防火墙特性与优点说明书.docx
《防火墙特性与优点说明书.docx》由会员分享,可在线阅读,更多相关《防火墙特性与优点说明书.docx(15页珍藏版)》请在冰豆网上搜索。
防火墙特性与优点说明书
购置指引:
防火墙特性与优点说明
1.天网防火墙工作组型:
天网防火墙工作组级防火墙,是适合中小型企业上网用的防火墙,适用于用户数量规模不大的网络环境〔大约有十几到几十台部工作站〕。
它包括了根本的防火墙系统,具体功能特性如下:
●自行开发的优良的防火墙核
在系统设计时参考了NetBSD、OpenBSD、Linux、FreeBSD等系统的体系结构,吸取以上的系统的优点进展系统网络核心的优化处理,同时还针对CPU的计算核心进展了优化处理。
能支持到大量的并发连接和高性能的IPPacket处理,我们以纯汇编编写这局部的程序,并充分使用CPU的能力,使程序效率平均提高20%,在某些情况下可以提高60%。
●基于状态检测的包过滤功能
天网防火墙在核心局部实现了基于状态检测的包过滤功能,通过建立连接状态表的方式,提高安全控制表项的轮询速度,从而提高了包过滤系统的性能和安全性。
●具有包过滤功能的虚拟网桥功能,可以支持IPTV等多点广播的网络服务,并且可以网桥与路由混合的工作模式进展工作,方便灵活天网防火墙系统还支持桥接功能,可以实现局域网之间基于数据链路层的连接,满足IPTV等基于多点广播的多媒体应用,而且对于某些已定型的网络结构,可以在不改变网络拓扑的情况下参加防火墙,实现包过滤等应用。
●具有国际首创的DOS防御网关技术,能有效的防止各种类型的DOS攻击
Internet上DOS攻击暴虐一时,由于可以通过使用一些公开的软件进展攻击,它的发动较为简单,同时要防止这种攻击又非常困难。
DoS全称是DenialofService,中文意思是拒绝服务攻击。
这种攻击行动使服务器充斥大量要求回复的信息,消耗网络带宽或系统资源,导致网络或系统不胜负荷以至于瘫痪而停止提供正常的网络服务。
"拒绝服务"的攻击方式为:
用户传送众多要求确认的信息到服务器,使服务器里充斥着这种无用的信息。
所有的信息都有需回复的虚假地址,以至于当服务器试图回传时,却无法找到用户。
服务器于是暂时等候,有时超过一分钟,然后再切断连接。
服务器切断连接时,黑客再度传送新一批需要确认的信息,这个过程周而复始,最终导致服务器无法动弹,瘫痪在地。
天网防火墙系统针对各种DOS攻击做出了防御措施。
在信息到达服务器之前拦截信息,系统可以根据设置智能化地对访问信息进展检查,从而阻挡住SyncFlood,IGMPNuke,WinNuke等DoS类型攻击。
目前国同类产品尚无同样功能。
●具有TCP标志位检测功能
在大多数的防火墙里,都缺少对连接是从哪方主动发起进展判断的选项,这将导致一个潜在的安全隐患是攻击者可能可以从一个外部主机的某个常用服务端口连入部主机的高端口。
例如,如果允许部主机访问外部主机的telnet服务,这个方向连接的所有包应该是必须包含ACK位的,也就是说,不是主动发起的连接。
但通常的防火墙的包过滤功能里并没有检查ACK位的设置,因此,攻击者就可以从外部主机的源23端口发起连接到部主机的高端口(>1023)。
天网防火墙系统通过在安全规如此上的设置对数据包的SYN/ACK等标志位进展合法性检测和判断,防止不法攻击者利用常用服务的低端口与部主机的高端口的连接,从而攻击部主机。
国包括国外的许多防火墙系统都无此防护功能。
●具有双向的网络地址转换功能
部网络用户一般没有合法的InternetIP地址〔RegisteredIPAddress〕,不能直接对外部网络进展访问,这可以通过网络地址转换系统得到完满的解决。
当用户需要对外访问时,天网邮政防火墙系统将会从IP池中的IP动态分配给用户,使用户得到合法的IP地址与外部访问。
端口地址转换〔PortAddressTranslation〕可以扩展公司可使用的InternetIP,用户的访问将会映射到IP池中IP的一个端口上去,这使每个合法InternetIP可以映射六万多个部网主机。
如果企业希望部网络中的服务器可以让Internet用户访问的话,可以利用反向NAT〔R-NAT〕或反向PAT〔R-PAT〕系统,为部网络服务器作静态地址和端口映射,这样Internet用户就可以通过本防火墙系统直接访问该服务器了。
●具有流量统计与流量限制功能
●支持一个网络端口绑定多个IP地址,从而支持多个子网和多种IP应用
●支持IP与MAC地址绑定,有效地管理IP地址资源
在部网络的应用中,经常会遇到部网络用户擅自修改IP地址,以获取一个合法IP地址来进展相应的网络应用,这样会使部网络在地址资源的分配和使用上出现混乱,大大影响部网络的正常运行,而且,在网络事故发生以后,也加大了地址追寻的难度。
天网防火墙所具有的MAC地址绑定功能可以很好地解决这个问题。
当网络用户被分配或自行设定一个IP地址以后,防火墙系统就能接收到相应的地址广播,在防火墙系统上列出相应的IP地址与MAC地址,并可以选择是否把这个IP地址与相应的MAC地址绑定,这样可限定IP地址只能在一台指定的工作站上使用,大大方便了网络的IP地址管理。
●具有实时系统监控功能,能观察系统的运行状态与网络连接状况
天网防火墙系统可以通过实时观察系统的运行时间、负载状况以与存使用情况等,来了解整个系统的运行状况,并且还可以在界面上观察到系统的各种网络连接状况,从而可以根据系统的负载情况对系统作出相应的调整。
●具有实时报警功能,通过拨打和Emai*的方式报警
系统提供对任何可疑的行为作出实时的告警提示,告警可疑通过可闻可见的的方式发出,也可以通过Email发出信息、发出SNMP告警到网管系统,或者激活一些用户定义的告警方式,如通过传呼机呼叫管理员等。
●可通过界面升级,操作方便
●具有系统操作记录,可以记录系统管理员的所有操作情况
典型网络方案:
小型企业通常采用2M以下的专线实现与Internet的互连,在线路速度上对防火墙的要求不高。
企业通过路由器与DDN连接上Internet,路由器的以太网接口直接连接到防火墙的网络端口1上;企业的服务器直接连接在防火墙的网络端口2上,如果企业多有台服务器,可以通过集线器连接在防火墙的网络端口2上;企业的工作站通过集线器连接在防火墙的网络端口3上;通过这种方式,防火墙可以同时保护企业的服务器和部的工作站。
部的所有工作站可以采用部网的私有网络地址,例如192网段,通过防火墙的NAT功能连接上Internet,将宝贵的IP地址资源保存给服务器使用。
2.天网防火墙企业I型:
天网防火墙企业I型防火墙,是适合大中型企业上网用的防火墙,适用于用户数量规模较大大的网络环境〔大约有几十到几百甚至上千台部工作站〕。
它包括了根本的防火墙系统,网络黑洞和数据纪录功能模块,具体功能特性如下:
●根本防火墙系统功能〔同工作组型〕
●网络黑洞模块,用于阻挡黑客的网络结构探测,返回错误的信息给黑客,可以有效的防止外来攻击
●网络数据纪录模块,用于记录网络数据流量、用户流量计费等功能,该模块需要在一台PC机上安装一个客户端软件进展数据收集、分析和处理,还可以把分析结果导入数据库,实现自动处理。
典型网络方案:
本方案将现有网络划分为物理上相互独立的三个网段:
●公共网段〔Public_Nework〕
●停火区网段〔DMZ_Network〕
●私有网段〔Private_Network〕
其中,公共网段提供面向Internet的广域网连接和其他各行访问的支持;停火区网段安放各种数据库、FTP/Web服务器和企业部业务信息服务器,提供多种面向Internet的应用服务;部私有网段保障本地用户安全地访问外部网络资源,以与对停火区各服务提供设备进展更新和维护。
安全策略:
目的:
●划分安全区域。
●制订安全策略,包括用户访问控制,定义访问级别,确定服务类型。
●审核和过滤,仅符合安全策略的访问和响应过程可以通过,拒绝其他访问请求。
根据对用户需求的分析,企业部网络可以划分为以下几个安全区域:
●部网段
●公共网段
●外部网段
分属三个安全区域的网段通过天网防火墙进展互连。
No.
安全区域
安全级别
访问级别
1
外部网段
低级
无。
提供网络连接。
2
公共网段
中级
外部可访问符合安全策略的网络资源;部可以更新和维护。
3
部网段
高级
可自由访问外部网络资源;对外不可见。
现有需要进展审核和过滤的应用和服务类型包括:
服务类型
端口围/协议类型
说明
DNS
53,tcp/udp
域名服务
80,tcp
服务
SMTP/POP3
25/110,tcp
电子
FTP
21/20,tcp
文件传输服务
Etc.
自定义
用户自定义
3.天网防火墙企业II型:
天网防火墙企业II型防火墙,同样是适合大中型企业上网用的防火墙,适用于用户数量规模较大大的网络环境〔大约有几十到几百甚至上千台部工作站〕。
它参加了透明代理服务器,能满足许多大中型企业对部用户进展控制管理的需求,它包括了根本的防火墙系统,数据记录模块、网络黑洞模块、透明代理模块以与URL拦截模块〔可选〕和容过滤模块〔可选〕,具体功能特性如下:
●根本防火墙系统功能〔同工作组型〕
*网络黑洞模块,用于阻挡黑客的网络结构探测,返回错误的信息给黑客,可以有效的防止外来攻击
●网络数据纪录模块,用于记录网络数据流量、用户流量计费等功能,该模块需要在一台PC机上安装一个客户端软件进展数据收集、分析和处理,还可以把分析结果导入数据库,实现自动处理。
●透明代理功能
天网防火墙系统使用了先进的透明代理服务机制,从安全、性能、兼容性上远超出一般的代理服务器。
本代理服务器是建立在网络核心中的,一个通过代理服务器的访问请求在认证通过,正式建立连接后,代理服务器就可以直接把连接交由IP处理层管理,缩短了处理的时间。
而其它基于应用层的代理服务器必须一直管理有关联接,增加了系统的负担。
使用透明的代理服务器机制可以减轻系统负担、加快响应速度、提高系统整体性能。
同时天网防火墙系统可以自动把用户的访问请求重定向到对应的透明代理服务器,这样用户端可免去Proxy的设置工作,方便了广阔的用户。
●可对用户上网时间作限制
●可进展URL拦截
●可进展基于中文的容过滤
●可根据用户进展统计计费
典型网络方案:
章丘广电安全方案
本方案的设计遵循以下思想是:
⏹风险、本钱、效率平衡原如此
⏹综合性、整体性考虑
⏹保证系统可用性,安全系统对于应用有很好的透明性
⏹集中管理,易于维护
⏹实用的安全产品必须是经过公安部门检验的合法产品。
并且必须是国产安全产品。
⏹与应用系统结合,提供网络与应用结合的一体化安全方案
本方案是用防火墙技术把要保护的计算机系统与较危险的外界隔离开,只允许建立安全的连接,中心思想是在主机或网络与外界连接之间增加检查,拒绝承受可疑的连接请求。
系统总体结构图如图3所示:
防火墙
防火墙技术的目标是保护网络的一段或整个部网络不受外界入侵影响。
网上办税系统采用天网防火墙将安全管理“相对〞宽松的“网〞与外部网络隔离开来。
安全区域
按照服务性质和管理区域划分:
1.DMZ(非军事区):
提供对外服务。
2.部网络:
部用户。
3.外部网络
如如如下图所示:
其中,章丘广电外部网络连接广电网,通过广电网连接到Internet上;DMZ网段安放Web,Mail服务器和计费服务器,提供基于Web的应用服务Email服务和网络计费服务;我们可以利用防火墙的重定向功能,使用私有地址来保护服务器。
另外,章丘广电部网段上是普通用户,能够通过防火墙连接Internet,而外部网络不能访问部用户的机器。
部用户使用防火墙的透明代理上连Internet,可以利用防火墙进展用户计费和用户认证。
安全策略
制定安全策略的目的:
⏹划分安全区域。
⏹制订安全策略,包括用户访问控制,定义访问级别,确定服务类型。
⏹审核和过滤,仅符合安全策略的访问和响应过程可以通过,拒绝其他访问请求。
网络系统的主要服务类型是:
1.HTTP〔WEB服务〕
2.其他Internet应用服务
其它的网络服务由于不会跨越不同的安全区域,在防火墙局部不必考虑。
根据以上需求制订出安全策略。
No.
安全区域
安全级别
访问级别
1
Internet
低
提供公共客户的网络连接。
2
非军事区
中
外部可访问符合安全策略的网络资源;部可以更新和维护。
3
部网
高
可与非军事区的Web服务器进展数据交换;对外不可见。
现有需要进展审核和过滤的应用和服务类型包括:
服务类型
端口围/协议类型
说明
DNS
53,tcp/udp
域名服务
80,tcp
服务
ftp
21,tcp
ftp服务
mail
Mail服务
攻击防御
攻击防御系统
黑客使用的网络攻击的方式与天网防火墙的抵御措施:
Denial-Of-Service〔DOS〕攻击
最近在Internet上DOS攻击暴虐一时。
由于可以通过使用一些公开的软件进展攻击,它的发动较为简单。
同时要防止这种攻击又非常困难,天网防火墙系统针对各种DOS攻击做出了较全面的防御措施。
SYNFlood
这是一种较为常见的攻击,不法分子会向攻击目标发出大量TCPSYN请求,具有SynFloodDefend技术的防火墙可以有效的的分辨出黑客攻击与正常连接,因此可以抵挡该攻击。
WindowsOOBAttack:
对于没有Patch过的Windows95/NT系统,不法分子可以利用向NetBIOS〔Port〕发送OutOfBand数据,这可以导致被攻击机器死机。
天网防火墙系统会分析通往NetBios的信息,检查是否OOB数据,如果检查出有问题,将会拒绝该IP包,同时把来源IP纪录并发出系统警告。
PINGDOSAttack
许多Unix-Like系统在接收到一个长度大于65535的IP包碎片时,会错误处理,导致系统死机或重起。
这种攻击又称为“PingOfDeathAttack〞。
天网防火墙系统会自动检查IP包,当发现它是PingOfDeathAttack的数据,会拒绝其进入,纪录来源IP并发出系统警告。
IPSpoof
不法分子可以使用IPSpoof的方法伪造来源IP,由于防火墙系统本身具有路由功能,如果没有防御措施,将会被骗,把该虚假来源的IP包发送到局部网络中去,这使非常危险的。
天网防火墙系统会根据IP的来源设备进展分析,如果超出该设备的网络围,将会拒绝该IP包,纪录并发出警告。
这样在不同物理网络/逻辑网络之间虚假IP包不能通过,保证了系统的安全。
网络黑洞
对系统进攻的第一步,是探测对方的网络结构。
天网防火墙的网络黑洞可以吸收网络探测,并且返回虚假信息,使攻击者获得错误的信息,并且制造陷阱,引诱攻击者进展攻击,同时记录攻击并且报警。
4.天网防火墙ICPI型:
天网防火墙ICP-I型防火墙,是适合应用与业务比拟简单的ICP使用的防火墙,天网防火墙ICP型是专为ICP设计的大容量防火墙,能支持大量的峰值访问与并发连接数,满足ICP的需求。
它包括了根本的防火墙系统,网络黑洞和数据纪录功能模块,具体功能特性如下:
●根本系统功能
●网络黑洞,用于阻挡非法的网络探测
●网络数据记录,用于记录通过防火墙的数据类型和流量
●双机热备份,可以在10秒钟自动切换不正常工作的防火墙系统
●负载均衡,可以智能地将用户的请求分布到多台服务器上
天网防火墙的负载均衡模块,可以智能地将用户的服务请求分布到多台服务器上面,同时,提供容错功能,可以自动隔离出问题的服务器。
系统具体功能如下:
1〕动态负载均衡
天网防火墙的负载分布模块可以根据服务器的负载情况,包括CPU占用量,系统Load等情况,自动选择负载最小的服务器,将用户的服务请求发送到该机器上。
2〕容错处理
天网防火墙的负载分布模块可以自动检测服务器的可用性,当某一台服务器出现故障的时候,分布式系统会自动绕开发生故障的机器,不会将用户的服务请求发送到该机器上,保证了系统的正常运作。
典型网络方案:
假设准备使用十台服务器对外提供Web服务,使用四台服务器作为Smtp服务器,两台服务器作为POP3服务器,对外进展服务,估计将有23—25M的流入数据量和12—14M的外流数据量:
●公共网络。
提供的Web界面访问,收发电子服务。
●外部网络。
提供到Internet连接。
主要应用类型包括:
●Web应用
●POP3与Smtp电子应用
●DNS服务
●FTP服务
安全策略为先关闭全部服务和端口,在开放局部服务和端口。
网络结构
根据当前的网络需求,我们建议使用基于天网防火墙ICP-I型的安全解决方案。
如如下图为本建议方案的网络拓扑示意图。
为了保证站点的稳定性、容错性,本方案使用天网防火墙III型,通过防火墙划分为物理上相互独立的两个网段:
●公共网段〔PublicNetwork〕
●私有网段〔PrivateNetwork〕
其中,公共网段提供面向Internet的广域网连接和承受互联网用户访问的支持;私有网段安放十台Web服务器、四台Smtp服务器和两台POP3服务器,提供Web和电子应用服务。
安全策略
目的:
●划分安全区域。
●制订安全策略,包括用户访问控制,定义访问级别,确定服务类型。
●审核和过滤,仅符合安全策略的访问和响应过程可以通过,拒绝其他访问请求。
根据对用户需求的分析,网络可以划分为以下几个安全区域:
●部网段
●外部网段
分属两个安全区域的网段通过天网防火墙进展互连。
No.
安全区域
安全级别
访问级别
1
外部网段
低级
无。
提供网络连接。
2
部网段
高级
可自由访问外部网络资源;对外不可见。
现有需要进展审核和过滤的应用和服务类型包括:
服务类型
端口围/协议类型
说明
80,tcp
服务
FTP
21,tcp
文件传输服务
DNS
53,tcp/udp
域名解析服务
SMTP/POP3
25/110,tcp
电子
5.天网防火墙ICP-II型:
天网防火墙ICP-II型防火墙,是适合应用与业务比拟复杂的ICP使用的防火墙,天网防火墙ICP型是专为ICP设计的大容量防火墙,能支持大量的峰值访问与并发连接数,满足ICP的需求。
它包括了根本的防火墙系统,网络黑洞和数据纪录功能模块,具体功能特性如下:
●根本系统功能
●网络黑洞,用于阻挡非法的网络探测
●网络数据记录,用于记录通过防火墙的数据类型和流量
●双机热备份,可以在10秒钟自动切换不正常工作的防火墙系统
●负载均衡,可以智能地将用户的请求分布到多台服务器上
典型网络方案:
(.net站点)
.net准备使用十台服务器对外提供Web服务,使用四台服务器作为Smtp服务器,两台服务器作为POP3服务器,对外进展服务,估计将有23—25M的流入数据量和12—14M的外流数据量:
●公共网络。
提供的Web界面访问,收发电子服务。
●外部网络。
提供到Internet连接。
主要应用类型包括:
●Web应用
●POP3与Smtp电子应用
安全策略为先关闭全部服务和端口,在开放局部服务和端口。
网络结构
根据站点当前的网络需求,我们建议使用基于天网防火墙ICP-II型的安全解决方案。
如如下图为本建议方案的网络拓扑示意图。
为了保证站点的稳定性、容错性,本方案使用天网防火墙ICP-II型两台,通过防火墙的双机热备份功能保证不连续正常运作,并把整个网络划分为物理上相互独立的两个网段:
●公共网段〔PublicNetwork〕
●私有网段〔PrivateNetwork〕
其中,公共网段提供面向Internet的广域网连接和承受互联网用户访问的支持;私有网段安放十台Web服务器、四台Smtp服务器和两台POP3服务器,提供Web和电子应用服务。
安全策略
目的:
●划分安全区域。
●制订安全策略,包括用户访问控制,定义访问级别,确定服务类型。
●审核和过滤,仅符合安全策略的访问和响应过程可以通过,拒绝其他访问请求。
根据对用户需求的分析,.net站点的网络可以划分为以下几个安全区域:
●部网段
●外部网段
分属两个安全区域的网段通过天网防火墙进展互连。
No.
安全区域
安全级别
访问级别
1
外部网段
低级
无。
提供网络连接。
2
部网段
高级
可自由访问外部网络资源;对外不可见。
现有需要进展审核和过滤的应用和服务类型包括:
服务类型
端口围/协议类型
说明
80,tcp
服务
SMTP/POP3
25/110,tcp
电子
升级会员 