技术白皮书88版本0111.docx
《技术白皮书88版本0111.docx》由会员分享,可在线阅读,更多相关《技术白皮书88版本0111.docx(80页珍藏版)》请在冰豆网上搜索。
技术白皮书88版本0111
阿姆瑞特F系列防火墙
技术白皮书
阿姆瑞特(亚洲)网络有限公司
目录
前言3
第一章阿姆瑞特防火墙产品线4
第二章阿姆瑞特防火墙组成9
2.1阿姆瑞特防火墙(硬件)9
2.2防火墙内核9
2.3防火墙管理器10
2.4Amaranten防火墙日志服务器11
第三章防火墙的功能12
3.1数据包状态检测过滤12
3.2强大的防御功能12
3.3虚拟路由器13
3.4支持DHCP客户端14
3.5支持DHCPRelay14
3.6支持DHCPServer14
3.7支持ADSL接入14
3.8基于策略的路由(PBR)15
3.9多链路备份15
3.10支持H.323协议15
3.11支持SIP协议15
3.12内容过滤15
3.13支持OSPF16
3.14策略时间表16
3.15支持VLAN16
3.16提供CoS/QoS(服务级别/服务质量)服务17
3.17IP地址和MAC地址绑定18
3.18支持双机热备18
3.19支持接口备份18
3.20支持与防病毒网关联动19
3.21防火墙和IDS联动19
3.22支持Radius认证19
3.23本地用户数据库19
3.24NAT地址转换19
3.25反向地址映射20
3.26支持负载均衡20
3.27支持组播20
3.28每秒新建连接数限制20
3.29文件类型过滤21
3.30反垃圾邮件功能21
3.31灵活的IPS与IDS统一21
3.32应用控制21
3.33动态IPS/IDS/应用控制配置界面22
3.34动态网页内容过滤22
3.35网关反病毒22
3.36多重DMZ区保护23
3.37VPN功能23
3.38丰富的日志审计23
3.39GRE隧道封装24
3.40PPTP和L2TP客户端和服务器24
3.41灵活的IPSec24
3.42多种接入模式24
3.43安全的远程升级25
3.44独特的防火墙状态监测25
第四章防火墙的管理26
4.1分级管理26
4.2基于对象名称过滤26
4.3组策略管理26
4.4预定义服务27
4.5便捷的策略模板27
4.6集中远程管理27
4.7专业级防火墙管理28
4.8支持SNMP协议28
4.9远程Console控制28
4.10NTP时钟同步29
第五章 防火墙性能30
第六章防火墙应用范例32
6.1在XXXXX电信网中的“高可靠性”功能特点:
32
6.2在XXX企业网中的“混合接入”功能特点:
32
6.3在XXX石化网中的“支持VLAN”功能特点:
33
6.4在XXX银行证券网中的“多DMZ区保护”的功能特点:
34
6.5在XXX电力网中“内网安全分段”的功能特点35
6.6在XXXX宽带网上的“动态IP分配”的功能特点:
35
6.7在xxxx大学“多出口”的应用36
6.8VPN的点对点接入的应用36
6.9星型拓扑的VPN接入的应用39
6.10动态IP地址接入应用40
6.11NAT穿越的接入应用40
6.12XXXX网站“端口映射”应用41
6.13在无线网络的“带宽保证”的应用42
前言
Internet的发展给政府机构、银行、证券、企事业单位带来了革命性的改革和变化。
互联网技术的迅猛发展使企业通过利用Internet来提高办事效率和市场反应速度,以便更具竞争力。
通过使用Internet技术,任何一个单位的数据资料的传输和存取都变得方便、快捷,但同时也面对Internet开放带来的数据安全的新挑战和新危险:
即客户、销售商、移动用户、异地员工和内部人员的安全访问;以及保护国家机关、企事业的机密信息不受黑客和商业间谍的入侵。
众所周知,作为全球使用范围最大的信息网,Internet自身协议的开放性极大地方便了各种计算机入网,实现了资源共享。
然而,由于在早期网络协议设计上对安全问题的疏忽,以及在使用和管理的无政府状态,逐渐使Internet自身的安全受到严重威胁,与它有关的安全事故屡有发生。
这就促使我们对网络互连所带来的安全性问题予以足够重视。
如何能够在保证我们网络在正常使用的基础上又保证网络的安全性,这就不得不考虑到一种重要的设备——防火墙。
防火墙是一种高级访问控制设备,它是置于不同网络安全域之间的一系列部件的组合,是不同网络安全域间通信流的唯一通道,能根据企业有关的安全政策控制(允许、拒绝、监视、记录)进出网络的访问行为。
防火墙的工作原理是按照事先规定好的配置和规则,监测并过滤所有通向外部网和从外部网传来的信息,只允许授权的数据通过,防火墙还应该能够记录有关的联接来源、服务器提供的通信量以及试图闯入者的任何企图,以方便管理员的监测和跟踪。
第一章阿姆瑞特防火墙产品线
阿姆瑞特公司拥有丰富的产品线,能满足不同的网络环境的需求。
阿姆瑞特防火墙产品共分为4个等级,14种产品型号(AS-F50-NP、AS-F50-NP-UP、AS-F100-NP、AS-F100-NP-UP、AS-F300-L、AS-F300-UP、AS-F300、AS-F600-UP、AS-F600-Pro、AS-F600+、AS-F1800、AS-F3000、AS-F5000、AS-F5000-Pro,其中AS-F50-NP、AS-F50-NP-UP、AS-F100-NP和F100-NP四款产品均采用NP硬件平台,F600-UP以上的高端及电信级系列产品均采用ASIC硬件加速技术),从SOHO用户到大型IDC/ISP用户都遍布阿姆瑞特防火墙的身影。
我们的产品适用于SOHO用户,小型、中型或大型企业,高校、金融机构,高流量的电子商务网站,电信、IDC/ISP以及其他网络安全的环境。
NP产品
EntXpress系列
AS-F50-NP
AS-F100-NP-UP
AS-F100-NP
AS-F50-NP-UP
AS-F300-UP
AS-F300-L
AS-F600-UP
AS-F600-Pro
AS-F600+
AS-F5000-Pro
AS-F5000
AS-F1800
AS-F3000
AS-F300
电信级产品
TelcoXpress系列
高端产品
EntXpress系列
中低端产品
CorpXpress系列
AS-F50-NP
AS-F50-NP-UP
AS-F100-NP
AS-F100-NP-UP
AS-F300-L
AS-F300-UP
AS-F300
AS-F600-UP
AS-F600-Pro
AS-F600+
AS-F1800
AS-F3000
AS-F5000
AS-F5000-Pro
性能
并发连接数
50,000
100,000
200,000
200,000
400,000
512,000
512,000
1,000,000
1,500,000
2,000,000
3,000,000
5,000,000
5,000,000可升级到10,000,000
80,000,000
明文吞吐量(Mbps)
55
80
110
200
220
330
400
800
1000
1,500
2000
3000
4000
16,000
VPN吞吐量(Mbps)
20
20
40
40
95
180
200
600
800
1000
1000
1000
1000
16,000
用户数限制
无用户数限制
无用户数限制
无用户数限制
无用户数限制
无用户数限制
无用户数限制
无用户数限制
无用户数限制
无用户数限制
无用户数限制
无用户数限制
无用户数限制
无用户数限制
无用户数限制
网络接口
防火墙接口数量
(4+6)×
10/100M电口
(4+6)×
10/100M电口
(4+6)×
10/100M电口
(4+6)×
10/100M电口
6×
10/100M电口
6×
10/100M电口
6×
10/100M电口
+2×
10/100/1000M电口
4×
10/100M电口
+2×
10/100/1000M电口
+8×MiniGBIC插槽
4×
10/100M电口
+2×
10/100/1000M电口
+8×MiniGBIC插槽
4×
10/100M电口
+2×
10/100/1000M电口
+8×MiniGBIC插槽
4×
10/100M电口
+2×
10/100/1000M电口
+8×MiniGBIC插槽
4×
10/100M电口
+2×
10/100/1000M电口
+8×MiniGBIC插槽
4×
10/100M电口
+2×
10/100/1000M电口
+8×MiniGBIC插槽
48
接口对称式设计
•
•
•
•
•
•
•
•
•
•
•
•
•
•
VLAN(IEEE802.1Q)支持
•
•
•
•
•
•
•
•
•
•
•
•
•
•
VLAN数量
4
8
32
64
256
256
512
1,024
1,024
1,024
2,048
4,096
4,096
32,768
每个VLAN的访问和带宽控制
•
•
•
•
•
•
•
•
•
•
•
•
•
•
PPPoE支持
•
•
•
•
•
•
•
•
•
•
•
•
•
•
接口组定义
•
•
•
•
•
•
•
•
•
•
•
•
•
•
安全\传输对等接口组定义
•
•
•
•
•
•
•
•
•
•
•
•
•
•
访问控制
最大规则数量
500
500
1,000
1,000
1,000
1,000
2,000
8,000
16,000
16,000
16,000
32,000
32,000
256,000
预定义的UDP/TCP/IP服务过滤
•
•
•
•
•
•
•
•
•
•
•
•
•
•
IP子协议过滤
•
•
•
•
•
•
•
•
•
•
•
•
•
•
TCP/UDP端口过滤
•
•
•
•
•
•
•
•
•
•
•
•
•
•
预定义ICMP消息类型
•
•
•
•
•
•
•
•
•
•
•
•
•
•
自定义ICMP消息
•
•
•
•
•
•
•
•
•
•
•
•
•
•
自定义ICMP代码
•
•
•
•
•
•
•
•
•
•
•
•
•
•
预定义服务
•
•
•
•
•
•
•
•
•
•
•
•
•
•
FTP代理(应用层网关)
•
•
•
•
•
•
•
•
•
•
•
•
•
•
HTTP代理,URL过滤(应用层网关)
•
•
•
•
•
•
•
•
•
•
•
•
•
•
H.323代理(应用层网关)
•
•
•
•
•
•
•
•
•
•
•
•
•
•
Schedule(时间表过滤)
•
•
•
•
•
•
•
•
•
•
•
•
•
•
随机的TCPISN
•
•
•
•
•
•
•
•
•
•
•
•
•
•
地址转换
•
NAT(符合RFC1631标准)
•
•
•
•
•
•
•
•
•
•
•
•
•
•
SAT(静态地址转换)
•
•
•
•
•
•
•
•
•
•
•
•
•
•
多对一的地址SAT
•
•
•
•
•
•
•
•
•
•
•
•
•
•
针对规则的地址转换
•
•
•
•
•
•
•
•
•
•
•
•
•
•
地址解析和路由
静态IP地址
•
•
•
•
•
•
•
•
•
•
•
•
•
•
CIDR支持
•
•
•
•
•
•
•
•
•
•
•
•
•
•
OSPF动态路由协议的支持
•
•
•
•
•
•
•
•
•
•
•
•
•
•
多WAN链路的接口备份
•
•
•
•
•
•
•
•
•
•
•
•
•
•
多服务器的冗余
•
•
•
•
•
•
•
•
•
•
•
•
•
•
虚拟系统\路由
•
•
•
•
•
•
•
•
•
•
•
•
•
•
IP地址范围
•
•
•
•
•
•
•
•
•
•
•
•
•
•
IP和网络组定义
•
•
•
•
•
•
•
•
•
•
•
•
•
•
静态ARP数量
1,024
•
1,024
1,024
1,024
1,024
1,024
1,024
1,024
1,024
1,024
1,024
1,024
1,024
在ARP中使用动态发布的IP地址
•
•
•
•
•
•
•
•
•
•
•
•
•
•
在ARP中使用动态发布的MAC地址
•
•
•
•
•
•
•
•
•
•
•
•
•
•
IP和MAC地址绑定
•
•
•
•
•
•
•
•
•
•
•
•
•
•
APR代理
•
•
•
•
•
•
•
•
•
•
•
•
•
•
DHCPSEVER
•
•
•
•
•
•
•
•
•
•
•
•
•
•
DHCP中继代理
•
•
•
•
•
•
•
•
•
•
•
•
•
•
DHCP客户端
•
•
•
•
•
•
•
•
•
•
•
•
•
•
静态路由
•
•
•
•
•
•
•
•
•
•
•
•
•
•
基于策略的路由
•
•
•
•
•
•
•
•
•
•
•
•
•
•
静态路由数量
128
128
256
256
128
256
512
1,024
2,048
2,048
2048
4,096
4,096
32,768
基于规则的路由
•
•
•
•
•
•
•
•
•
•
•
•
•
•
一致性检测和强大的防御功能
防火墙与IDS联动
•
•
•
•
•
•
•
•
•
•
•
•
•
•
非法地址检测
•
•
•
•
•
•
•
•
•
•
•
•
•
•
IP校验和检查
•
•
•
•
•
•
•
•
•
•
•
•
•
•
TTL控制
•
•
•
•
•
•
•
•
•
•
•
•
•
•
IP包长度一致性检查
•
•
•
•
•
•
•
•
•
•
•
•
•
•
IP包选项长度检查
•
•
•
•
•
•
•
•
•
•
•
•
•
•
IP源路由项检查
•
•
•
•
•
•
•
•
•
•
•
•
•
•
IPTimestamp检查
•
•
•
•
•
•
•
•
•
•
•
•
•
•
IP包错误选项检查
•
•
•
•
•
•
•
•
•
•
•
•
•
•
IP包保留标志位检查
•
•
•
•
•
•
•
•
•
•
•
•
•
•
TCPBlindSpoofing保护
•
•
•
•
•
•
•
•
•
•
•
•
•
•
TCP包头的选项长度检查
•
•
•
•
•
•
•
•
•
•
•
•
•
•
TCPMSS控制
•
•
•
•
•
•
•
•
•
•
•
•
•
•
TCPWindow范围控制
•
•
•
•
•
•
•
•
•
•
•
•
•
•
TCP可选条件下的ACK标志位检查
•
•
•
•
•
•
•
•
•
•
•
•
•
•
TCPTimestamp检查
•
•
•
•
•
•
•
•
•
•
•
•
•
•
TCP校验和检查
•
•
•
•
•
•
•
•
•
•
•
•
•
•
TCPConnectionCount
•
•
•
•
•
•
•
•
•
•
•
•
•
•
TCP错误选项检查
•
•
•
•
•
•
•
•
•
•
•
•
•
•
TCP标志位组合检查
•
•
•
•
•
•
•
•
•
•
•
•
•
•
TCP保留字段组合检查
•
•
•
•
•
•
•
•
•
•
•
•
•
•
TCP空包检查
•
•
•
•
•
•
•
•
•
•
•
•
•
•
ICMP响应控制
•
•
•
•
•
•
•
•
•
•
•
•
•
•
防止ARP欺诈
•
•
•
•
•
•
•
•
•
•
•
•
•
•
严格的接口匹配
•
•
•
•
•
•
•
•
•
•
•
•
•
•
连接超时控制
•
•
•
•
•
•
•
•
•
•
•
•
•
•
负载大小控制
•
•
•
•
•
•
•
•
•
•
•
•
•
•
分段重组时间控制
•
•
•
•
•
•
•
•
•
•
•
•
•
•
对非法分段的检查
•
•
•
•
•
•
•
•
•
•
•
•
•
•
重复段的检查
•
•
•
•
•
•
•
•
•
•
•
•
•
•
分段的ICMP包控制
•
•
•
•
•
•
•
•
•
•
•
•
•
•
VPN
加密算法
AES(Rijndael),3DES,DES,Twofish,Blowfish,CAST-128
认证算法
SHA-1,MD5
并发VPN通道数
50
75
100
200
200
800
3,000
5,000
5,000
10,000
20,000
30,000
50,000
400,000
IKE模式
Main,Aggressive
PerfectForwardSecrecy
DHGroups1,2,5
安全关联参数(SA)
网络、主机、协议或端口
密钥管理
X.509证书和共享口令,XAuth用户认证
用户认证
Built-inDatabase;IP,DNS-name,Radius,E-mailorX.500DistinguishedName
带宽限制和保障
•
•
•
•
•
•
•
•
•
•
•
•
•
•
LAN-to-LANVPN
•
•
•
•
•
•
•
•
•
•
•
•
•
•
移动客房端
•
•
•
•
•
•
•
•
•
•
•
•
•
•
星形VPN设计
•
•
•
•
•
•
•
•
•
•
•
•
•
•
PKI证书请求(PKCS#7,PKCS#11)
•
•
•
•
•
•
•
•
•
•
•
•
•
•
自签名的证书
•
•
•
•
•
•
•
•
•
•
•
•
•
•
在线证书状态协议(OCSP)
•
•
•
•
•
•
•
•
•
•
•
•
•
•
DHCPinIPSec
•
•
•
•
•
•
•
•
•
•
•
•
•
•
遵循RPC标准
SecurityArchitecturefortheInternetProtocol(RFC2401),AH(RFC2402),
ESP(RFC2406),ISAKMPDOI(RFC2407),ISAKMP(RFC2408),IKE(RFC2409)
对PPTP\L2TP\GRE的支持
•
•
•
•
•
•
•
•
•
•
•
•
•
•
动态地址建立VPN
•
•
•
•
•
•
•
•
•
•
•
•
•
•
IPSec通过XAuth做用户验证
•
•
•
•
•
•
•
•
•
•
•
•
•
•
带宽管理
操作模式
流量管道
优先级
每个管道具有8个优先级
可应用的限制
宽带,每秒数据(IP)包数
粒度
每条规则/1Kbps/1pps
流量平衡
•
•
•
•
•
•
•
•
•
•
•
•
•
•
管道链
•
•
•
•
•
•
•
•
•
•
•
•
•
•
高可用性
高可能性支持
-
-
-
-
•
•
•
•
•
•
•
•
•
•
状态同步
-
-
-
-
•
•
•
•
•
•
•
•
•
•
VPN同步
-
-
-
-
•
•
•
•
•
•
•
•
•
•
设备故障检测
-
-
-
-
•
•
•
•
•
•
•
•
•
•
同步的方法
防火墙上的任意以太网接口
链路备份
-
-
•
•
•
•
•
•
•
•
•
•
•
•
接口备份
•
•
•
•
•
•
•
•
•
•
•
•
•
•
平均故障恢复时间(ms)
<600
日志
网络日志存储
升级会员 