阿姆瑞特防火墻技術(shù)特點(diǎn).ppt

Amaranten International Ltd Operation in China ”Amaranten Secure Net!”,Security 無操作系統(tǒng)漏洞 Performance 防火墻內(nèi)核從底層接管進(jìn)出防火墻數(shù)據(jù)并進(jìn)行處理 利用所有可能的硬件性能 。減少了操作系統(tǒng)的開銷 因此可以最快的處理數(shù)據(jù)，所有產(chǎn)品延時(shí)小于25us，是目前世界上延時(shí)最小的防火墻產(chǎn)品 內(nèi)核啟動(dòng)速度快，啟動(dòng)時(shí)間6秒，18-20秒進(jìn)入數(shù)據(jù)包轉(zhuǎn)發(fā),處理速度慢 安全漏洞 操作系統(tǒng)和防火墻軟件單獨(dú)升級(jí),Network Drivers,Windows/ UNIX O/S,Windows/ UNIX O/S,Device handler,Modified TCP/IP Stack,Firewall Software,Firewall Software,無操作系統(tǒng),傳統(tǒng)防火墻結(jié)構(gòu),阿姆瑞特防火墻結(jié)構(gòu),產(chǎn)品線介紹,F50 Series,F100Series,F300 Series,F1800 Series F600 Series,F5000 Series F3000 Series,遠(yuǎn)程辦公/小型分支機(jī)構(gòu) 小型企業(yè) 可安全管理的CPE,中小型企業(yè) 中小型企業(yè)的VPN網(wǎng)關(guān) 可安全管理的CPE,高負(fù)荷的VPN網(wǎng)絡(luò) 數(shù)據(jù)中心 電信級(jí)網(wǎng)絡(luò) 電信業(yè),大型高校 數(shù)據(jù)中心，服務(wù)提供商 金融機(jī)構(gòu) 大型VPN網(wǎng)關(guān) 公司總部/大型企業(yè),中型企業(yè) 中型VPN網(wǎng)關(guān) 服務(wù)提供商,阿姆瑞特防火墻技術(shù)特點(diǎn),全方位安全防護(hù) 強(qiáng)大的路由功能 專業(yè)的帶寬管理 靈活的網(wǎng)絡(luò)接入 豐富的VPN功能 便捷的圖形管理 細(xì)微的網(wǎng)絡(luò)日志,CLOSED,LISTEN,SYN-SENT,SYN-RCVD,ESTABLISHED,FIN-WAIT-1,FIN-WAIT-2,CLOSE-WAIT,CLOSING,TIME-WAIT,LAST-ACK,Illegal Addresses Checksum Control TTL Control Layer Size Consistency IP Option Sizes IP Source Route IP Timestamp IP Bad Options IP Reserved flag TCP Blind Spoofing Protection TCP Header Option Sizes TCP MSS Control TCP Window Scale TCP Selective ACK TCP Timestamp TCP Alternate Checksum TCP Connection Count TCP Bad Options TCP Flag combinations TCP Reserved Field TCP NULL Packets ICMP Response Control ARP Spoofing Protection Strict Interface Matching Connection Timeout Control Payload Size Control Reassembly Timing Control Illegal Fragments Duplicate Fragments Fragmented ICMP,全狀態(tài)檢測(cè)防火墻,采用狀態(tài)檢測(cè)技術(shù) 數(shù)據(jù)包一致性檢查 防止假冒IP攻擊 放置非正常連接 提高工作效率,靈活的訪問控制,查找對(duì)應(yīng)的控制策略,拆開數(shù)據(jù)包進(jìn)行分析,根據(jù)策略決定如何處理該數(shù)據(jù)包,控制策略,源和目的地址 源和目的端口 IP協(xié)議號(hào) ICMP信息類型 IP和TCP中都有的選項(xiàng) IP和TCP標(biāo)記組合 VLAN標(biāo)識(shí) 路由協(xié)議 時(shí)間 內(nèi)容 IPSEC、PPTP、L2TP等,可以靈活地制定 的控制策略,數(shù)據(jù)包,數(shù)據(jù)包,基于時(shí)間的控制,控制某條規(guī)則的生效時(shí)間,內(nèi)容過濾,阿姆瑞特防火墻功能可以通過URL過濾和關(guān)鍵字過濾控制內(nèi)部人員訪問的主頁或站點(diǎn)，避免含有惡意代碼網(wǎng)頁（網(wǎng)頁木馬、網(wǎng)頁病毒）對(duì)網(wǎng)絡(luò)的侵害。 除了內(nèi)容過濾以外，還可以做到以下特性： 禁止下載某種類型文件。例如：.exe 針對(duì)Java腳本/VB腳本、Java applets的過濾； 禁止Active-X/Flash等內(nèi)容，徹底杜絕了黑客網(wǎng)站惡意程序?qū)?nèi)網(wǎng)機(jī)器的攻擊； 禁止cookies，防止黑客通過cookies竊取用戶名、口令等關(guān)鍵信息。,用戶認(rèn)證,深層次訪問控制 基于用戶的信譽(yù)度，訪問時(shí)間以及訪問的內(nèi)容，允許或拒絕訪問 進(jìn)一步增強(qiáng)了安全性 認(rèn)證方式 內(nèi)部用戶數(shù)據(jù)庫(kù)， Radius，微軟活動(dòng)目錄或Xauth 日志 基于用戶級(jí)別的日志記錄 優(yōu)勢(shì) 增加安全性的同時(shí)減少管理開銷（在網(wǎng)絡(luò)用戶數(shù)據(jù)庫(kù)里面刪除一個(gè)用戶也是通過網(wǎng)關(guān)來控制） 用戶認(rèn)證與策略、時(shí)間表和內(nèi)容過濾等功能結(jié)合提高了防火墻使用效率（在工作時(shí)間阻止不需要的訪問） 支持RADIUS通用用戶數(shù)據(jù)庫(kù) 基于login方式的用戶身份登陸,用戶認(rèn)證,強(qiáng)大的抗攻擊能力,OS Fingerprinting 和 Firewalking 網(wǎng)絡(luò)的TCP/UDP端口掃描 SYN flood ICMP flood攻擊 UDP flood攻擊 死ping(Ping of death)攻擊 IP欺騙(IP spoofing)攻擊 端口掃描(Port scan) 陸地攻擊(Land attack) 撕毀攻擊(Tear drop attack) 過濾IP源路由選項(xiàng)(Filter IP source route option) IP地址掃描攻擊(IP address sweep attack),WinNuke attack攻擊 Java/ActiveX/Zip/EXE Dos & DDoS攻擊 用戶定義的不良URL Per-source session limiting攻擊 Syn fragments攻擊 Syn and Fin bit set攻擊 No flags in TCP攻擊 FIN with no ACK攻擊 ICMP fragment攻擊 Large ICMP攻擊 IP record route攻擊 IP security options攻擊 IP stream攻擊 IP bad option攻擊 Unknown protocols攻擊,防攻擊原理,傳統(tǒng)的防火墻 通過設(shè)定閾值進(jìn)行攻擊防范，例如每個(gè)IP每秒2000個(gè)SYN報(bào)文以下才認(rèn)為是正常的，超出視為攻擊 依托通用OS，OS對(duì)攻擊的抵御能力不足；且防火墻軟件與OS間必然存在開銷，消耗系統(tǒng)資源 阿姆瑞特防火墻 采用類似代理技術(shù)進(jìn)行攻擊防范，必須首先與防火墻建立起連接，防火墻才會(huì)再與主機(jī)進(jìn)行連接，攻擊不會(huì)通過防火墻到達(dá)主機(jī) 專用內(nèi)核，沒有OS開銷，提高了自身抵御攻擊能力 設(shè)計(jì)中充分考慮了系統(tǒng)抗攻擊的能力，預(yù)留防火墻系統(tǒng)資源，任何情況下CPU利用率都不會(huì)達(dá)到100%,阿姆瑞特防火墻技術(shù)特點(diǎn),全方位安全防護(hù) 強(qiáng)大的路由功能 專業(yè)的帶寬管理 靈活的網(wǎng)絡(luò)接入 豐富的VPN功能 便捷的圖形管理 細(xì)微的網(wǎng)絡(luò)日志,強(qiáng)大的路由功能,支持4096條靜態(tài)路由 支持PBR（Policy Based Routing，基于策略的路由），配置主路由表和多個(gè)PBR路由表，不同的規(guī)則采用不同的路由表，支持多個(gè)缺省網(wǎng)關(guān) 支持路由備份 支持OSPF V2動(dòng)態(tài)路由 支持虛擬路由器/系統(tǒng) 全面支持802.1Q,基于策略的路由（PBR）,LAN,可以根據(jù)需要，按照源IP地址、服務(wù)，將數(shù)據(jù)流從不同的端口送出,防火墻,基于策略的路由,使用策略路由 反垃圾郵件/抗病毒/HTTP代理,更安全 防火墻防止了來自內(nèi)外部的惡意攻擊 更大的吞吐量 只有特定的網(wǎng)絡(luò)需要通過抗病毒/垃圾 掃描和HTTP代理 ，保證網(wǎng)絡(luò)的吞吐量 管理優(yōu)勢(shì) 不需要客戶端的代理設(shè)置，防火墻可以高度控制信息流量,支持路由備份,ADSL,電信,全面支持OSPF,Internet,VPN接口支持動(dòng)態(tài)路由,OSPF動(dòng)態(tài)路由信息可以穿越VPN通道，進(jìn)行傳遞。,一墻多用 在一臺(tái)防火墻上創(chuàng)建多個(gè)邏輯分離的系統(tǒng) 在一臺(tái)物理設(shè)備上可以做的任何事在虛系統(tǒng)上都可以做，包括訪問控制，帶寬管理和動(dòng)態(tài)路由功能。 高靈活性 不需要增添硬件，而是通過增加虛系統(tǒng)進(jìn)行擴(kuò)展 簡(jiǎn)化配置管理 使復(fù)雜的路由及策略配置更簡(jiǎn)單 減少所需策略數(shù)量降低由于策略配置錯(cuò)誤帶來的安全隱患 增加用戶服務(wù)機(jī)會(huì) 在一臺(tái)機(jī)器上運(yùn)行多個(gè)虛系統(tǒng)來服務(wù)多個(gè)用戶，來增加新業(yè)務(wù)的機(jī)會(huì) 想象一下在一個(gè)阿姆瑞特防火墻冗余群集使用成百的虛系統(tǒng)來替代同等數(shù)量的網(wǎng)關(guān)設(shè)備，而每一個(gè)虛系統(tǒng)都為一個(gè)負(fù)費(fèi)的客戶服務(wù)！,虛 系 統(tǒng),虛擬路由/系統(tǒng),/24,/24,/24,對(duì)VLAN（802.1Q）的支持,VLAN間路由,Trunk擴(kuò)展端口,Trunk穿越,VLAN10,VLAN20,VLAN10,VLAN10,VLAN20,VLAN10 VLAN20,VLAN10 VLAN20,VLAN10 VLAN20,透明模式,VLAN20,VLAN10,VLAN20,VLAN10,VLAN20,VLAN10,VLAN20,Trunk Link,Trunk Link,防火墻機(jī),阿姆瑞特防火墻技術(shù)特點(diǎn),全方位安全防護(hù) 強(qiáng)大的路由功能 專業(yè)的帶寬管理 靈活的網(wǎng)絡(luò)接入 豐富的VPN功能 便捷的圖形管理 細(xì)微的網(wǎng)絡(luò)日志,帶寬管理,最大帶寬限制 帶寬保證 傳輸優(yōu)先控制 動(dòng)態(tài)流量均衡 傳輸平衡控制,帶寬控制,可以對(duì)用戶IP地址、服務(wù)等通過防火墻的帶寬進(jìn)行限制，例如：限制某個(gè)用戶對(duì)外訪問最大帶寬，或者訪問某種服務(wù)的最大帶寬。,帶寬保證,保證網(wǎng)絡(luò)中重要服務(wù)或者重要用戶的帶寬不被其他服務(wù)或者用戶占用，從而保證了重要數(shù)據(jù)優(yōu)先通過網(wǎng)絡(luò)。,優(yōu)先級(jí)控制,通過定義管道的方式提供CoS/QoS功能，并且管道沒有數(shù)量的限制，也就是說優(yōu)先級(jí)控制的等級(jí)沒有數(shù)量的限制，同時(shí)可在每一個(gè)管道中，可以設(shè)定8個(gè)優(yōu)先級(jí)（0-7），從而可以進(jìn)行更加細(xì)致的流量控制。,動(dòng)態(tài)流量均衡,為了保證網(wǎng)絡(luò)中的所有帶寬都得到合理的應(yīng)用，防火墻提供動(dòng)態(tài)流量均衡功能。 例如：假如某網(wǎng)絡(luò)帶寬為256k，設(shè)定主機(jī)A的帶寬為100k，主機(jī)B帶寬為156k。如果主機(jī)B目前只用到120k，而主機(jī)A100k的帶寬不夠用，此時(shí)主機(jī)A可以動(dòng)態(tài)獲得主機(jī)B剩余的36K帶寬。如果主機(jī)B某一時(shí)刻的突發(fā)速率到156K，他會(huì)動(dòng)態(tài)的從主機(jī)A那里獲得屬于他的36K帶寬，從而保證重要服務(wù)或者用戶優(yōu)先進(jìn)行數(shù)據(jù)傳輸。,傳輸平衡控制,可根據(jù)需要進(jìn)行設(shè)置，保證內(nèi)網(wǎng)各用戶分配帶寬趨于平衡，不致出現(xiàn)“貧富分化”的現(xiàn)象。,阿姆瑞特防火墻帶寬管理特點(diǎn),通過定義管道的方式提供CoS/QoS功能 管道沒有數(shù)量的限制 設(shè)置精度為1Kbps，偏差率不超過5% 可進(jìn)行帶寬限制、帶寬保證、動(dòng)態(tài)均衡帶寬 大差別帶寬管理時(shí)，不存在“餓死”現(xiàn)象 可對(duì)上傳和下載數(shù)據(jù)分別進(jìn)行帶寬管理 明通、密通數(shù)據(jù)均可以作帶寬管理 帶寬管理可基于接口、VLAN、IP地址、服務(wù)、時(shí)間等設(shè)定,阿姆瑞特防火墻技術(shù)特點(diǎn),全方位安全防護(hù) 強(qiáng)大的路由功能 專業(yè)的帶寬管理 靈活的網(wǎng)絡(luò)接入 便捷的圖形管理 細(xì)微的網(wǎng)絡(luò)日志,透明、路由、混合接入 同一接口下的透明+NAT 源地址、目標(biāo)地址同時(shí)轉(zhuǎn)換 對(duì)稱式接口設(shè)計(jì),靈活的網(wǎng)絡(luò)接入,受保護(hù)網(wǎng)絡(luò),Internet,如果防火墻支持透明模式，則內(nèi)部網(wǎng)絡(luò)主機(jī)的配置不用調(diào)整, Host A, Host C, Host D, Host B,,同一網(wǎng)段,Default Gateway=,防火墻相當(dāng)于網(wǎng)橋，原網(wǎng)絡(luò)結(jié)構(gòu)沒有改變,透明接入,受保護(hù)網(wǎng)絡(luò),Internet,,Default Gateway=,防火墻相當(dāng)于一個(gè)簡(jiǎn)單的路由器,6,7,提供簡(jiǎn)單的路由功能,,路由接入, Host A, Host C, Host D, Host B,WWW服務(wù)器,DNS服務(wù)器,Mail服務(wù)器,/24,,,,,,internet,防火墻此時(shí)工作在混合模式下,,混合接入,54,53,52,,/24,/24,省電力,*電力集團(tuán),內(nèi)部網(wǎng)一部分通過透明訪問電力集團(tuán)、一部分通過NAT訪問電力集團(tuán),同一接口下的透明+NAT,證券網(wǎng)絡(luò),銀行網(wǎng)絡(luò),證券、銀行互相不能知道對(duì)方的網(wǎng)絡(luò)拓?fù)?，因此要求證券訪問銀行服務(wù)器的時(shí)候，必須訪問證券內(nèi)部一個(gè)地址，通過防火墻映射為銀行的地址；同時(shí)進(jìn)行地址轉(zhuǎn)換,源地址、目標(biāo)地址同時(shí)轉(zhuǎn)換,多個(gè)內(nèi)網(wǎng)、多個(gè)外網(wǎng)、多個(gè)DMZ,對(duì)稱式接口設(shè)計(jì),內(nèi)部網(wǎng),外網(wǎng)或者不信任域,Eth 0,Eth 0,Eth1,Eth1,Eth2,Eth2,心跳線,Active Firewall,Standby Firewall,檢測(cè)Active Firewall的狀態(tài),發(fā)現(xiàn)出故障，立即接管其工作,正常情況下由主防火墻工作,主防火墻出故障以后，接管它的工作,雙機(jī)熱備,內(nèi)部網(wǎng),外網(wǎng)或者不信任域,Eth 0,Eth 0,Eth1,Eth1,Eth2,Eth2,心跳線,Active Firewall,Standby Firewall,檢測(cè)Active Firewall的狀態(tài),發(fā)現(xiàn)出故障，立即接管其工作,正常情況下由主防火墻工作,主防火墻出現(xiàn)鏈路故障以后，接管它的工作,接口備份,雙機(jī)熱備特點(diǎn),不同型號(hào)的防火墻可以作雙機(jī)熱備、鏈路備份 切換的時(shí)間短（0.6秒） 反復(fù)切換對(duì)應(yīng)用不產(chǎn)生影響 采用虛擬IP、虛擬MAC技術(shù)，切換后防火墻周邊設(shè)備ARP列表不變，保證平滑切換,阿姆瑞特防火墻技術(shù)特點(diǎn),全方位安全防護(hù) 強(qiáng)大的路由功能 專業(yè)的帶寬管理 靈活的網(wǎng)絡(luò)接入 豐富的VPN功能 便捷的圖形管理 細(xì)微的網(wǎng)絡(luò)日志,支持NAT訪問互聯(lián)網(wǎng)同時(shí)與分（總）公司之間建立VPN隧道； 支持明密結(jié)合，靈活網(wǎng)絡(luò)部署； 支持星型拓?fù)銿PN接入 支持多動(dòng)態(tài)VPN接入 支持客戶端VPN穿越 支持PPTP/L2TP的VPN 支持2臺(tái)防火墻之間建立多條VPN隧道 支持多條VPN鏈路的備份 支持X.509證書和共享密鑰，支持第三方CA認(rèn)證； 支持AES、DES、3DEC、cast128、blowfish、Twofish等加密算法； 支持MD5、SHA-1認(rèn)證算法； 采用IPSec國(guó)際標(biāo)準(zhǔn)協(xié)議，提供傳輸方式和隧道方式建立VPN隧道； 可以與第三方支持IPSEC協(xié)議產(chǎn)品建立VPN隧道,阿姆瑞特VPN特點(diǎn),VPN接入一 點(diǎn)對(duì)點(diǎn),特點(diǎn)： 1.北京用戶與上海用戶通過私有地址通訊，同時(shí)可以訪問Internet 2.出差用戶通過VPN客戶端與北京總部或者上海分部通訊，同時(shí)可以訪問Internet 3.北京用戶與上海用戶進(jìn)行點(diǎn)對(duì)點(diǎn)連接，出差用戶與北京、上海點(diǎn)對(duì)點(diǎn)連接 4.適用于分公司（VPN隧道）不多的用戶,北京,上海,VPN接入二 星型連接,深圳,上海,重慶,哈爾濱,北京中心,特點(diǎn)： 1.北京總部與各個(gè)分部通過私有地址通訊，同時(shí)可以訪問Internet 2.出差用戶通過VPN客戶端與北京總部，然后通過北京總部訪問各分公司 3.出差用戶與總部和分部通訊的同時(shí)可以訪問Internet 4.星型拓?fù)溥m用于分公司（VPN隧道）較多的用戶,Internet,Internet,PSTN,出差用戶,VPN接入三 多動(dòng)態(tài)IP,服務(wù)器,工作站,總 部,移動(dòng)用戶,VPN,分部,VPN,服務(wù)器,工作站,PSTN,/24,/24,動(dòng)態(tài)獲得,1,動(dòng)態(tài)IP,動(dòng)態(tài)IP,特點(diǎn)： 1.VPN接入的雙方或者多方IP地址都是動(dòng)態(tài)變化的； 2.北京用戶與上海用戶通過私有地址通訊，同時(shí)可以訪問Internet 3.出差用戶通過VPN客戶端與北京總部或者上海分部通訊，同時(shí)可以訪問Internet,北京,上海,VPN接入四 客戶端NAT穿越,服務(wù)器,工作站,總 部,VPN,分部,防火墻,服務(wù)器,工作站,/24,/24,北京,上海,VPN客戶端軟件,00,0,NAT轉(zhuǎn)換,特點(diǎn)： 1.VPN客戶端軟件作了NAT后與VPN網(wǎng)關(guān)建立隧道； 2. 上海用戶通過客戶端軟件通過NAT穿越與北京的私有地址通訊，同時(shí)通過防火墻NAT轉(zhuǎn)換可以訪問Internet,服務(wù)器,工作站,總 部,VPN,分部,防火墻,服務(wù)器,工作站,/24,/24,北京,上海,00,0,NAT轉(zhuǎn)換,VPN,VPN接入五 VPN設(shè)備NAT穿越,00,/24,特點(diǎn)： 1.VPN設(shè)備經(jīng)過NAT后與VPN網(wǎng)關(guān)建立隧道； 2. 上海用戶通過VPN設(shè)備作NAT穿越后與北京的私有地址通訊，同時(shí)通過防火墻NAT轉(zhuǎn)換可以訪問Internet,VPN客戶端軟件,雙機(jī)多隧道,廣域網(wǎng),VLAN2,VLAN3,VLAN4,VLAN2,VLAN3,VLAN4,VPN鏈路備份,當(dāng)一條鏈路中斷時(shí)，另一條自動(dòng)啟動(dòng)轉(zhuǎn)發(fā)數(shù)據(jù)包 當(dāng)一條鏈路中斷時(shí)，另一條自動(dòng)啟動(dòng)進(jìn)行VPN連接,站段,路局,廣域網(wǎng),廣域網(wǎng),阿姆瑞特防火墻技術(shù)特點(diǎn),全方位安全防護(hù) 強(qiáng)大的路由功能 專業(yè)的帶寬管理 靈活的網(wǎng)絡(luò)接入 豐富的VPN功能 便捷的圖形管理 細(xì)微的網(wǎng)絡(luò)日志,管理系統(tǒng),多站點(diǎn)、多用戶管理系統(tǒng) 全中文，圖形化的管理系統(tǒng)提供了對(duì)多臺(tái)防火墻的集中控制 安全通訊 所有遠(yuǎn)程管理，包括配置以及軟件升級(jí)等全部都通過128位加密和認(rèn)證，安全可靠 集中配置檔案 所有的配置歷史文檔被完整保存，恢復(fù)以前任何版本的歷史配置或者替換一臺(tái)正在運(yùn)作的防火墻只需幾分鐘時(shí)間。配置模板共享。,防火墻統(tǒng)一管理,市,市,縣,縣,管理中心,省中心,縣,縣,所有產(chǎn)品管理一樣,系統(tǒng)管理員 添加防火墻管理員、審計(jì)員；無權(quán)利管理防火墻；無權(quán)利察看操作日志 防火墻管理員 對(duì)防火墻進(jìn)行管理；無權(quán)利添加任何用戶；無權(quán)利察看操作日志 防火墻審計(jì)員 察看防火墻操作日志；無權(quán)利管理防火墻；無權(quán)利添加任何用戶,集中和分權(quán)管理,防火墻的內(nèi)核、規(guī)則、QOS、接口、RAM、Buffer、連接等數(shù)據(jù)進(jìn)行詳細(xì)的統(tǒng)計(jì)和圖形報(bào)表。 可以實(shí)時(shí)掌握防火墻的運(yùn)行狀態(tài)，網(wǎng)絡(luò)的流量情況，及時(shí)發(fā)現(xiàn)可能發(fā)生的非法攻擊。,產(chǎn)品管理內(nèi)置防火墻狀態(tài)監(jiān)測(cè)器,防火墻CPU上的載荷比。 Ppscounters接收，發(fā)送以及總數(shù)據(jù)包的數(shù)目。 Bpscounters接收，發(fā)送以及總字節(jié)數(shù)。 Drops該接口接收到的因不符合規(guī)則集決定或包檢查規(guī)則而被丟棄的包數(shù)目。 IPErrors該接口接收到包數(shù)目，這些包受到嚴(yán)重?fù)p壞，以至不能通過路由器到達(dá)防火墻，因此，不可能造成攻擊。 SendFa