Eudemon 1000防火墙 产品概述 正文.docx
《Eudemon 1000防火墙 产品概述 正文.docx》由会员分享,可在线阅读,更多相关《Eudemon 1000防火墙 产品概述 正文.docx(29页珍藏版)》请在冰豆网上搜索。
Eudemon1000防火墙产品概述正文
目录
第1章产品简介1-1
第2章产品特点2-1
2.1高性能处理2-1
2.2增强的报文过滤2-1
2.3NAT应用2-2
2.4多安全区域支持2-3
2.5多种功能模式2-3
2.6强大的攻击防范能力2-4
2.7IDS联动2-5
2.8防火墙双机热备份2-5
2.9完备的流量监控2-6
2.10丰富灵活的维护管理2-7
2.11多种广域网接口2-7
2.12AAA认证2-7
2.13安全保障的VPN应用2-8
2.14QoS质量保证2-8
2.15日志管理2-9
2.16可靠的产品设计2-10
第3章系统结构3-1
3.1产品外观3-1
3.2系统配置3-2
3.3系统对外接口3-3
3.4支持的接口模块3-4
第4章组网应用4-1
4.1攻击防范4-1
4.2双机热备份应用4-1
4.3集成路由功能4-2
4.4IPSec保护的VPN应用4-3
4.5流量监控应用4-4
4.6NAT应用4-4
第5章系统特性列表及性能指标5-1
5.1QuidwayEudemon1000功能特性列表5-1
5.2QuidwayEudemon1000整机性能指标5-3
第6章选购指南6-1
6.1主机选购6-1
6.1.1主机选购时需要考虑的因素6-1
6.1.2主机选购一览表6-1
6.2接口模块选购6-2
6.3电缆/光缆选购6-3
6.3.1外部成套电缆选购6-3
6.3.2外部成套光缆选购6-4
第1章产品简介
随着Internet的迅速发展,越来越多的企业开始借助于网络服务加速自身的发展,那么如何在一个开放的网络环境中“守护”自己的企业内部网成为人们关注的话题。
华为技术有限公司面向大中小企业推出了自行研制的QuidwayEudemon系列防火墙设备,目前包括Eudemon100、200和1000三款产品,全方位为大中小型Intranet的网络安全问题提供了高性价比的解决方案。
Eudemon1000防火墙采用3U标准机箱,机箱上带有Console口、AUX接口及两个固定的10/100M以太网口,其中AUX口可以帮助用户通过远程拨号登录设备进行故障检查和配置等。
Eudemon1000机箱上提供4个扩展插槽,用户可以安装快速以太网接口模块及广域网接口模块。
QuidwayEudemon1000提供了两个电源槽位,可以安装两块交流或两块直流电源模块,实现双路供电及电源的冗余备份,并支持电源模块/风扇/多功能接口模块热插拔。
QuidwayEudemon1000防火墙采用集成的软件和硬件平台,及专有的、实时的操作系统,基于高性能NP(NetworkProcessor)网络处理器实现高性能安全防范。
Eudemon1000防火墙可以灵活的划分安全区域,不仅能设置为预定义的受信区、非受信区或者DMZ(DemilitarizedZone)区,还可以自定义为其他安全级别的区域。
当数据在分属于两个不同安全级别的接口之间流动的时候,会激活防火墙的安全规则检查功能。
Eudemon防火墙除了提供命令行方式外,还提供了图形化用户界面,极大地方便用户进行管理和配置。
QuidwayEudemon1000是新一代高速状态防火墙,不仅支持丰富的协议(如H.323、SIP、FTP、SMTP等),而且还支持对有害命令的检测功能。
提供高速ACL查找、静态和动态黑名单过滤、基于代理技术的SYNFlood防御的流控等特性。
Eudemon1000提供的丰富统计分析功能和分级分类的详细日志输出为用户进一步跟踪非法事件提供了必要的保障。
第2章产品特点
Eudemon1000防火墙提供集成的高密度高速以太网接口、GE接口,以及丰富的可选配的多功能广域网接口模块,具备如下主要特点:
2.1高性能处理
Eudemon1000防火墙定位于大中型企业和行业用户,通过采用NP技术提供线速的高性能安全防范和报文处理能力,如包转发率可以达到4.5Mpps,包处理速率可以达到3Gbps。
另外,Eudemon1000防火墙支持的每秒新建连接数可以达到10万连接,并发连接可以达到80万连接。
在提供高性能的同时,Eudemon1000防火墙还可以支持高达10万条的ACL规则。
2.2增强的报文过滤
1.传统防火墙过滤
(1)更快捷的ACL查找
Eudemon1000防火墙基于NP技术进行ACL查找,系统在进行数万条ACL规则的查找时,处理速度保持不变,从而确保了ACL查找的高速度,提高了系统整体性能。
(2)黑名单过滤恶意主机
Eudemon1000防火墙将某些可疑报文的源IP地址记录在黑名单列表中,提供主动防御措施;另外,还可以动态地将发起攻击的主机加入到黑名单中,起到智能保护。
Eudemon1000防火墙丢弃黑名单用户的所有报文,从而更快捷识别并有效避免某些恶意主机的攻击行为,这项功能就为用户群体广泛的服务商或企事业机构提供了安全保证。
(3)MAC和IP地址绑定
Eudemon1000防火墙根据用户配置,将MAC和IP地址进行绑定从而形成关联关系。
对于从该IP地址发来的报文,如果MAC地址不匹配则被丢弃;对于发往该IP地址的报文都被强制发送到指定的MAC地址处,从而有效避免IP地址假冒的攻击行为。
2.基于应用层的包过滤
ASPF(ApplicationSpecificPacketFilter)主要基于应用层的包过滤规范,作为一种高级通信过滤,它检查应用层协议信息并且监控基于连接的应用层协议状态,为包过滤功能增加了智能检查。
通过检查整个数据包,了解每个应用程序的状态信息。
Eudemon1000防火墙提供如下ASPF安全过滤:
(1)基于TCP/UDP协议的通道及状态检测
ASPF根据安全策略和连接状态等信息,通过检查包中的五元组(传输层协议、源地址、目的地址、源端口、目的端口)动态地产生访问控制列表,实现流量的动态智能过滤功能。
支持数十种检测,主要如下:
标准TCP和UDP报文检测
分片报文检测
FTP协议数据通道和协议状态检测
SMTP(SimpleMailTransferProtocol)协议状态检测
RTSP(RealTimeStreamingProtocol)协议媒体通道和协议状态检测
H.323和SIP(SessionInitiationProtocol)协议多通道和协议状态检测
HTTP(HypertextTransferProtocol)协议状态检测
(2)JavaBlocking保护和ActiveXBlocking保护
Eudemon1000防火墙在两个区域之间对较高安全级别的区域实施保护,确保网络传输不受有害Javaapplets的破坏。
同样,Eudemon1000防火墙也能有效实施ActiveXBlocking保护,从而避免ActiveX控件给Internet浏览器端造成安全威胁。
(3)端口到应用的映射
由于所有应用层协议都使用一些系统预定义的(知名)端口号通信,为了防范恶意用户进行端口扫描,从而攻击系统,系统管理员可以对不同应用在系统定义的端口号之外指定一组新的端口号,外界主机与这些新端口号发起连接,从而隐藏内部知名端口,从而提供良好的安全机制。
2.3NAT应用
地址转换NAT(NetworkAddressTranslation)功能主要用于将私有网络地址转换为公有网络(Internet)地址,同时也可以提供“内部服务器”功能。
1.地址转换
地址转换技术引入地址池的概念,在转换时,Eudemon1000从地址池中根据一定的规则选择一个IP地址做为转换后的源地址,完成地址转换。
这个选择的过程对用户来讲是透明的,用户只需要将他具有的IP地址配置成相应的地址池就可以了。
地址转换包括两种形式:
只使用IP地址进行转换(NAT)
使用IP地址和端口(TCP/UDP协议的端口信息)的形式进行PAT转换(PortAddressTranslation)
2.内部服务器
内部服务器是一种“反向”的地址转换,通过配置参数,使得某些私有地址的内部主机可以被外部网络访问。
内部网络的服务器是一台配置了私有地址的机器,可以通过NAT为这台主机映射一个合法的公网IP地址;或通过PAT为主机提供一个公网IP地址+端口,当外部用户访问该合法地址时,NAT或PAT网关(即Eudemon1000防火墙)就将访问送到了内部服务器,这样就为外部网络提供了“内部服务器”。
3.支持多种NATALG
NAT采用“注册”方式支持多种NATALG(ApplicationLayerGateway),包括FTP、PPTP、DNS、NBT(NetBIOSoverTCP)、ILS(InternetLocatorService)、ICMP、H.323、SIP等协议及会议控制协议的NATALG。
通过“注册”方式支持特殊协议,使软件有良好的扩充性,无需更改软件构架。
2.4多安全区域支持
Eudemon1000防火墙支持多个安全区域,即除了支持受信区(Trust)、非受信区(Untrust)、DMZ区三种预定义的安全区域外,还支持10多个用户自定义安全区域。
通过为安全区域设置不同的安全防范策略,可以灵活有效地监控进出该区域的信息流。
2.5多种功能模式
1.工作模式
Eudemon1000防火墙支持多种工作模式,丰富了组网应用:
路由模式:
Eudemon1000防火墙各接口具有确定的IP地址,内部网络和外部网络的设备都清楚到达该Eudemon防火墙的路由,这种方式适合网络初建时,IP地址统一规划有助于全网络管理。
透明模式:
Eudemon1000防火墙各接口不配置IP地址,以透明方式嵌入到内部网络和外部网络之间,内部和外部网络的设备都察觉不到该Eudemon防火墙的存在。
这种方式无需重新规划网络中的IP地址和路由,同时可以使该Eudemon防火墙免受外界入侵。
混合模式:
Eudemon1000防火墙既存在工作在路由模式的接口(接口具有IP地址),又存在工作在透明模式的接口(接口无IP地址),则防火墙工作在混合模式下。
混合模式主要用于双机热备份应用,此时启动备份功能的接口需要配置IP地址,其它接口不配置IP地址。
2.集成路由功能
Eudemon1000防火墙除了具备各种安全防范功能,提供高效的安全保障能力外,还集成了部分路由能力,如静态路由、RIP和OSPF动态路由、组播,使得防火墙的组网应用更加灵活。
2.6强大的攻击防范能力
随着Internet的广泛应用,网络攻击手段越来越高明,并且越加隐蔽。
按照攻击采用的方式,网络攻击大致可以分为:
DoS(DenialofService,拒绝服务)攻击、扫描窥探攻击、其它攻击。
Eudemon1000防火墙提供强大的攻击防范机制,对设备进行安全保护,防止非法报文对内部网络造成危害。
1.防范多种DoS攻击
通常,DoS攻击使用大量数据包(或某些畸形报文)来攻击系统,使系统无法正常响应合法用户的请求,或者导致主机挂起从而不能提供正常的工作。
DoS攻击和其他类型的攻击有显著的区别,即攻击者并不是去寻找进入内部网络的入口,而是使得合法的用户不能正常访问资源,即对正常用户拒绝服务。
Eudemon1000可以有效地检测出这些类攻击报文,通过丢弃这些报文等处理措施避免攻击行为,同时将这些攻击行为记录在日志中。
目前,Eudemon1000可以防范十多种DoS攻击,主要包括:
SYNFlood攻击、ICMPFlood、UDPFlood攻击、Land攻击、Smurf攻击、Fraggle攻击、WinNuke攻击、ICMP重定向或不可达报文等。
某些DoS攻击是采用畸形报文,即通过向目标系统发送有缺陷的IP报文,使得目标系统在处理这样的IP包时会出现崩溃,给目标系统带来损失。
Eudemon1000防火墙可以快捷地检测出这类畸形报文,防范攻击行为。
这类畸形报文攻击包括:
TCP报文标志位(如ACK、SYN、FIN等)不合法、PingofDeath攻击、TearDrop攻击等。
2.防范扫描窥探攻击
扫描窥探攻击是利用ping扫射来标识网络上存活着的系统,从而准确的定位潜在的目标;利用TCP和UDP端口扫描,就能检测出操作系统监听的潜在服务。
攻击者通过扫描窥探能大致了解目标系统提供的服务种类和潜在的安全漏洞,为进一步侵入系统做好准备。
Eudemon1000防火墙通过比较分析,可以灵活高效地检测出这类扫描窥探报文,从而预先避免后续的攻击行为。
这些扫描窥探攻击包括:
地址扫描、端口扫描、IP源站选路选项、IP路由记录选项、利用tracert工具窥探网络结构等。
3.防范其它攻击
Eudemon1000防火墙除了可以有效防范多种DoS攻击和扫描窥探外,还可以有效防范IPSpoofing攻击,确保系统访问权的安全。
2.7IDS联动
Eudemon1000防火墙除了自身提供强劲的攻击防范能力外,还能够和专业的IDS(IntrusionDetectiveSystem)设备联合组网,即IDS设备外置。
由于IDS设备包含非常完备的攻击行为信息,因此联合组网将充分发挥IDS设备高效、全面的安全保障能力。
所谓IDS联动,指IDS设备能自动侦听整个网络中是否存在恶意攻击、入侵或其他安全隐患行为,通过下发指令的方式(如动态维护ACL表项)通知Eudemon1000防火墙,由Eudemon1000防火墙对攻击报文进行丢弃或其它处理。
采用IDS联动方式进行攻击防范,入侵检测和攻击处理两个过程有效分离,充分发挥了各设备的优势,改善了系统性能。
2.8防火墙双机热备份
Eudemon1000防火墙提供双机热备份功能,即两台或多台Eudemon1000设备形成一个热备份组,其中一台设备作为主设备承担防火墙工作,其他作为备份设备,备份主设备的配置以及运行状态,同时监视主设备的运行状况。
当主设备发生异常时,备份设备可以自动切换成主设备并接替工作。
根据用户配置防火墙热备份分为两种:
1.命令热备份
主、备防火墙设备之间只进行用户配置命令的热备份,热备份功能由配置管理模块统一进行处理。
2.状态热备份
热备份组的设备之间除了由配置管理模块进行配置热备份之外,还要进行运行状态信息的热备份。
从而确保用户数据流不会因为主、备防火墙倒换而中断。
3.双机热备
通过配置两台Eudemon1000防火墙两侧的路由信息,从而把流量分担到这两台防火墙上进行处理。
这两台防火墙在处理会话表项时,分别把自己的会话表项发送到对端进行备份。
当一台Eudemon1000防火墙出现故障时,两侧的路由器(或主机)会自动地把流量全部转移到正常的那一台Eudemon1000防火墙上,由于故障前Eudemon1000防火墙的会话表项随时进行备份,所以业务不受影响。
2.9完备的流量监控
所谓流量监控,主要是指Eudemon1000防火墙通过对系统数据流量和连接状况进行监视,在发现异常情况时采取适当的处理措施,有效地防止网络受到外界的攻击。
支持多种流量监控,主要包括:
基本会话监控、承诺访问速率、实时流量统计等。
1.基本会话监控
根据不同类型流量在一定时间内所占的百分比进行监测和告警处理,通过监控IP地址或接口的总连接数,对超过阈值的连接进行限制。
2.承诺访问速率
承诺访问速率技术包括分类服务、速率限制,将进入网络的报文按多种形式进行分类,对不同类别的流量给予不同的处理,通过采用限制承诺信息速率、承诺突发尺寸、超出突发尺寸等措施有效进行流量监管。
3.实时统计分析
监测内部、外部网络的连接状况,对输入和输出的IP报文进行数十种实时统计,主要统计如下:
总的会话和流量的相关信息;
应用层协议相关信息;
丢弃包的相关信息;
对IP报文按域进行入方向的统计;
对IP报文按域进行出方向的统计;
对IP报文按IP地址进行入方向的统计;
对IP报文按IP地址进行出方向的统计;
支持对TCP报文的RST、FIN报文详尽的分类统计。
2.10丰富灵活的维护管理
1.图形化界面的防火墙管理
Eudemon1000防火墙提供图形化防火墙管理界面,方便用户进行本地集中维护管理设备。
2.丰富的维护管理手段
除了上述通过图形化界面进行Eudemon1000防火墙管理外,还可以通过Console口、Modem拨号、Telnet方式进行本地或远程维护。
此外Eudemon1000防火墙还支持SSH(SecureShell,安全外壳)维护管理方式,实现在不能保证安全的网络上提供安全信息保障和强大认证功能,以避免受到IP地址欺诈、明文密码截取等等攻击。
2.11多种广域网接口
Eudemon1000防火墙除了支持以太网接口外,还支持以下多种广域网接口,提供丰富的广域网连接能力:
非通道化E1接口(1E1-F、2E1-F、4E1-F)
非通道化T1接口(1T1-F、2T1-F、4T1-F)
ATM155M多模、单模光接口
2.12AAA认证
AAA提供了认证、授权和计费的一致性框架,是对网络安全的一种管理。
目前,Eudemon1000防火墙通过RADIUS(RemoteAccessDial-InUserService)协议实现AAA功能,支持本地认证和RADIUS认证。
此外,Eudemon1000防火墙还能作为其他AAA服务器的客户端进行代理认证或计费。
可以对PPP、Login等接入用户进行分级管理,使不同级别的用户具有不同的权限;完成对PPP用户进行身份认证、分配地址和地址管理等功能。
2.13安全保障的VPN应用
IPSec提供一整套网络安全协议,可为通讯双方提供数据的完整性、来源的可靠性、防止数据被窃听、反重放等服务。
有了IPSec保障,数据通过公共网络传输时就不用担心被监视、篡改和伪造。
这使得VPN(VirtualPrivateNetwork,虚拟专用网络),包括内部网、外部网以及远端用户之间的访问更加安全,同时确保VPN网络与下层承载网络之间资源使用的分层管理,及VPN网络内外之间的信息隔离,既提高了网络资源利用率,又确保了双方安全通讯。
Eudemon1000防火墙不仅支持IPSecVPN应用,为用户提供高可靠的安全传输通道;而且还能构建安全的L2TPVPN、GREVPN和L2TPoverIPSecVPN等。
利用Eudemon1000防火墙可以构建多种VPN网络。
IntranetVPN通过公用网络互连企业各个分支机构,作为传统专线网络或其它企业网的扩展及替代形式;AccessVPN为SOHO等小型用户搭建通过PSTN/ISDN网络访问公司总部资源的安全通路;ExtranetVPN将企业网络延伸至合作伙伴与客户处,使不同企业间通过公网进行安全、私有的通讯。
2.14QoS质量保证
QoS(QualityofService)也称服务质量,主要通过流量分类、流量监管和整形、拥塞管理、拥塞避免和流量整形等措施对广域网(如封装PPP、帧中继和HDLC等)或局域网络上的流量进行管理,最大限度地降低延迟、抖动等因素对传输信息的影响,针对不同需求提供多种不同的服务质量。
流分类:
依据一定的匹配规则识别出对象。
流分类是有区别地实施服务的前提。
流量监管和整形:
当流量超出规格时,可以采取限制或惩罚措施,以保护运营商的商业利益和网络资源不受损害。
利用缓冲区和令牌桶技术提供GTS(通用流量整形)。
拥塞管理:
将报文放入队列中缓存(目前支持FIFO、PQ、CQ、WFQ、CBQ等队列),并采取某种调度算法安排报文的转发次序。
拥塞避免:
监督网络资源的使用情况,当发现拥塞有加剧的趋势时采取主动丢弃报文的策略,通过调整流量来解除网络的过载。
2.15日志管理
华为日志服务器通过接收并存储Eudemon防火墙、IDS等网络安全设备的日志,为用户提供便捷的日志浏览和查询功能,并对日志进行分析。
日志服务器按照功能分为前台管理、后台进程两部分。
前台管理提供数据库配置、日志相关配置、日志分类查询等操作;后台进程包括日志收集进程、监听进程两种。
Eudemon1000防火墙针对所有经过防火墙的数据流,创建基于流状态的信息表,通过二进制或Syslog(文本)的方式输出日志,从而提供完整、统一的日志信息描述。
日志大致介绍如下:
1.NAT日志和ASPF流日志
日志内容中包含一个完整流的源地址、源端口、目的地址、目的端口等信息,及流的开始和结束时间、流的状态信息等。
对于使用NAT功能的流还标识了地址转换之后的地址和端口信息。
2.攻击防范日志
当发生大量攻击时,Eudemon1000防火墙利用队列机制对防火墙支持的攻击防范特性提供日志告警信息,通过Syslog方式输出告警,告警信息包括攻击来源(源地址)和攻击种类等。
对于Flood类的攻击,日志将记录攻击的目的地址。
3.流量监控日志
Eudemon1000防火墙根据安全域、IP地址等参数进行流量监控,判断速率或连接数目是否达到上限或下限值,当达到上限时触发告警并记录日志,从而有效监控流量;当达到下限时,也触发告警,指示系统恢复正常。
4.黑名单日志
Eudemon1000防火墙对于在检测中发现的非法用户,自动将该用户的源IP地址加入到黑名单中,并产生一条黑名单日志,该日志记录主机地址、加入原因等信息。
5.多种统计信息
记录流统计信息,了解防火墙运行状况。
这些流统计信息包括:
总的连接数目、当前连接及半连接数目、最高峰值及丢弃报文数目。
记录各种攻击报文的数目,了解攻击事件的发生情况。
2.16可靠的产品设计
1.全球化设计
Eudemon1000防火墙按照中国、北美、欧洲、澳洲、日本等国家和地区的国际标准和国家标准设计,满足这些国家和地区的EMC、安规等认证及入网需求。
Eudemon1000防火墙按照UL、CE、FCC相应标准设计,满足国内、欧洲、北美的安规认证需求。
2.双电源(1+1备份),电源支持热插拔
Eudemon1000防火墙的电源模块采用双电源(1+1备份),支持热插拔,支持交、直流输入,可根据需要配置1个或者2个电源板,2个电源模块互相热备份,并支持热插拔。
电源倒换时不影响系统运行。
3.业务接口卡及风扇支持热插拔
Eudemon1000防火墙完全按照电信级产品的要求设计,所有业务接口卡及风扇支持热插拔,从而满足网络对设备的高可靠性的要求。
第3章系统结构
3.1产品外观
Eudemon1000防火墙采用中置背板、两面插卡的一体化机箱,可以装入19英寸标准机柜。
机箱结构和布局介绍如下:
1.产品前视图
图3-1Eudemon1000前视图
Eudemon1000防火墙前面板共有5个槽位,如图3-1所示,最上层固定为防火墙处理板插槽(0槽位),中间层和最下层是业务接口卡插槽(为1~4槽位)。
2.产品后视图
图3-1Eudemon1000后视图
Eudemon1000防火墙后面板包括3个插槽,如图3-2所示,最上层是NP板插槽,中间层和最下层以横插布局安装了两块电源模块,按1+1冗余备份方式工作,电源模块分为交流电源模块和直流电源模块两种。
左侧为风扇模块。
电源模块和风扇均支持热插拔。
后面板左下侧有一个防静电手腕插孔,右上侧有接地端子。
3.插槽说明
与上述Eudemon1000防火墙前视图、后视图对应,下表详细列出了该防火墙各插槽允许插入的
升级会员 