搜档网
当前位置:搜档网 › 迪普防火墙技术白皮书 (1)

迪普防火墙技术白皮书 (1)

迪普防火墙技术白皮书 (1)
迪普防火墙技术白皮书 (1)

迪普FW1000系列防火墙

技术白皮书

1概述

随着网络技术的普及,网络攻击行为出现得越来越频繁。通过各种攻击软件,只要具有一般计算机常识的初学者也能完成对网络的攻击。各种网络病毒的泛滥,也加剧了网络被攻击的危险。目前,Internet网络上常见的安全威胁分为以下几类:

非法使用:资源被未授权的用户(也可以称为非法用户)或以未授权方式(非法权限)使用。例如,攻击者通过猜测帐号和密码的组合,从而进入计算机系统以非法使用资源。

拒绝服务:服务器拒绝合法用户正常访问信息或资源的请求。例如,攻击者短时间内使用大量数据包或畸形报文向服务器不断发起连接或请求回应,致使服务器负荷过重而不能处理合法任务。

信息盗窃:攻击者并不直接入侵目标系统,而是通过窃听网络来获取重要数据或信息。

数据篡改:攻击者对系统数据或消息流进行有选择的修改、删除、延误、重排序及插入虚假消息等操作,而使数据的一致性被破坏。

?基于网络协议的防火墙不能阻止各种

攻击工具更加高层的攻击

?网络中大量的低安全性家庭主机成为

攻击者或者蠕虫病毒的被控攻击主机

?被攻克的服务器也成为辅助攻击者

Internet

止火灾蔓延的隔断墙,Internet防火墙是一个或一组实施访问控制策略的系统,它监控可信任网络(相当于内部网络)和不可信任网络(相当于外部网络)之间的访问通道,以防止外部网络的危险蔓延到内部网络上。防火墙作用于被保护区域的入口处,基于访问控制策略提供安全防护。例如:当防火墙位于内部网络和外部网络的连接处时,可以保护组织内的网络和数据免遭来自外部网络的非法访问(未授权或未验证的访问)或恶意攻击;当防火墙位于组织内部相对开放的网段或比较敏感的网段(如保存敏感或专有数据的网络部分)的连接处时,可以根据需要过滤对敏感数据的访问(即使该访问是来自组织内部)。

防火墙技术经历了包过滤防火墙、代理防火墙、状态防火墙的技术演变,但是随着各种基于不安全应用的攻击增多以及网络蠕虫病毒的泛滥,传统防火墙面临更加艰巨的任务,不但需要防护传统的基于网络层的协议攻击,而且需要处理更加高层的应用数据,对应用层的攻击进行防护。对于互联网上的各种蠕虫病毒,必须能够判断出网络蠕虫病毒的特征,把网络蠕虫病毒造成的攻击阻挡在安全网络之外。从而对内部安全网络形成立体、全面的

防护。

造成当前网络“安全危机”另外一个因素是忽视对内网安全的监控管理。防火墙防范了来之外网的攻击,对于潜伏于内部网络的“黑手”却置之不理,很容易造成内网变成攻击的源头,导致内网数据泄密,通过NAT从内部网络的攻击行为无法进行审计。由于对内部网络缺乏防范,当内部网络主机感染蠕虫病毒时,会形成可以感染整个互联网的污染源头,导致整个互联网络环境低劣。

恶意行为。防火墙需要提供对内部网络安全保障的支持,形成全面的安全防护体系。

2功能介绍

DPtech FW1000系列硬件防火墙产品是一种改进型的状态防火墙,采用专门设计的高可靠性硬件系统和具有自主知识产权的专有操作系统,将高效的包过滤功能、透明的代理服务、基于改进的状态检测安全技术、丰富的统计分析功能、多种安全保障措施集于一身,提供多类型接口和工作模式。不但提供对网络层攻击的防护,而且提供多种智能分析和管

?来自内部网络的攻击污染互联网

?来自内部网络的蠕虫病毒感染互联

Internet

理手段,全面立体的防护内部网路。DPtech FW1000防火墙提供多种网络管理监控的方法,协助网络管理员完成网络的安全管理。DPtech FW1000防火墙采用ASPF状态检测技术,可对连接过程和有害命令进行监测,并协同ACL完成包过滤,支持NAT-PAT,支持IPSec VPN加密等特性,提供包括DES、3DES等多种加密算法,并支持证书认证。此外,还提供数十种攻击的防范能力,所有这些都有效地保障了网络的安全。下面重点描述DPtech FW1000防火墙的主要安全功能。

2.1ASPF

ASPF(Application Specific Packet Filter)是针对应用层的包过滤,即基于状态的报文过滤。它和普通的静态防火墙协同工作,以便于实施内部网络的安全策略。ASPF能够检测试图通过防火墙的应用层协议会话信息,阻止不符合规则的数据报文穿过。

为保护网络安全,基于访问控制列表的包过滤可以在网络层和传输层检测数据包,防止非法入侵。ASPF能够检测应用层协议的信息,并对应用的流量进行监控。

ASPF还提供以下功能:

DoS(Denial of Service,拒绝服务)的检测和防范。

Java Blocking(Java阻断),用于保护网络不受有害的Java Applets的破坏。

支持端口到应用的映射,用于应用层协议提供的服务使用非通用端口时的情况。

增强的会话日志功能。可以对所有的连接进行记录,包括:记录连接的时间、源地址、目的地址、使用的端口和传输的字节数。

ASPF对应用层的协议信息进行检测,并维护会话的状态,检查会话的报文的协议和端口号等信息,阻止恶意的入侵。

2.2攻击防范

通常的网络攻击,一般是侵入或破坏网上的服务器(主机),盗取服务器的敏感数据或干扰破坏服务器对外提供的服务;也有直接破坏网络设备的网络攻击,这种破坏影响较大,会导致网络服务异常,甚至中断。防火墙的攻击防范功能能够检测出多种类型的网络攻击,并能采取相应的措施保护内部网络免受恶意攻击,保证内部网络及系统的正常运行。

DPtech FW1000防火墙的攻击防范技术可以有效的阻止下面的网络攻击行为:IP地址欺骗攻击

为了获得访问权,入侵者生成一个带有伪造源地址的报文。对于使用基于IP地址验证的应用来说,此攻击方法可以导致未被授权的用户可以访问目的系统,甚至是以root权限来访问。即使响应报文不能达到攻击者,同样也会造成对被攻击对象的破坏。这就造成IP Spoofing攻击。

Land攻击

所谓Land攻击,就是把TCP SYN包的源地址和目标地址都配置成受害者的IP地址。这将导致受害者向它自己的地址发送SYN-ACK消息,结果这个地址又发回ACK消息并创建一个空连接,每一个这样的连接都将保留直到超时掉。各种受害者对Land攻击反应不同,许多UNIX 主机将崩溃,Windows NT主机会变的极其缓慢。

Smurf攻击

简单的Smurf攻击,用来攻击一个网络。方法是发ICMP应答请求,该请求包的目标地址配置为受害网络的广播地址,这样该网络的所有主机都对此ICMP应答请求作出答复,导致网络阻塞,这比ping大包的流量高出一或两个数量级。高级的Smurf攻击,主要用来攻击目

标主机。方法是将上述ICMP应答请求包的源地址改为受害主机的地址,最终导致受害主机雪崩。攻击报文的发送需要一定的流量和持续时间,才能真正构成攻击。理论上讲,网络的主机越多,攻击的效果越明显。Smurf攻击的另一个变体为Fraggle攻击。

Fraggle攻击

使用UDP echo和Chargen服务的smurf方式的攻击。

Teardrop攻击

构造非法的分片报文,填写不正确的分片偏移量和报文长度,使得各分片的内容有所重叠,目标机器如果处理不当会造成异常。

WinNuke攻击

WinNuke攻击通常向装有Windows系统的特定目标的NetBIOS端口(139)发送OOB

(out-of-band)数据包,引起一个NetBIOS片断重叠,致使目标主机崩溃。还有一种是IGMP 分片报文,一般情况下,IGMP报文是不会分片的,所以,不少系统对IGMP分片报文的处理有问题。如果收到IGMP分片报文,则基本可判定受到了攻击。

SYN Flood攻击

由于资源的限制,TCP/IP栈的实现只能允许有限个TCP连接。而SYN Flood攻击正是利用这一点,它伪造一个SYN报文,其源地址是伪造的、或者一个不存在的地址,向服务器发起连接,服务器在收到报文后用SYN-ACK应答,而此应答发出去后,不会收到ACK报文,造成一个半连接。如果攻击者发送大量这样的报文,会在被攻击主机上出现大量的半连接,消耗尽其资源,使正常的用户无法访问。直到半连接超时。在一些创建连接不受限制的实现里,SYN Flood具有类似的影响,它会消耗掉系统的内存等资源。

ICMP和UDP Flood攻击

短时间内用大量的ICMP消息(如ping)和UDP报文向特定目标不断请求回应,致使目标系统负担过重而不能处理合法的传输任务。

地址扫描与端口扫描攻击

运用扫描工具探测目标地址和端口,对此作出响应的表示其存在,用来确定哪些目标系统确实存活着并且连接在目标网络上,这些主机使用哪些端口提供服务。

Ping of Death攻击

IP报文的长度字段为16位,这表明一个IP报文的最大长度为65535。对于ICMP 回应请求报文,如果数据长度大于65507,就会使ICMP数据+IP头长度(20)+ICMP头长度(8)> 65535。对于有些路由器或系统,在接收到一个这样的报文后,由于处理不当,会造成系统崩溃、死机或重启。这种攻击就是利用一些尺寸超大的ICMP报文对系统进行的一种攻击。

另外,DPtech FW1000防火墙提供了对ICMP重定向报文、ICMP不可达报文、带路由记录选项IP报文、Tracert报文的控制功能,以及增强的TCP报文标志合法性检测功能,在攻击前期阶段阻止攻击分析行为。

2.3实时流量分析

对于防火墙来说,不仅要对数据流量进行监控,还要对内外部网络之间的连接发起情况进行检测,因此要进行大量的统计计算与分析。防火墙的统计分析一方面可以通过专门的分析软件对日志信息进行事后分析;另一方面,防火墙系统本身可以完成一部分分析功能,它表现在具有一定的实时性。

DPtech FW1000防火墙提供了实时的网络流量分析功能,及时发现攻击和网络蠕虫病毒

产生的异常流量。用户可以使用防火墙预先定义的流量分析模型,也可以自己定义各种协议流量的比例,连接速率阀值等参数,形成适合当前网络的分析模型。比如,用户可以指定系统的TCP连接和UDP连接总数的上限阈值和下限阈值。当防火墙系统的TCP或UDP连接个数超过设定的阈值上限后,防火墙将输出日志进行告警,而当TCP、UDP连接个数降到设定的阈值下限时,防火墙输出日志,表示连接数恢复到正常。另外,也可以指定配置不同类型的报文在正常情况下一定时间内所占的百分比以及允许的变动范围,系统定时检测收到的各类报文百分比,并和配置进行比较,如果某类型(TCP、UDP、ICMP或其他)报文百分比超过配置的上限阈值(加波动范围),则系统输出日志告警;如果某类型报文百分比低于配置的下限阈值(加波动范围),则系统输出日志告警。

Internet

?流量实时分析

实时流量分析技术可以有效的发现未知的网络蠕虫病毒造成的异常流量,可以及时通知网络管理员进行处理。并且通过DPtech FW1000防火墙的地址动态隔离技术(地址黑名单)对异常流量进行及时阻断,从而避免垃圾流量对网络带宽的拥塞。

2.4 内网地址安全

在受保护的内部网络,如何防范发自内部网络的攻击将是网络安全领域面临的一个十分重要的问题。网络内部的恶意攻击者,感染网络蠕虫病毒的主机,都是内网安全的重大威胁。在IP 协议栈中,ARP 是以太网上非常重要的一个协议。以太网网络中的主机,在互相进行IP 访问之前,都必须先通过ARP 协议来获取到目的IP 地址对应的MAC 地址。在通过路由器、三层交换机作为网关时,PC 为了把数据发送到网关,同样需要通过ARP 协议来获取网关的MAC 地址。由于ARP 协议本身不具备任何的安全性,所以留下了很多的安全漏洞。

主机欺骗:恶意的网络客户可以伪造出别的客户的ARP 报文,使希望被攻击的客户不能正常进行网络通讯。

网关伪造:恶意的网络客户可以伪造网关的ARP 应答,在ARP 应答报文中把网关的IP 对应的MAC 地址设置称自己的MAC 地址,那么,网络中所有的客户都会把数据发送到恶意网络客户的主机上。

ARP “轰炸”:恶意客户主机发出大量的不同IP 对应不同MAC 的ARP 报文,让网络中的设备ARP 表都加入最大数量的ARP 表项,导致正常的ARP 不能加入,从而中断网络流量。

通过ARP 欺骗,可以仿冒服务器

的地址进行通讯 IP IP 我是

MAC 0010 IP

DPtech FW1000防火墙通过多种方式来保护内部网络的地址安全性:

MAC和IP地址绑定:

防火墙可以根据用户的配置,在特定的IP地址和MAC地址之间形成关联关系。对于声称从这个IP发送的的报文,如果其MAC地址不是指定关系对中的地址,防火墙将予以丢弃,发送给这个IP地址的报文,在通过防火墙时将被强制发送给这个MAC地址。从而形成有效的保护,是避免IP地址假冒攻击的一种方式。这种方式通常可以在服务器区域使用,对使用固定IP地址的内部网络服务器实行强制的MAC和IP地址绑定。

ARP欺骗检查:

接收到ARP报文进行深层次的内容检查,根据ARP报文的不同类型,判断ARP协议有效载荷中的数据和承载ARP报文的以太网报文头中的对应地址信息是否相一致,如果一致,才认为是合法的ARP报文,否则认为是非法的ARP报文,不进行更新并向管理员进行报警。

ARP反向查询

在接收到一个免费的ARP报文时,针对这个IP发起ARP请求,得到的ARP应答中MAC和免费ARP中的MAC进行比较,通过则正常处理,否则进行异常处理。如果有人进行ARP伪造,在ARP请求获得的应答中,设备可以重新获得真正设备MAC地址。如果攻击者使用更智能的手段,能够处理后续的ARP请求交互过程,那么设备也能够通过接收到两个ARP应答探测到这种冲突情况的存在,及时通知管理员处理。

2.5HTTP访问控制

互联网的发展促进了信息的共享和交流,为了提高员工的工作效率和信息查询,企业等机构会向员工提供外部HTTP访问的权限。但是互联网上各种信息泛滥,如何有效的保证

员工上网,又可以防止不良信息进入内部网络是网络管理者必须解决的问题。

DPtech FW1000防火墙提供针对应用协议的访问控制能力,通过独有的ASPF 特性,对应用层协议进行分析,实现对应用协议的内容过滤。通过DPtech FW1000防火墙提供的HTTP 协议过滤提供对HTTP 网址过滤和网页内容过滤,可以有效的管理员工上网的行为,提高工作的效率,节约出口带宽,保障正常的数据流量,屏蔽各种“垃圾”信息,从而保证内部网络的“绿色环境”。

用户可以设置网址过滤需要过滤的网址列表,网址过滤列表可以保存在flash 中的网址过滤文件中。网址过滤文件中的过滤列表的格式为:

可以指定每条网址是禁止访问还是允许访问,并可以指定在网址过滤列表中没有找到的网址采取何种缺省动作(允许还是禁止),从而为用户提供最大的控制灵活性。

为了防止网页中可执行代码对内部网络造成的潜在威胁,可以指定HTTP 检测策略能够过滤掉来自外部网络服务器HTTP 报文中的Java Applets 。另外,利用web 内容过滤功能,通过指定过滤网页中的文本关键字,可以保证用户指定内容的信息不会进入内部网络。web 内容过滤文件存放在flash 中,用户可以对过滤词汇文件进行管理,包括添加、删除、清除过滤关键字。关键字过滤支持模糊查找,即允许向过滤关键字文件中添加带 “*”的关键

正常网 有害网

Internet ? 有害网站过滤 ? 网页恶意内容摘除

有害

健康

字。

web 内容过滤文件的格式为:

暴力

*赌博*

利用HTTP 协议过滤功能,可以营造企业、政府机构内部网络的安全、绿色的上网环境。

2.6 SMTP 邮件安全

在互联网不断发展的今天,电子邮件和电话、信件、传真一样,成为人们生活工作中不可或缺的一种相互交流联系的方式。但是,电子邮件带来便利的同时,也给企业和机构的内部网络带来各种安全问题。如何让电子邮件成为工作的联系手段,但又可以防止内部信息的泄密和防止发送大量其他非工作相关的邮件,是内部网络管理者必须解决的一个问题。

DPtech FW1000防火墙提供内部的邮件安全特性包括: 电子邮件地址过滤功能——在企业内部向外发送邮件时,进行地址过滤,防止向外部非法地址发送公司资料或者与工作无关的信息。该功能可以对SMTP 协议邮件地址进行过滤。Internet

SMTP 邮件

发送电子邮件通过SMTP协议进行传输,RFC821详细描述了SMTP协议细节,RFC1869规定了扩展的SMTP细节。SMTP使用TCP端口25在发送者和接收者之间进行通讯,使用规定的命令完成邮件发送功能。电子邮件地址过滤功能依据RFC协议规定完成对邮件的过滤,不受邮件发送者所使用工具的影响。

电子邮件主题过滤——在企业内部向外发送邮件时,可以根据邮件主题对邮件进行邮件主题关键字过滤。关键字过滤支持模糊查找,即允许向过滤关键字添加带“*”的关键字,对邮件标题内容进行模糊匹配。

电子邮件内容过滤——在过滤邮件时,可以对邮件正文的文本内容进行内容过滤,保证对邮件内容的监控。需要进行匹配的内容以关键字的形式指定,文本内容关键字过滤同样支持模糊查找,即允许向过滤库中的关键字添加带“*”的关键字。

通过对SMTP邮件的过滤控制,保证企业、机构中不会出现邮件泄密的问题。而且,通过对邮件内容的控制,可以防止携带非法内容、病毒程序的电子邮件扩散。

2.7邮件告警

随着网络技术的普及,出现在网络中的攻击手段越来越多,以及网络蠕虫病毒的出现,对于内部网络保护的迫切性日益突出。虽然防火墙技术、反病毒技术也不断取得突破,但是当防范设备发现一些未知,不能确定的网络攻击时,如果不能非常及时的通知网络管理员进行处理,那么很可能对网络造成巨大的损失。特别是对于网络蠕虫病毒来说,随着时间的推移,感染的主机以及造成的损失会呈指数增长。

DPtech FW1000防火墙不但提供系统日志,日志主机等告警方式,而且提供实时邮件告警技术。为了提醒管理员网络中发生的各种攻击情况,DPtech FW1000防火墙支持以电子邮件的形式把攻击日志通知管理员。通过流量分析功能,邮件中还有详细的网络流量分析结

果,可以供管理员进行网络优化。邮件发送可以使用两种方式,一种是实时发送,一旦检测到攻击行为,立即发送邮件到指定的邮件地址;另外一种是在指定的每日固定时间定期发送告警邮件。

通过邮件告警功能可以实现对于可以检测出来的已知攻击方式,在实时阻断的同时,会向预先指定的一个或者多个邮箱发送告警邮件,在第一时间通知网络管理者。对于未知蠕虫病毒造成异常流量等,通过DPtech FW1000防火墙的实时流量分析发现以后,立即通过电子电子邮件向预先指定的一个或者多个邮箱发送告警邮件通知网络管理者及时处理。2.8二进制日志

日志特性能够将系统消息或包过滤的动作等存入缓冲区或定向发送到日志主机上。对日志内容的分析和归档,能够使管理员检查防火墙的安全漏洞、什么时候有什么人试图违背安全策略、网络攻击的类型,实时的日志记录还可以用来检测正在进行的入侵。DPtech FW1000防火墙统一考虑各种攻击、事件,将它们的各种日志输出格式、统计信息等内容进行规范,从而保证了日志风格的统一和日志功能的严肃性。

DPtech FW1000防火墙包括以下几种日志信息:

? NAT/ASPF日志

? 攻击防范日志

? 流量监控日志

? 黑名单日志

? 地址绑定日志

邮件过滤日志

网址/内容过滤日志

对于上述这些日志,根据日志输出方式的不同可以分为二进制流日志、Syslog 日志两种,日志信息可以通过多种方式进行输出和保存。

攻击防范、流量监控、黑名单和地址绑定产生的日志信息量小,因此采用SysLog 方式以文本格式进行输出。这些日志信息必须通过DPtech FW1000防火墙的信息中心进行日志管理和输出重定向,或者显示在终端屏幕上,或将SysLog 日志发送给日志主机进行存储和分析。

相反,NAT/ASPF 产生的日志信息量很大,因此对于这种类型的流提供了一种“二进制”输出方式,直接输出到日志服务器上以便对日志进行存储和分析。和SysLog 方式相比,二进制流日志的传输效率高,而且节约存储空间。

2.9 管理功能

网络安全技术收到越来越多的重视,防火墙设备的应用也越来越多。向设备管理者提供简单快捷,易于部署的多种管理方式是防火墙必须具备的功能。DPtech FW1000防火墙提Internet 监

日志主机 日志缓冲 控

控制台

监控终端

供了多种管理方式,向用户提供最大的设备管理便利性。用户可以通过命令行视图、SNMP 管理、WEB管理来对防火墙进行统一管理和监控。

系统向用户提供一系列配置命令以及命令行接口,用户通过该接口可以配置和管理防火墙。命令行接口有如下特性:

通过Console口进行本地配置

通过AUX口进行本地或远程配置

通过Telnet、SSH进行本地或远程配置

提供User-interface视图,管理各种终端用户的特定配置

命令分级保护,不同级别的用户只能执行相应级别的命令

通过本地、AAA验证方式,确保系统的安全

提供联机帮助,用户可以随时键入“?”获得相关信息

提供网络测试命令,如tracert、ping等,迅速诊断网络是否正常

提供种类丰富、内容详尽的调试信息,帮助诊断网络故障

提供FTP服务,方便用户上载、下载文件

提供类似Doskey的功能,可以执行某条历史命令

命令行解释器提供不完全匹配和上下文关联等多种智能命令解析方法

另外,DPtech FW1000防火墙支持SSH,保证管理过程的安全性。SSH是Secure Shell

(安全外壳)的简称,用户通过一个不能保证安全的网络环境远程登录到安全网关时,SSH 特性可以提供安全保障和强大的认证功能,以保护安全网关不受诸如IP地址欺诈、明文密码截取等等的攻击。安全网关可以接受多个SSH客户的连接。SSH客户端的功能是允许用户与支持SSH Server的安全网关、UNIX主机等建立SSH连接。

简单网络管理协议(Simple Network Management Protocol,简称SNMP),是被广泛接受并投入使用的工业标准,它的目标是保证管理信息在任意两点间传送,便于网络管理员在网络上的任何节点检索信息,进行修改,寻找故障,完成故障诊断,容量规划和报告生成。它采用轮询机制,提供最基本的功能集。适合小型、快速和低价格的环境使用。它只要求无证实的传输层协议UDP,受到业界产品的广泛支持。DPtech FW1000防火墙支持标准网管SNMP v2以及访问机制更安全的SNMP v3,可以和业界标准的网管平台集成管理。2.10工作模式

DPtech FW1000防火墙能够工作在两种模式下:路由模式、透明模式。如果防火墙以第三层对外连接(接口具有IP地址),则认为防火墙工作在路由模式下;若防火墙通过第二层对外连接(接口无IP地址),则防火墙工作在透明模式下。

路由模式

当DPtech FW1000防火墙位于内部网络和外部网络之间时,需要将防火墙与内部网络、外部网络以及DMZ三个区域相连的接口分别配置成不同网段的IP地址,重新规划原有的网络拓扑,此时相当于一台路由器。在下图中,DPtech FW1000防火墙的Trust区域接口与公司内部网络相连,Untrust区域接口与外部网络相连。值得注意的是,Trust区域接口和Untrust 区域接口分别处于两个不同的子网中。

路由模式需要对网络拓扑进行修改(内部网络用户需要更改网关、路由器需要更改路由配置等),因此在使用该模式时需权衡利弊。

透明模式

如果DPtech FW1000防火墙采用透明模式进行工作,则可以避免改变拓扑结构造成的麻烦,此时防火墙对于子网用户和路由器来说是完全透明的。也就是说,用户完全感觉不到防火墙的存在。采用透明模式时,只需在网络中直接插入DPtech FW1000防火墙设备即可,无需修改任何已有的配置。与路由模式相同,IP 报文同样经过相关的过滤检查(但是IP 报文中的源或目的地址不会改变),内部网络用户依旧受到防火墙的保护。

在上图中,DPtech FW1000防火墙的Trust 区域接口与公司内部网络相连,Untrust 区域接口与外部网络相连,需要注意的是内部网络和外部网络必须处于同一个子网。

Internet

Untrust 区域

Trust 区域 内部网络 SecPath

Internet 10.1.1.0/2

Untrust 区域

Trust 区域 内部网络

SecPath

3组网应用

3.1出口保护

DPtech FW1000防火墙部署在内部网络的出口,防范来自外部网络的各种攻击:

DPtech FW1000防火墙支持多出口配置,分别接入互联网和远端分支机构,并使用不同级别的安全策略保护内部网络。

3.2内部隔离

在企业、机构的重要部门或者关键数据中心部署DPtech FW1000防火墙,保证重要数据的安全:

Internet

重要部门

对外服务

Untrust区

服务器

敏感主机普通主机

Internet

对外服务器

Untrust区域

Trust区域

专线分支

内部网络

DMZ区域

通过DPtech FW1000防火墙强大的访问控制以及内网安全特性,在要求高安全性的内部网络保证机密数据的合法访问,并且通过分级的策略控制,实现内部网络的分级安全保障。

迪普防火墙专业技术白皮书

迪普防火墙技术白皮书

————————————————————————————————作者:————————————————————————————————日期:

迪普FW1000系列防火墙 技术白皮书 1 概述 随着网络技术的普及,网络攻击行为出现得越来越频繁。通过各种攻击软件,只要具有一般计算机常识的初学者也能完成对网络的攻击。各种网络病毒的泛滥,也加剧了网络被攻击的危险。目前,Internet网络上常见的安全威胁分为以下几类: 非法使用:资源被未授权的用户(也可以称为非法用户)或以未授权方式(非法权限)使用。例如,攻击者通过猜测帐号和密码的组合,从而进入计算机系统以非法使用资源。 拒绝服务:服务器拒绝合法用户正常访问信息或资源的请求。例如,攻击者短时间内使用大量数据包或畸形报文向服务器不断发起连接或请求回应,致使服务器负荷过重而不能处理合法任务。 信息盗窃:攻击者并不直接入侵目标系统,而是通过窃听网络来获取重要数据或信息。 数据篡改:攻击者对系统数据或消息流进行有选择的修改、删除、延误、重排序及插入虚假消息等操作,而使数据的一致性被破坏。

?基于网络协议的防火墙不能阻止各种攻 击工具更加高层的攻击 ?网络中大量的低安全性家庭主机成为攻 击者或者蠕虫病毒的被控攻击主机 ?被攻克的服务器也成为辅助攻击者 Internet 目前网络中主要使用防火墙来保证内部网路的安全。防火墙类似于建筑大厦中用于防止 火灾蔓延的隔断墙,Internet防火墙是一个或一组实施访问控制策略的系统,它监控可信任 网络(相当于内部网络)和不可信任网络(相当于外部网络)之间的访问通道,以防止外部 网络的危险蔓延到内部网络上。防火墙作用于被保护区域的入口处,基于访问控制策略提供 安全防护。例如:当防火墙位于内部网络和外部网络的连接处时,可以保护组织内的网络和 数据免遭来自外部网络的非法访问(未授权或未验证的访问)或恶意攻击;当防火墙位于组 织内部相对开放的网段或比较敏感的网段(如保存敏感或专有数据的网络部分)的连接处时, 可以根据需要过滤对敏感数据的访问(即使该访问是来自组织内部)。 防火墙技术经历了包过滤防火墙、代理防火墙、状态防火墙的技术演变,但是随着各种 基于不安全应用的攻击增多以及网络蠕虫病毒的泛滥,传统防火墙面临更加艰巨的任务,不 但需要防护传统的基于网络层的协议攻击,而且需要处理更加高层的应用数据,对应用层的 攻击进行防护。对于互联网上的各种蠕虫病毒,必须能够判断出网络蠕虫病毒的特征,把网 络蠕虫病毒造成的攻击阻挡在安全网络之外。从而对内部安全网络形成立体、全面的防护。

DPtech FW1000系列防火墙系统维护手册

DPtech FW1000维护手册 杭州迪普科技有限公司 2012年01月

目录 DPtech FW1000维护手册 (1) 第1章常见维护事项 (1) 1.1系统基本维护 (1) 1.2日常故障维护 (1) 1.3数据备份管理 (1) 1.4补丁升级管理 (2) 第2章应急处理方案 (4) 2.1运输导致设备无法启动 (4) 2.2互联网访问异常 (4) 2.3集中管理平台无相关日志 (4) 2.4设备工作不正常 (5) 2.5IPSEC-VPN无法正常建立 (5) 2.6访问内网服务器异常 (5) 2.7新加入的设备,内网无法上网 (5) 2.8个别内网地址无法上网 (6) 2.9映射内网服务器访问不了 (6) 2.10用户访问网站慢 (6) 第3章功能项 (7) 3.1用户名/密码 (7) 3.2管理员 (7) 3.3WEB访问 (7) 3.4接口状态 (8) 3.5数据互通 (8) 3.6日志信息 (8) 第4章其他 (10) 4.1注册与申请 (10) 4.2升级与状态 (10) 第5章FAQ (13) 5.1入门篇 (13) 5.2进阶篇 (14)

第1章常见维护事项 1.1 系统基本维护 防火墙应该指派专人管理、维护,管理员的口令要严格保密,不得泄露 防火墙管理员应定期查看统一管理中心(UMC)和防火墙的系统资源(包括内存/CPU/外存),确认运行状况是否正常 防火墙管理员应定期检查“严重错误”以上级别的系统日志,发现防火墙的异常运行情况 防火墙管理员应定期检查操作日志,确认是否有异常操作(修改、添加、删除策略,删除日志等)、异常登录(非管理员登陆记录、多次登陆密码错误),对此应立即上报并修改密码 防火墙管理员应定期检查和分析自动生成的报表,对报表中的可疑事件进行追踪(例如部分时间段异常攻击等),并出具安全运行报告 防火墙管理帐号用户名:admin,初始口令admin,首次使用需修改,并备份 统一管理中心服务器需要按时进行操作系统的补丁升级和杀毒软件的病毒库升级1.2 日常故障维护 统一管理中心服务器无法登录,请检查能否PING通统一管理中心服务器,其相关服务(UMC数据库服务、UMC Web服务、UMC后台服务)是否启动,管理端口80是否一致 统一管理中心服务器上网络流量快照或FW日志无法生成,先检查端口9502、9516、9514是否开放,防火墙的日志发送配置是否正确,再用抓包工具检查防火墙是否发送日志 防火墙无法登录,请检查防火墙的IP是否可以Ping通,同时检测端口80是否开放1.3 数据备份管理 统一管理中心服务器系统安装后要先进行完全备份 统一管理中心服务器管理员应定期将备份的数据导入到指定的备份机或刻盘存储

防火墙攻击防范技术白皮书

防火墙攻击防范技术白皮书

关键词:攻击防范,拒绝服务 摘要:本文主要分析了常见的网络攻击行为和对应的防范措施,并且介绍了H3C防火墙攻击防范的主要特色和典型组网应用。

目录 1 概述 (3) 1.1 产生背景 (3) 1.2 技术优点 (4) 2 攻击防范技术实现 (4) 2.1 ICMP 重定向攻击 (4) 2.2 ICMP 不可达攻击 (4) 2.3 地址扫描攻击 (5) 2.4 端口扫描攻击 (5) 2.5 IP 源站选路选项攻击 (6) 2.6 路由记录选项攻击 (6) 2.7 Tracert 探测 (7) 2.8 Land 攻击 (7) 2.9 Smurf 攻击 (8) 2.10 Fraggle 攻击 (8) 2.11 WinNuke 攻击 (8) 2.12 SYN Flood 攻击 (9) 2.13 ICMP Flood 攻击. (9) 2.14 UDP Flood 攻击 (10) 3 H3C 实现的技术特色 (10) 4 典型组网应用 (11) 4.1 SYN Flood 攻击防范组网应用. (11)

1 概述 攻击防范功能是防火墙的重要特性之一,通过分析报文的内容特征和行为特征判断报文是否具有攻 击特性,并且对攻击行为采取措施以保护网络主机或者网络设备。 防火墙的攻击防范功能能够检测拒绝服务型( Denial of Service ,DoS )、扫描窥探型、畸形报 文型等多种类型的攻击,并对攻击采取合理的防范措施。攻击防范的具体功能包括黑名单过滤、报 文攻击特征识别、流量异常检测和入侵检测统计。 1.1 产生背景 随着网络技术的普及,网络攻击行为出现得越来越频繁。另外,由于网络应用的多样性和复杂性, 使得各种网络病毒泛滥,更加剧了网络被攻击的危险。 目前,Internet 上常见的网络安全威胁分为以下三类: DoS 攻击 DoS 攻击是使用大量的数据包攻击目标系统,使目标系统无法接受正常用户的请求,或者使目标 主机挂起不能正常工作。主要的DoS攻击有SYN Flood、Fraggle等。 DoS攻击和其它类型的攻击不同之处在于,攻击者并不是去寻找进入目标网络的入口,而是通过 扰乱目标网络的正常工作来阻止合法用户访问网络资源。 扫描窥探攻击 扫描窥探攻击利用ping扫描(包括ICMP和TCP )标识网络上存在的活动主机,从而可以准确地 定位潜在目标的位置;利用TCP和UDP端口扫描检测出目标操作系统和启用的服务类型。攻击 者通过扫描窥探就能大致了解目标系统提供的服务种类和潜在的安全漏洞,为进一步侵入目标系统 做好准备。 畸形报文攻击 畸形报文攻击是通过向目标系统发送有缺陷的IP报文,如分片重叠的IP报文、TCP 标志位非法的报文,使得目标系统在处理这样的IP报文时崩溃,给目标系统带来损 失。主要的畸形报文攻击有Ping of Death 、Teardrop 等。 在多种网络攻击类型中,DOS攻击是最常见的一种,因为这种攻击方式对攻击技能 要求不高,攻击者可以利用各种开放的攻击软件实施攻击行为,所以DoS 攻击的威 胁逐步增大。成功的DoS攻击会导致服务器性能急剧下降,造成正常客户访问失败;同时,提供 服务的企业的信誉也会蒙受损失,而且这种危害是长期性的。 防火墙必须能够利用有效的攻击防范技术主动防御各种常见的网络攻击,保证网络在遭受越来越频

迪普防火墙技术白皮书 (1)

迪普FW1000系列防火墙 技术白皮书 1概述 随着网络技术的普及,网络攻击行为出现得越来越频繁。通过各种攻击软件,只要具有一般计算机常识的初学者也能完成对网络的攻击。各种网络病毒的泛滥,也加剧了网络被攻击的危险。目前,Internet网络上常见的安全威胁分为以下几类: 非法使用:资源被未授权的用户(也可以称为非法用户)或以未授权方式(非法权限)使用。例如,攻击者通过猜测帐号和密码的组合,从而进入计算机系统以非法使用资源。 拒绝服务:服务器拒绝合法用户正常访问信息或资源的请求。例如,攻击者短时间内使用大量数据包或畸形报文向服务器不断发起连接或请求回应,致使服务器负荷过重而不能处理合法任务。 信息盗窃:攻击者并不直接入侵目标系统,而是通过窃听网络来获取重要数据或信息。 数据篡改:攻击者对系统数据或消息流进行有选择的修改、删除、延误、重排序及插入虚假消息等操作,而使数据的一致性被破坏。

?基于网络协议的防火墙不能阻止各种 攻击工具更加高层的攻击 ?网络中大量的低安全性家庭主机成为 攻击者或者蠕虫病毒的被控攻击主机 ?被攻克的服务器也成为辅助攻击者 Internet 止火灾蔓延的隔断墙,Internet防火墙是一个或一组实施访问控制策略的系统,它监控可信任网络(相当于内部网络)和不可信任网络(相当于外部网络)之间的访问通道,以防止外部网络的危险蔓延到内部网络上。防火墙作用于被保护区域的入口处,基于访问控制策略提供安全防护。例如:当防火墙位于内部网络和外部网络的连接处时,可以保护组织内的网络和数据免遭来自外部网络的非法访问(未授权或未验证的访问)或恶意攻击;当防火墙位于组织内部相对开放的网段或比较敏感的网段(如保存敏感或专有数据的网络部分)的连接处时,可以根据需要过滤对敏感数据的访问(即使该访问是来自组织内部)。 防火墙技术经历了包过滤防火墙、代理防火墙、状态防火墙的技术演变,但是随着各种基于不安全应用的攻击增多以及网络蠕虫病毒的泛滥,传统防火墙面临更加艰巨的任务,不但需要防护传统的基于网络层的协议攻击,而且需要处理更加高层的应用数据,对应用层的攻击进行防护。对于互联网上的各种蠕虫病毒,必须能够判断出网络蠕虫病毒的特征,把网络蠕虫病毒造成的攻击阻挡在安全网络之外。从而对内部安全网络形成立体、全面的

华为USG6000系列防火墙产品技术白皮书(总体)

华为USG6000系列下一代防火墙技术白皮书 文档版本V1.1 发布日期2014-03-12

版权所有? 华为技术有限公司2014。保留一切权利。 非经本公司书面许可,任何单位和个人不得擅自摘抄、复制本文档内容的部分或全部,并不得以任何形式传播。 商标声明 和其他华为商标均为华为技术有限公司的商标。 本文档提及的其他所有商标或注册商标,由各自的所有人拥有。 注意 您购买的产品、服务或特性等应受华为公司商业合同和条款的约束,本文档中描述的全部或部分产品、服务或特性可能不在您的购买或使用范围之内。除非合同另有约定,华为公司对本文档内容不做任何明示或暗示的声明或保证。 由于产品版本升级或其他原因,本文档内容会不定期进行更新。除非另有约定,本文档仅作为使用指导,本文档中的所有陈述、信息和建议不构成任何明示或暗示的担保。 华为技术有限公司 地址:深圳市龙岗区坂田华为总部办公楼邮编:518129 网址:https://www.sodocs.net/doc/0417604904.html, 客户服务邮箱:ask_FW_MKT@https://www.sodocs.net/doc/0417604904.html, 客户服务电话:4008229999

目录 1 概述 (1) 1.1 网络威胁的变化及下一代防火墙产生 (1) 1.2 下一代防火墙的定义 (1) 1.3 防火墙设备的使用指南 (2) 2 下一代防火墙设备的技术原则 (1) 2.1 防火墙的可靠性设计 (1) 2.2 防火墙的性能模型 (2) 2.3 网络隔离 (3) 2.4 访问控制 (3) 2.5 基于流的状态检测技术 (3) 2.6 基于用户的管控能力 (4) 2.7 基于应用的管控能力 (4) 2.8 应用层的威胁防护 (4) 2.9 业务支撑能力 (4) 2.10 地址转换能力 (5) 2.11 攻击防范能力 (5) 2.12 防火墙的组网适应能力 (6) 2.13 VPN业务 (6) 2.14 防火墙管理系统 (6) 2.15 防火墙的日志系统 (7) 3 Secospace USG6000系列防火墙技术特点 (1) 3.1 高可靠性设计 (1) 3.2 灵活的安全区域管理 (6) 3.3 安全策略控制 (7) 3.4 基于流会话的状态检测技术 (9) 3.5 ACTUAL感知 (10) 3.6 智能策略 (16) 3.7 先进的虚拟防火墙技术 (16) 3.8 业务支撑能力 (17) 3.9 网络地址转换 (18)

迪普科技-DNS负载均衡技术白皮书

ADX产品DNS负载均衡功能 杭州迪普科技有限公司 Hangzhou DPtech Technologies Co., Ltd

目录 1 前言: (3) 2 概述 (3) 3 功能分析 (3) 3.1 DNS解析实现流程: (3) 3.2 多链路环境下的负载均衡应用: (4) 3.2.1 Inbound(源负载均衡): (4) 3.2.2 就近性(RTT算法): (4) 3.2.3 目的负载均衡: (5) 3.3 多服务器环境下的负载均衡应用: (5) 3.3.1 DNS重定向: (6) 3.3.2 地理分布算法: (6) 3.3.3 全局负载均衡: (7)

1前言: 随着服务器负载均衡和链路负载均衡技术的日益发展,人们的关注点大多集中在了链路和服务器存在瓶颈和冗余性的问题,而DNS负载均衡技术为解决这一问题提供了更多、更灵活的解决思路。 2概述 DNS 是域名系统(Domain Name System) 的缩写,是一种组织成域层次结构的计算机和网络服务命名系统。DNS 命名用于TCP/IP 网络,如Internet,用来通过用户友好的名称定位计算机和服务。当用户在应用程序中输入DNS 名称时,DNS 服务可以将此名称解析为与此名称相关的其他信息,如IP 地址。 在链路方面,为解决单一链路所带了的网络单点故障以及脆弱性和国内所存在跨运营商的问题的,目前大部分的企业都部署了多条互联网链路,来提升网络链路的可靠性。传统的多链路接入依靠复杂的设计,解决了一些接入链路存在单点故障的问题。但是,它远远没有把多链路接入的巨大优势发挥出来。链路负载均衡技术即通过对这些链路的管理,以使其达到最大利用率。 在服务器方面,由于用户访问量的增大,使得单一的网络服务设备已经不能满足需要了,由此需要引入服务器的负载平衡,实现客户端同时访问多台同时工作的服务器,实现动态分配每一个应用请求到后台的服务器,并即时按需动态检查各个服务器的状态,根据预设的规则将请求分配给最有效率的服务器。实现数据流合理的分配,使每台服务器的处理能力都能得到充分的发挥,扩展应用系统的整体处理能力,提高应用系统的整体性能,改善应用系统的可用性和可用性,降低IT投资。 服务器负载均衡技术在现有网络结构之上能够提供一种廉价、有效、透明的方法,来扩展网络设备和服务器的带宽、增加吞吐量、加强网络数据处理能力、提高网络的灵活性和可用性。 而DNS负载均衡技术是一种全局的负载均衡,当客户通过域名系统对厂商服务器进行访问时,DNS利用对域名的解析,根据链路或者服务器的状态将不同的目的ip返回给客户,以达到让用户通过指定的链路访问,或者与指定的服务器进行交互。从一定程度上完善了服务器负载均衡和链路负载均衡。 3功能分析 3.1DNS解析实现流程: ADX设备需要用户将域名的解析功能导向到ADX设备上,由设备来进行域名的解析。举个例子来说,当用户远程通过域名访问对外发布网站时,逐步通过远程用户的本地DNS 服务器、根DNS服务器,最终由ADX设备来进行域名的解析。然后ADX设备就会通过负载均衡调度算法,选择最优的线路或者服务器,然后将域名解析成相应的IP地址,返回

防火墙系统(NSG系列)技术白皮书

目录 1产品概述 (1) 2产品特色 (2) 2.1灵活的管理接口 (2) 2.2管理员权限分权分立 (2) 2.3安全隔离的虚拟系统 (3) 2.3.1一机多用,节省投资 (3) 2.3.2灵活配置,方便管理 (3) 2.3.3业务隔离,互不影响 (3) 2.4全面的IPv6Ready能力 (4) 2.4.1IPv4/IPv6双栈 (4) 2.4.2跨栈隧道方案 (5) 2.5多层次可靠性保证,整机可靠性高 (7) 2.5.1硬件可靠性 (7) 2.5.2整机可靠性 (10) 2.5.3系统可靠性 (16) 2.5.4链路可靠性 (16) 2.6智能DNS解析 (22) 2.7地理位置识别(国内+国际) (22) 2.8全面、智能的路由功能 (22) 2.8.1全面的路由功能 (22) 2.8.2精确的多出口ISP路由智能选路 (22) 2.8.3对称路由保证来回路径一致 (23) 2.8.4高适应性的路由负载均衡算法 (23) 2.9一体化的安全策略 (23) 2.10全面的SSL解密防护 (23) 2.10.1SSL解密防护 (23) 2.10.2SSL入站检查 (24) 2.11丰富的VPN隧道类型 (24) 2.12强大的动态QoS功能 (24)

2.13持续关注重点应用/URL (24) 2.14深度安全检测及DLP,保护网络安全 (25) 2.14.1概述 (25) 2.14.2全面的应用层攻击防护能力 (25) 2.14.3先进的多维动态特征异常检测引擎 (26) 2.14.4灵活的自定义漏洞/间谍软件特征功能 (26) 2.14.5多维度的DLP数据防泄漏 (26) 2.14.6强大的威胁情报渗透 (27) 2.15多系统联动防护,构建立体式防护体系 (27) 2.15.1防火墙和终端系统联动 (28) 2.15.2防火墙和天眼系统联动 (29) 2.15.3防火墙和NGSOC系统联动 (29) 2.15.4防火墙和天御云系统联动 (30) 2.15.5防火墙和ITS系统联动 (30) 2.16应用及流量可视化,网络行为无所遁形 (32) 2.16.1概述 (32) 2.16.2大容量、多维度日志 (33) 2.16.3多样化的日志检索方式 (33) 2.16.4全方位风险信息展示及分析 (33) 2.16.5强大的内容审计策略 (34) 2.17自动化应急响应功能 (34) 3技术优势 (35) 3.1采用第四代SecOS系统 (35) 3.2整体框架采用AMP+并行处理架构 (35) 3.3优化的AMP+架构突破传统SMP架构瓶颈 (36) 3.4更优化的网口数据收发处理 (38) 3.5单引擎一次性数据处理技术 (39) 3.6多级冗余架构提高防火墙可靠性 (39) 3.7云端协同扩展精确定位威胁 (40) 3.8基于NDR安全体系的未知威胁闭环防御 (40) 4应用场景 (42) 4.1企业互联网边界安全应用场景 (42) 4.1.1典型场景 (42) 4.1.2痛点和优势 (43) 4.2行业专网网络安全应用场景 (44) 4.2.1典型场景 (44) 4.2.2痛点和优势 (45) 4.3数据中心出口安全应用场景 (46) 4.3.1典型场景 (46)

SecPath虚拟防火墙技术白皮书

SecPath 虚拟防火墙技术白皮书

关键词:虚拟防火墙MPLS VPN 摘要:本文介绍了H3C 公司虚拟防火墙技术和其应用背景。描述了虚拟防火墙的功能特色,并介绍了H3C 公司具备虚拟防火墙功能的独立防火墙和防火墙插板产品的组网环境应用。 缩略语清单:

目录 1 概述 (3) 1.1 新业务模型产生新需求 (3) 1.2 新业务模型下的防火墙部署 (3) 1.2.1 传统防火墙的部署缺陷 (3) 1.2.2 虚拟防火墙应运而生 (4) 2 虚拟防火墙技术 (5) 2.1 技术特点 (5) 2.2 相关术语 (6) 2.3 设备处理流程 (7) 2.3.1 根据入接口数据流 (7) 2.3.2 根据Vlan ID数据流 (7) 2.3.3 根据目的地址数据流 (8) 3 典型组网部署方案 (8) 3.1 虚拟防火墙在行业专网中的应用 (8) 3.1.1 MPLS VPN组网的园区中的虚拟防火墙部署一 (9) 3.1.2 MPLS VPN组网的园区中的虚拟防火墙部署二 (10) 3.1.3 虚拟防火墙提供对VPE的安全保护 (10) 3.2 企业园区网应用 (11) 4 总结 (12)

1 概述 1.1 新业务模型产生新需求 目前,跨地域的全国性超大企业集团和机构的业务规模和管理复杂度都在急剧的增 加,传统的管理运营模式已经不能适应其业务的发展。企业信息化成为解决目前业 务发展的关键,得到了各企业和机构的相当重视。现今,国内一些超大企业在信息 化建设中投入不断增加,部分已经建立了跨地域的企业专网。有的企业已经达到甚 至超过了IT-CMM3 的级别,开始向IT-CMM4 迈进。 另一方面,随着企业业务规模的不断增大,各业务部门的职能和权责划分也越来越 清晰。各业务部门也初步形成了的相应不同安全级别的安全区域,比如,OA 和数据中 心等。由于SOX 等法案或行政规定的颁布应用,各企业或机构对网络安全的重视程 度也在不断增加。对企业重点安全区域的防护要求越来越迫切。 因此,对企业信息管理人员来说,如何灵活方便的实现企业各业务部门的安全区域 划分和安全区域之间有控制的互访成为其非常关注的问题。这也对安全区域隔离“利 器”――防火墙提出了更高的要求。 1.2 新业务模型下的防火墙部署 目前许多企业已经建设起自己的MPLS VPN 专网,例如电力和政务网。下面我们以 MPLS VPN 组网为例介绍在新的业务模型下防火墙的如何实现对各相互独立的业务 部门进行各自独立的安全策略部署呢? 1.2.1 传统防火墙的部署缺陷 面对上述需求,业界通行的做法是在园区各业务VPN 前部署防火墙来完成对各部门 的安全策略部署实现对部门网络的访问控制。一般部署模式如下图所示:

DPtechFW系列防火墙系统操作手册

DPtech FW1000操作手册 杭州迪普科技有限公司 2011年10月

目录

第1章组网模式 1.1 组网模式1-透明模式 组网应用场景 ?需要二层交换机功能做二层转发 ?在既有的网络中,不改变网络拓扑,而且需要安全业务 ?防火墙的不同网口所接的局域网都位于同一网段 特点 ?对用户是透明的,即用户意识不到防火墙的存在 ?部署简单,不改变现有的网络拓扑,无需更改其他网络设备的配置?支持各类安全特性:攻击防护、包过滤、应用识别及应用访问控制等配置要点 ?接口添加到相应的域 ?接口为二层接口,根据需要,配置接口类型为ACCESS或TRUNK

?接口配置VLAN属性 ?必须配置一个vlan-ifxxx的管理地址,用于设备管理 1.2 组网模式2-路由模式 组网应用场景 ?需要路由功能做三层转发 ?需要共享Internet接入 ?需要对外提供应用服务 ?需要使用虚拟专用网 特点 ?提供丰富的路由功能,静态路由、RIP、OSPF等 ?提供源NAT支持共享Internet接入 ?提供目的NAT支持对外提供各种服务 ?支持各类安全特性:攻击防护、包过滤、应用识别及应用访问控制等?需要使用WEB认证功能 配置要点

?接口添加到相应的域 ?接口工作于三层接口,并配置接口类型 ?配置地址分配形式静态IP、DHCP、PPPoE 1.3 组网模式3-混合模式 组网应用场景 ?需结合透明模式及路由模式 特点 ?在VLAN内做二层转发 ?在VLAN间做三层转发 ?支持各类安全特性:攻击防护、包过滤、应用识别及应用访问控制等配置要点 ?接口添加到相应的域 ?接口为二层接口,根据需要,配置接口类型为ACCESS或TRUNK ?接口配置VLAN属性 ?添加三层接口,用于三层转发 ?配置一个vlan-ifxxx的地址,用于三层转发

迪普科技-负载均衡技术白皮书

负载均衡技术白皮书 负载均衡技术白皮书 关键词:负载均衡,服务器,链路,连接复用,HTTP安全防护,SLB,LLB, 摘要:本文介绍了负载均衡技术的应用背景,描述了负载均衡技术的实现与运行机制,并简单介绍了迪普科技负载均衡技术在实际环境中的应用。 缩略语: 目录 1 负载均衡技术概述 (4)

负载均衡技术白皮书 1.1 负载均衡技术背景 (4) 1.1.1 服务器负载均衡技术背景 (4) 1.1.2 网关负载均衡技术背景 (5) 1.1.3 链路负载均衡技术背景 (6) 1.2 负载均衡技术优点分析 (6) 2 负载均衡具体技术实现 (7) 2.1 负载均衡相关概念介绍 (7) 2.2 服务器负载均衡基本概念和技术 (8) 2.2.1 NAT方式的服务器负载均衡 (8) 2.2.2 DR方式的服务器负载均衡 (10) 2.3 网关负载均衡基本概念和技术 (12) 2.4 服务器负载均衡和网关负载均衡融合 (14) 2.5 链路负载均衡基本概念和技术 (14) 2.5.1 Outbound链路负载均衡 (14) 2.5.2 Inbound链路负载均衡 (16) 2.6 负载均衡设备的双机热备 (18) 2.7 负载均衡设备的的部署方式 (19) 2.7.1 对称方式 (19) 2.7.2 单臂模式 (20) 3 迪普科技负载均衡技术特色 (21) 3.1 多种负载均衡调度算法 (21) 3.1.1 静态调度算法 (21) 3.1.2 动态调度算法 (22) 3.2 灵活的就近性算法 (23) 3.3 多种健康性检测方法 (23) 3.4 多种会话持续性功能 (24) 3.4.1 具有显式关联关系持续性功能 (25) 3.4.2 具有隐式关联关系持续性功能 (25) 3.5 4~7层的负载均衡 (25) 3.6 多种HTTP安全防护策略 (26) 3.7 连接复用功能 (27) 3.8 HTTP压缩功能 (27) 4 典型组网应用实例 (27) 4.1 企业园区网应用 (27)

DPtech NAT技术白皮书

DPtech NAT技术白皮书 杭州迪普科技有限公司 2013年8月

目录 1、概述3 2、迪普科技专业NAT技术3 2.1源NAT 3 2.2目的NAT 4 2.3一对一NAT 5 2.4 NAT stick功能5 2.5对称NAT 6 2.6圆锥NAT 7 2.7端口块NAT 9 2.8 NAT64与DS-Lite 10 2.9 Session级NAT 12 2.10 NAT会话管理与溯源12 2.11 NAT ALG 13

1、概述 随着Internet的发展和网络应用的增多,IPv4地址枯竭已成为制约网络发展的瓶颈,尽管IPv6可以从根本上解决IPv4地址空间不足问题,但目前众多网络设备和网络应用大多是基于IPv4的。同时对于国内各大运营商而言,随着业务的深入开展,互联网用户数也不断增多,IP地址资源已经严重匮乏,是IPv4网络发展面临的最紧迫问题。因此在IPv6广泛应用之前,采用NAT(Network Address Translation)技术是解决这个问题最主要、最有效的技术手段。 NAT技术作为一种过渡方案,采用地址复用的方法来满足IP地址的需要,可以在一定程度上缓解IP地址空间枯竭的压力。对于内部访问可以利用私网IP 地址,如果需要与外部通信或访问外部资源,NAT网关会用一个合法的公网IP 地址替换原报文中的源IP地址,并对这种转换进行记录;之后,当报文从外网返回时,NAT网关查找原有的记录,将报文的目的地址再替换回原来的私网地址,并送回发出请求的主机。对于一般用户而言,与普通的网络访问并没有任何的区别。 2、迪普科技专业NAT技术 迪普科技NAT解决方案可支持多种NAT技术,可满足各种城域网、IDC、园区网等多种组网的需求。 2.1源地址NAT 源地址NAT方式属于多对一的地址转换,它通过使用“IP地址+端口号”的形式进行转换,使多个私网用户可共用一个公网IP地址访问外网,因此是地址转换实现的主要形式,也称作NAPT。

DPtech防火墙技术白皮书

DPtech FW1000系列防火墙 技术白皮书 杭州迪普科技有限公司 2013年8月

目录 1、概述3 2、产品简介3 3、迪普科技防火墙特色技术4 3.1DPtech FW1000防火墙数据转发流程4 3.2丰富的网络特性5 3.3大策略下的高性能、低时延处理能力6 3.4攻击防范技术(IPv4/IPv6)7 3.5防火墙高可靠性9 3.6防火墙全面VPN支持11 3.7防火墙虚拟化技术13 3.7.1虚拟防火墙技术13 3.7.2VSM虚拟化技术17 3.7.3 N:M虚拟化技术19

1、概述 在应用需求的不断推动下,网络技术得到了飞速发展;而网络技术的进步则又反过来推动应用的发展,应用与网络之间是相辅相成、相互促进的。随着万兆到核心/千兆到桌面、Web2.0、虚拟化、物联网、网络音频/视频、P2P、云计算等各种新应用、新业务层出不穷,传统的基于端口进行应用识别和访问控制的防火墙,已远远无法满足各种新应用下安全防护的需求。为解决此类难题,迪普科技推出了基于全新多核处理器架构的FW1000系列下一代应用防火墙。 DPtech FW1000开创了应用防火墙的先河。基于迪普科技自主知识产权的APP-X硬件平台和ConPlat OS安全操作系统,并配备专业的入侵防御特征库、病毒库、应用协议库、URL库,是目前业界性能最高的应用防火墙。无以伦比的高可用性、高性能和高可靠性,使得FW1000系列可以放心规模部署于数据中心、大型园区网等各种复杂场景;另外,功能丰富并可按需扩展的应用防火墙方案,也简化了网络的安全架构,并大大降低了企业网络总体拥有成本。 2、产品简介 DPtech FW1000系列是迪普公司面向大中型企业、学校、数据中心以及运营商开发的新一代应用防火墙产品,是一种应用级的高性能防火墙,工作在网络边界层,根据安全策略对来自不同区域的数据进行安全控制,同时支持IPv4和IPv6环境,具备业界最高性能,网络无瓶颈,拥有全面的安全防护,可确保网络稳定运行,产品VPN全内置,提供最高性价比,灵活组网能力,可适应各种网络环境。

深信服防火墙NGAF方案白皮书

深信服下一代防火墙NGAF方案白皮书

目录 一、企业级网络安全建设需要什么 (4) 1.传统割裂的各种安全产品? (4) 2.“雇佣兵”式的安全服务? (5) 3.企业级的网络安全到底需要什么? (5) 二、深信服下一代防火墙的定位 (6) 1.适用于国内环境的下一代防火墙 (6) 2.我们不仅交付产品,还为您持续输送安全能力 (7) 三、深信服下一代防火墙为企业安全赋能 (7) 1.看懂安全现状和风险 (7) 1.1业务安全状况可视 (7) 1.2威胁危害效果可视 (8) 1.3安全事件实时通报 (9) 2.持续对抗新型威胁 (10) 2.1产品快速迭代应对已知威胁 (10) 2.2完整的APT攻击检测链 (11) 2.3云检测平台应对未知威胁 (12) 3.简化安全运营 (13) 3.1任务化的风险管理 (13) 3.2全网安全统一管控 (14) 3.3威胁情报预警与处置 (15) 3.4风险评估与策略联动 (15)

3.5智能联动封锁机制 (16) 四、高效稳定的底层架构设计 (16) 1.分离平面设计 (16) 2.多核并行处理 (17) 3.单次解析架构 (17) 4.跳跃式扫描技术 (18) 5.Sangfor Regex正则引擎 (18) 6.产品性能评测报告 (19) 五、深信服下一代防火墙品牌优势 (19) 1.市场引领者 (19) 2.专业权威的认可 (20) 3.专业安全攻防团队 (21) 4.产品可靠稳定 (21) 六、典型场景和案例 (22) 典型应用场景 (22) 典型应用案例 (23) 七、部分客户列表 (25)

中新金盾防火墙系统-技术白皮书

中新金盾防火墙系统产品白皮书 版本号:201120626

版权声明 ?安徽中新软件有限公司,版权所有2002-2012 本文件所有内容受版权保护并且归中新软件所有。未经中新软件明确书面许可,不得以任何形式复制、传播本文件(全部或部分)。中新软件、JDFW、JDIS、金盾抗拒绝服务系统及其它中新商标均是安徽中新软件有限公司注册商标,本文中涉及到的其它产品名称和品牌为其相关公司或组织的商标或注册商标,特此鸣谢。

目录 版权声明 .................................................................................................................................................................... I 1概述 . (1) 2产品概况 (2) 3技术优势 (3) 4产品功能 (4) 5典型部署方式 (10) 5.1防火墙作为安全网关双外线部署 (10) 5.2防火墙作为VPN网关楼层交换部署 (11) 5.3防火墙作为VPN网关跨地域网络互联部署 (12)

1概述 防火墙指的是一个由软件和硬件设备组合而成、在内部网和外部网之间、专用网与公共网之间的界面上构造的保护屏障.是一种获取安全性方法的形象说法,它是一种计算机硬件和软件的结合,使Internet 与Intranet之间建立起一个安全网关(Security Gateway),从而保护内部网免受非法用户的侵入。在网络中,所谓“防火墙”,是指一种将内部网和公众访问网(如Internet)分开的方法,它实际上是一种隔离技术,是在两个网络通讯时执行的一种访问控制尺度,它能允许你“同意”的人和数据进入你的网络,同时将你“不同意”的人和数据拒之门外,最大限度地阻止网络中的黑客来访问你的网络。 当今社会,互联网已经融入了社会生活的方方面面,成为人们生活和企业生存中不可或缺的一部分。在网络中如何保护网络的一部分不受外界的干扰和入侵成为了一件具有重大意义的事情,而防火墙恰恰是解决这一问题的关键。防火墙可以做到: 保护脆弱的服务 通过过滤不安全的服务,防火墙可以极大地提高网络安全和减少子网中主机的风险。例如,防火墙可以禁止NIS、NFS服务通过,防火墙同时可以拒绝源路由和ICMP重定向封包。 控制对系统的访问 防火墙可以提供对系统的访问控制。如允许从外部访问某些主机,同时禁止访问另外的主机。例如,防火墙允许外部访问特定的Mail Server和Web Server。 集中的安全管理 防火墙对企业内部网实现集中的安全管理,在防火墙定义的安全规则可以运行于整个内部网络系统,而无须在内部网每台机器上分别设立安全策略。防火墙可以定义不同的认证方法,而不需要在每台机器上分别安装特定的认证软件。外部用户也只需要经过一次认证即可访问内部网。 增强的保密性 使用防火墙可以阻止攻击者获取攻击网络系统的有用信息。 记录和统计网络利用数据以及非法使用数据 防火墙可以记录和统计通过自身的网络通讯,提供关于网络使用的统计数据,并且防火墙可以提供统计数据,来判断可能的攻击和探测。 策略执行 防火墙提供了制定和执行网络安全策略的手段。未设置Firewall时,网络安全取决于每台主机的用户。

DPtech WAF技术白皮书

DPtech WAF技术白皮书 杭州迪普科技有限公司 2013年10月

目录 1概述 (3) 1.1Web安全现状 (3) 1.2Web应用防火墙(WAF) (3) 2WAF典型部署模式 (3) 2.1透明模式 (3) 2.2反向代理模式 (4) 2.3旁路模式 (4) 3全方位Web防护功能 (5) 3.1参数攻击防护 (5) 3.1.1SQL注入攻击防护 (5) 3.1.2XSS攻击防护 (6) 3.1.3命令注入防护 (6) 3.1.4目录遍历攻击 (7) 3.2HTTP协议攻击防护 (7) 3.2.1HTTP请求正规化检查 (7) 3.2.2Cookie正规化检查 (7) 3.2.3Cookie加密 (7) 3.3缓冲区溢出攻击防护 (8) 3.4弱口令、暴力破解防护 (8) 3.5应用层DDoS攻击防护 (8) 3.6多种策略防护方式 (9) 3.7敏感关键词过滤及服务器信息防护 (9) 4网页防篡改功能 (10) 4.1网页篡改防护功能 (10) 4.2网站篡改恢复功能 (11)

1概述 1.1Web安全现状 伴随着网络信息化的高速发展,Web平台渗透到各个行业及领域中,在给我们生活,生 产带来便利的同时也产生了极大的风险。目前Web业务的安全面临着两级分化极其严重的形势:一方面Web业务的易操作化,使得Web业务面向了更广泛的人群,人们大多不具备基本 的网络安全意识,使得对于网络上的陷阱疏于防范,易于无意识的成为被攻击对象;另一方面,由于信息化的快速发展,网络上各种资料、工具可以极其方便的被查阅和下载,这使得各种攻击工具极易在网络上进行传播,对于攻击者要求的技术知识逐渐降低,甚至不需要任何网络和Web基础即可按照攻击软件说明对网站服务器进行攻击。基于这种形势,近年来,国内外网 站频繁受到各式攻击,Web安全现状令人堪忧。 1.2Web应用防火墙(WAF) 在Web安全问题急剧增加的推动下,迪普可推出了专业的Web应用防火墙WAF3000。WAF3000是可有效增加Web应用安全系数的产品,部署在Web应用平台前端,为Web应用平 台提供了一个忠实可靠的安全护卫。 2WAF典型部署模式 2.1透明模式 如下图所示,WAF3000不改变上下行设备配置,直接部署在两台已运行的设备之间。在 透明模式下无需对现有网络结构进行调整,可做到即插即用。 图1透明模式 透明部署模式特点:快速,简便,能够做到即插即用,先部署后配置。

DPtech FW1000系列防火墙系统用户配置手册

DPtech FW1000系列防火墙用户配置 手册

杭州迪普科技有限公司为客户提供全方位的技术支持。 通过杭州迪普科技有限公司代理商购买产品的用户,请直接与销售代理商联系;直接向杭州迪普科技有限公司购买产品的用户,可直接与公司联系。 杭州迪普科技有限公司 地址:杭州市滨江区火炬大道581号三维大厦B座901室 邮编:310053

声明 Copyright 2010 杭州迪普科技有限公司 版权所有,保留一切权利。 非经本公司书面许可,任何单位和个人不得擅自摘抄、复制本书内容的部分或全部,并不得以任何形式传播。 由于产品版本升级或其他原因,本手册内容有可能变更。杭州迪普科技有限公司保留在没有任何通知或者提示的情况下对本手册的内容进行修改的权利。本手册仅作为使用指导,杭州迪普科技有限公司尽全力在本手册中提供准确的信息,但是杭州迪普科技有限公司并不确保手册内容完全没有错误,本手册中的所有陈述、信息和建议也不构成任何明示或暗示的担保。

目录 第1章产品概述1-1 1.1产品简介1-1 1.2WEB管理1-1 1. 2.1登录WEB管理界面 1-1 1.2.2WEB界面布局介绍 1-2 第2章系统管理2-1 2.1简介2-1 2.2设备管理2-1 2.2.1设备信息2-1 2.2.2设备状态2-3 2.2.3设备设置2-4 2.3SNMP配置2-7 2. 3.1简介2-7 2.3.2配置信息2-7 2.3.3IP地址列表2-8 2.4管理员2-8 2. 4.1简介2-8 2.4.2当前管理员2-9 2.4.3管理员设置2-9 2.4.4登录参数设置2-11 2.5配置文件2-12 2.6特征库2-13 2.6.1APP特征库2-13 2.6.2URL分类过滤特征库 2-16 2.6.3L ICENSE文件管理 2-17 2.7软件版本2-18 2.8NTP配置2-19 第3章网络管理3-1 3.1简介3-1 3.2接口管理3-2 3.2.1简介3-2 3.2.2组网配置3-2 3.3网络对象3-9

网络卫士防火墙NGFW 4000系列产品白皮书

天融信产品白皮书网络卫士防火墙NGFW 4000系列

网络卫士防火墙NGFW4000系列 NGFW4000是天融信网络卫士防火墙系统的中端产品系列,适用于网络结构复杂、应用丰富的政府、金融、学校、中型企业等网络环境。产品集成了天融信在客户复杂环境中处理威胁的经验及对客户需求的深入理解,已在各种网络环境中经受了严格考验。该系列产品具有访问控制、内容过滤、防病毒、NAT、IPSEC VPN、SSL VPN、带宽管理、负载均衡、双机热备等多种功能,广泛支持路由、多播、生成树、VLAN、DHCP等各种协议。稳定可靠的硬件平台,满足真实需求的软件功能,超强的网络适应能力,使之成为多年来广受市场认同的系列主流产品。 安全高效的TOS操作系统 具有完全自主知识产权的TOS(TopsecOperating System) 安全操作系统,采用全模块化设计,使用中间层理念,减少了系统对硬件的依赖性,有效保障了防火墙、SSL VPN、IPSEC VPN、防病毒、内容过滤、抗攻击、带宽管理等功能模块的优异性能。TOS良好的扩展性为未来迅速扩展更多特性提供了无限可能。 完全内容检测CCI技术 网络卫士猎豹防火墙采用最新的CCI技术,提供对OSI网络模型所有层次上的网络威胁的实时保护。网络卫士系列防火墙可对还原出来的应用层对象(如文件、网页、邮件等)进行病毒查杀,并可检查是否存在不良WEB内容、垃圾邮件、间谍软件和网络钓鱼欺骗等其他威胁,实现彻底防范。

集成多种安全功能 NGFW4000由于集成了多种安全引擎,使其具备了防火墙、IPSEC VPN、SSL VPN、防病毒、IPS等安全功能,成为了国内安全功能最丰富的防火墙产品。 虚拟防火墙 虚拟防火墙,是指在一台物理防火墙上可以存在多套虚拟系统,每套虚拟系统在逻辑上都相互独立,具有独立的用户与访问控制系统。不同的企业或不同的部门可以共用1台防火墙,但使用不同的虚拟系统。对于用户来说,就像是使用独立的防火墙,大大节省了成本。 强大的应用控制 网络卫士防火墙提供了强大的网络应用控制功能。用户可以轻松的针对一些典型网络应用,如MSN,QQ、Skype、新浪UC、阿里旺旺、Google Talk等即时通信应用,以及BT、Edonkey、Emule、讯雷等p2p应用实行灵活的访问控制策略,如禁止、限时、乃至流量控制。网络卫士防火墙还提供了定制功能,可以对用户所关心的网络应用进行全面控制。CleanVPN服务 企业对VPN应用越来越普及,但是当企业员工或合作伙伴通过各种VPN远程访问企业网络时,病毒、蠕虫、木马、恶意代码等有害数据有可能通过VPN隧道从远程PC或网络传递进来,这种威胁的传播方式极具隐蔽性,很难防范。 网络卫士防火墙同时具备防火墙、VPN、防病毒和内容过滤等功能,并且各功能相互融合,能够对VPN数据进行检查,拦截病毒、蠕虫、木马、恶意代码等有害数据,彻底保证了VPN通信的安全,为用户提供放心的CleanVPN服务。 Active/Active高可用性 能够在核心网络中同所有网络设备一起构建高可用性及高安全性的拓扑结构,自身能够实

相关主题