[渠道培训]1防火墙理论(0907).ppt

主持人开场 致欢迎词联想网御董事长兼CEOJianQi齐舰 热烈欢迎各位客户参加联想网御技术培训课程 联想网御北京分部客户培训 防火墙理论 2009年7月 中办27号文件 信息保障的主要工作 我国信息安全保障的主要工作 三个方面 九项工作 第一个方面就是关于建立健全信息安全责任制就是要加强信息安全的领导 建立健全信息安全责任制第二个方面就是基础性工作第一 实行信息安全等级保护 重视信息安全风险评估 第二 是加强以密码技术为基础的信息安全保护和网络信任体系建设 第三 就是建设和完善信息安全监控体系 第四 就是重视信息安全应急处理工作第三个方面是支撑性工作第一是加强信息安全技术研究开发 推进信息安全产业发展 第二是加强信息安全法制建设和标准化建设 第三是加强信息安全人才培养 增强全民信息安全意识 第四是保证信息安全的资金 目录 目录 防火墙的基本概念防火墙的发展历程防火墙功能解析防火墙性能解析 目录 防火墙的基本概念防火墙的发展历程防火墙功能解析防火墙性能解析 网络 内部 外部泄密 拒绝服务攻击 逻辑炸弹 特洛伊木马 黑客攻击 计算机病毒 后门 隐蔽通道 蠕虫 垃圾邮件 防火墙基本概念 网络面临的威胁 防火墙基本概念 防火墙的引入 HTTP FTP SMTPServer FileServerDataBase ProxyServer UserClient 边界点安全威胁 防火墙 防火墙基本概念 防火墙的概念 在信任网络与非信任网络之间 通过预定义的安全策略 对内外网通信强制实施访问控制的安全应用设备 导入防火墙的技术原理 将不信任网络对信任网络的安全威胁强制到单一安全控制点 防火墙的原则 一切未被允许的就是禁止的 防火墙基本概念 防火墙基本概念 防火墙能做什么 保障授权合法用户的通信与访问 禁止未经授权的非法通信与访问 记录经过防火墙的通信活动 防火墙不能做什么 不能主动防范新的安全威胁 不能防范来自网络内部的攻击 不能控制不经防火墙的通信与访问 防火墙基本概念 目录 防火墙基本概念防火墙的发展历程防火墙功能解析防火墙性能解析 Firewall软件技术变革 应用代理 包过滤 状态检测 深度检测 通用OS 嵌入式OS 专用OS 专业OS 基于三层 四层的过滤实现简单 速度快安全性低 初级技术个人终端系统稳定 安全 健壮性差 防火墙的技术变革是简短的 快速的 基于应用层的代理转发可以检查应用层协议处理速度慢 兼容性差内核小 效率高 易扩成熟度 可移植性差 引入状态表规范3层和4层行为处理快 安全性较高网络处理时时性高根据用户需求定制 多级安全检测自动签名检测虚拟化 协同性提高软件平台设计能力 应用层 表示层 会话层 传输层 网络层 链路层 物理层 应用层 表示层 会话层 传输层 网络层 链路层 物理层 网络层 链路层 物理层 优点 速度快 性能高对应用程序透明 缺点 安全性低不能根据状态信息进行控制不能处理网络层以上的信息伸缩性差维护不直观 简单包过滤技术介绍 应用层 TCP层 IP层 网络接口层 IP 101010101 TCP ETH 101010101 应用层 TCP层 IP层 网络接口层 101010101 只检查报头 101001001001010010000011100111101111011 001001001010010000011100111101111011 简单包过滤防火墙的工作原理 简单包过滤防火墙不检查数据区简单包过滤防火墙不建立连接状态表前后报文无关应用层控制很弱 防火墙 包过滤技术 检查项 IP包的源地址 IP包的目的地址 TCP UDP源端口 应用层 表示层 会话层 传输层 网络层 链路层 物理层 应用层 表示层 会话层 传输层 网络层 链路层 物理层 应用代理技术介绍 应用层 表示层 会话层 传输层 网络层 链路层 物理层 优点 安全性高提供应用层的安全 缺点 性能差伸缩性差只支持有限的应用不透明 FTP HTTP SMTP 应用层 TCP层 IP层 网络接口层 IP 101010101 TCP ETH 101010101 应用层 TCP层 IP层 网络接口层 101010101 只检查数据 101001001001010010000011100111101111011 001001001010010000011100111101111011 应用代理防火墙的工作原理 不检查IP TCP报头不建立连接状态表网络层保护比较弱 防火墙 应用网关 客户端 防火墙 代理网关 服务器 想从内部网访问外部的服务器 我帮你发请求吧 应用层 表示层 会话层 传输层 网络层 链路层 物理层 应用层 表示层 会话层 传输层 网络层 链路层 物理层 状态检测技术介绍 应用层 表示层 会话层 传输层 网络层 链路层 物理层 安全性高能够检测所有进入防火墙网关的数据包根据通信和应用程序状态确定是否允许包的通行性能高在数据包进入防火墙时就进行识别和判断伸缩性好可以识别不同的数据包已经支持丰富的应用 包括Internet应用 数据库应用 多媒体应用等用户可方便添加新应用对用户 应用程序透明 抽取各层的状态信息建立动态状态表 应用层 TCP层 IP层 网络接口层 IP 101010101 TCP ETH 101010101 应用层 TCP层 IP层 网络接口层 101010101 只检查报头 101001001001010010000011100111101111011 001001001010010000011100111101111011 状态检测包过滤防火墙的工作原理 不检查数据区建立连接状态表前后报文相关应用层控制很弱 建立连接状态表 IP包 检测包头 下一步处理 安全策略 过滤规则 会话连接状态缓存表 状态检测包过滤防火墙 符合 不符合 丢弃 状态检测包过滤 符合 检查项 IP包的源 目的地址 端口 TCP会话的连接状态 上下文信息 应用层 TCP层 IP层 网络接口层 IP 开始攻击 TCP ETH 开始攻击主服务器硬盘数据 应用层 TCP层 IP层 网络接口层 开始攻击主服务器硬盘数据 检查多个报文组成的会话 101001001001010010000011100111101111011 001001001010010000011100111101111011 深度内容检测防火墙的工作原理 建立连接状态表 开始攻击 重写会话 主服务器 硬盘数据 报文1 报文2 报文3 网络层保护强应用层保护戗会话保护很强上下文相关前后报文有联系 防火墙核心技术比较 单个包报头 单个包报头 单个包数据 一次会话 X86架构嵌入式架构 NP架构 ASIC架构 多核架构 防火墙突破高性能的极限就是对防火墙硬件结构的调整 性能 ASIC架构 NP架构 多核架构 可扩展性 易 X86架构 Firewall硬件演进 嵌入式架构 硬件平台技术分析 x86 基于X86的平台主要提供商Intel AMD X86 特点 软件开发比较灵活便于快速推出产品投资少发热比较大受总线带宽的限制难以满足高速环境 概述 以通用处理器 如 x86 为设备核心通用CPU担负数据查找 连接控制和路由更新处理等全部工作 优势 数据处理全部由软件实现 容易实现通过软件升级完成系统升级 劣势 受处理器处理能力限制 很难实现更高带宽和更高吞吐率 稳定性差 不适合高端设备 防火墙发展历程 基于通用处理器体系结构 防火墙发展历程 硬件平台技术分析 其他嵌入式 基于其他嵌入的平台包括PowerPC ARM MIPS 嵌入式 特点 产品稳定低功耗 低成本软件比较灵活开发环境需要投资受总线带宽的限制 硬件平台技术分析 ASIC 基于ASIC的平台采用厂家Netscreen Fortinet ASIC 特点 性价比比较高产品稳定可以满足高性能要求灵活性不高投资非常大门槛高 防火墙发展历程 概述 采用专用IC集成电路 ASIC 实现硬件转发及流量控制数据包交由ASIC完成处理ASIC代码固化在IC芯片中 优势 基于硬件的数据处理提供了很高的数据包转发速率 劣势 由于ASIC代码固化在芯片中 导致系统升级异常困难ASIC产品开发周期较长 芯片定制一次性投入较大 在其市场未达一定规模时 价格相对较高对于类似QoS路由 高层业务流识别及高层应用协议的动态变化性难于应对 基于ASIC体系结构 防火墙发展历程 硬件平台技术分析 NPU 基于NPU的平台提供厂家Intel IBM AMCC Broadcom NPU 特点 能获得比较高的性能产品稳定有一定的灵活性灵活性不高软件开发难度大 网络处理器 NP 是一种可编程的ASIC NP NetworkProcessor 基于NP的体系结构是在前两种体系结构的基础上 综合了各自的优势而推出的一种新型的体系结构 NP主要被用于 非常适合高速网络安全产品处理线速数据进行协议分析和数据分类 进行深度数据包分析 防火墙发展历程 基于网络处理器的体系结构 防火墙发展历程 硬件平台技术分析 多核架构 多核架构优势新建会话能力强 可达到20万支撑更高更多的网络接口 4XFP 48SFP控制 数据层面分离高负载时仍然可以进行正常的管理操作CPU忙碌时不影响已建立的会话数据转发多核芯片特点2 Unit KingGuard 8 Core Unit 4 vCPU CoreXLR内部数据交换128Gbps集成加解密引擎 支持AES 3DES多种算法支持C语言开发 编程灵活 硬件平台 多核芯片 VSP Applications CPU I O CPU CPU I O CPU In Out Mgr Mgr 2020 3 1 page33 超强性能 海量并发 64个vCPU8 8矩阵式并行处理系统智能的vCPU调度系统Windrunner 每CPU含8处理核每核主频1 2GHZ 每个核具备4个虚拟CPU 每台设备具备64个vCPU同时进行运算 vCPU 线程 吞吐 20G并发 1000万每秒新建 20万NAT 500万IPSecVPN 5G 硬件平台技术分析 多核架构 2020 3 1 CPU矩阵 流量分组并行处理 队列调度 预处理 解密 策略匹配 内容过滤 封装加密 QOS队列操作 路由查询日志记录 流水线处理步骤 64个vCPU8 8矩阵式并行处理技术智能的vCPU调度系统Windrunner 吞吐 20G并发 1000万每秒新建 20万NAT 500万IPSecVPN 5G 硬件平台技术分析 多核架构 2020 3 1 队列调度 预处理 解密 策略匹配 内容过滤 封装加密 QOS队列操作 路由查询日志记录 普通包过滤 流水线1 流水线2 空闲vCPU队列 加解密 内容过滤 队列调度vCPU发现3颗vCPU占用率为零 将其释放 队列调度vCPU发现vCPU占用率很高 申请空闲vCPU进入队列 64个vCPU8 8矩阵式并行处理技术智能的vCPU调度系统Windrunner 吞吐 20G并发 1000万每秒新建 20万NAT 500万IPSecVPN 5G 硬件平台技术分析 多核架构 各种结构的比较 性能 功能 通用处理器架构 网络处理器架构 ASIC架构 多核架构 防火墙硬件的发展 其他嵌入式架构 目录 防火墙基本概念防火墙的发展历程防火墙功能解析防火墙性能解析 防火墙的作用 Intranet 通过部署防火墙 可以实现比VLAN 路由器更为强大 有效的访问控制功能 大大提高抗攻击的能力 禁止访问 禁止访问 防火墙功能解析 防火墙功能解析 防火墙功能解析 安全区划分 防火墙 WebServer FTP SMTPServer 防火墙功能解析 安全区1 内网 安全区2 外网 安全区3 DMZ SSN 透明接入 网络A 网络B 192 168 0 X 24 192 168 0 X 24 透明模式下 这里不用配置IP地址 透明模式下 这里不用配置IP地址 透明模式下 网络A和网络B不用做任何调整 防火墙功能解析 防火墙功能解析 路由 NAT接入 网络A 192 168 0 X 24 192 168 0 1 24 202 16 1 x 26 202 16 1 y 26 路由模式下 防火墙的内外网接口必须配置不同的IP地址 INTERNET 防火墙功能解析 防火墙功能解析 混合接入 防火墙 DMZ区212 18 10 0 内网1192 168 1 0 内网2192 168 1 0 INTERNET 防火墙功能解析 防火墙功能解析 HostC HostD 基本的访问控制技术 Accesslist192 168 1 3to202 2 33 2Accessnat192 168 3 0toanypassAccess202 1 2 3to192 168 1 3blockAccessdefaultpass 1010010101 规则匹配成功 基于源IP地址基于目的IP地址基于源端口基于目的端口基于时间基于用户基于流量基于文件基于网址基于MAC地址 Internet 公开服务器可以使用私有地址隐藏内部网络的结构 199 168 1 6 202 102 1 3 202 102 1 3 MAP199 168 1 2 80TO202 102 1 3 80 MAP199 168 1 3 21TO202 102 1 3 21 MAP199 168 1 4 53TO202 102 1 3 53 MAP199 168 1 5 25TO202 102 1 3 25 http 199 168 1 2 http 202 102 1 3 MAP 端口映射 源地址 192 168 1 21目地址 202 102 93 54 源地址 101 211 23 1目地址 202 102 93 54 101 211 23 2 隐藏了内部网络的结构内部网络可以使用私有IP地址公开地址不足的网络可以使用这种方式提供IP复用功能 NAT 地址转换 net HostB 199 168 1 3 HostC 199 168 1 4 HostD 199 168 1 5 00 50 04 BB 71 A6 00 50 04 BB 71 BC BIND199 168 1 2To00 50 04 BB 71 A6 BIND199 168 1 4To00 50 04 BB 71 BC IP与MAC地址绑定后 不允许HostB假冒HostA的IP地址上网 防火墙允许HostA上网 跨路由器 IP与MAC 用户 的绑定 策略路由功能 中国教育网 Internet 202 10 1 2 64 10 6 5 200 34 22 2 200 34 22 1 192 168 1 1 HostA 192 168 1 2 HostB 192 168 1 3 HostC 192 168 1 4 200 34 22 3 内网 根据源 目地址来进行路由 主机B直接连接Internet 主机A通过教育网上Internet 分级带宽管理 Internet WWW Mail DNS 财务部子网 采购部子网 出口带宽512K DMZ区保留256K 分配70K带宽 分配90K带宽 分配96K带宽 DMZ区域 内部网络 总带宽512K 内网256K DMZ256K 70K 90K 96K 财务子网 采购子网 生产子网 生产部子网 应用代理是防火墙中一个重要的功能 启用代理可以针对特定应用进行更细粒度的控制 包括内容过滤等 客户端 服务器 2 防火墙对客户端的访问进行控制 1 客户端访问服务器需先访问防火墙 3 防火墙代替客户端向服务器发送请求 FTP HTTP SMTP 代理服务 认证技术认证是所有防火墙的基础 认证技术 操作系统口令 Username Password S Key RADIUS 第三方的插件 认证模式 用户认证客户认证会话认证 认证服务 HostC HostD HostB HostA 受保护网络 Internet IDS 黑客 发起攻击 发送通知报文 验证报文并采取措施 发送响应报文 识别出攻击行为 阻断连接或者报警等 与IDS安全联动 Trunk口 Trunk口 VLAN1 VLAN2 支持VLAN的交换机 Trunk口 Trunk口 VLAN1 VLAN2 Switch1 Switch2 同一交换机的不同VLAN之间通讯 不同交换机的同一VLAN之间通讯 不支持TRUNK的防火墙无法在这种环境下工作 不支持TRUNK的防火墙无法在这种环境下工作 防火墙对TRUNK协议的支持 Syn PROXY 主机 Syn PROXY 网关 在服务器和外部网络之间部署代理服务器通过代理服务器发送Syn Ack报文 在收到客户端的Syn包后 防火墙代替服务器向客户端发送Syn Ack包 如果客户端在一段时间内没有应答或中间的网络设备发回了ICMP错误消息 防火墙则丢弃此状态信息如果客户端的Ack到达 防火墙代替客户端向服务器发送Syn包 并完成后续的握手最终建立客户端到服务器的连接 通过这种Syn PROXY技术 保证每个Syn包源的真实有效性 确保服务器不被虚假请求浪费资源 从而彻底防范对服务器的Syn Flood攻击 SYN SYN ACK ACK SYN SYN ACK ACK SYN SYN ACK ACK Client Server 抗DOS DDOS攻击 RandomDrop算法 抗DOS DDOS攻击 RandomDrop算法 RandomDrop算法当流量达到一定的数量限度时 所采取的一种通过降低性能 保证服务的不得已的方法 具体过程是 当流量达到一定的阀值的时候 开始按照一定的算法丢弃后续的报文 保持主机的处理能力 这样对于用户而言 许多合法的请求可能被主机随机丢弃 但是有部分请求还是可以得到服务器响应 保证服务不间断运行的 SYN SYN ACK ACK Client Server 连接表 丢弃连接 丢弃连接 抗DOS DDOS攻击 带宽限制和QoS保证 带宽限制和QoS保证通过对报文种类 来源等各种特性设置阀值参数 保证主要服务稳定可靠的资源供给 保证在高强度攻击环境下一定的连接保持率和新连接发起成功率 内部网络 Internet INTERNET Web服务器3 Web服务器1 Web服务器2 服务器负载均衡 高可用性 HighAvailability 技术是为解决防火墙单点故障点 提供无缝的故障恢复 保障企业网络的关键应用 如 双机热备 集群 Cluster 技术等 内部网络 HABeat Router Switch Switch 高可用性技术 防火墙双机热备 内部网 外网或者不信任域 Eth0 Eth0 Eth1 Eth1 Eth2 Eth2 状态同步心跳线 ActiveFirewall StandbyFirewall 检测ActiveFirewall的状态 发现出故障 立即接管其工作 正常情况下由主防火墙工作 主防火墙出故障以后 接管它的工作 HuborSwitch HuborSwitch 通过STP协议可以交换两台防火墙的状态信息 当一台防火墙故障时 这台防火墙的连接不需要重新建立就可以透明的迁移到另一台防火墙上 用户不会察觉到 目录 防火墙基本概念防火墙的发展历程防火墙功能解析防火墙性能解析 并发连接数 定义 指穿越防火墙的主机之间或主机与防火墙之间能同时建立的最大连接数衡量标准 并发连接数的测试主要用来测试被测防火墙建立和维持TCP连接的性能 同时也能通过并发连接数的大小体现被测防火墙对来自于客户端的TCP连接请求的响应能力 理解细化 是防火墙能够同时处理的点对点会话连接的最大数目 它反映防火墙对多个连接的访问控制能力和连接状态跟踪能力 这个参数的大小可以直接影响到防火墙所能支持的最大信息点数 CLIENT SERVER 并发连接数可以用来衡量穿越防火墙的主机之间能同时建立的最大连接数 吞吐量 定义 在不丢包的情况下能够达到的最大速率衡量标准 吞吐量作为衡量防火墙性能的重要指标之一 吞吐量小就会造成网络新的瓶颈 以至影响到整个网络的性能 Smartbits6000B测试仪 101100101000011111001010010001001000 以最大速率发包 直到出现丢包时的最大值 防火墙吞吐量小就会成为网络的瓶颈 100M 60M 数据包首先排队待防火墙检查后转发 延时 定义 入口处输入帧最后1个比特到达至出口处输出帧的第一个比特输出所用的时间间隔衡量标准 防火墙的时延能够体现它处理数据的速度 10101001001001001010 Smartbits6000B测试仪 101100101000011111001010010001001000 最后1个比特到达 第一个比特输出 时间间隔 1010100111001110 1010100111001110 1010010010100100010100010 101010100100100100100100010 造成数据包延迟到达目标地 丢包率 定义 在连续负载的情况下 防火墙设备由于资源不足应转发但却未转发的帧百分比衡量标准 防火墙的丢包率对其稳定性 可靠性有很大的影响 发送了1000个包 防火墙由于资源不足只转发了800个包 丢包率 1000 800 1000 20 10010101001010010001001001 10010101001010010001001001 背靠背 定义 从空闲状态开始 以达到传输介质最小合法间隔极限的传输速率发送相当数量的固定长度的帧 当出现第一个帧丢失时 发送的帧数 衡量标准 背靠背的测试结果能体现出防火墙的缓冲容量 网络上经常有一些应用会产生大量的突发数据包 如NFS 备份 路由更新等 而且这样的数据包的丢失可能会产生更多的数据包 强大的缓冲能力可以减少这种突发对网络造成的影响 Smartbits6000B测试仪 少量包 没有数据 包增多 峰值 包减少 包数量 N 时间 T 背靠背指标体现防火墙对突发数据的处理能力 软件发展 包过滤 应用代理 状态检测 深度内容过滤硬件发展 X86 嵌入式 ASIC NPU 多核接入方式 透明 路由 混合实现技术 安全区划分 NAT 策略路由 认证技术 代理技术 高可用技术 TRUNK支持性能指标 并发连接数 吞吐量 时延 背靠背 丢包率 第一章小节 知识点回顾 目录 目录 引言全系列技术优势数据包处理流程功能性能优势点 安全新动态 网络规模越来越大网络应用越来越丰富以政治 利益为代表的网络攻击传播成为热点僵尸网络规模逐步扩大以拒绝服务 DDOS 为主要手段的网络攻击时时考验客户的网络以垃圾信息为代表的非法内容浪费着网络的资源 安全进入体系时代 要求建造安全的整体网络从点转变到面的方式考虑安全问题各种整体的解决方案和技术体系被提出联想网御 下一代安全架构天融信 可信网络架构CISCO 自防御网络华为 安全渗透网络锐捷 全局安全网络 安全网关成为各体系化的基本配置 各种安全网关是安全的基础设施防火墙成为最主要的基础边界安全设备 市场发展趋势 CAGR 2008 FW 国内防火墙比例 25 网络安全总额 11 6亿美元 71 市场发展趋势 2006年 2008年 0 2 2 3 0 5 1 2 1 3 1 5 IDS IPS等 防火墙 VPN UTM新兴市场 UTM 防毒墙等 2008年联想网御产品布局 55 防火墙 VPN 20 UTM 防毒墙 IPS 2008年联想网御产品销量比防火墙系列仍为主力产品 安全网关形态 专业化的网关集成化的网关软件网关硬件网关 安全网关的发展趋势 一 国际厂家一般都有专用的操作系统 安全网关的发展趋势 二 国际厂家一般都有专用的操作系统硬件化和芯片化成为趋势 安全网关的发展趋势 三 国际厂家一般都有专用的操作系统硬件化和芯片化成为趋势硬件平台多样化 X86 NPU 多核 嵌入式 ASIC 组合 防火墙角色的演化 由3 4层控制向应用层控制发展由单纯防外部攻击向防外 控内发展由单纯提供控制功能向提供系列服务发展 实际场景 79 带宽在不断的增加 但是还是感觉捉襟见肘 网速怎么这么慢呀 半天打不开一个网页 高效需求 流量带宽合理分配 无节制 无秩序的P2P资源下载消耗着有限的带宽资源 真正需要及时信息的业务得不到有效的保障 高效需求 提高工作效率 虚拟娱乐 如网游 网聊 炒股等应用 使员工沉迷其中 消耗大量工作时间 服务需求 应用种类繁多 网络应用越来越多 用户通过防火墙了解和管理网络中的应用需求越来越大用户受技术背景限制 迫切希望防火墙设备内置各种应用 安全需求 屏蔽高风险网站 互联网上网站众多 在一些看似合法的网站背后可能隐藏着病毒 木马 蠕虫等危险因素 如何屏蔽高风险网站 降低安全风险 安全需求 规避法律 道德的风险 各类色情 暴力 反动等非法 负面网站的访问会带来一系列问题 引发政治问题触犯道德底线导致法律纠纷 信息安全问题 定位缓慢 技术人员希望发现问题后可以快速定位根源 缺少有效的行为查询使技术人员定位问题缓慢 内容失控 有悖国情的互联网访问很可能在企业不知情的情况下产生极端不好的负面影响 外发随意 多种多样的外发信息可能混杂有害的内容 目前大部分外发信息对管理层来说是蒙在鼓里的 目录 引言全系列技术优势数据包处理流程功能性能优势点 防火墙专利技术 防火墙技术理念 联想网御防火墙先进理念 VSP平台 品牌战略 USE引擎 MRP技术 VSP通用安全平台 硬件抽象平面 VSP通用安全平台 硬件抽象平面无缝融合IXP PowerPC到NP ASIC 多核等各种先进硬件平台系统服务平面与各模块共同遵循标准函数接口 具有高度灵活性和可扩展性控制平面优化配置管理 使得系统性能大幅提升数据平面集成统一安全引擎 将漏洞和风险拒之门外 对比 VSP和其他操作系统的比较 VSP通用安全平台 USE统一安全引擎 URL过滤 文件过滤 邮件检查 攻击检测 病毒检测 IM过滤 P2P过滤 USE 有效提高系统处理性能 性能是关键 USE统一安全引擎集成于单一平台 构造统一架构 综合并优化各子系统 去除冗余 简化数据处理流程 实现统一的安全引擎处理机制 方便构建可管理的等级化安全体系 推进安全策略统一管理 提升系统功能可扩展性 USE统一安全引擎 指标 USE引擎 单引擎 多引擎 专利 USE统一安全引擎优势明显 USE与其他引擎比较 USE统一安全引擎 MRP多重冗余协议 状态包过滤的核心 状态表不管采用什么样的技术实现的双机热备和负载均衡 多机之间的状态不一致 必然造成切换时会话中断或按简单包过滤处理而损失安全性 也无法处理NAT 动态应用等问题 STP协议可以保证多台设备之间的状态一致性 MRP多重冗余协议 内部网 Eth0 Eth0 Eth1 Eth1 Eth2 Eth2 心跳线 0 1 状态同步 MRP多重冗余协议可靠性体系1 MRP多重冗余协议的可靠性体系2 目录 引言全系列技术优势数据包处理流程功能性能优势点 防火墙数据包处理流程 VPN解密 抗攻击 IP MAC绑定 目的地址转换 路由查找 用户信息查找 安全规则检查 深层内容过滤 源地址转换 Qos VPN加密 虚线框表示客观存在的 潜规则 可能对界面配置的规则产生影响红色框内的部分为每个包检查 其他框为首次连接检查匹配代理规则转入本机处理 匹配隐藏内部服务 阻断和黑名单等规则直接丢弃数据包 防火墙规则顺序图 防火墙规则根据作用顺序分为代理 端口映射 IP映射 包过滤 NAT规则五类 目录 引言全系列技术优势数据包处理流程功能性能优势点 联想网御防火墙产品线介绍 网御防火墙 3条产品线16个系列50种产品 联想网御防火墙全线产品 联想网御防火墙全线产品照片 超五系列 多核架构 NP和ASIC混合架构 强五系列 X86架构 精五系列 嵌入式架构 金刚系列 多核架构 联想网御防火墙发展历程 特性与优势 1 细节成就专业 并发连接数控制VPN功能IPSec与SSL复用多出口策略路由安全联动集中管理策略分发负载均衡和多机集群 独特细节功能点 细节成就专业 细节功能点 并发连接数控制 精确到单个IP连接控制动态学习功能会话统计方式连接状态分类查询源 目的连接排行榜 细节功能点 VPN功能 IPSec与SSLVPN功能复用支持国密办专用算法SCB2独有的隧道接力功能 可通过隧道接力实现分级的树状VPN结构部署VPN客户端兼容WindowsVista系统安全可靠的USB Key 细节功能点 多出口路由 多出口策略路由链路探测多ISP出口自动选路 减少跨ISP延时动态路由 OSPF RIP等 VLAN间路由 单臂路由 组播路由等 核心网络 联想网御SmartV 120防火墙 办公区 策略路由 112 安全联动 内网安全管理软件联动IDS入侵检测设备联动遵循安全关联标准 内外网安全管理统一解决方案 细节功能点 安全联动 管理界面简洁清晰 美观大方防火墙策略分发 并实现对设备监控 集中日志审计 安全报警实现对网络拓扑的管理 基于域的权限分配和报表自动生成 以及设备的历史状况回放对多台分级的认证防火墙进行统一管理和分组授权 113 细节功能点 集中管理 细节功能点 负载均衡 智能链路探测 无需人工干预轮询 最少连接 响应速度等多种负载均衡算法支持基于会话的负载均衡 同一会话走同一条路由 基于802 3ad标准的多端口聚合 实现零成本扩展带宽通过状态同步技术实现2 32台防火墙的多机集群 115 P2P下载软件控制娱乐视频播放控制IM即时通讯软件控制在线游戏控制炒股软件控制技术先进 特征码识别 应用识别控制 特性与优势 2 应用识别控制 复杂应用控制 应用识别控制 P2P下载 P2P下载控制细粒度控制主流P2P下载软件 迅雷5 BT e Donkey e Mule Gnutella Poco 酷狗 脱兔 超级旋风等高效协同处理的USE统一安全引擎特征分析精细度高 内核匹配速率快识别率高 立竿见影分布式异步处理机制 DAM 不影响性能 应用识别控制 视频播放 P2P视频播放控制对PPLive QQLive PPStream UUSee 迅雷看看 沸点 PPMate等P2P视频播放软件进行识别控制对视频播放软件进行带宽管理控制可以制定精细化的P2P视频控制管理策略 即最大化P2P在工作中应用 最小化P2P在娱乐中应用 应用识别控制 IM控制 IM即时通讯软件控制对QQ2008 MSN8 1等多种聊天软件进行精确控制可阻断POPO 淘宝旺旺 新浪UC LavaLava 百度Hi 雅虎Messenger等主流即时通讯软件一键式阻断IM软件机密文件传输支持对使用权和使用时间的监控管理精确控制到单个IP 应用识别控制 网游控制 网游控制识别和控制魔兽 CS 征途 联众 天堂 梦幻西游 仙剑情缘 热血江湖 劲舞团 诛仙 浩方 泡泡堂等多种在线游戏软件 应用识别控制 炒股控制 炒股软件控制识别和控制大智慧 同花顺 国泰君安 证券之星 广发证券 指南针 通达信 股票之星 华安证券 和讯报道 钱龙等多种炒股软件 应用识别控制 专业技术 MSN HTTP BT Priority0 Priority2 Priority5 支持基于用户 时间段 应用协议的带宽分配管理策略支持自定义带宽通道 以及对应的优先级 速率上限和下限的设定 根据业务需要对应用划分通道 122 特性与优势 3 WEB过滤 国际领先的中文URL过滤系统应用协议分析策略独有预搜索引擎采用高速辨认技术 缩短匹配时间 WEB分类库过滤 WEB过滤 URL分类库 最先进的基于行为结果的URL预分类模式全部人工校验 保证分类正确率中文URL分类数据库52大类 1000万条种类包括色情 反动 暴力 毒品 赌博等多种负面网站基本覆盖中国大陆网站智能分类引擎客户定期自动更新 保证实效性升级包处理方式 方便实用 WEB过滤 应用策略定制 提供用户定制的WEB过滤策略邮件报警功能 实时状态分析用户自定义URL过滤列表树状协议 分级控制 粒度精细基于协议特征值以及行为特征识别 而非传统IP或端口多层次应用协议分析 确保控制的效果和准确度 精细特征库 125 无约束的网页访问 预置库 灵活的自定义 及时的升级 健康的WEB行为 基于预搜索引擎的URL过滤机制 先匹配大类 再进行细粒度过滤 基于预搜索引擎技术 good WEB过滤 搜索引擎 WEB过滤 高速辨认技术 智能透视分析技术在IP网络中 应用层数据被分拆封装在多个数据包中传输 为了获得完整的内容 必须把连续的多个包 拆封 重新组合起来 联想网御专有的智能透视分析技术 能够智能判断哪些包可以放过 哪些包需要暂留重组 减少了包处理的数量 从而提高数据流的分析效率 WEB过滤 智能技术 数据流 数据包智能分析 128 特性与优势 4 新硬件 硬