风暴。路由器的使用大约给网络造成的延迟是20-30%,因为路由器会在三层上根据逻辑地址来做路由。所以造成延迟。 @以太交换机的反应时间。是指一个数据帧从进入交换机开始到离开交换机的这段时间。此时间的长短取决于在交换机上配置的交换操作的类型,以及网络上通过交换机的流量。交换机每秒都会处理海量数据,所以每个数据帧的交换时间哪怕有十亿分之一秒的延迟,对交换机来说都会影响整体的性能。 @交换机与HUB的区别。从内部结构上看,HUB是总线,而SWITCH 内部是每个接口与另外的接口都有连通线。(画图示意一下)再一个就是数据流通的带宽。比如:10M的HUB和10M的SWITH @三层交换机是在二层交换机的基础上融合了三层路由功能的交换机,它不但能基于MAC地址转发数据帧,还能根据数据包的IP地址为数据包提供路由服务。 @对称和不对称交换 100M和10M图13-2、3 @以太交换机的基本功能
安全网关产品说明书
安全网关产品说明书 介绍 欢迎并感谢您选购联通网络信息安全产品,用以构筑您的实时网络防护系统。ZXSECUS 统一威胁管理系统(安全网关)增强了网络的安全性,避免了网络资源的误用和滥用,帮助您更有效的使用通讯资源的同时不会降低网络性能。ZXSECUS统一安全网关是致力于网络安全,易于管理的安全设备。其功能齐备,包括: 应用层服务,例如病毒防护、入侵防护、垃圾邮件过滤、网页内容过滤以及IM/P2P过滤服务。 网络层服务,例如防火墙、入侵防护、IPSec与SSLVPN,以及流量控制。 管理服务,例如用户认证、发送日志与报告到USLA、设备管理设置、安全的web与CLI 管理访问,以及SNMP。 ZXSECUS统一安全网关采用ZXSECUS动态威胁防护系统(DTPSTM)具有芯片设计、网络通信、安全防御及内容分析等方面诸多技术优势。独特的基于ASIC上的网络安全构架能实时进行网络内容和状态分析,并及时启动部署在网络边界的防护关键应用程序,随时对您的网络进行最有效的安全保护。 ZXSECUS设备介绍 所有的ZXSECUS统一安全网关可以对从soho到企业级别的用户提供基于网络的反病毒,网页内容过滤,防火墙,VPN以及入侵防护等防护功能。 ZXSECUS550 ZXSECUS550设备的性能,可用性以及可靠性迎合了企业级别的需求。ZXSECUS550同样也支持高可用性群集以及包括在HA设备主从设备切换时不会丢弃会话,该设备是关键任务系统的理想选择。 ZXSECUS350 ZXSECUS350设备易于部署与管理,为soho以及子机构之间的应用提供了高附加值与可靠的性能。ZXSECUS安装指南通过简单的步骤指导用户在几分钟之内运行设备。ZXSECUS180 ZXSECUS180为soho以及中小型企业设计。ZXSECUS180支持的高级的性能例如,虚拟域以及RIP与OSPF路由协议。 ZXSECUS120
华为交换机配置命令
华为交换机基本配置命令 华为交换机基本配置命令 一、单交换机VLAN划分 命令命令解释 system 进入系统视图 system-view 进入系统视图 quit 退到系统视图 undo vlan 20 删除vlan 20 sysname 交换机命名 disp vlan 显示vlan vlan 20 创建vlan(也可进入vlan 20) port e1/0/1 to e1/0/5 把端口1-5放入VLAN 20 中disp vlan 20 显示vlan里的端口20 int e1/0/24 进入端口24 port access vlan 20 把当前端口放入vlan 20 undo port e1/0/10 表示删除当前VLAN端口10 disp curr 显示当前配置 二、配置交换机支持TELNET system 进入系统视图 sysname 交换机命名 int vlan 1 进入VLAN 1
ip address 192.168.3.100 255.255.255.0 配置IP地址 user-int vty 0 4 进入虚拟终端 authentication-mode password (aut password) 设置口令模式set authentication password simple 222 (set aut pass sim 222) 设置口令 user privilege level 3(use priv lev 3) 配置用户级别 disp current-configuration (disp cur) 查看当前配置 disp ip int 查看交换机VLAN IP配置 删除配置必须退到用户模式 reset saved-configuration(reset saved) 删除配置 reboot 重启交换机 三、跨交换机VLAN的通讯 在sw1上: vlan 10 建立VLAN 10 int e1/0/5 进入端口5 port access vlan 10 把端口5加入vlan 10 vlan 20 建立VLAN 20 int e1/0/15 进入端口15 port access vlan 20 把端口15加入VLAN 20 int e1/0/24 进入端口24 port link-type trunk 把24端口设为TRUNK端口 port trunk permit vlan all 同上
Hillstone安全网关基础配置手册v4.0
服务热线:400 828 6655 Hillstone山石网科 多核安全网关 基础配置手册 V 4.0版本
目录 一.设备管理 (1) 1.1终端CONSOLE登录 (1) 1.2网页W EB UI登录 (1) 1.3恢复出厂设置 (2) 1.4设备软件S TONE-OS升级 (4) 1.5许可证安装 (7) 二.基础上网配置 (8) 2.1接口配置 (8) 2.2路由配置 (10) 2.3策略配置 (11) 2.4源地址转换配置 (12) 三.常用功能配置 (13) 3.1PPP O E拨号配置 (13) 3.2动态地址分配DHCP配置 (15) 3.3I P-M AC地址绑定配置 (17) 3.4端到端I PSEC VPN配置 (19) 3.5远程接入SCVPN配置 (26) 3.6目的地址转换DNAT配置 (34) 3.6.1一对一IP映射 (34) 3.6.2一对一端口映射 (38) 3.6.3多对多端口映射 (43) 3.6.4一对多映射(服务器负载均衡) (49)
一.设备管理 安全网关支持本地与远程两种环境配置方法,可以通过CLI 和WebUI 两种方式进行配置。CLI同时支持Console、telnet、SSH等主流通信管理协议。 1.1 终端console登录 通过Console 口配置安全网关时需要在计算机上运行终端仿真程序(系统的超级终端、SecureCRT等)建立与安全网关的连接,并按如下表所示设置参数(与连接Cisco设备的参数一致): 1.2网页WebUI登录 WebUI同时支持http和https两种访问方式,首次登录设备可通过默认接口ethernet0/0来进行,登录方法为: 1. 将管理 PC 的IP 地址设置为与19 2.168.1.1/24 同网段的IP 地址,并且用网线将管理PC与安全网关的ethernet0/0 接口进行连接。 2. 在管理 PC 的Web 浏览器中访问地址http://192.168.1.1 并按回车键。出现的登录页面如下图所示:
华为交换机各种配置方法
端口限速基本配置1 端口绑定基本配置 ACL基本配置 密码恢复 三层交换配置 端口镜像配置 DHCP配置 配置文件管理 远程管理配置 STP配置 私有VLAN配置 端口trunk、hybrid应用配置
交换机配置(一)端口限速基本配置 华为3Com 2000_EI、S2000-SI、S3000-SI、S3026E、S3526E、S3528、S3552、S3900、S3050、S5012、S5024、S5600系列: 华为交换机端口限速 2000_EI系列以上的交换机都可以限速! 限速不同的交换机限速的方式不一样! 2000_EI直接在端口视图下面输入LINE-RATE 端口限速配置 1功能需求及组网说明 端口限速配置 『配置环境参数』 1. PC1和PC2的IP地址分别为10.10.1.1/24、10.10.1.2/24 『组网需求』 1. 在SwitchA上配置端口限速,将PC1的下载速率限制在3Mbps,同时将PC1的上传速率限制在1Mbps 2数据配置步骤 『S2000EI系列交换机端口限速配置流程』 使用以太网物理端口下面的line-rate命令,来对该端口的出、入报文进行流量限速。【SwitchA相关配置】 1. 进入端口E0/1的配置视图 [SwitchA]interface Ethernet 0/1 2. 对端口E0/1的出方向报文进行流量限速,限制到3Mbps [SwitchA- Ethernet0/1]line-rate outbound 30 3. 对端口E0/1的入方向报文进行流量限速,限制到1Mbps [SwitchA- Ethernet0/1]line-rate inbound 16 【补充说明】 报文速率限制级别取值为1~127。如果速率限制级别取值在1~28范围内,则速率限制的粒度为64Kbps,这种情况下,当设置的级别为N,则端口上限制的速率大小为N*64K;如果速率限制级别取值在29~127范围内,则速率限制的粒度为1Mbps,这种情况下,当设置的级别为N,则端口上限制的速率大小为(N-27)*1Mbps。 此系列交换机的具体型号包括:S2008-EI、S2016-EI和S2403H-EI。 『S2000-SI和S3000-SI系列交换机端口限速配置流程』 使用以太网物理端口下面的line-rate命令,来对该端口的出、入报文进行流量限速。【SwitchA相关配置】 1. 进入端口E0/1的配置视图 [SwitchA]interface Ethernet 0/1 2. 对端口E0/1的出方向报文进行流量限速,限制到6Mbps [SwitchA- Ethernet0/1]line-rate outbound 2 3. 对端口E0/1的入方向报文进行流量限速,限制到3Mbps [SwitchA- Ethernet0/1]line-rate inbound 1 【补充说明】 对端口发送或接收报文限制的总速率,这里以8个级别来表示,取值范围为1~8,含义为:端口工作在10M速率时,1~8分别表示312K,625K,938K,1.25M,2M,4M,6M,8M;端口