东软防火墙产品详细介绍.ppt

1、,东软NETEYE防火墙,苏州工业园区云睿网络科技有限公司,2004 Neteye. All rights reserved. Confidential Do Not Copy or Distribute,2010-05,东软股份资质,公司概述 质量管理 信息安全领域发展历程,公司概述,原名：东大阿尔派软件股份有限公司公司，创建于1991年，96年成为首家上市的软件公司 在全国建有8个研发中心，在32个城市设有分支机构，形成分布式的研发、销售、服务体系 现有正式员工5000多人，大学以上学历占93%，软件开发人员2500多人 2001年5月更名为东软股份,中国软件产业质量体系的领导者,1998

2、年1月，中国第一家同时通过软件开发与系统集成ISO9001质量体系认证 2000年9月，率先通过CMM Level 2 2000年10月，中国第一家通过ISO9001 2000版认证（挪威船级社） 2001年6月，中国第一家通过 CMM Level 3 2002年12月，中国第一家通过CMM Level 5,强大的系统集成能力,2000年9月，通过信息产业部首批计算机信息系统集成一级资质认证,东软股份网络安全业务发展历史,进开始进入信息安全领域,年发布第一个防火墙产品,发布NetEye FW 2.0,发布NetEy FW 3.0、NetEye IDS NetEye VPN,防火墙3.1、Net

3、Eye灵巧网关、NetEyeVPN移动客户端,1999,1996,2000,2001,2002,2003,发布防火墙3.2、IDS2.1,2005,全NP架构,网络安全研发队伍,100余人的研发队伍 10%前瞻性研究 58%产品开发 25%测试队伍 7%售前售后技术支持 100%本科以上学历，其中博士5%，硕士15% 投资已经超过1000万的测试实验室,东软股份的信息安全发展策略,持续有效的技术研发投入,专业的安全服务提高公司整体解决方案实力,持续提高服务队伍的质量和能力,不断提高的产品品质,东软股份NETEYE安全体系框架,NetEye Platform,PKI Infrastructure

4、,定制安全系统,安全咨询与服务,DataBase,NetEye Platform,设备驱动与网络协议栈,状态包过滤引擎,Ipsec 通道技术,入侵识别与响应,审计 接口,基于流的过滤引擎,身份认证,增强的OS内核,操作系统内核中的安全平台,NetEye 防火墙发展历史,1996年立项研发 1998年实现产品化 1999年3月份NetEye1.0获得公安部销售许可证 2000年3月份发布2.0版本 2001年5月发布3.0版本 2002年3月发布3.1版本 2003年2月发布3.2版本,先后通过了国家公安部、国家信息安全产品测评中心、国家保密局、中国人民解放军信息安全产品检测中心等单位的检测和认

5、证 先后获得辽宁省和国家级优秀新产品证书,NetEye防火墙符合的国家标准,通过公安部第三研究所检测，NetEye防火墙符合三个最新的国家标准： GB/T 18019-1999：包过滤防火墙安全技术要求 GB/T 18020-1999：应用级防火墙安全技术要求 GB/T18366-2001的标准：信息技术、安全技术，信息技术安全性评估准则,NetEye 防火墙资格证书,防火墙的体系结构,主流防火墙技术： 状态检测包过滤技术 应用代理技术 目前市场上主流产品的形态： 集成了状态检测包过滤和应用代理的混合型产品,混合型产品的样子,状态检测包过滤,应用级代理,缺点： 规则并行 有IP、端口 性能,N

6、etEye防火墙内核处理模式,状态检测包过滤,应用级信息流过滤,NetEye防火墙的内核结构,基于信息流的安全策略,状态检测模块,状态检测模块,NetEye TCP协议栈,NetEye TCP协议栈,IP 数据包,数据流,NetEye防火墙的独有的流过滤技术,流过滤引擎,状态检测包过滤,HTTP,SMTP,FTP,DNS,网络协议栈,网络协议栈,接口设备,接口设备,核心技术流过滤,以包过滤的外部形态实现对应用层信息流的过滤 提供覆盖应用层和网络层的完整的访问控制 流过滤的突出特点： 融合了状态检测包过滤和应用代理安全保护能力 具有包过滤防火墙的透明性：容易部署、对应用透明 可以实现应用防护特性

7、的迅速升级以抵御新出现的攻击手段 专为防火墙实现的TCP协议栈： 抛弃了Socket接口，轻量、高效、极低的内存占用，支持大规模并发访问 极强的抗攻击能力 抵御各种TCP层的扫描,NetEye防火墙应用级过滤,流过滤平台,H.323应用,ORACLE访问,BEA TUXEDO,用户定制应用,WWW访问控制-对内网用户的访问限制,DMZ E-Mail File Transfer HTTP,Intranet,生产部,工程部,市场部,路由,Internet,中继,访问非法的国外站点 反动 色情 聊天危害企 业正常网络通讯。,在防火墙中可以对企业内部 用户访问WWW页面内容进 行访问规则限制，支持关键

8、 字，实现阻断保护企业内部 网络。,WWW访问控制-对DMZ服务器的检查保护措施,DMZ E-Mail File Transfer HTTP,Intranet,生产部,工程部,市场部,路由,Internet,中继,在防火墙中可以对企业内部 DMZ区域的WWW服务器进 行高级别的安全防护。,SMTP邮件控制,DMZ E-Mail File Transfer HTTP,Intranet,生产部,工程部,市场部,路由,Internet,中继,垃圾邮件制造者,在防火墙中可以限制本地邮 件服务器允许接受的邮件域 ，对不属于规则范围的地址 直接阻断！,正常用户邮件不受限制,FTP访问控制实现更细的访问粒度

9、,DMZ E-Mail File Transfer HTTP,Intranet,生产部,工程部,市场部,路由,Internet,中继,管理员可以正常从内部网络访问服务器,在防火墙中进行设置不允许 管理员帐号从外部网络登陆 访问服务器。,双向NAT,,Fxp0的端口：8080,Internet,端口：80,端口：21,/24,客户机,http:/fxp0的IP地址:8080,Fxp0的端口：2121,External,NAT应用下支持双向DNS转换解析,对外查询的IP地址,客户机,返回服务器对外NAT地址为2,公网环境,内部服务器地

10、址： 域名：,外部DNS服务器,防火墙自动把外网地址转换为内部网络地址,支持视频H.323协议动态开放通讯端口,防火墙正常工作状态只开放端口1718或1719(发向网守的RAS消息所用端口)、1720(呼叫信令消息所用端口)。,媒体流需要通过RTP协议来传输，而传输所需要的源端口和目的端口是动态确定的，这些端口可能是大于1024的任意端口，因此要使H.323数据流通过防火墙，需要在防火墙规则中打开所有大于1024的端口，这显然是非常不安全的。,东软NETEYE防火墙全程跟踪H.323协议过程，可以动态开放特定端口保证安全与应用相统一。,模块化升级,Unicode

11、缺陷 2001年5月份发布警告及基于HTTP过滤模块的保护规则 SQL Slammer 发现攻击样本后当天发布安全警告 1天后提供IDS升级包 2天后提供防火墙保护策略 “冲击波”病毒利用的RPC-DCOM溢出缺陷 8月5日发布安全警告及基本处理方案 8月7日发布IDS升级包 8月8日提供防火墙保护模块，是目前唯一一个提供针对性保护能力的防火墙产品,带宽优先级别管理,Web服务器,视频应用服务器,浏览,下载,一级,二级,三级,视频,Ftp服务器,带宽管理规则库,内网,外网,外网,内网,防火墙双机热备份保证网络高可用性,客户机,客户机,客户机,服务器,服务器,服务器,请求,请求,请求,请求,In

12、ternet,管理员,黑客,如何实现 安全管理呢,采用一次性口令认证来实现安全管理,用户名，口令,用户名，口令,安全远程管理,OTPC一次性口令认证 SNMP V3最新版本支持,Internet,DMZ Email Ftp HTTP,财务部,市场部,研发部,Router,来自内部的攻击,来自外部的攻击,告警!,内置入侵检测系统,采用NAP协议入侵检测产品完美集成工作,DMZ E-Mail File Transfer HTTP,Intranet,企业网络,生产部,工程部,市场部,人事部,路由,Internet,中继,网络嗅探器,对网络中的数据流进行分析，解码。查找网络问题,实时网络监控功能,实时

13、监控网络当前连接，显示网络用户信息，可随时断开可疑连接，最大限度的保证网络安全。,实时网络流量监控,实时监控网络当前状况，便于用户发现网络异常，定位网络故障,VPN 设备容易被攻击 例如： denial of service （DOS） 需要在防火墙上开通VPN流量的通道 VPN流量的安全性得不到保证,VPN,Internet,Firewall,不同种类的 VPN/Firewall 结构,VPN 设备容易被攻击 例如： denial of service （DOS） 需要在防火墙上开通VPN流量的通道 VPN流量的安全性得不到保证,VPN,Internet,Firewall,不同种类的 VPN

14、/Firewall 结构,Firewall+VPN,Firewall+VPN,NetEye VPN 同时集成了防火墙和VPN的功能 具有NetEye防火墙先进的体系结构和可靠的安全性 可防御各种攻击，保护了VPN自身的安全性 具有与防火墙一致的身份验证机制 具有VPN产品数据传输的完整性和机密性,NetEye VPN的系统结构,管理功能特性,管理功能 全GUI图形界面 按角色分权管理模式 管理员、安全员、审计员 集中的远程管理能力 快速配置备份和恢复能力 支持SNMP管理(V1,V2,V3) 监控功能 实时在线监控和分析工具 查看、分析连接表 设置连接延迟、中断连接 网络数据采集和分析工具,其

15、它功能特性,容灾冗余设计 双机热备切换时间少于1秒钟 提供策略同步工具 QoS管理 流量帐户管理、实时精确的流量控制 基于IP和用户组的流量编组 周期性和预存式流量管理 基于优先级的带宽控制 骨干封装能力 对VLAN Trunk的支持 视频多播、NetMeeting等 防止DoS攻击,双向DNS解析 与NetEye IDS联动 与防病毒产品联动 硬件特性 多处理器平台 冗余电源 可扩展网口 千兆产品 军队内部专用版本 盾JUN1专用防火墙,权威组织的高度评价,NetEye 防火墙的显著优势,网络层和应用层完整的访问控制 路由和桥接模式下，都可以实现应用层信息流过滤 专用的TCP协议栈，提升防火

16、墙的性能,先进的流过滤体系结构,应用层协议可以做到命令级详细的访问控制 随着应用层协议和应用层攻击的不断出现，可以进行迅速的升级，以时刻满足客户的需求,应用层的访问控制,实时监控当前网络的连接状态 设置连接延迟、中断连接 网络数据的采集和分析,实时在线监控系统,NetEye 防火墙的显著优势,2001年东软的NetEye FireWall在所有的国内产品中市场占有率第一，评测的内容包括：产品技术、服务能力、品牌知名度、资金能力、产品竞争能力。,IDC评测,2002年第一季度评测，东软的NetEye FireWall凭借先进的网络技术和良好的品牌知名度，在国内的防火墙产品中销售业绩第一。,CCI

17、D塞迪评测,部分案例,北京工业大学 北京理工大学 天津烟草广域网和网络安全项目 成都卷烟厂 南京烟草专卖局 中国烟草湖北进出口 湖北省三峡烟草有限公司 安徽阜阳市烟草专卖局 。,强大的定制安全产品开发能力,国家电力总公司调度中心信息安全审计平台 安徽建设银行SYBASE数据库信息操作审计中心 全国海关信息审计平台,本地化服务优势,100多人的安全服务队伍 响应的及时性,组织机构区域分布图,总部： 客户服务中心 33个销售子公司和办事处 分布式研发中心（十二个） 北京、长春、丹东、大连 武汉、西安、长沙、深圳 南京、昆明、南海、杭州,构筑全方位的安全体系东软安全服务,东软应急响应服务,东软在危机

18、事件中的快速响应,没有人能够保证安全系统永远是强健的,国家计算机网络应急技术处理协调中心指定东软为全国响应协作单位 东软为未来的危机事件做好了充分准备 北京攻击研究小组 提供新出现的安全危机的准确信息 提供用户预警，并指导用户如何防范 沈阳软件开发基地 提供针对新攻击的安全产品插件（FW、IDS） 基于“流过滤”的应用层保护架构 可以迅速提供应用保护的升级能力 从发现安全危机开始，只需35天即可提供针对性的保护模块,历史上的著名事件,Unicode缺陷 2001年5月份发布警告及基于HTTP过滤模块的保护规则 SQL Slammer 发现攻击样本后当天发布安全警告 1天后提供IDS升级包 2天

19、后提供防火墙保护策略 震荡波病毒 发现攻击样本后当天发布安全警告 1天后发布IDS升级包 2天后提供防火墙保护模块，是目前唯一一个提供针对性保护能力的防火墙产品 RPC-DCOM溢出缺陷导致冲击波病毒 8月5日发布安全警告及基本处理方案 8月7日发布IDS升级包 8月8日提供防火墙保护模块，是目前唯一一个提供针对性保护能力的防火墙产品,应急响应案例,2000年3月，某省电信web服务器入侵事件处理 缓冲区溢出攻击，东软协助将系统恢复并加固 2002年4月，XX省移动、XX省移动短消息网关入侵事件 被国外黑客入侵，东软协助客户恢复系统、手动优化并加固 2003年2月，某省电力公司信息中心SQL蠕虫安全事件处理 清除蠕虫、SQL Server服务器配置优化及加固 2003年10月，某省联通短信邮箱服务器出现另类DDOS攻击 经NCSIRT处理后确认攻击网段，及时在上层进行屏蔽修改设备参数 2004年5月，某省电力公司关键业务服务器冲击波等恶意代码爆发 清除蠕虫、木马并对服务器配置优化及加固,东软安全培训服务,安全培训,在大连、沈阳、四川、广东建立了四个分布式的培训基地 提供CISCO、微软、ORACLE等国内顶级IT认证培训 国际专业安全培训机构CIW在中国的唯一战略合作伙伴，东软具备多名有多年网络安全实施经验的CIW讲师,国际认可的安全培训,CIW认证是目前