搜档网
当前位置:搜档网 › NGFW4000防火墙系列白皮书

NGFW4000防火墙系列白皮书

NGFW4000防火墙系列白皮书
NGFW4000防火墙系列白皮书

网络卫士防火墙系统

NGFW4000系列

产品说明

天融信

TOPSEC? 北京市海淀区上地东路1号华控大厦 100085

电话:+8610-82776666

传真:+8610-82776677

服务热线:+8610-8008105119

https://www.sodocs.net/doc/466242625.html,

版权声明 本手册的所有内容,其版权属于北京天融信公司(以下简称天融信)所有,未经天融信许可,任何人不得仿制、拷贝、转译或任意引用。本手册没有任何形式的担保、立场倾向或其他暗示。

若因本手册或其所提到的任何信息引起的直接或间接的资料流失、利益损失,天融信及其员工恕不承担任何责任。本手册所提到的产品规格及资讯仅供参考,有关内容可能会随时更新,天融信恕不承担另行通知之义务。

版权所有不得翻印? 1995-2006天融信公司

商标声明 本手册中所谈及的产品名称仅做识别之用,而这些名称可能属于其他公司的注册商标或是版权,其他提到的商标,均属各该商标注册人所有,恕不逐一列明。

TopSEC?天融信

信息反馈

https://www.sodocs.net/doc/466242625.html,

NGFW 4000系列产品说明

目录

1产品概述 (2)

2产品特点 (2)

3产品功能 (8)

4运行环境 (13)

5产品规格 (14)

6典型应用 (15)

6.1典型应用一:在企业、政府纵向网络中的应用 (15)

6.2典型应用二:在企业、政府内部局域网络中的应用 (16)

6.3典型应用四:在大型网络中的应用 (17)

6.4典型应用五:防火墙作为负载均衡器 (17)

6.5典型应用六:防火墙接口备份 (18)

1产品概述

十几年来,天融信专注于信息安全,第一家开发出自主防火墙系统,第一家提出TOPSEC联动技术体系。网络卫士防火墙历经了包过滤、应用代理、核检测等技术阶段,目前已进入以自主安全操作系统TOS(Topsec Operating System)为基础,以完全内容检测为标志的技术阶段,集成了防火墙、VPN、带宽管理、防病毒、入侵防御、内容过滤等多种安全功能。网络卫士防火墙系列在政府、银行、电力、军工、电信、税务、教育、能源、交通等行业中广泛应用,全国20,000多网络和业务在其保护下平稳运行。

天融信基于多年的技术积累和用户信赖,连续多年蝉联国内第一防火墙品牌。网络卫士防火系列市场占有量巨大,它保护的网络遍布在祖国大江南北,并已走出国门在一些全球性的业务网络上成功实施,为广大用户的信息安全建设立下了汗马功劳。

NGFW4000系列属于网络卫士系列防火墙的中高端产品,特别适用于网络结构复杂、应用丰富、高带宽、大流量的大中型企业骨干级网络环境。

2产品特点

z自主安全操作系统平台

采用自主知识产权的安全操作系统 — TOS(Topsec Operating System),TOS拥有优秀的模块化设计架构,有效保障了防火墙、VPN、防病毒、内容过滤、抗攻击、流量整形等模块的优异性能,其良好的扩展性为未来迅速扩展更多特性提供了无限可能。

TOS具有具有高安全性、高可靠性、高实时性、高扩展性及多体系结构平台适应性的特点。

z CleanVPN服务

企业对VPN应用越来越普及,但是当企业员工或合作伙伴通过各种VPN远程访问企业网络时,病毒、蠕虫、木马、恶意代码等有害数据有可能通过VPN隧道从远程PC或网络传递进来,这种威胁的传播方式极具隐蔽性,很难防范。

同时具备防火墙、VPN、防病毒和内容过滤等功能,并且各功能相互融合,能够对VPN 数据进行检查,拦截病毒、蠕虫、木马、恶意代码等有害数据,彻底保证了VPN通信的安全,为用户提供放心的CleanVPN服务。

z完全内容检测CCI

内容检测技术发展至今,大致经历了三个阶段,从早期的状态检测(Status Inspection)到后来的深度包检测(Deep Packet Inspection),现在已经发展到了最新的完全内容检测(CCI,Complete Content Inspection)。状态检测只检查数据包的包头,深度包检测可对数据包内容进行检查,而CCI则可实时将网络层数据还原为完整的应用层对象(如文件、网页、邮件等),并对这些完整内容进行全面检查,实现彻底的内容防护。

在MAC层提供基于MAC地址的过滤控制能力,同时支持对各种二层协议的过滤功能;

在网络层和传输层提供基于状态检测的分组过滤,可以根据网络地址、网络协议以及TCP 、UDP 端口进行过滤,并进行完整的协议状态分析;在应用层通过深度内容检测机制,可以对高层应用协议命令、访问路径、内容、访问的文件资源、关键字、移动代码等实现内容安全控制;同时还直接支持丰富的第三方认证,提供用户级的认证和授权控制。网络卫士系列防火墙的多级过滤形成了立体的、全面的访问控制机制,实现了全方位的安全控制。

z独特的安全策略体系

采用面向资源的防火墙策略体系。通过建立独立的防火区域,以及中央管理接口、管理端口协议、节点对象、子网对象的应用,可以实现层次分明而又立体化的策略机制,制

定灵活安全的通信策略和访问策略,策略配置简单,且易于维护,可以方便地定义各种粒度的安全规则。

z超强的防御功能

高级的Intelligent Guard技术提供了强大的入侵防护功能,能抵御常见的各种攻击,包括Syn Flood、Smurf、Targa3、Syn Attack、ICMP flood、Ping of death、Ping Sweep、Land attack、Tear drop attack、IP address sweep option、Filter IP source route option、Syn fragments、No flags in TCP、ICMP碎片、大包ICMP攻击、不明协议攻击、IP欺骗、IP security options、IP source route、IP record route 、IP bad options、IP碎片、端口扫描等几十种攻击,网络卫士系列防火墙不但有内置的攻击检测能力,还可以和IDS产品 实现联动。这不但提高了安全性,而且保证了高性能。

z强大的应用代理模块

具有透明应用代理功能,支持FTP、HTTP、TELNET、PING、SSH、FTP—DATA、SMTP、WINS、TACACS、DNS、TFTP、POP3、RTELNET、SQLSERV、NNTP、IMAP、SNMP、NETBIOS、DNS、IPSEC—ISAKMP、RLOGIN、DHCP、RTSP、MS-SQL-(S、M、R)、RADIUS-1645、PPTP、SQLNET —1521、SQLNET—1525、H.323、MSN、CVSSERVER、MS-THEATER、MYSQL、QQ、SECURID(TCP、UDP)PCANYWHERE、IGMP、GRE、PPPOE、IPV6等协议,可以实现文件级过滤。

z丰富的AAA功能,支持会话认证

网络卫士系列防火墙支持对网络用户提供丰富的安全身份认证,如一次性口令(OTP)、S/KEY、RADIUS 、TACACS、LDAP、secuid 、域认证及数字证书等常用的安全认证方法,也可以使用专用的认证客户端软件进行认证。基于用户的安全策略更灵活、更广泛地实现了用户鉴别和用户授权的控制,并提供了丰富的安全日志来记录用户的安全事件。

网络卫士系列防火墙支持会话认证功能,即当开始一个新会话时,需要先通过认证才能建立会话。这个功能可大大提高应用访问的安全性,实现更细粒度的访问控制。

z强大的地址转换能力

网络卫士系列防火墙拥有强大的地址转换能力。网络卫士系列防火墙同时支持正向、反向地址转换,能为用户提供完整的地址转换解决方案。

正向地址转换用于使用私有IP地址的内部网用户通过防火墙访问公众网中的地址时对源地址进行转换。网络卫士系列防火墙支持依据源或目的地址指定转换地址的静态NAT 方式和从地址缓冲池中随机选取转换地址的动态NAT方式,可以满足绝大多数网络环境的需求。对公众网来说,访问全部是来自于防火墙转换后的地址,并不认为是来自内部网的某个地址,这样能够有效的隐藏内部网络的拓扑结构等信息。同时内部网用户共享使用这些转换地址,自身使用私有IP 地址就可以正常访问公众网,有效的解决了公有IP地址不足的问题。

内部网用户对公众网提供访问服务(如Web 、FTP 服务等)的服务器如果是私有IP 地址,或者想隐藏服务器的真实IP 地址,都可以使用网络卫士系列防火墙的反向地址转换来对目的地址进行转换。公众网访问防火墙的反向转换地址,由内部网使用保留IP 地址的服务器提供服务,同样既可以解决公有IP 地址不足的问题,又能有效地隐藏内部服务器信息,对服务器进行保护。网络卫士系列防火墙提供端口映射和IP 映射两种反向地址转换方式,端口映射安全性更高、更节省公有IP 地址,IP 映射则更为灵活方便。

z卓越的网络及应用环境适应能力

支持众多网络通信协议和应用协议,如VLAN、ADSL、PPP、ISL、802.1Q、Spanning tree、IPSEC、H.323、MMS、RTSP、ORACLE SQL*NET、PPOE、MS RPC等协议,适用网络的范围更加广泛,保证了用户的网络应用。同时,方便用户实施对VOIP、视频会议、VOD点播及数据库等应用的使用和控制。

z丰富的接入方式

适应各种Ethernet的接入,支持ISL、Dot1q、MPLS等封装格式,支持Trunk即主干链路工作方式,能够同交换机的Trunk接口对接,并且能够实现VLAN间通过防火墙进行

路由,满足了当今各种业务的建设需要,保证了防火墙无障碍地接入各种网络环境,最大限度地满足了用户的各种需求。

提供对ADSL等多种宽带接入方式的支持,支持ADSL的按需拨号、自动地址转换等实用功能,保证安全、便捷地通过ADSL接入Internet。

z智能的负载均衡和高可用性

?服务器负载均衡

网络卫士系列防火墙可以支持一个服务器阵列,这个阵列经过防火墙对外表现为单台的机器,防火墙将外部来的访问在这些服务器之间进行均衡。

?高可用性

提供了双机备份功能,即在同一个网络节点使用两个配置相同的防火墙。正常情况下一个处于工作状态,为主防火墙,另一个处于备份状态,为从防火墙。当主防火墙发生意外宕机、网络故障、硬件故障等情况时,主从防火墙自动切换工作状态,从防火墙自动代替主防火墙正常工作,从而保证了网络的正常使用,网络卫士系列防火墙的双机热备功能使用自主专利的智能状态传送协议(ISTP),ISTP能高效进行系统之间的状态同步,实现了TCP协议握手级别的状态同步和热备。当主防火墙发生故障时,这台防火墙上的正在建立或已经建立的连接不需要重新建立就可以透明地迁移到另一台防火墙上,网络使用者不会觉察到网络链路切换的发生。

?流量均衡

网络卫士系列防火墙支持完整生成树(Spanning-Tree)协议,可以在交换网络环境中支持PVST和CST等工作模式,在接入交换网络环境时可以通过生成树协议的计算,使不同的VLAN使用不同的物理链路,将流量由不同的物理链路进行分担,从而进行流量均衡,该功能和ISTP协议结合使用还可以在使用高可用性的同时实现流量均衡。

z方便灵活的安全管理方式

经过简单的配置即可接入网络进行通信和访问控制。GUI 管理界面提供了清晰的管理结构,每一个管理结构元素包含了丰富的控制元和控制模型。对所有管理采用加强的SSL 进行加密传输。加强的SSL要求GUI客户端对防火墙进行证书认证的同时,防火墙也要对

客户端进行证书认证,避免了传统的HTTPS不对GUI客户端进行认证的安全问题。管理员认证使用证书和密码相结合的双因素认证,管理过程进行严格的审计,实现了真正的安全管理。同时,可以支持SNMP与当前通用的网络管理平台兼容,如HP Openview NNM、TOPSEC Manager等,方便了管理和维护。

为了保证远程管理的安全性,网络卫士系列防火墙不论是对管理员还是管理过程都采取了一系列安全措施:对远程管理员主机的限定和对同时登陆数量的限制。为了防止远程管理过程被监听和修改,网络卫士系列防火墙还支持基于SSH 的远程登录管理,将管理主机和防火墙之间的通讯进行加密以保证安全。

z强大的联动

支持与基于TopSEC 协议的IDS、防病毒及其他安全产品的联动,提供智能的网络安全保护。

z系统升级与容错

网络卫士系列防火墙可以通过命令行及图形方式进行系统升级,同时网络卫士系列防火墙采用双系统设计,在主系统发生故障时,用户可以在启动时选择BACKUP方式,用备份系统引导系统。

3产品功能

类别 功能 详细描述

工作模式 支持透明、路由、混合模式

内容过滤

采用完全内容检测(Complete Content Inspection)技术。

支持基于流、数据包、透明代理的过滤方式。

支持对HTTP、SMTP、POP3、FTP等协议的深度内容过滤。

支持URL过滤。

支持对移动代码如Java applet、Active-X、VBScript、Java script的过滤。

支持对邮件的收发邮件地址、文件名、文件类型过滤。

支持对邮件主题、正文、收发件人、附件名、附件内容等关键字匹配过滤。

支持MSN,QQ,Skype等Instant Messenger通信,并可以对于这些应用进行登陆限制。

可限制BT,eMule,eDonkey等P2P应用。

可屏蔽受保护主机/服务器系统信息,如替换服务器(FTP、SMTP、POP3、telnet,HTTP)的BANNER信息。

支持HTTP,FTP,POP3,SMTP,IMAP协议的病毒查杀

查杀邮件正文/附件、网页及下载文件中包含的病毒

支持17万余种病毒的查杀,病毒库定期与及时更新

支持木马病毒、蠕虫病毒、宏病毒、脚本病毒的查杀

支持启发式扫描查杀未知病毒

支持ZIP/ARJ/CAB/RAR/GZIP/BZIP2等压缩文件的病毒查杀

支持TAR等多种打包文件的病毒查杀

防病毒*

提供快速扫描及完全扫描两种扫描方式

包过滤

基于状态检测的动态包过滤。

基于源/目的IP地址、MAC地址、端口和协议、时间、用户的访问控制。

支持基于用户的PPTP的访问控制。

支持报文合法性检查。

动态端口支持协议:H.323、SIP、FTP、RTSP、SQL*NET、MMS、RPC、TFTP、PPTP。

可实现IP/MAC绑定。

防御攻击

非法报文攻击:land 、Smurf、Pingofdeath、winnuke 、tcp_sscan、ip_option、teardrop、targa3、ipspoof。

统计型报文攻击:Synflood、Icmpflood、Udpflood、Portscan、ipsweep。

Topsec联动:可与支持TOPSEC协议的IDS设备联动,以提高入侵检测效率。

端口阻断:可以根据数据包的来源和数据包的特征进行阻断设置。

SYN代理:对来自定义区域的Syn Flood攻击行为进行阻断过滤。

CC攻击:可通过设置端口和阀值阻断CC攻击。

可记录攻击日志和报警。

网络 安全性

NAT 支持双向NAT。

支持动态地址转换和静态地址转换。

支持多对一、一对多和一对一等多种方式的地址转换。 支持虚拟服务器功能。

网络 适应性 路由

支持静态路由、动态路由。

支持基于源/目的地址、接口、Metric的策略路由。

支持单臂路由,可通过单臂模式接入网络,并提供路由转发功能。

支持Vlan路由,能够在不同的VLAN虚接口间实现路由功能。

支持RIP、OSPF等路由协议。

组播 支持IGMP 组播协议。

支持IGMP SNOOPING 。

可有效地实现视频会议等多媒体应用。

VLAN 可与交换机的Trunk 接口对接,并且能够实现Vlan 间通过安全设备传播路由。

支持802.1Q ,能进行封装和解封。

支持ISL ,能进行ISL 的封装和解封。

在同一个Vlan 内能进行二层交换。

生成树

支持802.1D 生成树协议。 ARP

支持ARP 代理、ARP 学习。 可设置静态ARP 。 DHCP

支持DHCP Client 、DHCP Server 。 接入 支持ADSL 等宽带接入。

支持PPPOE 拨号接入。

其它 支持网络时钟协议SNTP ,可以自动根据NTP 服务器的时钟调整本机时间。

支持IPX 、NetBEUI 等非IP 协议。

安全算法 支持AES 、DES 、3DES 、RC4、MD5、SHA1、RSA 等多种算法选择

协议类型 支持SSL 2.0/3.0 TLS 1.0

数据压缩

支持高效流压缩算法

用户认证 支持“用户名+口令”、“用户名+口令+图形认证码”认证

支持X.509数字证书认证

支持数字证书+UKEY+口令多因子认证

支持公共帐户登陆,支持临时禁止帐户登录

支持本地数据库认证

支持基于LDAP/RADIUS/TACAS 等协议的外部服务器认证 用户授权 支持分组授权、支持独立用户授权和授权继承 支持基于URL 、访问路径、访问文件、访问动作的细粒度授权

支持基于时间的访问授权方式

支持本地授权、支持外部组映射授权、支持证书用户授权

应用支持 支持HTML 、JAP 、ASP 、JAVA APPLET 、ACTIVE 、Cookies 等各种Web 应用

支持基于IP 协议的各种C/S 应用,如EMAIL,FTP,ERP,CRM,DB 等

支持Windows/CIFS 远程文件共享

SSL

VPN*

端点安全 支持接入客户端痕迹清除,能够清楚cookie 、缓存、历史记录等各种访问痕迹

支持拔KEY 隧道自动中断

支持用户超时自动退出,超时时间可以设置

协议 支持ESP/AH/IKE/NATT 等标准IPSEC 协议,支持隧道模式、传输模式 算法 支持DES/3DES/AES 等标准加密算法,支持MD5/SHA1等标准HASH 算法 支持DH GROUP1/2/5,RSA 1024/2048非对称算法

支持国家商密专用的SSP02/SSF33/SCB2算法

硬件加速

支持高速算法加速卡 数据压缩

支持高效数据流压缩算法 IPSEC

VPN

隧道认证 支持预共享密钥、数字证书认证,支持扩展认证

网络适应性 支持网状、树型、星型等多种VPN网络拓扑 支持隧道的NAT穿越、双向NAT隧道建立 支持全动态IP地址间的VPN组网

支持隧道转发

支持多机多隧道的负载均衡和冗余备份方案 支持隧道内的访问控制

L2TP 支持远程用户通过L2TP接入,建立L2TP隧道访问内部网络

安全

接入PPTP 支持远程用户通过PPTP接入,建立PPTP隧道访问内部网络证书格式 支持X.509 V3数字证书,支持DER/PEM/PKCS12多种证书编码

本地CA 支持内置CA,为其他设备或移动用户签发证书 支持本地CA根证书、根私钥的更新

支持证书废弃,支持生成标准CRL列表

PKI

第三方CA

支持同时导入多个第三方CA的根证书和CRL列表,对不同CA证书用户进行身份认证,支持通告HTTP协议定时下载CRL列表

支持通过OCSP/LDAP等协议在线认证证书

用户认证

支持使用一次性口令认证(OTP)、本地认证、双因子认证(SecurID)以及数字证书(CA)等常用的安全认证方式。

支持使用第三方认证,如RADIUS、TACACS/TACACS+、LDAP、域认证等安全认证方式。

支持Session认证、HTTP会话认证。

支持认证保活功能。

可将认证用户信息加密存放在本地数据库。

日志

支持Welf、Syslog等多种日志格式的输出。

支持通过第三方软件来查看日志。

支持日志分级。

支持对接收到的日志进行缓冲存储。

支持安全审计系统(TA-L),获得更详尽的日志分析和审计功能。

TA-L除接受防火墙日志外还能接受交换机、路由器、操作系统、应用系统和其他安全产品的日志进行联合分析。

可对日志进行加密传输。

监控

支持网络接口、CPU利用率、内存使用率、操作系统状况、网络状况、硬件系统、进程、进程内存、加密卡状况的监测。

可根据配置文件进行错误恢复。

安全 管理

报警

内置了“管理”、“系统”、“安全”、“策略”、“通信”、“硬件”、“容错”、“测试”等多种触发报警的事件类。

支持邮件、NETBIOS、声音、SNMP、控制台等多种组合报警方式。

QoS

流量整形 QOS带宽管理。

根据IP、协议、网络接口、时间定义带宽分配策略。 支持最小保证带宽和最大限制带宽。

支持分层的带宽管理。

带宽

管理

优先级 支持8级优先级控制。

双机热备

支持双机热备(Active-Active ,与Active-Standby 两种模式)。

支持系统故障切换,包括主设备抢状态开关功能,控制主设备是否在设备恢复正常情况时抢回主设备状态。 支持VPN 网关的双机热备功能。 高可

用性

其它功能 支持链路备份功能。 支持双系统引导。

支持Watchdog 功能。

配置方式 支持WEB 图形配置、命令行配置。

支持本地配置、远程配置。

支持基于SSH 、SSL 的安全配置。

命令行 支持配置命令分级保护。

支持中英文。

支持命令超时、历史命令、命令补齐、命令帮助、命令错误提示等功能。

SNMP

支持SNMP 的v1 、v2 、v2c 、v3 版本。 与当前通用的网络管理平台兼容,如HP Openview 等。 系统升级 支持双系统升级。 支持远程维护和系统升级。

支持TFTP 升级。

报文调试 提供强大的报文调试功能,可以帮助网络管理员或安全管理员发现、调试和解

决问题。

支持发送虚拟报文。

配置恢复

可以进行配置文件的备份、下载、删除、恢复和上载。 配置

管理

时钟调整 支持网络时钟协议SNTP ,可自动根据NTP 服务器时钟调整本机时间。

*带星号的这部分功能不适用于TG-4207, TG-4208

4运行环境

电源:

电压:AC 100~260V

频率:47~63HZ

输入电流:3.0A (最大)

功率:260W (最大)

环境:

运行温度:0 - 45 ℃

存储温度: -40 - 70 ℃

相对湿度:5 - 95% 非冷凝

国家标准:

GB/T18336-2001

GB/T18019-1999

GB/T18020-1999

参考的安全规范及标准(相对参考):

GB4943-2001

UL 1950

TUV-IEC 950

电磁兼容标准:

GB9254-1998

GB17618-1998

FCC Class A

IEC 61000-4-2 (静电放电ESD抗扰度)

IEC 61000-4-3 (射频电磁场抗扰度)

IEC 61000-4-4 (电快速瞬变EFT抗扰度)

IEC 61000-4-5 (浪涌Surge抗扰度)

5产品规格

产品名称产品代码产品描述

TG-4424 1U机架式结构;最大配置为8个端口,标准配置为4个10/100BASE-TX口,2个接口扩展插槽;>120万并发连接。

TG-4324 1U机架式结构;最大配置为8个端口,标准配置为4个

10/100BASE-TX口,2个接口扩展插槽;>100万并发连接。

TG-4208 1U机架式结构;最大配置为8个端口;标准配置为8个10/100BASE-T接口;>80万并发连接。

网络卫士防火墙系统NGFW4000系列(TopGuard4000)

TG-4207 1U机架式结构;最大配置为7个端口,标准配置为3+4个10/100BASE-T接口,>80万并发连接。

6典型应用

6.1 典型应用一:在企业、政府纵向网络中的应用

6.2 典型应用二:在企业、政府内部局域网络中的应用

6.3 典型应用四:在大型网络中的应用

6.4 典型应用五:防火墙作为负载均衡器

6.5 典型应用六:防火墙接口备份

迪普防火墙专业技术白皮书

迪普防火墙技术白皮书

————————————————————————————————作者:————————————————————————————————日期:

迪普FW1000系列防火墙 技术白皮书 1 概述 随着网络技术的普及,网络攻击行为出现得越来越频繁。通过各种攻击软件,只要具有一般计算机常识的初学者也能完成对网络的攻击。各种网络病毒的泛滥,也加剧了网络被攻击的危险。目前,Internet网络上常见的安全威胁分为以下几类: 非法使用:资源被未授权的用户(也可以称为非法用户)或以未授权方式(非法权限)使用。例如,攻击者通过猜测帐号和密码的组合,从而进入计算机系统以非法使用资源。 拒绝服务:服务器拒绝合法用户正常访问信息或资源的请求。例如,攻击者短时间内使用大量数据包或畸形报文向服务器不断发起连接或请求回应,致使服务器负荷过重而不能处理合法任务。 信息盗窃:攻击者并不直接入侵目标系统,而是通过窃听网络来获取重要数据或信息。 数据篡改:攻击者对系统数据或消息流进行有选择的修改、删除、延误、重排序及插入虚假消息等操作,而使数据的一致性被破坏。

?基于网络协议的防火墙不能阻止各种攻 击工具更加高层的攻击 ?网络中大量的低安全性家庭主机成为攻 击者或者蠕虫病毒的被控攻击主机 ?被攻克的服务器也成为辅助攻击者 Internet 目前网络中主要使用防火墙来保证内部网路的安全。防火墙类似于建筑大厦中用于防止 火灾蔓延的隔断墙,Internet防火墙是一个或一组实施访问控制策略的系统,它监控可信任 网络(相当于内部网络)和不可信任网络(相当于外部网络)之间的访问通道,以防止外部 网络的危险蔓延到内部网络上。防火墙作用于被保护区域的入口处,基于访问控制策略提供 安全防护。例如:当防火墙位于内部网络和外部网络的连接处时,可以保护组织内的网络和 数据免遭来自外部网络的非法访问(未授权或未验证的访问)或恶意攻击;当防火墙位于组 织内部相对开放的网段或比较敏感的网段(如保存敏感或专有数据的网络部分)的连接处时, 可以根据需要过滤对敏感数据的访问(即使该访问是来自组织内部)。 防火墙技术经历了包过滤防火墙、代理防火墙、状态防火墙的技术演变,但是随着各种 基于不安全应用的攻击增多以及网络蠕虫病毒的泛滥,传统防火墙面临更加艰巨的任务,不 但需要防护传统的基于网络层的协议攻击,而且需要处理更加高层的应用数据,对应用层的 攻击进行防护。对于互联网上的各种蠕虫病毒,必须能够判断出网络蠕虫病毒的特征,把网 络蠕虫病毒造成的攻击阻挡在安全网络之外。从而对内部安全网络形成立体、全面的防护。

防火墙攻击防范技术白皮书

防火墙攻击防范技术白皮书

关键词:攻击防范,拒绝服务 摘要:本文主要分析了常见的网络攻击行为和对应的防范措施,并且介绍了H3C防火墙攻击防范的主要特色和典型组网应用。

目录 1 概述 (3) 1.1 产生背景 (3) 1.2 技术优点 (4) 2 攻击防范技术实现 (4) 2.1 ICMP 重定向攻击 (4) 2.2 ICMP 不可达攻击 (4) 2.3 地址扫描攻击 (5) 2.4 端口扫描攻击 (5) 2.5 IP 源站选路选项攻击 (6) 2.6 路由记录选项攻击 (6) 2.7 Tracert 探测 (7) 2.8 Land 攻击 (7) 2.9 Smurf 攻击 (8) 2.10 Fraggle 攻击 (8) 2.11 WinNuke 攻击 (8) 2.12 SYN Flood 攻击 (9) 2.13 ICMP Flood 攻击. (9) 2.14 UDP Flood 攻击 (10) 3 H3C 实现的技术特色 (10) 4 典型组网应用 (11) 4.1 SYN Flood 攻击防范组网应用. (11)

1 概述 攻击防范功能是防火墙的重要特性之一,通过分析报文的内容特征和行为特征判断报文是否具有攻 击特性,并且对攻击行为采取措施以保护网络主机或者网络设备。 防火墙的攻击防范功能能够检测拒绝服务型( Denial of Service ,DoS )、扫描窥探型、畸形报 文型等多种类型的攻击,并对攻击采取合理的防范措施。攻击防范的具体功能包括黑名单过滤、报 文攻击特征识别、流量异常检测和入侵检测统计。 1.1 产生背景 随着网络技术的普及,网络攻击行为出现得越来越频繁。另外,由于网络应用的多样性和复杂性, 使得各种网络病毒泛滥,更加剧了网络被攻击的危险。 目前,Internet 上常见的网络安全威胁分为以下三类: DoS 攻击 DoS 攻击是使用大量的数据包攻击目标系统,使目标系统无法接受正常用户的请求,或者使目标 主机挂起不能正常工作。主要的DoS攻击有SYN Flood、Fraggle等。 DoS攻击和其它类型的攻击不同之处在于,攻击者并不是去寻找进入目标网络的入口,而是通过 扰乱目标网络的正常工作来阻止合法用户访问网络资源。 扫描窥探攻击 扫描窥探攻击利用ping扫描(包括ICMP和TCP )标识网络上存在的活动主机,从而可以准确地 定位潜在目标的位置;利用TCP和UDP端口扫描检测出目标操作系统和启用的服务类型。攻击 者通过扫描窥探就能大致了解目标系统提供的服务种类和潜在的安全漏洞,为进一步侵入目标系统 做好准备。 畸形报文攻击 畸形报文攻击是通过向目标系统发送有缺陷的IP报文,如分片重叠的IP报文、TCP 标志位非法的报文,使得目标系统在处理这样的IP报文时崩溃,给目标系统带来损 失。主要的畸形报文攻击有Ping of Death 、Teardrop 等。 在多种网络攻击类型中,DOS攻击是最常见的一种,因为这种攻击方式对攻击技能 要求不高,攻击者可以利用各种开放的攻击软件实施攻击行为,所以DoS 攻击的威 胁逐步增大。成功的DoS攻击会导致服务器性能急剧下降,造成正常客户访问失败;同时,提供 服务的企业的信誉也会蒙受损失,而且这种危害是长期性的。 防火墙必须能够利用有效的攻击防范技术主动防御各种常见的网络攻击,保证网络在遭受越来越频

迪普防火墙技术白皮书 (1)

迪普FW1000系列防火墙 技术白皮书 1概述 随着网络技术的普及,网络攻击行为出现得越来越频繁。通过各种攻击软件,只要具有一般计算机常识的初学者也能完成对网络的攻击。各种网络病毒的泛滥,也加剧了网络被攻击的危险。目前,Internet网络上常见的安全威胁分为以下几类: 非法使用:资源被未授权的用户(也可以称为非法用户)或以未授权方式(非法权限)使用。例如,攻击者通过猜测帐号和密码的组合,从而进入计算机系统以非法使用资源。 拒绝服务:服务器拒绝合法用户正常访问信息或资源的请求。例如,攻击者短时间内使用大量数据包或畸形报文向服务器不断发起连接或请求回应,致使服务器负荷过重而不能处理合法任务。 信息盗窃:攻击者并不直接入侵目标系统,而是通过窃听网络来获取重要数据或信息。 数据篡改:攻击者对系统数据或消息流进行有选择的修改、删除、延误、重排序及插入虚假消息等操作,而使数据的一致性被破坏。

?基于网络协议的防火墙不能阻止各种 攻击工具更加高层的攻击 ?网络中大量的低安全性家庭主机成为 攻击者或者蠕虫病毒的被控攻击主机 ?被攻克的服务器也成为辅助攻击者 Internet 止火灾蔓延的隔断墙,Internet防火墙是一个或一组实施访问控制策略的系统,它监控可信任网络(相当于内部网络)和不可信任网络(相当于外部网络)之间的访问通道,以防止外部网络的危险蔓延到内部网络上。防火墙作用于被保护区域的入口处,基于访问控制策略提供安全防护。例如:当防火墙位于内部网络和外部网络的连接处时,可以保护组织内的网络和数据免遭来自外部网络的非法访问(未授权或未验证的访问)或恶意攻击;当防火墙位于组织内部相对开放的网段或比较敏感的网段(如保存敏感或专有数据的网络部分)的连接处时,可以根据需要过滤对敏感数据的访问(即使该访问是来自组织内部)。 防火墙技术经历了包过滤防火墙、代理防火墙、状态防火墙的技术演变,但是随着各种基于不安全应用的攻击增多以及网络蠕虫病毒的泛滥,传统防火墙面临更加艰巨的任务,不但需要防护传统的基于网络层的协议攻击,而且需要处理更加高层的应用数据,对应用层的攻击进行防护。对于互联网上的各种蠕虫病毒,必须能够判断出网络蠕虫病毒的特征,把网络蠕虫病毒造成的攻击阻挡在安全网络之外。从而对内部安全网络形成立体、全面的

数据库安全之--防火墙

数据库安全之--防火墙 姓名:陆超 学号:1503121711

防火墙有很多分类,可以分为硬件防火墙和软件防火墙。硬件防火墙是一台独立的硬件设备,它吞吐量大,处理速度快。它具有一些强大的额外功能(相对软件防火墙来说),例如:支持VPN,CF(内容过滤),DoS、DDoS入侵检测,IPS入侵防护等。硬件防火墙虽然是硬件,其实它里面也有软件,它是把软件防火墙给烧录进去。软件防火墙其实仅是一套软件,它需要安装在操作系统中(如Linux、Windows),且需要消耗操作系统的资源。下图是一款思科的硬件防火墙产品。 防火墙有很多分类,可以分为硬件防火墙和软件防火墙。硬件防火墙是一台独立的硬件设备,它吞吐量大,处理速度快。它具有一些强大的额外功能(相对软件防火墙来说),例如:支持VPN,CF(内容过滤),DoS、DDoS入侵检测,IPS 入侵防护等。硬件防火墙虽然是硬件,其实它里面也有软件,它是把软件防火墙给烧录进去。软件防火墙其实仅是一套软件,它需要安装在操作系统中(如Linux、Windows),且需要消耗操作系统的资源。 防火墙还可以分为单机防火墙和网络防火墙,网络防火墙也叫网关防火墙。网络防火墙为整个网络中的计算机提供防御;而单机防火墙只为防火墙所在的机器提供防御,如每台WINDOW XP都有一个单机防火墙,每台LINUX也默认有一套单机防火墙。此外,对于数据库来说,还有专门的防火墙,叫“数据库防火墙”。 1、“包过滤”防火墙 那么,防火墙是如何防止外敌入侵的呢?在此之前,我们需要大致了解TCP/IP包(Packet)头的构成(如下图所示)。

数据是以包(Packet)的形式在网络中进行传输的。一个包通常由2大部分组成:控制部分(metadata)和数据部分。从包的结构中,可以得到数据的“源地址(Source Address)”和“目标地址(Destination Address)”,“源端口(Source Port)”和“目标端口(Destination Port)”(见图)。防火墙正式基于这些信息狙击入侵者的。当一个包(如来自数据库客户端)通过防火墙时,防火墙会基于一定的规则对该包进行检查,如检查包的发送者是不是合法的IP(如合法的数据库客户端),包的目标是不是特定的数据库服务器?如果检查通过,包会被允许穿过防火墙。如果检查未通过,则该包会被丢弃(Drop)(发送者什么都不知道,犹如石沉大海),或者会给发送者返回(反馈)错误信息(reject)。我们把前面描述的这种防御方式叫“包过滤”(这也就是通常意义上的“包过滤防火墙”)。“包过滤”可工作在OSI模型(见下图)的

下一代防火墙_绿盟_下一代防火墙产品白皮书

绿盟下一代防火墙 产品白皮书 ? 2014 绿盟科技■版权声明 本文中出现的任何文字叙述、文档格式、插图、照片、方法、过程等内容,除另有特别注明,版权均属绿盟科技所有,受到有关产权及版权法保护。任何个人、机构未经绿盟科技的书面授权许可,不得以任何方式复制或引用本文的任何片断。

目录 一. 当今网络边界安全的新挑战 (1) 二. 现有防火墙解决方案的不足 (2) 三. 绿盟下一代防火墙产品 (3) 3.1客户价值 (3) 3.1.1 洞察网络应用,识别安全风险 (3) 3.1.2 融合安全功能,保障应用安全 (4) 3.1.3 高效安全引擎,实现部署无忧 (4) 3.1.4 内网风险预警,安全防患未然 (4) 3.1.5 云端高效运维,安全尽在掌握 (5) 3.2产品概述 (5) 3.3产品架构 (6) 3.4主要功能 (7) 3.4.1 识别和可视性 (7) 3.4.2 一体化策略与控制 (8) 3.4.3 应用层防护 (9) 3.4.4 内网资产风险识别 (10) 3.4.5 安全运维云端接入 (11) 3.4.6 基础防火墙特性 (12) 3.5产品优势 (13) 3.5.1 全面的应用、用户识别能力 (13) 3.5.2 细致的应用层控制手段 (15) 3.5.3 专业的应用层安全防护能力 (16) 3.5.4 卓越的应用层安全处理性能 (18) 3.5.5 首创的内网资产风险管理 (18) 3.5.6 先进的云端安全管理模式 (18) 3.5.7 完全涵盖传统防火墙功能特性 (19) 3.6典型部署 (19) 四. 总结 (20)

插图索引 图1 核心理念 (5) 图2 整体架构 (6) 图3 资产管理 (10) 图4 云端接入 (11) 图5 应用/用户识别 (13) 图6 应用控制 (15) 图7 一体化安全引擎 (16) 图8 双引擎多核并发 (18) 图9 典型部署 (19)

华为USG6000系列防火墙产品技术白皮书(总体)

华为USG6000系列下一代防火墙技术白皮书 文档版本V1.1 发布日期2014-03-12

版权所有? 华为技术有限公司2014。保留一切权利。 非经本公司书面许可,任何单位和个人不得擅自摘抄、复制本文档内容的部分或全部,并不得以任何形式传播。 商标声明 和其他华为商标均为华为技术有限公司的商标。 本文档提及的其他所有商标或注册商标,由各自的所有人拥有。 注意 您购买的产品、服务或特性等应受华为公司商业合同和条款的约束,本文档中描述的全部或部分产品、服务或特性可能不在您的购买或使用范围之内。除非合同另有约定,华为公司对本文档内容不做任何明示或暗示的声明或保证。 由于产品版本升级或其他原因,本文档内容会不定期进行更新。除非另有约定,本文档仅作为使用指导,本文档中的所有陈述、信息和建议不构成任何明示或暗示的担保。 华为技术有限公司 地址:深圳市龙岗区坂田华为总部办公楼邮编:518129 网址:https://www.sodocs.net/doc/466242625.html, 客户服务邮箱:ask_FW_MKT@https://www.sodocs.net/doc/466242625.html, 客户服务电话:4008229999

目录 1 概述 (1) 1.1 网络威胁的变化及下一代防火墙产生 (1) 1.2 下一代防火墙的定义 (1) 1.3 防火墙设备的使用指南 (2) 2 下一代防火墙设备的技术原则 (1) 2.1 防火墙的可靠性设计 (1) 2.2 防火墙的性能模型 (2) 2.3 网络隔离 (3) 2.4 访问控制 (3) 2.5 基于流的状态检测技术 (3) 2.6 基于用户的管控能力 (4) 2.7 基于应用的管控能力 (4) 2.8 应用层的威胁防护 (4) 2.9 业务支撑能力 (4) 2.10 地址转换能力 (5) 2.11 攻击防范能力 (5) 2.12 防火墙的组网适应能力 (6) 2.13 VPN业务 (6) 2.14 防火墙管理系统 (6) 2.15 防火墙的日志系统 (7) 3 Secospace USG6000系列防火墙技术特点 (1) 3.1 高可靠性设计 (1) 3.2 灵活的安全区域管理 (6) 3.3 安全策略控制 (7) 3.4 基于流会话的状态检测技术 (9) 3.5 ACTUAL感知 (10) 3.6 智能策略 (16) 3.7 先进的虚拟防火墙技术 (16) 3.8 业务支撑能力 (17) 3.9 网络地址转换 (18)

防火墙配置模式

前言 3 一、防火墙的概况、应用及功能 3 1.1 防火墙的定义 3 1.2防火墙的种类 4 1.2.2网络层防火墙 4 1.2.2应用层防火墙 4 1.2.3数据库防火墙 5 1.3 防火墙的功能 5 二、使用设置 5 2.1使用习惯 6 2.1.1所有防火墙文件规则必须更改 6 2.1 .2以最小的权限安装所有的访问规则 6 2.1.3 根据法规协议和更改需求来校验每项防火墙的更改 6 2.1.4当服务过期后从防火墙规则中删除无用的规则 7 2.2配置 7 2.3工作模式 8 2.3.1 透明网桥模式 8 2.3.1.1适用环境 9 2.3.1.2组网实例 9 2.3.2 路由模式 10 2.3.2.1适用环境 11 2.3.2.2NAT(网络地址转换) 11 2.3.2.3组网实例 12 三、总结 13

一、前言 随着计算机的日益发展,计算机早已深入到各个领域,计算机网络已无处不在。而internet的飞速发展,使计算机网络资源共享进一步加强。随之而来的安全问题也日益突出。在人们对网络的优越性还没有完全接受的时候,黑客攻击开始肆虐全球的各大网站;而病毒制造者们也在各显其能,从CIH到爱虫.中毒者不计其数。一般认为,计算机网络系统的安全威胁主要来自黑客的攻击、计算机病毒和拒绝服务攻击三个方面。目前,人们也开始重视来自网络内部的安全威胁。我们可以通过很多网络工具、设备和策略来为我们的网络提供安全防护。其中防火墙是运用非常广泛和效果最好的选择。然而购买了防火墙设备,却不是仅仅装上了硬件就能发挥作用的,而是需要根据你的网络结构和需求在合适的工作模式下配置相应的安全策略,才能满足你的安全需求。由此引出的问题和解决办法就是本文的主要研究对象。 一、防火墙的概况、应用及功能 1、防火墙的定义 所谓防火墙指的是一个由软件和硬件设备组合而成、在内部网和外部网之间、专用网与公共网之间的界面上构造的保护屏障.是一种获取安全性方法的形象说法,它是一种计算机硬件和软件的结合,使Internet与Intranet之间建立起一个安全网关(Security Gateway),从而保护内部网免受非法用户的侵入,防火墙主要由服务访问规则、验证工具、包过滤和应用网关4个部分组成,防火墙就是一个位于计算机和它所连接的网络之间的软件或硬件。该计算机流入流出的所有网络通信和数据包均要经过此防火墙。 在网络中,所谓“防火墙”,是指一种将内部网和公众访问网(如Internet)

防火墙系统(NSG系列)技术白皮书

目录 1产品概述 (1) 2产品特色 (2) 2.1灵活的管理接口 (2) 2.2管理员权限分权分立 (2) 2.3安全隔离的虚拟系统 (3) 2.3.1一机多用,节省投资 (3) 2.3.2灵活配置,方便管理 (3) 2.3.3业务隔离,互不影响 (3) 2.4全面的IPv6Ready能力 (4) 2.4.1IPv4/IPv6双栈 (4) 2.4.2跨栈隧道方案 (5) 2.5多层次可靠性保证,整机可靠性高 (7) 2.5.1硬件可靠性 (7) 2.5.2整机可靠性 (10) 2.5.3系统可靠性 (16) 2.5.4链路可靠性 (16) 2.6智能DNS解析 (22) 2.7地理位置识别(国内+国际) (22) 2.8全面、智能的路由功能 (22) 2.8.1全面的路由功能 (22) 2.8.2精确的多出口ISP路由智能选路 (22) 2.8.3对称路由保证来回路径一致 (23) 2.8.4高适应性的路由负载均衡算法 (23) 2.9一体化的安全策略 (23) 2.10全面的SSL解密防护 (23) 2.10.1SSL解密防护 (23) 2.10.2SSL入站检查 (24) 2.11丰富的VPN隧道类型 (24) 2.12强大的动态QoS功能 (24)

2.13持续关注重点应用/URL (24) 2.14深度安全检测及DLP,保护网络安全 (25) 2.14.1概述 (25) 2.14.2全面的应用层攻击防护能力 (25) 2.14.3先进的多维动态特征异常检测引擎 (26) 2.14.4灵活的自定义漏洞/间谍软件特征功能 (26) 2.14.5多维度的DLP数据防泄漏 (26) 2.14.6强大的威胁情报渗透 (27) 2.15多系统联动防护,构建立体式防护体系 (27) 2.15.1防火墙和终端系统联动 (28) 2.15.2防火墙和天眼系统联动 (29) 2.15.3防火墙和NGSOC系统联动 (29) 2.15.4防火墙和天御云系统联动 (30) 2.15.5防火墙和ITS系统联动 (30) 2.16应用及流量可视化,网络行为无所遁形 (32) 2.16.1概述 (32) 2.16.2大容量、多维度日志 (33) 2.16.3多样化的日志检索方式 (33) 2.16.4全方位风险信息展示及分析 (33) 2.16.5强大的内容审计策略 (34) 2.17自动化应急响应功能 (34) 3技术优势 (35) 3.1采用第四代SecOS系统 (35) 3.2整体框架采用AMP+并行处理架构 (35) 3.3优化的AMP+架构突破传统SMP架构瓶颈 (36) 3.4更优化的网口数据收发处理 (38) 3.5单引擎一次性数据处理技术 (39) 3.6多级冗余架构提高防火墙可靠性 (39) 3.7云端协同扩展精确定位威胁 (40) 3.8基于NDR安全体系的未知威胁闭环防御 (40) 4应用场景 (42) 4.1企业互联网边界安全应用场景 (42) 4.1.1典型场景 (42) 4.1.2痛点和优势 (43) 4.2行业专网网络安全应用场景 (44) 4.2.1典型场景 (44) 4.2.2痛点和优势 (45) 4.3数据中心出口安全应用场景 (46) 4.3.1典型场景 (46)

2015-4-14web应用防火墙WAF-产品白皮书(WAF)

2015-4-14web应用防火墙WAF-产品白皮书(WAF)

第1章概述 随着互联网技术的发展,Web应用日益增多,同时也面临着Web滥用、病毒泛滥和黑客攻击等安全问题,导致Web应用被篡改、数据被窃取或丢失。根据Gartner的统计当前网络上75%的攻击是针对Web应用的。攻击者通过应用层协议进入组织内部,如Web、Web邮件、聊天工具和P2P等攻击企业网络。利用网上随处可见的攻击软件,攻击者不需要对网络协议的深厚理解基础,即可完成诸如更换web网站主页,盗取管理员密码,破坏整个网站数据等等攻击。而这些攻击过程中产生的网络层数据,和正常数据没有什么区别。常见的威胁如下: 威胁名称威胁描述 非授权访问非授权用户可能试图访问和使用非授权端口、应用类型以及资源 Web应用攻 击恶意用户可能通过构造特殊的HTTP/HTTPS请求,对产品保护的web应用实施SQL注入、XSS等web攻击

络规划复杂化的今天防火墙的不适应性就越发明显,从用户对网络安全建设的需求来看,传统防火墙存在以下问题: 传统防火墙基于IP/端口,无法对WEB应用层进行识别与控制,无法确定哪些WEB应用经过了防火墙,自然就谈不上对各类威胁进行有效防御了。面对WEB应用层的攻击,防火墙显得力不从心,无法检测或拦截嵌入到普通流量中的恶意攻击代码,比如病毒、蠕虫、木马等。 传统防火墙无法抵御来自WEB应用层的威胁,自然就无法提供给用户有效的安全策略制定依据。传统防火墙的防御能力有限导致了用户对内网服务器的安全状态没有直观的体现和把握,缺乏安全信息的可视化。 1.1.1I PS设备能否抵御WEB攻击? IPS只能针对操作系统或者应用软件的底层漏洞进行防护,缺乏针对Web攻击威胁的防御能力,对Web攻击防护效果不佳。缺乏攻击事后防护机制,不具备数据的双向内容检测能力,对未知攻击产生的后果无能为力,如入侵防御设备无法应对来自于web网页上的SQL,XSS漏

SecPath虚拟防火墙技术白皮书

SecPath 虚拟防火墙技术白皮书

关键词:虚拟防火墙MPLS VPN 摘要:本文介绍了H3C 公司虚拟防火墙技术和其应用背景。描述了虚拟防火墙的功能特色,并介绍了H3C 公司具备虚拟防火墙功能的独立防火墙和防火墙插板产品的组网环境应用。 缩略语清单:

目录 1 概述 (3) 1.1 新业务模型产生新需求 (3) 1.2 新业务模型下的防火墙部署 (3) 1.2.1 传统防火墙的部署缺陷 (3) 1.2.2 虚拟防火墙应运而生 (4) 2 虚拟防火墙技术 (5) 2.1 技术特点 (5) 2.2 相关术语 (6) 2.3 设备处理流程 (7) 2.3.1 根据入接口数据流 (7) 2.3.2 根据Vlan ID数据流 (7) 2.3.3 根据目的地址数据流 (8) 3 典型组网部署方案 (8) 3.1 虚拟防火墙在行业专网中的应用 (8) 3.1.1 MPLS VPN组网的园区中的虚拟防火墙部署一 (9) 3.1.2 MPLS VPN组网的园区中的虚拟防火墙部署二 (10) 3.1.3 虚拟防火墙提供对VPE的安全保护 (10) 3.2 企业园区网应用 (11) 4 总结 (12)

1 概述 1.1 新业务模型产生新需求 目前,跨地域的全国性超大企业集团和机构的业务规模和管理复杂度都在急剧的增 加,传统的管理运营模式已经不能适应其业务的发展。企业信息化成为解决目前业 务发展的关键,得到了各企业和机构的相当重视。现今,国内一些超大企业在信息 化建设中投入不断增加,部分已经建立了跨地域的企业专网。有的企业已经达到甚 至超过了IT-CMM3 的级别,开始向IT-CMM4 迈进。 另一方面,随着企业业务规模的不断增大,各业务部门的职能和权责划分也越来越 清晰。各业务部门也初步形成了的相应不同安全级别的安全区域,比如,OA 和数据中 心等。由于SOX 等法案或行政规定的颁布应用,各企业或机构对网络安全的重视程 度也在不断增加。对企业重点安全区域的防护要求越来越迫切。 因此,对企业信息管理人员来说,如何灵活方便的实现企业各业务部门的安全区域 划分和安全区域之间有控制的互访成为其非常关注的问题。这也对安全区域隔离“利 器”――防火墙提出了更高的要求。 1.2 新业务模型下的防火墙部署 目前许多企业已经建设起自己的MPLS VPN 专网,例如电力和政务网。下面我们以 MPLS VPN 组网为例介绍在新的业务模型下防火墙的如何实现对各相互独立的业务 部门进行各自独立的安全策略部署呢? 1.2.1 传统防火墙的部署缺陷 面对上述需求,业界通行的做法是在园区各业务VPN 前部署防火墙来完成对各部门 的安全策略部署实现对部门网络的访问控制。一般部署模式如下图所示:

绿盟NSF-PROD-WAF-V6.0-产品白皮书-V3.0

绿盟WEB应用防火墙 产品白皮书 【绿盟科技】 ■文档编号■密级完全公开 ■版本编号■日期 ■撰写人■批准人 ? 2014 绿盟科技

■版权声明 本文中出现的任何文字叙述、文档格式、插图、照片、方法、过程等内容,除另有特别注明,版权均属绿盟科技所有,受到有关产权及版权法保护。任何个人、机构未经绿盟科技的书面授权许可,不得以任何方式复制或引用本文的任何片断。 ■版本变更记录 时间版本说明修改人

目录 一. 概述 (3) 二. 关键能力 (3) 2.1客户资产视角 (3) 2.2优化的向导系统 (4) 2.3快捷的配置体系 (5) 2.4完整的防护体系 (5) 2.5细致高效的规则体系 (6) 2.6主动防护的代理架构 (7) 2.7领先的DD O S防护能力 (8) 2.8智能补丁应急响应 (8) 2.9辅助PCI-DSS合规 (9) 2.10高可用性 (10) 三. 典型部署 (10) 四. 典型应用 (11) 4.1网站访问控制 (11) 4.2网页篡改在线防护 (12) 4.3网页挂马在线防护 (12) 4.4敏感信息泄漏防护 (12) 4.5DD O S联合防护 (13) 4.6非对称链路防护 (13) 五. 附录 (14) 5.1客户资产定义 (14) 5.2规则体系定义 (14) 5.3常见W EB应用攻击 (15)

插图索引 图表1策略实例 (3) 图表2资产分层及其防护层级 (4) 图表3向导体系过滤站点规则 (5) 图表4防护体系 (6) 图表5智能补丁 (9) 图表6WAF的典型部署 (11) 图表7绿盟WAF和绿盟ADS的DD O S联合防护方案 (13) 图表8站点的定义 (14) 图表9主机名的定义 (14) 图表10URI及相关字段的定义 (14)

中安威士数据库防火墙系统(VS-FW)

https://www.sodocs.net/doc/466242625.html, 中安威士数据库防火墙系统(VS-FW)产品概述 中安威士数据库防火墙系统,简称VS-FW。通过实时分析对数据库的访问流量,自动建立合法访问数据库的特征模型,发现和过滤对数据库的违规访问和攻击行为。主要功能包括:屏蔽直接访问数据库的通道、多因子认证、自动建模、攻击检测、访问控制、审计等。该产品具有高性能、大存储和报表丰富等优势。能为客户带来如下价值: 自动识别用户对敏感数据的访问行为模式,识别数据库的安全威胁,并定期更新攻击特征库 全面审核企业内部和外部人员对敏感数据的所有访问,提高数据安全管理能力 报警并阻止对数据库的非法访问和攻击,完善纵深防御体系,提升整体安全防护能力 避免核心数据资产被侵犯,保障业务安全运营 丰富的报表,帮助企业满足合规审计要求,快速通过评测 产品功能 屏蔽直接访问数据库的通道 数据库防火墙部署于数据库服务器和应用服务器之间,屏蔽直接访问数据库的通道,防止数据库隐通道对数据库的攻击,见下图。 多因子认证 基于IP地址、MAC地址、用户、应用程序、时间等因子对访问者进行身份认证,形成多因子认证,弥补单一口令认证方式安全性的不足。应用程序对数据库的访问,必须经过数据库防火墙和数据库自身两层身份认证。 攻击检测和保护 实时检测用户对数据库进行的SQL注入和缓冲区溢出攻击。并报警或者阻止攻击行为,同时详细的记录攻击操作发生的时间、来源IP、用户名、攻击代码等信息。

特征基线—自动建立访问模型 系统将自动学习每一个应用的访问语句,进行模式提取和分类,自动生成行为特征模型,并可以对学习结果进行编辑。系统通过检查访问行为与基线的偏差来识别风险。 虚拟补丁 数据库系统是个复杂的系统,自身具有很多的漏洞,容易被攻击者利用从而导致数据泄漏或致使系统瘫痪。而由于需要保证业务连续性等多种原因,用户通常不会及时对数据库进行补丁安装。中安威士防火墙通过内置的多种策略防止已知漏洞被利用,并有效的降低数据库被零日攻击的风险。 安全审计 系统能够审计对数据库服务器的访问情况。包括用户名、程序名、IP地址、请求的数据库、连接建立的时间、连接断开的时间、通信量大小、风险等信息。并提供灵活的查询分析功能。 报表 提供丰富的报表模板,包括各种审计报表、安全趋势等。 特性优势 技术优势 全自主技术体系:形成高技术壁垒 高速分析技术:特殊数据包分析和转发技术,实现高效的网络通信内容过滤多线程技术和缓存技术,支持高并发连接 ●基于BigTable和MapReduce的存储:单机环境高效、海量存储 ●基于倒排索引的检索:高效、灵活日志检索、报表生成

数据库防火墙技术研究

数据库防火墙技术研究 数据库防火墙是继防火墙、下一代防火墙等网关类安全产品之后,专门针对于数据存储的核心介质——数据库的一款安全防护产品。 关于数据库安全可以分为两个层面,一方面是来自于外部的威胁,比如说来自黑客的攻击、非法访问等,第三方运维人员的不当操作和非法入侵;另外一部分是来自于部的威胁。 数据库防火墙部署于数据库之前。必须通过该系统才能对数据库进行访问或管理。数据库防火墙除提供网络防火墙的基本隔离功能以外,还提供独立的连接授权管理、访问授权管理、攻击保护、连接监控、审计等功能。部署该产品以达到牢牢控制数据库入口,提高数据应用安全性的目的。目前,国首款专业数据库防火墙产品是安华金和数据库防火墙DBFirwall。 数据库防火墙的产品价值 1、屏蔽直接访问数据库的通道 数据库防火墙部署介于数据库服务器和应用服务器之间,屏蔽直接访问的通道,防止数据库隐通道对数据库的攻击。 2、二次认证 应用程序对数据库的访问,必须经过数据库防火墙和数据库自身两层身份认证。 3、攻击保护 实时检测用户对数据库进行的SQL注入和缓冲区溢出攻击。并报警或者阻止攻击行为,同时详细的审计下攻击操作发生的时间、来源IP、登录数据库的用户名、攻击代码等详细信息。 4、安全审计 系统能够审计对数据库服务器的访问情况。包括用户名、程序名、IP地址、请求的数据库、连接建立的时间、连接断开的时间、通信量大小、执行结果等等信息。并提供灵活的回放日志查询分析功能,并可以生存报表。 5、防止外部黑客攻击威胁 黑客利用Web应用漏洞,进行SQL注入;或以Web应用服务器为跳板,利用数据库自身漏洞攻击和侵入。通过限定更新和删除影响行、限定无Where的更新和删除操作、限定drop、truncate等高危操作避免大规模损失。

数据库防火墙的作用

数据库防火墙的作用 下面小编就给大家讲解一下数据库防火墙有什么用,干什么的,帮大家分析分析。 数据库防火墙系统,是一款基于数据库协议分析与控制技术的数据库安全防护系统。DBFirewall基于主动防御机制,实现数据库的访问行为控制、危险操作阻断、可疑行为审计。 简介编辑数据库防火墙技术是针对关系型数据库保护需求应运而生的一种数据库安全主动防御技术,数据库防火墙部署于应用服务器和数据库之间。用户必须通过该系统才能对数据库进行访问或管理。数据库防火墙所采用的主动防御技术能够主动实时监控、识别、告警、阻挡绕过企业网络边界(FireWall、IDS\IPS等)防护的外部数据攻击、来自于内部的高权限用户(DBA、开发人员、第三方外包服务提供商)的数据窃取、破坏、损坏的等,从数据库SQL语句精细化控制的技术层面,提供一种主动安全防御措施,并且,结合独立于数据库的安全访问控制规则,帮助用户应对来自内部和外部的数据安全威胁。

核心功能 屏蔽直接访问数据库的通道:数据库防火墙部署介于数据库服务器和应用服务器之间,屏蔽直接访问的通道,防止数据库隐通道对数据库的攻击。 二次认证:基于独创的“连接六元组【机器指纹(不可伪造)、IP地址、MAC地址、用户、应用程序、时间段】”授权单位,应用程序对数据库的访问,必须经过数据库防火墙和数据库自身两层身份认证。 攻击保护:实时检测用户对数据库进行的SQL注入和缓冲区溢出攻击。并报警或者阻止攻击行为,同时详细的审计下攻击操作发生的时间、来源IP、登录数据库的用户名、攻击代码等详细信息。 连接监控:实时的监控所有到数据库的连接信息、操作数、违规数等。管理员可以断开指定的连接。 安全审计:系统能够审计对数据库服务器的访问情况。包括用户名、程序名、IP地址、请求的数据库、连接建立的时间、连接断

DPtech防火墙技术白皮书

DPtech FW1000系列防火墙 技术白皮书 杭州迪普科技有限公司 2013年8月

目录 1、概述3 2、产品简介3 3、迪普科技防火墙特色技术4 3.1DPtech FW1000防火墙数据转发流程4 3.2丰富的网络特性5 3.3大策略下的高性能、低时延处理能力6 3.4攻击防范技术(IPv4/IPv6)7 3.5防火墙高可靠性9 3.6防火墙全面VPN支持11 3.7防火墙虚拟化技术13 3.7.1虚拟防火墙技术13 3.7.2VSM虚拟化技术17 3.7.3 N:M虚拟化技术19

1、概述 在应用需求的不断推动下,网络技术得到了飞速发展;而网络技术的进步则又反过来推动应用的发展,应用与网络之间是相辅相成、相互促进的。随着万兆到核心/千兆到桌面、Web2.0、虚拟化、物联网、网络音频/视频、P2P、云计算等各种新应用、新业务层出不穷,传统的基于端口进行应用识别和访问控制的防火墙,已远远无法满足各种新应用下安全防护的需求。为解决此类难题,迪普科技推出了基于全新多核处理器架构的FW1000系列下一代应用防火墙。 DPtech FW1000开创了应用防火墙的先河。基于迪普科技自主知识产权的APP-X硬件平台和ConPlat OS安全操作系统,并配备专业的入侵防御特征库、病毒库、应用协议库、URL库,是目前业界性能最高的应用防火墙。无以伦比的高可用性、高性能和高可靠性,使得FW1000系列可以放心规模部署于数据中心、大型园区网等各种复杂场景;另外,功能丰富并可按需扩展的应用防火墙方案,也简化了网络的安全架构,并大大降低了企业网络总体拥有成本。 2、产品简介 DPtech FW1000系列是迪普公司面向大中型企业、学校、数据中心以及运营商开发的新一代应用防火墙产品,是一种应用级的高性能防火墙,工作在网络边界层,根据安全策略对来自不同区域的数据进行安全控制,同时支持IPv4和IPv6环境,具备业界最高性能,网络无瓶颈,拥有全面的安全防护,可确保网络稳定运行,产品VPN全内置,提供最高性价比,灵活组网能力,可适应各种网络环境。

NGFW4000防火墙系列白皮书

网络卫士防火墙系统 NGFW4000系列 产品说明 天融信 TOPSEC? 北京市海淀区上地东路1号华控大厦 100085 电话:+8610-82776666 传真:+8610-82776677 服务热线:+8610-8008105119 https://www.sodocs.net/doc/466242625.html,

版权声明 本手册的所有内容,其版权属于北京天融信公司(以下简称天融信)所有,未经天融信许可,任何人不得仿制、拷贝、转译或任意引用。本手册没有任何形式的担保、立场倾向或其他暗示。 若因本手册或其所提到的任何信息引起的直接或间接的资料流失、利益损失,天融信及其员工恕不承担任何责任。本手册所提到的产品规格及资讯仅供参考,有关内容可能会随时更新,天融信恕不承担另行通知之义务。 版权所有不得翻印? 1995-2006天融信公司 商标声明 本手册中所谈及的产品名称仅做识别之用,而这些名称可能属于其他公司的注册商标或是版权,其他提到的商标,均属各该商标注册人所有,恕不逐一列明。 TopSEC?天融信 信息反馈 https://www.sodocs.net/doc/466242625.html,

NGFW 4000系列产品说明 目录 1产品概述 (2) 2产品特点 (2) 3产品功能 (8) 4运行环境 (13) 5产品规格 (14) 6典型应用 (15) 6.1典型应用一:在企业、政府纵向网络中的应用 (15) 6.2典型应用二:在企业、政府内部局域网络中的应用 (16) 6.3典型应用四:在大型网络中的应用 (17) 6.4典型应用五:防火墙作为负载均衡器 (17) 6.5典型应用六:防火墙接口备份 (18)

防水墙和防火墙

防水墙和防火墙 一般来讲,大型机构在网络化过程中面临的安全问题可包括网络系统安全和数据安全。 针对网络系统安全方面,通常分为两种: 1.各类计算机病毒、系统陷阱(Trapdoors)、隐蔽访问通道、黑客攻击等造成敏感 数据泄密、Web站点瘫痪等等问题,都是机构实现网络化面临的外部威胁,这种为 内部漏水。 2.机构需要防止网络系统遭到没有授权的存取或破坏以及非法入侵;在数据安全方面 机构则需要防止机要、敏感数据被窃取或非法复制、使用等,这种一般为外部着火。 网络防水墙和网络防火墙无疑解决了这方面的问题。 一.防水墙 1.定义 防水墙,用于内网防泄漏产品,是一种防止内部信息泄漏的安全产品。网络、外设接口、存储介质和打印机构成信息泄漏的全部途径。防水墙针对这四种泄密途径,在事前、事中、事后进行全面防护。其与防病毒产品、外部安全产品一起构成完整的网络安全体系。 2.组成结构 最简单的防水墙由客户端和管理中心、服务器三层结构组成:高层的用户接口层,以实时更新的内网拓扑结构为基础,提供系统配置、策略配置、实时监控、审计报告、安全告警等功能;低层的功能模块层,由分布在各个主机上的探针组成;中层的安全服务层,从低层收集实时信息,向高层汇报或告警,并记录整个系统的审计信息,以备查询或生成报表。 3.主要功能 各个厂家的防水墙的功能类似,但并不尽相同,一般内网监控系统具有以下功能:(1)信息泄漏防范,防止在内部网主机上,通过网络、存储介质、打印机等媒介,有意或无意的扩散本地机密信息; (2)系统用户管理,记录用户登录系统的信息,为日后的安全审计提供依据; (3)系统资源安全管理,限制系统软硬件的安装、卸载,控制特定程序的运行,限制系统进入安全模式,控制文件的重命名和删除等操作; (4)系统实时运行状况监控,通过实时抓取并记录内部网主机的屏幕,来监视内部人员的安全状况,威慑怀有恶意的内部人员,并在安全问题发生后,提供分析其来源的依据,在必要时,也可直接控制涉及安全问题的主机的I/O设备,如键盘、鼠标等;

深信服防火墙NGAF方案白皮书

深信服下一代防火墙NGAF方案白皮书

目录 一、企业级网络安全建设需要什么 (4) 1.传统割裂的各种安全产品? (4) 2.“雇佣兵”式的安全服务? (5) 3.企业级的网络安全到底需要什么? (5) 二、深信服下一代防火墙的定位 (6) 1.适用于国内环境的下一代防火墙 (6) 2.我们不仅交付产品,还为您持续输送安全能力 (7) 三、深信服下一代防火墙为企业安全赋能 (7) 1.看懂安全现状和风险 (7) 1.1业务安全状况可视 (7) 1.2威胁危害效果可视 (8) 1.3安全事件实时通报 (9) 2.持续对抗新型威胁 (10) 2.1产品快速迭代应对已知威胁 (10) 2.2完整的APT攻击检测链 (11) 2.3云检测平台应对未知威胁 (12) 3.简化安全运营 (13) 3.1任务化的风险管理 (13) 3.2全网安全统一管控 (14) 3.3威胁情报预警与处置 (15) 3.4风险评估与策略联动 (15)

3.5智能联动封锁机制 (16) 四、高效稳定的底层架构设计 (16) 1.分离平面设计 (16) 2.多核并行处理 (17) 3.单次解析架构 (17) 4.跳跃式扫描技术 (18) 5.Sangfor Regex正则引擎 (18) 6.产品性能评测报告 (19) 五、深信服下一代防火墙品牌优势 (19) 1.市场引领者 (19) 2.专业权威的认可 (20) 3.专业安全攻防团队 (21) 4.产品可靠稳定 (21) 六、典型场景和案例 (22) 典型应用场景 (22) 典型应用案例 (23) 七、部分客户列表 (25)

数据库防火墙如何防范SQL注入行为

数据库防火墙如何防范SQL注入行为 一、SQL注入简介 什么是SQL注入 SQL注入是当前针对数据库安全进行外部攻击的一种常见手段。现有主流应用大多基于B/S架构开发,SQL注入的攻击方式正是利用web层和通讯层的缺陷对数据库进行外部恶意攻击。将SQL命令巧妙的插入通讯的交互过程中,如:Web表单的递交、域名输入、页面请求等。通过硬性植入的查询语句攻击数据库,以期利用服务器自身缺陷执行恶意的SQL命令,从而入侵数据库。因此通过SQL注入攻击方式产生的安全事件也在增多,对系统的危害性极大。 通过SQL注入可以远程获取并利用应用里的数据,并且获取未经hashed加密的用户秘钥以及信用卡信息,甚至有以管理员身份登陆进这些应用的可能。下面通过一组常见的SQL注入攻击方式,进行说明: 首先,我们假设数据库中有JOB表,模拟进行攻击,查询表中数据量。 然后,应用中调用恶意的攻击性url向JOB表植入SQL语句: http://localhost:port/webapp/Default.aspx?jobid=1'or 1=(select count(*) from job)— 那么,攻击时等效的SQL语句如下: 1.SELECT job_id, job_desc, min_lvl, max_lvl 2.FROM jobs 3.WHERE job_id='1'or 1=(select count(*) from jobs ) --' 如果SQL注入的假设错误,web页面如图一: 图一 如果SQL注入的假设成功,web界面如图二:

图二 攻击说明:如果SQL注入的假设成功,即证明了数据库中该表的表名是jobs,从而我们也就可以对该表进行增删改操作,从而对数据库安全造成极其严重的危害。 SQL注入的8种攻击行为 安全界有句名言“未知攻,焉知防”,想要预防SQL注入,需要进一步剖析SQL 注入都有哪些常见攻击方式。 1. 猜测数据库名,备份数据库 2. 猜解字段名称 3. 遍历系统的目录结构,分析结构并发现WEB虚拟目录,植入木马 4. 查询当前用户的数据库权限 5. 设置新的数据库帐户提权得到数据库管理员账户权限 6. 利用存储过程获取操作系统管理员账户 7. 客户端脚本攻击:通过正常的输入提交方式将恶意脚本提交到数据库中,当其他用户浏览此内容时就会受到恶意脚本的攻击。 8. 客户端脚本攻击:通过SQL注入方式将恶意脚本提交到数据库中,直接使用SQL语法UPDATE数据库,并将注入SQL经过“HEX编码”,然后通过exec执行“动态”SQL的特性运行脚本。 综上可知,SQL注入对数据库的攻击方式日趋繁多,危害也日益严重,因此如何做好SQL注入的防护工作也就变成考量数据库安全产品的一道标杆。 SQL注入的5种防护方式 常规的SQL注入防护方式,包括以下几个方面 1. 通过正则表达校验用户输入 2. 通过参数化存储过程进行数据查询存取

相关主题