下载文档原格式
东软NetEye防火墙技术白皮书目录一、前言 (1)二、NETEYE防火墙产品概述 (2)应用背景 (2)产品概述 (3)三、NETEYE防火墙产品优势 (3)3.1NetEye防火墙产品软件系统架构 (3)3.2NetEye防火墙产品技术优势 (4)3.2.1强大、稳定、高效的基础防火墙功能 (5)3.2.2灵活、可扩展的虚拟系统技术 (6)3.2.3业界领先的DPI智能应用识别技术 (7)3.2.4基于NEL核心技术的入侵防御功能 (7)3.2.5完善的流量分析解决方案 (7)3.3NetEye防火墙系列产品主要功能 (9)3.3.1包过滤规则对域名的支持 (9)3.3.2VPN隧道冗余技术 (9)3.3.3接口冗余 (10)3.3.4Unnumbered IP (10)3.3.5强大的病毒扫描功能 (10)3.3.6强大的反垃圾邮件引擎 (11)3.3.7细粒度的协议限制及协议异常检测 (12)3.3.8互联网域名访问加速机制 (12)3.3.9强大的攻击防御能力 (13)3.3.10应用控制 (13)3.3.11PPPOE支持 (14)3.3.12安全集中管理 (14)3.3.13产品可用性与易用度 (15)一、前言本文档适用于沈阳东软系统集成工程有限公司(以下简称东软公司、东软或者本公司)制造的NetEye防火墙系列产品的销售工作,力图从产品技术角度提供必要的参考说明。
本文档主要内容包括NetEye防火墙产品体系构架、功能特色和技术参数等方面的相关数据,便于阅读者快速掌握NetEye防火墙产品的基本概况,提高对项目需求判断和设备选型的正确率。
同时,需要指出的一点是,本文档所包含的各项数据,尤其是产品技术型号、指标参数,均为现阶段的一般性数据,仅供阅读者了解、理解NetEye防火墙产品的普遍情况使用。
考虑到东软公司经营管理策略、技术研发进度和特定项目需求等因素,在实际供货时,所有数据指标均有可能发生更新变化,并将通过随机标准文档予以说明。
求东软防火墙使用手册
东软Neteye 4032 防火墙维护手册
一、 Neteye 4032 的默认管理IP为192.168.1.100 ,我们用防火墙自带的一根交叉线和PC相连,PC的IP设置为和防火墙一个网段,在运行下ping 192.168.1.100,显示连通;在WEB浏览器下输入192.168.1.100,进入防火墙的WEB管理界面。
二、默认用户为:root 密码:eye 进入用户管理界面,此页面下可以创建用户,并设置权限(安全控制、审计、管理)
三、为方便调试已创建用户: xxxx 密码:xxxx 权限为:安全控制
四、用xxxx 这个用户进入WEB界面后,先看到防火墙的所有信息
然后根据需求,设置防火墙的工作模式,是交换还是路由,
1、交换模式下,Eth 口不需要配地址,也没有NAT的转换
2、路由模式下,根据需求可以配置NAT、默认路由,它既充当路由器,又起到防火墙的作用。
五、 Eth 0口为管理接口,只有在配置防火墙时才使用
Eth 1-4可随意定义为内网口、外网、DMZ区等
在我们这次配置中,Eth 口的定义:
Eth 1----内网
Eth 2---外网
Eth---3 用交叉线直连防火墙
Eth 4----xxx网
六、访问控制:允许Eth 1 访问 Eth 2 , 拒绝访问 Eth 3、4
允许Eth 2 访问 Eth 1 , 拒绝访问 Eth 3、4
允许Eth 3 访问 Eth 4 , 拒绝访问 Eth 1、2
允许Eth 4访问 Eth 3 , 拒绝访问 Eth 1、2
七、在配置完成后,一定要选择“应用并保存”选项。
东软防火墙配置手册版本历史目录第一章文档说明 (4)1.1 编写目的 (4)1.2 项目背景 (4)第二章配置命令 (5)2.1 通过WEB登录 (5)2.2 虚拟系统 (6)2.2.1 查看虚拟系统信息 (6)2.2.2 创建一个虚拟系统 (6)2.2.3 删除一个虚拟系统 (7)2.2.4 添加描述 (8)2.2.5 启用/ 禁用虚拟系统 (8)2.2.6 切换虚拟系统 (9)2.3 制定安全策略 (10)2.3.1 IP包过滤 (10)2.3.2 安全策略流程 (12)2.4 地址转换NA T (14)2.5 高可用性HA (15)第一章文档说明1.1 编写目的编写该手册的主要目的是针对贵州二次安防项目工程技术人员提供东软防火墙基本的操作规范,同时,也可以作为贵州二次安防项目东软防火墙维护人员的参考阅读手册。
1.2 项目背景本项目是贵州电网公司根据《电力二次系统安全防护规定》(电监会5号令)、《电力系统安全防护总体方案》(国家电力监管委员会[2006]34号文及配套文件)和《南方电网电力二次系统安全防护技术实施规范》等电力二次系统安全防护相关规程规范的要求完成贵州电网公司省/地两级调度中心及220kV及以上电压等级变电站的生产控制大区业务系统接入电力调度数据网系统工程。
通过本项目的实施建立健全贵州电网电力二次系统安全防护体系。
项目的重点是通过有效的技术手段和管理措施保护电力实时监控系统及调度数据网络的安全,在统一的安全策略下保护重要系统免受黑客、病毒、恶意代码等的侵害,特别是能够抵御来自外部有组织的团体、拥有丰富资源的威胁源发起的恶意攻击,能够减轻严重自然灾害造成的损害,并能在系统遭到损害后,迅速恢复绝大部分功能,防止电力二次系统的安全事件引发或导致电力一次系统事故或大面积停电事故,保障贵州电网安全稳定运行。
第二章配置命令2.1 通过WEB登录1. 在可通过网络连接到NetEye 的计算机上打开Web 浏览器。
第1章用户管理该章节中的操作仅在root用户登录后可用。
语法:1.添加用户NetEye(config)# user username{ local | radius } { security [ audit ] | audit [ security ] } 2.配置RADIUS服务器NetEye(config)# radius-server host ipaddress]3.配置RADIUS服务器端口NetEye(config)#radius-server port number4.设置RADIUS服务器密码NetEye(config)# radius-server secret5.将RADIUS服务器设置为默认状态NetEye(config)# no radius-server6.查看RADIUS服务器1-1NetEye防火墙3.2.2命令手册NetEye# show radius-server7.删除用户NetEye(config)# no user username8.更改用户口令NetEye(config)# password [ username ]9.显示当前防火墙上的用户信息(包括用户名、权限、认证方式) NetEye#show user [ username ]1-2第1章用户管理表1-1 命令描述关键字和变量描述user 用户管理security 安全员权限audit 审计员权限radius-server 设置RADIUS服务器host RADIUS服务器主机port RADIUS服务器端口secret RADIUS服务器密码password 修改用户的口令show 查看信息username 用户名WORD{1-12}number 端口号<1-65535>ipaddress RADIUS服务器的ip地址1-3。
阅读指南〖手册目标〗本手册是沈阳东软软件股份有限公司的产品NetEye防火墙CLI的使用指南,它详细地介绍了CLI的功能和操作。
通过阅读本手册,用户可以掌握NetEye防火墙CLI的使用方法。
〖阅读对象〗本手册专为购买NetEye防火墙的用户编写。
用户在使用防火墙之前请仔细阅读本手册,以免误操作,造成不必要的损失。
〖手册构成〗本手册主要由以下几个部分组成:1.2.3.4. 第1章用户管理介绍管理员(root)登录CLI后所能进行的操作,如添加、编辑或删除其他具有管理权限的用户,以及修改自身或其它用户口令。
第2章安全管理介绍具有安全管理权限的用户登录CLI后所能进行的一系列操作,主要是防火墙接口的配置以及各种规则的配置。
第3章审计管理介绍具有安全管理权限的用户登录CLI后所能进行的关于审计功能的开启和关闭的操作。
附录命令速查为用户提供了快速查找命令的工具。
〖手册约定〗CLI约定y斜体——命令行参数(命令中必须由实际值进行替代的部分)采用斜体表示。
y[ ]——表示用“[ ]”括起来的部分在命令配置时是可选的。
y{ x | y | ... }——表示从两个或多个选项中必须选取一个。
y[ x | y | ... ]——表示从两个或多个选项中选取一个或者不选。
范例:sync { info-down | info-up } ipaddress filenamesync info-down 10.1.2.110 neteyefwCLI模式NetEye防火墙CLI配置共提供三种模式,分别为:普通模式:管理员(root)和安全员可以进入该模式。
在该模式下可以进行的操作有:进入特权模式、退出和语言管理。
特权模式:管理员(root)和安全员可以进入该模式。
在该模式下,可以查看系统信息及配置信息,可以对系统进行高级别的操作,但不能更改配置信息。
不同权限的用户进入特权模式后,所能做的操作也不同。
管理员(root)进入特权模式后可以进行的操作有:进入全局配置模式、退出特权模式、退出命令控制台、测试连通性、显示和终端配置。
NetEye Firewall 5000 Series东软防火墙NetEye FW5000系列技术白皮书目录应用背景 (3)东软NetEye FW5000系列的技术特点 (4)面向关键业务提供全面可用性保证 (4)优异的网络适应性 (5)充分适应特殊应用环境要求 (6)支持基于策略的透明VPN (7)强大的攻击防御能力 (7)东软NetEye FW5000系列防火墙主要功能 (8)基于状态检测技术的访问控制 (8)网络地址转换(NAT) (8)IP与MAC地址绑定 (9)支持VLAN Trunk (9)支持 Radius 、XAUTH、Web等认证协议 (10)支持NTP (10)SCM安全集中管理 (11)服务器负载均衡 (12)并发连接数限制 (12)对多播协议的支持 (12)可视化管理 (12)强大便利的向导功能 (13)支持SNMP (13)2应用背景网络和信息安全基础设施己经和电力、水力一样,成为国家稳定和发展的关键基础设施。
因此,保证关键行业的业务应用和信息资产安全显得日益紧迫和重要。
在这些应用环境中,业务服务器、核心骨干设备以及内网的安全性和可用性一旦遭到破坏,后果不堪设想,因此必须采用高性能的防火墙设备加以严密保护。
政府、金融、电信、电力等行业对网络安全的强劲需求推动了防火墙技术的不断发展。
本白皮书将说明东软NetEye FW5000系列防火墙如何帮助客户满足关键网络骨干节点的安全防护和性能保障要求。
关键行业骨干节点的边界安全防护有着共同的特点,最主要的就是对防火墙的性能、稳定性、网络适应性和应用适应性有着严苛的要求。
以性能的要求为例,一些大型商业银行数据中心的服务器数量高达上千台,仅备份网络的带宽就达 2.5G;大型政府网站的对外服务处理的查询量高达每秒20000次以上,而响应时间的要求是5秒以下。
因此,理想的防火墙设备应该能够提供最佳的安全性、性能、网络适应性和应用适应性,达到以下标准:l将高安全性放在首要地位,可抵御各种网络入侵和攻击,在瞬间做出安全和流量路由决策,即使在处理数Gbps的网络流量时也能做到这一点;l支持多样化的部署方式,具备面向复杂应用环境的功能特性,适应复杂且变化迅速的业务需求;l采用高性能的硬件架构,提供最佳的产品性价比,提高行业安全项目建设的投资回报率。
1.1.1NetEye IDS 2200功能特性1.1.1.1强大的攻击入侵检测功能支持3400种以上的特征库NetEye IDS根据数据流智能重组,轻松处理分片和乱序数据包。
利用统计与模式匹配,异常分析,检测3400多种攻击与入侵行为。
系统提供默认策略,用户也可以方便的定制策略。
使用数据库存储攻击与入侵信息以便随时检索。
系统还提供详细的攻击与入侵资料,包括发生时间、发起主机与受害主机地址、攻击类型、以及针对此类型攻击的详细解释与解决办法。
管理员可根据资料加强系统安全,并追究攻击者责任。
支持高级用户自定义检测规则不同行业用户管理网络面临的安全问题有时各不一样,NetEye IDS为高级用户提供了自定义检测事件编辑功能,用户可以根据自身网络应用特点添加需要检测的安全事件。
特征库定期升级NetEye IDS固定每周提供特征库的升级,当遇到重大安全事件或者突发安全事件时,提供及时升级,如针对冲击波、振荡波的及时升级。
与国际标准同步根据CVE标准,以策略模板的形式预存了3000种多种攻击特征,管理员可以直接使用预存的策略,或者继承原有的策略,根据自己的特殊业务需求进行修改和补充,灵活地制定攻击检测策略。
根据BID标准对事件进行描述,将所能对应的攻击事件注明了相应的BID编号,便于用户更为详细的了解事件的详细内容。
检测ARP攻击针对当前网络中常见的ARP攻击现象,通过地址的绑定技术,全面解决网络中的ARP 欺骗攻击,保证网络中的“纯净”。
1.1.1.2全面的审计功能详尽的内容恢复,支持多种常用协议NetEye IDS针对十几种常用的应用协议(SMTP、POP3、TELNET、FTP、HTTP、NNTP、MSN、IMAP、DNS、YAHOO、Rlogin、Rsh等)具备内容恢复功能。
NetEye IDS实现完全记录通信的过程与内容,并将其回放。
支持自定义协议的内容恢复,便于用户根据自己的业务需求进行扩充。
此功能可用于监控内部网络中的用户是否滥用网络资源、是否窃取帐户进行非法访问、是否进行非法授权,从而发现网络中的机密信息泄露,直接获取犯罪分子活动信息。
NetEye Firewall 5000 Series东软防火墙NetEye FW5000系列技术白皮书目录应用背景 (3)东软NetEye FW5000系列的技术特点 (4)面向关键业务提供全面可用性保证 (4)优异的网络适应性 (5)充分适应特殊应用环境要求 (6)支持基于策略的透明VPN (7)强大的攻击防御能力 (7)东软NetEye FW5000系列防火墙主要功能 (8)基于状态检测技术的访问控制 (8)网络地址转换(NAT) (8)IP与MAC地址绑定 (9)支持VLAN Trunk (9)支持 Radius 、XAUTH、Web等认证协议 (10)支持NTP (10)SCM安全集中管理 (11)服务器负载均衡 (12)并发连接数限制 (12)对多播协议的支持 (12)可视化管理 (12)强大便利的向导功能 (13)支持SNMP (13)2应用背景网络和信息安全基础设施己经和电力、水力一样,成为国家稳定和发展的关键基础设施。
因此,保证关键行业的业务应用和信息资产安全显得日益紧迫和重要。
在这些应用环境中,业务服务器、核心骨干设备以及内网的安全性和可用性一旦遭到破坏,后果不堪设想,因此必须采用高性能的防火墙设备加以严密保护。
政府、金融、电信、电力等行业对网络安全的强劲需求推动了防火墙技术的不断发展。
本白皮书将说明东软NetEye FW5000系列防火墙如何帮助客户满足关键网络骨干节点的安全防护和性能保障要求。
关键行业骨干节点的边界安全防护有着共同的特点,最主要的就是对防火墙的性能、稳定性、网络适应性和应用适应性有着严苛的要求。
以性能的要求为例,一些大型商业银行数据中心的服务器数量高达上千台,仅备份网络的带宽就达 2.5G;大型政府网站的对外服务处理的查询量高达每秒20000次以上,而响应时间的要求是5秒以下。
因此,理想的防火墙设备应该能够提供最佳的安全性、性能、网络适应性和应用适应性,达到以下标准:l将高安全性放在首要地位,可抵御各种网络入侵和攻击,在瞬间做出安全和流量路由决策,即使在处理数Gbps的网络流量时也能做到这一点;l支持多样化的部署方式,具备面向复杂应用环境的功能特性,适应复杂且变化迅速的业务需求;l采用高性能的硬件架构,提供最佳的产品性价比,提高行业安全项目建设的投资回报率。
NetEye 防火墙 V3.2 技术白皮书目录一、概述 (3)二、体系结构:基于状态包过滤的流过滤 (3)三、功能介绍 (7)3.1 创新的高性能核心保护能力,基于状态包过滤的流过滤 (7)3.2 可扩展的模块化的应用层协议支持 (7)3.3 集成的VPN功能,方便快捷部署各种VPN (8)3.4 与IDS联动,构建实时,动态防御体系 (8)3.5 高可靠性和高可用性保护网络永不间断 (8)3.6 人性化的GUI管理工具 (9)3.7 多样化的管理方式 (13)3.8 身份认证,角色划分 (13)3.9 完备的审计功能 (14)3.10 其他重要特性 (14)一、概述目前市场上存在着各种各样的网络安全工具,而技术最成熟、最早产品化的就是防火墙,由于防火墙技术的针对性很强,它已成为实现Internet网络安全的最重要的保障之一。
NetEye防火墙V3.2型是NetEye防火墙系列中的优秀型号,达到了运营级的水准,是一个“运营级的防火墙”。
该系统在状态包过滤的基础上,采用了专门设计的TCP协议栈实现对应用协议信息流的过滤,能够实现在透明方式下对应用层协议的控制。
系统的整体结构严格按照国家应用级防火墙的最新标准设计,具备完善的身份鉴别、访问控制和审计能力。
经国家权威部门检测,NetEye防火墙V3.2符合GB/T 18019-1999(包过滤防火墙安全技术要求)和GB/T 18020-1999(应用级防火墙安全技术要求)两个标准的技术要求。
NetEye防火墙V3.2是东软NetEye系列防火墙中采用流过滤技术的产品,基于状态包过滤的流过滤体系结构,保证从数据链路层到应用层的完全高性能过滤。
系统的主要模块工作在操作系统的内核模式下,并对协议的处理进行了优化,其性能达到线速,完全满足高速、对性能要求苛刻网络的应用。
系统达到了高可靠性和高可用性,从硬件体系结构的设计,系统内关键部件的冗余到仅需一秒的双机热备自动切换,保证网络永不间断。
东软NetEye FW5200组网能力强沈阳东软软件股份有限公司送测的NetEye FW5200是一款定位于骨干网络安全防护的千兆防火墙产品。
该产品具有4个千兆接口,具备热插拔双冗余电源,可以为电信、电力、政府、教育等行业的核心网络提供良好的安全防护。
NetEye FW5200采用先进的cPCI(CompactPCI)硬件架构。
cPCI是面向电信、监控和数采系统、航空航天等领域的,具有高性能和高可靠性的硬件架构。
基于cPCI的冗余设计、故障切换和故障管理可以将设备可靠性提升到电信级水平,因此cPCI被广泛应用于研制下一带网络系统(NGN)产品,如2.5G和3G无线设备、软交换设备、信令网关等。
为了更好地提高网络性能,NetEye FW5200采用Intel IXP2400网络处理器。
IXP2400通过8个多线程的、相互独立的32位微引擎提供了强大的处理能力,在防火墙处理IPv4/v6数据包以及VPN加解密方面都具有非常出色的性能表现。
NetEye FW5200集成了防火墙、VPN、多媒体通信安全(H.323、SIP等)、内容安全控制、高可用性配置能力等众多的安全功能。
另外,NetEye FW5200具备基于VLAN的虚拟防火墙功能,以及以太网通道功能。
虚拟防火墙功能可为电信等行业开展运营商级的安全服务提供强有力的支持;以太网通道技术则可以有效提高关键网络节点的可靠性。
在功能测试中,NetEye FW5200发挥出色,是为数不多的两款完全按照测试拓扑完成混杂模式组网的产品之一。
虽然不支持DNS中继、DHCP/VLAN等两项功能,但是对于定位骨干网核心的NetEye FW5200来说这些并不是必须的。
由于运输延迟的原因,NetEye FW5200只在我们测试截止时完成了吞吐量和最大并发连接测试。
在这两项测试中,NetEye FW5200表现出色,在千条规则、NAT模式状态下,混合包和64字节包的吞吐量三次测试平均成绩为100%,在千条规则、路由模式状态下,最大并发用户达到了100万。
东软防火墙400
东软防火墙400是一种高效的网络安全解决方案,它被广泛应用于各类企业和机构的网络环境中。
该防火墙具有强大的防御功能,能够有效地保护网络免受各种网络攻击的威胁。
东软防火墙400采用了先进的技术和算法,可以实时监测网络流量,并通过智能分析和过滤,阻止恶意流量进入网络系统。
它能够识别和阻止各类网络攻击,包括DDoS攻击、SQL注入、跨站脚本攻击等,从而保护网络系统的安全性。
该防火墙还具有灵活的配置和管理功能,管理员可以根据实际需求,自定义规则和策略,对网络流量进行精确控制。
此外,东软防火墙400还支持多种安全认证方式,包括身份认证、IP地址认证等,确保只有经过授权的用户才能访问网络系统。
东软防火墙400还具有强大的日志记录和审计功能,它可以记录网络流量、安全事件等重要信息,并提供详细的审计报告,帮助管理员及时发现和解决网络安全问题。
总之,东软防火墙400是一种功能强大、性能稳定的网络安全解决方案,它能够帮助企业和机构保护网络安全,提高网络系统的可靠性和稳定性。
在当前日益复杂的网络安全威胁下,东软防火墙400是保障
网络安全的不可或缺的工具。
