网御防火墙技术白皮书V精编.docx
《网御防火墙技术白皮书V精编.docx》由会员分享,可在线阅读,更多相关《网御防火墙技术白皮书V精编.docx(21页珍藏版)》请在冰豆网上搜索。
网御防火墙技术白皮书V精编
网御防火墙技术白皮书
V3.0
北京网御星云信息技术有限公司
1序言1
2产品概述2
3网御防火墙产品特点与技术优势3
3.1智能的VSP通用安全平台3
3.2高效的USE统一安全引擎4
3.3高可靠的MRP多重冗余协议5
3.4完备的关联安全标准6
3.5基于应用的内容识别控制7
3.5.1智能匹配技术7
3.5.2多线程扫描技术7
3.5.3应用感控技术8
3.6精确细致的WEB过滤技术8
3.7可信架构主动云防御技术9
3.8IPv6包状态过滤技术9
4网御防火墙产品主要功能10
5网御防火墙的典型应用17
5.1高可靠全链路冗余应用环境17
5.2骨干网内网分隔环境18
5.3混合模式接入环境18
5.4多出口环境19
6产品殊荣21
序言
随着信息化建设的深入推进,近些年信息安全正在发生着翻天覆地的变化。
之前的很长一段时间里,IT人员的工作主要是搭建网络基础平台,用户对信息安全的需求则主要是对基础设施进行安全防护,安全产品给信息系统带来的价值无法衡量,有时甚至变成一种心理安慰,这一时期可以称之为“信息安全1.0时代”。
而随着信息化发展的逐渐深入,信息化建设将风险推向前台。
尤其是随着信息化的发展,更多的工作平台、业务平台都搬上网络,网络从传输“数据”进化到传输“钞票”,有时甚至是关系国家安全、社会责任等国计民生的重大内容,信息安全正式进入了2.0时代。
在“信息安全2.0时代”,应用与数据安全的保障是摆在信息安全厂商面前最迫切的课题,作为信息安全的基础设施产品--—防火墙也面临着新的机遇与挑战。
网御防火墙适应用户的需求,在不断提高性能的同时,功能上包括基于应用的识别控制,深层内容过滤等方面都取得了重要突破,为用户构建完整的应用与数据安全解决方案,全方位保障业务的安全运行提供了有力的手段。
1产品概述
网御防火墙是网御自主研发的核心产品。
1999年联想研究院设计并开发完成第一代防火墙产品。
网御防火墙产品历经简单包过滤防火墙、状态包过滤防火墙、深度内容过滤和完全内容检测防火墙等发展阶段,并集成了防火墙、VPN、入侵检测与防御、防蠕虫病毒、上网行为管理、流量整形等众多功能。
目前已广泛应用在税务、公安、政府、部委、能源、交通、军队、电信、金融、企业等各行业,并为其网络和应用提供安全保障。
网御防火墙分为多核金刚万兆系列,超五系列、AISC系列、强五系列和精五系列,共计80余款,从大型骨干网络的安全防护到小型办公室网络的安全接入都有相应的防火墙产品。
超五防火墙基于创新的多核架构,使国内性能最高的万兆级防火墙。
ASIC系列具有强劲的小包处理性能,64字节小包达到10Gbps,是国内为数不多的高性能防火墙之一;强五防火墙具备强大的安全功能,是集防火墙、IPSECVPN、SSLVPN、漏洞扫描、主动防御、入侵检测与防护系统、防网络病毒、内容检测与过滤、绿色上网、带宽管理、高可用性等众多功能于一身的多威胁统一管理的综合防火墙。
精五防火墙面向中小型企业和单位,基于“免维护、零管理成本”的设计理念,集成防火墙、VPN、主动防御及交换机等功能,具备简单易用的特点。
今天,作为国内信息安全产业的佼佼者,网御通过对信息安全产业发展趋势的敏锐判断,率先开始了在应用与数据安全领域的布局,通过在产品、技术、服务及解决方案的全面创新,为用户提供真正有价值的信息安全整体防护方案,抢先布局“信息安全2.0”时代。
2网御防火墙产品特点与技术优势
智能的VSP通用安全平台
网御防火墙采用创新的VSP(VersatileSecurityPlatform)通用安全平台,将实时操作系统、网络处理、安全应用等技术完美地结合在一起,使防火墙产品具备了高智能、高性能、高安全性、高健壮性、高扩展性等特点。
VSP面向网络吞吐和安全处理,采用基于组件的多平面架构,整个系统分为控制平面、数据平面、系统服务平面和硬件抽象平面,通过控制平面和数据平面的分离,不同于Linux,FreeBSD等通用操作系统追求均衡的方向,集中主要资源于网络吞吐和安全处理,使系统具有极强的实时性和网络吞吐能力。
由于系统功能与资源管理分别工作在不同的平面,各平面和模块之间共同遵循标准接口函数,系统具有高度灵活性和可扩展性。
通过将硬件驱动与资源管理独立为一个单独的硬件抽象平面模块,对上层软件提供统一调用接口,对下层硬件统一定义驱动标准,适应多种不同规格的硬件架构,实现与多种专用芯片的无缝融合,可充分利用从IXP,PowerPC到NP、多核多线程CPU、内容加速芯片等各种先进硬件平台的优势,使网御防火墙在性能方面一路领先。
高效的USE统一安全引擎
网御防火墙具有高效的USE(UniformSecurityEngine)统一安全引擎。
它将状态包过滤、VPN、IDS、内容过滤、用户认证等多个子系统集成于单一平台,构造统一架构,综合并优化各子系统,去除冗余,简化数据处理流程,实现统一的安全引擎处理机制。
统一安全引擎克服了传统上各个安全引擎独自为战的缺点,通过高效的引擎集成技术,将各个安全功能有机地整合为一体,状态检测、协议分析机、深度过滤、内容检测等引擎协同工作,对于监测的数据包,一次性拆包即可完成2-7层的检测,同时采用联想的专利技术----基于摘要索引的内容处理加速算法,有效地提高了引擎的处理效率。
USE通过多协议融合分析技术和事件关联再分析技术,综合内容实体,时间因素,提高了安全事件的检测率。
USE采用标准化技术,对内提供统一服务接口,使安全功能易于扩展,充分满足安全需求的快速发展;对外实现安全策略的统一配置,给用户带来可管理的等级化安全。
高可靠的MRP多重冗余协议
基于网御拥有的高可靠设计专利技术,利用电信骨干网可靠性运营维护专业经验,网御防火墙通过自有的MRP多重冗余协议,在物理层、链路层、网络层、实体层等多个层面实现多元化冗余设计,有效地保障网御防火墙在用户网络应用中的高可用性。
●基于多出口负载均衡的链路备份。
链路层支持多WAN口出口,实现多出口间的负载均衡和备份,任何一条链路的故障瘫痪不会影响网络的正常运行。
●基于802.3ad标准的端口聚合。
物理端口支持802.3ad标准,可实现多物理端口聚合,帮助用户做到“零投资”带宽倍增。
●基于状态自动探测的双机热备。
当主系统发生故障或对应线路的网络故障时,备份机可自动检测并切换到主状态,接管主系统的工作,切换时间小于1秒钟。
●基于状态增量同步的多机集群。
支持主动负载均衡、会话保护和接管以及主动配置同步等功能,尤其是采用国内首创的“状态增量同步技术”解决多台防火墙之间的状态一致性问题,实现了业务在多台防火墙之间的平滑任意分布和切换,解决了采用VRRP协议和动态路由协议带来的“业务续断问题”,最多可以支持高达8台的防火墙集群。
完备的关联安全标准
网御具备完备的关联安全标准即(CSC:
CorrelativeSecurityCriterion),网御以“面向业务的安全架构”为技术理念,以“统一安全,立体防御”为设计目标,参照国际标准,系统地开发了安全管理协议、安全联动协议、安全审计协议等协议族,构成了完备的关联安全标准。
网御防火墙系列全面支持CSC标准,一方面可以保证安全管理中心可以通过安全管理协议全面掌控防火墙的运行,另一方面通过统一的事件格式、事件等级、发送协议,使安全审计中心只要遵从安全审计协议即可以对防火墙的安全事件进行集中、可视化审计。
同时,网御防火墙遵从安全联动协议,可以使主机安全软件,入侵检测等系统以防火墙为核心构建深度安全防御体系,使网络安全从独立、单一防护的安全产品保护发展为立体、全面、动态的防护。
基于应用的内容识别控制
网御防火墙系列拥有目前最完善的应用识别特征库,通过智能分析技术,将P2P、IM、炒股软件和在线游戏等协议的应用行为、加密方式、处理动作等特点整理成库。
当流量经过防火墙时,防火墙启动过滤引擎,对流量进行特征值的匹配。
当过滤引擎搜索到与之匹配的特征码时,防火墙即可应用智能识别技术进行细粒度控制或一键封锁。
如何快速而准确地识别各种上网行为,是决定防火墙性能的关键因素。
网御防火墙从如下几个方面保障内容识别的高速与准确。
智能匹配技术
在特征库上的设置上,网御防火墙按照所有上网行为的特点进行了分类,并对P2P、IM、炒股以及在线游戏等上网行为设置了不同的特征库。
当数据包到达防火墙时,防火墙首先根据用户定制策略将其分配到其对应的特征库管道,如P2P下载行为的流量被输送到P2P特征库管道,即时通讯的流量则被输送到IM特征库管道。
流量被分发到相应的特征库管道以后,再由相应的搜索引擎对流量进行扫描。
这样既大大减少了搜索引擎检索的时间,又提高了过滤引擎的性能。
多线程扫描技术
网御防火墙采用多线程扫描技术,提高了引擎扫描的效率。
比如当BT数据流和MSN数据流同时进入防火墙时,防火墙内容搜索引擎不是在检索完BT数据流以后再去检索MSN数据流,而是可以同时启动BT搜索引擎和MSN搜索引擎。
两个搜索引擎同时工作而互不影响。
这种多线程处理机制同样适用于2种以上不同类型的数据流同时经过防火墙的情况,快速提升了搜索引擎的工作效率。
应用感控技术
网御新一代防火墙具有与传统的基于端口和IP协议不同的方式进行应用识别的能力,并执行访问控制策略。
例如允许用户使用QQ的文本聊天、文件传输功能但不允许进行语音视频聊天,或者允许使用WebMail收发邮件但不允许附加文件等。
应用识别带来的额外好处是可以合理优化带宽的使用情况,保证关键业务的畅通。
虽然严格意义上来讲应用流量优化(俗称应用QoS)不是一个属于安全范畴的特性,但P2P下载、在线视频等网络滥用确实会导致业务中断等严重安全事件。
精确细致的WEB过滤技术
网御防火墙系列在内容过滤库的处理上力求收集齐全、分类准确、更新及时。
通过采用网站全智能搜索引擎技术收集互联网站点,并进行智能分类、人工核验的处理手段。
目前网御防火墙支持50多种完善的URL类别,分别涉及色情、暴力、赌博、毒品、犯罪、病毒、体育、财经、娱乐等网站分类,这50多个URL类别库总共包含1000万以上特征网站,具有分类全,覆盖面广的特点。
另外,由于在互联网上每天都有大量新网站出现,网御通过在线升级的方式,使URL库中的网站处于持续的更新状态。
可信架构主动云防御技术
网御防火墙通过与已部署的防病毒网关、IPS、UTM等设备联合抓取病毒源、攻击检测源和挂马网站URL等特征,汇集至云防御服务器定时收纳合并,云防御服务器动态更新病毒库、攻击特征库、挂马库等并同步到所有网御安全网关设备中,使其他设备具有防病毒、IPS、防挂马等功能,同时使其具备更高的处理性能,共同形成整体可信架构云防御体系。
IPv6包状态过滤技术
虽然IPv6在网络厂商应用较为广泛,但在安全厂商中,支持IPv6的网络安全产品(如防火墙、UTM、IPS等)还是较少,网御星云支持IPv6功能包括:
IPv6环境下的状态包过滤、静态路由、OSPF动态路由、FTP、ALG等基本安全控制,以及IPv6/v4双协议栈功能;设备在同一信息安全网络中同时支持IPv4和IPv6协议的安全控制日渐得到关注。
BYOD接入
网御防火墙针对用户接入设备网络采用三维一体的方式进行管理控制,即终端接入控制、远程接入控制、移动接入控制、虚拟桌面统一派送、云端服务集中存取。
网御防火墙为用户提供移动设备专用VPN接入控制应用,并可以针对不同用户身份以及使用设备性质,分配不同网络内容的访问权限、合理分配带宽占用,,实现BYOD用户与企业网络内网的管理区别,保证企业网络的安全与畅通。
高性能
PPU是判断安全网关产品设备性能的重要指标,即每U平均性能,它衡量了安全网关产品单位体积所承载的网络性能。
网御具有行业内少见的高性能防火墙产品,小包吞吐最大可达80G,PPU等于40G。
最大程度上满足企业安全和性能、性能和体积、体积和功耗、投入和产出的双赢。
3网御防火墙产品主要功能
功能类别
详细描述
多操作系统
引导选项
支持多系统引导,可在WEB上配置启动顺序
容灾备份
支持系统分区备份,支持将系统A克隆至系统B
配置恢复
支持多个系统配置文件,可导入导出恢复配置
访问控制
状态检测
基于源/目的IP地址、MAC地址、域名、端口或协议、服务、网口、时间、用户的访问控制
基于源/目的IP地址、端口、服务、网口、时间、应用等安全策略的带宽控制
可基于时间和安全域进行安全隔离,同一时间内网主机只能访问DMZ区或者只能访问外网
透明代理
实现基于策略的HTTP、FTP、TELNET、SMTP、POP3等透明代理和深度过滤
IP/MAC绑定
实现IP/MAC地址绑定,且支持IP/MAC地址对的自动探测和唯一性检查
AAA认证服务
支持基于客户端的本地认证、无客户端软件的WEB认证
支持RADIUS、TACACS/TACACS+、LDAP、域认证等安全认证方式。
支持认证保活功能。
虚拟防火墙
划分虚拟系统
可将一台物理设备,划分为多个虚拟防火墙系统
网口独享与共享模式
采用独享和共享网口模式,最大化复用防火墙资源
独立资源
可拥有独立的系统资源、管理员、安全策略、用户认证数据库等
漏洞扫描
(安保专家)
内网主机漏洞扫描
后门、服务探测、文件共享、系统补丁、IE漏洞等主动式扫描
主动防御
Web监控与防篡改
实时监控Web目录的变化情况,包括文件或文件夹的创建,修改,删除。
脚本后门扫描
根据特征扫描能查出99%以上的脚本后门
应用管控
P2P下载控制
识别和控制迅雷、BT、eDonkey、eMule等常见P2P下载软件
P2P视频播放控制
识别和控制PPLive、QQLive、PPStream、迅雷看看等常见P2P视频播放软件
IM即时通讯软件控制
识别和控制QQ、MSN等常用IM软件,一键式阻断IM机密文件传输
在线游戏控制
识别和控制魔兽、CounterStrike、征途、联众、浩方、泡泡堂等多种在线游戏软件
炒股软件控制
识别和控制大智慧、同花顺、国泰君安、证券之星、广发证券、指南针、通达信等多种炒股软件
WEB分类过滤
支持基于分类库的URL访问控制,可以对色情、反动等多种负面网站按类别进行选择控制
支持50多种分类库,1000万级网址智能特征库
支持URL独立特征库,支持增量升级管理
网络适应性
接入模式
支持透明、路由、混合三种工作模式
支持DHCPClient、DHCPRelay、DHCPServer
支持PPPoE接入,提供多条ADSL线路同时拨号接入,并具备自动断线重连技术
支持多透明桥,支持端口联动
路由
支持静态路由,动态路由(OSPF、RIP等),VLAN间路由,单臂路由,组播路由等
支持基于源/目的地址、接口、Metric、服务的策略路由
支持多出口路由负载均衡
支持ISP智能选路,内置多种ISP地址库,优化网络带宽;
NAT
支持双向NAT、动态地址转换和静态地址转换,并支持多对一、一对多和一对一等多种方式的地址转换
VLAN
支持802.1Q和ISLVLAN封装协议,支持两种封装的互换以及VlanTrunk
带宽管理
基于IP地址、服务、网口、时间等定义带宽分配策略
支持最小保证带宽和最大限制带宽
支持分层的带宽管理
动态协议
在各种工作模式下均支持H.323(H.323GK)、SIP、FTP、MMS、RTSP、UPnP、XDMCP、TNS等多种动态协议
无线接入
3G
支持3G(CDMA2000)协议,支持用户通过3G提供上行网络接入
WIFI
支持802.11B,802.11G协议,支持设备作为WiFi热点(即AP),为客户机提供无线安全接入服务
IPv6
地址设置
支持IPv6地址、地址组配置
路由策略
支持IPv6安全控制策略设置,能针对IPV6的目的/源地址、目的/源服务端口、服务、扩展头属性等条件进行安全访问规则的设置。
支持IPv6静态路由
双协议栈
支持IPv6/IPv4翻译策略技术,包括支持静态NAT-PT、动态NAT-PT、NAPT-PT技术
支持双栈、6to4隧道实现IPv6网络与IPv4网络访问
VPN
IPSecVPN
支持标准IPSec协议,能够与CISCO、NETSCREEN等知名厂商的VPN设备互联互通
支持预共享密钥、证书等认证方式且支持X扩展认证
支持3DES、DES、AES等加密算法
支持AH和ESP封装模式以及MD5、SHA1、SHA2等通用摘要算法
支持DH1024、DH2048、RSA1024、RSA2048等非对称加密算法
支持多出口VPN,且支持NAT穿越
支持隧道接力,并可通过隧道接力实现分级的树状VPN结构部署
支持VPN隧道热备份功能,保持隧道连接的可靠性
GRE/PPTP/L2TP
支持GRE、PPTP、L2TP等VPN连接
SSLVPN
支持压缩,缓存、协议优化等应用加速技术,提高访问速度
支持用户终端安全检查,及基于检测结果的访问控制
支持用户账号与终端特征绑定。
支持动态分配虚拟IP,支持虚拟IP与口令用户或证书用户进行绑定。
C/S应用支持,支持TCP/IP协议的应用,包括:
http,Email,Ftp,Notes,Outlook,Oracle,SQL等应用;
支持基于USBKey的证书认证,实现对远程接入用户的身份鉴别,并可根据用户类型和分组进行授权
VRC客户端
VPN客户端可与所有支持标准IPSec协议的VPN网关互联互通
支持基于USBKey的证书认证方式
IPSecVPN客户端支持MicrosoftWindows2000/XP、Vista等操作系统
入侵检测与防御
入侵检测
集成基于统一安全引擎(USE)的IDS模块,具备1600种以上攻击特征库规则
遵循关联安全标准(CSC)实现与IDS的联动
蠕虫防护
支持基于摘要索引的内容加速算法(DCA算法)的蠕虫病毒过滤
采用基于TCP连接数管理的侦测技术,对感染蠕虫病毒的异常主机进行定位
实现对blaster,nachi,nimda,codered,sasser,slapper,sqlexp,zotob等主流蠕虫病毒的识别、过滤和拦截
抗DDoS/DoS攻击
可识别和防御synflood、Pingflood、udpflood、teardrop、sweep、land-base、pingofdeath、smurf、winnuke、CC攻击、圣诞树、碎片等多种攻击
内容过滤
网页过滤
支持对网页关键字和Java、JavaScript、ActiveX进行过滤
邮件过滤
支持对邮件地址、主题、正文、附件名、附件内容等进行关键字匹配过滤
支持对中转垃圾邮件进行识别和过滤
FTP过滤
支持对FTP上传和下载文件的控制
关联安全应用
关联安全
支持关联安全标准(CSC)
可实现与IDS等设备的联动
可实现与内网安全管理系统(ISM)的联动
管理配置
系统管理
支持友好的Web图形界面配置
支持快速配置向导,增强系统配置易用性
支持远程SSH和串口命令行配置
支持数字证书和电子钥匙两种管理员认证方式,支持管理员权限分级
支持SNMP管理,与当前通用的网络管理平台兼容
可导出可读的配置文件并进行打印存档
可进行配置文件的备份、下载、恢复和上传
系统监控
支持对CPU、内存、磁盘、网口、用户在线状态、连接数、路由表等信息的监控
日志报警
支持设备内存储和专用事件分析服务器两种日志管理方式
日志采用中文方式,可读性强,并采用颜色区分日志级别
可支持日志回滚操作,保存或覆盖最初日志信息;
支持分级报警,支持SNMPTrap和邮件等报警方式
集中管理
可通过专用的集中管理系统实现对防火墙的集中设备监控、集中日志审计、安全报警以及防火墙、VPN部分策略的分发等功能
可通过专用的集中管理系统,实现对网络拓扑的管理,基于域的权限分配和报表自动生成,以及设备的历史状况回放
可提供专用的软件实现对防火墙接入用户认证的集中管理,至少可同时管理2048台防火墙
高可用性
负载均衡
支持多重冗余协议(MRP),实现链路备份、端口备份、热备份、集群备份等
支持服务器负载均衡,支持轮询、加权轮叫、源地址HASH、目的地址HASH、最少连接、加权最少链接等多种调度算法
支持防火墙多WAN口备份和负载均衡
支持基于802.3ad标准的多端口聚合,实现零成本扩展带宽
通过状态同步技术实现2~32台防火墙的多机集群
双机热备
在NAT、路由、透明模式下支持A-A,A-S模式,且切换时间小于1秒
可在热备和集群工作模式下支持多台防火墙的配置自动同步
VRRP协议
支持多台设备的热备和负载均衡
支持虚拟MAC技术,对客户端完全透明
网御防火墙的典型应用
高可靠全链路冗余应用环境
电信网络和许多骨干网络的可靠性要求很高,不允许出现因为设备的故障造成网络的不可用,因此在电信网络和骨干网络中加入防火墙的时候也必须考虑到这个问题,正常情况下两台防火墙均处于工作状态,可以分别承担相应链路的网络通讯。
当其中一台防火墙发生意外宕机、网络故障、硬件故障等情况时,该防火墙的网络通讯自动切换到另外一台防火墙,从而保证了网络的正常使用。
下图为网御防火墙在骨干网络中应用的例子。
骨干网内网分隔环境
据赛迪(CCID)统计报告,网络攻击有70%以上来自于企业内部,因此,保护公司网络的安全不仅要保护来自互联网的侵害而且要防止内部的攻击。
网御防火墙从3个到8个百兆接口可进行模块化扩展,除了可以用作多DMZ区设置外,还可以将内网进行多重隔离保护。
通过防火墙将公司内部不同部门的网络或关键服务器划分为不同的网段,彼此隔离。
这样不仅保护了企业内部网和关键服务器,使其不受来自Internet的攻击,也保护了各部门网络和关键服务器不受来自企业内部其它部门的网络的攻击。
内网分隔的另一个目的是:
防止问题的扩大。
如果有人闯进您的一个部门,或者如果病毒开始蔓延,网段能够限制造成的损坏进一步扩大。
混合模式接入环境
网御防火墙支持各种接入模式,分别为:
透明模式、路由模式和混合模式,并支持各种模式之上的NAT模式。
●透明工作模式:
防火墙工作在透明模式下不影响原有网络设计和配置,用户不需要对保护网络主机属性进行重新设置,方便了用户的使用。
●路由工作模式:
防火墙相当于静态路由器,提供静态路由功能。
●混合工作模式:
防火墙在透明模式和路由模式同时工作,极大提高网络应用的灵活性。
下图为企业的典型应用,需要防火墙支持混合工作模式,而许多防火墙不支持这种接入模式,给企业的应用带来不便。
例如:
某企业内网的地址为保留地址.2/24,企业的对外WWW服务器、MAIL服务器、DNS服务器的内部地址分别为的内端口地址为
对于服务器和Internet之间防火墙可使用透明方式,内网与服务器或Internet之间可以使用NAT方式,方便灵活部署防火墙。
多出口环境
某省大学现有教职工总数1000多人,在校学生总数10000多人。
学校的校园网络建设比较发达,网络接口到每一个学生宿舍,因此上网用户非常多,校园内共有30多个合法的C类地址用于教职工网络,用1个私有的B类地址用于学生上网。
校园共有三个出口——中国教育网、电信网和分校局域网,这时候接入防火墙的时候需要防火墙具有基于规则的路由功能,也就是说:
不同主机或者目的地址在防火墙上的网关不同。
网御防火墙具有基于策略的路由功能,可以根据源地址、目标地址等设定不同的路由,从
升级会员 