支持电驴服务器

技术白皮书网神SecGate3600防火墙网神信息技术(北京)股份有限公司http://www.
legendsec.
com2014年3月第1页版权声明Copyright2006-2012网神信息技术(北京)股份有限公司("网神")版权所有,侵权必究.
未经网神书面同意,任何人、任何组织不得以任何方式擅自拷贝、发行、传播或引用本文档的任何内容.
目录第2页1概述.
42网神SecGate3600防火墙六大特色.
42.
1多核并行操作系统SecOS.
42.
2深度的网络行为关联分析.
42.
3模块化设计,更加灵活多变.
52.
4独创的智能高效搜索算法.
52.
5强大的网络拓扑自适应性.
52.
6智能便捷的配置向导和管理方式.
53网神SecGate3600防火墙主要功能介绍.
53.
1自适应的网络接入模式.
53.
2完善的状态包过滤.
63.
3强大的抗攻击能力.
63.
4全面的NAT地址转换.
73.
5智能选路负载均衡功能.
73.
6独创的高效安全规则搜索算法.
83.
7全面灵活的连接限制.
83.
8精细的策略路由.
83.
9动态路由支持.
83.
10全面的VLAN支持.
93.
11用户认证.
93.
12虚拟防火墙功能.
93.
13IP/MAC地址绑定.
93.
14IDS联动.
103.
15主动的IPS攻击防护.
103.
16Web过滤功能.
103.
17邮件过滤.
103.
18流量整形和带宽管理.
113.
19完善的DHCP支持.
113.
20高可用性.
11第3页3.
21全面的系统监控.
123.
22便捷的配置向导.
123.
23丰富、安全的管理方式.
123.
24分级权限的安全管理.
123.
25与SecFox集中管理平台无缝结合.
123.
26完善的系统升级.
133.
27系统配置的导入导出.
133.
28全面的日志审计.
134网神SecGate3600防火墙主要功能列表.
13第4页1概述网神SecGate3600防火墙(以下简称"防火墙")是基于网神自主研发的SecOS安全系统,并结合在防火墙产品上多年技术、经验积累的基础上研发的,专门为政府、教育、金融、能源、军队、运营商、大中小型企业等用户的网络出口打造的高性能防火墙系统.
防火墙可灵活部署在各种网络应用环境的边界,提供状态检测、NAT、VPN、IPS、行为管理、流量控制、用户认证等综合安全功能.
防火墙采用了高性能、高稳定性的多核硬件架构,接口支持扩展,为用户提供高效、稳定、可扩展的安全保障.
2网神SecGate3600防火墙六大特色2.
1多核并行操作系统SecOS网神通过多年的安全行业技术积累,特别是在防火墙、UTM、IPS、流控等主流安全产品方面拥有深厚的技术优势和传统,在此基础上,开发出了新一代的具有自主知识产权的网神SecOS多核并行操作系统,在全新的操作系统上实现了防火墙系统在控制层和数据转发层上的分离,全模块化设计,采用独立的安全协议栈,消除了因操作系统漏洞带来的安全性问题,以及操作系统升级、维护对防火墙功能的影响.
同时也减少了因为硬件平台的更换带来的重复开发问题.
由于采用先进的设计理念,使的网神SecOS具有更高的安全性、开放性、扩展性和可移植性.
于此同时,新产品采用多核硬件架构,他与多核并行安全操作系统SecOS相结合,使多个核可以真正并行处理数据流量,极大的提升系统处理性能.
多核并行操作系统SecOS可高效控制更多的硬件处理核心,降低系统资源占用率,保证同时开启防火墙、VPN、行为管理、流量控制等多种功能时,系统依然能够保证平稳运行.
图3.
1网神SecGate3600防火墙体系架构图2.
2深度的网络行为关联分析采用数据包内容的深度网络行为关联分析技术,让您不再为各种专有动态协议如H.
323、FTP、SQL.
Net等的控制"愁眉不展",并且增强了您的网络对于各种DDoS攻击的防范能力!
第5页2.
3模块化设计,更加灵活多变硬件模块化:网神SecGate3600万兆防火墙产品和部分高端千兆产品采用接口模块化设计,通过在接口扩展插槽上组合不同的接口扩展卡,可以实现不同数量、不同速率的光电接口组合,多种组合更加灵活多变,适用于不同用户的网络情况,便于用户网络部署后的拓展升级.
软件模块化:多核硬件架构与多核并行操作系统结合,操作系统上实现了防火墙系统在控制层和数据转发层上的分离,全模块化设计,相关的功能通过license开启使用,便于用户功能扩展.
2.
4独创的智能高效搜索算法采用独创的分段直接寻址搜索算法MSDAL(Multi-StageDirectAddressingLookupAlgorithm),解决了传统防火墙随着安全策略数的增加其性能逐渐下降的问题,确保您在大量安全策略数目情况下仍能获取最高的网络性能!
2.
5强大的网络拓扑自适应性适应于各种复杂网络拓扑,包括透明桥接、路由以及桥和路由完全自适应识别模式.
支持VLAN和VLANTRUNK处理;支持多网络出口的链路聚合和策略路由;支持生成树和每VLAN生成树协议(STP/PVST+)和虚拟路由冗余协议(VRRP),提供全面可靠的二层链路备份和三层路由备份.
2.
6智能便捷的配置向导和管理方式为安全管理员提供里了便捷的快速配置向导,让您轻松完成复杂的安全配置.
并提供丰富的管理方式,包括本地Console,基于Web(HTTPS)浏览器,远程SSH登录,以及强大的SecFox集中安全管理方式.
3网神SecGate3600防火墙主要功能介绍3.
1自适应的网络接入模式网神SecGate3600防火墙支持透明桥接、路由、混合接入模式.
当工作在第6页透明模式时,防火墙类似于一个网桥,不需要用户对网络的拓扑做出任何调整;当工作在路由模式时,防火墙类似于一个三层路由设备,可以提供完整的路由功能;防火墙还可以工作在自适应的混合模式下,即防火墙的不同端口有的在同一网段上(透明),有的在不同网段上(路由),这样更方便用户在各种网络环境的接入.
3.
2完善的状态包过滤网神SecGate3600防火墙根据数据包的源地址、目标地址、安全区域、协议类型、源MAC地址、目的MAC地址等元素对数据包进行访问控制,而且能够记录通过防火墙的连接状态,直接对分组里的数据进行处理;具有完备的状态检测表追踪连接会话状态,并且结合前后分组里的关系进行综合判断决定是否允许该数据包通过,通过连接状态进行更迅速更安全的过滤.
支持复杂动态协议的状态包过滤,通过对协议内容的实时分析,动态开放所需的端口,传输结束后实时关闭端口,确保内网安全.
3.
3强大的抗攻击能力采用了完全自主开发的SecOS安全协议栈,支持对常见攻击的检测和阻断,并可以实现针对ICMP、UDP、TCP的Flood攻击提交频度检查与阈值分析,如针对ICMPFlood完成过滤类型与代码、频度、包长检查,针对UDPFlood完成频度、包长检查,针对Synflood完成频度检查.
针对最常见的SynFlood攻击,设置了SYNproxy以保护内部网络和防火墙本身免受此类的拒绝服务攻击,提供高安全性和高可用性.
支持对以下攻击的检测:TCP端口扫描UDP端口扫描SynFlood攻击ICMPFlood攻击UDPFlood攻击Pingofdeath攻击Pingsweep攻击IPspoofing第7页Land攻击Teardrop攻击FilterIPsourcerouteoptionWinNuke攻击Synfragments攻击SynandFinbitset攻击NoflagsinTCP攻击FINwithnoACK攻击ICMPfragment攻击LargeICMPIPsourcerouteIPrecordrouteIPsecurityoptionsIPtimestampIPstreamIPbadoptionsUnknownprotocols3.
4全面的NAT地址转换支持动态地址转换,支持地址池,即一对一,一对多,多对多支持静态地址转换支持端口转换,支持动态服务的映射,允许用户内部服务对外开放支持反向IP映射,允许用户内部IP主机对外开放支持双向地址转换,即源地址和目的地址的同时转换3.
5智能选路负载均衡功能网神SecGate3600防火墙支持基于接口带宽的动态切换能力:系统对各出口的流量带宽进行实时监测,当自身接口的流量带宽超过一定的阈值时,新建会话的流量将不再从这个接口转发.
当此接口的流量带宽回落到正常值以下第8页时,新建会话的流量再恢复从这个接口转发.
3.
6独创的高效安全规则搜索算法网神SecGate3600防火墙采用自主设计的分段直接寻址安全规则搜索算法MSDAL(Multi-StageDirectAddressingLookupAlgorithm),解决了传统防火墙随着安全规则数的增加,其搜索速率呈线性递减的问题,确保在大规则数情况下以最短的时间匹配到安全规则.
3.
7全面灵活的连接限制网神SecGate3600防火墙提供了两种限制连接动作:限制新建连接、限制并发连接.
连接限制可以保护服务器或服务器上提供的某项服务,限制对服务器过于频繁的访问.
在规定的时间内,如果访问服务器超过了所限制的次数,则会对连接实行阻断,在阻断时间段内,拒绝其对服务器的新的连接.
也可以应用此功能对使用BT/电驴等连接数目过大严重影响网络流量的用户加以限制.
3.
8精细的策略路由网神SecGate3600防火墙除常规的按目的IP方式的路由功能外,还支持按源IP方式的路由功能和路由负载均衡,支持多出口时链路聚合.
按源IP方式是根据源IP地址来决定下一跳地址.
路由负载均衡指按照下一跳的权值来自动选择路由,从而充分利用用户的带宽资源,保护用户投资.
另外,还可以支持基于协议和端口进行源路由选择.
3.
9动态路由支持网神SecGate3600防火墙具备动态路由的功能,可以和路由器进行动态路由互连,甚至替代部分路由器,极大的简化用户组网和节省用户的整体组网投入支持RIPV1/V2协议支持OSPF协议支持BGP协议支持路由协议明文/MD5验证支持区域内,区域间路由第9页3.
10全面的VLAN支持网神SecGate3600防火墙能够支持802.
1Q封装协议;支持VLANTrunk协议,并可以对Trunk口中的VLANID进行过滤;支持VTP链路聚合协议;支持生成树协议STP和每VLAN的生成树协议PVST+;在路由模式和桥模块下均支持VLAN间路由,方便用户在旁路方式下的接入.
3.
11用户认证网神SecGate3600防火墙提供协议层用户认证系统,突破认证的服务种类限制,为包过滤、双向NAT、代理等访问控制提供用户认证功能支持用户和组管理,支持用户策略(源IP绑定、可访问目的IP和服务),支持对用户帐号的流量控制和时间控制提供与标准的Radius服务器联动的用户认证提供本地认证库:提供基于角色的用户策略,并与安全规则策略配合完成强访问控制,支持对用户帐号的流量控制和时间控制,客户端可以修改密码,服务器端检查用户在线状态,支持PAP和S/Key认证协议3.
12虚拟防火墙功能通过虚拟防火墙功能可在一个单一的硬件平台上提供多个防火墙实体,即将一台设备在逻辑上划分成多台虚拟防火墙,每台虚拟防火墙都可以被看成是一台完全独立的防火墙设备去使用.
通过虚拟防火墙之间的逻辑隔离,增加了网络的安全性.
同时用户只需维护一台物理设备,简化了管理,降低了维护成本.
3.
13IP/MAC地址绑定网神SecGate3600防火墙提供IP/MAC地址绑定检查功能,防止IP地址盗用,可以设置绑定的默认策略,提供IP/MAC对的唯一性检查.
提供了地址对与网口的绑定功能,可以及时定位盗用合法IP/MAC地址对的非法用户.
此外,防火墙提供了IP/MAC自动探测功能,可以大大减轻管理员手工收集IP/MAC对的工作量.
第10页3.
14IDS联动网神SecGate3600防火墙支持与目前市场上大部分主流IDS产品的联动.
当IDS联动产品发现入侵攻击行为时,会通知防火墙.
如果防火墙相应网口启用了IDS自动阻断功能,则防火墙会按IDS通知的阻断方式、阻断时间和入侵主机的相关信息,对入侵主机进行阻断.
网神SecGate3600防火墙阻断方式包括:对"源IP地址"阻断对"源IP地址、目的IP地址、目的端口、协议"阻断对"源IP地址、目的IP地址、协议、方向(单向、双向、反向)"阻断防火墙阻断协议包括:TCP/UDP/ICMP和所有协议(any)3.
15主动的IPS攻击防护网神SecGate3600防火墙采用最新的检测引擎,高效快速分析算法.
具备基于协议异常、会话状态识别和七层应用行为的攻击识别功能,该特征库可以实现每周至少更新一次,用户还可以自定义入侵攻击和应用软件的特征;支持对VLAN、MPLS、ARP、TCP、UDP、RPC、WCCP、GRE、IPV6、SMTP等各种协议的分析;支持对病毒、蠕虫、木马、间谍软件、广告软件、可疑代码、端口扫描、非法连接等多种攻击的防护.
可以:阻止蠕虫扩散,防范基于漏洞的攻击,阻止木马传播.
3.
16Web过滤功能网神SecGate3600防火墙支持对网页中的java、javascrip、activeX小插件和网页关键字进行过滤;支持全面的URL过滤功能,并支持黑/白名单过滤策略,支持关键字导入,可对允许访问的URL和禁止访问的URL进行日志记录.
3.
17邮件过滤网神SecGate3600防火墙支持对SMTP、POP3协议进行邮件过滤,并且允许用户自己定义邮件地址、域名、关键字、、邮件主题等条件进行过滤,支持同时2个RBL实时黑名第11页单查询功能.
另外还可以和实时黑白名单RBL服务器进行联动,最大限度的减小垃圾邮件的威胁.
3.
18流量整形和带宽管理网神SecGate3600防火墙采用先进的拥塞控制算法、流量调度算法以及优先级排队机制,根据用户定义的带宽策略,动态实现带宽分配的实时控制.
具有以下特点:最大限制带宽可以对用户IP地址、服务等通过防火墙的带宽进行限制,例如:限制某个用户对外访问最大带宽,或者访问某种服务的最大带宽.
最小保证带宽保证网络中重要服务或者重要用户的带宽不被其他服务或者用户占用,从而保证了重要数据优先通过网络.
优先级控制防火墙可以设定3个优先级,在拥塞情况下,可以进行更加细致的流量控制.
3.
19完善的DHCP支持支持DHCP客户端防火墙支持动态IP,其接口可以动态地获得IP地址,方便灵活地接入用户的网络环境.
支持DHCPserver防火墙自身可以作为DHCPServer,为网络中计算机动态的分配IP地址,从而为企业的网络建设节约投资,同时方便网络的应用和IP地址的管理.
支持DHCPRelay防火墙支持DHCPRelay.
放置于DHCPServer和DHCPClient之间,既有效的保护DHCPServer同时便于用户网络的部署.
3.
20高可用性为了保证网络的高可用性与高可靠性,网神SecGate3600防火墙提供了第12页双机热备份功能,当一台防火墙发生意外宕机、网络故障、硬件故障等情况时,另一台防火墙自动切换到工作状态,从而保证了网络的正常使用.
切换过程不需要人为操作和其他系统的参与,当发生切换时防火墙上的连接可以透明地迁移到另一台防火墙上,用户不会觉察到.
3.
21全面的系统监控网神SecGate3600防火墙提供全面的系统状态监控,可以让管理员清楚地了解网络中接口流量统计、最大连接数量的IP等信息,并且能够及时发现被网络蠕虫病毒感染的主机,配合连接限制,进行实时阻断.
3.
22便捷的配置向导网神SecGate3600防火墙提供便捷的配置向导功能,管理员可以根据初始配置向导轻松完成防火墙的配置.
3.
23丰富、安全的管理方式网神SecGate3600防火墙提供了Web方式和CLI命令行方式的管理,用户可以在本地或远程通过Web或CLI方式登录防火墙进行管理,具体的管理方式可以通过系统管理员进行添加和删除.
3.
24分级权限的安全管理网神SecGate3600防火墙提供分级安全管理机制,系统分为超级管理员、配置管理员、策略管理员、审计管理员四个等级.
通过管理员身份认证(电子钥匙认证或证书认证)、管理主机限制、防火墙管理方式定义(Web管理/CLI管理/SSH方式)、配置信息加密(支持SSL协议和SSH协议),提供方便且安全的配置管理.
3.
25与SecFox集中管理平台无缝结合网神SecGate3600防火墙通过SNMP协议,实现了和网神SecFox集中安全管理系统的无缝结合,通过在防火墙上配置集中管理主机的IP地址,十分第13页方便地实现对防火墙的集中管理.
SecFox集中管理系统可以同时对多个防火墙进行远程管理,并且支持防火墙策略的批量修改和分发.
3.
26完善的系统升级随着技术的飞速发展和安全需求的不断延伸,防火墙需要适时地进行软件版本升级.
网神SecGate3600防火墙的软件升级直接通过管理界面进行,用户只需选择新的升级软件包并重启防火墙即可方便地完成软件升级.
3.
27系统配置的导入导出网神SecGate3600防火墙的导入导出功能便于管理员对整个防火墙的配置进行备份,在需要的时候,可以离线调整后,重新导入防火墙即可即时生效.
导出的配置信息可以保存在管理主机上做备份,导出的文件格式可以选择加密或不加密.
同时,防火墙还支持部分配置的单独导入、导出,比如:时间资源、地址资源、服务资源、安全策略,方便管理员根据自己的需要导出所需配置.
3.
28全面的日志审计网神SecGate3600防火墙各功能模块都可以提供标准格式的日志记录.
默认情况下,日志存储在防火墙本地,也可以将日志直接发往远程日志服务器.
4网神SecGate3600防火墙主要功能列表支持透明、路由、混合模式部署支持802.
1QVLAN,支持VLANTrunk,支持VLAN和MAC地址的绑定支持端口聚合,工作模式支持轮循、热备、802.
3ad方式支持IP/MAC地址自动探测并进行绑定支持静态路由,支持基于路由的负载均衡支持基于接口带宽的动态切换能力,系统对各出口的流量带宽进行实时监测,当自身接口的流量带宽超过一定的阈值时,新建会话的流量将不再从这个接口转发.
当此接口的流量带宽回落到正常值以下时,新建会话的流量再恢复从这个接口转发.
支持策略路由,支持基于源地址、目的地址、协议、端口、接口、下一条地址的第14页网络适应性策略路由,支持基于策略路由的链路备份和负载均衡功能.
支持ADSL接入方式,支持多条(≥3)ADSL拨号和自动负载均衡支持USB3G网卡方式接入支持DNS中继,支持DNS中继自动寻找上级DNS服务器支持基于ARP、TCP、HTTP、PING方式的链路探测功能,可以根据链路探测的结果自动进行链路的切换支持接口联动功能,支持动态路由RIPv1/v2、OSPF和BGP协议支持组播路由,支持PIM-SM支持IPv6功能,支持DHCPv6、IPv6路由、IPv6策略等配置支持虚拟防火墙功能支持DHCP服务器、中继、客户端模式防火墙支持基于状态检测的包过滤可针对安全区域、IP地址、VLAN、MAC、协议类型、时间表等对象设定安全策略支持NAT地址转换,可实现一对一、多对一、多对多方式支持内网服务器映射,支持服务器负载均衡功能,负载均衡算法支持轮询、权重、随机、HASH算法.
支持抗网络攻击功能,支持对Flood攻击、扫描窥探攻击、畸形报文攻击的防范支持IDS联动功能,可与主流IDS设备进行联动支持URL重定向功能,可根据定义的条件将访问重定向到指定地址或域名上支持当前连接会话的实时查询和统计功能支持基于源、目的地址、生效时间等条件的新建连接、并发连接限制功能行为管理支持URL过滤功能,内置预定义的URL库,87种分类,900多万条URL库,URL库支持在线更新支持手工自定义添加URL地址,支持黑白名单支持对常见P2P、即时通信、文件传输、流媒体、邮件客户端、游戏、股票应用程序进行阻断支持Qos流量管理功能,支持基于接口和策略的带宽控制支持基于服务协议、应用程序的带宽控制,可按用户优先级、服务优先级实现最大带宽和保证带宽方式的控制入侵防御支持入侵防御功能,内置预定义特征库可以针对网页攻击、缓冲区溢出攻击、后门、木马、蠕虫、拒绝服务攻击、扫描攻击等入侵行为进行阻断和日志记录预定义特征库支持在线、离线方式升级内容过滤支持网页内容关键字过滤功能,支持JAVA、Script、Activex控件过滤,支持对GET、POST、HEAD命令的过滤支持FTP内容过滤功能,支持对FTP命令的过滤,支持根据文件类型实现上传、下载的过滤支持对Telnet命令的过滤支持邮件过滤功能,支持基于SMTP、POP3协议的过滤支持按邮件地址黑白名单、邮件主题关键字、邮件内容关键字、类第15页型、协议命令等条件进行过滤支持RBL反垃圾邮件用户认证支持本地认证和第三方RADIUS服务器认证支持基于Web页面无客户端认证支持基于客户端方式的认证支持对认证用户进行登录地址、访问流量、访问有效时间和可用服务的控制.
高可用性支持双机热备功能,支持标准VRRP协议支持路由、透明模式下"主-备"、"主-主"方式部署支持抢占和非抢占模式支持配置、会话状态自动同步系统管理支持HTTPS、CONSOLE、SSH、TELNET等多种管理方式管理员账号认证支持本地认证和第三方远程服务器认证方式,本地认证支持口令、电子证书和电子钥匙方式,第三方服务器认证支持Radius、LDAP方式.
支持管理员权限分级,支持自定义管理员权限表支持管理主机的受限访问支持系统时钟通过NTP协议与时钟服务器进行时钟同步,支持与管理主机进行时钟同步支持系统配置按功能模块部分导出,支持配置加密导出支持网络集中管理功能,可进行配置的统一下发,支持SNMPv2、SNMPv3协议支持软件版本的在线、本地离线方式升级支持本地日志存储和外部SYSLOG日志服务器存储支持日志的八个级别分类支持按功能模块进行日志的分类和统计支持邮件报警功能支持安全事件统计功能,支持安全策略命中数统计支持系统资源利用率统计图显示支持Web界面导出调试信息功能支持基于接口的流量统计功能支持DHCP用户、认证用户在线状态监控支持实时连接状态监控支持桥转发表监控支持管理员在线状态监控