（产品管理）网御强五系列防火墙产品白皮书

联想网御强五UTM系列防火墙产品白皮书V4.0联想网御科技（北京）XX公司版权信息©版权所有2001－2006，联想网御科技(北京)XX公司感谢阅读本文档中出现的任何文字叙述、文档格式、插图、照片、方法、过程等内容，除另有特别注明，感谢阅读版权均属联想网御科技(北京)XX公司所有，受国家有关产权及版权法保护。如何个人、机构未精品文档放心下载经联想网御科技(北京)XX公司感谢阅读商标信息联想网御，LegendLenovoleadsec等标识及其组合是联想网御科技(北京)XX公司拥有的商标，谢谢阅读受商标法和有关国际公约的保护。第三方信息本文档中所涉及到的产品名称和商标，属于各自公司或组织所有。感谢阅读联想网御科技（北京）XX公司LenovoSecurityTechnologiesInc.精品文档放心下载北京市海淀区中关村南大街6号中电信息大厦8层100086感谢阅读8/FZhongdianInformationTowerNo.6ZhongguancunSouthStreet,感谢阅读HaidianDistrict,Beijing电话(TEL)真(FAX)术热线(CustomerHotline)品文档放心下载电子信箱(E-mail)：infosec@精品文档放心下载公司网站：.cn目录1、序言42、联想网御解决方案－UTM防火墙63、联想网御强五UTM系列防火墙产品型号84、联想网御强五UTM系列防火墙产品介绍94.1简介94.2系统架构94.3工作模式105、联想网御强五UTM系列防火墙产品特点115.1技术领先，ASIC加速深度过滤115.2功能全面，六个大功能按需应用125.3专业服务，完善的联想服务体系136、联想网御强五UTM系列防火墙主要功能146.1防火墙146.2虚拟专用网146.3动态入侵检测/保护156.4防病毒156.6反垃圾邮件156.7内容过滤156.7高可靠性（HA）166.8管理功能167、联想网御强五UTM系列防火墙典型应用167.1典型应用壹：于电信行业中的应用167.2典型应用二：于金融行业中的应用197.3典型应用三：于高校网络中的应用211、序言谢谢阅读IDS等传统安全产品于不断的谢谢阅读发展和自我完善，可是道高壹尺魔高壹丈，黑客们不仅专门针对安全设备开发各种精品文档放心下载工具来伪装攻击、逃避检测，于攻击和入侵的形式上也和应用相结合越来越紧密。感谢阅读这些均使传统的安全设备于保护网络安全上越来越难。混合攻击带来的新挑战随着红色代码、Nimda精品文档放心下载病毒已经不再只具有破坏力。新的病毒已经成为黑客的攻击和入侵手段，借助病毒谢谢阅读的传播方式，黑客们能够轻易地窃取网络中的敏感数据和信息。黑客程序、木马、精品文档放心下载病毒已经有机地结合起来，使之成为黑客攻击的新工具。同时，木马、病毒等恶意感谢阅读WebWeb感谢阅读精品文档放心下载精品文档放心下载较新的深度检测防火墙往往于分片的数据包前壹筹莫展,所以传统的防火墙不具备精品文档放心下载IDS设备虽然能够检测网络中的攻击，精品文档放心下载可是它不能对攻击行为进行有效的防御和阻断，IDS的大量误报也使得管理员难以从感谢阅读大量的日志中找出有价值的信息。桌面防病毒软件防护对象是终端，往往需要使用谢谢阅读者的对操作系统和其软件均有较高的操作水平，且且防病毒软件往往会限制用户壹谢谢阅读些正常操作，为了突破限制用户会不得不关闭防毒软件，这些均使得防病毒软件实精品文档放心下载施的效果受到了很大的影响，所以不能保障网络的安全。网络安全问题给管理带来的困扰随着网络应用的普及，不少企业和机关单位均对网络安全非常重视，于网络谢谢阅读上先后布置了防火墙、IDS感谢阅读用户可能仍需要进壹步安置网络安全设备。随之带来的问题是用户对网络安全的管感谢阅读理成本以及运营成本会越来越高，因为壹个设备均需要管理和维护。另外，于网路感谢阅读中添加很多安全设备也会使得网络延迟增大、用效率降低。由于各个设备输出的报感谢阅读表和日志格式不同，对安全事件的分析过程也会变得更加复杂，用户也难以从容地谢谢阅读发现和解决网络中的问题。P2P技术（例如BT下载，Edonkey下载等）应用和IM（例如QQ，MSN，感谢阅读Skype感谢阅读隐患。IM工具是壹种及时通讯和短消息的平台，但其共享文件的功能会提高病毒和精品文档放心下载木马的传播效率，用户的计算机可能于毫不知情的情况下被病毒感染或者被木马病感谢阅读P2P下载工具则是壹种点精品文档放心下载对点的下载工具，它会大量侵占网络带宽资源，使用户对网络的投资难以得到相应谢谢阅读IPS等安全设备精品文档放心下载均难以做到对P2P应用的有效管理。垃圾邮件和灰色软件横行造成巨大损失精品文档放心下载然而随着电子邮件的普及，垃圾邮件问题也网络安全中最棘手的问题之壹。垃圾邮精品文档放心下载件会带来大量的垃圾信息，每个用户均需要花去相当的时间处理垃圾邮件，根据国感谢阅读内最近的垃圾邮件监控方案，于我国产生的垃圾邮件每周大约有6亿之多。同时，谢谢阅读垃圾邮件也不仅仅是带来垃圾信息，垃圾邮件也会作为各种病毒、木马以及灰色软谢谢阅读件的载体，增大用户网络安全的隐患。灰色软件是最近常出当下IT感谢阅读PC或笔记本电脑系统感染却经常感染精品文档放心下载灰色软件。大多数用户均感受过灰色软件发作的危害，然而，很多灰色软件是需要精品文档放心下载下载和运行，就能悄然地完成工作，比如跟踪计算机使用，窃取隐私等。于大量的谢谢阅读邮件病毒成为每月新闻头条的时候，用户开始意识到打开不确定邮件会带来什么危精品文档放心下载险，也许这个邮件是来自壹个认识的人。至于灰色软件，用户根本就不需要打开附精品文档放心下载感谢阅读很多灰色软件只产生垃圾信息——精品文档放心下载于“无害”的灰色软件和盗取信用卡帐号、密码和身份证号这些有价值信息的攻击谢谢阅读之间，是有明确的区分标准的。2、联想网御解决方案－UTM防火墙针对之上的各种不安全以及难以管理的因素，网御PowerVUTM防火墙——作为信精品文档放心下载息安全的新壹代门户，就应运而生了。联想网御PowerVUTM防火墙是壹种多功能网精品文档放心下载关，于防火墙和VPN的基础上集成了防病毒、入侵防御系统、防垃圾邮件、网页过谢谢阅读2001谢谢阅读2006年第三季度我们即将实现联想UTM感谢阅读UTM2002年就取得精品文档放心下载多项该领域的技术专利。VPN精品文档放心下载合和改良，使UTM防火墙产品能够很好地防御目前流行的混合型数据攻击的威胁。感谢阅读这些特性和技术使得IT管理人员能够很容易地控制如InstantMessage信息和P2P精品文档放心下载应用的传输，且且阻断来自内部的数据攻击以及垃圾数据流的泛滥。同时，设备能感谢阅读够支持动态的行为特征库更新，更具备7层的数据包检测能力。完全克服了目前市精品文档放心下载场上深度包检测的技术弱点。特别针对分包攻击的内容效果明显。谢谢阅读ASIC芯片来完成对网络数据包的内容谢谢阅读VPN精品文档放心下载防火墙、入侵检测以及流量管理功能所需的强大计算处理功能。精品文档放心下载3、联想网御强五UTM防火墙系列产品型号产品型号,MTBF（小时）,描述网御PowerV-5200UTM防火墙,>120,000,电信级UTM防火墙精品文档放心下载网御PowerV-3000UTM防火墙,>100,000,千兆高端感谢阅读网御PowerV-2000UTM防火墙,>100,000,千兆中端精品文档放心下载网御PowerV-1000UTM防火墙,>80,000,千兆低端精品文档放心下载网御PowerV-400UTM防火墙,>70,000,百兆高端感谢阅读网御PowerV-200UTM防火墙,>70,000,百兆中端精品文档放心下载网御PowerV-100UTM防火墙,>60,000,百兆低端谢谢阅读网御PowerV-50UTM防火墙,>60,000,桌面防火墙谢谢阅读4、联想网御强五UTM防火墙系列产品介绍4.1简介作为国内领先的专业的防火墙/VPN厂商，联想网御于服务用户的过程中，很早谢谢阅读2001精品文档放心下载病毒、IDS:011091789谢谢阅读直于技术上努力创新，针对多安全功能整合、且行处理等方面进行软件体系结构的感谢阅读改进和优化，且寻找合适的高性能硬件平台。同时，由于UTM防火墙涉及技术非常谢谢阅读感谢阅读2005年，感谢阅读联想网御专门赴美国硅谷技术考察，且且成功地和多家顶级安全软硬件厂商展开深感谢阅读入合作。终于于2006年Q2成功推出了成熟的UTM防火墙产品。目前，联想网御已谢谢阅读经拥有提供业界最优秀UTM防火墙产品的能力，产品线覆盖百兆、千兆以及万兆级谢谢阅读UTM防火墙。联想网御UTM感谢阅读VPN、感谢阅读防病毒等安全引擎提供了强大而安全的性能支持。联想网御UTM防火墙使用了专门精品文档放心下载的ASIC谢谢阅读启发式扫描提供了硬件加速。联想网御UTM防火墙于各个安全引擎中运用了新的算精品文档放心下载法和技术，针对病毒检测，内容分析等海量扫描活动使用了高效的启发式扫描；针谢谢阅读对传统包过滤无法检测的威胁，采用了完全内容检测技术；针对未知的攻击行为，谢谢阅读使用了实时动态保护技术。4.2系统架构联想网御PowerVUTMUTM管理服务系统、谢谢阅读UTM精品文档放心下载ASIC内容处理芯片进行扫描和感谢阅读精品文档放心下载UTM谢谢阅读同的功能模块。4.3工作模式PowerVUTM防火墙系感谢阅读列产品多口的硬件设计能够使多安全域需求得到完全的满足，完全突破了传统的内感谢阅读精品文档放心下载使得不仅于内网和外网的安全得到保障，同时保障了企业内部不同部门之间的安全感谢阅读需求。联想网御PowerVUTMPowerVUTM防火墙感谢阅读可连接各个网络之间构成壹个统壹的交换式物理子网，子网内部仍能够有自己的第精品文档放心下载IP感谢阅读火墙。这样壹方面大大降低了防火墙自身受到攻击的可能性，另壹方面也使系统安精品文档放心下载装变得十分简单，不再需要改变原有的网络拓扑结构和各主机和设备的网络设置，感谢阅读即不需要重新划分网段和调整网络结构。同时强化了对虚拟局域网（VLAN）和生成谢谢阅读树协议（STP）的支持。联想网御PowerVUTMPowerVUTM防谢谢阅读火墙可连接不同的物理网段。防火墙接口能够通过配置别名设备，能够使得壹个感谢阅读物理接口上绑定多个IP地址。联想网御PowerVUTM感谢阅读高整个网络系统的可靠性，降低出现网络中断的风险。5、联想网御强五UTM系列防火墙产品特点5.1技术领先，ASIC加速深度过滤联想网御UTM防火墙于自有防火墙基础上，集成了来自业界最好的软硬件技术，感谢阅读ASIC精品文档放心下载决了UTM防火墙产品的性能问题。于全系列产品中，均包含ASIC加速硬件。精品文档放心下载5.2功能全面，六个大功能按需应用联想网御UTM防火墙的功能非常全面，包含防火墙、VPN、防病毒、内容过滤、精品文档放心下载感谢阅读第一，所有功能统壹配置管理，壹条策略即可完成对所有安全检查的配置。谢谢阅读第二，支持对多个UTM谢谢阅读集和方案。第三，提供统壹的升级服务器，自动实时更新IPS、反垃圾邮件、反病毒、内感谢阅读容过滤的特征库，无需用户干预。第四，状态包过滤防火墙支持常见的音视频动态应用，包括H.323、SIP等，谢谢阅读只开放必要的端口，同时支持NAT精品文档放心下载虚拟防火墙，独立配置使用。第五，防病毒、内容过滤、反垃圾邮件不但能检测过滤，仍能给出友好提示，感谢阅读比如当用户从网上下载壹个含病毒的文件时，UTM的防病毒模块能够把精品文档放心下载精品文档放心下载容过滤也类似，不是简单丢弃数据包。5.3专业服务，完善的联想服务体系精品文档放心下载快捷的响应用户从壹般应用到疑难杂症于内的所有技术问题。该服务体系以北京为精品文档放心下载核心，于全国范围内为用户提供全方位的服务。三级服务网络分别为：谢谢阅读第壹级公司本部客服中心：提供每天24小时热线电话服务，工作时间的送修服感谢阅读务、远程调试、现场服务和保外有偿个性化服务。本部信息安全专家服务队伍负责感谢阅读精品文档放心下载疑难问题。精品文档放心下载区、西北区、华北区和东北区，是本部于外的分支机构，直接承担所于地区联想网精品文档放心下载御的客户服务。感谢阅读市壹级城市的信息安全服务。对UTM防火墙产品的技术支持也于该技术服务体系范围内。同时，为了确保所有精品文档放心下载联想网御UTM谢谢阅读IPS谢谢阅读内容过滤的特征库，客户能够将他们的联想网御安全设备设置从联想网御公司的升感谢阅读级网络自动更新升级。联想网御升级网络于现有多个安全和冗余的数据中心，壹旦谢谢阅读新的特征出现且能够更新时，会快速的进行主动的更新，升级网络上发布更新信息精品文档放心下载后便可进行及时升级。6、联想网御强五UTM系列防火墙主要功能6.1防火墙工作模式：路由，透明，混合包过滤：支持状态检测身份认证：支持内置的认证数据库，支持Radius和LDAP认证服务器谢谢阅读服务：提供几十种标准服务，且且支持用户自定义服务和服务组精品文档放心下载虚拟IP映射：通过将公用IP地址映射到内部或DMZ区的服务器的私有IP感谢阅读地，提供安全的外部访问，使公网用户能够访问内网资源VLAN802.1Q，支持VLANTRUNK，支持透明、路由模式，支持NAT功能精品文档放心下载IPV6:支持IPV6地址，支持IPV6隧道谢谢阅读NAT:谢谢阅读内容过滤：基于启发式检测和异常检测，支持多种协议的重组精品文档放心下载时间策略控制：根据自定义时间周期，进行安全策略控制精品文档放心下载组播：支持组播协议非IP协议支持：支持对非IP协议的传输和控制精品文档放心下载带宽管理：支持设置优先级和DSCP控制，支持最大和最小带宽控制精品文档放心下载6.2虚拟专用网支持客户端到网关的VPN通讯：IPSEC、PPTP、L2TP谢谢阅读加密算法的选择：硬件支持3DES、AES等算法精品文档放心下载认证算法的选择：支持MD5、sha1等密钥管理：支持IKE，支持手工密钥交换NAT穿越：支持IPSECNAT穿越扩展认证：支持IPSECXAUTH子网穿越：支持IPSECPPTP穿越子网连接到公网VPN网关谢谢阅读6.3动态入侵检测/保护支持基于网络的IDS和实时阻断系统攻击特征库：拥有覆盖广泛的攻击特征库，支持用户配置感谢阅读消息阻断：支持MSN、QQ、雅虎通等多种即时消息的阻断精品文档放心下载攻击阻断：支持多种网络攻击的阻断报警：支持多邮件报警6.4防病毒病毒扫描：应用启发式高速扫描技术，支持网络病毒和蠕虫的实时扫描谢谢阅读协议扫描：支持HTTP、FTP、POP3、SMTP、IMAP协议的病毒扫描谢谢阅读VPN扫描：支持于VPN加密隧道中扫描病毒感谢阅读6.6反垃圾邮件邮件服务器过滤：支持基于邮件服务器黑名单的过滤邮件过滤：支持基于邮件地址的过滤，支持MIME头的检测，支持邮件内容精品文档放心下载过滤，支持邮件附件的扫描DNS：支持反向DNS查找功能RBL：可指定RBL服务器进行垃圾邮件拦截6.7内容过滤Web内容过滤：支持URL过滤，支持关键字过滤感谢阅读邮件过滤：支持邮件地址过滤，支持关键字匹配过滤，支持MIME头过滤、精品文档放心下载支持邮件附件过滤移动代码的过滤：支持对Javaapplet、Active-X、Jscript、Javascript、谢谢阅读Cookies的过滤6.7高可靠性（HA）支持负载均衡支持主从热备接口：支持接口监控，支持将任意接口设置为HA接口，支持HA接口冗余感谢阅读电源：支持电源冗余6.8管理功能图形管理：支持WebUI图形配置CLI管理：支持命令行接口远程管理：支持SSH、Telnet远程命令行管理，支持HTTPS的远程图形管理谢谢阅读配置向导：提供快速配置向导模板语言：提供中文、英文等多语言支持日志：支持图形化报表，支持日志关键字搜索、支持日志分类谢谢阅读监控：支持SNMP，支持VPN监控，报警：通过E-mail发送病毒、攻击报警7、联想网御强五UTM系列防火墙典型应用7.1典型应用壹：于电信行业中的应用网络系统说明：电信公司数据通信为各层次用户提供应用服务，同时数据中心（IDC）服务器群感谢阅读组更是中心的重点。联想网御PowerV3000UTM防火墙具有其高性能和高稳定性，可感谢阅读针对电信公司IDC，用来保护数据中心