《A系列：统一威胁管理(防火墙)》课件

A系列：统一威胁管理（防火墙）系列：统一威胁管理（防火墙）A系列：统一威胁管理（防火墙）Gartner于2009年提出“下一代防火墙”的概念公安部第三研究所第二代防火墙标准于2014 年7月24日正式发布，9月1日已开始实施你的下一代你定义！Gartner于2009年提出“下一代防引言翼虎多功能、动力好、舒适、通过性好配置丰富、动力牛、通过性牛配置丰富动力渣牧马人S6大切蒙迪欧此生只为越野多功能、动力强、舒适需求决定选择神选择引言翼虎多功能、动力好、舒适、通过性好配置丰富、动力牛、通过产品介绍产品介绍市场市场防火墙发展趋势功能功能产品功能介绍优势优势产品竞争优势部署部署简单部署方式产品介绍市场防火墙发展趋势功能产品功能介绍优势产品竞争优势部4防火墙角色的演化由由由由3-43-4层控制向应用层控制发展层控制向应用层控制发展层控制向应用层控制发展层控制向应用层控制发展 由单纯防外部攻击向防外由单纯防外部攻击向防外由单纯防外部攻击向防外由单纯防外部攻击向防外&控内过度控内过度控内过度控内过度由单纯提供控制功能向提供系列服务发展由单纯提供控制功能向提供系列服务发展由单纯提供控制功能向提供系列服务发展由单纯提供控制功能向提供系列服务发展由简单网络向复杂由简单网络向复杂由简单网络向复杂由简单网络向复杂&高流量网络延伸高流量网络延伸高流量网络延伸高流量网络延伸防火墙角色的演化由3-4层控制向应用层控制发展 5实际场景6 6带宽在不断的增加，但是还是感觉捉襟见肘网速怎么这么网速怎么这么慢呀！半天打慢呀！半天打不开一个网页不开一个网页实际场景6带宽在不断的增加，但是还是感觉捉襟见肘网速怎么这么6高效需求流量带宽合理分配 无节制、无秩序的无节制、无秩序的P2PP2P资源下载资源下载消耗着有限的带宽资源消耗着有限的带宽资源 真正需要及时信息的业务得不真正需要及时信息的业务得不到有效的保障到有效的保障高效需求流量带宽合理分配 无节制、无秩序的P2P资源下载服务需求应用种类繁多 网络应用越来越多，用户通过网络应用越来越多，用户通过防火墙了解和管理网络中的应用需防火墙了解和管理网络中的应用需求越来越大求越来越大 用户受技术背景限制，迫切希用户受技术背景限制，迫切希望防火墙设备内置各种应用望防火墙设备内置各种应用服务需求应用种类繁多 网络应用越来越多，用户通过防火墙了安全需求屏蔽高风险网站互联网上网站众多，在一些看似合法的网站背后可能隐藏着病互联网上网站众多，在一些看似合法的网站背后可能隐藏着病互联网上网站众多，在一些看似合法的网站背后可能隐藏着病互联网上网站众多，在一些看似合法的网站背后可能隐藏着病毒、木马、蠕虫等危险因素毒、木马、蠕虫等危险因素毒、木马、蠕虫等危险因素毒、木马、蠕虫等危险因素如何屏蔽高风险网站，降低安全风险？如何屏蔽高风险网站，降低安全风险？如何屏蔽高风险网站，降低安全风险？如何屏蔽高风险网站，降低安全风险？安全需求屏蔽高风险网站互联网上网站众多，在一些看似合法的网安全需求规避法律、道德的风险各类色情、暴力、反动各类色情、暴力、反动等非法、负面网站的访等非法、负面网站的访问会带来一系列问题：问会带来一系列问题：n n 引发政治问题引发政治问题n n 触犯道德底线触犯道德底线n n 导致法律纠纷导致法律纠纷安全需求规避法律、道德的风险各类色情、暴力、反动等非法、负信息安全问题定位缓慢：定位缓慢：技术人员希望发现问题后可以快速技术人员希望发现问题后可以快速定位根源，缺少有效的行为查询使技术人员定定位根源，缺少有效的行为查询使技术人员定位问题缓慢。位问题缓慢。内容失控：内容失控：有悖国情的互联网访问很可能在企有悖国情的互联网访问很可能在企业不知情的情况下产生极端不好的负面影响。业不知情的情况下产生极端不好的负面影响。外发随意：外发随意：多种多样的外发信息可能混杂有害多种多样的外发信息可能混杂有害的内容，目前大部分外发信息对管理层来说是的内容，目前大部分外发信息对管理层来说是蒙在鼓里的。蒙在鼓里的。信息安全问题定位缓慢：技术人员希望发现问题后可以快速定位根11产品介绍市场市场防火墙发展趋势功能功能产品功能介绍优势优势产品竞争优势部署部署简单部署方式产品介绍市场防火墙发展趋势功能产品功能介绍优势产品竞争优势部12 防火墙主要技术包过滤技术数据包的形式:防火墙能利用包头的信息进行过滤，仅允许符合规则的数据包通过防火墙 规则可细分为源地址/目的地址、源端口/目的端口、协议、连接方向等项目 防火墙主要技术包过滤技术数据包的形式:13 防火墙主要技术介绍什么叫状态检测？每个网络连接包括以下信息：源地址、目的地址；源端口和目的端口；协议类型；连接（会话）状态（如超时时间，TCP连接的状态）等；防火墙把这些信息统称为状态，能够检测这些状态的防火墙叫做状态检测防火墙。防火墙主要技术介绍什么叫状态检测？每个网络连接包括以下信14防火墙功能列表1.1.访问控制访问控制2.2.多操作系统多操作系统3.3.虚拟防火墙虚拟防火墙 4.4.漏洞扫描漏洞扫描5.5.绿色上网绿色上网6.VPN6.VPN7.7.高可用性高可用性 8.8.系统管理系统管理 防火墙功能列表1.访问控制2.多操作系统3.虚拟防火墙 15防火墙主要功能1 1 1 1、访问控制能力、访问控制能力、访问控制能力、访问控制能力 动态包过滤动态包过滤动态包过滤动态包过滤 基于源基于源基于源基于源/目的目的目的目的IPIPIPIP地址、地址、地址、地址、MACMACMACMAC地址、域名、端口和协议、时间、用户的地址、域名、端口和协议、时间、用户的地址、域名、端口和协议、时间、用户的地址、域名、端口和协议、时间、用户的访问控制访问控制访问控制访问控制 动态协议支持动态协议支持动态协议支持动态协议支持 FTP/H.323/SIP/FTP/RTSP/SQL*NET/MMS/RTSPFTP/H.323/SIP/FTP/RTSP/SQL*NET/MMS/RTSPFTP/H.323/SIP/FTP/RTSP/SQL*NET/MMS/RTSPFTP/H.323/SIP/FTP/RTSP/SQL*NET/MMS/RTSP IP/MACIP/MACIP/MACIP/MAC地址绑定地址绑定地址绑定地址绑定 带宽管理带宽管理带宽管理带宽管理 限制带宽、保证带宽、带宽分层限制带宽、保证带宽、带宽分层限制带宽、保证带宽、带宽分层限制带宽、保证带宽、带宽分层用户认证用户认证用户认证用户认证 本地认证、本地认证、本地认证、本地认证、RadiusRadiusRadiusRadius认证、认证、认证、认证、WEBWEBWEBWEB认证等方式、多因子认证等认证等方式、多因子认证等认证等方式、多因子认证等认证等方式、多因子认证等 跳转跳转VSPVSP防火墙主要功能1、访问控制能力跳转VSP16防火墙主要功能2 2 2 2、多操作系统、多操作系统、多操作系统、多操作系统支持多系统引导，并可配置启动顺序支持多系统引导，并可配置启动顺序支持多系统引导，并可配置启动顺序支持多系统引导，并可配置启动顺序支持系统分区备份，支持将系统支持系统分区备份，支持将系统支持系统分区备份，支持将系统支持系统分区备份，支持将系统A A A A克隆至系统克隆至系统克隆至系统克隆至系统B B B B支持多个系统配置文件，可导入导出恢复配置支持多个系统配置文件，可导入导出恢复配置支持多个系统配置文件，可导入导出恢复配置支持多个系统配置文件，可导入导出恢复配置跳转跳转USEUSE防火墙主要功能2、多操作系统跳转USE17防火墙主要功能3 3 3 3、抗攻击能力抗攻击能力抗攻击能力抗攻击能力 非法报文攻击非法报文攻击非法报文攻击非法报文攻击抗抗抗抗DoSDoSDoSDoS攻击、抗攻击、抗攻击、抗攻击、抗CCCCCCCC攻击攻击攻击攻击 SynFlood,UdpFlood,IcmpFloodSynFlood,UdpFlood,IcmpFloodSynFlood,UdpFlood,IcmpFloodSynFlood,UdpFlood,IcmpFlood、CCCCCCCC攻击等攻击等攻击等攻击等 蠕虫过滤蠕虫过滤蠕虫过滤蠕虫过滤 抗抗抗抗ARPARPARPARP攻击攻击攻击攻击 跳转跳转USEUSE防火墙主要功能3、抗攻击能力跳转USE18防火墙主要功能4 4 4 4、上网行为管理模块、上网行为管理模块、上网行为管理模块、上网行为管理模块 P2PP2PP2PP2P下载控制下载控制下载控制下载控制 P2PP2PP2PP2P视频控制视频控制视频控制视频控制 IMIMIMIM即时通讯软件控制即时通讯软件控制即时通讯软件控制即时通讯软件控制 网游控制网游控制网游控制网游控制 炒股控制炒股控制炒股控制炒股控制 WEBWEBWEBWEB分类过滤分类过滤分类过滤分类过滤 跳转跳转USEUSE防火墙主要功能4、上网行为管理模块跳转USE196.16.16.16.1、IPSec VPNIPSec VPNIPSec VPNIPSec VPN 协议标准和互通性协议标准和互通性协议标准和互通性协议标准和互通性 工作模式：隧道模式、传输模式工作模式：隧道模式、传输模式工作模式：隧道模式、传输模式工作模式：隧道模式、传输模式 算法支持：算法支持：算法支持：算法支持：3DES/AES3DES/AES3DES/AES3DES/AES等对称加密算法，等对称加密算法，等对称加密算法，等对称加密算法，DH/SHADH/SHADH/SHADH/SHA非对称加密算法非对称加密算法非对称加密算法非对称加密算法 MD5/SHA1MD5/SHA1MD5/SHA1MD5/SHA1等等等等HASHHASHHASHHASH算法算法算法算法 国家商密专用的国家商密专用的国家商密专用的国家商密专用的SCB2SCB2SCB2SCB2加密算法加密算法加密算法加密算法 认证方式：预共享密钥、数字证书，认证方式：预共享密钥、数字证书，认证方式：预共享密钥、数字证书，认证方式：预共享密钥、数字证书，X-AUTHX-AUTHX-AUTHX-AUTH扩展认证扩展认证扩展认证扩展认证 组网方式：网状、星型、树型组网方式：网状、星型、树型组网方式：网状、星型、树型组网方式：网状、星型、树型 扩展：扩展：扩展：扩展：NATNATNATNAT穿越，隧道转发，穿越，隧道转发，穿越，隧道转发，穿越，隧道转发，VPNVPNVPNVPN隧道备份隧道备份隧道备份隧道备份,多出口多出口多出口多出口VPNVPNVPNVPN防火墙主要功能5 5、VPNVPN功能功能跳转跳转VSPVSP6.1、IPSec VPN防火墙主要功能5、VPN功能跳转V20防火墙主要功能6 6 6 6、高可用性高可用性高可用性高可用性 链路备份链路备份链路备份链路备份 端口冗余端口冗余端口冗余端口冗余 双机热备双机热备双机热备双机热备 集群负载均衡集群负载均衡集群负载均衡集群负载均衡 配置同步、状态同步配置同步、状态同步配置同步、状态同步配置同步、状态同步 跳转跳转MRPMRP防火墙主要功能6、高可用性跳转MRP21产品介绍市场市场防火墙发展趋势功能功能产品功能介绍优势优势产品竞争优势部署部署简单部署方式产品介绍市场防火墙发展趋势功能产品功能介绍优势产品竞争优势部22特性与优势(1)细节成就专业多操作系统多操作系统虚拟防火墙虚拟防火墙漏洞扫描（安保专家）漏洞扫描（安保专家）网站防挂马网站防挂马安全联动安全联动负载均衡和多机集群负载均衡和多机集群独特细节功能点细节成就专业特性与优势(1)细节成就专业多操作系统独特细节功能点细节 防火墙的安保专家防火墙的安保专家防火墙的安保专家防火墙的安保专家 支持定时、手动漏洞扫描支持定时、手动漏洞扫描支持定时、手动漏洞扫描支持定时、手动漏洞扫描 支持主机扫描和配置扫描支持主机扫描和配置扫描支持主机扫描和配置扫描支持主机扫描和配置扫描 支持漏洞扫描库支持漏洞扫描库支持漏洞扫描库支持漏洞扫描库 支持后门、服务探测、文件共享、系统补丁、支持后门、服务探测、文件共享、系统补丁、支持后门、服务探测、文件共享、系统补丁、支持后门、服务探测、文件共享、系统补丁、IEIE漏洞等主漏洞等主漏洞等主漏洞等主动式扫描动式扫描动式扫描动式扫描 特征升级模式漏洞扫描 新功能介绍漏洞扫描防火墙的安保专家特征升级模式漏洞扫描 新功能介绍漏洞扫描24InternetAV+IPS检测结果合并后的URL和攻击源地址列表主动扫描获得的库和来自第3方的挂马网站URL库从设备检测结果中整理的病毒URL库和入侵攻击源地址库UTMUTM入侵防御入侵防御病毒网关病毒网关防病毒软件防病毒软件防火墙防火墙特征中心特征中心合成特征库合成特征库主动扫描特征特征本地网关设备发起漏洞扫描，并根据结果生成防护策略扫描LAN主动云防御技术InternetAV+IPS检测结果合并后的URL和攻击源地支持支持IPv6IPv6功能功能IPv6透明、路由、混合模式IPv6/IPv4双协议栈IPv6防火墙过滤功能技术特点：IPv6/IPv4双协议栈功能 已通过中国移动测试已通过中国移动测试中国移动通信有限公司IT硬件防火墙设备集中采购项目采购人：中国移动通信有限公司联系人和联系电话：联系人:粟瑛并通过所有IPv6的功能测试验证(详见附件测试报告IPv6部分)支持IPv6功能IPv6透明、路由、混合模式IPv6/IP技术特点：优化应用层防护功能360360度应用防护度应用防护27立体立体防护防护抗抗抗抗CCCCCCCC攻击攻击攻击攻击漏洞扫描漏洞扫描漏洞扫描漏洞扫描主动防御主动防御主动防御主动防御应用识别应用识别应用识别应用识别抗抗抗抗ARPARPARPARP攻击攻击攻击攻击WEBWEBWEBWEB分类库过滤分类库过滤分类库过滤分类库过滤漏洞扫描，保护内网安全应用识别，控制应用层带宽抗ARP/CC攻击，阻断应用攻击主动防御，防护外网安全WEB分类库过滤，有效清理网址800种协议，种协议，1700万万URL库库 特征更新频率特征更新频率2次次/周周 技术特点：优化应用层防护功能360度应用防护27立体防护抗C细节功能点并发连接数控制精确到单个IP连接控制动态学习功能会话统计方式连接状态分类查询源/目的连接排行榜细节功能点并发连接数控制精确到单个IP连接控制28细节功能点多出口路由多出口策略路由链路探测多ISP出口自动选路，减少跨ISP延时动态路由（OSPF、RIP等），VLAN间路由，单臂路由，组播路由等核心网络防火墙办公区策略路由细节功能点多出口路由多出口策略路由核心网络防火墙办公区29NGFW Phase 2的实现形态（产品设计）应用服务支撑能力大策略大策略大策略集大策略集大策略管理智能大策略管理智能大地址大地址大地址对象大地址对象大地址管理智能大地址管理智能多服务映射多服务映射多服务对象多服务对象多服务管理智能多服务管理智能高稳定性高稳定性复合复合HAHANGFW Phase 2的实现形态（产品设计）应用服务支撑能30NGFW Phase 2的实现形态（产品设计）应用威胁防御能力-病毒检测能力启发式扫描引擎协议解析模块病毒防御队列应用层数据流文件预处理模块特殊格式处理模块启发式扫描引擎病毒特征检测模块病毒检测后处理模块行为分析模块病毒特征检测模块行为分析模块国内唯一拥有全套防病毒检测源代码及专利权的网关设备厂商NGFW Phase 2的实现形态（产品设计）应用威胁防御能31NGFW Phase 2的实现形态（产品设计）应用威胁防御能力-漏洞防御能力1000种以上的HTTP攻击特征针对Webshell的攻击特征针对常见应用程序的漏洞特征丰富的探测尝试封堵特征（扫描、目录遍历、账号探测）大量的木马封堵特征XSS、SQL注入攻击特征NGFW Phase 2的实现形态（产品设计）应用威胁防御能32NGFW Phase 2的实现形态（产品设计）应用威胁防御能力-抗DDOS能力高级算法检测全局配置清洗统计NGFW Phase 2的实现形态（产品设计）应用威胁防御能33NGFW Phase 2的实现形态（产品设计）虚拟机安全防护NGFW Phase 2的实现形态（产品设计）虚拟机安全防护34WEB过滤技术专业优势总结让互联网更好地服务企业让互联网更好地服务企业硬件平台优势多细节功能独特P2P/IM控制明显客户服务周到公司资质领先独有技术理念WEB过滤技术专业优势总结让互联网更好地服务企业硬件平台优势35产品介绍市场市场防火墙发展趋势功能功能产品功能介绍优势优势产品竞争优势部署部署简单部署方式产品介绍市场防火墙发展趋势功能产品功能介绍优势产品竞争优势部36防火墙功能介绍路由路由&NAT接入接入防火墙功能介绍路由&NAT接入路由路由路由路由&NAT&NAT&NAT&NAT接入接入接入接入概述概述概述概述配置路由/NAT模式的防火墙多部署于网络边界，或者是连接多个不同网络,起到保护内网主机安全，屏蔽内网网络拓扑等作用。路由&NAT接入概述路由路由路由路由&NAT&NAT&NAT&NAT接入接入接入接入路由模式路由模式路由模式路由模式 C:192.168.0.1/24C:192.168.0.1/24S:192.168.2.1/24S:192.168.2.1/24Eth1:192.168.0.254/24Eth1:192.168.0.254/24Eth2:192.168.2.254/24Eth2:192.168.2.254/24eth1eth2工作在路由工作在路由/NAT/NAT模式下防火墙配置需求：模式下防火墙配置需求：本案例拓扑为一个只有两个网段的小型局域网。本案例拓扑为一个只有两个网段的小型局域网。服务器服务器192.168.2.1192.168.2.1开放开放http/ftphttp/ftp服务。服务。允许工作站允许工作站192.168.0.1192.168.0.1访问服务器访问服务器192.168.2.1192.168.2.1的的httphttp服务服务禁止工作站禁止工作站192.168.0.1192.168.0.1访问服务器其它服务。访问服务器其它服务。Cilent ACilent AServer BServer B路由&NAT接入路由模式C:192.168.0.1/24S路由路由路由路由&NAT&NAT&NAT&NAT接入接入接入接入IPIPIPIP配置配置配置配置路由&NAT接入IP配置路由路由路由路由&NAT&NAT&NAT&NAT接入接入接入接入配置默认路由配置默认路由配置默认路由配置默认路由1 1 1 1 配置默认路由配置默认路由配置默认路由配置默认路由路由&NAT接入配置默认路由1 配置默认路由路由路由路由路由&NAT&NAT&NAT&NAT接入接入接入接入配置策略准备配置策略准备配置策略准备配置策略准备2 2 2 2：配置策略：配置策略：配置策略：配置策略以上策略允许：192.168.0.1访问192.168.2.1 并对其中的流量进行病毒防护、攻击防护、上网行为管理防护、协议控制路由&NAT接入配置策略准备2：配置策略以上策略允许：19路由路由路由路由&NAT&NAT&NAT&NAT接入接入接入接入配置端口映射配置端口映射配置端口映射配置端口映射&IP&IP&IP&IP映射映射映射映射路由&NAT接入配置端口映射&IP映射路由路由路由路由&NAT&NAT&NAT&NAT接入接入接入接入配置端口映射配置端口映射配置端口映射配置端口映射&IP&IP&IP&IP映射映射映射映射路由&NAT接入配置端口映射&IP映射A系列：统一威胁管理(防火墙)课件45