下载文档原格式
fenoi/o 联管联想网御超五系列防火墙产品白皮书网歡联想网御科技(北京)有限公司1序言 (3)2、防火墙技术的发展 (5)2.1网络处理器的基本结构 (6)2.2网络处理器的特点 (7)3、联想防火墙产品解决方案 (8)4、网御超五系列防火墙产品介绍 (9)4.1产品概述 (9)4.2产品特点 (9)4.2.1高性能 (9)4.2.2高安全 (11)4.2.3高可用 (12)4.2.4高可控 (13)4.3主要功能 (15)4.4产品指标 (18)4.4.1性能指标 (18)4.4.2产品规范 (19)5、典型应用 (20)1、序言互联网的发展已经深入到社会生活的各个方面。
对个人而言,互联网改变了人们的生活方式;对企业而言,互联网改变了企业传统的营销方式及其内部管理机制。
虽然一切便利都源于互联网,但是一切安全隐患也来自互联网。
互联网设计之初,只考虑到相互的兼容和互通,并没有考虑到随之而来的一系列安全问题,伴随互联网的迅速发展,网络安全问题越来越严峻。
那么,影响网络安全的主要因素有哪些呢?从技术的角度归纳起来,主要有以下几点:黑客的攻击黑客技术不再是一种高深莫测的技术,并逐渐被越来越多的人掌握。
目前,世界上有20多万个免费的黑客网站,这些站点从系统漏洞入手,介绍网络攻击的方法和各种攻击软件的使用,这样,系统和站点遭受攻击的可能性就变大了。
加上现在还缺乏针对网络犯罪卓有成效的反击和跟踪手段,这些都使得黑客攻击具有隐蔽性好、“杀伤力”强的特点,构成了网络安全的主要威胁。
网络的缺陷因特网在设计之初对共享性和开放性的强调,使得其在安全性方面存在先天的不足。
其赖以生存的TCP/IP协议族在设计理念上更多的是考虑该网络不会因局部故障而影响信息的传输,基本没有考虑安全问题,故缺乏应有的安全机制。
因此它在控制不可信连接、分辨非法访问、辨别身份伪装等方面存在着很大的缺陷,从而构成了对网络安全的重要隐患。
软件及系统的漏洞或“后门”随着软件及网络系统规模的不断增大,系统中的安全漏洞或“后门”也不可避免的存在,比如我们常用的操作系统,无论是 Windows还是UNIX几乎都存在或多或少的安全漏洞,众多的服务器、浏览器、桌面软件等等都被发现存在很多安全隐患。
标准网御防火墙技术白皮书V3.0北京网御星云信息技术有限公司目录文案标准1序言 (1)2产品概述 (2)3网御防火墙产品特点与技术优势 (3)3.1智能的VSP通用安全平台 (3)3.2高效的USE统一安全引擎 (4)3.3高可靠的MRP多重冗余协议 (5)3.4完备的关联安全标准 (6)3.5基于应用的内容识别控制 (7)3.5.1智能匹配技术 (7)3.5.2多线程扫描技术 (7)3.5.3应用感控技术 (8)3.6精确细致的WEB过滤技术 (8)3.7可信架构主动云防御技术 (9)3.8IP V6包状态过滤技术 (9)4网御防火墙产品主要功能 (11)5网御防火墙的典型应用 (19)5.1高可靠全链路冗余应用环境 (19)5.2骨干网内网分隔环境 (20)5.3混合模式接入环境 (20)5.4多出口环境 (21)6产品殊荣 (23)标准1序言随着信息化建设的深入推进,近些年信息安全正在发生着翻天覆地的变化。
之前的很长一段时间里,IT人员的工作主要是搭建网络基础平台,用户对信息安全的需求则主要是对基础设施进行安全防护,安全产品给信息系统带来的价值无法衡量,有时甚至变成一种心理安慰,这一时期可以称之为“信息安全1.0时代”。
而随着信息化发展的逐渐深入,信息化建设将风险推向前台。
尤其是随着信息化的发展,更多的工作平台、业务平台都搬上网络,网络从传输“数据”进化到传输“钞票”,有时甚至是关系国家安全、社会责任等国计民生的重大内容,信息安全正式进入了2.0时代。
在“信息安全2.0时代”,应用与数据安全的保障是摆在信息安全厂商面前最迫切的课题,作为信息安全的基础设施产品--—防火墙也面临着新的机遇与挑战。
网御防火墙适应用户的需求,在不断提高性能的同时,功能上包括基于应用的识别控制,深层内容过滤等方面都取得了重要突破,为用户构建完整的应用与数据安全解决方案,全方位保障业务的安全运行提供了有力的手段。
标准2产品概述网御防火墙是网御自主研发的核心产品。
第3章系统配置本章主要介绍防火墙的系统配置,由以下部分组成:日期时间,系统参数,系统更新,管理配置,联动,报告设置,入侵检测和产品许可证。
3.1 日期时间防火墙系统时间的准确性是非常重要的。
可以采取两种方式来同步防火墙的系统时钟1)与管理主机时间同步2)与网络时钟服务器同步(NTP协议)图3-1配置防火墙时间与管理主机时间同步1.调整管理主机时钟2.点击“时间同步”按钮与时钟服务器时间同步有两种方式1.立即同步2.周期性自动同步立即同步1.选中“启用时钟服务器”,输入“时钟同步服务器IP”2.点击“立即同步”按钮周期性自动同步1.选中“启用时钟服务器”,输入“时钟同步服务器IP”2.设定同步周期3.点击“确定”按钮系统参数注意事项:防火墙的很多操作依赖于系统时间,改变系统时间会对这些操作发生影响,比如更改时间后配置管理界面登录超时等。
3.2 系统参数系统参数设置防火墙名称和动态域名注册所使用的用户名、密码。
防火墙名称的最大长度是14个英文字符,不能有空格。
默认的防火墙名称是themis,用户可以自己修改这个名称。
动态域名注册所使用的用户名、密码的最大长度是31个英文字符,不能有空格。
动态域名的设置在网络配置>>网络设备的物理网络配置中。
图3-2系统参数配置图3.3 系统更新3.3.1 模块升级防火墙系统升级功能可以快速响应安全需求,保证防火墙功能与安全的快速升级。
图3-3导入升级文件模块升级界面包括以下功能1.模块升级2.导出升级历史3.检查最新升级包4.重启防火墙模块升级1.点击“浏览”按钮,选择管理主机上的升级包2.点击“升级”按钮点击“重启防火墙”按钮,重启防火墙完成升级导出升级历史点击“导出升级历史”按钮,导出升级历史做备份。
检查最新升级包管理员可以查看”系统当前软件版本”,点”检查最新升级包”,系统会弹出新的IE窗口并连接联想安全服务网站(防火墙可以连接Internet)。
网御防火墙介绍网御防火墙产品功能介绍产品优势智能的VSP通用安全平台网御防火墙安全网关采用创新的架构平台VSP(Versatile Secure Platform)通用安全平台,将实时操作系统、网络处理、安全应用等技术完美地结合在一起,使防火墙产品具备了高智能、高性能、高安全性、高健壮性、高扩展性等特点。
VSP通用安全平台示意图高效的USE统一安全引擎网御防火墙采用自主创新设计的USE(Uniform Secure Engine)统一安全引擎。
它将状态检测、协议检测、深度过滤、应用过滤、用户认证等多个子系统进行综合集成,去除了冗余操作,简化了数据处理流程,提高了防火墙的系统处理性能,实现了功能上的可扩展性。
同时也实现了多种安全功能独立安全策略的统一配置,可以方便用户构建可管理的等级化安全体系,从而实现面向业务的安全保障。
USE统一安全引擎示意图高可靠的MRP多重冗余协议网御防火墙通过在物理层、链路层、网络层以及主机层面提供多元化冗余方案,保障用户网络和应用的高可靠性。
包括基于多出口负载均衡的链路备份、基于802.3ad标准的端口聚合、基于状态自动探测的双机热备、基于状态增量同步的多机集群。
2个都用SuperV-7318的图片代替MRP多重冗余解决方案示意图完全内容过滤防火墙网御防火墙基于内容增量检测(CID)技术以及摘要索引内容加速算法(DCA算法)突破了传统的包重组/流重组的内容过滤方式,解决了包重组/流重组消耗大量系统资源的问题,在保证应用安全的同时,大幅提升防火墙应用层的处理性能,在不牺牲系统性能的前提下,率先实现完全内容过滤型防火墙。
功能类功能描述别系统架采用专业的架构平台与VSP通用安全平台构可过滤邮件病毒、文件病毒、恶意网页代码,实现对blaster,nachi,nimda,redcode,sasser,防病毒slapper,sqlexp,zotob等主流蠕虫病毒的过滤和拦截功能采用国产防病毒厂商的病毒特征库,可检测不少于30万种病毒,支持根据用户需求自定义病毒特征。
联想网御超五系列防火墙产品白皮书联想网御科技(北京)有限公司目 录1、序言 (3)2、防火墙技术的发展 (5)2.1网络处理器的基本结构 (6)2.2网络处理器的特点 (7)3、联想防火墙产品解决方案 (8)4、网御超五系列防火墙产品介绍 (9)4.1产品概述 (9)4.2产品特点 (9)4.2.1高性能 (9)4.2.2高安全 (11)4.2.3高可用 (12)4.2.4高可控 (13)4.3主要功能 (15)4.4产品指标 (18)4.4.1性能指标 (18)4.4.2产品规范 (18)5、典型应用 (20)1、序言互联网的发展已经深入到社会生活的各个方面。
对个人而言,互联网改变了人们的生活方式;对企业而言,互联网改变了企业传统的营销方式及其内部管理机制。
虽然一切便利都源于互联网,但是一切安全隐患也来自互联网。
互联网设计之初,只考虑到相互的兼容和互通,并没有考虑到随之而来的一系列安全问题,伴随互联网的迅速发展,网络安全问题越来越严峻。
那么,影响网络安全的主要因素有哪些呢?从技术的角度归纳起来,主要有以下几点:黑客的攻击黑客技术不再是一种高深莫测的技术,并逐渐被越来越多的人掌握。
目前,世界上有20多万个免费的黑客网站,这些站点从系统漏洞入手,介绍网络攻击的方法和各种攻击软件的使用,这样,系统和站点遭受攻击的可能性就变大了。
加上现在还缺乏针对网络犯罪卓有成效的反击和跟踪手段,这些都使得黑客攻击具有隐蔽性好、“杀伤力”强的特点,构成了网络安全的主要威胁。
网络的缺陷因特网在设计之初对共享性和开放性的强调,使得其在安全性方面存在先天的不足。
其赖以生存的TCP/IP协议族在设计理念上更多的是考虑该网络不会因局部故障而影响信息的传输,基本没有考虑安全问题,故缺乏应有的安全机制。
因此它在控制不可信连接、分辨非法访问、辨别身份伪装等方面存在着很大的缺陷,从而构成了对网络安全的重要隐患。
软件及系统的漏洞或“后门”随着软件及网络系统规模的不断增大,系统中的安全漏洞或“后门”也不可避免的存在,比如我们常用的操作系统,无论是Windows还是UNIX几乎都存在或多或少的安全漏洞,众多的服务器、浏览器、桌面软件等等都被发现存在很多安全隐患。
智恒Web应用防火墙产品白皮书WebGuard-WAF2009-11注意:本使用说明中的内容是智恒Web应用防火墙的使用说明。
本材料的相关权利归北京智恒联盟科技有限公司所有。
使用说明中的任何部分未经北京智恒联盟科技有限公司许可,不得转印、影印或复印。
© 2006 北京智恒联盟科技有限公司保留所有权力智恒Web应用防火墙使用说明本资料将定期更新,如欲获取最新相关信息,请访问北京智恒联盟科技有限公司网站:,您的意见和建议请发送至:support@目录第一章概述 (4)第二章系统简介 (6)第三章系统功能及特点 (7)3.1 常规的DDOS功能防护 (7)★快速应对未知的、新的攻击手段 (7)★精细流量监控,及早发现攻击 (7)★灵活端口控制,安全和效率并举 (7)★防端口扫描,自动屏蔽黑客IP (8)★黑白名单功能,敌友一清二楚 (8)3.2特色功能 (8)★基于DDoS特征数据包分析算法 (8)★傻瓜式安装,零配置使用 (8)★自带ARP防火墙功能 (9)★自动升级,与时俱进 (9)★后台URL访问控制 (9)★端口密码输入客户端 (9)★基于内容的关键字过滤 (9)第四章典型应用场景 (10)第五章 WEBGUARD-WAF性能指标 (11)5.1 WEBGUARD-WAF(硬件)技术指标 (11)第六章联系我们 (12)【英文名解释】:Apollo:阿波罗太阳神【希腊神话】。
太阳一出,邪恶尽散。
第一章概述近几年我国信息化发展迅猛,各行各业根据自身需要大都进行了网站建设,用于信息发布、网上电子商务、网上办公、信息查询等等,网站在实际应用中发挥着重要作用。
尤其是我国电子政务、电子商务的大力开展,网站建设得到了空前发展。
然而不幸的是,黑客强烈的表现欲望,国内外非法组织的不法企图,商业竞争对手的恶意攻击,不满情绪离职员工的发泄等等都将导致网页被“变脸”。
网页篡改攻击事件具有以下特点:篡改网站页面传播速度快、阅读人群多;复制容易,事后消除影响难,预先检查和实时防范较难,网络环境复杂难以追查责任。
网御防火墙技术白皮书V3.0北京网御星云信息技术有限公司目录1序言 (1)2产品概述 (2)3网御防火墙产品特点与技术优势 (3)3.1智能的VSP通用安全平台 (3)3.2高效的USE统一安全引擎 (4)3.3高可靠的MRP多重冗余协议 (5)3.4完备的关联安全标准 (6)3.5基于应用的内容识别控制 (7)3.5.1智能匹配技术 (7)3.5.2多线程扫描技术 (7)3.5.3应用感控技术 (8)3.6精确细致的WEB过滤技术 (8)3.7可信架构主动云防御技术 (9)3.8IP V6包状态过滤技术 (9)4网御防火墙产品主要功能 (11)5网御防火墙的典型应用 (19)5.1高可靠全链路冗余应用环境 (19)5.2骨干网内网分隔环境 (20)5.3混合模式接入环境 (20)5.4多出口环境 (21)6产品殊荣 (23)1序言随着信息化建设的深入推进,近些年信息安全正在发生着翻天覆地的变化。
之前的很长一段时间里,IT人员的工作主要是搭建网络基础平台,用户对信息安全的需求则主要是对基础设施进行安全防护,安全产品给信息系统带来的价值无法衡量,有时甚至变成一种心理安慰,这一时期可以称之为“信息安全1.0时代”。
而随着信息化发展的逐渐深入,信息化建设将风险推向前台。
尤其是随着信息化的发展,更多的工作平台、业务平台都搬上网络,网络从传输“数据”进化到传输“钞票”,有时甚至是关系国家安全、社会责任等国计民生的重大内容,信息安全正式进入了2.0时代。
在“信息安全2.0时代”,应用与数据安全的保障是摆在信息安全厂商面前最迫切的课题,作为信息安全的基础设施产品--—防火墙也面临着新的机遇与挑战。
网御防火墙适应用户的需求,在不断提高性能的同时,功能上包括基于应用的识别控制,深层内容过滤等方面都取得了重要突破,为用户构建完整的应用与数据安全解决方案,全方位保障业务的安全运行提供了有力的手段。
2产品概述网御防火墙是网御自主研发的核心产品。
1999年联想研究院设计并开发完成第一代防火墙产品。
网御防火墙产品历经简单包过滤防火墙、状态包过滤防火墙、深度内容过滤和完全内容检测防火墙等发展阶段,并集成了防火墙、VPN、入侵检测与防御、防蠕虫病毒、上网行为管理、流量整形等众多功能。
目前已广泛应用在税务、公安、政府、部委、能源、交通、军队、电信、金融、企业等各行业,并为其网络和应用提供安全保障。
网御防火墙分为多核金刚万兆系列,超五系列、AISC系列、强五系列和精五系列,共计80余款,从大型骨干网络的安全防护到小型办公室网络的安全接入都有相应的防火墙产品。
超五防火墙基于创新的多核架构,使国内性能最高的万兆级防火墙。
ASIC 系列具有强劲的小包处理性能,64字节小包达到10Gbps,是国内为数不多的高性能防火墙之一;强五防火墙具备强大的安全功能,是集防火墙、IPSEC VPN、SSL VPN、漏洞扫描、主动防御、入侵检测与防护系统、防网络病毒、内容检测与过滤、绿色上网、带宽管理、高可用性等众多功能于一身的多威胁统一管理的综合防火墙。
精五防火墙面向中小型企业和单位,基于“免维护、零管理成本”的设计理念,集成防火墙、VPN、主动防御及交换机等功能,具备简单易用的特点。
今天,作为国内信息安全产业的佼佼者,网御通过对信息安全产业发展趋势的敏锐判断,率先开始了在应用与数据安全领域的布局,通过在产品、技术、服务及解决方案的全面创新,为用户提供真正有价值的信息安全整体防护方案,抢先布局“信息安全2.0”时代。
3网御防火墙产品特点与技术优势3.1智能的VSP通用安全平台网御防火墙采用创新的VSP(Versatile Security Platform)通用安全平台,将实时操作系统、网络处理、安全应用等技术完美地结合在一起,使防火墙产品具备了高智能、高性能、高安全性、高健壮性、高扩展性等特点。
VSP面向网络吞吐和安全处理,采用基于组件的多平面架构,整个系统分为控制平面、数据平面、系统服务平面和硬件抽象平面,通过控制平面和数据平面的分离,不同于Linux,FreeBSD等通用操作系统追求均衡的方向,集中主要资源于网络吞吐和安全处理,使系统具有极强的实时性和网络吞吐能力。
由于系统功能与资源管理分别工作在不同的平面,各平面和模块之间共同遵循标准接口函数,系统具有高度灵活性和可扩展性。
通过将硬件驱动与资源管理独立为一个单独的硬件抽象平面模块,对上层软件提供统一调用接口,对下层硬件统一定义驱动标准,适应多种不同规格的硬件架构,实现与多种专用芯片的无缝融合,可充分利用从IXP,PowerPC到NP、多核多线程CPU、内容加速芯片等各种先进硬件平台的优势,使网御防火墙在性能方面一路领先。
3.2高效的USE统一安全引擎网御防火墙具有高效的USE(Uniform Security Engine)统一安全引擎。
它将状态包过滤、VPN、IDS、内容过滤、用户认证等多个子系统集成于单一平台,构造统一架构,综合并优化各子系统,去除冗余,简化数据处理流程,实现统一的安全引擎处理机制。
统一安全引擎克服了传统上各个安全引擎独自为战的缺点,通过高效的引擎集成技术,将各个安全功能有机地整合为一体,状态检测、协议分析机、深度过滤、内容检测等引擎协同工作,对于监测的数据包,一次性拆包即可完成2-7层的检测,同时采用联想的专利技术----基于摘要索引的内容处理加速算法,有效地提高了引擎的处理效率。
USE通过多协议融合分析技术和事件关联再分析技术,综合内容实体,时间因素,提高了安全事件的检测率。
USE采用标准化技术,对内提供统一服务接口,使安全功能易于扩展,充分满足安全需求的快速发展;对外实现安全策略的统一配置,给用户带来可管理的等级化安全。
3.3高可靠的MRP多重冗余协议基于网御拥有的高可靠设计专利技术,利用电信骨干网可靠性运营维护专业经验,网御防火墙通过自有的MRP多重冗余协议,在物理层、链路层、网络层、实体层等多个层面实现多元化冗余设计,有效地保障网御防火墙在用户网络应用中的高可用性。
基于多出口负载均衡的链路备份。
链路层支持多WAN口出口,实现多出口间的负载均衡和备份,任何一条链路的故障瘫痪不会影响网络的正常运行。
●基于802.3ad标准的端口聚合。
物理端口支持802.3ad标准,可实现多物理端口聚合,帮助用户做到“零投资”带宽倍增。
●基于状态自动探测的双机热备。
当主系统发生故障或对应线路的网络故障时,备份机可自动检测并切换到主状态,接管主系统的工作,切换时间小于1秒钟。
●基于状态增量同步的多机集群。
支持主动负载均衡、会话保护和接管以及主动配置同步等功能,尤其是采用国内首创的“状态增量同步技术”解决多台防火墙之间的状态一致性问题,实现了业务在多台防火墙之间的平滑任意分布和切换,解决了采用VRRP协议和动态路由协议带来的“业务续断问题”,最多可以支持高达8台的防火墙集群。
3.4完备的关联安全标准网御具备完备的关联安全标准即(CSC: Correlative Security Criterion),网御以“面向业务的安全架构”为技术理念,以“统一安全,立体防御”为设计目标,参照国际标准,系统地开发了安全管理协议、安全联动协议、安全审计协议等协议族,构成了完备的关联安全标准。
网御防火墙系列全面支持CSC标准,一方面可以保证安全管理中心可以通过安全管理协议全面掌控防火墙的运行,另一方面通过统一的事件格式、事件等级、发送协议,使安全审计中心只要遵从安全审计协议即可以对防火墙的安全事件进行集中、可视化审计。
同时,网御防火墙遵从安全联动协议,可以使主机安全软件,入侵检测等系统以防火墙为核心构建深度安全防御体系,使网络安全从独立、单一防护的安全产品保护发展为立体、全面、动态的防护。
3.5基于应用的内容识别控制网御防火墙系列拥有目前最完善的应用识别特征库,通过智能分析技术,将P2P、IM、炒股软件和在线游戏等协议的应用行为、加密方式、处理动作等特点整理成库。
当流量经过防火墙时,防火墙启动过滤引擎,对流量进行特征值的匹配。
当过滤引擎搜索到与之匹配的特征码时,防火墙即可应用智能识别技术进行细粒度控制或一键封锁。
如何快速而准确地识别各种上网行为,是决定防火墙性能的关键因素。
网御防火墙从如下几个方面保障内容识别的高速与准确。
3.5.1智能匹配技术在特征库上的设置上,网御防火墙按照所有上网行为的特点进行了分类,并对P2P、IM、炒股以及在线游戏等上网行为设置了不同的特征库。
当数据包到达防火墙时,防火墙首先根据用户定制策略将其分配到其对应的特征库管道,如P2P下载行为的流量被输送到P2P特征库管道,即时通讯的流量则被输送到IM特征库管道。
流量被分发到相应的特征库管道以后,再由相应的搜索引擎对流量进行扫描。
这样既大大减少了搜索引擎检索的时间,又提高了过滤引擎的性能。
3.5.2多线程扫描技术网御防火墙采用多线程扫描技术,提高了引擎扫描的效率。
比如当BT数据流和MSN 数据流同时进入防火墙时,防火墙内容搜索引擎不是在检索完BT数据流以后再去检索MSN数据流,而是可以同时启动BT搜索引擎和MSN搜索引擎。
两个搜索引擎同时工作而互不影响。
这种多线程处理机制同样适用于2种以上不同类型的数据流同时经过防火墙的情况,快速提升了搜索引擎的工作效率。
3.5.3应用感控技术网御新一代防火墙具有与传统的基于端口和IP协议不同的方式进行应用识别的能力,并执行访问控制策略。
例如允许用户使用QQ的文本聊天、文件传输功能但不允许进行语音视频聊天,或者允许使用WebMail收发邮件但不允许附加文件等。
应用识别带来的额外好处是可以合理优化带宽的使用情况,保证关键业务的畅通。
虽然严格意义上来讲应用流量优化(俗称应用QoS)不是一个属于安全范畴的特性,但P2P下载、在线视频等网络滥用确实会导致业务中断等严重安全事件。
3.6精确细致的WEB过滤技术网御防火墙系列在内容过滤库的处理上力求收集齐全、分类准确、更新及时。
通过采用网站全智能搜索引擎技术收集互联网站点,并进行智能分类、人工核验的处理手段。
目前网御防火墙支持50多种完善的URL类别,分别涉及色情、暴力、赌博、毒品、犯罪、病毒、体育、财经、娱乐等网站分类,这50多个URL类别库总共包含1000万以上特征网站,具有分类全,覆盖面广的特点。
另外,由于在互联网上每天都有大量新网站出现,网御通过在线升级的方式,使URL库中的网站处于持续的更新状态。
3.7可信架构主动云防御技术网御防火墙通过与已部署的防病毒网关、IPS、UTM等设备联合抓取病毒源、攻击检测源和挂马网站URL等特征,汇集至云防御服务器定时收纳合并,云防御服务器动态更新病毒库、攻击特征库、挂马库等并同步到所有网御安全网关设备中,使其他设备具有防病毒、IPS、防挂马等功能,同时使其具备更高的处理性能,共同形成整体可信架构云防御体系。
