天清汉马企业防火墙技术白皮书

天清汉马USG企业防火墙

技术白皮书

目录

1概述 (2)

2产品综述 (3)

2.1产品综述 (3)

2.2特点说明 (3)

3体系架构说明 (6)

3.1产品构成 (6)

3.2硬件结构 (6)

3.3软件结构 (8)

3.4管理结构 (9)

4关键技术 (11)

4.1多核智能驾驭技术 (11)

4.2事件关联分析技术与归并处理机制 (12)

4.3高速深层检测技术 (12)

4.4智能内容过滤技术 (14)

4.5数据监控NetFlow技术 (17)

4.6非法连接过滤技术 (18)

5典型组网 (19)

5.1政府行业 (19)

5.1.1电子政务网 (19)

5.1.2政府专网 (20)

5.2教育行业 (22)

5.2.1高教校园网 (22)

5.2.2中/基教教育城域网 (23)

5.3企业市场 (24)

5.3.1中小企业 (24)

5.3.2大型企业 (25)

1概述

诞生20多年来，网络已经在全球经济中扎根发芽，蓬勃成长为参天大树，对各个行业的发展起着举足轻重的作用。随着时间的推移，网络的安全问题也日益严重，在开放的网络环境中，网络边界安全成为网络安全的重要组成部分。在网络安全的术语里，有一个名词叫做“安全域”，其主要作用就是将网络按照业务、保护等级、行为等方面划分出不同的边界，定义出各自的安全领域。举个简单的例子，在PC上安装了相关的杀毒软件，PC本身就是一个最简单的安全域。对于单位用户，安全域往往由若干网络设备和用户主机构成，其边界安全主要在于与互联网的边界、与其他业务网络的边界等。

防火墙是解决网络边界安全的重要设备，它主要工作在网络层之下，通过对协议、地址和服务端口的识别和控制达到防范入侵的目的，可以有效的防范基于业务端口的攻击。

天清汉马USG防火墙是北京启明星辰信息安全技术有限公司凭借在信息安全领域多年的经验积累，总结分析用户的切身需求，推出新一代的防火墙产品。天清汉马USG防火墙采用高性能的硬件架构和一体化的软件设计，除了实现了状态检测防火墙功能，还同时支持VPN、外联控制、抗拒绝服务攻击（Anti-DoS）、内容过滤、NetFlow、虚拟防火墙等多种安全技术，同时全面支持QoS、高可用性（HA）、日志审计等功能，为网络边界提供了全面实时的安全防护。

天清汉马USG防火墙可通过软件升级的方式，获得对完整的UTM特性的支持，包括防病毒（A V）、入侵防御（IPS）、防垃圾邮件（Anti-Spam）和内网安全功能。

天清汉马USG防火墙产品线丰富，可以为政府、教育、金融、企业、能源、运营商等用户提供所需要的全系列的安全防护产品。

2产品综述

2.1产品综述

天清汉马USG防火墙采用了业界最先进的基于MIPS64的多核硬件架构和一体化的软件设计，集防火墙、VPN、上网行为管理、抗拒绝服务攻击（Anti-DoS）、内容过滤、NetFlow、虚拟防火墙等多种安全技术于一身，高性能、绿色低碳，同时全面支持各种路由协议、QoS、高可用性（HA）、日志审计等功能，为网络边界提供了全面实时的安全防护，帮助用户抵御日益复杂的安全威胁。

天清汉马USG防火墙采用了一体化的设计方案，在一个产品中协调统一地实现了接入安全需要考虑的方方面面。采用天清汉马USG防火墙，可以从整体上解决了接入安全的问题。用户可不必考虑产品部署、兼容性等困惑，也不再因为多个产品难于维护管理而苦恼，天清汉马USG防火墙是低成本、高效率、易管理的理想解决方案。

天清汉马USG防火墙产品线丰富，可以为政府、教育、金融、企业、能源、运营商等用户提供所需要的全系列的安全防护产品。

自从天清汉马USG防火墙推向市场以来，很快就凭借其强大的功能和在实际应用中优异表现，赢得了众多机构和用户的广泛赞誉。

2.2特点说明

天清汉马USG防火墙具有如下特点：

完善的防火墙特性

?支持基于源IP、目的IP、源端口、目的端口、时间、服务、用户、文

件、网址、关键字、邮件地址、脚本、MAC地址等方式进行访问控制?支持流量管理、连接数控制、IP+MAC绑定、用户认证等

?支持虚拟防火墙：可以将接口划分给不同的虚拟防火墙，每个虚拟防火

墙具有独立的管理员、安全域、资源对象、安全策略、NAT规则、静态路由等配置

?同终端无缝结合：支持同天珣内网安全管理系统联动，将防火墙防御能

力推进到桌面终端

高网络适用性

?支持透明、路由和NAT模式部署

?支持静态路由、策略路由、RIP/OSPF/BGP动态路由，支持等价路由

ECMP和加权路由WCMP，支持组播路由

?支持STP，可以同二层网络设备进行生成树计算

?支持IGMP Snooping，优化在桥模式下的组播流量

?支持私有HA和VRRP

?支持IPv6：支持IPv4、IPv6双栈运行、静态IPv6路由、手工隧道、6to4

隧道和ISATAP隧道。

?支持链路聚合，可通过手动方式、IEEE802.3ad 静态LACP方式创建聚

合链路；通过链路聚合可以增加链路带宽，并起到负载均衡和链路备份的作用

高稳定性和可靠性

?采用多核MIPS架构，产品具有高性能，同时多核之间互为备份，可靠

性高

?支持私有协议HA和VRRP，实现双机热备和冗余

?支持双操作系统和多配置文件，最大支持10个配置文件备份

全面的VPN支持

?多VPN支持：IPSec、L2TP、SSL VPN、GRE

?丰富的应用：专用VPN客户端、USBKEY、动态口令卡、图形认证码

?灵活的部署：Hub-Spoken、Full-Mesh、DVPN、网关－网关的SSL VPN ?支持对IPAD、IPHONE等移动终端的VPN接入

完善的上网行为管理功能

?采用独立的上网行为管理库，通过互联网实现每周更新。

?P2P控制：对Emule、BitTorrent、Maze、Kazaa等进行阻断、限速

?IM控制：基于黑白名单的IM登录控制、文件传输阻止、查毒；支持

主流IM软件如QQ、MSN、雅虎通、Gtalk、Skype

?流媒体控制：对流媒体应用进行阻断或限速，支持Kamun ppfilm 、

PPLive、PPStream、QQ直播、TVAnts、沸点网络电视、猫扑播霸等

?网络游戏控制：对常见网络游戏如魔兽世界、征途、QQ游戏大厅、联

众游戏大厅等的阻断

?股票软件控制：对常用股票软件如同花顺、大参考、大智慧等的阻断强大的日志报表功能

?记录内容丰富：可对防火墙日志、攻击日志、病毒日志、带宽使用日志、

Web访问日志、Mail发送日志、关键资产访问日志、用户登录日志等

进行记录

?日志快速查询：可对IP地址、端口、时间、危急程度、日志内容关键

字等进行查询

?报表贴近需求：根据用户具体需求，定制报表内容、定制报名名称、定

制企业LOGO，并可形成多种格式的报表文件。

方便的集中管理功能

?通过集中管理与数据分析中心实现对多台设备的统一管理、实时监控、

集中升级和拓扑展示。

3体系架构说明

3.1产品构成

天清汉马USG防火墙主要由两部分组成：USG防火墙设备和天清集中管理与数据分析中心。

USG防火墙设备：即部署在网络出口，融合多种安全能力，针对恶意攻击、非法活动和网络资源滥用等威胁，实现精确防控的高可靠、高性能、易管理的网关安全设备。

天清集中管理与数据分析中心：主要功能分为集中管理功能与数据分析功能，集中管理是对USG防火墙设备的集中管理、统一监控和升级中心，通过它可以集中配置、监控和管理所管辖的多台USG防火墙设备，并按照一定的规则组织成层次结构，方便管理员对于整网USG防火墙设备的监控维护工作；数据分析中心是USG防火墙设备海量信息的后台处理中心。主要完成USG防火墙设备日志和流量信息的存储、分析、审计和处理功能。

3.2硬件结构

随着Internet的迅速普及，一方面全球范围内的网络病毒、黑客攻击、操作系统漏洞、垃圾邮件等网络安全问题层出不穷，且变化越来越快，危害越来越大；另一方面，随着网络应用的增加，对网络带宽提出了更高的要求。那么安全网关作为保障网络安全的第一道防线，究竟何种硬件架构最适合防火墙产品？

要满足未来信息安全产品适应信息高速膨胀的发展趋势，提升开放平台的硬件性能，即是必然趋势也是满足未来应用需求的关键要素。在这样一个开放性平台应用需求的驱动力下，多核技术应运而生。这里所说的多核并不是基于X86的2核、4核这样的CPU，而是在网络、安全设备上最新使用的基于MIPS64的多核SoC（System on Chip）处理器，此类多核SoC处理器目前可支持到16核，并随着安全计算需求的不断增加而继续提升。

相比X86、NP、ASIC硬件平台，SoC多核平台的最大优势是保留了X86

平台的高灵活性（这一点对于安全设备的应用层检测非常关键），同时具备与ASIC平台相当的高处理性能。同时，通过增加核数，使线性提升硬件计算能力成为了可能，更重要的是功耗也随之得到了控制（图2）。

图1.不同硬件架构比较

多核架构在支撑灵活性和高性能的同时，带来的另一个卓有成效的经济效益是低碳、节能。

对信息安全产品而言，减排、低功耗是实现“低碳经济”最主要的节能目标。多核架构的主要优势为一颗芯片上集成了多个核，核与核之间可以协同工作，同时在各个核周边还集成了丰富的安全协处理硬件，如硬件加密、正则匹配和应用加速等，高集成度的特点简化了整体硬件板卡的复杂度和能耗。同样的应用，对于X86通用硬件平台，需要1颗甚至多颗高频率CPU，同时需要南北桥芯片组、通过PCI扩展的硬件加速板卡或应用加速卡等，一系列配套芯片设计使能耗远远高于同档次多核SoC专用硬件平台。根据功耗对比测试，多核SoC硬件平台实际功耗仅为同档次X86平台的1/3左右。

在高效能、低炭排放的同时，多核架构带给信息安全产业的另一个优势为高质量。高度集成的SoC处理器降低了硬件平台的整体复杂度，硬件的简化促

使故障率可以降低到1％以下（X86平台故障率通常为5％以上），达到电信级标准。

图2.天清汉马USG基于MIPS64的多核硬件架构

为了满足云计算的安全趋势，2010年启明星辰USG防火墙产品全面切换为基于MIPS64的多核SoC硬件架构，为用户网络提供更加安全、高效、可靠、环保和节能的安全网关产品。

3.3软件结构

防火墙作为网关类产品，究竟什么样的软件结构更有利于提升整体性能？那么首先需要知道什么是性能消耗的关键业务单元。启明星辰通过对网关类产品单一分析处理引擎的详细分析和试验验证，得出网关类产品性能消耗50％来自于模式匹配，25％来自于协议重组、25％来自于报文重组的结论。

图3.网关分析处理引擎性能消耗分析

如何融合分析处理引擎，合并性能消耗关键业务单元成为防火墙产品软件结构设计首要考虑的问题。

基于研究数据，启明星辰在天清汉马USG防火墙的软件结构设计上引入了一体化的设计理念。即将防火墙、VPN、内容过滤和流量管理等各项功能的分析处理引擎进行一体化设计，以达到性能最优的目的。

天清汉马USG防火墙本着安全高效原则，采用“检测与控制相分离，引擎特征相统一”的一体化设计思想：人机界面、报文接收模块、报文处理模块、报文发送模块和支撑库。网络报文首先通过报文接收模块进行预处理后进入报文处理模块，在报文处理模块，防火墙进行2－3层过滤，VPN负责接入控制；其次模块匹配引擎和行为分析引擎分别根据统一特征库和行为知识库进行匹配查找；最后，对于合法报文直接交由报文发送模块进行报文转发，对于非法报文，送交相应的处理引擎进行处理。整个过程的日志信息和数据流量信息送集中管理与数据分析中心监控和备案，管理中心负责整体的配置和调整。

3.4管理结构

优秀的管理系统是产品能否有效利用的关键，天清汉马USG防火墙提供了灵活且丰富的管理系统。包括简洁的单机管理器，也包括适合网关批量部署的分布式的集中统一管理中心；既提供了设备配置管理能力，又提供了强大的数据分析能力。产品的管理结构具体如下图：

图4.天清汉马USG管理结构示意图

天清汉马USG防火墙提供集中管理和单机管理相结合的双重管理机制。在USG防火墙设备软件中集成了Web Server和Manage agent功能，Web Server 提供本地单机方式的Web管理；Manage agent提供集中管理和数据分析中心的信息采集和发送任务。整个传输过程采用SSL加密机制。

天清汉马USG防火墙的双重管理结构实现了“管理分层，功能分级”的管理思想，一方面USG防火墙设备自身的Web Server提供了单机的Web管理机制，用于进行详细的功能设置；集中管理功能通过内置在USG防火墙设备中的Manage agent获取系统状态信息、流量信息和版本信息，用于进行整体的设备状态显示。同时以分组的方式管理设备，以组为单位进行远程统一配置、升级等操作，并可以将管理的USG防火墙设备按照一定的规则进行组织成层次结构，便于用户逻辑的标识所管理的设备。

4关键技术

天清汉马USG防火墙采用了多种专利技术和创新技术，为确保多种安全能力的融合，性能的持续恒定起到了重要作用。

4.1多核智能驾驭技术

新一代的防火墙产品具有3大技术特点：吞吐密集、运算密集、应用层特性匹配密集。这3大特点对硬件平台提出了极大的挑战，也正是基于此，防火墙过去饱尝性能瓶颈之苦。目前，X86平台常见的多核处理器是4核，而SoC多核平台已最高可达16核，单从CPU内核的数量上就已经高出4倍。不仅如此，Cavium多核芯片专为信息安全产品应用量身内置了一系列专用硬件，使得最终构建出的产品在性能、稳定性上很易于达到电信级标准。

吞吐密集：针对信息安全产品应用特点，Cavium多核CPU设计了高达640Gbps的内部总线带宽，是目前4核X86CPU最高总线带宽的6倍，充分保障高性能的可实现。片内集成了收发包模块，千兆、万兆等的线速接口器件，与总线直连，充分保障各业务接口的线速性能和系统并行度，并最大限度的减少CPU在此方面的开销。不同于X86架构下需要用北桥、内存控制器实现内存操作，Cavium多核CPU片内集成了DDR2/RLDRAM2内存控制器，避免了内存成为平台性能的瓶颈。

运算密集：Cavium多核CPU可支持高达16个CPU核，每CPU核既可用于处理不同的业务又可统一调度协同运算，共同为运算提供澎湃动力。每CPU 核集成了一个专门针对包处理应用特点而开发的指令集，可通过指令直接进行位域操作、面向字节的操作等，不必再向X86架构下的多条指令实现一个功能，结合RISC CPU短指令集对于多分支执行的优势，设备对于面向包处理的复杂应用层业务的运算效率提高了2-3倍。

虽然SOC多核硬件平台具备强大的性能优势，但X86平台属于通用硬件平台，具有开发难度小的优势，而SoC多核平台属于专用硬件平台，驾驭难度相当高。尤其是计算性能的提升，是否能随核数的增多而达到线性的增长。这其中需要在多核硬件的基础上作大量的原创性设计。

启明星辰从2006年开始踏入多核领域，从平台选型、平台预研到最终的产品化交付，共经历了两年半的时间。在此过程中经过不断的摸索与尝试终攻克了一系列难题，最终成功驾驭了多核计算。

4.2事件关联分析技术与归并处理机制

对用户的多个网络行为进行关联，是提高检测精度的有效手段。比如一个用户首先对HTTP服务进行了慢速CGI扫描，服务端反馈的结果证明其运行了可能含有漏洞的某个CGI，之后该用户又发送了包含ShellCode的请求，从这两次行为分别看，每个都不能绝对的将其界定为恶意行为，如果将两个行为联系起来，则基本可以确定该行为的高风险等级。

针对大规模的监测系统应用中可能出现一个网络异常行为在多个监测点作为事件报告而形成事件洪流的问题，数据关联性分析模块首次提出并采用了基于统计分析的二次事件分析技术，能够对不同时间、不同地点、不同事件的大量信息进行统一处理，简洁、准确地报告出正确的网络安全事件。

4.3高速深层检测技术

?高精度应用层协议分析

协议分析是深度检测必不可少的环节，它可以减少特征匹配的计算量，提高匹配精度。但是深度的协议分析本身也需要相当大的计算量，如何既保证特征匹配和文件还原所需的分析精确度，又不占用过多的资源，是高速环境下必须面对的课题。我们将主要通过以下两方面来解决这一问题，

1)基于攻击研究和特征知识库选择分析深度。协议分析不需要的无限制的

精细，否则入侵防御系统将变成一个低效的应用代理系统，协议分析应

该建立在对网络攻击研究的基础上，对特征知识库中需要的协议信息进

行分析，这点的实现关键集中在攻击研究上，软件实现中可通过编译时

的条件控制和运行时对特征库进行扫描设置相应开关完成；

2)高效协议自识别算法。对于非周知端口的通信，需要通过内容识别其所

属的协议类型。这一内容识别的过程类似于攻击检测的特征识别过程，

可以通过多阶段分析和匹配算法的选择降低计算开销。

?多模匹配算法选择

由于在一个报文的匹配中，最为耗时的匹配运算是在报文中匹配多个串模式。过去的几十年中学术界提出了若干的多模匹配算法，并且在工业界得到了很好的应用，比如AC算法、WM算法在软件检测系统中证明了其优秀的性能。在以往的多模匹配算法通常是在理论分析的基础上，在IA32架构和随机数据源上进行实验选择，且算法一经确定就固化在软件中。实际这样得出的算法不能保证在所有的处理器架构和数据源条件下都保证是已知算法中最优的。

现在在学术界存在多种多串并行匹配的算法，在商业产品中应用较多有Aho-Corasick、Wu-Manber和ExB算法或它们的变种。

根据研究发现，所有这些算法的性能分析全部是基于理想的存储模型，忽略访存的性能开销。由于存储器速度远低于处理器速度，两者相差一个数量级以上，为避免存储器效能低造成系统整体的效能低下，绝大多数系统采用多级存储结构，增加少量的高速缓存隐藏存储器的性能瓶颈。但是在多串匹配算法中，数据结构非常庞大，并且匹配过程中不断在非连续的地址间跳转，此时高速缓存的命中率大幅下降，不考虑访存开销显然已不能反映各算法在实际应用中的效能。

实际上不存在一种普适的算法能够在各种情况下都有最佳表现，同样的算法可能在不同的数据源、特征集、处理器结构上性能相差甚远。我们将结合具体的硬件（处理器）架构和匹配规则的分布类型，将其抽象为与匹配算法效能相关的若干关键参数，计算出当前适用的最优算法。具体采用动态和静态两种方式实现自适应选择。如下图，

配置管理层面控制层面服务层面

图5.自适应示意图

静态自适应在系统初始化时进行，统计各协议变量特征及相关匹配模式特征，结合备选多模式匹配算法的性能特征，为规则匹配树节点选择最优的多模式匹配算法。控制参数包括处理器类型、主频、Cache Line长度、L2Cache容量、存储器时延、最短模式长度、次短模式长度、模式数量、模式字符集大小、同前缀模式数量等等。动态自适应在系统运行过程中采样统计影响算法效率的网络数据，如果统计值显示当前网络数据趋势稳定，则进行动态算法选择，确定是否有大幅超过当前算法效率的算法模块存在，并进行调用。

最优规则树

特征匹配的过程不仅包括串匹配，还有对诸如地址、端口、协议类型等等许多协议字段的匹配。为了方便，我们将多个协议字段构成的模式称为多数据类型模式，与上面提到的串模式进行区分，串模式可以认为是多数据类型模式的一个子集。在以往的工作中，我们受AC算法的启发，将其扩展到多数据类型模式匹配，即将多个模式中的相同协议字段归并，构建一个或多个树型模式结构，达到一次匹配多个模式的目的。

与串匹配不同的是，多数据类型模式中，每种数据类型的单次匹配开销是不同的，在实际运行中的命中几率也是不同的。同样是树型数据结构，其最佳效率和最差效率相差可能在一个数量级以上，如果能将低命中率、低匹配开销的工作尽可能提前，将会接近最佳的匹配效率。

4.4智能内容过滤技术

内容分析子系统要充分发挥当前处理器所具备的多核能力。一个大的原则就是数据交换过程中尽量避免核间和核内的临界锁以及字符串拷贝，所以数据的生产者和消费者应该使用一个大的缓冲区来交换数据。传统的做法就是把这个缓冲区变成一个环形队列，捕包程序和协议栈程序分别持有一个写指针和读指针，只要两个指针不互相超越就可以。在协议栈单线程的情况下这种方法没有问题，但是在多核以及SMP情况下，为了充分发挥硬件的计算能力，必须把内容分析过滤子系统多线程化（并行化）。

但是上述数据交换方式在内容分析多线程的情况下就出现了问题。当协议栈多线程的时候，必须使用专门的线程实现捕包程序捕获的数据包的分发，也就是

迪普防火墙专业技术白皮书

迪普防火墙技术白皮书

————————————————————————————————作者：————————————————————————————————日期：

迪普FW1000系列防火墙 技术白皮书 1 概述 随着网络技术的普及，网络攻击行为出现得越来越频繁。通过各种攻击软件，只要具有一般计算机常识的初学者也能完成对网络的攻击。各种网络病毒的泛滥，也加剧了网络被攻击的危险。目前，Internet网络上常见的安全威胁分为以下几类： 非法使用：资源被未授权的用户（也可以称为非法用户）或以未授权方式（非法权限）使用。例如，攻击者通过猜测帐号和密码的组合，从而进入计算机系统以非法使用资源。 拒绝服务：服务器拒绝合法用户正常访问信息或资源的请求。例如，攻击者短时间内使用大量数据包或畸形报文向服务器不断发起连接或请求回应，致使服务器负荷过重而不能处理合法任务。 信息盗窃：攻击者并不直接入侵目标系统，而是通过窃听网络来获取重要数据或信息。 数据篡改：攻击者对系统数据或消息流进行有选择的修改、删除、延误、重排序及插入虚假消息等操作，而使数据的一致性被破坏。

?基于网络协议的防火墙不能阻止各种攻 击工具更加高层的攻击 ?网络中大量的低安全性家庭主机成为攻 击者或者蠕虫病毒的被控攻击主机 ?被攻克的服务器也成为辅助攻击者 Internet 目前网络中主要使用防火墙来保证内部网路的安全。防火墙类似于建筑大厦中用于防止 火灾蔓延的隔断墙，Internet防火墙是一个或一组实施访问控制策略的系统，它监控可信任 网络（相当于内部网络）和不可信任网络（相当于外部网络）之间的访问通道，以防止外部 网络的危险蔓延到内部网络上。防火墙作用于被保护区域的入口处，基于访问控制策略提供 安全防护。例如：当防火墙位于内部网络和外部网络的连接处时，可以保护组织内的网络和 数据免遭来自外部网络的非法访问（未授权或未验证的访问）或恶意攻击；当防火墙位于组 织内部相对开放的网段或比较敏感的网段（如保存敏感或专有数据的网络部分）的连接处时， 可以根据需要过滤对敏感数据的访问（即使该访问是来自组织内部）。 防火墙技术经历了包过滤防火墙、代理防火墙、状态防火墙的技术演变，但是随着各种 基于不安全应用的攻击增多以及网络蠕虫病毒的泛滥，传统防火墙面临更加艰巨的任务，不 但需要防护传统的基于网络层的协议攻击，而且需要处理更加高层的应用数据，对应用层的 攻击进行防护。对于互联网上的各种蠕虫病毒，必须能够判断出网络蠕虫病毒的特征，把网 络蠕虫病毒造成的攻击阻挡在安全网络之外。从而对内部安全网络形成立体、全面的防护。

天清汉马USG防火墙快速安装指南

天清汉马USG快速安装指南 安全技术有限公司手册版本 产品版本 2.6.3 资料状态发行

第1章软件安装 .................................................................................................. 1-2 1.1 准备条件 ........................................................................................................... 1-2 1.2 天清集中管理与数据分析中心安装过程 ....................................................... 1-2 1.2.1 MSDE数据库.................................................................................................................. 1-4 1.2.2 天清集中管理与数据分析中心................................................................................... 1-4 1.3 管理配置 ........................................................................................................... 1-7 1.3.1 配置数据库服务器....................................................................................................... 1-8 1.3.2 配置入库缓冲文件路径............................................................................................... 1-9 1.3.3 配置声音报警............................................................................................................. 1-10第2章软件卸载 ................................................................................................ 2-11 2.1 天清集中管理与数据分析中心卸载过程 ..................................................... 2-11第3章硬件安装 ................................................................................................ 3-12 3.1 准备条件 ......................................................................................................... 3-12 3.2 标识说明 ......................................................................................................... 3-12 3.3 设备安装 ......................................................................................................... 3-14 3.3.1 模块化设备安装......................................................................................................... 3-14 3.3.2 10000E设备安装........................................................................................................ 3-15第4章快速配置 ................................................................................................ 4-16 4.1 设备默认配置 ................................................................................................. 4-16 4.1.1 管理口的默认配置..................................................................................................... 4-16 4.1.2 默认管理员用户......................................................................................................... 4-16 4.2 Web快速配置.................................................................................................. 4-16 4.2.1 登录设备..................................................................................................................... 4-16 4.2.2 语言配置..................................................................................................................... 4-18 4.2.3 配置路由模式............................................................................................................. 4-19 4.2.4 配置桥模式................................................................................................................. 4-22 4.2.5 配置安全策略............................................................................................................. 4-24 4.2.6 配置NAT...................................................................................................................... 4-26 4.3 天清集中管理与数据分析中心快速配置 ..................................................... 4-27 4.3.1 登录天清集中管理与数据分析中心......................................................................... 4-27 4.3.2 添加USG设备............................................................................................................. 4-28 4.3.3 添加设备组................................................................................................................. 4-29 4.3.4 调整数据接收端口..................................................................................................... 4-29 4.3.5 查询数据..................................................................................................................... 4-30 4.4 天清集中管理与数据分析中心快速配置 ..................................................... 4-30 4.4.1 登录集中管理中心..................................................................................................... 4-30 4.4.2 添加设备/设备组....................................................................................................... 4-30

DPtech FW1000系列防火墙系统维护手册

DPtech FW1000维护手册 杭州迪普科技有限公司 2012年01月

目录 DPtech FW1000维护手册 (1) 第1章常见维护事项 (1) 1.1系统基本维护 (1) 1.2日常故障维护 (1) 1.3数据备份管理 (1) 1.4补丁升级管理 (2) 第2章应急处理方案 (4) 2.1运输导致设备无法启动 (4) 2.2互联网访问异常 (4) 2.3集中管理平台无相关日志 (4) 2.4设备工作不正常 (5) 2.5IPSEC-VPN无法正常建立 (5) 2.6访问内网服务器异常 (5) 2.7新加入的设备，内网无法上网 (5) 2.8个别内网地址无法上网 (6) 2.9映射内网服务器访问不了 (6) 2.10用户访问网站慢 (6) 第3章功能项 (7) 3.1用户名/密码 (7) 3.2管理员 (7) 3.3WEB访问 (7) 3.4接口状态 (8) 3.5数据互通 (8) 3.6日志信息 (8) 第4章其他 (10) 4.1注册与申请 (10) 4.2升级与状态 (10) 第5章FAQ (13) 5.1入门篇 (13) 5.2进阶篇 (14)

第1章常见维护事项 1.1 系统基本维护 防火墙应该指派专人管理、维护，管理员的口令要严格保密，不得泄露 防火墙管理员应定期查看统一管理中心（UMC）和防火墙的系统资源(包括内存/CPU/外存)，确认运行状况是否正常 防火墙管理员应定期检查“严重错误”以上级别的系统日志，发现防火墙的异常运行情况 防火墙管理员应定期检查操作日志，确认是否有异常操作（修改、添加、删除策略，删除日志等）、异常登录（非管理员登陆记录、多次登陆密码错误），对此应立即上报并修改密码 防火墙管理员应定期检查和分析自动生成的报表，对报表中的可疑事件进行追踪(例如部分时间段异常攻击等),并出具安全运行报告 防火墙管理帐号用户名：admin，初始口令admin，首次使用需修改，并备份 统一管理中心服务器需要按时进行操作系统的补丁升级和杀毒软件的病毒库升级1.2 日常故障维护 统一管理中心服务器无法登录，请检查能否PING通统一管理中心服务器，其相关服务（UMC数据库服务、UMC Web服务、UMC后台服务）是否启动，管理端口80是否一致 统一管理中心服务器上网络流量快照或FW日志无法生成，先检查端口9502、9516、9514是否开放，防火墙的日志发送配置是否正确，再用抓包工具检查防火墙是否发送日志 防火墙无法登录，请检查防火墙的IP是否可以Ping通，同时检测端口80是否开放1.3 数据备份管理 统一管理中心服务器系统安装后要先进行完全备份 统一管理中心服务器管理员应定期将备份的数据导入到指定的备份机或刻盘存储

防火墙攻击防范技术白皮书

防火墙攻击防范技术白皮书

关键词：攻击防范，拒绝服务 摘要：本文主要分析了常见的网络攻击行为和对应的防范措施，并且介绍了H3C防火墙攻击防范的主要特色和典型组网应用。

目录 1 概述 (3) 1.1 产生背景 (3) 1.2 技术优点 (4) 2 攻击防范技术实现 (4) 2.1 ICMP 重定向攻击 (4) 2.2 ICMP 不可达攻击 (4) 2.3 地址扫描攻击 (5) 2.4 端口扫描攻击 (5) 2.5 IP 源站选路选项攻击 (6) 2.6 路由记录选项攻击 (6) 2.7 Tracert 探测 (7) 2.8 Land 攻击 (7) 2.9 Smurf 攻击 (8) 2.10 Fraggle 攻击 (8) 2.11 WinNuke 攻击 (8) 2.12 SYN Flood 攻击 (9) 2.13 ICMP Flood 攻击. (9) 2.14 UDP Flood 攻击 (10) 3 H3C 实现的技术特色 (10) 4 典型组网应用 (11) 4.1 SYN Flood 攻击防范组网应用. (11)

1 概述 攻击防范功能是防火墙的重要特性之一，通过分析报文的内容特征和行为特征判断报文是否具有攻 击特性，并且对攻击行为采取措施以保护网络主机或者网络设备。 防火墙的攻击防范功能能够检测拒绝服务型( Denial of Service ，DoS )、扫描窥探型、畸形报 文型等多种类型的攻击，并对攻击采取合理的防范措施。攻击防范的具体功能包括黑名单过滤、报 文攻击特征识别、流量异常检测和入侵检测统计。 1.1 产生背景 随着网络技术的普及，网络攻击行为出现得越来越频繁。另外，由于网络应用的多样性和复杂性， 使得各种网络病毒泛滥，更加剧了网络被攻击的危险。 目前，Internet 上常见的网络安全威胁分为以下三类： DoS 攻击 DoS 攻击是使用大量的数据包攻击目标系统，使目标系统无法接受正常用户的请求，或者使目标 主机挂起不能正常工作。主要的DoS攻击有SYN Flood、Fraggle等。 DoS攻击和其它类型的攻击不同之处在于，攻击者并不是去寻找进入目标网络的入口，而是通过 扰乱目标网络的正常工作来阻止合法用户访问网络资源。 扫描窥探攻击 扫描窥探攻击利用ping扫描(包括ICMP和TCP )标识网络上存在的活动主机，从而可以准确地 定位潜在目标的位置；利用TCP和UDP端口扫描检测出目标操作系统和启用的服务类型。攻击 者通过扫描窥探就能大致了解目标系统提供的服务种类和潜在的安全漏洞，为进一步侵入目标系统 做好准备。 畸形报文攻击 畸形报文攻击是通过向目标系统发送有缺陷的IP报文，如分片重叠的IP报文、TCP 标志位非法的报文，使得目标系统在处理这样的IP报文时崩溃，给目标系统带来损 失。主要的畸形报文攻击有Ping of Death 、Teardrop 等。 在多种网络攻击类型中，DOS攻击是最常见的一种，因为这种攻击方式对攻击技能 要求不高，攻击者可以利用各种开放的攻击软件实施攻击行为，所以DoS 攻击的威 胁逐步增大。成功的DoS攻击会导致服务器性能急剧下降，造成正常客户访问失败；同时，提供 服务的企业的信誉也会蒙受损失，而且这种危害是长期性的。 防火墙必须能够利用有效的攻击防范技术主动防御各种常见的网络攻击，保证网络在遭受越来越频

天清汉马USG配置手册

长城资产天清汉马防火墙配置信息

一、基本信息 接口0的默认地址配置为192.168.1.250/24。允许对该接口进行Telnet，PING，HTTPS操作。 系统默认的管理员用户为admin，密码为https://www.sodocs.net/doc/e62609303.html,g。用户可以使用这个管理员账号从任何地址登录设备，并且使用设备的所有功能。 系统默认的审计员用户为audit，密码为venus.audit。用户可以使用这个账号对安全策略和日志系统进行审计。 系统默认的用户管理员用户为useradmin，密码为https://www.sodocs.net/doc/e62609303.html,er。用户可以使用这个账号用于配置系统管理员。 二、USG设备的主要配置选项。 1.系统管理：系统配置和管理。包括状态、会话管理、管理员、维护和监控。 可以查看各种版本，系统已经运行的时间，系统性能，接口状态，授权信息，各种网络活动状况 可以对USG进行会话管理，进行会话连接数限制并可以临时阻断可疑的会话 可以对协议超时时间进行配置，因为有些应用程序在全连接建立后，报文只会根据实际的数据进行交互，而没有保活机制，往往会导致连接超时删除，后续的数据无法通过设备。协议管理功能提供了设置特定服务超时时间的功能，可以解决这种需要长时间空闲连接的问题。 创建管理员要先创建管理员权限表，可以配置只能通过哪个地址进行登陆 如果对设备各种库进行自动升级要为设备设置正确的DNS， 选择恢复出厂设臵提交后，去执行重启操作，而不要去点保存按钮 目前外置储存器只支持CF卡和USB 2.网络管理：网络相关配置。包括接口、NAT、基本配置、DHCP、双机热备功能的配置。 可以更改端口的带宽设置、双工模式以及端口速率等设置功能。对于端口的命名，如果是100M网卡，则名称前缀为eth，比如eth0，eth1等等；如果是1000M网卡，则名称前缀为ge，端口默认的MTU为1500，本设备可以做单臂路由。 同一个接口只能加入到一个网桥组。已创建了子接口（VLAN接口）的以太网接口不能加入网桥组。 GRE 协议的英文全称是Generic Routing Encapsulation，即通用路由封装协议。GRE 是第三层的隧道协议，它利用一种协议的传输能力为另一种协议建立了点到点的隧道，被封装的报文将在隧道的两端进行封装和解封。使用GRE 协议可以与对端路由器或防火墙设备建立虚拟的、点对点通信。仅支持封装IP 类型的网络数据包。

迪普防火墙技术白皮书 (1)

迪普FW1000系列防火墙 技术白皮书 1概述 随着网络技术的普及，网络攻击行为出现得越来越频繁。通过各种攻击软件，只要具有一般计算机常识的初学者也能完成对网络的攻击。各种网络病毒的泛滥，也加剧了网络被攻击的危险。目前，Internet网络上常见的安全威胁分为以下几类： 非法使用：资源被未授权的用户（也可以称为非法用户）或以未授权方式（非法权限）使用。例如，攻击者通过猜测帐号和密码的组合，从而进入计算机系统以非法使用资源。 拒绝服务：服务器拒绝合法用户正常访问信息或资源的请求。例如，攻击者短时间内使用大量数据包或畸形报文向服务器不断发起连接或请求回应，致使服务器负荷过重而不能处理合法任务。 信息盗窃：攻击者并不直接入侵目标系统，而是通过窃听网络来获取重要数据或信息。 数据篡改：攻击者对系统数据或消息流进行有选择的修改、删除、延误、重排序及插入虚假消息等操作，而使数据的一致性被破坏。

?基于网络协议的防火墙不能阻止各种 攻击工具更加高层的攻击 ?网络中大量的低安全性家庭主机成为 攻击者或者蠕虫病毒的被控攻击主机 ?被攻克的服务器也成为辅助攻击者 Internet 止火灾蔓延的隔断墙，Internet防火墙是一个或一组实施访问控制策略的系统，它监控可信任网络（相当于内部网络）和不可信任网络（相当于外部网络）之间的访问通道，以防止外部网络的危险蔓延到内部网络上。防火墙作用于被保护区域的入口处，基于访问控制策略提供安全防护。例如：当防火墙位于内部网络和外部网络的连接处时，可以保护组织内的网络和数据免遭来自外部网络的非法访问（未授权或未验证的访问）或恶意攻击；当防火墙位于组织内部相对开放的网段或比较敏感的网段（如保存敏感或专有数据的网络部分）的连接处时，可以根据需要过滤对敏感数据的访问（即使该访问是来自组织内部）。 防火墙技术经历了包过滤防火墙、代理防火墙、状态防火墙的技术演变，但是随着各种基于不安全应用的攻击增多以及网络蠕虫病毒的泛滥，传统防火墙面临更加艰巨的任务，不但需要防护传统的基于网络层的协议攻击，而且需要处理更加高层的应用数据，对应用层的攻击进行防护。对于互联网上的各种蠕虫病毒，必须能够判断出网络蠕虫病毒的特征，把网络蠕虫病毒造成的攻击阻挡在安全网络之外。从而对内部安全网络形成立体、全面的

华为USG6000系列防火墙产品技术白皮书(总体)

华为USG6000系列下一代防火墙技术白皮书 文档版本V1.1 发布日期2014-03-12

版权所有? 华为技术有限公司2014。保留一切权利。 非经本公司书面许可，任何单位和个人不得擅自摘抄、复制本文档内容的部分或全部，并不得以任何形式传播。 商标声明 和其他华为商标均为华为技术有限公司的商标。 本文档提及的其他所有商标或注册商标，由各自的所有人拥有。 注意 您购买的产品、服务或特性等应受华为公司商业合同和条款的约束，本文档中描述的全部或部分产品、服务或特性可能不在您的购买或使用范围之内。除非合同另有约定，华为公司对本文档内容不做任何明示或暗示的声明或保证。 由于产品版本升级或其他原因，本文档内容会不定期进行更新。除非另有约定，本文档仅作为使用指导，本文档中的所有陈述、信息和建议不构成任何明示或暗示的担保。 华为技术有限公司 地址：深圳市龙岗区坂田华为总部办公楼邮编：518129 网址：https://www.sodocs.net/doc/e62609303.html, 客户服务邮箱：ask_FW_MKT@https://www.sodocs.net/doc/e62609303.html, 客户服务电话：4008229999

目录 1 概述 (1) 1.1 网络威胁的变化及下一代防火墙产生 (1) 1.2 下一代防火墙的定义 (1) 1.3 防火墙设备的使用指南 (2) 2 下一代防火墙设备的技术原则 (1) 2.1 防火墙的可靠性设计 (1) 2.2 防火墙的性能模型 (2) 2.3 网络隔离 (3) 2.4 访问控制 (3) 2.5 基于流的状态检测技术 (3) 2.6 基于用户的管控能力 (4) 2.7 基于应用的管控能力 (4) 2.8 应用层的威胁防护 (4) 2.9 业务支撑能力 (4) 2.10 地址转换能力 (5) 2.11 攻击防范能力 (5) 2.12 防火墙的组网适应能力 (6) 2.13 VPN业务 (6) 2.14 防火墙管理系统 (6) 2.15 防火墙的日志系统 (7) 3 Secospace USG6000系列防火墙技术特点 (1) 3.1 高可靠性设计 (1) 3.2 灵活的安全区域管理 (6) 3.3 安全策略控制 (7) 3.4 基于流会话的状态检测技术 (9) 3.5 ACTUAL感知 (10) 3.6 智能策略 (16) 3.7 先进的虚拟防火墙技术 (16) 3.8 业务支撑能力 (17) 3.9 网络地址转换 (18)

迪普科技-DNS负载均衡技术白皮书

ADX产品DNS负载均衡功能 杭州迪普科技有限公司 Hangzhou DPtech Technologies Co., Ltd

目录 1 前言： (3) 2 概述 (3) 3 功能分析 (3) 3.1 DNS解析实现流程： (3) 3.2 多链路环境下的负载均衡应用： (4) 3.2.1 Inbound（源负载均衡）： (4) 3.2.2 就近性（RTT算法）： (4) 3.2.3 目的负载均衡： (5) 3.3 多服务器环境下的负载均衡应用： (5) 3.3.1 DNS重定向： (6) 3.3.2 地理分布算法： (6) 3.3.3 全局负载均衡： (7)

1前言： 随着服务器负载均衡和链路负载均衡技术的日益发展，人们的关注点大多集中在了链路和服务器存在瓶颈和冗余性的问题，而DNS负载均衡技术为解决这一问题提供了更多、更灵活的解决思路。 2概述 DNS 是域名系统(Domain Name System) 的缩写，是一种组织成域层次结构的计算机和网络服务命名系统。DNS 命名用于TCP/IP 网络，如Internet，用来通过用户友好的名称定位计算机和服务。当用户在应用程序中输入DNS 名称时，DNS 服务可以将此名称解析为与此名称相关的其他信息，如IP 地址。 在链路方面，为解决单一链路所带了的网络单点故障以及脆弱性和国内所存在跨运营商的问题的，目前大部分的企业都部署了多条互联网链路，来提升网络链路的可靠性。传统的多链路接入依靠复杂的设计，解决了一些接入链路存在单点故障的问题。但是，它远远没有把多链路接入的巨大优势发挥出来。链路负载均衡技术即通过对这些链路的管理，以使其达到最大利用率。 在服务器方面，由于用户访问量的增大，使得单一的网络服务设备已经不能满足需要了，由此需要引入服务器的负载平衡，实现客户端同时访问多台同时工作的服务器，实现动态分配每一个应用请求到后台的服务器，并即时按需动态检查各个服务器的状态，根据预设的规则将请求分配给最有效率的服务器。实现数据流合理的分配，使每台服务器的处理能力都能得到充分的发挥，扩展应用系统的整体处理能力，提高应用系统的整体性能，改善应用系统的可用性和可用性，降低IT投资。 服务器负载均衡技术在现有网络结构之上能够提供一种廉价、有效、透明的方法，来扩展网络设备和服务器的带宽、增加吞吐量、加强网络数据处理能力、提高网络的灵活性和可用性。 而DNS负载均衡技术是一种全局的负载均衡，当客户通过域名系统对厂商服务器进行访问时，DNS利用对域名的解析，根据链路或者服务器的状态将不同的目的ip返回给客户，以达到让用户通过指定的链路访问，或者与指定的服务器进行交互。从一定程度上完善了服务器负载均衡和链路负载均衡。 3功能分析 3.1DNS解析实现流程： ADX设备需要用户将域名的解析功能导向到ADX设备上，由设备来进行域名的解析。举个例子来说，当用户远程通过域名访问对外发布网站时，逐步通过远程用户的本地DNS 服务器、根DNS服务器，最终由ADX设备来进行域名的解析。然后ADX设备就会通过负载均衡调度算法，选择最优的线路或者服务器，然后将域名解析成相应的IP地址，返回

防火墙系统(NSG系列)技术白皮书

目录 1产品概述 (1) 2产品特色 (2) 2.1灵活的管理接口 (2) 2.2管理员权限分权分立 (2) 2.3安全隔离的虚拟系统 (3) 2.3.1一机多用，节省投资 (3) 2.3.2灵活配置，方便管理 (3) 2.3.3业务隔离，互不影响 (3) 2.4全面的IPv6Ready能力 (4) 2.4.1IPv4/IPv6双栈 (4) 2.4.2跨栈隧道方案 (5) 2.5多层次可靠性保证，整机可靠性高 (7) 2.5.1硬件可靠性 (7) 2.5.2整机可靠性 (10) 2.5.3系统可靠性 (16) 2.5.4链路可靠性 (16) 2.6智能DNS解析 (22) 2.7地理位置识别（国内+国际） (22) 2.8全面、智能的路由功能 (22) 2.8.1全面的路由功能 (22) 2.8.2精确的多出口ISP路由智能选路 (22) 2.8.3对称路由保证来回路径一致 (23) 2.8.4高适应性的路由负载均衡算法 (23) 2.9一体化的安全策略 (23) 2.10全面的SSL解密防护 (23) 2.10.1SSL解密防护 (23) 2.10.2SSL入站检查 (24) 2.11丰富的VPN隧道类型 (24) 2.12强大的动态QoS功能 (24)

2.13持续关注重点应用/URL (24) 2.14深度安全检测及DLP，保护网络安全 (25) 2.14.1概述 (25) 2.14.2全面的应用层攻击防护能力 (25) 2.14.3先进的多维动态特征异常检测引擎 (26) 2.14.4灵活的自定义漏洞/间谍软件特征功能 (26) 2.14.5多维度的DLP数据防泄漏 (26) 2.14.6强大的威胁情报渗透 (27) 2.15多系统联动防护，构建立体式防护体系 (27) 2.15.1防火墙和终端系统联动 (28) 2.15.2防火墙和天眼系统联动 (29) 2.15.3防火墙和NGSOC系统联动 (29) 2.15.4防火墙和天御云系统联动 (30) 2.15.5防火墙和ITS系统联动 (30) 2.16应用及流量可视化，网络行为无所遁形 (32) 2.16.1概述 (32) 2.16.2大容量、多维度日志 (33) 2.16.3多样化的日志检索方式 (33) 2.16.4全方位风险信息展示及分析 (33) 2.16.5强大的内容审计策略 (34) 2.17自动化应急响应功能 (34) 3技术优势 (35) 3.1采用第四代SecOS系统 (35) 3.2整体框架采用AMP+并行处理架构 (35) 3.3优化的AMP+架构突破传统SMP架构瓶颈 (36) 3.4更优化的网口数据收发处理 (38) 3.5单引擎一次性数据处理技术 (39) 3.6多级冗余架构提高防火墙可靠性 (39) 3.7云端协同扩展精确定位威胁 (40) 3.8基于NDR安全体系的未知威胁闭环防御 (40) 4应用场景 (42) 4.1企业互联网边界安全应用场景 (42) 4.1.1典型场景 (42) 4.1.2痛点和优势 (43) 4.2行业专网网络安全应用场景 (44) 4.2.1典型场景 (44) 4.2.2痛点和优势 (45) 4.3数据中心出口安全应用场景 (46) 4.3.1典型场景 (46)

天清汉马防火墙系列_Trunk配置指南_V4.0

天清汉马USG防火墙Trunk配置指南 (V 4.0) 北京启明星辰信息安全技术有限公司 Beijing Venustech Cybervision Co.,Ltd. 二零一一年十一月

版权声明 启明星辰公司版权所有，并保留对本手册及本声明的最终解释权和修改权。 本手册的版权归启明星辰公司所有。未得到启明星辰公司书面许可，任何人不得以任何方式或形式对本手册内的任何部分进行复制、摘录、备份、修改、传播、翻译成其他语言、将其部分或全部用于商业用途。 免责声明 本手册依据现有信息制作，其内容如有更改，恕不另行通知。启明星辰公司在编写该手册的时候已尽最大努力保证其内容准确可靠，但启明星辰公司不对本手册中的遗漏、不准确或错误导致的损失和损害承担责任。 User’s Manual Copyright and Disclaimer Copyright Copyright Venus Info Tech Inc. All rights reserved. The copyright of this document is owned by Venus Info Tech Inc. Without the prior written permission obtained from Venus Info Tech Inc., this document shall not be reproduced and excerpted in any form or by any means, stored in a retrieval system, modified, distributed and translated into other languages, applied for a commercial purpose in whole or in part. Disclaimer This document and the information contained herein is provided on an “AS IS”basis. Venus Info Tech Inc. may make improvement or changes in this document, at any time and without notice and as it sees fit. The information in this document was prepared by Venus Info Tech Inc. with reasonable care and is believed to be accurate. However, Venus Info Tech Inc. shall not assume responsibility for losses or damages resulting from any omissions, inaccuracies, or errors contained herein.

SecPath虚拟防火墙技术白皮书

SecPath 虚拟防火墙技术白皮书

关键词：虚拟防火墙MPLS VPN 摘要：本文介绍了H3C 公司虚拟防火墙技术和其应用背景。描述了虚拟防火墙的功能特色，并介绍了H3C 公司具备虚拟防火墙功能的独立防火墙和防火墙插板产品的组网环境应用。 缩略语清单：

目录 1 概述 (3) 1.1 新业务模型产生新需求 (3) 1.2 新业务模型下的防火墙部署 (3) 1.2.1 传统防火墙的部署缺陷 (3) 1.2.2 虚拟防火墙应运而生 (4) 2 虚拟防火墙技术 (5) 2.1 技术特点 (5) 2.2 相关术语 (6) 2.3 设备处理流程 (7) 2.3.1 根据入接口数据流 (7) 2.3.2 根据Vlan ID数据流 (7) 2.3.3 根据目的地址数据流 (8) 3 典型组网部署方案 (8) 3.1 虚拟防火墙在行业专网中的应用 (8) 3.1.1 MPLS VPN组网的园区中的虚拟防火墙部署一 (9) 3.1.2 MPLS VPN组网的园区中的虚拟防火墙部署二 (10) 3.1.3 虚拟防火墙提供对VPE的安全保护 (10) 3.2 企业园区网应用 (11) 4 总结 (12)

1 概述 1.1 新业务模型产生新需求 目前，跨地域的全国性超大企业集团和机构的业务规模和管理复杂度都在急剧的增 加，传统的管理运营模式已经不能适应其业务的发展。企业信息化成为解决目前业 务发展的关键，得到了各企业和机构的相当重视。现今，国内一些超大企业在信息 化建设中投入不断增加，部分已经建立了跨地域的企业专网。有的企业已经达到甚 至超过了IT-CMM3 的级别，开始向IT-CMM4 迈进。 另一方面，随着企业业务规模的不断增大，各业务部门的职能和权责划分也越来越 清晰。各业务部门也初步形成了的相应不同安全级别的安全区域，比如，OA 和数据中 心等。由于SOX 等法案或行政规定的颁布应用，各企业或机构对网络安全的重视程 度也在不断增加。对企业重点安全区域的防护要求越来越迫切。 因此，对企业信息管理人员来说，如何灵活方便的实现企业各业务部门的安全区域 划分和安全区域之间有控制的互访成为其非常关注的问题。这也对安全区域隔离“利 器”――防火墙提出了更高的要求。 1.2 新业务模型下的防火墙部署 目前许多企业已经建设起自己的MPLS VPN 专网，例如电力和政务网。下面我们以 MPLS VPN 组网为例介绍在新的业务模型下防火墙的如何实现对各相互独立的业务 部门进行各自独立的安全策略部署呢？ 1.2.1 传统防火墙的部署缺陷 面对上述需求，业界通行的做法是在园区各业务VPN 前部署防火墙来完成对各部门 的安全策略部署实现对部门网络的访问控制。一般部署模式如下图所示：

DPtechFW系列防火墙系统操作手册

DPtech FW1000操作手册 杭州迪普科技有限公司 2011年10月

目录

第1章组网模式 1.1 组网模式1-透明模式 组网应用场景 ?需要二层交换机功能做二层转发 ?在既有的网络中，不改变网络拓扑，而且需要安全业务 ?防火墙的不同网口所接的局域网都位于同一网段 特点 ?对用户是透明的，即用户意识不到防火墙的存在 ?部署简单，不改变现有的网络拓扑，无需更改其他网络设备的配置?支持各类安全特性：攻击防护、包过滤、应用识别及应用访问控制等配置要点 ?接口添加到相应的域 ?接口为二层接口，根据需要，配置接口类型为ACCESS或TRUNK

?接口配置VLAN属性 ?必须配置一个vlan-ifxxx的管理地址，用于设备管理 1.2 组网模式2-路由模式 组网应用场景 ?需要路由功能做三层转发 ?需要共享Internet接入 ?需要对外提供应用服务 ?需要使用虚拟专用网 特点 ?提供丰富的路由功能，静态路由、RIP、OSPF等 ?提供源NAT支持共享Internet接入 ?提供目的NAT支持对外提供各种服务 ?支持各类安全特性：攻击防护、包过滤、应用识别及应用访问控制等?需要使用WEB认证功能 配置要点

?接口添加到相应的域 ?接口工作于三层接口，并配置接口类型 ?配置地址分配形式静态IP、DHCP、PPPoE 1.3 组网模式3-混合模式 组网应用场景 ?需结合透明模式及路由模式 特点 ?在VLAN内做二层转发 ?在VLAN间做三层转发 ?支持各类安全特性：攻击防护、包过滤、应用识别及应用访问控制等配置要点 ?接口添加到相应的域 ?接口为二层接口，根据需要，配置接口类型为ACCESS或TRUNK ?接口配置VLAN属性 ?添加三层接口，用于三层转发 ?配置一个vlan-ifxxx的地址，用于三层转发

天清汉马USG防火墙(T系列)快速安装指南-v3

天清汉马USG防火墙－快速安装指南 天清汉马USG防火墙（T系列） 快速安装指南 北京启明星辰信息安全技术有限公司 Beijing Venus Information Security Inc. 二零一六年11月

天清汉马USG防火墙 快速安装指南 手册版本V1.0 产品版本V2.0 资料状态发行 版权声明 启明星辰公司版权所有，并保留对本手册及本声明的最终解释权和修改权。 本手册的版权归启明星辰公司所有。未得到启明星辰公司书面许可，任何人不得以任何方式或形式对本手册内的任何部分进行复制、摘录、备份、修改、传播、翻译成其他语言、将其部分或全部用于商业用途。 免责声明 本手册依据现有信息制作，其内容如有更改，恕不另行通知。启明星辰公司在编写该手册的时候已尽最大努力保证其内容准确可靠，但启明星辰公司不对本手册中的遗漏、不准确或错误导致的损失和损害承担责任。 User’s Manual Copyright and Disclaimer Copyright Copyright Venus networks Co.Ltd All rights reserved. The copyright of this document is owned by Venus networks Co.Ltd. Without the prior written permission obtained from Venus networks Co.Ltd., this document shall not be reproduced and excerpted in any form or by any means, stored in a retrieval system, modified, distributed and translated into other languages, applied for a commercial purpose in whole or in part. Disclaimer This document and the information contained herein is provided on an “AS IS”basis. Venus networks Co.Ltd may make improvement or changes in this document, at any time and without notice and as it sees fit. The information in this document was prepared Venus networks Co.Ltd with reasonable care and is believed to be accurate. However, Venus networks Co.Ltd shall not assume responsibility for losses or damages resulting from any omissions, inaccuracies, or errors contained herein.