网神SecGate 3600-G系列防火墙技术白皮书
目录
1 概述 (1)
2 网神SECGATE 3600-G系列防火墙主要功能列表 (1)
3 网神SECGATE 3600-G 系列防火墙六大特色 (3)
3.1独立的S EC OS安全协议栈 (3)
3.2独创的智能高效搜索算法 (4)
3.3深度的网络行为关联分析 (4)
3.4全面的连接状态监控和实时阻断 (4)
3.5强大的网络拓扑自适应性 (4)
3.6智能便捷的配置向导和管理方式 (4)
4 网神SECGATE 3600-G系列防火墙主要功能介绍 (5)
4.1自适应的网络接入模式 (5)
4.2完善的状态包过滤 (5)
4.3强大的抗攻击能力 (5)
4.4全面的NAT地址转换 (6)
4.5丰富的预定义代理和自定义代理 (6)
4.6独创的高效安全规则搜索算法 (6)
4.7全面灵活的连接限制 (7)
4.8策略路由和链路聚合 (7)
4.9动态路由支持 (7)
4.10深度内容过滤 (7)
4.11深度动态协议分析 (7)
4.12全面的VLAN支持 (7)
4.13用户认证 (8)
4.14IP/MAC地址绑定 (8)
4.15灵活的时间调度 (8)
4.16与IDS联动 (8)
4.17入侵检测IPS (9)
4.18病毒过滤 (9)
4.19流量整形和带宽管理 (9)
4.20完善的DHCP支持 (10)
4.21双机热备和高可用性HA (10)
4.22全面的系统监控 (10)
4.23便捷的配置向导 (10)
4.24对象名称定义和引用 (10)
4.25丰富、安全的管理方式 (10)
4.26分级权限的安全管理 (11)
4.27与S EC F OX集中远程管理无缝集成 (11)
4.28完善的系统升级 (11)
4.29系统配置的导入导出 (11)
4.30全面的日志审计和日志服务器 (11)
5 网神SECGATE 3600-G系列的典型应用环境 (11)
5.1拓扑一:多出口链路聚合 (11)
5.2拓扑二:透明旁路接入 (12)
5.3拓扑三:全冗余的高可用性 (13)
1 概述
网神SecGate 3600-G系列千兆级防火墙是基于状态检测包过滤和应用级代理的复合型硬件防火墙,是专门面向大中型企业、政府、军队、高校等用户开发的新一代专业防火墙设备,支持外部攻击防范、内网安全、网络访问权限控制、网络流量监控和带宽管理、动态路由、网页内容过滤、邮件内容过滤、入侵检测、病毒过滤、IP冲突检测等功能,能够有效地保证网络的安全;产品提供灵活的网络路由/桥接能力,支持策略路由,多出口链路聚合;提供多种智能分析和管理手段,支持邮件告警,支持日志审计,提供全面的网络管理监控,协助网络管理员完成网络的安全管理。
网神SecGate 3600-G系列防火墙采用模块化设计,可以根据用户需求灵活配置接口模块,使得该款产品最多可支持16个千兆网络接口。网神SecGate 3600-G4防火墙是一款1U的标准品,包含6个10/100/1000M自适应电口。
网神SecGate 3600-G系列防火墙已获得公安部等部门颁发的信息安全产品销售许可证。
2 网神SecGate 3600-G系列防火墙主要功能列表
1
2
3 网神SecGate 3600-G 系列防火墙六大特色
3.1 独立的SecOS安全协议栈
完全自主知识产权的SecOS实现防火墙的控制层和数据转发层分离,全模块化设计,实现独立的安全协议栈,消除了因操作系统漏洞带来的安全性问题,以及操作系统升级、维护对防火墙功能的影响。同时也减少了因为硬件平台的更换带来的重复开发问题。由于采用先进的设计理念,使该SecOS具有更高的安全性、开放性、扩展性和可移植性。
3
图 3.1 网神SecGate 3600-G系列防火墙体系架构图
3.2 独创的智能高效搜索算法
采用独创的分段直接寻址搜索算法MSDAL(Multi-Stage Direct Addressing Lookup Algorithm),解决了传统防火墙随着安全策略数的增加其性能逐渐下降的问题,确保您在大量安全策略数目情况下仍能获取最高的网络性能!
3.3 深度的网络行为关联分析
采用数据包内容的深度网络行为关联分析技术,让您不再为各种专有动态协议如
H.323、FTP、https://www.doczj.com/doc/7016966307.html,等的控制“愁眉不展”!并且增强了您的网络对于各种DDoS攻击的防范能力!
3.4 全面的连接状态监控和实时阻断
全面的连接状态监控,让您及时掌握网络运行状态,配合丰富的连接限制,方便您对BT/电驴等P2P应用的控制,以及对感染网络蠕虫病毒的主机进行快速定位和实时阻断!
3.5 强大的网络拓扑自适应性
适应于各种复杂网络拓扑,包括透明桥接、路由以及桥和路由完全自适应识别模式。支持VLAN和VLAN TRUNK处理;支持多网络出口的链路聚合和策略路由;支持生成树和每VLAN生成树协议(STP/PVST+)和虚拟路由冗余协议(VRRP),提供全面可靠的二层链路备份和三层路由备份。
3.6 智能便捷的配置向导和管理方式
为安全管理员提供智能便捷的配置向导,让您轻松完成复杂的安全配置!并提供丰富的
4
管理方式,包括本地Console,拨号PPP接入,基于Web(HTTPS)浏览器,远程SSH 登录,以及强大的SecFox集中安全管理方式。
4 网神SecGate 3600-G系列防火墙主要功能介绍
4.1 自适应的网络接入模式
网神SecGate 3600-G系列防火墙支持透明桥接、路由、混合(同时存在透明、路由的自适应接入)接入模式。当工作在透明模式时,网神SecGate 3600-G系列防火墙类似于一个网桥,不需要用户对网络的拓扑做出任何调整;当工作在路由模式时,网神SecGate 3600-G系列防火墙类似于一个路由器,可以提供策略路由功能;网神SecGate 3600-G系列防火墙还可以工作在自适应的混合模式下,即防火墙的不同端口有的在同一网段上(透明),有的在不同网段上(路由),这样更方便用户在各种网络环境的接入。
4.2 完善的状态包过滤
网神SecGate 3600-G系列防火墙根据数据包的源地址、目标地址、协议类型、源端口、目标端口以及网络接口等对数据包进行访问控制,而且能够记录通过防火墙的连接状态,直接对分组里的数据进行处理;具有完备的状态检测表追踪连接会话状态,并且结合前后分组里的关系进行综合判断决定是否允许该数据包通过,通过连接状态进行更迅速更安全的过滤。支持复杂动态协议的状态包过滤,通过对协议内容的实时分析,动态开放所需的端口,传输结束后实时关闭端口,确保内网安全。
4.3 强大的抗攻击能力
完全自主开发的SecOS安全协议栈,支持对常见攻击的检测和阻断,并可以实现针对ICMP、UDP、TCP的Flood攻击提交频度检查与阈值分析,如针对ICMP Flood完成过滤类型与代码、频度、包长检查,针对UDP Flood完成频度、包长检查,针对Syn flood完成频度检查。针对最常见的SynFlood攻击,设置了SYN proxy以保护内部网络和防火墙本身免受此类的拒绝服务攻击,提供高安全性和高可用性。支持对以下攻击的检测:
?TCP端口扫描
?UDP端口扫描
?Syn Flood攻击
?ICMP Flood攻击
?UDP Flood攻击
?Ping of death攻击
?Ping sweep攻击
?IP spoofing
?Land 攻击
?Tear drop 攻击
?Filter IP source route option
?WinNuke攻击
5
?Syn fragments攻击
?Syn and Fin bit set攻击
?No flags in TCP攻击
?FIN with no ACK攻击
?ICMP fragment攻击
?Large ICMP
?IP source route
?IP record route
?IP security options
?IP timestamp
?IP stream
?IP bad options
?Unknown protocols
4.4 全面的NAT地址转换
?支持动态地址转换,支持地址池,即一对一,一对多,多对多
?支持静态地址转换
?支持端口转换,支持动态服务的映射,允许用户内部服务对外开放
?支持反向IP 映射,允许用户内部IP 主机对外开放
?支持双向地址转换(一般应用于两边权限对等网络中),即源地址和目的地址的同时转
换
?支持基于策略(基于协议、目的地址)的地址转换
4.5 丰富的预定义代理和自定义代理
网神SecGate 3600-G系列防火墙提供丰富的代理功能。预定义代理包括:
?HTTP代理能够对Java、JavaScript、ActiveX进行过滤
?FTP代理能够对多线程、put和get命令过滤
?SMTP代理能够对邮件大小、接收人数限制,并按关键字对邮件主题、邮件正文和附件
内容、附件名过滤
?POP3代理能够对邮件大小限制,并按关键字对邮件主题、附件名过滤
?支持基于TCP协议的用户自定义代理,方便管理员使用
4.6 独创的高效安全规则搜索算法
网神SecGate 3600-G系列防火墙采用自主设计的分段直接寻址安全规则搜索算法MSDAL(Multi-Stage Direct Addressing Lookup Algorithm),解决了传统防火墙随着安全规则数的增加,其搜索速率呈线性递减的问题,确保在大规则数情况下以最短的时间匹配到安全规则。
6
4.7 全面灵活的连接限制
网神SecGate 3600-G系列防火墙提供了四种连接限制:保护主机、保护服务、限制主机、限制服务。连接限制可以保护服务器或服务器上提供的某项服务,限制对服务器过于频繁的访问。在规定的时间内,如果某台主机访问服务器超过了所限制的次数,则会对该主机实行阻断,在阻断时间段内,拒绝其对服务器的所有访问。也可以应用此功能对使用BT/
电驴等连接数目过大严重影响网络流量的用户加以限制。
4.8 策略路由和链路聚合
网神SecGate 3600-G系列防火墙除常规的按目的IP方式的路由功能外,还支持按源IP方式的路由功能和路由负载均衡,支持多出口时链路聚合。按源IP方式是根据源IP地址来决定下一跳地址。路由负载均衡指按照下一跳的权值来自动选择路由,从而充分利用用户的带宽资源,保护用户投资。另外,还可以支持基于协议和端口进行源路由选择。
4.9 动态路由支持
?网神SecGate 3600-G系列防火墙具备动态路由的功能,可以和路由器或路由交换机进
行动态路由互连,甚至替代部分路由器,极大的简化用户组网和节省用户的整体组网投入
?支持RIP V1/V2协议
?支持OSPF协议
?支持路由协议明文/MD5验证
?支持区域内,区域间路由
4.10 深度内容过滤
?网神SecGate 3600-G系列防火墙具备HTTP、FTP、SMTP、POP3协议的内容过滤
功能,保护终端用户合法有效地使用各种网络资源
?支持对网页中的java、javascrip、activeX等小程序的过滤
?支持对邮件的发收信人地址、人数、文件大小过滤,及对邮件主题、正文、收发件人、
附件名、附件内容等的关键字匹配过滤
?支持URL过滤,并支持黑/白名单过滤策略
4.11 深度动态协议分析
网神SecGate 3600-G系列防火墙支持对网络动态协议的深度分析,全面支持H.323、FTP、https://www.doczj.com/doc/7016966307.html,等动态协议的过滤。
4.12 全面的VLAN支持
网神SecGate 3600-G系列防火墙能够支持802.1Q封装协议;支持VLAN Trunk协议,
7
并可以对Trunk口中的VLAN ID进行过滤;支持VTP链路聚合协议;支持生成树协议STP 和每VLAN的生成树协议PVST+;在路由模式和桥模块下均支持VLAN间路由,方便用户在旁路方式下的接入。
4.13 用户认证
?网神SecGate 3600-G系列防火墙提供协议层用户认证系统,突破认证的服务种类限
制,为包过滤、双向NAT、代理等访问控制提供用户认证功能
?支持用户和组管理,支持用户策略(源IP绑定、可访问目的IP和服务),支持对用户
帐号的流量控制和时间控制
?提供与标准的radius服务器(PAP)联动的用户认证
?提供本地认证库:提供基于角色的用户策略,并与安全规则策略配合完成强访问控制,
支持对用户帐号的流量控制和时间控制,客户端可以修改密码,服务器端检查用户在线状态,支持PAP 和S/Key认证协议
4.14 IP/MAC地址绑定
网神SecGate 3600-G系列防火墙提供IP/MAC地址绑定检查功能,防止IP地址盗用,可以设置绑定的默认策略,提供IP/MAC对的唯一性检查。此外还提供地址对与网口的绑定功能,可以及时定位盗用合法IP/MAC地址对的非法用户。
网神SecGate 3600-G系列防火墙提供IP/MAC自动探测功能,可以大大减轻管理员手工收集IP/MAC对的工作量。
4.15 灵活的时间调度
网神SecGate 3600-G系列防火墙可设定一次性或周期性的调度规则,对安全规则、用户安全策略等进行调度,给安全管理带来方便。
网神SecGate 3600-G系列防火墙的系统时间可以设置为与时钟服务器的时间同步,也可以设置为与管理主机的时间同步。
4.16 与IDS联动
网神SecGate 3600-G系列防火墙支持与目前市场上大部分主流IDS产品的联动。
当IDS联动产品发现入侵攻击行为时,会通知防火墙。如果防火墙相应网口启用了IDS 自动阻断功能,则防火墙会按IDS通知的阻断方式、阻断时间和入侵主机的相关信息,对入侵主机进行阻断。
网神SecGate 3600-G系列防火墙阻断方式包括:
?对“源IP地址”阻断
?对“源IP地址、目的IP地址、目的端口、协议”阻断
?对“源IP地址、目的IP地址、协议、方向(单向、双向、反向)”阻断
?防火墙阻断协议包括:TCP / UDP / ICMP和所有协议(any)
8
4.17 入侵检测IPS
网神SecGate 3600-G系列防火墙采用最新的监测引擎,高效快速分析算法。可以及时有效的发现入侵行为并予以阻止;
同时提供在线升级功能,提供最新的入侵特征。
SecGate 3600-G 防火墙可以检测以下常见入侵类型:
?Atkresp
?Backdoor
?Info
?Multimedia
?p2p
?porn
?scan
?virus
?webcgi
?webcf
?webclient
?webfp
?webiis
?webphp
?webmisc
4.18 病毒过滤
?网神SecGate 3600-G系列防火墙采用最新的病毒过滤引擎,有效保护用户的网络安全?提供16万种常见病毒库
?提供在线升级,实时更新病毒库
?可以对:SMTP、POP3进行病毒检测和过滤
4.19 流量整形和带宽管理
网神SecGate 3600-G系列防火墙采用先进的拥塞控制算法、流量调度算法以及优先级排队机制,根据用户定义的带宽策略(最大峰值带宽,最小保证带宽和优先级),动态实现带宽分配的实时控制。具有以下特点:
?最大限制带宽
可以对用户IP地址、服务等通过防火墙的带宽进行限制,例如:限制某个用户对外访问最大带宽,或者访问某种服务的最大带宽。
?最小保证带宽
保证网络中重要服务或者重要用户的带宽不被其他服务或者用户占用,从而保证了重要数据优先通过网络。
?优先级控制
防火墙可以设定4个优先级(0-3),在拥塞情况下,可以进行更加细致的流量控制。
9
4.20 完善的DHCP支持
?支持DHCP客户端
防火墙支持动态IP,其接口可以动态地获得IP地址,方便灵活地接入用户的网络环境。
?支持DHCP server
防火墙自身可以作为DHCP Server,为网络中计算机动态的分配IP地址,从而为企业的网络建设节约投资,同时方便网络的应用和IP地址的管理。
?支持DHCP Relay
防火墙支持DHCP Relay。放置于DHCP Server和DHCP Client之间,既有效的保护DHCP Server同时便于用户网络的部署。
4.21 双机热备和高可用性HA
为了保证网络的高可用性与高可靠性,针对电信级的要求,网神SecGate 3600-G系列防火墙提供了双机热备份功能,当一台防火墙发生意外宕机、网络故障、硬件故障等情况时,另一台防火墙自动切换到工作状态,从而保证了网络的正常使用。切换过程不需要人为操作和其他系统的参与,当发生切换时防火墙上的连接可以透明地、完整地迁移到另一台防火墙上,用户不会觉察到。
4.22 全面的系统监控
网神SecGate 3600-G系列防火墙提供全面的系统状态监控,可以让管理员清楚地了解网络中接口流量统计、最大连接数量的IP等信息,并且能够及时发现被网络蠕虫病毒感染的主机,配合连接限制,进行实时阻断。
4.23 便捷的配置向导
网神SecGate 3600-G系列防火墙提供便捷的配置向导功能,管理员可以根据初始配置向导轻松完成防火墙的配置。
4.24 对象名称定义和引用
网神SecGate 3600-G系列防火墙将单个地址、一段网络、IP地址的范围、地址组、
带宽策略、时间调度策略、URL列表等设置为一个对象名称。安全规则基于对象名称过滤,使规则具有很强的可读性,同时提高了配置管理员的工作效率,使配置更具灵活性。
4.25 丰富、安全的管理方式
网神SecGate 3600-G系列防火墙提供Web管理方式(通过网口)、CLI命令行管理方式(通过串口),同时还支持远程拨号(PPP)管理方式。上述三种管理方式是一直打开的。另外,防火墙还提供通过SSH登录对防火墙以命令行方式进行远程管理的功能,此管理方式管理员有权进行添加和删除。
10
4.26 分级权限的安全管理
网神SecGate 3600-G系列防火墙提供分级安全管理机制,系统分为超级管理员、配置管理员、策略管理员、审计管理员四个等级。通过管理员身份认证(电子钥匙认证或证书认证)、管理主机限制、防火墙管理IP限制、防火墙管理方式定义(web管理/命令行管理/SSH 方式/PPP+SSH连接)、配置信息加密(支持SSL协议和SSH协议),提供方便且安全
的配置管理。
4.27 与SecFox集中远程管理无缝集成
网神SecGate 3600-G系列防火墙通过SNMP v2/v3协议,实现了和网御神州SecFox 集中安全管理系统的无缝集成,通过在防火墙上配置集中管理主机的IP地址,十分方便地实现对防火墙的集中管理。SecFox集中管理系统可以同时对多个防火墙进行远程管理,并且支持防火墙策略的批量修改和分发。
4.28 完善的系统升级
随着技术的飞速发展和安全需求的不断延伸,网神SecGate 3600-G系列会适时地进行软件版本升级。网神SecGate 3600-G系列防火墙的软件升级直接通过管理界面进行,用户只需选择新的升级软件包并重启防火墙即可方便地完成软件升级。
4.29 系统配置的导入导出
网神SecGate 3600-G系列防火墙的导入导出功能便于管理员对整个防火墙的配置进
行备份,在需要的时候,可以离线调整后,重新导入防火墙即可即时生效。导出的配置信息可以保存在管理主机上做备份,导出的文件格式可以选择加密或不加密。
4.30 全面的日志审计和日志服务器
网神SecGate 3600-G系列防火墙各功能模块都可以提供标准格式的日志记录。默认情况下,日志存储在防火墙本地,也可以将日志直接发往日志服务器。随机提供的日志服务器软件可以实现强大的存储和审计功能,方便管理员对日志进行查询和管理。
5 网神SecGate 3600-G系列的典型应用环境
5.1 拓扑一:多出口链路聚合
网神SecGate 3600-G系列防火墙能够很方便地对内部网、DMZ区和互联网进行访问控制,有效保障内部网络安全。对于多出口的网络,网神SecGate 3600-G系列防火墙提供了链路聚合功能,通过设置策略路由,可以让不同的用户走不同的出口,也可以多条链路间自动按权重进行负载均衡,有效地利用网络带宽,保护用户投资。
11
12
图5.1 网神SecGate 3600-G 系列防火墙典型应用拓扑图一
5.2 拓扑二:透明旁路接入
在用户网络已经建成、后又计划增加安全设备的情况下,网神SecGate 3600-G 系列防火墙能够很方便提供透明旁路的接入方式,通过在交换机上划分VLAN ,而网神SecGate 3600-G 系列防火墙支持桥模式下的VLAN 转发,从而最大程度上减少对用户拓扑的改变,又保证了网络的安全控制。
13
图5.2 网神SecGate 3600-G 系列防火墙典型应用拓扑图二
5.3 拓扑三:全冗余的高可用性
网神SecGate 3600-G 系列防火墙提供了HA (High Availability ,高可用性)功能。典型工作在为Active-Standby 模式,即主防火墙工作在Active 状态,从防火墙工作在Standby 状态。当主防火墙发生意外宕机,或者网络链路发生故障时,从防火墙自动切换到Active 状态,从而保证了关键业务的正常运转。
网神SecGate 3600-G 系列防火墙的HA 功能具有很强的网络适应性,支持生成树和每VLAN 生成树协议(STP/PVST+)和虚拟路由冗余协议(VRRP ),提供全面可靠的二层链路备份和三层路由备份。
图5.3 网神SecGate 3600-G系列防火墙典型应用拓扑图三
14