神州数码
DC-FW v3.1高性能防火墙
技术白皮书
北京神州数码有限公司
2007年8月
目录
一、序言 (2)
二、神码安全DC-FW v3.1高性能防火墙概述 (3)
三、神码安全DC-FW v3.1高性能防火墙技术特色 (3)
3.1 专用安全操作系统 (3)
3.2 纯硬件架构 (3)
3.3 状态检测技术、核检测技术以及入侵模式匹配监测 (3)
3.4 深度的内容检测、强大的P2P拦截功能 (3)
3.5 严格的访问控制策略 (4)
3.6 危险网站阻隔 (4)
3.7 敏感数据拦截 (5)
3.8 强大的QOS、丰富的日志报表功能 (5)
3.9 访问跟踪、审计 (5)
3.10 防止DOS攻击 (5)
3.11 强大的VPN功能 (6)
3.12 支持VOIP (6)
3.13 桥式防火墙 (7)
3.14 强大的审计功能 (7)
四、DC-FW v3.1 技术参数指标 (7)
一、序言
随着网络的发展和Internet的广泛应用,当今的网络安全威胁已经由原来的针对TCP/IP 协议本身弱点的攻击转向针对特定系统和应用漏洞的攻击和入侵。回顾2004年,以冲击波、震荡波、安哥Bot、MyDoom等蠕虫与木马病毒为主的网络化病毒,加上利用网络协议及应用漏洞进行攻击与入侵行为,给全球企业造成了巨大的损失。据统计,仅2004年,病毒等恶意程序就给全球造成了1690亿美元的经济损失。
此时,传统的防火墙已经显得无能为力。例如针对Windows系统和Oracle/SQL Server 等数据库的攻击,这些攻击和入侵手段封装在TCP/IP协议的有效载荷部分。传统的防火墙由于只查TCP/IP协议包头部分而不检查数据包的内容,所以无法检测出此类攻击。基于网络传播的病毒及间谍软件给互联网用户造成了巨大的损失,层出不穷的即时消息和P2P应用(例如MSN、QQ、BT等)给企业带来许多安全威胁并降低员工的工作效率。传统的防火墙设备在面对这些复合型的安全威胁时,已经不能满足客户的安全需求。
防火墙设备包括防火墙,VPN,IPS等多种功能。已经成为网络安全产品的一个发展方向。
面对着这些日益严重的复合型安全威胁时,企业往往为了完整的保护内部IT资源,需要投资购买大量的设备,包括VPN,防火墙,IDS,网络监控设备等多种设备。神码安全高性能防火墙集所有这些安全功能于一身,一台设备就能提供完整的安全解决方案,省去了购买众多冗余设备的成本与维护成本。
神码安全高性能防火墙内置神码安全的领先VPN技术,拥有神码安全高性能防火墙VPN的所有强大功能。除此之外,神码安全高性能防火墙防火墙拥有高效的IPS(入侵防御系统)功能,能有效识别和抵御多种攻击,更大范围的保护了企业连接到Internet的安全。
为保证企业合理使用Internet资源,防止企业信息资产泄漏,神码安全高性能防火墙提供了完善的访问控制功能。通过合理设置访问权限,杜绝了对不良网站和危险资源的访问,防止了P2P软件对企业网络带来的安全风险。通过带宽管理和访问跟踪技术,能有效防止对Internet资源的滥用。神码安全高性能防火墙安全审计功能更为防止保密信息泄漏提供了最有效的保证。
二、神码安全DC-FW v3.1高性能防火墙概述
神码安全高性能防火墙采用基于神州数码安全操作系统,采用状态检测技术,提供流量流速控制,能够完成负载均衡功能。神码安全高性能防火墙能够达到企业级应用要求,在安全性、稳定性和使用便利性达到完美的组合。
三、神码安全DC-FW v3.1高性能防火墙技术特色
3.1 专用安全操作系统
神码安全高性能防火墙采用神码安全公司自主研发,达到国家操作系统标准三级全部要求,部分达到四级标准。较之一般的防火墙底座,神码安全防火墙能够提供更多安全保障。针对神码安全防火墙,在保留神码安全操作系统安全特性的前提下,还对操作系统进行了裁剪,使得防火墙在神码安全操作系统中达到最优的性能。
细粒度存取控制——采用列表存取控制技术和强制存取控制技术。强制存取控制定义了粒度更为细的存取控制关系——用户与所执行的操作以及访问对象之间的存取关系,比如可以定义一个用户只读某一URI指定的资源。
3.2 纯硬件架构
由于采用完全硬件化设计,系统采用NP架构,没有机械元件,没有硬盘故障问题,系统的可靠性更高。
3.3 状态检测技术、核检测技术以及入侵模式匹配监测
状态检测技术——对所有的经过的IP包的各协议层进行分析,对于TCP包进行状态机建立和监视,对UDP包建立虚拟的连接,对其建立方向的概念,同时对ICMP包进行分析,决定其与已有的TCP或UDP连接之间的关系。对应用层,分析其语义。
核检测技术——在内核中建立各个应用的协议栈,还原协议内容进行检测。由于没有数据在应用层以及内核层交换的时间,所以系统的处理速度会迅速提高。
对每个经过的数据包进行入侵的模式匹配。
3.4 深度的内容检测、强大的P2P拦截功能
在上班时间做与工作无关的调查统计中,有60%的被调查员工承认其主要是在玩游戏、和使用QQ、MSN等P2P即时通讯软件。这些不仅影响了企业员工的正常工作,还造成了企业人力资源的严重浪费,间接造成了企业的巨大损失。高性能防火墙采用了在线网关监控
技术实现对包括QQ,MSN,SKYPE,BT 等任何P2P 软件的流量阻隔,及时封堵了IM 实时通讯软件。目前的P2P 软件,如QQ 、MSN 等IM 即时通讯软件以及BT 、电驴等下载软件,在用TCP 或者UDP 数据包的传送过程中,其报文段都会有一段特征码,该特征码是用来标识其数据包类型。神码安全高性能防火墙的深度内容检测技术,可以检测出数据包的报文中相对应的特征码,并根据预置策略进行及时封堵。防火墙 防火墙内置了多种深度内容检测技术所依赖的特征码规则,
并且可以自动更新,管理员也可以从网站上更新下载。依靠这种技术,防火墙 防火墙可以封堵目前所有的P2P 软件。避免了最终用户在IM 或者P2P 软件上浪费时间,提高了员工的工作效率和企业的生产效率。
拦截P2P 软件
3.5 严格的访问控制策略
神码安全高性能防火墙提供了基于组、时间、服务、网址策略、内容策略等多种对象组合的安全访问控制策略。管理员可以对企业的内网用户分组管理,并且对于每个组的策略,可以基于时间、服务、网址策略、内容策略等多种策略进行严格的访问控制管理。
3.6 危险网站阻隔
为了防止员工在上班时间访问与工作无关的网站,避免员工浏览不适当的网站产生相应的违法行为或者遭受间谍软件/网络钓鱼程序攻击导致企业的机密数据被窃取,企业的名誉受损。神码安全高性能防火墙可以对各种危险网站进行阻隔。由于互联网上各种危险网站层出不穷,用户根本无法手动更新相应的网站,防火墙 防火墙通过在线自动更新的不良网站列表,减少了企业的维护成本,降低了企业信息安全、法律责任等相关风险。
3.7 敏感数据拦截
由于采用了深度检测技术,对于HTTP,FTP,SMTP,IMAP 等应用协议数据包中含有的敏感数据,神码安全高性能防火墙能够进行有效的拦截,以防泄密或由于员工泄密引起的重大损失。
敏感数据拦截 3.8 强大的QOS 、丰富的日志报表功能
防火墙强大的访问控制和QOS 功能可以使得企业合理利用Internet 资源。为不同的用户分配不同的带宽和上网权限,使得Internet 资源得到有效利用,并大大提高员工的工作效率。丰富的报表功能还可以分析出企业的Internet 的详细使用情况,为网络管理员和决策者分配和了解员工网络资源提供有效数据支持。
3.9 访问跟踪、审计
神码安全高性能防火墙区别于旁路监听的访问监控产品,防火墙使用了在线网关监控技术。对于旁路监听产品,对UDP 发送的数据难以拦截,而且拦截往往有一定时延,拦截敏感数据的效果不佳,并且容易遗漏监控数据。防火墙的在线拦截监控技术保证拦截所有敏感数据,外出数据无一纰漏。
神码安全高性能防火墙可以记录和统计常用Http 、Smtp 、Ftp 、Pop3、Telnet 等多种应用协议,还可以对QQ 、MSN 、ICQ 等多种主流P2P 软件进行监控和控制,以防止通过
P2P 泄漏机密。在神码安全高性能防火墙的日志系统中,可以对所有的内网用户的上网行为进行
实时监控。可以实时查看内网用户所有的上网记录,包括Web 访问、FTP 、TELNET 、邮件(含Webmail )、QQ 、MSN 、ICQ 、YAHOO Message 等流行IM 的数据。丰富的报表功能可以形成完整的日志,记录整个网络的上网记录,为网络管理员和决策者分配和了解员工网络资源提供有效数据凭据。
3.10 防止DOS 攻击
DoS 攻击(拒绝服务攻击),通常是以消耗服务器端资源、迫使服务停止响应为目标,通过伪造超过服务器处理能力的请求数据造成服务器响应阻塞,从而使正常的用户请求得不到应答,以实现其攻击目的。通常DoS 攻击往往会导致服务器超负载运作,性能降低,影响
正常用户的登陆,甚至造成服务器瘫痪。而DDoS(Distributed Denial of Service,分布式拒绝服务) 是指攻击者从多个计算机系统上向一个目标系统同时发起攻击。因而比起DOS攻击,危险性更大。
通常DDOS攻击是由黑客手动寻找可入侵的计算机入侵并植入攻击程序,再下指令攻击目标。神码安全高性能防火墙不仅可以防御来自外网的DOS攻击,而且对于内网用户发起的DOS攻击,防火墙防火墙也可以进行防御。通过防火墙防火墙丰富的日志系统,管理员可以根据内网DOS攻击日志,查找出企业内网中了木马、或者病毒的用户,从而及时有效地阻断由内网发起的DOS攻击。避免了DOS攻击造成的企业网络带宽耗尽,或者因发起DOS攻击可能产生的法律纠纷。
对内网发起的DOS攻击防御
3.11 强大的VPN功能
神码安全高性能防火墙集成了神州数码科技领先的VPN技术,应用了神州数码科技已有的众多VPN专利技术和其他VPN特色功能。防火墙防火墙不仅是一款功能强大的防火墙,同时也是一款高性能的VPN网关。完全采用了神码安全高性能防火墙VPN/防火墙系列产品的全部技术特性。包括Webagent动态IP寻址、HARDCA硬件鉴权和身份识别、多线路绑定、即插即用的移动客户端等发明专利技术,同时神码安全高性能防火墙也集成了高速数据流压缩算法、细致的QOS和内网权限设定、防火墙等特色功能。
3.12 支持VOIP
可以状态跟踪H.323协议,动态的打开大端口。随着VOIP会话的结束,开放的大端口
自动关闭。是安全性与高效的有机结合的产物。
3.13 桥式防火墙
支持基于802.1d协议的真网桥,实现桥式防火墙。同时可以实现基于ARP代理的伪网桥。可以实现在不改动原有网络结构的前提下实现有效的访问控制。
3.14 强大的审计功能
神码安全高性能防火墙提供了丰富的日志系统,丰富的报表功能可以分析出企业的Internet的详细使用情况,为网络管理员和决策者分配和了解员工网络资源提供有效数据支持。
丰富的审计
四、DC-FW v3.1 技术参数指标
神州数码易安-文件保密系统技术白皮书 本文阐述神州数码易安-文件保密系统的技术要领及功能,如果您是神州数码易安-文件保密系统技术服务人员或企业内部的神州数码系统管理人员,您可以从本文中得到技术上的参考和帮助。神州数码Digital China拥有所有版权。
一、神州数码易安-文件保密系统实现原理 I、原理图 II、神州数码易安-文件保密系统原理 (1)实现原理 通过“神州数码易安-文件保密系统”加载到Windows的内核,我们可以监控Windows 的所有与文件读写、打印机输出及数据通讯等相关的执行过程,从而对非法访问进行控
制,并对敏感的数据进行实时的加密。 (2)安全性 神州数码易安-文件保密系统是加载在Windows内核中的软件监控系统,当安装了神州数码易安-文件保密系统后,用户无法看到神州数码易安-文件保密系统在运行,但用户的任何动作,如保存文件、读文件等都在神州数码易安-文件保密系统的监控之下。 用户试图关闭神州数码易安-文件保密系统是不可能的,就象Windows运行时您不可能关闭Windows内核一样,除非您关闭计算机。 (3)稳定性 神州数码易安-文件保密系统的实现采用了32位(并可以支持64位系统)软件代码,并在Windows内核执行前实现监控并触发少量必要的加密动作,因此,该系统在运行时,并不损耗系统资源,且能“安静而忠诚”的工作着。只有当指定的应用软件如Pro/E 访问数据文件如ASM后缀的文件时才触发加密动作。安装完神州数码易安-文件保密系统后,对系统的影响就象多加装了一个USB接口的硬件设备及其驱动程序。 III、实时强制加密 神州数码易安-文件保密系统采用的加密方式为实时加密。即操作人员在文件写入或修改完成时,易安-文件保密系统会实时对文件进行加密,确保文件的安全性。 神州数码易安-文件保密系统可对不同客户端进行不同的加密策略配置。即对于客户的特殊要求,例如,对不同的客户端的加密应用程序有不同的要求(有的客户端控制Office 应用程序所产生的文件,而有的客户端则控制AutoCAD应用程序所产生的文件),我们可以根据客户的不同需求,通过不同的加密策略的配置来达到客户要求的控制效果 即使不同企业都采用神州数码易安-文件保密系统,不同的企业也不能打开其它企业的图文档。因为易安-文件保密系统是通过软件加硬件的方式进行加密,不同的硬件网络有不同的加密格式。图文档一旦离开了本公司的办公网络就会失效。
齐头并进堵源治本高校校园网ARP攻击防御解决方案 DIGTIAL CHINA DIGITAL CAMPUS 神州数码网络有限公司 2008-07
前言 自2006年以来,基于病毒的arp攻击愈演愈烈,几乎所有的校园网都有遭遇过。地址转换协议ARP(Address Resolution Protocol)是个链路层协议,它工作在OSI参考模型的第二层即数据链路层,与下层物理层之间通过硬件接口进行联系,同时为上层网络层提供服务。ARP攻击原理虽然简单,易于分析,但是网络攻击往往是越简单越易于散布,造成的危害越大。对于网络协议,可以说只要没有验证机制,那么就可以存在欺骗攻击,可以被非法利用。下面我们介绍几种常见ARP攻击典型的症状: ?上网的时候经常会弹出一些广告,有弹出窗口形式的,也有嵌入网页形式的。下载的软件不是原本要下载的,而是其它非法程序。 ?网关设备ARP表项存在大量虚假信息,上网时断时续;网页打开速度让使用者无法接受。 ?终端不断弹出“本机的XXX段硬件地址与网络中的XXX段地址冲突”的对话框。 对于ARP攻击,可以简单分为两类: 一、ARP欺骗攻击,又分为ARP仿冒网关攻击和ARP仿冒主机攻击。 二、ARP泛洪(Flood)攻击,也可以称为ARP扫描攻击。 对于这两类攻击,攻击程序都是通过构造非法的ARP报文,修改报文中的源IP地址与(或)源MAC地址,不同之处在于前者用自己的MAC地址进行欺骗,后者则大量发送虚假的ARP报文,拥塞网络。 图一 ARP仿冒网关攻击示例
神州数码网络秉承“IT服务随需而动”的理念,对于困扰高教各位老师已久的ARP 攻击问题,结合各个学校网络现状,推出业内最全、适用面最广、最彻底的ARP整体解决方案。 神州数码网络公司从客户端程序、接入交换机、汇聚交换机,最后到网关设备,都研发了ARP攻击防护功能,高校老师可以通过根据自己学校的网络特点,选取相关的网络设备和方案进行实施。
2015年全国职业院校技能大赛高职组“神州数码”杯“信息安全管理与评估”赛项任务书 一、赛项时间 9:00-13:00,共计6小时,含赛题发放、收卷及午餐时间。 二、赛项信息 三、赛项内容 假定各位选手是某公司的信息安全工程师,负责维护公司信息系统安全。你们需要完成三个阶段的任务,其中前两个阶段需要提交任务操作文档留存备案,所有文档需要存放在裁判组专门提供的U盘中。第三阶段是否提交文档,请根据现场具体题目要求。 选手首先需要在U盘的根目录下建立一个名为“xx工位”的文件夹,并在“xx工位”文件夹下,建立“第一阶段”、“第二阶段”两个文件夹,赛题两个阶段的文档分别归类放置在对应的文件夹中。 例如:08工位,则需要在U盘根目录下建立“08工位”文件夹,并在“08工位”文件夹下建立“第一阶段”、“第二阶段”两个文件夹。 特别说明:只允许在根目录下的“08工位”文件夹中体现一次工位信息,不允许在其
他文件夹名称或文件名称中再次体现工位信息,否则按作弊处理。 (一)赛项环境设置 赛项环境设置包含了三个竞赛阶段的基础信息:网络拓扑图、IP地址规划表、设备初始化信息。 1.网络拓扑图
2.IP地址规划表
3.设备初始化信息
(二)第一阶段任务书(300分) 提示:该阶段答案文档命名格式为:“第X阶段”-“任务X”-“任务名称”。 例:“第一阶段、任务二、网络安全设备配置与防护”的答案提交文档,文件名称为:第一阶段-任务二-网络安全设备配置与防护.doc或第一阶段-任务二-网络平台搭建.docx。 任务一:网络平台搭建(60分) 提示:需要提交所有设备配置文件,其中DCRS设备要求提供show run配置文件保存到WORD文档,DCFW、DCFS、WAF、DCBI设备需要提交配置过程截图存入WORD文档,并在截图中加配置说明。提交的答案保存到一个WORD文档中,标明题号,按顺序答题。 平台搭建要求如下: 任务二:网络安全设备配置与防护(240分) 提示:需要提交所有设备配置文件,其中DCRS设备要求提供show run配置文件保存到WORD文档,DCFW、DCFS、WAF、DCBI设备需要提交配置过程截图存入WORD文档,并在截图中加以说明。请顺序答题,并标注题号。每个设备提交的答案保存到一个WORD文档中。1.在公司总部的DCFW上配置,开启网络管理功能(SNMP),网管服务器连接在服务器区, IP地址是服务器区内第二个可用地址(服务器区IP地址段参考“赛场IP参数表”),community名字为public,网管软件对DCFW没有写权限。(6分) 2.在公司总部的DCFW上配置,连接互联网的接口属于WAN安全域、连接内网的接口属于 LAN安全域,开启DCFW的DDoS防护。(6分)
DCN信息安全及攻防实训室 建设方案 神州数码网络(北京)有限公司 2014年12月
目录 第一章信息安全及攻防”实训室概述............................................ 错误!未定义书签。 .信息安全人才需求分析................................................... 错误!未定义书签。 .信息安全人才培养面临的问题............................................. 错误!未定义书签。 .方案设计理念........................................................... 错误!未定义书签。 .我们的优势............................................................. 错误!未定义书签。第二章“信息安全及攻防”实训室需求分析...................................... 错误!未定义书签。 .信息安全专业需求分析................................................... 错误!未定义书签。 .本科/高职/中职院校信息安全人才培养策略................................. 错误!未定义书签。 根据就业前景,加大人才培养力度...................................... 错误!未定义书签。 以就业需求为向导,贴近企业课程置换.................................. 错误!未定义书签。 德才兼修,开拓新型教学方式.......................................... 错误!未定义书签。 选择以工作过程为向导的教材......................................... 错误!未定义书签。 双师型教师培养 .................................................... 错误!未定义书签。 .信息安全实训室的意义................................................... 错误!未定义书签。 实训室对学校的意义 ................................................ 错误!未定义书签。 实训室对教师的意义 ................................................ 错误!未定义书签。 实训室对学生的意义 ................................................ 错误!未定义书签。 信息安全实训室对DCN的意义......................................... 错误!未定义书签。 .信息安全实训室建设要点分析............................................. 错误!未定义书签。 实验平台对业务的支撑,与时俱进..................................... 错误!未定义书签。 完整的信息安全专业教学内容......................................... 错误!未定义书签。 开放的实验设施平台 ................................................ 错误!未定义书签。 有效的实验平台管理 ................................................ 错误!未定义书签。 丰富的培训教材 .................................................... 错误!未定义书签。 师资培训 .......................................................... 错误!未定义书签。 权威认证培训 ...................................................... 错误!未定义书签。 技术服务保障 ...................................................... 错误!未定义书签。第三章“信息安全及攻防”实训室解决方案...................................... 错误!未定义书签。 .信息安全实训室拓扑图................................................... 错误!未定义书签。 .信息安全实训室设备清单................................................. 错误!未定义书签。 .信息安全课程设计....................................................... 错误!未定义书签。 面向中高职院校—DCNSA ............................................. 错误!未定义书签。 面向高职、本科院校 --DCNSE......................................... 错误!未定义书签。 信息安全实训室基础实验项目......................................... 错误!未定义书签。 DCST系列产品实验项目.............................................. 错误!未定义书签。 .实训室布局............................................................. 错误!未定义书签。 实训室物理布局 .................................................... 错误!未定义书签。 实训室设备安装和布线示意图......................................... 错误!未定义书签。 .实训室教学管理......................................................... 错误!未定义书签。 统一平台管理 ...................................................... 错误!未定义书签。
1.下列应用使用TCP连接的有(本题3项正确) A.Telnet B.BGP C.FTP D.TFTP 2.TCP和UDP协议的相似之处是 A.传输层协议 B.面向连接的协议 C.面向非连接的协议 D.其它三项均不对 3.下列应用使用UDP连接的有(本题3项正确) A.TFTP B.Syslog C.SNMP D.HTTP 4.第一个八位组以二进1110开头的IP地址是()地址 A.Class A B.Class B C.Class C D.Class D 5.下面哪些不是ICMP提供的信息 A.目的地不可达 B.目标重定向 C.回声应答 D.源逆制 6.C类地址最大可能子网位数是 A.6 B.8 C.12 D.14 7.()协议是一种基于广播的协议,主机通过它可以动态的发现对应于一个IP地址的MAC地址 A.ARP B.DNS C.ICMP D.RARP 8.IP地址为子网掩码为的地址,可以划分多少个子网位,多少个主机位 A.2,32 B.4,30 C.254,254 D.2,30 9.关于IPX的描述正确的是(本题3项正确) A.IPX地址总长度为80位,其中网络地址占48位,节点地址占32位 B.IPX地址总长度为80位,其中网络地址占32位,节点地址占48位
C.IPX是一个对应于OSI参考模型的第三层的可路由的协议 D.NCP属于应用层的协议,主要在工作站和服务器间建立连接,并在服务器和客户 机间传送请求和响应 10.在无盘工作站向服务器申请IP地址时,使用的是()协议 A.ARP B.RARP C.BOOTP D.ICMP 11.以太网交换机的数据转发方式可以被设置为(本题2项正确) A.自动协商方式 B.存储转发方式 C.迂回方式 D.直通方式 12.当交换机检测到一个数据包携带的目的地址与源地址属于同一个端口时,交换机会怎样处理? A.把数据转发到网络上的其他端口 B.不再把数据转发到其他端口 C.在两个端口间传送数据 D.在工作在不同协议的网络间传送数据 13.下面哪个标准描述了生成树协议 A. B. C. D. 14.下列有关端口隔离的描述正确的是:(本题2项正确) A.DCS-3726B出厂时即是端口隔离状态,所有端口都可以与第一个端口通信,但之 间不可以互通 B.DCS-3726S可以通过配置实现与3726B一样的端口隔离功能,但出厂默认不时隔 离状态 C.可以通过配置私有VLAN功能实现端口隔离 D.可以通过配置公用端口实现端口隔离 15.下列关于静态配置链路聚合和动态配置链路聚合的理解正确的是: A.静态配置链路聚合需要在聚合组的每个聚合端口中进行配置 B.动态配置链路聚合只需要在主端口中配置一次,在全局模式中配置启用lacp协 议即可 C.静态配置链路聚合不能进行负载均衡 D.动态配置链路聚合不需要配置聚合组号,交换机会根据目前聚合组的情况自动 指定 16.网络接口卡(NIC)可以做什么? A.建立、管理、终止应用之间的会话,管理表示层实体之间的数据交换 B.在计算机之间建立网络通信机制 C.为应用进程提供服务 D.提供建立、维护、终止应用之间的会话,管理表示层实体之间的数据交换17.以下关于以太网交换机的说法哪些是正确的?
选择题(每题2分)共40题 1. 如下图所示,某学校在市中心有三栋楼,楼之间的距离都是200米,要求楼宇之间使用千兆互连,综合楼中网管工作室有三台服务器,要求全部使用千兆连接,则综合楼里的核心交换机上应该安装多少个千兆端口: A、 4个 B、 5个 C、 6个 D、 7个 2. 下面的说法正确的是: A、企业级服务器应该放置在核心层 B、企业级服务器应该放置在汇聚层 C、工作组级服务器应该放置在汇聚层 D、工作组级服务器应该放置在接入层 3. 集线器目前一般处于分层的局域网的哪个层次 A、接入层 B、核心层 C、传输层 D、汇聚层 4. 三层架构中,核心层的中心任务是: A、提供足够的端口密度 B、高速数据交换 C、提供全面的路由策略 D、远程站点的接入 5. 以下几种网络的拓扑结构中,可靠性最高的结构是: A、星型网络 B、环形网络 C、网状网络 D、树型网络 6. 可扩展交换局域网络(2-2-3)的缺点是: A、投资最大
B、会聚层有较大的延迟 C、如果不划分VLAN,网络只有有限的广播域 D、低成本,易安装,可划分VLAN 7. 下面哪一个协议不使用广播进行通信: A、 RIP B、 IGRP C、 DHCP D、 OSPF 8. 下面哪些设备可以有效的隔离广播域 A、二层交换机 B、网桥 C、路由器 D、中继器 E、集线器 9. 如下图所示, 某学校在市中心有三栋楼,楼之间的距离都是200米,要求楼宇之间使用千兆互连,如果服务器可以采用百兆的连接,那么综合楼以下的设计中,哪一个是最佳方案: A、使用一台DCS-3950S,最多可以提供2个GBIC接口,同时提供52个百兆端口 B、使用一台DCS-3950S和一台DCS-3926S,可以提供2个GBIC接口,同时提供72个百兆端口 C、使用一台DCS-3950S和一台DCS-3926S,可以提供2个GBIC接口,同时提供78个百兆端口 D、使用一台DCS-3950S和一台DCS-3926S,可以提供2个GBIC接口,同时提供74个百兆端口 10. 目前端口扩展的主要技术有: A、堆叠 B、聚合 C、生成树 D、级联 E、冗余
神州数码大型企业网络防火墙解决方案 神州数码大型企业网络防火墙整体解决方案,在大型企业网络中心采用神州数码DCFW-1800E防火墙以满足网络中心对防火墙高性能、高流量、高安全性的需求,在各分支机构和分公司采用神州数码DCFW-1800S 防火墙在满足需要的基础上为用户节约投资成本。另一方面,神州数码DCFW-1800系列防火墙还内置了VPN 功能,可以实现利用Internet构建企业的虚拟专用网络。 返回页首 防火墙VPN解决方案 作为增值模块,神州数码DCFW-1800防火墙内置了VPN模块支持,既可以利用因特网(Internet)IPSEC 通道为用户提供具有保密性,安全性,低成本,配置简单等特性的虚拟专网服务,也可以为移动的用户提供一个安全访问公司内部资源的途径,通过对PPTP协议的支持,用户可以从外部虚拟拨号,从而进入公司内部网络。神州数码DCFW-1800系列防火墙的虚拟专网具备以下特性: - 标准的IPSEC,IKE与PPTP协议 - 支持Gateway-to-Gateway网关至网关模式虚拟专网 - 支持VPN的星形(star)连接方式
- VPN隧道的NAT穿越 - 支持IP与非IP协议通过VPN - 支持手工密钥,预共享密钥与X.509 V3数字证书,PKI体系支持 - IPSEC安全策略的灵活启用:管理员可以根据自己的实际需要,手工禁止和启用单条IPSEC安全策略,也为用户提供了更大的方便。 - 支持密钥生存周期可定制 - 支持完美前项保密 - 支持多种加密与认证算法: - 加密算法:DES, 3DES,AES,CAST,BLF,PAP,CHAP - 认证算法:SHA, MD5, Rmd160 - 支持Client-to-Gateway移动用户模式虚拟专网 - 支持PPTP定制:管理员可以根据自己的实际需要,手工禁止和启用PPTP。 返回页首
1. 基本配置: 开启SSH服务:debug ssh-server 设置特权模式密码:enable password [8]
神州数码 DC-FW v3.1高性能防火墙 技术白皮书 北京神州数码有限公司 2007年8月
目录 一、序言 (2) 二、神码安全DC-FW v3.1高性能防火墙概述 (3) 三、神码安全DC-FW v3.1高性能防火墙技术特色 (3) 3.1 专用安全操作系统 (3) 3.2 纯硬件架构 (3) 3.3 状态检测技术、核检测技术以及入侵模式匹配监测 (3) 3.4 深度的内容检测、强大的P2P拦截功能 (3) 3.5 严格的访问控制策略 (4) 3.6 危险网站阻隔 (4) 3.7 敏感数据拦截 (5) 3.8 强大的QOS、丰富的日志报表功能 (5) 3.9 访问跟踪、审计 (5) 3.10 防止DOS攻击 (5) 3.11 强大的VPN功能 (6) 3.12 支持VOIP (6) 3.13 桥式防火墙 (7) 3.14 强大的审计功能 (7) 四、DC-FW v3.1 技术参数指标 (7)
一、序言 随着网络的发展和Internet的广泛应用,当今的网络安全威胁已经由原来的针对TCP/IP 协议本身弱点的攻击转向针对特定系统和应用漏洞的攻击和入侵。回顾2004年,以冲击波、震荡波、安哥Bot、MyDoom等蠕虫与木马病毒为主的网络化病毒,加上利用网络协议及应用漏洞进行攻击与入侵行为,给全球企业造成了巨大的损失。据统计,仅2004年,病毒等恶意程序就给全球造成了1690亿美元的经济损失。 此时,传统的防火墙已经显得无能为力。例如针对Windows系统和Oracle/SQL Server 等数据库的攻击,这些攻击和入侵手段封装在TCP/IP协议的有效载荷部分。传统的防火墙由于只查TCP/IP协议包头部分而不检查数据包的内容,所以无法检测出此类攻击。基于网络传播的病毒及间谍软件给互联网用户造成了巨大的损失,层出不穷的即时消息和P2P应用(例如MSN、QQ、BT等)给企业带来许多安全威胁并降低员工的工作效率。传统的防火墙设备在面对这些复合型的安全威胁时,已经不能满足客户的安全需求。 防火墙设备包括防火墙,VPN,IPS等多种功能。已经成为网络安全产品的一个发展方向。 面对着这些日益严重的复合型安全威胁时,企业往往为了完整的保护内部IT资源,需要投资购买大量的设备,包括VPN,防火墙,IDS,网络监控设备等多种设备。神码安全高性能防火墙集所有这些安全功能于一身,一台设备就能提供完整的安全解决方案,省去了购买众多冗余设备的成本与维护成本。 神码安全高性能防火墙内置神码安全的领先VPN技术,拥有神码安全高性能防火墙VPN的所有强大功能。除此之外,神码安全高性能防火墙防火墙拥有高效的IPS(入侵防御系统)功能,能有效识别和抵御多种攻击,更大范围的保护了企业连接到Internet的安全。 为保证企业合理使用Internet资源,防止企业信息资产泄漏,神码安全高性能防火墙提供了完善的访问控制功能。通过合理设置访问权限,杜绝了对不良网站和危险资源的访问,防止了P2P软件对企业网络带来的安全风险。通过带宽管理和访问跟踪技术,能有效防止对Internet资源的滥用。神码安全高性能防火墙安全审计功能更为防止保密信息泄漏提供了最有效的保证。
10级网络设备常规实训【router】文档 -2011-2012学年第一学期- 实训老师:沈广东刘海涛 编辑:蒋立彪沈广东 目录 一、路由器基本配置-------------------------------------------03 二、使用访问控制列表(ACL)过滤网络数据包-------06 三、路由器的NAT功能--------------------------------------08 四、路由器DHCP 配置--------------------------------------10 五、本地局域网互联(路由协议配置)------------------14 六、使用DCVG-204实现VOIP ---------------------------19 七、跨路由使用DCVG-204---------------------------------22
一、路由器基本配置 一、试验目的: 1.掌握路由器本地设置的方法。 2.掌握路由器设置命令。(设置端口IP) 3.掌握路由器远程设置的方法。(telnet 服务) 二、试验设备 1.DCR-1700路由器1台 2.Console 线、直通双绞线 3.DCRS-3926S交换机1台 三、试验拓扑结构 :192.168.1.2/24 192.168.1.254 线 //思考1:如果路由器要直接和PC连接,是用直通线?还是交叉线? 三、实验任务及步骤 1.Console 口连接 2.任务模式:enable 特权配置模式 Config 全局配置模式 3.测试计算机与路由器的连通性 PC机配置: Route 配置: Router#delete this file will be erased,are you sure?(y/n)y no such file Router#reboot Do you want to reboot the router(y/n)? //恢复出厂设置并重启 Router_config#hostname RouterA RouterA _config# //修改主机名 RouterA _config#interface fastEthernet 0/0 (//进入100M端口,) //思考2:若想进入10M口如何? // RouterA _config#interface ethernet 0/1 进入10M口
神码防火墙配置RIPv2和ospf ip vrouter trust-vr router ospf net 1.1.1.0/24 area0 route rip version 2 net 1.1.1.0 255.255.255.0 防火墙设置NAT转换 例如:内网地址为192.168.0.0/24;外网地址为A.A.A.A/29。第一步:将各接口分配安全域并配置IP 地址。 hostname# configure hostname(config)# interface ethernet0/1 hostname(config-if-eth0/1)# zone trust hostname(config-if-eth0/1)# ip address 192.168.0.1/24 hostname(config-if-eth0/1)# exit hostname(config)# interface ethernet0/2 hostname(config-if-eth0/2)# zone untrust hostname(config-if-eth0/2)# ip address A.A.A.A/29 hostname(config-if-eth0/2)# exit 第二步:配置地址条目。 hostname(config)# address addr1 hostname(config-addr)# ip 192.168.0.1/24 hostname(config-addr)# exit hostname(config)# address addr2 hostname(config-addr)#ip A.A.A.A/29 hostname(config-addr)# exit 第三步:配置安全策略规则。 hostname(config)# policy from trust to untrust hostname(config-policy)# rule from addr1 to any service any permit hostname(config-policy)# exit 第四步:配置NA T 规则。 hostname(config)# nat hostname(config-nat)# snatrule from addr1 to any eif ehternet0/2 hostname(config-nat)# exit ps:最后新建一条缺省路由,下一跳为e0/2
山石网科SG/神州数码DCFW-1800系列安全网关至中神通UTMWALL的功能迁移手册 更多产品迁移说明: 山石网科安全网关是Hillstone针对中小企业及分支机构用户的安全现状和需求推出的全新高性能多核安全网关。产品采用业界领先的多核Plus G2安全架构和64位实时安全操作系统StoneOS?,提供全方位的安全防护、易用的可视化管理和卓越的性能,为中小企业和分支机构用户提供高性价比的全面安全解决方案。山石网科下一代智能防火墙采用创新的主动检测技术和智能多维处理架构,通过全网健康指数帮助用户实时掌握安全状况;基于先进的应用识别和用户识别技术,为用户提供高性能应用层安全防护及增强的智能流量管理功能。 神州数码DCFW-1800系列防火墙是神州数码网络有限公司自主开发、拥有知识产权的新一代高性能纯硬件网络安全产品,能够为大中型企业、政府机关、教育机构等的网络安全问题提供安全高速的解决方案。DCFW-1800系列防火墙拥有集成的网络安全硬件平台,采用专有的实时操作系统,可以灵活的划分安全域,并且可以自定义其它安全级别的域,防火墙的安全策略规则会对信息流进行检查和处理,从而保证网络的安全。 武汉中神通信息技术有限公司历经15年的开发和用户使用形成了中神通UTMWALL?系列产品,有硬件整机、OS软件、虚拟化云网关等三种产品形式,OS 由50多个不断增长的功能APP、32种内置日志和5种特征库组成,每个APP都有配套的在线帮助、任务向导、视频演示和状态统计,可以担当安全网关、防火墙、UTM、NGFW等角色,胜任局域网接入、服务器接入、远程VPN接入、流控审计、行为管理、安全防护等重任,具备稳定、易用、全面、节能、自主性高、扩展性好、性价比优的特点,是云计算时代的网络安全产品。 以下是两者之间的功能对比迁移表: 山石网科SG v5.0功能项页码中神通UTMWALL v1.8功能项页码第1章产品概述 1 A功能简介8 第2章搭建配置环境 6 B快速安装指南9 第3章命令行接口(CLI)10 B快速安装指南9 第4章系统管理15 2系统管理47
1800 E/S 网桥模式的配置步骤 (本部分内容适用于:DCFW-1800E 和DCFW-1800S系列防火墙)在本章节我们来介绍一下1800E和1800S防火墙网桥模式的配置方法以及步骤。 网络结构: 内网网段为:10.1.157.0 /24,路由器连接内部网的接口IP地址为:10.1.157.2 ,内网主机的网关设为:10.1.157.2 pc1 IP地址为:10.1.157.61 防火墙工作在网桥模式下,管理地址为:10.1.157.131 ,防火墙网关设为:10.1.157.2 管理主机设为:10.1.157.61 要求: 添加放行规则,放行内网到外网的tcp,udp,ping ;外网能够访问pc1 的http,ftp,ping 服务。 地址转换在路由器上作。 注意: 1800E和1800S在启用网桥模式后,只能在内网口上配置管理ip地址,外网口不能配置IP 地址,DMZ口在网桥模式下不能用。并且启用网桥后只能在内网中管理防火墙!!!。
实验步骤: 说明: 防火墙的网络地址的默认配置:内网口192.168.1.1 , 外网口192.168.0.1 ,DMZ口192.168.3.1 系统管理员的名称:admin 密码:admin. 一根据需求更改防火墙IP地址,添加管理主机,然后进入web管理界面 1.1进入超级终端,添加管理防火墙的IP地址: ( 超级终端的配置) 点击确定,然后按数下回车,进入到1800E/S防火墙的超级终端配置界面:
1.2 根据网络环境更改防火墙的内网口的IP地址和防火墙的网关 说明:if0 为防火墙的外网口;if1 为防火墙的内网口;if2 为防火墙的DMZ口
神码三层交换机基本配置方法 我是新手,为了便于设置三层交换机,整理了各位专家的讲座,弄出了一个简单的流程,便于像我一样的同仁参考,同时也算保留一份资料,便于以后忘记了查阅。 一、三层交换机的连接和启动 先将数据线分别连接到PC的COM1和三次交换机的数据口。 在PC上程序——附件——通讯——超级终端 输入连接名称新建连接——选择COM1端口——还原默认设置 二、进入操作界面 1、基本命令(输入时可用TEB键快速输入命令) enable 特权用户配置模式write 将配置信息写入flash config 全局配置模式 reload 重启交换机 2、清空交换机 set default write reload 3、清空交换机密码 断电,启动时按CTYL+B,输入nopassword ,再输入reload 三、建立VLAN,并给VLAN分配端口,指定IP vlan 100 建立VLAN100 interface ethernet 0/0/11-20 switchport acces vlan 100 将端口11——20分配给VLAN100 exit l3-forward enable 开启三层专访 interface vlan 100 ip address 10.139.XX.XX 255.255.255.224 给VLAN100分配IP段为10.139.XX.XX——10.139.XX.XX(掩码为27位224) exit 四、配置静态路由 l3-forward enable 开启三层专访
vlan 400 建立VLAN400 interface ethernet 0/0/49-50 switchport acces vlan 400 把端口49-50分配给VLAN400 exit interface vlan 400 ip address 10.138.1.XX 255.255.255.0 给VLAN400指定IP(WAN地址) exit ip route 0.0.0.0 0.0.0.0 10.138.1.XX(指定WAN的网关) ip route 10.139.XX.0 255.255.255.0 0.0.0.0(指定内网网段) firewall enable(启动防火墙) firewall default permit(让防火墙起作用) 五、配置镜像监控端口 vlan 500 建立VLAN500 interface ethernet 0/0/51-52 switchport acces vlan 500 将端口51——52分配给VLAN500 exit l3-forward enable 开启三层专访 interface vlan 500 ip address 10.139.XX.XX 255.255.255.224 给VLAN500分配IP段为10.139.XX.XX——10.139.XX.XX(掩码为27位224),也就是监控机PC的IP段。 exit interface ethernet 0/0/49-50 确定镜像源端口 speed-duplex force100-full 限定速度 exit monitor session 1 source interface ethernet 0/0/49-50 把49——50的作为镜像源端口monitor session 1 destination interface ethernet 0/0/51-52 把51和52作为镜像端口(最好设定一个口) 六、设置WEB和telnet方式管理交换机 ip http server 启动HTTP服务 web-user admin password 0 admin 设置用户名和密码 no ip http server 停止HTTP服务 telnet-server enable 启动telnet服务
大型企业网络防火墙解决方案 神州数码大型企业网络防火墙整体解决方案,在大型企业网络中心采用神州数码 DCFW-1800E防火墙以满足网络中心对防火墙高性能、高流量、高安全性的需求,在各分支机构和分公司采用神州数码DCFW-1800S防火墙在满足需要的基础上为用户节约投资成本。另一方面,神州数码DCFW-1800系列防火墙还内置了VPN功能,可以实现利用Internet构建企业的虚拟专用网络。 防火墙VPN解决方案 作为增值模块,神州数码DCFW-1800防火墙内置了VPN模块支持,既可以利用因特网(Internet)IPSEC通道为用户提供具有保密性,安全性,低成本,配置简单等特性的虚拟专网服务,也可以为移动的用户提供一个安全访问公司内部资源的途径,通过对PPTP协议的支持,用户可以从外部虚拟拨号,从而进入公司内部网络。神州数码DCFW-1800系列防火墙的虚拟专网具备以下特性: 标准的IPSEC,IKE与PPTP协议
支持Gateway-to-Gateway网关至网关模式虚拟专网 支持VPN的星形(star)连接方式 VPN隧道的NAT穿越 支持IP与非IP协议通过VPN 支持手工密钥,预共享密钥与X.509 V3数字证书,PKI体系支持IPSEC安全策略的灵活启用:管理员可以根据自己的实际需要,手工禁止和启用单条IPSEC安全策略,也为用户提供了更大的方便。 支持密钥生存周期可定制 支持完美前项保密 支持多种加密与认证算法: 加密算法:DES, 3DES,AES,CAST,BLF,PAP,CHAP 认证算法:SHA, MD5, Rmd160 支持Client-to-Gateway移动用户模式虚拟专网 支持PPTP定制:管理员可以根据自己的实际需要,手工禁止和启用PPTP。
DCFW-1800系列 神州数码防火墙安装手册 文档发布版本号:V-N2.0R5-05 ? 2008 神州数码网络有限公司 Digital China Networks LTD All Rights Reserved.
版权声明 本文档中的内容是神州数码DCFW-1800防火墙安装指南。本材料的相关权力归神州数码网络有限公司所有。文档中的任何部分未经本公司许可,不得转印、影印或复印。 由于产品版本升级或其它原因本文档内容会不定期进行更新。除非另有约定,本文档仅作为使用指导。本手册中的所有陈述信息和建议不构成任何明示或暗示的担保。 此文档针对神州数码DCFW-1800全系列产品。因DCFW-1800全系列产品各功能模块并不相同,恕不另行通知。 本声明仅为文档信息的使用而发表,非为广告或产品背书目的。支持信息 本资料将定期更新。如欲获取最新相关信息,请查阅公司网站:https://www.doczj.com/doc/409742896.html,或https://www.doczj.com/doc/409742896.html,,或直接致电神州数码客服中心服务热线800-810-9119。 您的意见和建议请发送至:zongyu@https://www.doczj.com/doc/409742896.html,。
前言 内容简介 本手册为神州数码DCFW-1800系列防火墙的安装手册,能够帮助用户正确安装DCFW-1800系列防火墙。本手册的内容包括:?第1章产品介绍 ?第2章防火墙安装前的准备工作 ?第3章防火墙的安装 ?第4章防火墙的启动和配置 ?第5章常见故障处理 手册约定 为方便用户阅读与理解,本手册遵循如下约定: ?警告:表示如果该项操作不正确,可能会给防火墙或防火墙操作者带来极大危险。因此操作者必须严格遵守正确的操作规 程。 ?注意:表示在安装和使用防火墙过程中需要注意的操作。该操作不正确,可能影响防火墙的正常使用。 ?说明:为用户提供有助于理解内容的说明信息。