阿姆瑞特防火墙技术特点.ppt

Amaranten International Ltd Operation in China ”Amaranten Secure Net!”,Security 无操作系统漏洞 Performance 防火墙内核从底层接管进出防火墙数据并进行处理 利用所有可能的硬件性能 。减少了操作系统的开销 因此可以最快的处理数据，所有产品延时小于25us，是目前世界上延时最小的防火墙产品 内核启动速度快，启动时间6秒，18-20秒进入数据包转发,处理速度慢 安全漏洞 操作系统和防火墙软件单独升级,Network Drivers,Windows/ UNIX O/S,Windows/ UNIX O/S,Device handler,Modified TCP/IP Stack,Firewall Software,Firewall Software,无操作系统,传统防火墙结构,阿姆瑞特防火墙结构,产品线介绍,F50 Series,F100Series,F300 Series,F1800 Series F600 Series,F5000 Series F3000 Series,远程办公/小型分支机构 小型企业 可安全管理的CPE,中小型企业 中小型企业的VPN网关 可安全管理的CPE,高负荷的VPN网络 数据中心 电信级网络 电信业,大型高校 数据中心，服务提供商 金融机构 大型VPN网关 公司总部/大型企业,中型企业 中型VPN网关 服务提供商,阿姆瑞特防火墙技术特点,全方位安全防护 强大的路由功能 专业的带宽管理 灵活的网络接入 丰富的VPN功能 便捷的图形管理 细微的网络日志,CLOSED,LISTEN,SYN-SENT,SYN-RCVD,ESTABLISHED,FIN-WAIT-1,FIN-WAIT-2,CLOSE-WAIT,CLOSING,TIME-WAIT,LAST-ACK,Illegal Addresses Checksum Control TTL Control Layer Size Consistency IP Option Sizes IP Source Route IP Timestamp IP Bad Options IP Reserved flag TCP Blind Spoofing Protection TCP Header Option Sizes TCP MSS Control TCP Window Scale TCP Selective ACK TCP Timestamp TCP Alternate Checksum TCP Connection Count TCP Bad Options TCP Flag combinations TCP Reserved Field TCP NULL Packets ICMP Response Control ARP Spoofing Protection Strict Interface Matching Connection Timeout Control Payload Size Control Reassembly Timing Control Illegal Fragments Duplicate Fragments Fragmented ICMP,全状态检测防火墙,采用状态检测技术 数据包一致性检查 防止假冒IP攻击 放置非正常连接 提高工作效率,灵活的访问控制,查找对应的控制策略,拆开数据包进行分析,根据策略决定如何处理该数据包,控制策略,源和目的地址 源和目的端口 IP协议号 ICMP信息类型 IP和TCP中都有的选项 IP和TCP标记组合 VLAN标识 路由协议 时间 内容 IPSEC、PPTP、L2TP等,可以灵活地制定 的控制策略,数据包,数据包,基于时间的控制,控制某条规则的生效时间,内容过滤,阿姆瑞特防火墙功能可以通过URL过滤和关键字过滤控制内部人员访问的主页或站点，避免含有恶意代码网页（网页木马、网页病毒）对网络的侵害。 除了内容过滤以外，还可以做到以下特性： 禁止下载某种类型文件。例如：.exe 针对Java脚本/VB脚本、Java applets的过滤； 禁止Active-X/Flash等内容，彻底杜绝了黑客网站恶意程序对内网机器的攻击； 禁止cookies，防止黑客通过cookies窃取用户名、口令等关键信息。,用户认证,深层次访问控制 基于用户的信誉度，访问时间以及访问的内容，允许或拒绝访问 进一步增强了安全性 认证方式 内部用户数据库， Radius，微软活动目录或Xauth 日志 基于用户级别的日志记录 优势 增加安全性的同时减少管理开销（在网络用户数据库里面删除一个用户也是通过网关来控制） 用户认证与策略、时间表和内容过滤等功能结合提高了防火墙使用效率（在工作时间阻止不需要的访问） 支持RADIUS通用用户数据库 基于login方式的用户身份登陆,用户认证,强大的抗攻击能力,OS Fingerprinting 和 Firewalking 网络的TCP/UDP端口扫描 SYN flood ICMP flood攻击 UDP flood攻击 死ping(Ping of death)攻击 IP欺骗(IP spoofing)攻击 端口扫描(Port scan) 陆地攻击(Land attack) 撕毁攻击(Tear drop attack) 过滤IP源路由选项(Filter IP source route option) IP地址扫描攻击(IP address sweep attack),WinNuke attack攻击 Java/ActiveX/Zip/EXE Dos & DDoS攻击 用户定义的不良URL Per-source session limiting攻击 Syn fragments攻击 Syn and Fin bit set攻击 No flags in TCP攻击 FIN with no ACK攻击 ICMP fragment攻击 Large ICMP攻击 IP record route攻击 IP security options攻击 IP stream攻击 IP bad option攻击 Unknown protocols攻击,防攻击原理,传统的防火墙 通过设定阈值进行攻击防范，例如每个IP每秒2000个SYN报文以下才认为是正常的，超出视为攻击 依托通用OS，OS对攻击的抵御能力不足；且防火墙软件与OS间必然存在开销，消耗系统资源 阿姆瑞特防火墙 采用类似代理技术进行攻击防范，必须首先与防火墙建立起连接，防火墙才会再与主机进行连接，攻击不会通过防火墙到达主机 专用内核，没有OS开销，提高了自身抵御攻击能力 设计中充分考虑了系统抗攻击的能力，预留防火墙系统资源，任何情况下CPU利用率都不会达到100%,阿姆瑞特防火墙技术特点,全方位安全防护 强大的路由功能 专业的带宽管理 灵活的网络接入 丰富的VPN功能 便捷的图形管理 细微的网络日志,强大的路由功能,支持4096条静态路由 支持PBR（Policy Based Routing，基于策略的路由），配置主路由表和多个PBR路由表，不同的规则采用不同的路由表，支持多个缺省网关 支持路由备份 支持OSPF V2动态路由 支持虚拟路由器/系统 全面支持802.1Q,基于策略的路由（PBR）,LAN,可以根据需要，按照源IP地址、服务，将数据流从不同的端口送出,防火墙,基于策略的路由,使用策略路由 反垃圾邮件/抗病毒/HTTP代理,更安全 防火墙防止了来自内外部的恶意攻击 更大的吞吐量 只有特定的网络需要通过抗病毒/垃圾 扫描和HTTP代理 ，保证网络的吞吐量 管理优势 不需要客户端的代理设置，防火墙可以高度控制信息流量,支持路由备份,ADSL,电信,全面支持OSPF,Internet,VPN接口支持动态路由,OSPF动态路由信息可以穿越VPN通道，进行传递。,一墙多用 在一台防火墙上创建多个逻辑分离的系统 在一台物理设备上可以做的任何事在虚系统上都可以做，包括访问控制，带宽管理和动态路由功能。 高灵活性 不需要增添硬件，而是通过增加虚系统进行扩展 简化配置管理 使复杂的路由及策略配置更简单 减少所需策略数量降低由于策略配置错误带来的安全隐患 增加用户服务机会 在一台机器上运行多个虚系统来服务多个用户，来增加新业务的机会 想象一下在一个阿姆瑞特防火墙冗余群集使用成百的虚系统来替代同等数量的网关设备，而每一个虚系统都为一个负费的客户服务！,虚 系 统,虚拟路由/系统,/24,/24,/24,对VLAN（802.1Q）的支持,VLAN间路由,Trunk扩展端口,Trunk穿越,VLAN10,VLAN20,VLAN10,VLAN10,VLAN20,VLAN10 VLAN20,VLAN10 VLAN20,VLAN10 VLAN20,透明模式,VLAN20,VLAN10,VLAN20,VLAN10,VLAN20,VLAN10,VLAN20,Trunk Link,Trunk Link,防火墙机,阿姆瑞特防火墙技术特点,全方位安全防护 强大的路由功能 专业的带宽管理 灵活的网络接入 丰富的VPN功能 便捷的图形管理 细微的网络日志,带宽管理,最大带宽限制 带宽保证 传输优先控制 动态流量均衡 传输平衡控制,带宽控制,可以对用户IP地址、服务等通过防火墙的带宽进行限制，例如：限制某个用户对外访问最大带宽，或者访问某种服务的最大带宽。,带宽保证,保证网络中重要服务或者重要用户的带宽不被其他服务或者用户占用，从而保证了重要数据优先通过网络。,优先级控制,通过定义管道的方式提供CoS/QoS功能，并且管道没有数量的限制，也就是说优先级控制的等级没有数量的限制，同时可在每一个管道中，可以设定8个优先级（0-7），从而可以进行更加细致的流量控制。,动态流量均衡,为了保证网络中的所有带宽都得到合理的应用，防火墙提供动态流量均衡功能。 例如：假如某网络带宽为256k，设定主机A的带宽为100k，主机B带宽为156k。如果主机B目前只用到120k，而主机A100k的带宽不够用，此时主机A可以动态获得主机B剩余的36K带宽。如果主机B某一时刻的突发速率到156K，他会动态的从主机A那里获得属于他的36K带宽，从而保证重要服务或者用户优先进行数据传输。,传输平衡控制,可根据需要进行设置，保证内网各用户分配带宽趋于平衡，不致出现“贫富分化”的现象。,阿姆瑞特防火墙带宽管理特点,通过定义管道的方式提供CoS/QoS功能 管道没有数量的限制 设置精度为1Kbps，偏差率不超过5% 可进行带宽限制、带宽保证、动态均衡带宽 大差别带宽管理时，不存在“饿死”现象 可对上传和下载数据分别进行带宽管理 明通、密通数据均可以作带宽管理 带宽管理可基于接口、VLAN、IP地址、服务、时间等设定,阿姆瑞特防火墙技术特点,全方位安全防护 强大的路由功能 专业的带宽管理 灵活的网络接入 便捷的图形管理 细微的网络日志,透明、路由、混合接入 同一接口下的透明+NAT 源地址、目标地址同时转换 对称式接口设计,灵活的网络接入,受保护网络,Internet,如果防火墙支持透明模式，则内部网络主机的配置不用调整, Host A, Host C, Host D, Host B,,同一网段,Default Gateway=,防火墙相当于网桥，原网络结构没有改变,透明接入,受保护网络,Internet,,Default Gateway=,防火墙相当于一个简单的路由器,6,7,提供简单的路由功能,,路由接入, Host A, Host C, Host D, Host B,WWW服务器,DNS服务器,Mail服务器,/24,,,,,,internet,防火墙此时工作在混合模式下,,混合接入,54,53,52,,/24,/24,省电力,*电力集团,内部网一部分通过透明访问电力集团、一部分通过NAT访问电力集团,同一接口下的透明+NAT,证券网络,银行网络,证券、银行互相不能知道对方的网络拓扑，因此要求证券访问银行服务器的时候，必须访问证券内部一个地址，通过防火墙映射为银行的地址；同时进行地址转换,源地址、目标地址同时转换,多个内网、多个外网、多个DMZ,对称式接口设计,内部网,外网或者不信任域,Eth 0,Eth 0,Eth1,Eth1,Eth2,Eth2,心跳线,Active Firewall,Standby Firewall,检测Active Firewall的状态,发现出故障，立即接管其工作,正常情况下由主防火墙工作,主防火墙出故障以后，接管它的工作,双机热备,内部网,外网或者不信任域,Eth 0,Eth 0,Eth1,Eth1,Eth2,Eth2,心跳线,Active Firewall,Standby Firewall,检测Active Firewall的状态,发现出故障，立即接管其工作,正常情况下由主防火墙工作,主防火墙出现链路故障以后，接管它的工作,接口备份,双机热备特点,不同型号的防火墙可以作双机热备、链路备份 切换的时间短（0.6秒） 反复切换对应用不产生影响 采用虚拟IP、虚拟MAC技术，切换后防火墙周边设备ARP列表不变，保证平滑切换,阿姆瑞特防火墙技术特点,全方位安全防护 强大的路由功能 专业的带宽管理 灵活的网络接入 丰富的VPN功能 便捷的图形管理 细微的网络日志,支持NAT访问互联网同时与分（总）公司之间建立VPN隧道； 支持明密结合，灵活网络部署； 支持星型拓扑VPN接入 支持多动态VPN接入 支持客户端VPN穿越 支持PPTP/L2TP的VPN 支持2台防火墙之间建立多条VPN隧道 支持多条VPN链路的备份 支持X.509证书和共享密钥，支持第三方CA认证； 支持AES、DES、3DEC、cast128、blowfish、Twofish等加密算法； 支持MD5、SHA-1认证算法； 采用IPSec国际标准协议，提供传输方式和隧道方式建立VPN隧道； 可以与第三方支持IPSEC协议产品建立VPN隧道,阿姆瑞特VPN特点,VPN接入一 点对点,特点： 1.北京用户与上海用户通过私有地址通讯，同时可以访问Internet 2.出差用户通过VPN客户端与北京总部或者上海分部通讯，同时可以访问Internet 3.北京用户与上海用户进行点对点连接，出差用户与北京、上海点对点连接 4.适用于分公司（VPN隧道）不多的用户,北京,上海,VPN接入二 星型连接,深圳,上海,重庆,哈尔滨,北京中心,特点： 1.北京总部与各个分部通过私有地址通讯，同时可以访问Internet 2.出差用户通过VPN客户端与北京总部，然后通过北京总部访问各分公司 3.出差用户与总部和分部通讯的同时可以访问Internet 4.星型拓扑适用于分公司（VPN隧道）较多的用户,Internet,Internet,PSTN,出差用户,VPN接入三 多动态IP,服务器,工作站,总 部,移动用户,VPN,分部,VPN,服务器,工作站,PSTN,/24,/24,动态获得,1,动态IP,动态IP,特点： 1.VPN接入的双方或者多方IP地址都是动态变化的； 2.北京用户与上海用户通过私有地址通讯，同时可以访问Internet 3.出差用户通过VPN客户端与北京总部或者上海分部通讯，同时可以访问Internet,北京,上海,VPN接入四 客户端NAT穿越,服务器,工作站,总 部,VPN,分部,防火墙,服务器,工作站,/24,/24,北京,上海,VPN客户端软件,00,0,NAT转换,特点： 1.VPN客户端软件作了NAT后与VPN网关建立隧道； 2. 上海用户通过客户端软件通过NAT穿越与北京的私有地址通讯，同时通过防火墙NAT转换可以访问Internet,服务器,工作站,总 部,VPN,分部,防火墙,服务器,工作站,/24,/24,北京,上海,00,0,NAT转换,VPN,VPN接入五 VPN设备NAT穿越,00,/24,特点： 1.VPN设备经过NAT后与VPN网关建立隧道； 2. 上海用户通过VPN设备作NAT穿越后与北京的私有地址通讯，同时通过防火墙NAT转换可以访问Internet,VPN客户端软件,双机多隧道,广域网,VLAN2,VLAN3,VLAN4,VLAN2,VLAN3,VLAN4,VPN链路备份,当一条链路中断时，另一条自动启动转发数据包 当一条链路中断时，另一条自动启动进行VPN连接,站段,路局,广域网,广域网,阿姆瑞特防火墙技术特点,全方位安全防护 强大的路由功能 专业的带宽管理 灵活的网络接入 丰富的VPN功能 便捷的图形管理 细微的网络日志,管理系统,多站点、多用户管理系统 全中文，图形化的管理系统提供了对多台防火墙的集中控制 安全通讯 所有远程管理，包括配置以及软件升级等全部都通过128位加密和认证，安全可靠 集中配置档案 所有的配置历史文档被完整保存，恢复以前任何版本的历史配置或者替换一台正在运作的防火墙只需几分钟时间。配置模板共享。,防火墙统一管理,市,市,县,县,管理中心,省中心,县,县,所有产品管理一样,系统管理员 添加防火墙管理员、审计员；无权利管理防火墙；无权利察看操作日志 防火墙管理员 对防火墙进行管理；无权利添加任何用户；无权利察看操作日志 防火墙审计员 察看防火墙操作日志；无权利管理防火墙；无权利添加任何用户,集中和分权管理,防火墙的内核、规则、QOS、接口、RAM、Buffer、连接等数据进行详细的统计和图形报表。 可以实时掌握防火墙的运行状态，网络的流量情况，及时发现可能发生的非法攻击。,产品管理内置防火墙状态监测器,防火墙CPU上的载荷比。 Ppscounters接收，发送以及总数据包的数目。 Bpscounters接收，发送以及总字节数。 Drops该接口接收到的因不符合规则集决定或包检查规则而被丢弃的包数目。 IPErrors该接口接收到包数目，这些包受到严重损坏，以至不能通过路由器到达防火墙，因此，不可能造成攻击。 SendFa