下载文档原格式
东软NetEye防火墙技术白皮书目录一、前言 (1)二、NETEYE防火墙产品概述 (2)应用背景 (2)产品概述 (3)三、NETEYE防火墙产品优势 (3)3.1NetEye防火墙产品软件系统架构 (3)3.2NetEye防火墙产品技术优势 (4)3.2.1强大、稳定、高效的基础防火墙功能 (5)3.2.2灵活、可扩展的虚拟系统技术 (6)3.2.3业界领先的DPI智能应用识别技术 (7)3.2.4基于NEL核心技术的入侵防御功能 (7)3.2.5完善的流量分析解决方案 (7)3.3NetEye防火墙系列产品主要功能 (9)3.3.1包过滤规则对域名的支持 (9)3.3.2VPN隧道冗余技术 (9)3.3.3接口冗余 (10)3.3.4Unnumbered IP (10)3.3.5强大的病毒扫描功能 (10)3.3.6强大的反垃圾邮件引擎 (11)3.3.7细粒度的协议限制及协议异常检测 (12)3.3.8互联网域名访问加速机制 (12)3.3.9强大的攻击防御能力 (13)3.3.10应用控制 (13)3.3.11PPPOE支持 (14)3.3.12安全集中管理 (14)3.3.13产品可用性与易用度 (15)一、前言本文档适用于沈阳东软系统集成工程有限公司(以下简称东软公司、东软或者本公司)制造的NetEye防火墙系列产品的销售工作,力图从产品技术角度提供必要的参考说明。
本文档主要内容包括NetEye防火墙产品体系构架、功能特色和技术参数等方面的相关数据,便于阅读者快速掌握NetEye防火墙产品的基本概况,提高对项目需求判断和设备选型的正确率。
同时,需要指出的一点是,本文档所包含的各项数据,尤其是产品技术型号、指标参数,均为现阶段的一般性数据,仅供阅读者了解、理解NetEye防火墙产品的普遍情况使用。
考虑到东软公司经营管理策略、技术研发进度和特定项目需求等因素,在实际供货时,所有数据指标均有可能发生更新变化,并将通过随机标准文档予以说明。
求东软防火墙使用手册
东软Neteye 4032 防火墙维护手册
一、 Neteye 4032 的默认管理IP为192.168.1.100 ,我们用防火墙自带的一根交叉线和PC相连,PC的IP设置为和防火墙一个网段,在运行下ping 192.168.1.100,显示连通;在WEB浏览器下输入192.168.1.100,进入防火墙的WEB管理界面。
二、默认用户为:root 密码:eye 进入用户管理界面,此页面下可以创建用户,并设置权限(安全控制、审计、管理)
三、为方便调试已创建用户: xxxx 密码:xxxx 权限为:安全控制
四、用xxxx 这个用户进入WEB界面后,先看到防火墙的所有信息
然后根据需求,设置防火墙的工作模式,是交换还是路由,
1、交换模式下,Eth 口不需要配地址,也没有NAT的转换
2、路由模式下,根据需求可以配置NAT、默认路由,它既充当路由器,又起到防火墙的作用。
五、 Eth 0口为管理接口,只有在配置防火墙时才使用
Eth 1-4可随意定义为内网口、外网、DMZ区等
在我们这次配置中,Eth 口的定义:
Eth 1----内网
Eth 2---外网
Eth---3 用交叉线直连防火墙
Eth 4----xxx网
六、访问控制:允许Eth 1 访问 Eth 2 , 拒绝访问 Eth 3、4
允许Eth 2 访问 Eth 1 , 拒绝访问 Eth 3、4
允许Eth 3 访问 Eth 4 , 拒绝访问 Eth 1、2
允许Eth 4访问 Eth 3 , 拒绝访问 Eth 1、2
七、在配置完成后,一定要选择“应用并保存”选项。
东软防火墙配置手册版本历史目录第一章文档说明 (4)1.1 编写目的 (4)1.2 项目背景 (4)第二章配置命令 (5)2.1 通过WEB登录 (5)2.2 虚拟系统 (6)2.2.1 查看虚拟系统信息 (6)2.2.2 创建一个虚拟系统 (6)2.2.3 删除一个虚拟系统 (7)2.2.4 添加描述 (8)2.2.5 启用/ 禁用虚拟系统 (8)2.2.6 切换虚拟系统 (9)2.3 制定安全策略 (10)2.3.1 IP包过滤 (10)2.3.2 安全策略流程 (12)2.4 地址转换NA T (14)2.5 高可用性HA (15)第一章文档说明1.1 编写目的编写该手册的主要目的是针对贵州二次安防项目工程技术人员提供东软防火墙基本的操作规范,同时,也可以作为贵州二次安防项目东软防火墙维护人员的参考阅读手册。
1.2 项目背景本项目是贵州电网公司根据《电力二次系统安全防护规定》(电监会5号令)、《电力系统安全防护总体方案》(国家电力监管委员会[2006]34号文及配套文件)和《南方电网电力二次系统安全防护技术实施规范》等电力二次系统安全防护相关规程规范的要求完成贵州电网公司省/地两级调度中心及220kV及以上电压等级变电站的生产控制大区业务系统接入电力调度数据网系统工程。
通过本项目的实施建立健全贵州电网电力二次系统安全防护体系。
项目的重点是通过有效的技术手段和管理措施保护电力实时监控系统及调度数据网络的安全,在统一的安全策略下保护重要系统免受黑客、病毒、恶意代码等的侵害,特别是能够抵御来自外部有组织的团体、拥有丰富资源的威胁源发起的恶意攻击,能够减轻严重自然灾害造成的损害,并能在系统遭到损害后,迅速恢复绝大部分功能,防止电力二次系统的安全事件引发或导致电力一次系统事故或大面积停电事故,保障贵州电网安全稳定运行。
第二章配置命令2.1 通过WEB登录1. 在可通过网络连接到NetEye 的计算机上打开Web 浏览器。
第1章用户管理该章节中的操作仅在root用户登录后可用。
语法:1.添加用户NetEye(config)# user username{ local | radius } { security [ audit ] | audit [ security ] } 2.配置RADIUS服务器NetEye(config)# radius-server host ipaddress]3.配置RADIUS服务器端口NetEye(config)#radius-server port number4.设置RADIUS服务器密码NetEye(config)# radius-server secret5.将RADIUS服务器设置为默认状态NetEye(config)# no radius-server6.查看RADIUS服务器1-1NetEye防火墙3.2.2命令手册NetEye# show radius-server7.删除用户NetEye(config)# no user username8.更改用户口令NetEye(config)# password [ username ]9.显示当前防火墙上的用户信息(包括用户名、权限、认证方式) NetEye#show user [ username ]1-2第1章用户管理表1-1 命令描述关键字和变量描述user 用户管理security 安全员权限audit 审计员权限radius-server 设置RADIUS服务器host RADIUS服务器主机port RADIUS服务器端口secret RADIUS服务器密码password 修改用户的口令show 查看信息username 用户名WORD{1-12}number 端口号<1-65535>ipaddress RADIUS服务器的ip地址1-3。
阅读指南〖手册目标〗本手册是沈阳东软软件股份有限公司的产品NetEye防火墙CLI的使用指南,它详细地介绍了CLI的功能和操作。
通过阅读本手册,用户可以掌握NetEye防火墙CLI的使用方法。
〖阅读对象〗本手册专为购买NetEye防火墙的用户编写。
用户在使用防火墙之前请仔细阅读本手册,以免误操作,造成不必要的损失。
〖手册构成〗本手册主要由以下几个部分组成:1.2.3.4. 第1章用户管理介绍管理员(root)登录CLI后所能进行的操作,如添加、编辑或删除其他具有管理权限的用户,以及修改自身或其它用户口令。
第2章安全管理介绍具有安全管理权限的用户登录CLI后所能进行的一系列操作,主要是防火墙接口的配置以及各种规则的配置。
第3章审计管理介绍具有安全管理权限的用户登录CLI后所能进行的关于审计功能的开启和关闭的操作。
附录命令速查为用户提供了快速查找命令的工具。
〖手册约定〗CLI约定y斜体——命令行参数(命令中必须由实际值进行替代的部分)采用斜体表示。
y[ ]——表示用“[ ]”括起来的部分在命令配置时是可选的。
y{ x | y | ... }——表示从两个或多个选项中必须选取一个。
y[ x | y | ... ]——表示从两个或多个选项中选取一个或者不选。
范例:sync { info-down | info-up } ipaddress filenamesync info-down 10.1.2.110 neteyefwCLI模式NetEye防火墙CLI配置共提供三种模式,分别为:普通模式:管理员(root)和安全员可以进入该模式。
在该模式下可以进行的操作有:进入特权模式、退出和语言管理。
特权模式:管理员(root)和安全员可以进入该模式。
在该模式下,可以查看系统信息及配置信息,可以对系统进行高级别的操作,但不能更改配置信息。
不同权限的用户进入特权模式后,所能做的操作也不同。
管理员(root)进入特权模式后可以进行的操作有:进入全局配置模式、退出特权模式、退出命令控制台、测试连通性、显示和终端配置。
NetEye Firewall 5000 Series东软防火墙NetEye FW5000系列技术白皮书目录应用背景 (3)东软NetEye FW5000系列的技术特点 (4)面向关键业务提供全面可用性保证 (4)优异的网络适应性 (5)充分适应特殊应用环境要求 (6)支持基于策略的透明VPN (7)强大的攻击防御能力 (7)东软NetEye FW5000系列防火墙主要功能 (8)基于状态检测技术的访问控制 (8)网络地址转换(NAT) (8)IP与MAC地址绑定 (9)支持VLAN Trunk (9)支持 Radius 、XAUTH、Web等认证协议 (10)支持NTP (10)SCM安全集中管理 (11)服务器负载均衡 (12)并发连接数限制 (12)对多播协议的支持 (12)可视化管理 (12)强大便利的向导功能 (13)支持SNMP (13)2应用背景网络和信息安全基础设施己经和电力、水力一样,成为国家稳定和发展的关键基础设施。
因此,保证关键行业的业务应用和信息资产安全显得日益紧迫和重要。
在这些应用环境中,业务服务器、核心骨干设备以及内网的安全性和可用性一旦遭到破坏,后果不堪设想,因此必须采用高性能的防火墙设备加以严密保护。
政府、金融、电信、电力等行业对网络安全的强劲需求推动了防火墙技术的不断发展。
本白皮书将说明东软NetEye FW5000系列防火墙如何帮助客户满足关键网络骨干节点的安全防护和性能保障要求。
关键行业骨干节点的边界安全防护有着共同的特点,最主要的就是对防火墙的性能、稳定性、网络适应性和应用适应性有着严苛的要求。
以性能的要求为例,一些大型商业银行数据中心的服务器数量高达上千台,仅备份网络的带宽就达 2.5G;大型政府网站的对外服务处理的查询量高达每秒20000次以上,而响应时间的要求是5秒以下。
因此,理想的防火墙设备应该能够提供最佳的安全性、性能、网络适应性和应用适应性,达到以下标准:l将高安全性放在首要地位,可抵御各种网络入侵和攻击,在瞬间做出安全和流量路由决策,即使在处理数Gbps的网络流量时也能做到这一点;l支持多样化的部署方式,具备面向复杂应用环境的功能特性,适应复杂且变化迅速的业务需求;l采用高性能的硬件架构,提供最佳的产品性价比,提高行业安全项目建设的投资回报率。
1.1.1NetEye IDS 2200功能特性1.1.1.1强大的攻击入侵检测功能支持3400种以上的特征库NetEye IDS根据数据流智能重组,轻松处理分片和乱序数据包。
利用统计与模式匹配,异常分析,检测3400多种攻击与入侵行为。
系统提供默认策略,用户也可以方便的定制策略。
使用数据库存储攻击与入侵信息以便随时检索。
系统还提供详细的攻击与入侵资料,包括发生时间、发起主机与受害主机地址、攻击类型、以及针对此类型攻击的详细解释与解决办法。
管理员可根据资料加强系统安全,并追究攻击者责任。
支持高级用户自定义检测规则不同行业用户管理网络面临的安全问题有时各不一样,NetEye IDS为高级用户提供了自定义检测事件编辑功能,用户可以根据自身网络应用特点添加需要检测的安全事件。
特征库定期升级NetEye IDS固定每周提供特征库的升级,当遇到重大安全事件或者突发安全事件时,提供及时升级,如针对冲击波、振荡波的及时升级。
与国际标准同步根据CVE标准,以策略模板的形式预存了3000种多种攻击特征,管理员可以直接使用预存的策略,或者继承原有的策略,根据自己的特殊业务需求进行修改和补充,灵活地制定攻击检测策略。
根据BID标准对事件进行描述,将所能对应的攻击事件注明了相应的BID编号,便于用户更为详细的了解事件的详细内容。
检测ARP攻击针对当前网络中常见的ARP攻击现象,通过地址的绑定技术,全面解决网络中的ARP 欺骗攻击,保证网络中的“纯净”。
1.1.1.2全面的审计功能详尽的内容恢复,支持多种常用协议NetEye IDS针对十几种常用的应用协议(SMTP、POP3、TELNET、FTP、HTTP、NNTP、MSN、IMAP、DNS、YAHOO、Rlogin、Rsh等)具备内容恢复功能。
NetEye IDS实现完全记录通信的过程与内容,并将其回放。
支持自定义协议的内容恢复,便于用户根据自己的业务需求进行扩充。
此功能可用于监控内部网络中的用户是否滥用网络资源、是否窃取帐户进行非法访问、是否进行非法授权,从而发现网络中的机密信息泄露,直接获取犯罪分子活动信息。
