曙光防火墙技术

曙光信息产业股份有限公司曙光下一代防火墙技术白皮书曙光信息产业股份有限公司www.
sugon.
com2目录1.
公司介绍.
32.
功能特性列表.
33.
安全解决方案.
43.
1防火墙解决方案.
41.
部署模式.
42.
安全性能及功能.
103.
2防病毒解决方案.
131.
概述.
132外部病毒防御.
143内部病毒防御.
153.
3入侵检测解决方案.
171.
概述.
172.
部署模式.
173.
IPS特征检测.
184.
防DoS/DDoS攻击193.
4web内容过滤解决方案.
201.
概述.
202.
部署及应用.
223.
5VPN解决方案.
231.
概述.
232.
部署方式.
233.
常见应用.
243.
6应用控制及QoS解决方案.
271.
概述.
272.
应用控制.
273.
带宽管理及会话控制.
284.
集中管理和安全审计方案.
281.
中文图形化管理.
282.
高可用性(HA)293.
集中管理及安全审计.
31曙光信息产业股份有限公司www.
sugon.
com31.
公司介绍曙光信息产业股份有限公司(以下简称"中科曙光")是在中国科学院大力推动下,以国家"863"计划重大科研成果为基础组建的国家高新技术企业.
公司主要从事研究、开发、生产制造高性能计算机、通用服务器及存储产品,并围绕高端计算机提供软件开发、系统集成与技术服务.
2014年,中科曙光成功在上海证券交易所上市(股票代码:603019).
中科曙光是国内高性能计算领域的领军企业,亚洲第一大高性能计算机厂商,2009-2014年连续6年蝉联中国高性能计算机TOP100排行榜市场份额第一.
由曙光公司研发的"星云"高性能计算机在第35届全球超级计算机"TOP500"中以每秒系统峰值达三千万亿次(3PFlops)、每秒实测Linpack值达1.
271千万亿次的速度,取得了全球第二的成绩,成为世界上第三台实测性能超千万亿次的超级计算机,再次向世界力证了"中国速度".
2.
功能特性列表用户认证本地数据库RADIUS/LDAP/TACACSPKIIPSECVPNXauth扩展认证RSASecurID认证防火墙路由、透明、混合模式DHCP服务器DNS转发DNS服务器NAT/PATVLAN链路聚合交换/路由支持多链路流量分配支持ADSL支持静态路由/策略路由动态路由RIPv1&v2,OSPF,BGP支持STP支持802.
1X支持VLAN支持链路聚合支持IPv6虚拟专用网(VPN)PPTP,IPSec,L2TP,GRE,SSLVPN支持CA星型VPN/网状VPNOSPFoverIPSecIPSecoverGREOSPFoverGREIPsecoverL2TP防病毒支持各种文件传输协议自动升级病毒库支持文件压缩网页过滤支持URL地址/域名黑白名单支持关键字过滤支持对HTTP协议的参数过滤,比如HOST,URI等反垃圾邮件支持SMTP/POP3/IMAP协议在线查询库IP地址和Email黑名单关键词过滤入侵防御系统支持6000多种特征库基于策略部署可以设置免屏蔽IP可以记录数据包内容DOS和DDOS攻击控制自动升级特征库可自定义特征库支持隔离攻击者和可以设置隔离时间支持在线和旁路式部署支持自动生成策略和发送Reset阻断攻击上网行为管理支持2000多种应用基于策略部署支持对应用监控、阻断和限制带宽通过特征指纹方式识别应用支持在线式和旁路式部署基于IP带宽管理安全审计支持各种传输文件的协议支持压缩文件支持TXT、PDF和Word类型文档内置敏感样本曙光信息产业股份有限公司www.
sugon.
com43.
安全解决方案3.
1防火墙解决方案防火墙诞生至今已有20多年,经历了基于路由器的防火墙->安装在PC上的软件防火墙->基于工控机的软件防火墙->多核硬件防火墙几个阶段;从防御技术角度看,也从最简单的包过滤型防火墙,逐步发展为当前流行的状态检测型防火墙.
防火墙经过长期的演变进化,目前无论功能还是性能都非常成熟,能够满足几乎所有网络环境的需求,也是绝大多数用户建设网络安全防护体系时的首选.
根据有关机构的统计,防火墙占有整个信息安全市场40%以上的份额,并且超过90%的用户在进行安全系统建设时,会首先选择防火墙产品.
防火墙是公认的网络安全的核心和枢纽,其它网络安全部署往往都是围绕防火墙来完成的.
防火墙是用于隔离可信任网络和不可信任网络的安全设备,可以根据源IP地址、目的IP地址、源端口、目标端口等对进出内外网的流量进行过滤,符合管理员预设安全策略的访问被放行,而非授权的访问将被防火墙拦截,从而保护网络的安全.
1.
部署模式作为网络隔离设备的防火墙,通常首先部署在外网出口处,作为内网与外网通信的网关,这样所有进出内外网的数据都会经过防火墙的过滤,其中不符合企业或机构安全策略的访问将被防火墙阻止.
由于服务器的安全级别与内外网均不同,因此一般都被放置在独立的DMZ区,与内网和外网相隔离.
这种部署方式可以有效地防止外网黑客将服务器作为跳板攻击内网.
其它具有不同的安全级别的网络区域均应独立的接入防火墙,以便与其它网络区域隔离,接受防火墙的访问控制.
在网络环境越来越复杂的今天,企业或机构往往需要更加细致地对网络安全区域进行划分,因此对防火墙的端口数量提出了更高的要求.
曙光下一代防火墙最多可提供30多个千兆网络接口,电信级ATCA设备更可以提供上百个千兆网络接口,可以很好的满足高密度的端口需求.
企业或机构内部的不同网段(如不同分支机构、不同部门、不同业务系统)之间都可以使用曙光下一代防火墙进行隔离,以防止来自于内部的攻击或非法访问(例如其它部门员工访问财务部服务器,窃取机密数据信息).
曙光下一代防火墙(简称防火墙)的典型部署如下图所示:曙光信息产业股份有限公司www.
sugon.
com5防火墙支持路由(NAT)、透明和混合三种工作模式.
可以很好的适应各种网络环境.
路由(NAT)模式防火墙的路由(NAT)模式用于连接不同IP地址段的网络环境.
如上图,内网使用的是192.
168.
1.
0/24网段,而外网使用的是210.
100.
1.
X网段来连接Internet.
此时由于内外网络不在同一IP地址段,因此需将防火墙设置为路由(NAT)模式.
此时防火墙工作在第三层,相当于一台路由器,连接不同的IP地址段.
使192.
168.
1.
X和210.
100.
1.
X之间可以互访.
在路由(NAT)模式下,防火墙的每一个接口都有一个IP地址,分别对应不同的网段.
每个接口都支持不同的地址模式,既可以是静态IP,也可以通过DHCP服务器获得动态IP,还能通过PPPOE拨号获取IP地址,可以很好的支持LAN、ADSL等多种网络接入方式.
曙光信息产业股份有限公司www.
sugon.
com6防火墙支持如下路由协议:静态路由ECMP(等值路由)策略路由RIPOSPFBGP组播路由基于以上各种静态及动态路由方式,防火墙可以完美地支持多链路接入环境.
如下图所示,该机构具有电信、联通、教育网等3条Internet出口链路,防火墙可以自动实现这些链路间的负载分担(内网的流量分配到3条链路)和冗余(故障中断链路上的流量会自动切换到正常的链路),大大提高网络的效率和可用性.
在路由(NAT)模式下,防火墙可以实现双向NAT(网络地址转换)和PAT(端口转换),包括曙光信息产业股份有限公司www.
sugon.
com71:N、N:1、N:N的转换.
NAT和PAT可以很好的起到隐藏内网结构,节约IP地址资源的作用.
防火墙的NAT功能还支持如下几种高级应用:服务器负载均衡内网的多台Web服务器(例如192.
168.
1.
101-192.
168.
1.
103)对外提供同样的服务,可以使用防火墙通过NAT方式实现多台设备间的负载均衡.
并可以通过ping、TCP、HTTP等方式进行健康检查,发生故障的服务器会被自动剔除出负载均衡组.
HTTP多路复用或SSL卸载传统的访问形式下服务器需要维护大量来自客户端的TCP连接,每个连接的维持都需要耗费服务器的内存和CPU计算周期.
HTTPmultiplexing(多路复用)机制,通过在防火墙上维持和客户端的大量连接,而在防火墙和服务器之间建立少量常开的连接,每个防火墙和服务器之间的连接服务若干客户端和防火墙的连接,减少服务器的资源消耗,提高服务器的处理性能.
而SSLoffload(卸载)是指将防火墙部署在Web服务器前方,处理SSL加密/解密,Web服务器与防火墙之间可以采用HTTP方式通信,从而将服务器从繁重的加解密及认证的工作负担中解脱出来,提高处理性能.
透明(桥)模式如果防火墙内、外网使用相同网段的IP地址,便无需防火墙担负路由的工作.
此时可以将防火墙置于透明模式,防火墙工作在第二层,在网络拓扑结构上相当于一个交换机或者网桥.
如下图所示:曙光信息产业股份有限公司www.
sugon.
com8内网已经可以通过路由器的路由和NAT功能连入Internet,内网所有计算机的默认网关均指向路由器的内口192.
168.
1.
1,此时只需加入防火墙实现安全功能.
为了尽可能的简化配置且不更改现有的网络环境,可使用防火墙的透明模式.
此时防火墙不像路由模式下需要给每个接口配置一个单独的IP地址,只需直接插入到网络链路中即可.
内外网用户并不能感觉到这台安全设备的存在,将防火墙从网络中撤出也不会影响出口的连通性.
防火墙存在与否均不会改变网络逻辑结构和可用性,因此称之为透明模式.
在透明模式下,需要给防火墙配置一个管理IP地址,用于管理.
混合模式防火墙还可以很方便的实现路由/透明的混合模式.
在某些情况下,内网和DMZ区使用同一网段的IP地址,内网使用192.
168.
1.
1-192.
168.
1.
200,DMZ区使用192.
168.
1.
201-192.
168.
1.
250;外网使用另一网段的IP地址(202.
1.
1.
1).
此时单纯的透明模式或者路由(NAT)模式都无法满足网络的要求.
使用防火墙可以实现外网与DMZ/内网之间使用路由(NAT)模式,而内网与DMZ之间使用透明模式.
这种路由/透明的混合模式可以很好的满足这种网络环境的需求.
VLAN环境无论在透明模式还是路由(NAT)模式下,防火墙都支持802.
1QVLAN环境,对于交换机之间的VLANTrunk或交换机/路由器之间的单臂路由都可以很好的支持;防火墙在路由模式下自身也可以给交换机上的不同VLAN作Trunk和路由.
曙光信息产业股份有限公司www.
sugon.
com9IPv6支持通过IPv6提供和IPv4一样的核心网络安全技术.
曙光下一代防火墙已实现IPv6接口地址、路由、IPv6Tunnel、防火墙控制、IPSecVPN等特性.
为了能够同时支持IPv6和IPv4,实现了双协议栈架构,它认可并区分了IPv6和IPv4的路径.
除了路由,现在最重要的网络和内容保护安全功能都完全支持IPv6.
运用IPv6防火墙策略为IPv6流量提供保护.
防病毒,网页过滤,邮件过滤,安全审计和VoIP保护功能,用通常的配置将之在IPv6防火墙策略中启用.
这种保护对IPv6用户来说是透明的.
虚拟域曙光下一代防火墙支持虚拟域功能,可以将一台物理设备划分成多个虚拟防火墙,每一个虚拟域都拥有独立的工作模式(路由、NAT、透明等)、接口IP、路由表、安全策略、用户等参数,便于下连多个网段或单位/部门的时候使用.
简而言之,每一个虚拟域都可视为一台独立的逻辑安全设备.
各虚拟域之间还可以通过内部虚拟链路inter-link进行互联,实现各种不同的管理结构(全通结构/独立结构/管理结构)曙光信息产业股份有限公司www.
sugon.
com10独立结构管理结构2.
安全性能及功能高性能我们结合当今国际流行的下一代防火墙理念,创造性地提出"一次解包,多次分析"的架构设计思想,构建了能够支撑下一代防火墙的曙光专用安全操作系统DSOS,解决了传统UTM速度慢和操作复杂的问题.
"一次解包,多次分析"就是针对下一代防火墙具有多种功能的特点设计的,它在协议处理不同层面一次性完成多种安全分析.
传统UTM通常采用不同厂家的安全模块,比如防火墙,防病毒,IPS,应用识别都是不同厂家的软件模块.
数据包经过多个安全模块进行处理时,需要多次解包和封包过程,浪费了大量宝贵的设备计算资源,增加了数据包的延时.
曙光信息产业股份有限公司www.
sugon.
com11如上图所示,我们把与网络层相关的DDoS,防火墙,流控,VPN等功能在数据包状态检测过程完成,入侵检测与防御,应用识别等都是与数据包内容有关的,统一在数据包内容分析中完成,而防病毒,Web过滤,反垃圾邮件和安全审计需要对数据包进行重组,所以放在透明代理中完成.
"一次解包多次分析"的优势在于:提高数据包流转速度,降低数据包的延迟;提高设备性能,降低CPU和内存的使用率;可以融合多种安全策略为统一策略,部署简单和灵活;会话表涵盖状态监测,VPN,应用识别,防病毒,IPS等信息,有助于满足可视化和透明化等下一代防火墙要求.
包过滤曙光下一代防火墙功能基于状态检测包过滤技术,可以针对IP地址、服务、端口等参数决定是否允许数据包通过,在第三层(网络层)和第四层(传输层)进行数据过滤.
防火墙功能可以对访问的源和目标的IP地址进行过滤,例如可以允许或拒绝内网的部分IP地址访问外网,也可以允许或拒绝外网的部分IP地址访问内网.
IP地址对象可以是单个IP(如202.
1.
1.
1),也可以是IP地址段(如192.
168.
1.
0/255.
255.
255.
0),还可以是IP地址范围(如172.
12.
1.
100-172.
12.
2.
200).
对拥有同一访问权限的不同IP地址/段,还可以将它们加入到一个地址组中,在防火墙策略中统一调用.
防火墙还支持对Wildcard子网掩码(子网掩码可以位于任意位,例如0.
0.
160.
0/0.
0.
224.
0)及FQDN(域名,如www.
sina.
com.
cn)形式的IP地址进行控制,进一步提高了灵活性.
防火墙预置了常用网络服务的端口信息,如HTTP使用的TCP80端口、FTP使用的TCP21/20端口等.
也可以自定义任意的TCP/UDP/ICMP/IP服务和端口.
同样可以将不同的服务和端口加入组,在策略中统一调用.
除了传统防火墙都具备的根据IP地址、端口进行过滤的功能,曙光也可以针对不同的时间段制定不同的安全策略.
例如工作时间(如周一至周五每天9:00-18:00)不允许内网用户使用QQ、MSN等工具聊天,而其它时间则允许使用,便可通过曙光基于时间的策略自动实现.
曙光信息产业股份有限公司www.
sugon.
com12用户认证曙光下一代防火墙还可以实现方便的用户身份认证,在用户试图访问网络资源时自动弹出认证对话框,输入正确的用户名和密码才能继续访问,没有相关用户权限的访问将被防火墙阻止.
防火墙也可以为不同用户赋予不同级别的访问权限,如只有网络管理员才可以通过telnet或终端服务等方式远程登录到服务器进行管理操作,其他用户只能通过Web方式访问管理员发布出来的信息.
曙光支持多种用户身份认证方式,包括:本地用户RadiusLDAPTACACS+PKI证书通过对IP地址、端口、用户、时间等参数的灵活组合,便可制定出各种适合实际网络安全需求的防火墙策略来,使得用户的安全策略可以得到切实的执行.
状态检测曙光下一代防火墙功能是基于状态检测机制的,它会跟踪会话从建立、维持到中止的全过程,已建合法连接的后续数据通信可以直接放行,极大的简化了配置、提供了效率.
所有的会话都会维持在曙光的会话表中,还可以供管理员分析和排错使用.
上图是曙光的状态表,用户可以查看当前通过曙光建立的所有会话,并可对当前会话进行筛选和排序,迅速发现网络中不正常的主机(病毒、DoS、P2P等).
发现网络中的异常后,用户可以新增防火墙策略阻断非法流量,也可以在会话表中直接切断会话.
曙光信息产业股份有限公司www.
sugon.
com133.
2防病毒解决方案1.
概述计算机病毒一直是信息安全的主要威胁.
而随着网络的不断发展,网络速度越来越快,网络应用也越来越丰富多彩,使得病毒传播的风险也越来越大,造成的破坏也越来越强.
据ICSA(国际计算机安全协会)的统计,目前已经有超过90%的病毒是通过网络进行传播的.
内网用户访问Internet时,无论是浏览WEB页面,还是通过FTP下载文件,或者是收发E-mail,甚至MSN聊天等,都可能将Internet上的病毒带入网内.
而近几年泛滥成灾的网络蠕虫病毒(如红色代码、尼姆达、冲击波、振荡波等)跟传统的通过光盘、软盘等介质进行传播的基于文件的病毒有很大的不同,它们本身是一个病毒与黑客工具的结合体,当网络当中一台计算机感染蠕虫病毒后,它会自动的以极快的速度(每秒几百个线程)扫描网络当中其他计算机的安全漏洞,并主动的将病毒传播到那些存在安全漏洞的计算机上,只要相关的安全漏洞没有通过安装补丁的方式加以弥补,蠕虫病毒就会这样以几何级数的增长速度在网络当中传播,即使计算机上安装了带有实时监控功能的防病毒软件(包括单机版和网络版)对此也无能为力.
蠕虫病毒的传播还会大量占用网络带宽,造成网络拥堵,形成拒绝服务式攻击(DoS).
因此,对于新型的网络蠕虫病毒,必须在网关处进行过滤,防止病毒进入内网.
网关防病毒已经成为当前防病毒体系中的重中之重.
曙光信息产业股份有限公司www.
sugon.
com14ICSA统计数据:90%以上是通过Internet传播的曙光下一代防火墙目前的支持的病毒特征数量超过220万个以上,而且防病毒特征可通过Internet自动更新,每天4次的病毒库更新频率是业界最高标准之一,可以确保用户在第一时间实现对最新型网络威胁的防御.
支持手动、自动、推送式更新.
其中推送式更新当服务器上有新的特征库时,会主动"推送"至防火墙,响应速度最快.
曙光下一代防火墙支持启发式扫描,对于未知病毒,可以根据其行为进行判断,及时将可疑的文件报告给用户.
2外部病毒防御如下图所示,曙光下一代防火墙可以部署在Internet和内部网络之间,既可以阻挡来自Internet的病毒、蠕虫、木马、间谍软件、恶意软件等,也可以防止内部用户向外发送这些病毒等安全威胁.
DMZ区的服务器也可使用防火墙进行保护,防止病毒、蠕虫、木马等攻击Web、Email、Proxy等服务器.
曙光下一代防火墙的病毒过滤针对标准协议,与应用无关.
无论用户使用何种Email服务器和客户端,只要使用的是标准的SMTP、POP3、IMAP协议,都可以对电子邮件中的病毒进行过滤,防止病毒通过邮件传播.
防火墙还支持HTTP协议和FTP协议,对于Web浏览、下载、Web邮件及FTP文件传输过程中携带的病毒均可进行拦截.
在支持协议的全面性上走在了业界的前方.
对于使用非标准端口的协议应用(如在使用代理服务器的环境中,HTTP协议不使用TCP80端口,却使用了TCP8080端口),同样可以对其中的病毒进行过滤.
新型病毒可以通过MSN等IM(实时消息)软件进行传播,防火墙一样可以针对这类协议进行过滤,防范各类病毒.
防火墙还可以扫描NNTP(新闻组)应用中的病毒.
在协议支持的全面性上,曙光走在了业界的前面.
在曙光下一代防火墙上启用防病毒功能,对HTTP、FTP、SMTP、POP3、IMAP、MSN、NNTP等协议进行过滤,便可将外网病毒传入内网的风险降至最低.
曙光信息产业股份有限公司www.
sugon.
com15对于一段内容,如果既包含正常部分,又含有病毒代码,防火墙则会将病毒代码过滤掉,正常部分仍然会继续传输,这样便可有效防止信息的丢失.
例如,一封染毒的Email被发往内网某用户处,经过防火墙扫描后,带有病毒的会被拦截,而"干净"的正文仍然会正确的发送到收件人的邮箱里,不会因为病毒扫描导致信件的丢失.
这封邮件中还会自动插入提醒信息,通知收件人由于带毒,所以被防火墙删除.
提示信息可以由管理员自己来设置.
除了可以过滤已知特征病毒之外,防火墙还可以对管理员指定的文件名或文件类型进行过滤.
例如,通过过滤*.
mp3文件可以有效阻止内网用户上网下载mp3歌曲;过滤avserver.
exe文件也可以对震荡波(Sasser)病毒进行阻挡.
针对文件类型过滤可以有效的防止文件名欺骗(例如将.
exe文件改名为.
zip,然后进行发送).
管理员还可以使用防火墙对超过一定大小的文件进行阻挡.
例如管理员不希望内网用户下载电影而大量占用网络带宽,便可在防火墙上设置,超过50M大小的文件一律阻止.
对于染毒文件,除了直接丢弃之外,还可以进行隔离.
3内部病毒防御虽然目前90%以上的病毒来自于Internet,但仍然有部分病毒通过其它途径进入内网,例如光盘、U盘、文件共享、移动用户等.
而病毒进入内网后通常采用网络入侵的方式,利用网络中其它主机的安全漏洞进行传播,并可能导致DoS攻击.
如前图所示,除了在Internet出口处部署曙光下一代防火墙之外,还可以在内网各区域(如下属单位、部门等)之间使用防火墙进行隔离,防止一个区域感染的病毒扩散到其它区域.
另一方面,防火墙不能仅针对HTTP、FTP、SMTP、POP3、IMAP、MSN、NNTP等协议进行病毒扫描,同时还能够基于IPS原理,识别各类蠕虫病毒的内网传播特征,对内网中的病毒传播进行定位和阻拦.
曙光信息产业股份有限公司www.
sugon.
com16曙光下一代防火墙的IPS功能还能限制单个IP地址产生的会话数量,防止蠕虫病毒爆发时导致的DoS/DDoS攻击;还能利用防火墙功能阻挡常见病毒的传播端口.
以上功能均能协助防病毒功能,获得更好的防御效果.
当前的病毒传播方式多种多样,病毒、蠕虫、木马、恶意软件、网络入侵等的界限越来越模糊,用户只有结合防病毒、IPS、防火墙等多项安全技术,才能真正有效地过滤新一代病毒.
曙光信息产业股份有限公司www.
sugon.
com173.
3入侵检测解决方案1.
概述传统的状态检测/包过滤防火墙是在网络层/传输层工作,根据IP地址、端口等信息对数据包进行过滤,能够对黑客攻击起到部分防御作用.
但是黑客仍然可以从合法的IP地址通过防火墙开放的端口对内网发起攻击,目前很多攻击和应用程序可以通过防火墙开放的端口穿越防火墙,如MSN、QQ等IM(即时通信)工具均可通过80端口通信;还有一些攻击和应用可以通过任意IP、端口进行(例如BT、电驴等);SoftEther等软件更可以将所有TCP/IP通讯封装成HTTPS数据包发送,这些高级、复杂的攻击单纯的使用状态检测/包过滤防火墙无法进行阻挡,需要使用IPS(入侵防御系统)来配合防火墙实现对复杂攻击的防御.
IPS工作在2-7层,通常使用特征匹配和异常分析的方法来识别网络攻击行为.
特征匹配方法类似于病毒检测方法,通过攻击数据包中的特征(字符串等)来进行判断.
例如前面提过的SoftEther的通信数据中都会包括"SoftEtherProtocol"字符串,虽然这种应用使用HTTPS协议通过TCP443端口通信,使用包过滤防火墙无法进行防御(因为如果将TCP443端口封闭的话,会导致所有HTTPS通信无法进行,这是无法想象的).
而使用IPS的特征匹配方法,通过查找"SoftEtherProtocol"字符串便可轻易的将所有SoftEther流量过滤掉,而其他HTTPS应用不会受到影响.
而异常分析通过统计的方法计算网络中各种流量的速率,并与管理员预设的阈值进行对比,超过阈值的通信便是可疑的攻击行为.
例如,管理员通过对本网络应用的观察和分析,认为在正常情况下某服务器每秒收到2000个以内SYN包属于正常范围.
然而某一时刻曙光下一代防火墙检测到每秒有3000个以上的SYN发往该服务器,此时便有可能是由于有黑客对服务器发起了DoS(拒绝服务)攻击.
2.
部署模式曙光信息产业股份有限公司www.
sugon.
com18IPS的部署与网关防病毒类似,一般来说都部署在Internet网关处,或者DMZ/IDC服务器群前方.
一来可以防止外部的黑客攻击服务器,二来也能应用IPS技术阻挡内网用户使用某些不被允许的应用程序(如QQ、迅雷等).
IPS也可以部署在内网各区域之间,阻挡来自于内网的攻击(例如其它部门攻击财务部PC,窃取公司销售数据或雇员信息等).
如上所述,曙光的IPS是在线式的,直接部署在不同安全级别的网络区域之间.
这种在线式的IPS对各种攻击均可直接阻断并生成日志.
而传统的旁路式IDS(入侵检测系统)对绝大多数的攻击行为只能记录日志,而不能进行阻断.
3.
IPS特征检测曙光下一代防火墙的IPS同时使用特征和异常两种检测方法,能够检测3000种以上攻击和入侵行为,包括各种DoS(拒绝服务)/DDoS(分布式拒绝服务)攻击.
如下图所示,曙光下一代防火墙可以很方便的定义IPS特征过滤器,帮助用户迅速筛选对保护内部服务器有用的特征集合,并根据需要选择处理方式,与本用户网络及应用无关的特征被关闭,以免影响处理性能.
与传统的入侵检测/防御产品比较复杂的安装配置方式相比,界面简单直观,易用性好.
例如,内网需要保护的服务器为IIS及ApacheWeb服务器,可以设置如下的IPS过滤器.
曙光信息产业股份有限公司www.
sugon.
com19曙光下一代防火墙的IPS特征库内置6000多种攻击特征,并自动通过Internet更新,确保用户在第一时间实现对最新攻击方式的防御.
IPS特征库中包含大量国内特有的攻击或应用,如QQ、迅雷等,适应国内用户的本土化需求.
除了系统自带的入侵特征,曙光下一代防火墙也支持用户自定义特征.
例如,用户A希望过滤某种网络电视软件,但当前版本的IPS特征库里并没有该网络电视的特征,用户A便可以使用自定义的IPS特征来实现过滤4.
防DoS/DDoS攻击曙光下一代防火墙内置的IPS还可以对SYNflood、ICMPflood等DoS/DDoS攻击进行防御,对于每一种DoS/DDoS攻击行为,都可以设置阈值,使策略符合实际网络环境和应用情况,降低误报和漏报率.
曙光下一代防火墙可以针对不同的源或目的IP地址的TCP、UDP、ICMP会话数量进行限制,这种方法也可以有效地降低蠕虫病毒、DoS/DDoS、P2P下载等的影响.
曙光信息产业股份有限公司www.
sugon.
com203.
4web内容过滤解决方案1.
概述根据我国《互联网信息服务管理办法》相关规定,互联网信息服务提供者不得制作、复制、发布、传播含有下列内容的信息:(一)反对宪法所确定的基本原则的;(二)危害国家安全,泄露国家秘密,颠覆国家政权,破坏国家统一的;(三)损害国家荣誉和利益的;(四)煽动民族仇恨、民族歧视,破坏民族团结的;(五)破坏国家宗教政策,宣扬邪教和封建迷信的;(六)散布谣言,扰乱社会秩序,破坏社会稳定的;(七)散布淫秽、色情、赌博、暴力、凶杀、恐怖或者教唆犯罪的;(八)侮辱或者诽谤他人,侵害他人合法权益的;(九)含有法律、行政法规禁止的其他内容的.
由于Internet是一个开放自由的网络,任何个人和机构都能比较方便在Internet上发布内容,而且网络无国界,我国的Internet用户可以访问世界各地的网站内容,我国的法律却无法约束所有国家地区的网络内容发布.
因此除了法律手段之外,Internet用户还需要通过安全技术对互联网上的不良内容进行过滤.
内网用户除了可能访问非法或不良网站外,还可能遭到Internet站点包含的有害Java或ActiveX小程序的攻击,如果不慎访问将有可能带入病毒和木马程序,甚至有的网页可以通过一段简单的代码直接破坏访问者计算机的数据和系统,对网络安全和效率都将造成破坏.
还有的网站虽然不属于非法、不良、有害范畴,但有可能导致工作效率的下降,例如很多企业不曙光信息产业股份有限公司www.
sugon.
com21允许员工在上班时间访问证券、娱乐、交友等类型的网站.
曙光信息产业股份有限公司www.
sugon.
com222.
部署及应用曙光下一代防火墙通常部署在Internet出口处,这样内网用户访问Internet的所有请求都会经过防火墙的检查,从而将其中的不良内容过滤.
在代理服务器环境中,也可以将防火墙部署在代理服务器的前方.
最佳的Web内容过滤方法是利用动态过滤服务.
动态过滤服务使用分类方式进行Web内容过滤,目前的数据库中包含超过4000万个网站,将它们分为76个类别(如新闻、游戏、黑客、色情等).
Web分类数据库的覆盖率(包含网站数量)和精确度(分类的准确率)均名列业界前茅,曙光的服务团队每日通过人工和自动程序的方式来检索新内容并对Web分类库进行更新,加入新的条目,删除已关闭的网站,调整网页的分类等.
用户使用的曙光下一代防火墙会自动访问动态过滤服务器来更新这些内容,确保分类过滤的准确性.
使用动态过滤服务的用户只需要在曙光下一代防火墙上设置阻断某类站点(如色情、暴力类网站)便可批量屏蔽不良网站.
当内网用户访问外部网站(例如www.
google.
com)时,防火墙会将该网站的URL发往动态过滤服务器进行查询,返回分类信息(例如www.
google.
com属于"搜索引擎及门户网站"类别).
如果防火墙管理员设置的规则中禁止访问"搜索引擎及门户网站"类网站,则该用户访问www.
google.
com的行为将被阻止,并对访问者进行提示.
曙光下一代防火墙分类过滤方式既易于操作,又能获得比静态URL或关键字过滤好得多的过滤效果.
防火墙使用者可以给内网不同用户组配置不同的分类过滤策略,例如普通员工组不能访问"职位搜索"类网站,但人力资源组可以访问这一类型的网站.
除了自带的76个类别外,用户也可以建立自己的类别,并改变网站的默认分类,从而实现更加个性化的分类过滤.
如下图所示,管理员可以很容易地实现对所有色情、广告等相关的网站的阻断,及对烟酒、软件曙光信息产业股份有限公司www.
sugon.
com23下载、游戏等网站的访问记录.
曙光下一代防火墙同时也支持本地的URL及关键字黑白名单,可以针对网址及网页中的不良词汇进行过滤,另外还支持对ActiveX、Javaapplet、Cookies等小程序的过滤,防止有害脚本进入内网.
动态过滤服务与本地分类、URL/关键字黑白名单相结合,可以最大程度的提高过滤效率及精确率,达到最佳的内容过滤效果.
3.
5VPN解决方案1.
概述Internet应用中,不可避免的要通过公用网络来传输信息,其中就有可能包括机密信息.
由于Internet是一个开放的、公用的网络,黑客很容易通过在网络设备上安装网络嗅包器(如Sniffer、NIDS等)中途窃取信息,造成泄密;黑客也可以伪装成内部用户登录到内网中进行破坏活动,因此我们需要在网络上配置一整套VPN体系,对通过Internet进行的远程访问进行严格的认证和加密,使Internet上的VPN成为经过加密和认证的安全链路,保证各节点之间远程访问的安全.
采用VPN技术的目的是为了在不安全的信道上实现安全信息传输,保证内部信息在Internet上传输时的机密性和完整性,同时对Internet上传输的数据进行认证.
2.
部署方式曙光信息产业股份有限公司www.
sugon.
com24如上图所示,IPSecVPN的部署都是成对进行的,既可以在设备与设备之间(例如总部的防火墙与分支机构、合作伙伴、SOHO办公等节点的防火墙)建立IPSecVPN隧道,又可以在设备与客户端软件(例如总部的防火墙与移动办公用户PC上安装的VPN客户端软件)间建立.
通过在广域网的各个节点上安装部署IPSecVPN设备或软件,并进行适当设置,便可建立全网的IPSecVPN隧道,使得总部、各分支机构、合作伙伴、SOHO及移动办公用户之间所有跨越Internet的数据传输均经过IPSecVPN的加密及认证保护,黑客无法在途中窃取、篡改或破坏数据.
上图中总部与分支机构A、移动办公用户之间的IPSecVPN隧道用红色虚线表示,实际上上图中任意两个节点之间均可使用VPN设备或软件实现IPSecVPN通信.
曙光下一代防火墙支持DES、3DES、AES128、AES192、AES256等加密算法和SHA-1、MD5等认证算法,并基于专用加密芯片加速,由于充分利用了专用的芯片技术,处理复杂的VPN加密和认证过程,极大加快了VPN通道的建立速度和数据加/解密的处理时间,达到了极高的VPN处理速度.
专用芯片以独特的设计方式,处理隧道协商建立及数据加解密传输过程,有效地降低了CPU负载,并大幅度提高VPN的吞吐能力,解决了防火墙设备处理高速加密数据流的瓶颈问题.
支持标准的IPSec协议规范,可以与大量第三方IPSecVPN产品进行互联互通,既能提高组网的灵活性,又能保护用户的投资.
3.
常见应用LAN-LANVPNLAN-LANVPN是两个局域网之间的VPN,在两个局域网的Internet出口处部署VPN网关实现,通常有以下几种环境:1.
两个局域网均使用静态公网IP地址接入Internet:最简单、经典的VPN应用;2.
其中一个或两个局域网使用动态公网IP地址接入Internet,例如ADSL方式:可以使用DDNS(动态域名解析)方式将动态公网IP地址与FQDN域名绑定,建立VPN隧道的双方均使用FQDN域名与对方通信;3.
其中一个局域网使用私网IP地址接入Internet,例如总部使用公网IP地址(静态或动态IP地址均可),分支机构使用私网IP地址:可以使用拨号VPN方式建立隧道,由分支机构向总部的公网IP地址或FQDN域名发起连接,总部无须事先知道分支机构使用的IP地址.
利用曙光信息产业股份有限公司www.
sugon.
com25NAT穿越技术,防火墙可以在NAT环境下,保证VPN的正常通信.
当前在国内IP地址紧张的情况下,很多的分支机构都是通过服务商提供的私有网络地址连接公网的,在服务商的网络出口处统一进行地址转换.
在这种情况下,只有支持NAT穿越技术的VPN产品能够适应服务商的NAT环境.
拨号VPN拨号VPN与点对点VPN不同,VPN隧道的双方不是对等的角色,而是一方扮演服务器,一方扮演客户端,通常用于大量分支节点接入一个中心节点的环境,例如集团公司的大量分支机构及移动办公用户都通过IPSecVPN与总部连接,并进行数据交换.
拨号VPN客户端既可以使用防火墙设备(如分支机构节点),也可以使用VPN客户端软件(如移动办公用户).
VPN客户端软件可以自动从防火墙上下载IPSecVPN协商参数,避免移动办公用户手工配置参数的麻烦及误操作可能,提高了IPSecVPN的易用性.
在拨号VPN模式下,所有分支节点需要了解中心节点的IP地址或FQDN域名,然后向这一IP或FQDN发起连接请求,中心节点的防火墙设备无须事先了解拨号VPN客户的IP地址,只要拨号VPN客户配置了正确的IPSecVPN协商参数,并通过管理员设置的身份认证,便可成功建立VPN隧道.
曙光下一代防火墙支持多种身份认证方法,包括预共享密钥和数字证书认证,X.
509数字证书认证可以与企业或机构现有的PKI体系相结合,提供更高级别的安全保护.
防火墙支持离线或SCEP在线申请数字证书方式,VPN客户端软件支持PC本地存储或USBKey存储数字证书,使用更加灵活方便.
除预共享密钥及数字证书外,防火墙还支持本地用户、Windows域、Radius、LDAP、TACACS+等方式的用户名和密码认证,在预共享密钥及数字证书的基础上进一步提高安全性.
利用拨号VPN、NAT穿越、DDNS等特性,曙光下一代防火墙的IPSecVPN可以适应各种静态、动态或私网IP地址环境,灵活地满足用户的需求.
除IPSec外,移动办公用户还可以通过SSL、PPTP、L2TP方式与中心建立VPN连接,可同时启用多种协议的VPN功能,用户可根据不同的网络环境及安全需求进行选择,例如PPTP、L2TP易用性好,简单灵活,PC操作系统均自带拨号客户端;而SSL同时兼顾了安全性和易用性.
(SSLVPN将单独详细阐述.
)曙光信息产业股份有限公司www.
sugon.
com26上文介绍的是两点之间的VPN或具有中心节点的拨号VPN,在实际应用中,很多时候也需要进行多个节点之间的VPN互访,例如除了总部与分支机构A、B之间的通信外,分支机构A和B之间也需要进行数据交换.
可以通过星形VPN或全网状VPN来实现这一需求.
星形VPN(Hub-Spoke)曙光下一代防火墙使用Hub-Spoke方式实现星形VPN.
在此结构下,各分支机构、合作伙伴、SOHO及移动用户都与总部建立VPN隧道,而分支节点之间的互访都是通过总部节点进行的,例如上图中分支机构A和B之间的数据通信都绕经总部的防火墙设备进行.
对于快速扩张的企业或机构,星形VPN具有好的扩展性,新的VPN分支节点只需跟中心节点之间建立一条VPN通道,便可很容易的加入到Hub-Spoke星形结构中,实现与现有VPN网络中所有节点的通信;且只需要中心节点(总部)具有一个公网IP地址,其余节点均可以使用私网IP地址.
星形VPN的缺点是中心节点的故障将导致所有分支节点也无法互访.
全网状VPN(FullMesh)在全网状VPN结构下,每两个节点之间都建立直连的IPSecVPN隧道,无需第三方介入即可直接通信.
全网状VPN的优点是任意一点的故障都不会影响其它节点的互访,但它也有明显的缺点,一是配置工作量大,且扩展比较复杂,每一个新加入VPN网络的节点都需要与其它节点一一建立VPN隧道;二是对网络环境要求更高,例如如果分支机构A和B都使用私网IP地址,便无法直接建立VPN.
基于策略与基于路由的VPN除了传统的基于策略的IPSecVPN外,曙光下一代防火墙还支持基于路由的VPN,在IPSecVPN隧道上建立虚拟接口,IPSecVPN数据传输都在虚拟接口之间进行.
物理接口之间进行VPN隧道协商,虚拟接口之间进行数据通信.
在防火墙上,IPSecVPN虚拟接口与物理接口一样可以进行路由、安全策略等设置.
使用基于路由的VPN,可以很容易的实现更多高级功能:在VPN隧道中实现OSPF、BGP等动态路由或组播路由;通过静态路由、动态路由、策略路由、等值路由等实现VPN链路的冗余或负载分担;远程拨号VPN用户可以使用VPN链路访问Internet,一来可以提高访问的安全性,二来便于企业或机构对移动办公用户的上网行为进行过滤和监控;透明模式下的VPN通常IPSecVPN都是在路由/NAT模式下实施的,但有时根据网络结构,VPN网关需要配置为透明模式.
在这种情况下,曙光下一代防火墙仍然能够根据管理员设置的VPN策略,截获来自于内网PC向远端局域网的访问请求,然后使用IPSecVPN进行加密封装后发往对端的防火墙设备;当对端防火墙设备返回数据时,曙光下一代防火墙也能进行解密操作并转发回内网的PC.
相同IP地址段间的VPN通常情况下,VPN网络两端的局域网应当使用不同的IP地址段,以免发生IP地址冲突,但由于机构的合并,或某些比较老的网络在规划时并未考虑到将来可能的VPN互联,而在不同分支节点使用了同一段IP地址.
利用曙光下一代防火墙的IPSecVPN双向NAT功能,可以支持这种相同IP地址段间的IPSecVPN通信需求.
通过将两端的IP地址段进行NAT转换后再进入IPSec隧道,例如转换为192.
168.
2.
0和192.
168.
3.
0,便可顺利将这两个192.
168.
1.
0/24网络通过IPSecVPN连通.
VPN隧道中的安全过滤单独的VPN网关的主要功能是IPSec数据包的加密/解密处理和身份认证,没有很强的访问控制功能(防火墙过滤、防病毒、入侵防御等).
而由于VPN的加密特性,使得非法访问、蠕虫、病毒、曙光信息产业股份有限公司www.
sugon.
com27入侵等在VPN隧道中也是加密传输的,在独立的下一代防火墙和VPN部署方式下,下一代防火墙无法对VPN隧道中的加密信息进行任何安全过滤,病毒、攻击等可以很容易的通过VPN在广域网各节点之间传播扩散,由此带来安全性、性能、管理上的一系列问题.
因此,将VPN和其它安全功能集成,提供一个灵活、高效、完整的安全方案,是当前安全技术的发展趋势.
它可以保证加密的流量在解密后,同样需要经过严格的访问控制策略的检查,保护VPN网络免受病毒、入侵等的威胁;提供更好的处理性能,简化网络管理的任务,快速适应动态、变化的网络环境.
因此,VPN技术已经成为下一代防火墙产品的组成部分.
曙光TLFW-2000便是一个集VPN、防火墙和多项应用层安全功能于一身的下一代防火墙,可以提供各安全功能之间的完美联动、良好的兼容性和性能.
在曙光下一代防火墙的VPN策略中应用防火墙、防病毒、IPS、内容过滤、反垃圾邮件、IM/P2P过滤等安全功能,可以在各种安全威胁进入VPN加密隧道前或离开加密隧道后进行过滤,从而阻止病毒、蠕虫、木马、入侵、不良内容等在VPN网络各节点之间的传播.
3.
6应用控制及QoS解决方案1.
概述MSN、QQ、GoogleTalk等IM软件可能导致工作效率下降,并带来安全威胁(病毒、木马、钓鱼等),因此需要对其进行控制,但这些IM软件通常都通过HTTP(TCP80)端口进行传输,传统防火墙无法识别并限制.
P2P(BitTorrent、eDonkey/eMule、迅雷等)应用产生极多的流量和会话,大量占用网络资源,影响正常业务,然而它们的通信采用随机IP地址和端口,也无法使用传统防火墙进行控制.
对于其它应用也需要进行良好的QoS控制,以保障关键应用(如Web服务器、邮件服务器、VoIP、视频会议等),防止各种大流量应用(如下载等)过多占用带宽,影响正常业务.
2.
应用控制曙光下一代防火墙基于应用层特征检测,能够识别2000多种应用,用户可以根据自己需求来对应用进行管理,比如阻断和限流或者允许,应用包括:备份软件类:如IBMTivoli,CAMQ等商务软件,如指南针,证券之星,分析家数据库:如DB2,MySQL,Oracle等文件传输类:如DuDu,纳米盘等游戏:如赤壁、劲舞团、联众、魔兽等即时通讯:如MSN、QQ、新浪UC、飞信等媒体类:如土豆、酷6、PPS网络电视等网络服务:如BGP、ISCSI、QUAKE等P2P,如电驴、迅雷、VeryCD曙光信息产业股份有限公司www.
sugon.
com28协议命令类:如ftp命令,sip命令代理软件,如无界、Tor等远程控制软件:如VNC、Pcanywhere等工具条,如Google、yahoo、MSN工具条等升级程序:如各种杀毒软件升级,firefox升级VoIP:如Sip,netmeeting,net2phone等网站与论坛:如网易论坛、QQ论坛等WebMail:如126mail、hotmail、QQmail等3.
带宽管理及会话控制曙光下一代防火墙除了能识别已知P2P软件(BT、电驴、迅雷等)并进行阻挡外,还可以通过以下方法进行带宽管理:1.
定义DSCP值,修改该IP地址段或服务的QoS转发模式.
2.
为应用设置最大带宽和最小带宽,设置上传和下载带宽3.
可以为使用某种应用每个PC设置最大带宽和最大会话数.
比如限制每个PC的P2P的最大流量不得超过10Mbps,也可以限制每个PC最大的P2P会话数不能超过200个.
设置流量控制器:4.
集中管理和安全审计方案1.
中文图形化管理曙光下一代防火墙基于Web图形化管理界面.
只需要IE浏览器中输入曙光设备的IP地址即可进行管理.
出于安全考虑,防火墙也提供基于SSL加密的HTTPS管理方式,对Web管理的所有信息都进行了加密.
曙光下一代防火墙支持多用户管理,并可给不同的管理员分配不同的权限.
管理可以使用口令、数字证书、Radius等方式进行验证,并支持可信任主机IP地址限制.
曙光下一代防火墙支持SNMP协议,可以使用第三方网管软件对设备进行监测,包括接口状态、流量、CPU/内存利用率、HA状态等.
曙光下一代防火墙也支持命令行方式的管理,可以通过串口、Telnet等方式登录命令行管理界面.
曙光信息产业股份有限公司www.
sugon.
com29基于安全考虑,也提供SSH加密的命令行管理,所有管理信息都以密文传输.
2.
高可用性(HA)曙光下一代防火墙支持完善的HA(高可用性)模式,包括A-P(热备式)HA和A-A(负载均衡式)HA,并且最高可以支持32台防火墙的HA集群,对网络的高可用性提供了最高级别的保证.
使用热备式HA时,防火墙可以在3秒钟之内完成主从设备的切换,且会话状态可以保持;使用负载均衡式HA时,多台防火墙同时工作,分担流量,可以大幅度提高网络过滤的性能.
曙光下一代防火墙在透明模式和路由(NAT)模式下均支持HA,HA心跳口可以和其他通信口共用,也支持HA口的冗余.
当主HA口故障或主心跳线中断时,备份HA口还可以继续传输心跳信息.
防火墙HA集群中的设备根据设备优先级的大小协商产生主机和备机,优先级高的设备成为HA组中的主机,优先级低的设备成为HA组中的备机.
主机和备机具有完全相同的接口地址、完全相同的配置.
主机和备机的配置通过心跳线实时同步,管理员的配置针对整个HA集群,无需单独配置每一台设备.
由于曙光下一代防火墙是状态检测设备,过滤网络流量时需要检查会话状态表.
主机和备机的会话状态表通过心跳线实时同步,因此在发生设备故障切换时,备机上也会具有与主机相同的会话表,因此所有已经经过设备建立的会话可以无缝切换,无需重新建立.
主机和备机的相应接口具有完全相同的IP地址,并使用同一个虚拟MAC地址,在发生故障切换时不会产生IP或ARP问题.
当主机的任意接口或设备本身发生故障时,产生HA设备切换,主机变为standby状态,备机变曙光信息产业股份有限公司www.
sugon.
com30为work状态,自动接替主机工作.
由于会话状态均在主备机之间同步,因此所有访问自动切换到备机上进行,所有已建立会话无需重新连接.
防火墙HA机制还支持ping检测,可以在接口上启用ping服务器IP地址,当该IP地址不可达时,即使接口仍然处于up状态,仍然可以判断为链路失败,从而进行HA切换,这种设计在接口状态检测的基础上进一步提高了整个系统的可靠性.
曙光下一代防火墙还支持全冗余(Full-mesh)方式HA,如下图所示,进一步提升系统的可靠性.
曙光信息产业股份有限公司www.
sugon.
com313.
集中管理及安全审计当企业或机构进行了大量曙光下一代防火墙的部署时,需要一套完善的集中管理及日志审计方案,来降低管理难度,提高可管理性.
曙光提供TLCenter及TLLog解决方案,能对分布在在内网、Internet、VPN网络中的大量防火墙及移动用户进行有效的集中管理和日志审计.
TLCenter集中策略管理系统及TLLog日志审计系统部署在中心节点的安全运营中心(SOC)内,便可对各处的曙光设备及VPN客户端软件行集中统一管理,无论是内网、Internet,还是VPN环境,只要IP地址可达便可集中远程管理.
集中安全策略管理TLCenter作为集中管理设备,可以有效管理各种规模的基于曙光下一代防火墙的安全网络.
无论是部署少量或数以千计的新设备,还是进行升级或策略的统一分发,TLCenter都可在防火墙设备和VPN客户端上轻松实现.
TLCenter还支持设备检索、组管理、设备审计以及管理复杂网络和星型VPN网络等功能.
在TLLog集中日志报表的辅助下,TLCenter可为用户提供完善的统一管理解决方案.
TLCenter为曙光下一代防火墙的配置,网络管理策略,在线监控,和网络控制提供了一个图形化的基于Web的管理界面.
基于角色的管理功能可以实现不同的管理员具有不同的管理权限.
与TLLog的无缝集成可以对网络安全事件深度地发掘,分析,划分优先级,以及报表等功能.
该强大的管理工具为用户提供实时的、活动的信息,为实现动态的安全管理解决方案提供了信息和能力.
使用TLCenter可以实现以下集中管理功能:设备集中管理–在统一界面下对最多4000台曙光下一代防火墙设备或100000个VPN客户端进行集中管理,并可对管理对象进行分组管理.
安全策略分发–可通过脚本方式对大量曙光下一代防火墙进行批量配置,简化管理.
设备配置版本维护–可保存所有设备配置历史版本,并可方便地回退至任意历史版本,迅速消除误操作.
本地集中安全更新服务–可在本地缓存Services病毒库、入侵防御特征库、Web过滤数据库、垃圾邮件过滤数据库,为本企业或机构内的所有我公司安全产品提供本地的安全更新服务,节约网络带宽,提高安全更新或查询速度.
健康状况监视–实时监控各处曙光下一代防火墙的健康状况,如CPU、内存、会话、流量等,并接收SNMPtrap报警信息.
集中日志审计随着对Web应用和多媒体信息、VOIP和VOD这类新服务的需求增长,企业的网络变得越来越庞大,越来越复杂.
因此,部署和监控安全策略,识别和阻断新型的混合攻击,遵守国家条例等等,都需要强大的日志和报表功能.
实时地查看和记录网络流量、安全信息,对于发现和解决网络漏洞来说是非常重要的.
网络事件、使用率和内容信息等日志对于进行预测分析和作为符合国家法规的证据来说至关重要的.
管理员需要一整套的日志和报表工作,以实现完整的多层安全解决方案.
曙光下一代防火墙拥有强大的日志功能,可以对管理事件、病毒、攻击、Web过滤、反垃圾邮件、流量等进行全面的记录.
曙光信息产业股份有限公司www.
sugon.
com32所有的病毒、攻击等行为都会记录在日志当中,包括时间、攻击源、攻击目的、攻击方式等.
曙光下一代防火墙的日志可以记录在内存中,也可以记录在硬盘上(部分型号有可选择的SSD或SATA硬盘),还可以使用标准的Syslog协议,通过网络实时输出到专门的日志服务器上.
利用专用的TLLog日志审计系统,可以收集并分析处理多达数百台曙光下一代防火墙的日志.
TLLog采用的是专用的硬件设备来实现对曙光设备和第三方产品进行实时的网络日志、分析和报表等功能.
象流量、事件、病毒、攻击、Web内容和邮件等多种日志内容被记录、归档、过滤和提炼.
它已经内置了多种类型的报表,用户也可以自己灵活定制.
TLLog也提供安全管理的功能,比如说隔离文件、事件相关性分析、漏洞评估、流量分析和邮件、Web、即时通讯和其他传输文件内容的审计.
TLLog的主要功能包括:集中日志存储–可集中收集最多700台曙光设备或5000个VPN客户端的日志信息并进行存储,并可对设备或客户端软件进行分组.
TLLog服务器最高可支持48TB硬盘容量,并支持Raid0、1、10、5、6,防止日志信息丢失.
日志实时查看、分类查询及搜索–事件日志、流量日志、病毒日志、入侵日志、Web过滤日志、垃圾邮件日志、IM/P2P日志、VOIP日志等.
报表分析–根据收集的日志生成超过300种图形化报表,包括流量排名、协议分布、病毒/入侵等安全事件统计等.
相关性分析–根据用户名、邮件地址,或IM名称来跟踪与其相关的内容.
采用了KServices的Web过滤报表可以显示不同用户访问的和阻断的网站.
病毒隔离–将染毒文件隔离在TLLog服务器中,用于调查取证或文件回收.
内容存档–将所有曙光扫描过的内容进行存档,以供审计或取证,包括访问过的网页、收发的Email、传输的文件、IM聊天记录等.
相关性分析–将所有曙光下一代防火墙扫描过的内容进行存档,以供审计或取证,包括访问过的网页、收发的Email、传输的文件、IM聊天记录等.
曙光信息产业股份有限公司www.
sugon.
com33网络分析器–通过Sniff方式监控TLLog服务器的任一接口所在网络中的通讯.
TLLog服务器的网络分析功能可以抓取数据包,保存到硬盘上,然后显示出来.
漏洞扫描–扫描主机和服务器的漏洞,例如邮件服务器、FTP服务器或其它UNIX和Windows主机,然后产生漏洞评估报表.