天融信NGFW安装手册

天融信下一代防火墙

安装手册

天融信

TOPSEC? 北京市海淀区上地东路1号华控大厦100085

电话：+8610-82776666

传真：+8610-82776677

服务热线：+8610-8008105119

https://www.sodocs.net/doc/7612988358.html,

版权声明本手册中的所有内容及格式的版权属于北京天融信公司（以下简称天融信）所有，未经天融信许可，任何人不得仿制、拷贝、转译或任意引用。

版权所有不得翻印?2014 天融信公司

商标声明本手册中所谈及的产品名称仅做识别之用。手册中涉及的其他公司的注册商标或是版权属各商标注册人所有，恕不逐一列明。

TOPSEC? 天融信公司

信息反馈

https://www.sodocs.net/doc/7612988358.html,

目录

目录

1前言 (1)

1.1文档目的 (1)

1.2读者对象 (1)

1.3约定 (1)

1.4相关文档 (3)

1.5技术服务体系 (3)

1.6文档意见反馈 (3)

2安装NGFW (4)

2.1系统组成 (4)

2.1.1系统组成 (4)

2.1.2产品外观 (4)

2.1.3设备电源 (5)

2.2安装前准备工作 (6)

2.2.1随机附件 (6)

2.2.2环境要求 (6)

2.2.3防静电要求 (6)

2.2.4检查机架 (7)

2.3硬件设备安装 (7)

2.3.1安置于平台上 (7)

2.3.2安装到机柜中 (7)

2.4安装后的检查 (8)

3登录NGFW (10)

3.1缺省出厂配置 (10)

3.2通过C ONSOLE口登录 (11)

3.3通过其他方式登录 (13)

3.3.1登录前配置 (13)

3.3.2通过浏览器登录 (14)

3.3.3通过SSH方式登录 (14)

4系统维护 (16)

4.1系统升级 (16)

4.2规则库升级 (19)

5FAQ (22)

1前言

本安装手册主要介绍天融信下一代防火墙（Next Generation Firewall，本文档简称NGFW）的安装和使用。通过阅读本文档，用户可以了解如何正确地在网络中安装

NGFW，并进行简单配置。

本章内容主要包括：

●文档目的

●读者对象

●约定

●相关文档

●技术服务体系

●文档意见反馈

1.1文档目的

本文档主要介绍如何安装NGFW及其相关组件，包括天融信下一代防火墙安装和扩展模块安装等。

1.2读者对象

本安装手册适用于具有基本网络知识的系统管理员和网络管理员阅读，通过阅读本文档，他们可以独自完成以下一些工作：

安装和初次使用NGFW

管理NGFW

1.3约定

本文档遵循以下约定：

1）命令语法描述采用以下约定：

注意

?命令行的参数顺序应该与WebUI的显示相对应。

?关于术语缩写的规范：当用引号括起来时，与界面显示内容保持一致；否则，按照业界

约定俗成的说法进行描述。

标志的意义说明如下：

1.4相关文档

NGFW产品配套资料包括如下文档：

如果您在使用过程中发现文档的任何问题，可通过服务热线或在线客服的方式进行反馈。感谢您的反馈，让我们做得更好！

2安装NGFW

本章介绍了系统组成、安装NGFW前的准备工作以及NGFW的硬件安装过程，同时介绍了安装后的检查，以便管理员完整的做好NGFW的安装。包括如下主要内容：

●NGFW系统的组成

●安装前的准备工作

●硬件设备安装

图2-1 机箱前面板

2.1.3设备电源

NGFW可以提供直流供电和双交流供电，具体可根据用户需要进行选择。双交流供电是指从两个不同的交流电源接收交流电输入。这种方式下，可将NGFW分别接入这两个独立电源中，这样即使一个电源出现故障也不会影响电源可靠性。电源开关和电源线插槽位于机箱的后面板。

额定电压范围：100V~240VAC，47Hz~63Hz交流电流。

最大输出功率：400W。

2.2安装前准备工作

2.2.1随机附件

安装NGFW之前，请打开产品的随机配件盒检查配件是否齐全。产品的配件与产品型号相关，具体请参见装箱物品清单。主要配件如下表所示。

通风散热

温度：0℃~40℃

相对湿度：20%~90%（非凝露）

2.2.3防静电要求

尽管NGFW在防静电方面采取了多种措施，但当静电超过一定限度时，仍会对电路及整机产生巨大的破坏作用。在与天融信下一代防火墙连接的通信网中，静电感应主要

来自两个方面：一是室外高压输电线、雷电等外界电场；二是室内环境、地板材料、整机结构等内部系统。因此为防止静电损伤，应做到：

天融信下一代防火墙良好接地。

室内防尘。

满足温度、湿度要求。

接触电路板时，应戴防静电手套或手环，穿防静电工作服。

2.2.4检查机架

在对天融信下一代防火墙进行安装前要保证以下条件：

确认天融信下一代防火墙的入风口及通风口处留有空间，以利于天融信下一代防火墙机箱的散热。

确认机架自身有良好的通风散热系统。

确认机架足够牢固，能够支撑天融信下一代防火墙及其安装附件。

确认机架良好接地。

2.3硬件设备安装

NGFW有两种安装方式：

直接安置于平台上

安装到机柜中

2.3.1安置于平台上

多数情况下，用户并不具备19英寸标准机柜，常用的方法就是将NGFW放置于干净的工作台上。此种操作比较简单，操作中需注意如下事项：

保证工作台的平稳性与良好接地

NGFW四周留出10cm的散热空间

不要在天融信下一代防火墙上放置重物

2.3.2安装到机柜中

NGFW是按照19英寸标准机柜的尺寸进行设计的，一般遵循如下步骤进行安装：步骤 1检查机柜的接地与稳定性。用螺钉将固定挂耳固定在天融信下一代防火墙前面板两侧。

步骤 2将NGFW置于机柜的一个托架上。根据实际情况，沿机柜导轨移动天融信下一代防火墙至合适位置，注意保证天融信下一代防火墙与导轨间的合适距离。

步骤 3用满足机柜安装尺寸要求的螺钉将天融信下一代防火墙通过固定挂耳固定在机柜上，保证防火墙在机柜上的位置水平并牢固，如下图所示。

步骤 4本地一台管理主机通过Console线缆与NGFW的Console口连接，供管理员进行初步配置。

步骤 5把NGFW的网络接口通过直通网络线与对应安全区域中的网络设备相连接。

步骤 6通过电源线连接NGFW和电源。

步骤 7启动NGFW电源（电源开关位于NGFW后端）。

2.4安装后的检查

在NGFW安装完成后，加电前需进行安装检查，检查事项如下：

请检查NGFW周围是否留有足够的散热空间，机柜是否稳固

检查电源线所接电源与NGFW要求的电源是否一致

检查NGFW的保护地线是否连接正确

检查NGFW与配置终端等其它设备的连接关系是否正确

说明

?天融信下一代防火墙安装完成后的检查非常重要，因为安装的牢固与否、接地良好与

否、电源要求匹配与否等都将直接关系到天融信下一代防火墙的正常使用。

NGFW的硬件安装完成通电后可使用。在NGFW工作过程中，用户可以根据NGFW面板上的指示灯来判断NGFW的工作状态，具体请见下表。

说明

NGFW支持双电源输入，如果只安装了一个电源模块或者其中一个电源模块故障，则防火墙开启时将产生蜂鸣告警声音，此时若确认非设备故障，可以按下电源模块旁边的红

色按钮，关闭告警声音。

3登录NGFW

网络管理员可以通过多种方式管理NGFW产品。

管理方式包括：

本地管理，即通过Console口登录NGFW进行管理；

远程管理，使用浏览器、SSH、Telnet等多种方式登录NGFW进行配置管理。

第一次使用NGFW，管理员可以通过Console口以命令行方式、通过浏览器以WEBUI方式进行配置和管理。NGFW支持通过IPv4/IPv6地址管理，使用IPv4、IPv6地

3.2通过Console口登录

通过Console口登录到NGFW，可以使用命令行方式对NGFW进行一些基本的设置，用户在初次使用NGFW时，通常都会登录到NGFW更改NGFW的出厂配置（如接口IP地址等），以便在不改变现有网络结构的情况下将NGFW接入网络中。这里将详细介绍如何通过Console口连接到NGFW。

步骤 1将Console口控制线的RJ45接口端和NGFW设备的Console口相连接，DB-9接口端和计算机的串口（这里假设使用COM1）相连接。（部分产品无RJ45接口形式的Console口，需要使用DB9-DB9 Console控制线）。

步骤 2在计算机中建立NGFW和管理主机的连接。

如果计算机为Windows 7操作系统，管理员需首先安装适用于Windows 7操作系统的超级终端程序“hypertrm.exe”，然后启动超级终端；如果计算机为Windows XP操作系统，直接选择开始> 程序> 附件> 通讯> 超级终端，系统提示输入新建连接的名称。如下图所示。

用户可以输入任何名称，这里假设名称为topsec，输入名称确定后，提示选择使用的接口（假设使用COM1），如下图所示。

点击【确定】按钮后，可以对COM1的属性进行设置，如下图所示。

用户可以点击【还原为默认值】按钮，也可以按照以下参数设置COM1口的属性。

成功连接到NGFW后，超级终端界面会出现输入用户名和密码提示。直接输入默认的用户名/密码（superman/talent），即可登录到NGFW。

步骤 3登录后，用户便可使用命令行方式对NGFW进行配置管理等操作。

说明

?NGFW对于用户名和密码大小写敏感。

?本地管理员具有NGFW所有管理权限，为超级管理员。

3.3通过其他方式登录

3.3.1登录前配置

从Console口本地登录NGFW后，管理员可以通过命令行对NGFW进行一些必要的设置，如更改、添加接口IP，添加其他的远程管理方式（包括“WEBUI管理”、“TELNET”和“SSH”），方便对NGFW的管理维护。

本节将以设置WEBUI管理方式为例介绍如何使用命令行添加管理方式。另外，管理员还可以使用浏览器通过feth0（或MGMT）接口对NGFW进行设置。这要求管理主机与feth0（或MGMT）的缺省出厂IP处于同一网段。

用户可通过NGFW的任一物理接口远程管理NGFW，但是在此之前，管理员必须为此物理接口配置IP地址，作为远程管理NGFW的管理地址，同时开启该接口所在区域的WEBUI服务及TELNET服务。命令行语法如下：

network interface ip add mask

参数说明：

string：NGFW物理接口名称，字符串，例如feth10。

ipaddress：IP地址，如192.168.91.22。

netmask：子网掩码，如255.255.255.0。

network pf service add name area addressname 参数说明：

telnet：接收Telnet协议远程管理请求。

webui：允许管理员通过WEBUI对天融信下一代防火墙进行配置和管理。

ssh：接收SSH协议远程管理请求，允许管理员通过SSH方式对天融信下一代防火墙进行配置和管理。

string1：本机服务支持的区域对象，例如area_feth0。

string2：本机服务支持的地址对象。

3.3.2通过浏览器登录

管理员在管理主机的浏览器上输入NGFW的管理URL，例如：https://192.168.1.254，弹出如下的登录页面。

3.3.3通过SSH方式登录

SSH提供了一种更安全的机制来供用户远程管理NGFW。在SSH连接中，所有的数据都是经过加密后传输，这就保证了NGFW的关键信息（如密码等）在传输过程中不会被窃听而导致泄露。

用户可以在本地主机上使用支持SSH的客户端软件，如用于UNIX系统的OpenSSH，或用于32位WINDOWS平台的PUTTY，登录之前需要设置连接地址为NGFW管理地址。

4系统维护

本章的内容主要包括：

●系统升级

●规则库升级

4.1系统升级

步骤 2升级系统。

通过TFTP服务器升级

在升级之前需要事先配置好TFTP服务器及其工作目录，并保证升级文件存放在工作目录中。

1）在参数“升级方式”后的下拉框中选择“TFTP”，如下图所示。

天融信-综合安全网关系统 TopGate

综合安全网关系统TopGate 产品概述 网络卫士安全网关TopGate(UTM)是天融信公司自主研发的新一代基于TOS平台研发推出的一款多功能综合应用网关产品。集合了防火墙、虚拟专用网（VPN）、入侵检测和防御（IPS）、网关防病毒、WEB 内容过滤、反垃圾邮件，流量整形，用户身份认证、审计及BT、IM控制等应用。TopGate不但能为用户提供全方位的安全威胁防护方案，还为用户提供全面的策略管理、服务质量(QoS)保证、负载均衡、高可用性(HA)以及网络带宽管理等功能。 TopGate安全网关(UTM)可灵活部署在大中型企业及其分支机构或中小企业网络的网关处，保护用户网络免受黑客攻击、病毒、蠕虫、木马、恶意代码以及未知的“零小时”（zero-hour）攻击等混合威胁的侵害；同时还为用户提供简便统一地管理各种安全特性及相关日志、报告，大大降低了设备部署、管理和维护的运营成本。除此之外，TopGate还为企业提供了CleanVPN服务，使得用户通过VPN远程访问企业内网时，确保VPN数据没有病毒等有害内容。在新攻击的防护上，TopGate对VoIP, IM/P2P, 间谍软件, 网络钓鱼, 混合攻击等都有出色的表现。 TopGate UTM 在技术上采用先进的完全内容检测技术和独特的加速引擎处理技术，可通过简单的配置和管理，以较低的维护成本为用户提供一个高级别保护的“安全隔离区”。它对经过网关的数据流量进行病毒、蠕虫、入侵等进行高效检测，而且能够阻挡来自垃圾邮件、恶意网页的威胁，所有的检测都是在实时状态下进行，具有很高的网络性能。

典型应用 产品特点 多功能与高性能的完美结合 TopGate网络卫士安全网关是高性能与多功能的完美结合，它通过提供全系列产品而为不同类型的用户提供多功能与高性能的UTM产品。真正实现了一机多用，管理简单，节省大量成本。 TopGate作为一款优秀的UTM产品，具备多种安全功能，既可以作为防火墙设备，也可以作为VPN设备、病毒网关或IPS设备，更重要的是这些功能融为一体，可同时任意组合使用，满足用户各种安全需求，为用户节省大量购置与维护成本。 完整的防火墙功能 防火墙是网关设备重要的基本功能，TopGate作为网关设备不但具有完整的3层协议以下的防火墙功能，而且还具有4～7层的防火墙防护功能。 VPN隧道内容过滤功能 企业对VPN应用越来越普及，但是当企业员工或合作伙伴通过各种VPN远程访问企业网络时，病毒、蠕虫、木马、恶意代码等有害数据有可能通过VPN隧道从远程PC或网络传递进来，这种威胁的传播方式极具隐蔽性，很难防范。 TopGate同时具备防火墙、VPN、防病毒和内容过滤等功能，并且各功能相互融合，能够对VPN数据进行检查，拦截病毒、蠕虫、木马、恶意代码等有害数据，彻底保证了VPN通信的安全，为用户提供放心的CleanVPN服务。 完全内容检测CCI技术 CCI是指Complete Content Inspection，TopGate采用了最新的完全内容检测技术，可实时将网络层数据还原

天融信防火墙配置指南

一、对象与规则 现在大多防火墙都采用了面向对象的设计。针对对象的行为进行的快速识别处理，就是规则。比如：甲想到A城市B地点。由这个行为就可以制定一些规则进行约束，例如： 1）用户身份识别，是不是甲用户（说明：在实际应用中，甲用户可能是一群人或所有的人）。2）用户当前的目标是不是A城市，是不是B地点。 3）用户当前状态中是否符合规定，比如，是不是带了危险品什么的。 用户、城市、地点等等均可以看作为一个个的对象。在防火墙中我们可以这样来比喻： 用户-->访问者 城市-->主机 地点-->端口 为了安全，我们就可以制定一个规则：如果用户甲或所有的人到达A城市B地点，并且没有携带任何危险品，就允许他或他们通过，否则就禁止通行。翻译成防火墙的规则就是：如果访问者访问目标区域中的开放主机中的允许访问的端口，并且访问的过程中没有防火墙禁止的恶意行为，就允许通过。 二、路由功能与地址转换 现在防火墙都集成了路由功能。路由功能简单的说法就是告诉访问者怎么走，相当于引路。比如：甲要到美国洛杉矶，甲城市的路由器就告诉甲，你应该先到上海，然后上海的路由器再告诉甲，该乘飞机到洛杉矶。 我们使用的互联网是基于TCP/IP协议的。所有在网络上的主机都是有IP地址的，相当于在互联网上的用户身份，没有IP地址是无法进行网络访问的。互联网中的主机中（包括访问者与被访问者）是不可能存在两个相同的IP的。 当前互联网中应用的大都是IPV4。比如：我们姜堰教育城域网的IP是58.222.239.1到 58.222.239.254。由于当初的IP规划没想到后来会有这么多的计算机，所以发展到现在，IP 地址是非常紧缺的。目前，已不可能为世界上的所有的计算机都分配一个IP地址，这就产生了源地址转换又称为源地址伪装技术（SNAT）。比如A学校有100台计算机，但是只有一个互联网IP，上网的时候就将所有上网的计算机都伪装为这个唯一的互联网IP进行访问。实际的网络访问都是基于IP和端口的访问，比如计算机A访问计算机B，那么，计算机B 相当于服务器，计算机A相当于客户机。如果是访问网页，一般就是客户机访问服务器的80端口。在访问的过程中，浏览器会主动开放一个端口(就是客户端端口)与服务器的80端口进行连接访问。一般客户端端口号都比较大。现在的BT、迅雷等P2P软件就是利用了客户端端口作为服务端口来运行的，就是你进行下载的同时也同时提供了被下载的服务，你的客户端端口也是一个服务端口。 在防火墙中应用较多的是源转换（SNAT）和目标转换（DNAT）。DNAT相当于路由功能。一般都是把服务器和上网区域放在防火墙后面，如下面的图例。

天融信网络卫士防火墙系统

天融信网络卫士防火墙系统 TopGuard NGFW4000-UF系列 专用平台 产品说明 天融信 TOPSEC?北京市海淀区上地东路1号华控大厦100085 电话：+8610-82776666 传真：+8610-82776677 服务热线：+8610-8008105119 http: //https://www.sodocs.net/doc/7612988358.html,

版权声明本手册的所有内容，其版权属于北京天融信公司（以下简称天融信）所有，未经天融信许可，任何人不得仿制、拷贝、转译或任意引用。本手册没有任何形式的担保、立场倾向或其他暗示。 若因本手册或其所提到的任何信息引起的直接或间接的资料流失、利益损失，天融信及其员工恕不承担任何责任。本手册所提到的产品规格及资讯仅供参考，有关内容可能会随时更新，天融信恕不承担另行通知之义务。 版权所有不得翻印? 1995-2010天融信公司 商标声明本手册中所谈及的产品名称仅做识别之用，而这些名称可能属于其他公司的注册商标或是版权，其他提到的商标，均属各该商标注册人所有，恕不逐一列明。 TopSEC?天融信 信息反馈 https://www.sodocs.net/doc/7612988358.html,

目录 1产品概述 (3) 2关键技术 (4) 1）灵活的接口扩展能力 (4) 2）安全高效的TOS操作系统 (4) 3）集成多种安全引擎：FIREWALL+IPSEC+SSL+ANTIVIRUS+IPS (5) 4）完全内容检测CCI技术 (5) 3产品特点介绍 (6) 4产品功能 (12) 5运行环境与标准 (19) 6典型应用 (21) 1）典型应用一：在大型网络中的应用 (21) 2）典型应用二：虚拟防火墙应用 (22) 3）典型应用三：AA模式双机热备 (23) 7产品资质 (24) 8特别声明 (24) 1产品概述 网络卫士系列防火墙NGFW4000-UF（NetGuard FireWall）系列专用平台产品，是天融信公司积累多年网络安全产品开发与实践经验的应用最为广泛的千兆防火墙。它继承了天融信公司十多年来在安全产品研发中的积累的多项成果，以自主知识产权的网络安全操作系统TOS（Topsec Operating System）为系统平台，采用开放性的系统架构及模块化的设计思想，充分体现了天融信公司在长期的产品开发和市场推广过程中对于用户需求的深刻理解。 NGFW4000-UF系列专用平台属于网络卫士系列防火墙的中高端产品，特别适用于网络结构复杂、应用丰富、高带宽、大流量的大中型企业骨干级网络环境。

天融信版本防火墙常用功能配置手册v

天融信版本防火墙常用功能配置手册 北京天融信南京分公司 2008年5月

目录

一、前言 我们制作本安装手册的目的是使工程技术人员在配置天融信网络卫士防火墙（在本安装手册中简称为“天融信防火墙”）时，可以通过此安装手册完成对天融信防火墙基本功能的实现和应用。 二、天融信版本防火墙配置概述 天融信防火墙作为专业的网络安全设备，可以支持各种复杂网络环境中的网络安全应用需求。在配置天融信防火墙之前我们通常需要先了解用户现有网络的规划情况和用户对防火墙配置及实现功能的诸多要求，建议参照以下思路和步骤对天融信防火墙进行配置和管理。 1、根据网络环境考虑防火墙部署模式（路由模式、透明模式、混合模式），根据确定好的防火墙的工作模式给防火墙分配合理的IP地址。 2、防火墙接口IP配置 3、区域和缺省访问权限配置 4、防火墙管理权限配置 5、路由表配置 6、定义对象（地址对象、服务对象、时间对象） 7、制定地址转换策略（包括四种地址转换策略：源地址转换、目的地址转换、双向转换、不做转换） 8、制定访问控制策略 9、其他特殊应用配置 10、配置保存 11、配置文件备份 ?提示：每次修改配置前，建议首先备份防火墙再修改配置，避免防火墙配置不当造成网络长时间中断。

三、天融信防火墙一些基本概念 接口：和防火墙的物理端口一一对应，如Eth0、Eth1 等。 区域：可以把区域看作是一段具有相似安全属性的网络空间。在区域的划分上，防火墙的区域和接口并不是一一对应的，也就是说一个区域可以包括多个接口。在安装防火墙前，首先要对整个受控网络进行分析，并根据网络设备，如主机、服务器等所需要的安全保护等级来划分区域。 对象:防火墙大多数的功能配置都是基于对象的。如访问控制策略、地址转换策略、服务器负载均衡策略、认证管理等。可以说，定义各种类型的对象是管理员在对防火墙进行配置前首先要做的工作之一。对象概念的使用大大简化了管理员对防火墙的管理工作。当某个对象的属性发生变化时，管理员只需要修改对象本身的属性即可，而无需修改所有涉及到这个对象的策略或规则。防火墙中，用户可定义的对象类型包括：区域、地址、地址组、服务、服务组、以及时间等。 ?提示：对象名称不允许出现的特殊字符：空格、“'”、“"”、“\”、“/”、“;”、“"”、“$”、“&”、“<”、“>”、“#”、“+”。 ?提示：防火墙所有需要引用对象的配置，请先定义对象，才能引用。四、防火墙管理 防火墙缺省管理接口为eth0口，管理地址为，缺省登录管理员帐号：用户名superman，口令talent。 防火墙出厂配置如下：

入侵防御系统IPS

入侵防御TOPIDP之IPS产品分析 学院：计算机科学与工程学院 年级：大三 学号： 姓名： 专业：信息安全 2013.11.15

摘要 本文介绍了天融信公司开发的入侵防御系统I P S的产品特点、功能、特性以及应用等，使读者对I P S有一个简要的概念。 关键词：特点；特性：功能；

目录 摘要..............................一产品厂家 二产品概述 三产品特点 四产品功能 4、1 入侵防护 4、2 DoS/DDoS防护 4、3 应用管控 4、4 网络病毒检测 4、5 URL过滤 五产品特性 六产品应用 6、1 典型部署 6、2 内网部署 七结论

一、产品厂家 北京天融信网络安全技术有限公司1995年成立于中国信息产业摇篮的北京，十八年来天融信人凭借勇于创新、积极进取、和谐发展的精神，成功打造中国信息安全产业著名品牌——TOPSEC。 天融信是中国领先的信息安全产品与服务解决方案提供商。基于创新的“可信网络架构”以及业界领先的信息安全产品与服务，天融信致力于改善用户网络与应用的可视性、可用性、可控性和安全性，降低安全风险，创造业务价值。 ●构建可信网络安全世界 ●中国安全硬件市场领导者 ●快速成长的安全管理业务 ●互联网安全云服务的开拓者 ●实现安全的业务交付 ●安全研究与前沿探索 ●技术创新引领发展 ●国家安全企业责任 二、产品概述 天融信公司的网络卫士入侵防御系统（以下简称TopIDP产品）采用在线部署方式，能够实时检测和阻断包括溢出攻击、RPC攻击、WEBCGI攻击、拒绝服务、木马、蠕虫、系统漏洞等在内的11大类超过3500种网络攻击行为，有效保护用户网络IT服务资源，使其免受各种外部攻击侵扰。TopIDP产品能够阻断或限制p2p下载、网络视频、网络游戏等各种网络带宽滥用行为，确保网络业务通畅。TopIDP产品还提供了详尽的攻击事件记录、各种统计报表，并以可视化方式动态展示，实现实时的全网威胁分析。 TopIDP产品全系列采用多核处理器硬件平台，基于先进的新一代并行处理技术架构，内置处理器动态负载均衡专利技术，实现了对网络数据流的高性能实时检测和防御。TopIDP产品采用基于目标主机的流检测引擎，可即时处理IP分片和TCP流重组，有效阻断各种逃逸检测的攻击手段。天融信公司内部的攻防专业实验室通过与厂商和国家权威机构的合作，不断跟踪、挖掘和分析新出现的各种漏洞信息，并将研究成果直接应用于产品，保障了TopIDP产品检测的全面、准确和及时有效。

天融信网络安全准入解决方案

天融信网络安全准入解决方案 安全挑战 计算机终端是用户办公和处理业务最重要的工具，对计算机终端的准入管理，可以有效地提高办公效率、减少信息安全隐患、提升网络安全，从而为用户创造更多的业务价值。但目前，大部分终端处于松散化的管理,主要存在以下问题： 接入终端的身份认证，是否为合法用户接入 工作计算机终端的状态问题如下： 操作系统漏洞导致安全事件的发生 补丁没有及时更新 工作终端外设随意接入，如U盘、蓝牙接口等 外来人员或第三方公司开发人员使用移动笔记本电脑未经容许接入到业务专网或办公网系统 工作终端的安全策略不统一，严重影响全局安全策略 解决方案 天融信针对上述安全挑战，提出了网络安全准入解决方案，采用ＣＡ数字证书系统、天融信终端安全管理系统TopDesk，结合802.1X技术等，实现完善、可信的网络准入，如下图所示。 天融信网络安全准入解决方案图

终端接安全准入过程如下： 1)网络准入控制组件通过802.1X协议，将当前终端用户身份证书信息发送到交换机。 2)交换机将用户身份证书信息通过RADIUS协议，发送给RADIUS认证组件。 3)RADIUS组件通过CA认证中心对用户身份证书进行有效性判定，并把认证结果返回给交换机，交换机将认证结果传给网络准入控制组件。 4)用户身份认证通过后，终端系统检测组件将根据准入策略管理组件制定的安全准入策略，对终端安全状态进行检测。 5)终端的安全状态符合安全策略的要求,则允许准入流控中心系统网络。 6)如终端身份认证失败，网络准入控制组件通知交换机关闭端口； 7)如终端安全状态不符合安全策略要求，终端系统检测组件将隔离终端到非工作VLAN。 8)在非工作VLAN的终端，终端系统检测组件会自动进行终端安全状态的修复，在修复完成以后，系统自动将终端重新接入正常工作Vlan。 充分利用终端检测与防护技术 终端防护系统对终端的安全状态和安全行为进行全面监管，检测并保障桌面系统的安全，统一制定、下发并执行安全策略，从而实现对终端的全方位保护、管理和维护，有效保障终端系统及有关敏感信息的安全。在终端防护系统的众多功能中，本方案充分利用以下功能： 安全状态自动检测、报告功能。针对终端系统的补丁更新情况、防病毒软件的扫描引擎即病毒库更新情况、个人防火墙情况进行自动检测、报告和安全状态提升，并在接入网络前提供给可信网关进行检查和认证。 监管终端系统的各种网络行为。对终端系统的拨号行为、使用网口情况进行监控，通过策略定制限制终端用户的上网行为，以减少非法接入可能性。 对移动介质的管控功能。外部设备尤其是移动介质是病毒、木马传播、敏感信息泄漏的主要渠道，必须按照有关安全策略进行认证、授权、控制和审计。 安全审计功能。在对收集的安全事件进行详尽的分析和统计的基础上，帮助网络管理员对网络接入情况进行深度挖掘分析，满足对接入进行审计的需求。 非法接入行为阻断功能。通过终端防护系统实现非法接入行为的控制，对终端系统的远程拨号行为、无线上网行为、搭线上网行为进行控制，给出报警并通过个人防火墙、禁用网卡等手段切断该主机与网络的连接，避免由于该终端的非法接入而导致网络遭到破坏。

天融信防火墙NGFW4000配置手册

天融信防火墙NGFW4000快速配置手册

目录 一、防火墙的几种管理方式 (3) 1．串口管理 (3) 2．TELNET管理 (4) 3．SSH管理 (5) 4．WEB管理 (6) 5．GUI管理 (6) 二、命令行常用配置 (12) 1．系统管理命令(SYSTEM) (12) 命令 (12) 功能 (12) WEBUI界面操作位置 (12) 二级命令名 (12) V ERSION (12) 系统版本信息 (12) 系统>基本信息 (12) INFORMATION (12) 当前设备状态信息 (12) 系统>运行状态 (12) TIME (12) 系统时钟管理 (12) 系统>系统时间 (12) CONFIG (12) 系统配置管理 (12) 管理器工具栏“保存设定”按钮 (12) REBOOT (12) 重新启动 (12) 系统>系统重启 (12) SSHD (12) SSH服务管理命令 (12) 系统>系统服务 (12) TELNETD (12) TELNET服务管理 (12) 系统>系统服务命令 (12) HTTPD (12) HTTP服务管理命 (12) 系统>系统服务令 (12) MONITORD (12) MONITOR (12) 服务管理命令无 (12) 2．网络配置命令(NETWORK) (13)

4．定义对象命令(DEFINE) (13) 5．包过滤命令(PF) (13) 6．显示运行配置命令(SHOW_RUNNING) (13) 7．保存配置命令(SAVE) (13) 三、WEB界面常用配置 (14) 1．系统管理配置 (14) A)系统> 基本信息 (14) B)系统> 运行状态 (14) C)系统> 配置维护 (15) D)系统> 系统服务 (15) E)系统> 开放服务 (16) F)系统> 系统重启 (16) 2．网络接口、路由配置 (16) A)设置防火墙接口属性 (16) B)设置路由 (18) 3．对象配置 (20) A)设置主机对象 (20) B)设置范围对象 (21) C)设置子网对象 (21) D)设置地址组 (21) E)自定义服务 (22) F)设置区域对象 (22) G)设置时间对象 (23) 4．访问策略配置 (23) 5．高可用性配置 (26) 四、透明模式配置示例 (28) 拓补结构： (28) 1．用串口管理方式进入命令行 (28) 2．配置接口属性 (28) 3．配置VLAN (28) 4．配置区域属性 (28) 5．定义对象 (28) 6．添加系统权限 (29) 7．配置访问策略 (29) 8．配置双机热备 (29) 五、路由模式配置示例 (30) 拓补结构： (30) 1．用串口管理方式进入命令行 (30) 2．配置接口属性 (30) 3．配置路由 (30) 4．配置区域属性 (30) 5．配置主机对象 (30) 6．配置访问策略 (30)

天融信网络信息安全解决总结方案.doc

计算机网络是一个分层次的拓扑结构，因此网络的安全防护也需采用分层次的拓扑防护措施。即一个完整的网络信息安全解决方案应该覆盖网络的各个层次，并且与安全管理相结合。以该思想为出发点，北京天融信公司提出了"网络信息安全解决方案"。 一、网络信息安全系统设计原则 ? 1.1满足Internet分级管理需求 ? 1.2需求、风险、代价平衡的原则 ? 1.3综合性、整体性原则 ? 1.4可用性原则 ? 1.5分步实施原则 目前，对于新建网络及已投入运行的网络，必须尽快解决网络的安全保密问题，考虑技术难度及经费等因素，设计时应遵循如下思想： （1）大幅度地提高系统的安全性和保密性； （2）保持网络原有的性能特点，即对网络的协议和传输具有很好的透明性； （3）易于操作、维护，并便于自动化管理，而不增加或少增加附加操作； （4）尽量不影响原网络拓扑结构，便于系统及系统功能的扩展； （5）安全保密系统具有较好的性能价格比，一次性投资，可以长期使用； （6）安全与密码产品具有合法性，并便于安全管理单位与密码管理单位的检查与监督。 基于上述思想，网络信息安全系统应遵循如下设计原则： 1．1 满足因特网的分级管理需求 根据Internet网络规模大、用户众多的特点，对Internet/Intranet信息安全实施分级管理的解决方案，将对它的控制点分为三级实施安全管理。 第一级：中心级网络，主要实现内外网隔离；内外网用户的访问控制；内部网的监控；内部网传输数据的备份与稽查。 第二级：部门级，主要实现内部网与外部网用户的访问控制；同级部门间的访问控制；部门网内部的安全审计。 第三级：终端/个人用户级，实现部门网内部主机的访问控制；数据库及终端信息资源的安全保护。精品文档

天融信安全管理平台TopAnalyzer产品白皮书

天融信产品白皮书网络卫士安全管理平台TopAnalyzer系列

安全运维管理中心TopAnalyzer 随着信息安全建设的不断发展，信息网络和应用业务系统的安全涉及越来越多的方面，既涉及到防火墙、防病毒、入侵检测等系统安全方面的措施，同时也涉及到如何在全网的用户、网络资源之间进行合理授权及访问控制等一系列应用安全问题。一个综合的、复杂的信息网络系统，它的运行情况、应用系统的服务器和数据库资源是否存在安全漏洞，安全策略的适用性等很多方面，都需要强大的支持系统为运行维护和管理者提供辅助支持和帮助。同时，由于安全相关的数据量越来越大，有些关键的安全信息和告警事件常常被低价值或无价值的告警信息所淹没，一些全局性的、影响重大的问题很难被分析和提炼出来。 因此，想要使这些信息网络安全设施能最大限度地发挥其安全保障功能，就必须要有一个良好的综合安全管理平台、有效的安全审计和评估系统，从全局的角度进行安全策略的管理，实时的事件监控及响应，为管理者提供及时的运行情况报告、问题报告、事件报告、安全审计报告和风险分析报告，从而使决策者能及时调整安全防护策略，恰当地进行网络优化，及时地部署安全措施，消除网络和系统中的问题和安全隐患。只有这样，信息网络和业务应用系统才能真正地实现安全运行。 统一的网络与安全管理平台 网络管理与安全管理无缝集成，为用户提供统一管理平台，有效降低客户总体拥有成本（TCO）。系统支持全面的拓扑管理，包括自动的拓扑发现，网元状态监控，网元维护，集成的风险与事件展现界面。同时支持多级管理，可对大规模的分层系统进行统一的管理。 集成的威胁与风险识别 综合运用事件归一化与归并技术，关联分析，专家决策系统等不同层面的技术方案，为用户提供了 一个集成化的威胁与风险识别的平台。事 件归一化与归并技术可将用户的海量数据 大幅缩减，为进一步的数据挖掘做准备； 基于状态机的实时关联检测技术通过使用 状态机来抽象和描述攻击的过程与场景， 状态机间的状态转换的条件由不同安全事 件触发，可有效地帮助用户准确、实时的 进行高精度威胁识别，并透过专家决策系 统选择优化的解决方案。 360度健康信息监控（Dashboard） 为满足用户多元化的监控需求，天融信推 出360度健康信息监控引擎。可提供基于 事件、性能、状态、安全等方面对设备、

产品说明-天融信WEB应用安全防护系统(130607)

天融信WEB应用安全防护系统 TopWAF 产品说明 天融信 TOPSEC? 北京市海淀区上地东路1号华控大厦100085 电话：+8610-82776666 传真：+8610-82776677 服务热线：+8610-400-610-5119 +8610-800-810-5119 http: //https://www.sodocs.net/doc/7612988358.html,

版权声明本手册的所有内容，其版权属于北京天融信公司（以下简称天融信）所有，未经天融信许可，任何人不得仿制、拷贝、转译或任意引用。本手册没有任何形式的担保、立场倾向或其他暗示。 若因本手册或其所提到的任何信息引起的直接或间接的资料流失、利益损失，天融信及其员工恕不承担任何责任。本手册所提到的产品规格及资讯仅供参考，有关内容可能会随时更新，天融信恕不承担另行通知之义务。 版权所有不得翻印? 1995-2012天融信公司 商标声明本手册中所谈及的产品名称仅做识别之用。手册中涉及的其他公司的注册商标或是版权属各商标注册人所有，恕不逐一列明。 TOPSEC? 天融信公司 信息反馈 https://www.sodocs.net/doc/7612988358.html,

天融信WEB应用安全防护系统产品说明 目录 1. 产品概述 (1) 2. 产品主要特性 (2) 2.1先进的设计理念 (2) 2.1.1“三高”设计理念 (2) 2.1.2“一站式”解决方案 (2) 2.1.3 “无故障运行时间提升”的核心原则 (2) 2.2独有的核心技术 (2) 2.2.1稳定、高效、安全的系统内核 (2) 2.2.2领先的多维防护体系 (2) 2.2.3“主动式”应用安全加固技术 (3) 2.3丰富的数据展现 (3) 2.3.1多角度的决策支撑数据 (3) 2.3.2多角色视角的数据展示 (3) 2.3.3清晰详尽的阶段性报表 (3) 3. 产品功能 (4) 3.1产品核心功能 (4) 3.1.1 WEB应用威胁防御 (4) 3.1.2网页防篡改 (5) 3.1.3抗拒绝服务攻击 (5) 3.1.4 WEB应用漏洞扫描 (6) 3.1.5 WEB应用加速 (6) 3.1.6 业务智能分析 (6) 3.2产品功能列表 (8) 4. 产品部署 (11) 4.1透明串接部署 (11) 4.2反向代理部署 (12) 4.3单臂部署 (13) 5. 产品规格 (14) 6. 产品资质 (15) 7. 特别声明 (16)

天融信网络安全产品-项目方案

天融信网络安全产品 项目方案

目录 1天融信安全设备供货方案 (4) 1.1供货计划和安排 (4) 1.2运输安装计划 (4) 1.3货物包装及标注 (6) 1.4货物运输及交货 (6) 2天融信安全产品安装部署方案 (7) 2.1安全设备安装 (7) 2.1.1安装步骤概述 (7) 2.1.2安装准备工作确认 (8) 2.1.3检查安装场所 (9) 2.1.4安装计划 (11) 2.1.5安装工具 (12) 2.1.6设备安装流程 (13) 2.1.7设备安装到指定位置 (13) 2.1.8地线的连接 (14) 2.1.9配置电缆的连接 (15) 2.1.10安装中的布线推荐 (18) 2.1.11安装中的电缆捆扎 (19) 2.1.12安装后的检查 (22) 2.2安全设备上线调试 (22) 2.2.1产品上线过程 (22) 2.2.2安全策略调试 (24) 2.3系统集成割接 (25) 2.3.1现有应用系统数据访问业务特点 (25) 2.3.2割接时间点的选择 (27) 2.3.3割接原则 (28)

1 天融信安全设备供货方案 正式合同签订后我方设备采购小组将按照合同中关于设备购货有关条款和议定的日期，组织设备软硬件的购置工作。 订购的设备在运抵用户指定安装现场后，我方将与用户方人员共同开箱验收。验收时发现短缺、破损，我方将立即要求供货商补发或更换。 1.1 供货计划和安排 1、到货时间 我方承诺标书中要求中的到货日期内全部到达到货地点。 2、到货地点 到货地点为用户的指定地点。 1.2 运输安装计划 我方将在此次项目合同签订后，按照合同时限运至指定地点。 我方运货在途运输基本流程：

天融信防火墙NGFW4000快速配置手册

天融信防火墙NGFW4000快速配置手册 一、防火墙的几种管理方式 1．串口管理 第一次使用网络卫士防火墙，管理员可以通过 CONSOLE 口以命令行方式进行配置和管理。 通过 CONSOLE 口登录到网络卫士防火墙，可以对防火墙进行一些基本的设置。用户在初次使用防火墙时，通常都会登录到防火墙更改出厂配置（接口、IP 地址等），使在不改变现有网络结构的情况下将防火墙接入网络中。这里将详细介绍如何通过 CONSOLE口连接到网络卫士防火墙： 1）使用一条串口线（包含在出厂配件中），分别连接计算机的串口（这里假设使用 com1）和防火墙的CONSOLE 口。 2）选择开始 > 程序 > 附件 > 通讯 > 超级终端，系统提示输入新建连接的名称。 3）输入名称，这里假设名称为“TOPSEC”，点击“确定”后，提示选择使用的接口（假设使用 com1）。 4）设置 com1 口的属性，按照以下参数进行设置。

5）成功连接到防火墙后，超级终端界面会出现输入用户名/密码的提示，如下图。 6）输入系统默认的用户名：superman 和密码：talent，即可登录到网络卫士防火 墙。登录后，用户就可使用命令行方式对网络卫士防火墙进行配置管理。 2．TELNET管理 TELNET管理也是命令行管理方式，要进行TELNET管理，必须进行以下设置： 1)在串口下用“pf service add name telnet area area_eth0 addressname any”命令添加管理权限 2)在串口下用“system telnetd start”命令启动TELNET管理服务 3)知道管理IP地址，或者用“network interface eth0 ip add 192.168.1.250 mask 255.255.255.0”命令 添加管理IP地址 4)然后用各种命令行客户端(如WINDOWS CMD命令行)管理：TELNET 192.168.1.250 5)最后输入用户名和密码进行管理命令行如图： 3．SSH管理

天融信工业控制系统安全解决方案_安全

安 全我们也在这里： 企业计算大数据存储软件与服务数据库/开发服务器操作系统网 络安 全 2014-04-02 21:55比特网肖松 天融信工业控制系统安全解决方案 关键字：安全技术 工控系统 解决方案 天融信 1 安全挑战 工业控制系统如SCADA 系统、DCS 系统和PLC 等目前已广泛应用于工业基础设施的各个领域，是工业自动化的核心组成部分，工业自动化的中枢神经。然而，工业控制系统自身也存在较多的安全漏洞与隐患，并可能被利用，一旦发生安全事件，直接造成的影响是生产停滞或设备损坏，给企业或市政机关带来较大的经济损失，更严重的还可能对生产人员的生命、健康产生危害。Stuxnet “震网病毒”事件已对工业控制系统的安全提出了警示，工业基础设施工业控制系统的安全尤其显得重要。为保障工业控制系统的信息安全，2011年9月工业和信息化部专门发文《关于加强工业控制系统信息安全管理的通知》(工信部协[2011]451号)，强调加强工业信息安全的重要性、紧迫性，并明确了重点领域工业控制系统信息安全的管理要求。如何对工业控制系统进行有效的安全防护，并满足行业监管机构的要求，成为大多数行业用户迫切需要解决的问题。 2 解决思路 SCADA 、DCS 、PLC 等工业控制系统早期都运行在相对独立、封闭的网络中，运行独特的工业控制协议，这些协议包括：OPC 、Profinet 、Ethernet/IP 、Modbus 、CAN 等。这些通讯协议在设计之初，对安全方面考虑较少，随着工业以太网的逐步推广与应用，工业控制系统产品越来越多地采用通用协议、通用硬件和通用软件，以各种方式与互联网等公共网络连接，传统IT 信息网中的安全威胁已逐步渗透到生产控制网络中，工业控制系统信息安全问题日益突出。目前单纯从自动控制设备及工控协议优化的角度来提高工业控制系统安全性并不现实，需要针对目前工业控协议的脆弱性以及安全防护关键点进行风险分析，并部署相应的安全防护技术措施和安全产品，辅之以工控网安全管理和运维手段的提升，来进一步提高工业控制系统整体安全水平。 3 方案部署 通过对工业控制系统网络结构、各应用系统间数据访问关系等进行梳理，明确工业控制网络关键安全控制点及控制要素，并根据需求部署相应的安全产品同时借鉴工业控制领域国际最佳实践或权威标准、指南等，包括NIST 最新发布的Guide to Industrial Control Systems (ICS) Security(工业控制系统安全指南)和ANSI/ISA 最新发布的ANSI/ISA-99 Standards 等标准或指南，遵照工信部协451号文要求等，工业控制网络安全防护产品部署拓扑如下图所示：您的位置： 比特网 > 安全 > 正文 比特首页|新闻中心|企业计算|云计算|信息化|移动互联|整机外设 更多 手机比特网 比特客户端登录 注册

天融信防火墙配置手册

天融信防火墙配置指南 一、对象与规则 现在大多防火墙都采用了面向对象的设计。针对对象的行为进行的快速识别处理，就是规则。 比如：甲想到A城市B地点。由这个行为就可以制定一些规则进行约束，例如： 1）用户身份识别，是不是甲用户（说明：在实际应用中，甲用户可能是一群人或所有的人）。 2）用户当前的目标是不是A城市，是不是B地点。 3）用户当前状态中是否符合规定，比如，是不是带了危险品什么的。 用户、城市、地点等等均可以看作为一个个的对象。在防火墙中我们可以这样来比喻：用户-->访问者 城市-->主机 地点-->端口 为了安全，我们就可以制定一个规则：如果用户甲或所有的人到达A城市B地点，并且没有携带任何危险品，就允许他或他们通过，否则就禁止通行。翻译成防火墙的规则就是：如果访问者访问目标区域中的开放主机中的允许访问的端口，并且访问的过程中没有防火墙禁止的恶意行为，就允许通过。 二、路由功能与地址转换 现在防火墙都集成了路由功能。路由功能简单的说法就是告诉访问者怎么走，相当于引路。比如：甲要到美国洛杉矶，甲城市的路由器就告诉甲，你应该先到上海，然后上海的路由器再告诉甲，该乘飞机到洛杉矶。 我们使用的互联网是基于TCP/IP协议的。所有在网络上的主机都是有IP地址的，相当于在互联网上的用户身份，没有IP地址是无法进行网络访问的。互联网中的主机中（包括访问者与被访问者）是不可能存在两个相同的IP的。 当前互联网中应用的大都是IPV4。比如：我们姜堰教育城域网的IP是58.222.239.1到58.222.239.254。由于当初的IP规划没想到后来会有这么多的计算机，所以发展到现在，IP 地址是非常紧缺的。目前，已不可能为世界上的所有的计算机都分配一个IP地址，这就产生了源地址转换又称为源地址伪装技术（SNA T）。比如A学校有100台计算机，但是只有

天融信安全运维服务-白皮书

目录 1服务产生背景 (2) 2服务概述 (2) 3服务方式 (3) 3.1驻场值守方式 (3) 3.2定期巡检方式 (3) 3.3远程值守方式 (3) 3.4应急响应方式 (3) 4服务内容 (3) 4.1健康检查服务 (3) 4.2安全事件审计服务 (4) 4.3网络行为审计服务 (4) 4.4运维监控与分析服务 (4) 4.5敏感问题预警与告警服务 (5) 4.6终端安全监控与策略优化服务 (5) 4.7等级保护合规性运维服务 (5) 4.8应急响应服务 (5) 4.9安全通告、漏洞分析服务 (6) 4.10知识库维护服务 (6) 4.11服务器优化服务 (6) 4.12数据库维护服务 (6) 4.13功能性定制服务 (7) 4.13.1报表定制服务 (7) 4.13.2关联分析规则定制开发 (7) 4.13.3设备解析定制服务 (7) 4.13.4工单流程定制服务 (7) 4.14产品升级服务 (7) 4.15保修及延保服务 (8) 5服务价值 (9) 6天融信优势 (9)

1 服务产生背景 国际著名咨询调查机构Gartner集团的调查发现，在经常出现的问题中，源自技术或产品(包括硬件、软件、网络、电力失常及天灾等)方面的问题其实只占20%，而管理流程失误、人员疏失问题占80%。经过多年的信息化建设，大多数企业已经建立起了比较完整的信息系统。但是，在安全运维及应急响应方面缺少一套完整的运维和应急体系来保证各类紧急事件的及时、有效处理。因此，用户通过引入专业的信息安全服务团队，来保障自身信息系统的稳定安全运行，同时通过专业的安全运维服务，逐步构建动态、完整、高效的用户信息安全整体，形成能持续完善、自我优化的安全运维体系和安全管理体系，提高用户信息系统的整体安全等级，为保证业务的健康发展和提升核心竞争力提供坚实的基础保障。 用户安全运维中面临问题： ?信息管理部门的人员有限，员工的精力有限 ?安全管理制度体系不完善，安全责任制落实不到位 ?安全技术能力方面或多或少的存在一定的限制 ?安全产品众多，维护、升级不及时 ?海量安全事件无法及时处理 ?异常操作行为无法及时预警 ?处理大量安全事件经验不足 ?外界新技术无法更快更好的应用到内网 正是针对用户在运维管理中存在的弊端，天融信依靠长期从事信息安全运维服务的经验，同时结合信息安全保障体系建设中运维体系建设的要求，遵循ITIL（最佳实践指导）、ISO/IEC 27000系列服务标准及《北京市电子政务IT运维服务支撑系统规范》等相关标准，建立了一整套信息安全运维管理的服务内容。 2 服务概述 天融信安全运维服务，是以“为客户或服务干系人提供服务交付和价值”为目标，以客户信息安全的总体框架为基础、以安全策略为指导，结合先进的技术平台、经验丰富的安全运维团队、成熟的服务管理体系，覆盖从物理通信到网络、系统平台直至数据和应用平台的各个层面的安全需求，为军工、政府、金融、企业等客户提供安全监控、应急处置、分析决策等运维保障服务。

天融信对外测试方案流量清洗

天融信TOPADS产品 对外测试方案 编写人：应用检测与防御产品测试部 编写时间：2014年12月 第1页

目录 1测试说明 (4) 1.1测试目的 (4) 1.2测试人员、时间及测试地点 (4) 2测试环境 (5) 2.1.1测试功能性和安全性测试环境 (5) 2.1.2性能测试环境 (6) 2.2测试环境所需设备配置表 (6) 2.3测试仪表 (7) 3测试产品情况 (7) 4基本功能测试 (7) 4.1.1系统管理 (7) 4.1.2用户管理 (7) 4.1.3系统监控 (8) 4.1.4日志存储查看检索 (8) 4.1.5报表生成 (8) 4.1.6攻击取证 (9) 4.1.7抓包功能 (9) 4.1.8二级保护对象功能 (9) 4.1.9保护组黑白名单功能 (10) 5旁路检测清洗 (10) 5.1.1镜像流量检测 (10) 5.1.2BGP牵引测试 (10) 5.1.3GRE回注测试 (11) 6流量清洗测试 (12) 6.1.1TCP FLOOD防御功能测试 (12) 6.1.2UDP FLOOD防御功能测试 (12) 6.1.3ICMP防御功能测试 (12) 6.1.4CC攻击防御测试 (13) 6.1.5HTTP慢速攻击防御功能测试 (13) 6.1.6HTTPS防御功能测试 (14) 6.1.7DNS FLOOD防御功能测试 (14) 6.1.8DNS nxdomain工具防御测试 (14) 7性能测试 (15) 7.1RFC2544性能 (15) 7.2应用层吞吐 (15) 7.2.1应用层吞吐（HTTP） (15) 7.2.2混合流量吞吐 (16) 7.3S YN FLOOD最大攻击防御能力 (16)

天融信Web应用防火墙-方案白皮书

天融信Web应用防火墙 方案白皮书

目录 1产品功能描述 (3) 1.1WEB应用防火墙 (3) 1.1.1系统概述 (3) 1.1.2功能描述 (3) 2产品硬件规格及性能参数 (7) 2.1WAF :TWF-72138 (7) 3产品测试方案 (8) 3.1WEB应用防火墙测试方案 (8) 3.1.1测试环境 (8) 3.1.2防护能力测试 (8)

1 产品功能描述 1.1 WEB应用防火墙 1.1.1 系统概述 借助互联网的发展，越来越多的医疗服务开始在互联网上提供入口，以提高就医体验和效率，如网上挂号预约、网上缴费等服务，可以大幅提高工作效率，并提高用户体验，节约用户排队等待的时间。医疗服务的部分内容放到互联网上，需要将相关业务应用的入口如web应用服务器放到互联网上，而WEB 服务器以其强大的计算能力、处理性能及蕴含的较高价值逐渐成为主要忘了攻击目标。SQL 注入、网页挂马等安全事件，频繁发生。传统防火墙针对WEB的防护能力已经不能满足日益丰富的WEB应用。 Web应用防护系统（Web Application Firewall, 简称：WAF）代表了一类新兴的信息安全技术，专门用于解决Web应用安全问题。与传统防火墙不同，WAF 工作在应用层，因此对Web应用防护具有先天的技术优势。基于对Web应用业务和逻辑的深刻理解，WAF对来自Web应用程序客户端的各类请求进行内容检测和验证，确保其安全性与合法性，对非法的请求予以实时阻断，从而对各类网站站点进行有效防护。 1.1.2 功能描述 全面的攻击防御能力 WAF产品提供传统的基于规则的检测和主动防御两个引擎。 基于规则的保护是信息安全产品最主流的防护方法，虽然对于未知攻击和

-天融信版本防火墙常用功能配置手册v2

天融信3.3版本防火墙常用功能配置手册 北京天融信南京分公司 2008年5月 目录 一、前言 (2) 二、天融信3.3版本防火墙配置概述 (2) 三、天融信防火墙一些基本概念 (3) 四、防火墙管理 (3) 五、防火墙配置 (5) （1）防火墙路由模式案例配置 (5) 1、防火墙接口IP地址配置 (6) 2、区域和缺省访问权限配置 (7) 3、防火墙管理权限设置（定义希望从哪个区域管理防火墙） (8) 4、路由表配置 (9) 5、定义对象（包括地址对象、服务对象、时间对象） (10) 6、地址转换策略 (13) 7、制定访问控制策略 (24) 8、配置保存 (29) 9、配置文件备份 (29) （2）防火墙透明模式案例配置 (30) 1、防火墙接口IP配置 (31) 2、区域和缺省访问权限配置 (33) 3、防火墙管理权限设置（定义希望从哪个区域管理防火墙） (33)

4、路由表配置 (34) 5、定义对象（包括地址对象、服务对象、时间对象） (35) 6、制定访问控制策略 (39) 7、配置保存 (43) 8、配置文件备份 (43) 一、前言 我们制作本安装手册的目的是使工程技术人员在配置天融信网络卫士防火墙（在本安装手册中简称为“天融信防火墙”）时，可以通过此安装手册完成对天融信防火墙基本功能的实现和使用。 二、天融信3.3版本防火墙配置概述 天融信防火墙作为专业的网络安全设备，可以支持各种复杂网络环境中的网络安全使用需求。在配置天融信防火墙之前我们通常需要先了解用户现有网络的规划情况和用户对防火墙配置及实现功能的诸多要求，建议参照以下思路和步骤对天融信防火墙进行配置和管理。 1、根据网络环境考虑防火墙部署模式（路由模式、透明模式、混合模式），根据确定好的防火墙的工作模式给防火墙分配合理的IP地址。 2、防火墙接口IP配置 3、区域和缺省访问权限配置 4、防火墙管理权限配置 5、路由表配置 6、定义对象（地址对象、服务对象、时间对象） 7、制定地址转换策略（包括四种地址转换策略：源地址转换、目的地址转换、双向转换、不做转换） 8、制定访问控制策略 9、其他特殊使用配置 10、配置保存 11、配置文件备份