1、天融信网络卫士防火墙系统产品介绍北京天融信公司 n 网络规模愈来愈大,薄弱点越来越多n 以蠕虫(Worm)为代表的网络病毒成为传播热点n 高性能网关越来越迫切n 网关安全仍然是用户最关心的安全点n“完全检测防火墙”到来网络越来越复杂,薄弱点越来越多网络越来越复杂,薄弱点越来越多接入网络的设备越来越多。分支机构需要访问总部资源。整体网络中的“短板”越来越多。潜在的损失也越来越大。接入网络的设备越来越多。分支机构需要访问总部资源高性能网关越来越迫切高性能网关越来越迫切网关安全仍然是用户最关心的安全点网关安全仍然是用户最关心的安全点完全检测防火墙完全检测防火墙 天融信解决方案天融信解决方案完全检测防
2、火墙完全检测防火墙n 安全性网络安全、内容安全、病毒、VoIP安全、SSL VPN、IPSEC VPNn 高性能良好的吞吐量、对于“小包”的处理能力、延迟n 网络适应性动态路由、策略路由、VLAN、QoS、MPLS、链路聚合、多模式接入n 高可用性最大化的保障网络正常运行n 可管理性多种管理模式、日志监控、支持PKI 天融信防火墙主要特点天融信防火墙主要特点n 自主安全操作系统自主安全操作系统TOSTOSn 完全内容检测完全内容检测CCICCIn 可扩展支持防病毒可扩展支持防病毒n 支持支持SSL VPNSSL VPNn 集成集成“CleanVPN”CleanVPN”技术技术n 多样化的用户认
3、证多样化的用户认证n 虚拟防火墙虚拟防火墙n 集中策略管理集中策略管理n 软件、硬件模块化软件、硬件模块化自主安全操作系统自主安全操作系统TOSTOS完全内容检测完全内容检测CCICCI状态检测只检查数据包的包头;深度包检测可对数据包内容进行检查;而CCI则可实时将网络层数据还原为完整的应用层对象(如文件、网页、邮件等),并对这些完整内容进行全面检查,实现彻底的内容防护。SI Stateful InspectionDPIDeep Packet InspectionCCIComplete Content Inspection强大的防病毒引擎强大的防病毒引擎n引擎性能优异n能够查杀多达400万余种
4、的病毒n病毒库全球同步更新n能够为用户提供7 X 24小时防病毒服务“CleanVPNCleanVPN”技术技术Code RedVirus加密引擎加密引擎受保护网络受保护网络检测引擎检测引擎受保护网络受保护网络Code RedVirus病毒文件通过病毒文件通过VPN设备检测阻断设备检测阻断加密引擎加密引擎检测引擎检测引擎加密数据通道加密数据通道分支总部 Internet 病毒文件通过病毒文件通过VPN设备检测阻断设备检测阻断明文数据明文数据SSL 协议密文协议密文加密加密SSL 协议密文协议密文解密解密明文数据明文数据SSL VPNSSL VPNSSL VPNSSL VPN代理代理公司内网资源
5、公司内网资源SSL VPNSSL VPN的主要功能的主要功能用户认证和用户认证和权限管理权限管理Web转发转发端口转发端口转发安全文件共享安全文件共享安全网络接入安全网络接入多样化用户认证多样化用户认证Zhanglongyong*虚拟防火墙虚拟防火墙Topsec Policy ManagementTopsec Policy ManagementTopPolicy分级管理功能ROOT管理员一级管理员二级管理员统一策略管理统一状态监控远程配置管理拓扑可视化显示远程配置管理远程用户管理报表系统设备流量管理设备日志审计双机热备设备软件集中升级报警系统可视化策略编辑设备信息管理设备配置版本管理软件模块化
6、设计软件模块化设计 完善的防火墙产品线完善的防火墙产品线SOHO中型企业小企业分支机构性性能能大型企业/电信4000桌面桌面4000中低端中低端4000百兆线速百兆线速4000-UF中端中端4000低端低端 4000-UF低端低端猎豹猎豹III4000-UF高端高端猎豹猎豹 Cheetah Cheetah TopASICTopASIC高性能防火墙高性能防火墙TopASICTopASICTM TM 构建新一代防火墙构建新一代防火墙自行开发,多项专利 稳定可靠完全自主产权模块化、层次化、可持续升级全功能硬件加速,TAPF,大容量L2缓存全线速性能NAT交换七层过滤VPN路由QoS状态核检测可编程模
7、块TOS高性能CPU,负责系统管理和策略授权。策略授权网络数据可编程ASIC,集成全面FW功能,负责数据高速处理和转发。TAPF技术,减少CPU对数据处理过程的干预,实现报文快速转发。大容量二级缓存,存放所有临时表项,无须与内存交互,充分提高性能。全线速转发全线速转发芯片芯片主板主板端口端口系统容量系统容量:产品实际处理能力各种业务条件下全部端口线速转发!各种业务条件下全部端口线速转发!ASIC系列系列猎豹猎豹III猎豹猎豹II猎豹猎豹I型号型号TG-5728/TG-TG-5728/TG-5628/470C5628/470CTG-TG-5664/5564/54645664/5564/5464T
8、G-TG-5328/46285328/4628系统容量(总吞吐量)系统容量(总吞吐量)18/15/1118/15/118G/7G/6G8G/7G/6G2.8G/2.2G2.8G/2.2G千兆小包(千兆小包(64Byte64Byte)转发)转发率率100%100%100%100%100%100%千兆大包(千兆大包(1518Byte1518Byte)转)转发率发率100%100%100%100%100%100%百兆小包(百兆小包(64Byte64Byte)转发)转发率率N/AN/AN/AN/A100%100%百兆大包(百兆大包(1518Byte1518Byte)转)转发率发率N/AN/AN/AN/
9、A100%100%零丢包率零丢包率天融信TopASIC处理器传统架构发发送送接接收收发发送送接接收收发发送送接接收收超低时延超低时延科学研究表明,总时延小科学研究表明,总时延小于于10ms才能保证网络视频、才能保证网络视频、语音质量语音质量TopASIC千兆小包时延千兆小包时延2.7us,比传统架构防火墙,比传统架构防火墙小几百倍小几百倍Internet视频会议视频会议即时通讯即时通讯IP语音语音通讯通讯在线结算在线结算ERP4000-UF4000-UF系列:万兆产品系列:万兆产品擎天擎天型号型号TG-9512TG-9508TG-9505TG-9502插槽数插槽数量量14个,可个,可2个个系统
10、控制卡、系统控制卡、12个接口卡和个接口卡和安全处理卡安全处理卡10个,可个,可2个个系统控制卡、系统控制卡、8个接口卡和个接口卡和安全处理卡安全处理卡7个,可个,可2个系个系统控制卡、统控制卡、5个接口卡和安个接口卡和安全处理卡全处理卡4个,可个,可2个系个系统控制卡、统控制卡、2个接口卡和安个接口卡和安全处理卡全处理卡吞吐量吞吐量10G 1010G 610G 410G 2并发连并发连接接100万万10100万万6100万万4100万万2每秒新每秒新建连接建连接4万万104万万64万万44万万2TG-5622TG-5622整机吞吐量整机吞吐量 2020G G延时:延时:22000000000
11、0最大并发连接数:最大并发连接数:2 28 80000000000TOSTOS操作系统操作系统标配标配2 2个万兆接口,最大配置为个万兆接口,最大配置为6 6个万兆接口,或者个万兆接口,或者2 2个万兆口个万兆口+16+16个千兆口,个千兆口,2 2个可插拨的扩展槽和个可插拨的扩展槽和2 2个个10/100/1000BASE-T10/100/1000BASE-T接口(可作为接口(可作为HAHA口和管理口和管理口);口);支持双电源支持双电源支持支持IPSEC VPN/VRCIPSEC VPN/VRC、SSL VPNSSL VPN、ANTIVIRUSANTIVIRUS、TA/TA-LICTA/T
12、A-LIC等功能模块等功能模块4000-UF4000-UF系列:猎豹系列:猎豹IIIIII产品产品TOSTOS操作系统操作系统ASICASIC硬件架构硬件架构2 2个可扩展的插槽个可扩展的插槽4 4个千兆个千兆COMBOCOMBO口口+4+4个个SFPSFP插槽插槽+1+1个千兆个千兆HAHA电口电口+1+1个千兆管理电口个千兆管理电口支持冗余电源,默认一个支持冗余电源,默认一个ACAC电源电源支持支持IPSEC VPN/VRCIPSEC VPN/VRC、TA/TA-LICTA/TA-LIC等功能模块等功能模块内置的专用硬件加速芯片内置的专用硬件加速芯片TAPFTAPF加速技术加速技术TG-5
13、728TG-5728整机吞吐量整机吞吐量18G18G整机小包吞吐量整机小包吞吐量7G7G大包延时大包延时9us9us小包延时小包延时3us22000002200000TG-5628TG-5628整机吞吐量整机吞吐量15G15G整机小包吞吐量整机小包吞吐量6G6G大包延时大包延时9us9us小包延时小包延时3us220000022000004000-UF4000-UF系列:千兆中端产品系列:千兆中端产品TOSTOS操作系统操作系统最大配置为最大配置为2626个接口,包括个接口,包括3 3个可插拨的扩展槽和个可插拨的扩展槽和2 2个个10/100/1000BASE-T10/100/1000BASE
14、-T接接口(可作为口(可作为HAHA口和管理口);口和管理口);支持双电源(缺省配置为支持双电源(缺省配置为1 1个)个)支持支持IPSEC VPN/VRCIPSEC VPN/VRC、SSL VPNSSL VPN、ANTIVIRUSANTIVIRUS、TA/TA-LICTA/TA-LIC等功能模块等功能模块支持千兆接口扩展卡支持千兆接口扩展卡TG-5330TG-5330整机吞吐量整机吞吐量112 2G G整机小包吞吐量:整机小包吞吐量:2G2G延时:延时:1 10 00 0000000最大并发连接数:最大并发连接数:22000002200000支持万兆接口扩展卡支持万兆接口扩展卡TG-5230
15、TG-5230整机吞吐量整机吞吐量88G G整机小包吞吐量整机小包吞吐量 1.8G1.8G延时延时 8880800000最大并发连接数最大并发连接数 22000002200000TG-5130TG-5130整机吞吐量整机吞吐量66G G整机小包吞吐量整机小包吞吐量 1.5G1.5G延时延时 5550005000最大并发连接数最大并发连接数 22000002200000TG-5166TG-5166整机吞吐量整机吞吐量66G G整机小包吞吐量整机小包吞吐量 1.5G1.5G延时延时 5550005000最大并发连接数最大并发连接数 22000002200000TG-5128TG-5128整机吞吐量
16、整机吞吐量66G G整机小包吞吐量整机小包吞吐量 1.5G1.5G延时延时 5550005000最大并发连接数最大并发连接数 220000022000004000-UF4000-UF系列:千兆中端产品系列:千兆中端产品TOSTOS操作系统操作系统最大配置为最大配置为2626个接口,包括个接口,包括3 3个可插拨的扩展槽和个可插拨的扩展槽和2 2个个10/100/1000BASE-T10/100/1000BASE-T接接口(可作为口(可作为HAHA口和管理口);口和管理口);支持支持IPSEC VPN/VRCIPSEC VPN/VRC、SSL VPNSSL VPN、ANTIVIRUSANTIVI
17、RUS、TA/TA-LICTA/TA-LIC等功能模块等功能模块支持千兆接口扩展卡支持千兆接口扩展卡TG-5030TG-5030整机吞吐量整机吞吐量55G G整机小包吞吐量整机小包吞吐量 1.2G1.2G延时延时25550005000最大并发连接数最大并发连接数220 000000000004000-UF4000-UF系列:千兆低端产品系列:千兆低端产品TOSTOS操作系统操作系统最大配置为最大配置为1212个接口,包括个接口,包括1 1个可插拨的扩展槽和个可插拨的扩展槽和4 4个个10/100/1000BASE-T10/100/1000BASE-T;支持双电源(缺省配置为支持双电源(缺省配置
18、为1 1个)个)支持支持IPSEC VPN/VRCIPSEC VPN/VRC、SSL VPNSSL VPN、ANTIVIRUSANTIVIRUS、TA/TA-LICTA/TA-LIC等功能模块等功能模块支持千兆接口扩展卡支持千兆接口扩展卡TG-5114TG-5114整机吞吐量整机吞吐量 4 4G G最大并发连接数最大并发连接数 180180000000004000-UF4000-UF系列:千兆低端产品系列:千兆低端产品TOSTOS操作系统操作系统最大配置为最大配置为1212个接口,包括个接口,包括1 1个可插拨的扩展槽和个可插拨的扩展槽和4 4个个10/100/1000BASE-T10/100
19、/1000BASE-T接接口;口;支持支持IPSEC VPN/VRCIPSEC VPN/VRC、SSL VPNSSL VPN、ANTIVIRUSANTIVIRUS、TA/TA-LICTA/TA-LIC等功能模块等功能模块支持千兆接口扩展卡支持千兆接口扩展卡TG-5014TG-5014整机吞吐量整机吞吐量 2 2G G最大并发连接数最大并发连接数 1801800000000040004000系列:猎豹系列:猎豹IIIIII产品产品TOSTOS操作系统操作系统ASICASIC硬件架构硬件架构8 8个千兆个千兆COMBOCOMBO口口+4+4个个SFPSFP插槽插槽支持支持IPSEC VPN/VRC
20、IPSEC VPN/VRC、TA/TA-LICTA/TA-LIC等功能模块等功能模块内置的专用硬件加速芯片内置的专用硬件加速芯片TAPFTAPF加速技术加速技术TG-470CTG-470C整机吞吐量整机吞吐量11G11G整机小包吞吐量整机小包吞吐量5G5G大包延时大包延时9us9us小包延时小包延时3us16000001600000猎豹系列猎豹系列,TG-5328,TG-5328整机吞吐量整机吞吐量:2.8G:2.8G整机小包吞吐量整机小包吞吐量:2.8G:2.8G每秒新建连接每秒新建连接5400054000延时:延时:18000001800000性能:整机小包全线速性能:整机小包全线速400
21、04000系列:千兆低端产品系列:千兆低端产品TOSTOS操作系统操作系统最大配置为最大配置为1212个接口,包括个接口,包括1 1个可插拨的扩展槽和个可插拨的扩展槽和4 4个个10/100/1000BASE-T10/100/1000BASE-T接接口;口;支持支持IPSEC VPN/VRCIPSEC VPN/VRC、SSL VPNSSL VPN、ANTIVIRUSANTIVIRUS、TA/TA-LICTA/TA-LIC等功能模块等功能模块支持千兆接口扩展卡支持千兆接口扩展卡支持支持V5V5加速卡加速卡TG-4514TG-4514整机吞吐量整机吞吐量 1 1G G最大并发连接数最大并发连接数
22、16016000000000TG-4508TG-4508整机吞吐量整机吞吐量 600M600M最大并发连接数最大并发连接数 12012000000000标配双电源标配双电源40004000系列:千兆低端产品系列:千兆低端产品TOSTOS操作系统操作系统最大配置为最大配置为1010个个10/100/1000BASE-T10/100/1000BASE-T接口和接口和2 2个接口;个接口;支持支持IPSEC VPN/VRCIPSEC VPN/VRC、SSL VPNSSL VPN、ANTIVIRUSANTIVIRUS、TA/TA-LICTA/TA-LIC等功能模块等功能模块TG-4TG-4整机吞吐量整
23、机吞吐量 最大并发连接数最大并发连接数 1 10 000000000TG-4TG-4整机吞吐量整机吞吐量 最大并发连接数最大并发连接数 0 000000000TG-4208TG-4208TOSTOS操作系统操作系统,NP,NP硬件架构硬件架构8 8个个10/100BASE-TX10/100BASE-TX口口支持支持IPSEC VPN/VRCIPSEC VPN/VRC、TA/TA-LICTA/TA-LIC等功能模块等功能模块整机吞吐量整机吞吐量 350M350M整机小包吞吐量:整机小包吞吐量:100M100M延时延时 60006000最大并发连接数最大并发连接数 800000800000TGTG
24、整机吞吐量整机吞吐量 最大并发连接数最大并发连接数 0 000000000TOSTOS操作系统操作系统,NP,NP硬件架构硬件架构1010个个10/100BASE-TX10/100BASE-TX口口个口个口TGTG整机吞吐量整机吞吐量 最大并发连接数最大并发连接数 0 000000000TOSTOS操作系统操作系统,NP,NP硬件架构硬件架构1010个个10/100BASE-TX10/100BASE-TX口口个口个口TG-1608TG-1608TOSTOS操作系统操作系统,NP,NP硬件架构硬件架构8 8个个10/100BASE-TX10/100BASE-TX口口整机吞吐量整机吞吐量 300M
25、300M整机小包吞吐量整机小包吞吐量 80M80M每秒新建连接每秒新建连接 50005000最大并发连接数最大并发连接数 600000600000TG-1608-VPNTG-1608-VPNTOSTOS操作系统操作系统,NP,NP硬件架构硬件架构8 8个个10/100BASE-TX10/100BASE-TX口口整机吞吐量整机吞吐量 300M300M整机小包吞吐量整机小包吞吐量 80M80M每秒新建连接每秒新建连接 50005000最大并发连接数最大并发连接数 600000600000最大最大IPSECIPSEC隧道数隧道数 5050加密速度加密速度 30M30MTG-1508/1508-VPN
26、TG-1508/1508-VPNTOSTOS操作系统操作系统,NP,NP硬件架构硬件架构8 8个个10/100BASE-TX10/100BASE-TX口口整机吞吐量整机吞吐量 250M250M整机小包吞吐量整机小包吞吐量 60M60M延时延时 40004000最大并发连接数最大并发连接数 400000400000最大最大IPSECIPSEC隧道数隧道数 5050加密速度加密速度 30M30MTG-1503TG-1503TOSTOS操作系统操作系统,NP,NP硬件架构硬件架构1U1U机架式结构机架式结构3 3个个10/100BASE-TX10/100BASE-TX口口整机吞吐量整机吞吐量 200
27、M200M整机小包吞吐量整机小包吞吐量 40M40M延时延时 25002500最大并发连接数最大并发连接数 200000200000TOSTOS操作系统操作系统,NP,NP硬件架构硬件架构1U1U机架式结构机架式结构3 3个个10/100BASE-TX10/100BASE-TX口口整机吞吐量整机吞吐量 200M200M整机小包吞吐量整机小包吞吐量 40M40M延时延时 25002500最大并发连接数最大并发连接数 200000200000最大最大IPSECIPSEC隧道数隧道数 2525加密速度加密速度 20M20MTG-1503-VPNTG-1503-VPNTOSTOS操作系统操作系统,NP
28、,NP硬件架构硬件架构桌面型结构桌面型结构3 3个个10/100BASE-TX10/100BASE-TX口口整机吞吐量整机吞吐量 150M150M整机小包吞吐量整机小包吞吐量 3030M M延时延时 15001500最大并发连接数最大并发连接数 200000200000最大最大IPSECIPSEC隧道数隧道数 2525加密速度加密速度 15M15MTG-1403-VPNTG-1403-VPNTOSTOS操作系统操作系统,NP,NP硬件架构硬件架构桌面型结构桌面型结构3 3个个10/100BASE-TX10/100BASE-TX口口整机吞吐量整机吞吐量 100M100M整机小包吞吐量整机小包吞吐
29、量 2020M M延时延时 15001500最大并发连接数最大并发连接数 100000100000最大最大IPSECIPSEC隧道数隧道数 2525加密速度加密速度 9M9MTG-1203-VPNTG-1203-VPN嵌入式硬件架构嵌入式硬件架构桌面型结构桌面型结构最大配置为最大配置为5 5个接口,包括个接口,包括1+41+4个个10/100BASE-T10/100BASE-T接口接口整机吞吐量整机吞吐量 100M100M整机小包吞吐量整机小包吞吐量.15M15M每秒新建连接每秒新建连接 10001000最大并发连接数最大并发连接数 5000050000最大最大IPSECIPSEC隧道数隧道数
30、 2525加密速度加密速度 5M5MTG-1105-VPNTG-1105-VPNNGFW4000 NGFW4000 注意问题注意问题nNGFW4000NGFW4000系列系列43244324中中SSL VPNSSL VPN和和AVAV防病毒模块现在可以同时防病毒模块现在可以同时使用使用nNGFW4000NGFW4000系列系列43244324中购买中购买SSL VPNSSL VPN和和AVAV模块都必须同时购买模块都必须同时购买内存模块(内存模块(SSLVPN/AV-RAMSSLVPN/AV-RAM)nTG-4208/1105TG-4208/1105等型号不支持等型号不支持SSL VPNSSL
31、 VPN和和AVAV模块模块天融信防火墙产品资质天融信防火墙产品资质n计算机软件著作权登记证书(国家版权局)n安全操作系统计算机软件著作权登记证书(国家版权局)n计算机信息系统安全专用产品销售许可证(公安部)n国家信息安全认证产品型号证书(中国国家信息安全测评认证中心)n国家信息安全认证产品型号证书(中国国家信息安全测评认证中心),认证级别达到EAL3(系统的测试和检查级(methodically tested and checked)n军用信息安全产品认证证书(中国人民解放军信息安全测评认证中心)n涉密信息系统产品检测证书(国家保密局涉密信息系统安全保密评测中心)n电信设备进网试用批文(信息
32、产业部)天融信防火墙产品资质天融信防火墙产品资质天融信防火墙专利天融信防火墙专利 目录目录主要功能主要功能主要功能列表访问控制全面的路由、交换功能虚拟防火墙自动检测策略冲突防病毒链路聚合SSL VPN链路备份IPSEC VPNQOSClean VPN全面支持各种NAT完全内容检测透明,路由,混合各种接入模式IM应用/P2P限制集中管理、监控、日志审计入侵防御负载均衡丰富多样的认证方式各种动态端口协议HA高可用性双系统.Host C Host D 高细粒度访问控制高细粒度访问控制Access list 192.168.1.3 to 202.2.33.2Access nat 192.168.3.0
33、 to any pass Access 202.1.2.3 to 192.168.1.3 blockAccess default pass1010010101规则匹配成功规则匹配成功v 基于IPv 基于网络地址v 基于端口v 基于时间v 基于用户名v 基于邮件元素v 基于文件v 基于关键字v 基于URLv 基于MAC地址高细粒度访问控制高细粒度访问控制虚拟防火墙虚拟防火墙防病毒防病毒SSL VPNSSL VPNIPSEC VPNIPSEC VPNIKEIKE阶段阶段1 1设置设置IPSEC VPNIPSEC VPNIKEIKE阶段阶段2 2设置设置IPSEC VPNIPSEC VPN加密算法加
34、密算法L2TP VPNL2TP VPN功能功能PPTP VPNPPTP VPN功能功能GRE VPNGRE VPN功能功能CleanVPNCleanVPNp嵌入式内容检测引擎嵌入式内容检测引擎p各模块完全对等的安全域设计理念各模块完全对等的安全域设计理念p采用一次性内容过滤检测技术采用一次性内容过滤检测技术p多合一特性和安全域完美统一多合一特性和安全域完美统一Code RedVirus加密引擎加密引擎受保护网络受保护网络检测引擎检测引擎受保护网络受保护网络Code RedVirus病毒文件通过病毒文件通过VPN设设备检测阻断备检测阻断病毒文件通过病毒文件通过VPN设备检测阻断设备检测阻断加密引
35、擎加密引擎检测引擎检测引擎加密数据通道加密数据通道分支总部完全内容检测完全内容检测CCICCI状态检测只检查数据包的包头;深度包检测可对数据包内容进行检查;而CCI则可实时将网络层数据还原为完整的应用层对象(如文件、网页、邮件等),并对这些完整内容进行全面检查,实现彻底的内容防护。SI Stateful InspectionDPIDeep Packet InspectionCCIComplete Content InspectionIMIM应用应用/限制限制入侵防御入侵防御抗抗DOSDOS攻击攻击-SYN-SYN代理代理防火墙的防火墙的SYNSYN代理实现原理代理实现原理:v在服务器和外部网络
36、之间部署防火墙系统在服务器和外部网络之间部署防火墙系统;v在收到客户端的在收到客户端的SynSyn包后,防火墙代替服务器向客户端发送包后,防火墙代替服务器向客户端发送Syn/AckSyn/Ack包包;v如果防火墙收到客户端的如果防火墙收到客户端的AckAck信息,表明访问正常信息,表明访问正常,由防火墙向服务器发送由防火墙向服务器发送SynSyn包并完成后续的包并完成后续的TCPTCP握手握手,建立客户端到服务器的连接。建立客户端到服务器的连接。v通过这种通过这种SynSyn代理技术,保证每个代理技术,保证每个SynSyn包源的真实有效性,确保虚假请求不包源的真实有效性,确保虚假请求不被发往服
37、务器,从而彻底防范对服务器的被发往服务器,从而彻底防范对服务器的Syn-FloodSyn-Flood攻击。攻击。Host C Host D Host B Host A 受保护网络netIDS黑客发起攻击发送通知报文验证报文并采取措施发送响应报文识别出攻击行为阻断连接或者报警等与与IDSIDS的安全联动的安全联动多样化用户认证多样化用户认证Zhanglongyong*内部网外网或者不信任域Eth 0Eth 0Eth1Eth1Eth2Eth2心跳线0#1#检测 0#Firewall的状态发现出故障,立即接管其工作 防火墙根据与0#防火墙一起工作TSRPTSRP负载均衡负载均衡TSRP(TopSec
38、 Redundancy Protocol)内部网外网或者不信任域Eth 0Eth 0Eth1Eth1Eth2Eth2心跳线ActiveStandby检测Active Firewall的状态发现出故障,立即接管其工作 正常情况下由主防火墙工作主防火墙出故障以后,接管它的工作高可用性高可用性-双机热备双机热备二层:生成树协议三层:1、HSRP/VRRP+浮动静态路由2、动态路由协议穿过3、动态路由协议全面的路由功能全面的路由功能完善的路由表完善的路由表-静态路由静态路由网络卫士防火墙支持静态(策略路由)、动态路由协议。完善的路由表完善的路由表-策略路由策略路由完善的路由表完善的路由表-动态路由动态
39、路由完善的路由表完善的路由表-动态路由动态路由支持多播路由支持多播路由自动检测策略冲突自动检测策略冲突采用天融信独创的策略智能检测技术,系统能够自动检测并智能识别是否存在前后有矛盾的策略,并自动提示管理员进行修正,从而避免因管理员人为误配置策略所带来的安全风险。链路聚合链路聚合可以将防火墙的多个端口捆绑成一条高带宽链路,可以提高链路负载,避免链路出现拥塞现象。同时还可以提高端口可用性。链路备份链路备份QOS带宽管理带宽管理流量统计流量统计VLAN对对TRUNKTRUNK协议的支持协议的支持防火墙不但支持TRUNK数据包穿过防火墙,并且防火墙的接口也可以封装TRUNK数据包,即支持VLAN间路由
40、(3层交换机功能),支持802.1Q和ISL封装。202.102.93.54Host A受保护网络Host C Host D 192.168.1.21192.168.1.25防火墙Eth2:192.168.1.23Eth0:101.211.23.1数据IP报头数据IP报头源地址:192.168.1.21目地址:202.102.93.54源地址:101.211.23.1目地址:202.102.93.54101.211.23.2v 隐藏了内部网络的结构v 内部网络可以使用私有IP地址v 公开地址不足的网络可以使用这种方式提供IP复用功能v天融信公司的防火墙支持静态和动态两种转换模式,支持一对一、多
41、对一、多对多以及双向NAT功能NAT(NAT(地址转换地址转换)Internetv 公开服务器可以使用私有地址v 隐藏内部网络的结构v天融信公司防火墙支持I地址映射以及端口映射WWW 199.168.1.2FTP 199.168.1.3MAIL 199.168.1.4DNS 199.168.1.5199.168.1.6202.102.1.3202.102.1.3MAP 199.168.1.2:80 TO 202.102.1.3:80MAP 199.168.1.3:21 TO 202.102.1.3:21MAP 199.168.1.4:53 TO 202.102.1.3:53MAP 199.16
42、8.1.5:25 TO 202.102.1.3:25http:/199.168.1.2http:/202.102.1.3MAP(MAP(映射映射)受保护网络Internet如果防火墙支持透明模式,则内部网络主机的配置不用调整Host A 199.168.1.2Host C199.168.1.4Host D199.168.1.5Host B199.168.1.3199.168.1.8同一网段透明模式下,这里不用配置IP地址透明模式下,这里不用配置IP地址Default Gateway=199.168.1.8防火墙相当于网桥,原网络结构没有改变灵活的接入方式透明接入灵活的接入方式透明接入受保护网络
43、InternetHost A 199.168.1.2Host C199.168.1.4Host D199.168.1.5Host B199.168.1.3199.168.1.8Default Gateway=199.168.1.8防火墙相当于一个简单的路由器203.12.34.56203.12.34.57199.168.1.8灵活的接入方式路由接入灵活的接入方式路由接入ETH0:192.168.7.102ETH2:192.168.7.2192.168.7.0/24 网段网段192.168.7.0/24 网段网段此时整个防火墙工作于透明+路由模式,我们称之为综合模式或者混合模式202.11.22
44、.1/24 网段网段ETH1:202.11.22.2两接口在不同网段,防火墙处于路由模式两接口在不同网段,防火墙处于路由模式两接口在同一网段,防火墙处于透明模式灵活的接入方式综合接入灵活的接入方式综合接入Host C Host D Host B Host A 受保护网络net与网管或者安管系统互动与网管或者安管系统互动日志审计日志审计服务器负载均衡服务器负载均衡动态端口协议支持动态端口协议支持高可用性高可用性-双系统双系统 防火墙作为网络中的关键设备,对于维护网络的正常通信以及安全保障起着举足轻重的作用。所以,对防火墙本身的有效性和可用性就有了很高的要求。网络卫士防火墙内置了备份系统,这样,在
45、主系统出现异常或由于升级失败而不能正常引导系统的情况下,用户可以手工选择使用备份系统。netHost A 199.168.1.2Host B199.168.1.3Host C199.168.1.4Host D199.168.1.500-50-04-BB-71-A600-50-04-BB-71-BCBIND 199.168.1.2 To 00-50-04-BB-71-A6BIND 199.168.1.4 To 00-50-04-BB-71-BCIP与MAC地址绑定后,不允许Host B假冒Host A的IP地址上网防火墙允许Host A上网跨路由器IPIP与与MAC(MAC(用户用户)绑定绑定对
46、对DHCPDHCP应用环境的支持应用环境的支持支持支持PPPOEPPPOE协议协议支持支持DDNSDDNS客户机支持长连接应用支持长连接应用数据库查询一般需要比较长的时间,这些通讯连接建立成功后可能暂时没有数据通过(空连接),需要在防火墙里面维护这个连接状态,直到查询结束,普通防火墙在连接建立一段时间后如果没有数据通讯会自动切断连接,导致业务不能正常运行。目录目录防火墙典型应用(防火墙典型应用(1 1)负载模式:负载模式:基于轮询基于轮询 基于加权轮询基于加权轮询最少链接最少链接加权最少链接加权最少链接对真实主机的自动对真实主机的自动探测探测 防火墙典型应用(防火墙典型应用(2 2)交换交换:
47、多接口多接口 高性能高性能完全的协议支持完全的协议支持路由路由:全面的路由协议全面的路由协议防火墙典型应用(防火墙典型应用(3 3)多层多链路的热备多层多链路的热备:完成复杂组网完成复杂组网 支持复杂路由交换支持复杂路由交换完全的协议支持完全的协议支持防火墙典型应用(防火墙典型应用(4 4)交换机的接口备份交换机的接口备份:支持交换支持交换 生成树技术生成树技术防火墙典型应用(防火墙典型应用(5 5)路由模式的接口备份:路由模式的接口备份:动态路由协议动态路由协议总部 防火墙典型应用(防火墙典型应用(6 6)1.包过滤防火墙可以正常部署2.状态检测防火墙部署后将会导致业务时断时通3.如果该网络
48、工作于备份模式,则至少需要两台对称防火墙的状态同步4.如果该网络工作于均衡模式,必须保证四台防火墙的状态都同步防火墙典型应用(防火墙典型应用(7 7)典型案例典型案例案例一:外交部全球安全系统建设案例一:外交部全球安全系统建设案例二:国家统计局全国安全系统建设案例二:国家统计局全国安全系统建设n 国家卫生部国家卫生部 2002年,国家卫生部内联网安全工程项目覆盖全国从国家局到省级共35个节点,全部采用天融信的防火墙产品。2003年,中国疾病预防控制中心作为国家疾病预防体系建设的主管部门,于2003年SARS时期后,在卫生部的指导下该中心开始启动突发公共卫生事件应急机制检测信息系统I期建设项目,
49、为了保障该系统安全运行,中心经过前期多方面的考察和选择,最后在一级防火墙及VPN集成项目中选择了天融信公司作为本次安全的合作伙伴,整个项目涉及NGFW4000防火墙、VPN、SCM、ADS多套,VPN客户端VRC覆盖全国2万个节点。n 国家航天部国家航天部神州五号项目神州五号项目 2003年备受海内外瞩目的神舟五号太空船发射成功,实现了中国人千年的飞天梦想。北京天融信公司为总装航天指挥控制中心提供的4000百兆防火墙有效地保证了神舟五号返回系统网络的高度安全,为其安全返航起到了关键性的保护作用。n 国家外交部国家外交部 外交部安全项目二期工程以及外交部国家联网安全工程,采用天融信公司的防火墙、
50、加密机等产品,并且覆盖到国际50多个国家或地区的200个节点。项目总金额800多万元,于2001年、2002年分两期实施。n 国家统计局国家统计局 国家统计局网络安全工程自1999年开始组织运作,先后分二期实施完成。该项目包括省会城市、计划单列市及统计调查队,全国共67个节点。安全内容包括防火墙、防病毒、数据加密、CA认证中心、信息监控审计等内容,总投资2000多万元,该项目全部由天融信公司集成、实施、服务。并保证了国家统计局第三次人口普查网络的安全应用。成功案例(政府)成功案例(政府)n 中国人民银行中国人民银行 中国人民银行内联网安全项目,从总行到九个大区行及300多个中心支行,共300多
