《A系列：統(tǒng)一威脅管理(防火墻)》課件

《A系列：統(tǒng)一威脅管理（防火墻）》你的下一代

你定義！Gartner于2009年提出“下一代防火墻”的概念

公安部第三研究所第二代防火墻標(biāo)準(zhǔn)

于2014年7月24日正式發(fā)布，9月1日已開始實施引言翼虎多功能、動力好、舒適、通過性好配置豐富、動力牛、通過性牛配置豐富動力渣牧馬人S6大切蒙迪歐此生只為越野多功能、動力強、舒適需求決定選擇神選擇產(chǎn)品介紹市場防火墻發(fā)展趨勢功能產(chǎn)品功能介紹優(yōu)勢產(chǎn)品競爭優(yōu)勢部署簡單部署方式防火墻角色的演化由3-4層控制向應(yīng)用層控制發(fā)展由單純防外部攻擊向防外&控內(nèi)過度由單純提供控制功能向提供系列服務(wù)發(fā)展由簡單網(wǎng)絡(luò)向復(fù)雜&高流量網(wǎng)絡(luò)延伸實際場景6帶寬在不斷的增加，但是還是感覺捉襟見肘網(wǎng)速怎么這么慢呀！半天打不開一個網(wǎng)頁高效需求－流量帶寬合理分配

無節(jié)制、無秩序的P2P資源下載消耗著有限的帶寬資源真正需要及時信息的業(yè)務(wù)得不到有效的保障服務(wù)需求－應(yīng)用種類繁多

網(wǎng)絡(luò)應(yīng)用越來越多，用戶通過防火墻了解和管理網(wǎng)絡(luò)中的應(yīng)用需求越來越大用戶受技術(shù)背景限制，迫切希望防火墻設(shè)備內(nèi)置各種應(yīng)用安全需求－屏蔽高風(fēng)險網(wǎng)站互聯(lián)網(wǎng)上網(wǎng)站眾多，在一些看似合法的網(wǎng)站背后可能隱藏著病毒、木馬、蠕蟲等危險因素…如何屏蔽高風(fēng)險網(wǎng)站，降低安全風(fēng)險？安全需求－規(guī)避法律、道德的風(fēng)險各類色情、暴力、反動等非法、負(fù)面網(wǎng)站的訪問會帶來一系列問題：引發(fā)政治問題觸犯道德底線導(dǎo)致法律糾紛信息安全問題定位緩慢：

技術(shù)人員希望發(fā)現(xiàn)問題后可以快速定位根源，缺少有效的行為查詢使技術(shù)人員定位問題緩慢。內(nèi)容失控：

有悖國情的互聯(lián)網(wǎng)訪問很可能在企業(yè)不知情的情況下產(chǎn)生極端不好的負(fù)面影響。外發(fā)隨意：

多種多樣的外發(fā)信息可能混雜有害的內(nèi)容，目前大部分外發(fā)信息對管理層來說是蒙在鼓里的。產(chǎn)品介紹市場防火墻發(fā)展趨勢功能產(chǎn)品功能介紹優(yōu)勢產(chǎn)品競爭優(yōu)勢部署簡單部署方式

防火墻主要技術(shù)包過濾技術(shù)數(shù)據(jù)包的形式:

防火墻能利用包頭的信息進行過濾，僅允許符合規(guī)則的數(shù)據(jù)包通過防火墻

規(guī)則可細(xì)分為源地址/目的地址、源端口/目的端口、協(xié)議、連接方向等項目

防火墻主要技術(shù)介紹什么叫狀態(tài)檢測？每個網(wǎng)絡(luò)連接包括以下信息：

源地址、目的地址；

源端口和目的端口；

協(xié)議類型；

連接（會話）狀態(tài)（如超時時間，TCP連接的狀態(tài)）等；防火墻把這些信息統(tǒng)稱為狀態(tài)，能夠檢測這些狀態(tài)的防火墻叫做狀態(tài)檢測防火墻。防火墻功能列表1.訪問控制2.多操作系統(tǒng)3.虛擬防火墻

4.漏洞掃描5.綠色上網(wǎng)6.VPN7.高可用性8.系統(tǒng)管理防火墻主要功能1、訪問控制能力

動態(tài)包過濾基于源/目的IP地址、MAC地址、域名、端口和協(xié)議、時間、用戶的訪問控制

動態(tài)協(xié)議支持

FTP/H.323/SIP/FTP/RTSP/SQL*NET/MMS/RTSP…

IP/MAC地址綁定帶寬管理 限制帶寬、保證帶寬、帶寬分層用戶認(rèn)證 本地認(rèn)證、Radius認(rèn)證、WEB認(rèn)證等方式、多因子認(rèn)證等

跳轉(zhuǎn)VSP防火墻主要功能2、多操作系統(tǒng)支持多系統(tǒng)引導(dǎo)，并可配置啟動順序支持系統(tǒng)分區(qū)備份，支持將系統(tǒng)A克隆至系統(tǒng)B支持多個系統(tǒng)配置文件，可導(dǎo)入導(dǎo)出恢復(fù)配置跳轉(zhuǎn)USE防火墻主要功能3、抗攻擊能力非法報文攻擊抗DoS攻擊、抗CC攻擊

SynFlood,UdpFlood,IcmpFlood、CC攻擊等…

蠕蟲過濾抗ARP攻擊

跳轉(zhuǎn)USE防火墻主要功能4、上網(wǎng)行為管理模塊

P2P下載控制

P2P視頻控制

IM即時通訊軟件控制網(wǎng)游控制炒股控制

WEB分類過濾

……跳轉(zhuǎn)USE6.1、IPSecVPN

協(xié)議標(biāo)準(zhǔn)和互通性工作模式：隧道模式、傳輸模式

算法支持：3DES/AES等對稱加密算法，DH/SHA非對稱加密算法

MD5/SHA1等HASH算法國家商密專用的SCB2加密算法

認(rèn)證方式：預(yù)共享密鑰、數(shù)字證書，X-AUTH擴展認(rèn)證

組網(wǎng)方式：網(wǎng)狀、星型、樹型

擴展：NAT穿越，隧道轉(zhuǎn)發(fā)，VPN隧道備份,多出口VPN防火墻主要功能5、VPN功能跳轉(zhuǎn)VSP防火墻主要功能6、高可用性鏈路備份端口冗余雙機熱備集群負(fù)載均衡配置同步、狀態(tài)同步

……跳轉(zhuǎn)MRP產(chǎn)品介紹市場防火墻發(fā)展趨勢功能產(chǎn)品功能介紹優(yōu)勢產(chǎn)品競爭優(yōu)勢部署簡單部署方式特性與優(yōu)勢(1)－細(xì)節(jié)成就專業(yè)多操作系統(tǒng)虛擬防火墻漏洞掃描（安保專家）網(wǎng)站防掛馬安全聯(lián)動負(fù)載均衡和多機集群獨特細(xì)節(jié)功能點細(xì)節(jié)成就專業(yè)防火墻的安保專家支持定時、手動漏洞掃描支持主機掃描和配置掃描支持漏洞掃描庫支持后門、服務(wù)探測、文件共享、系統(tǒng)補丁、IE漏洞等主動式掃描

特征升級模式漏洞掃描新功能介紹—漏洞掃描InternetAV+IPS檢測結(jié)果合并后的URL和攻擊源地址列表主動掃描獲得的庫和來自第3方的掛馬網(wǎng)站URL庫從設(shè)備檢測結(jié)果中整理的病毒URL庫和入侵攻擊源地址庫UTM入侵防御病毒網(wǎng)關(guān)防病毒軟件防火墻特征中心合成特征庫主動掃描特征本地網(wǎng)關(guān)設(shè)備發(fā)起漏洞掃描，并根據(jù)結(jié)果生成防護策略掃描LAN主動云防御技術(shù)√支持IPv6功能IPv6透明、路由、混合模式IPv6/IPv4雙協(xié)議棧IPv6防火墻過濾功能技術(shù)特點：IPv6/IPv4雙協(xié)議棧功能

已通過中國移動測試中國移動通信有限公司IT硬件防火墻設(shè)備集中采購項目采購人：中國移動通信有限公司聯(lián)系人和聯(lián)系電話：聯(lián)系人:粟瑛

并通過所有IPv6的功能測試驗證(詳見附件測試報告IPv6部分)技術(shù)特點：優(yōu)化應(yīng)用層防護功能360度應(yīng)用防護27立體防護抗CC攻擊漏洞掃描主動防御應(yīng)用識別抗ARP攻擊WEB分類庫過濾漏洞掃描，保護內(nèi)網(wǎng)安全應(yīng)用識別，控制應(yīng)用層帶寬抗ARP/CC攻擊，阻斷應(yīng)用攻擊主動防御，防護外網(wǎng)安全WEB分類庫過濾，有效清理網(wǎng)址800種協(xié)議，1700萬URL庫

特征更新頻率2次/周

細(xì)節(jié)功能點－并發(fā)連接數(shù)控制精確到單個IP連接控制動態(tài)學(xué)習(xí)功能會話統(tǒng)計方式連接狀態(tài)分類查詢源/目的連接排行榜細(xì)節(jié)功能點－多出口路由多出口策略路由鏈路探測多ISP出口自動選路，減少跨ISP延時動態(tài)路由（OSPF、RIP等），VLAN間路由，單臂路由，組播路由等核心網(wǎng)絡(luò)防火墻辦公區(qū)策略路由NGFW

Phase2的實現(xiàn)形態(tài)（產(chǎn)品設(shè)計）應(yīng)用服務(wù)支撐能力大策略大策略集大策略管理智能大地址大地址對象大地址管理智能多服務(wù)映射多服務(wù)對象多服務(wù)管理智能高穩(wěn)定性復(fù)合HANGFWPhase2的實現(xiàn)形態(tài)（產(chǎn)品設(shè)計）應(yīng)用威脅防御能力-病毒檢測能力啟發(fā)式掃描引擎協(xié)議解析模塊病毒防御隊列應(yīng)用層數(shù)據(jù)流文件預(yù)處理模塊特殊格式處理模塊啟發(fā)式掃描引擎病毒特征檢測模塊病毒檢測后處理模塊透明代理流檢測協(xié)議頭數(shù)據(jù)解析屬于應(yīng)用層數(shù)據(jù)進行文件還原，基于HTTP/FTP/POPSMTP/IMAP對特殊格式文件還原對無法識別的可疑數(shù)據(jù)進行虛擬機行為分析進入啟發(fā)式掃描以概率為掃描依據(jù)行為分析模塊病毒特征檢測模塊行為分析模塊快速匹配鑒別后的可疑數(shù)據(jù)進行檢測進入啟發(fā)式掃描以概率為掃描依據(jù)國內(nèi)唯一擁有全套防病毒檢測源代碼及專利權(quán)的網(wǎng)關(guān)設(shè)備廠商NGFWPhase2的實現(xiàn)形態(tài)（產(chǎn)品設(shè)計）應(yīng)用威脅防御能力-漏洞防御能力1000種以上的HTTP攻擊特征針對Webshell的攻擊特征針對常見應(yīng)用程序的漏洞特征豐富的探測嘗試封堵特征（掃描、目錄遍歷、賬號探測）大量的木馬封堵特征高效的特征匹配便于大多數(shù)用戶使用XSS、SQL注入攻擊特征NGFWPhase2的實現(xiàn)形態(tài)（產(chǎn)品設(shè)計）應(yīng)用威脅防御能力-抗DDOS能力高級算法檢測全局配置清洗統(tǒng)計NGFWPhase2的實現(xiàn)形態(tài)（產(chǎn)品設(shè)計）虛擬機安全防護訪問控制攻擊防護病毒檢測應(yīng)用控制同主機、跨主機

同網(wǎng)段、不同網(wǎng)段WEB過濾技術(shù)專業(yè)優(yōu)勢總結(jié)讓互聯(lián)網(wǎng)更好地服務(wù)企業(yè)硬件平臺優(yōu)勢多細(xì)節(jié)功能獨特P2P/IM控制明顯客戶服務(wù)周到公司資質(zhì)領(lǐng)先獨有技術(shù)理念產(chǎn)品介紹市場防火墻發(fā)展趨勢功能產(chǎn)品功能介紹優(yōu)勢產(chǎn)品競爭優(yōu)勢部署簡單部署方式防火墻功能介紹路由&NAT接入路由&NAT接入—概述配置路由/NAT模式的防火墻多部署于網(wǎng)絡(luò)邊界，或者是連接多個不同網(wǎng)絡(luò),起到保護內(nèi)網(wǎng)主機安全，屏蔽內(nèi)網(wǎng)網(wǎng)絡(luò)拓?fù)涞茸饔谩Ｂ酚?NAT接入—路由模式

C:/24S:/24Eth1:54/24Eth2:54/24eth1eth2工作在路由/NAT模式下防火墻配置需求：本案例拓?fù)錇橐粋€只有兩個網(wǎng)段的小型局域網(wǎng)。服務(wù)器開放http/ftp服務(wù)。允許工作站訪問服務(wù)器的http