联想网御强五UTM系列防火墙58

联想网御强五UTM系列防火墙产品白皮书V4.0联想网御科技〔北京〕

版权信息©版权所有2001－2006，联想网御科技(北京)本文档中出现的任何文字表达、文档格式、插图、照片、方法、过程等内容，除另有特别注明，版权均属联想网御科技(北京)所有，受国家有关产权及版权法保护。如何个人、机构未经联想网御科技(北京)的书面授权许可，不得以任何方式复制或引用本文档的任何片段。商标信息联想网御，Legend，Lenovo，leadsec等标识及其组合是联想网御科技(北京)拥有的商标，受商标法和有关国际公约的保护。第三方信息本文档中所涉及到的产品名称和商标，属于各自公司或组织所有。联想网御科技〔北京〕LenovoSecurityTechnologiesInc.北京市海淀区中关村南大街6号中电信息大厦8层1000868/FZhongdianInformationTowerNo.6ZhongguancunSouthStreet,HaidianDistrict,Beijing(TEL)FAX)术热线(CustomerHotline)子信箱(E-mail)：infosec@lenovo公司网站：leadsec

目录TOC\o"1-3"\h\z1、序言 42、联想网御解决方案－UTM防火墙 63、联想网御强五UTM系列防火墙产品型号 84、联想网御强五UTM系列防火墙产品介绍 94.1简介 94.2系统架构 94.3工作模式 105、联想网御强五UTM系列防火墙产品特点 115.1技术领先，ASIC加速深度过滤 115.2功能全面，六个大功能按需应用 125.3专业效劳，完善的联想效劳体系 136、联想网御强五UTM系列防火墙主要功能 146.1防火墙 146.2虚拟专用网 146.3动态入侵检测/保护 156.4防病毒 156.6反垃圾邮件 156.7内容过滤 156.7高可靠性〔HA〕 166.8管理功能 167、联想网御强五UTM系列防火墙典型应用 167.1典型应用一：在电信行业中的应用 167.2典型应用二：在金融行业中的应用 197.3典型应用三：在高校网络中的应用 211、序言近几年来，随着信息化建设的飞速开展，信息平安的内容也越来越广泛，用户对平安设备和平安产品的要求也越来越高。尽管防火墙、IDS等传统平安产品在不断的开展和自我完善，但是道高一尺魔高一丈，黑客们不仅专门针对平安设备开发各种工具来伪装攻击、逃避检测，在攻击和入侵的形式上也与应用相结合越来越紧密。这些都使传统的平安设备在保护网络平安上越来越难。混合攻击带来的新挑战随着红色代码、Nimda等有里程碑式的病毒出现，改写了病毒形态和病毒的历史，病毒已经不再只具有破坏力。新的病毒已经成为黑客的攻击和入侵手段，借助病毒的传播方式，黑客们可以轻易地窃取网络中的敏感数据和信息。黑客程序、木马、病毒已经有机地结合起来，使之成为黑客攻击的新工具。同时，木马、病毒等恶意程序也经常通过邮件、恶意的Web网页〔或者被篡改的Web网页〕、文件下载等传播途径使得病毒的危害范围和扩散速度加大。这些都给传统的平安设备带来新的挑战。一些老式的防火墙不具备内容检测的能力，不具备检测新型的混合攻击的能力。较新的深度检测防火墙往往在分片的数据包前一筹莫展,所以传统的防火墙不具备完备的内容检测能力，无法做到内容平安过滤。IDS设备虽然可以检测网络中的攻击，但是它不能对攻击行为进行有效的防御和阻断，IDS的大量误报也使得管理员难以从大量的日志中找出有价值的信息。桌面防病毒软件防护对象是终端，往往需要使用者的对操作系统和其软件都有较高的操作水平，并且防病毒软件往往会限制用户一些正常操作，为了突破限制用户会不得不关闭防毒软件，这些都使得防病毒软件实施的效果受到了很大的影响，所以不能保障网络的平安。网络平安问题给管理带来的困扰随着网络应用的普及，不少企业和机关单位都对网络平安非常重视，在网络上先后布置了防火墙、IDS、防病毒系统。随着混合攻击的出现，为了减少平安隐患，用户可能还需要进一步安置网络平安设备。随之带来的问题是用户对网络平安的管理本钱以及运营本钱会越来越高，因为一个设备都需要管理和维护。另外，在网路中添加很多平安设备也会使得网络延迟增大、用效率降低。由于各个设备输出的报表和日志格式不同，对平安事件的分析过程也会变得更加复杂，用户也难以沉着地发现和解决网络中的问题。P2P技术〔例如BT下载，Edonkey下载等〕应用和IM〔例如QQ，MSN，Skype〕应用的群众化，使得用户对网络的投资回报率大大降低，也增加了网络平安隐患。IM工具是一种及时通讯和短消息的平台，但其共享文件的功能会提高病毒和木马的传播效率，用户的计算机可能在毫不知情的情况下被病毒感染或者被木马病毒程序侵占，传统的平安设备很难做到拦截这些有害程序。P2P下载工具那么是一种点对点的下载工具，它会大量侵占网络带宽资源，使用户对网络的投资难以得到相应的回报。目前无论是交换机、路由器等网络设备还是传统的防火墙、IPS等平安设备都难以做到对P2P应用的有效管理。垃圾邮件和灰色软件横行造成巨大损失对于企业和各类单位而言，电子邮件已经成为办公当中必不可少的工具之一。然而随着电子邮件的普及，垃圾邮件问题也网络平安中最棘手的问题之一。垃圾邮件会带来大量的垃圾信息，每个用户都需要花去相当的时间处理垃圾邮件，根据国内最近的垃圾邮件监控报告，在我国产生的垃圾邮件每周大约有6亿之多。同时，垃圾邮件也不仅仅是带来垃圾信息，垃圾邮件也会作为各种病毒、木马以及灰色软件的载体，增大用户网络平安的隐患。灰色软件是最近常出现在IT和平安专家的视野里的新词汇。很多终端用户只是粗略地知道灰色软件和它的危害，而他们的PC或笔记本电脑系统感染却经常感染灰色软件。大多数用户都感受过灰色软件发作的危害，然而，很多灰色软件是需要下载和运行，就能悄然地完成工作，比方跟踪计算机使用，窃取隐私等。在大量的邮件病毒成为每月新闻头条的时候，用户开始意识到翻开不确定邮件会带来什么危险，也许这个邮件是来自一个认识的人。至于灰色软件，用户根本就不需要翻开附件或执行被感染的程序，仅仅访问使用该技术的网站，就会变成灰色软件的牺牲品。很多灰色软件只产生垃圾信息——这被会当作令人厌烦的攻击，比方说弹出式窗口。在“无害〞的灰色软件和盗取信用卡帐号、密码和身份证号这些有价值信息的攻击之间，是有明确的区分标准的。2、联想网御解决方案－UTM防火墙针对以上的各种不平安以及难以管理的因素，网御PowerVUTM防火墙——作为信息平安的新一代门户，就应运而生了。联想网御PowerVUTM防火墙是一种多功能网关，在防火墙和VPN的根底上集成了防病毒、入侵防御系统、防垃圾邮件、网页过滤等功能。自2001年联想网御开始研发带防病毒模块的防火墙以来，经过不断地努力，在2006年第三季度我们即将实现联想UTM防火墙产品上市的梦想。在众多国内乃至全球平安厂商中，联想网御是研发UTM防火墙产品的领跑者，在2002年就取得多项该领域的技术专利。联想网御通过对防火墙、VPN、防病毒、入侵防御、防垃圾邮件、网页过滤技术的整合和改进，使UTM防火墙产品可以很好地防御目前流行的混合型数据攻击的威胁。这些特性和技术使得IT管理人员可以很容易地控制如InstantMessage信息和P2P应用的传输，并且阻断来自内部的数据攻击以及垃圾数据流的泛滥。同时，设备可以支持动态的行为特征库更新，更具备7层的数据包检测能力。完全克服了目前市场上深度包检测的技术弱点。特别针对分包攻击的内容效果明显。为了突破硬件平台限制，联想网御采用专用的ASIC芯片来完成对网络数据包的内容检测，打破了传统防火墙和VPN的内容处理障碍，提供了实时病毒扫描、内容过滤、防火墙、入侵检测以及流量管理功能所需的强大计算处理功能。3、联想网御强五UTM防火墙系列产品型号产品型号MTBF〔小时〕描述网御PowerV-5200UTM防火墙>120,000电信级UTM防火墙网御PowerV-3000UTM防火墙>100,000千兆高端网御PowerV-2000UTM防火墙>100,000千兆中端网御PowerV-1000UTM防火墙>80,000千兆低端网御PowerV-400UTM防火墙>70,000百兆高端网御PowerV-200UTM防火墙>70,000百兆中端网御PowerV-100UTM防火墙>60,000百兆低端网御PowerV-50UTM防火墙>60,000桌面防火墙

4、联想网御强五UTM防火墙系列产品介绍4.1简介作为国内领先的专业的防火墙/VPN厂商，联想网御在效劳用户的过程中，很早就认识到传统平安设备的局限性。早在2001年，我们在国内率先推出集防火墙、防病毒、IDS功能于一身的产品，并申请了创造专利〔专利号:011091789〕。近年来一直在技术上努力创新，针对多平安功能整合、并行处理等方面进行软件体系结构的改进和优化，并寻找适宜的高性能硬件平台。同时，由于UTM防火墙涉及技术非常全面，既有网络层、传输层平安也有应用层平安技术，既有软件技术也有硬件技术，不可能由一家公司独立完成，必须广泛合作，尤其是和业界领先厂商合作。2005年，联想网御专门赴美国硅谷技术考察，并且成功地和多家顶级平安软硬件厂商展开深入合作。终于在2006年Q2成功推出了成熟的UTM防火墙产品。目前，联想网御已经拥有提供业界最优秀UTM防火墙产品的能力，产品线覆盖百兆、千兆以及万兆级UTM防火墙。联想网御UTM防火墙产品采用了独特的高性能、高平安性、高可靠性的操作系统，提高了自身平安性的同时，加速了多线程的内容处理，为运行在其上层的防火墙、VPN、防病毒等平安引擎提供了强大而平安的性能支持。联想网御UTM防火墙使用了专门的ASIC内容处理加速芯片，大大提高了系统的内容处理能力，为特征匹配，加解密，启发式扫描提供了硬件加速。联想网御UTM防火墙在各个平安引擎中运用了新的算法和技术，针对病毒检测，内容分析等海量扫描活动使用了高效的启发式扫描；针对传统包过滤无法检测的威胁，采用了完全内容检测技术；针对未知的攻击行为，使用了实时动态保护技术。4.2系统架构联想网御PowerVUTM防火墙主要由硬件平台、专用操作系统、UTM管理效劳系统、UTM平安引擎等四个局部组成。硬件平台根据用户使用环境的不同，选取专用平安平台或基于高性能效劳器架构进行设计，并且使用专门ASIC内容处理芯片进行扫描和模式匹配的加速；专用操作系统为自主研发的高效强化平安的实时嵌入式操作系统；UTM平安引擎采用模块化设计，针对不同的应用环境和不同的平安策略，可以配置不同的功能模块。反垃圾邮件反垃圾邮件内容过滤入侵检测VPN防火墙防病毒监控日志报警HACLI高效强化平安的操作系统ASIC内容处理芯片CPU4.3工作模式联想网御全系列产品均采用联想网御新一代多平安域设计，PowerVUTM防火墙系列产品多口的硬件设计可以使多平安域需求得到完全的满足，完全突破了传统的内网、外网、停火区的理念，可以根据企业内部不同的部门设置不同的互通平安规那么，使得不仅在内网与外网的平安得到保障，同时保障了企业内部不同部门之间的平安需求。联想网御PowerVUTM防火墙支持全透明交换工作模式，与网御PowerVUTM防火墙可连接各个网络之间构成一个统一的交换式物理子网，子网内部还可以有自己的第二级路由器。除平安管理以外，防火墙本身的工作不需要IP地址，为隐式全透明防火墙。这样一方面大大降低了防火墙自身受到攻击的可能性，另一方面也使系统安装变得十分简单，不再需要改变原有的网络拓扑结构和各主机与设备的网络设置，即不需要重新划分网段和调整网络结构。同时强化了对虚拟局域网〔VLAN〕和生成树协议〔STP〕的支持。联想网御PowerVUTM防火墙同时支持路由工作模式，与网御防火墙PowerVUTM防火墙可连接不同的物理网段。防火墙接口可以通过配置别名设备，可以使得一个物理接口上绑定多个IP地址。联想网御PowerVUTM防火墙还支持集群工作模式，可以通过多台防火墙的集群提高整个网络系统的可靠性，降低出现网络中断的风险。5、联想网御强五UTM系列防火墙产品特点5.1技术领先，ASIC加速深度过滤联想网御UTM防火墙在自有防火墙根底上，集成了来自业界最好的软硬件技术，包括芯片加速、内容过滤、防病毒等，尤其是ASIC加速内容操作和查找，很好地解决了UTM防火墙产品的性能问题。在全系列产品中，都包含ASIC加速硬件。5.2功能全面，六个大功能按需应用联想网御UTM防火墙的功能非常全面，包含防火墙、VPN、防病毒、内容过滤、反垃圾邮件、入侵检测等，用户可以根据实际需要开启。具体来说有以下几个特点：所有功能统一配置管理，一条策略即可完成对所有平安检查的配置。支持对多个UTM防火墙设备的统一管理，可集中下发策略、集中日志收集和报告。提供统一的升级效劳器，自动实时更新IPS、反垃圾邮件、反病毒、内容过滤的特征库，无需用户干预。状态包过滤防火墙支持常见的音视频动态应用，包括H.323、SIP等，只开放必要的端口，同时支持NAT穿越；支持虚拟防火墙，可划分多个虚拟防火墙，独立配置使用。防病毒、内容过滤、反垃圾邮件不但能检测过滤，还能给出友好提示，比方当用户从网上下载一个含病毒的文件时，UTM的防病毒模块可以把该文件隔离起来，同时在用户浏览器中显示处理结果。反垃圾邮件、内容过滤也类似，不是简单丢弃数据包。5.3专业效劳，完善的联想效劳体系联想网御早在三年前就已经建立了一个覆盖全国的三级技术效劳体系，可以方便快捷的响应用户从一般应用到疑难杂症在内的所有技术问题。该效劳体系以北京为核心，在全国范围内为用户提供全方位的效劳。三级效劳网络分别为：第一级公司本部客服中心：提供每天24小时热线效劳，工作时间的送修效劳、远程调试、现场效劳和保外有偿个性化效劳。本部信息平安专家效劳队伍负责全国效劳网络的技术支持、管理、监督与协调。产品专家队伍，负责解决各种复杂、疑难问题。第二级覆盖全国的信息平安专业效劳队伍：包括华南区、华中区、华东区、西南区、西北区、华北区和东北区，是本部在外的分支机构，直接承当所在地区联想网御的客户效劳。第三级信息平安专业效劳商：遍布全国各行业的专业效劳商，为您提供延伸到地市一级城市的信息平安效劳。对UTM防火墙产品的技术支持也在该技术效劳体系范围内。同时，为了确保所有联想网御UTM防火墙产品能使用最新的防病毒和攻击特征、内容扫描和检测引擎进行更新，联想网御提供了统一的升级效劳器，自动实时更新IPS、反垃圾邮件、反病毒、内容过滤的特征库，客户可以将他们的联想网御平安设备设置从联想网御公司的升级网络自动更新升级。联想网御升级网络在现有多个平安和冗余的数据中心，一旦新的特征出现并可以更新时，会快速的进行主动的更新，升级网络上发布更新信息后便可进行及时升级。6、联想网御强五UTM系列防火墙主要功能6.1防火墙工作模式：路由，透明，混合包过滤：支持状态检测身份认证：支持内置的认证数据库，支持Radius和LDAP认证效劳器效劳：提供几十种标准效劳，并且支持用户自定义效劳和效劳组虚拟IP映射：通过将公用IP地址映射到内部或DMZ区的效劳器的私有IP地，提供平安的外部访问，使公网用户能够访问内网资源VLAN：支持802.1Q，支持VLANTRUNK，支持透明、路由模式，支持NAT功能IPV6:支持IPV6地址，支持IPV6隧道NAT:支持动态地址转换和静态地址转换，支持双向地址转换，支持端口转换内容过滤：基于启发式检测和异常检测，支持多种协议的重组时间策略控制：根据自定义时间周期，进行平安策略控制组播：支持组播协议非IP协议支持：支持对非IP协议的传输与控制带宽管理：支持设置优先级和DSCP控制，支持最大和最小带宽控制6.2虚拟专用网支持客户端到网关的VPN通讯：IPSEC、PPTP、L2TP加密算法的选择：硬件支持3DES、AES等算法认证算法的选择：支持MD5、sha1等密钥管理：支持IKE，支持手工密钥交换NAT穿越：支持IPSECNAT穿越扩展认证：支持IPSECXAUTH子网穿越：支持IPSECPPTP穿越子网连接到公网VPN网关6.3动态入侵检测/保护支持基于网络的IDS和实时阻断系统攻击特征库：拥有覆盖广泛的攻击特征库，支持用户配置消息阻断：支持MSN、QQ、雅虎通等多种即时消息的阻断攻击阻断：支持多种网络攻击的阻断报警：支持多邮件报警6.4防病毒病毒扫描：应用启发式高速扫描技术，支持网络病毒和蠕虫的实时扫描协议扫描：支持HTTP、FTP、POP3、SMTP、IMAP协议的病毒扫描VPN扫描：支持在VPN加密隧道中扫描病毒6.6反垃圾邮件邮件效劳器过滤：支持基于邮件效劳器黑名单的过滤邮件过滤：支持基于邮件地址的过滤，支持MIME头的检测，支持邮件内容过滤，支持邮件附件的扫描DNS：支持反向DNS查找功能RBL：可指定RBL效劳器进行垃圾邮件拦截6.7内容过滤Web内容过滤：支持URL过滤，支持关键字过滤邮件过滤：支持邮件地址过滤，支持关键字匹配过滤，支持MIME头过滤、支持邮件附件过滤移动代码的过滤：支持对Javaapplet、Active-X、Jscript、Javascript、Cookies的过滤6.7高可靠性〔HA〕支持负载均衡支持主从热备接口：支持接口监控，支持将任意接口设置为HA接口，支持HA接口冗余电源：支持电源冗余6.8管理功能图形管理：支持WebUI图形配置CLI管理：支持命令行接口远程管理：支持SSH、Telnet远程命令行管理，支持HTTPS的远程图形管理配置向导：提供快速配置向导模板语言：提供中