阿姆瑞特防火墙技术特点1课件

AmarantenInternationalLtdOperationinChina”Amaranten–SecureNet!”Security

无操作系统漏洞Performance防火墙内核从底层接管进出防火墙数据并进行处理利用所有可能的硬件性能。减少了操作系统的开销因此可以最快的处理数据，所有产品延时小于25us，是目前世界上延时最小的防火墙产品内核启动速度快，启动时间6秒，18-20秒进入数据包转发

处理速度慢

安全漏洞

操作系统和防火墙软件单独升级InterfaceInterfaceInterfaceNetworkDriversWindows/UNIXO/SWindows/UNIXO/SDevicehandlerModifiedTCP/IPStackFirewallSoftwareInterfaceInterfaceInterfaceFirewallSoftware无操作系统

传统防火墙结构阿姆瑞特防火墙结构产品线介绍F50SeriesF100SeriesF300Series

F1800Series

F600SeriesF5000SeriesF3000Series远程办公/小型分支机构小型企业可安全管理的CPE中小型企业中小型企业的VPN网关可安全管理的CPE高负荷的VPN网络数据中心电信级网络电信业大型高校数据中心，服务提供商金融机构大型VPN网关公司总部/大型企业中型企业中型VPN网关服务提供商阿姆瑞特防火墙技术特点全方位安全防护强大的路由功能专业的带宽管理灵活的网络接入丰富的VPN功能便捷的图形管理细微的网络日志CLOSEDLISTENSYN-SENTSYN-RCVDESTABLISHEDFIN-WAIT-1FIN-WAIT-2CLOSE-WAITCLOSINGTIME-WAITLAST-ACKIllegalAddressesChecksumControlTTLControlLayerSizeConsistencyIPOptionSizesIPSourceRouteIPTimestampIPBadOptionsIPReservedflagTCPBlindSpoofingProtectionTCPHeaderOptionSizesTCPMSSControlTCPWindowScaleTCPSelectiveACKTCPTimestampTCPAlternateChecksumTCPConnectionCountTCPBadOptionsTCPFlagcombinationsTCPReservedFieldTCPNULLPacketsICMPResponseControlARPSpoofingProtectionStrictInterfaceMatchingConnectionTimeoutControlPayloadSizeControlReassemblyTimingControlIllegalFragmentsDuplicateFragmentsFragmentedICMP全状态检测防火墙采用状态检测技术数据包一致性检查防止假冒IP攻击放置非正常连接提高工作效率基于时间的控制控制某条规则的生效时间内容过滤阿姆瑞特防火墙功能可以通过URL过滤和关键字过滤控制内部人员访问的主页或站点，避免含有恶意代码网页（网页木马、网页病毒）对网络的侵害。除了内容过滤以外，还可以做到以下特性：禁止下载某种类型文件。例如：.exe针对Java脚本/VB脚本、Javaapplets的过滤；禁止Active-X/Flash等内容，彻底杜绝了黑客网站恶意程序对内网机器的攻击；禁止cookies，防止黑客通过cookies窃取用户名、口令等关键信息。用户认证深层次访问控制基于用户的信誉度，访问时间以及访问的内容，允许或拒绝访问进一步增强了安全性认证方式内部用户数据库，

Radius，微软活动目录或Xauth日志基于用户级别的日志记录优势增加安全性的同时减少管理开销（在网络用户数据库里面删除一个用户也是通过网关来控制）用户认证与策略、时间表和内容过滤等功能结合提高了防火墙使用效率（在工作时间阻止不需要的访问）支持RADIUS通用用户数据库基于login方式的用户身份登陆用户认证强大的抗攻击能力OSFingerprinting和Firewalking网络的TCP/UDP端口扫描SYNfloodICMPflood攻击UDPflood攻击死ping(Pingofdeath)攻击IP欺骗(IPspoofing)攻击端口扫描(Portscan)陆地攻击(Landattack)撕毁攻击(Teardropattack)过滤IP源路由选项(FilterIPsourcerouteoption)IP地址扫描攻击(IPaddresssweepattack)WinNukeattack攻击Java/ActiveX/Zip/EXEDos&DDoS攻击用户定义的不良URLPer-sourcesessionlimiting攻击Synfragments攻击SynandFinbitset攻击NoflagsinTCP攻击FINwithnoACK攻击ICMPfragment攻击LargeICMP攻击IPrecordroute攻击IPsecurityoptions攻击IPstream攻击IPbadoption攻击Unknownprotocols攻击防攻击原理传统的防火墙通过设定阈值进行攻击防范，例如每个IP每秒2000个SYN报文以下才认为是正常的，超出视为攻击依托通用OS，OS对攻击的抵御能力不足；且防火墙软件与OS间必然存在开销，消耗系统资源阿姆瑞特防火墙采用类似代理技术进行攻击防范，必须首先与防火墙建立起连接，防火墙才会再与主机进行连接，攻击不会通过防火墙到达主机专用内核，没有OS开销，提高了自身抵御攻击能力设计中充分考虑了系统抗攻击的能力，预留防火墙系统资源，任何情况下CPU利用率都不会达到100%阿姆瑞特防火墙技术特点全方位安全防护强大的路由功能专业的带宽管理灵活的网络接入丰富的VPN功能便捷的图形管理细微的网络日志强大的路由功能支持4096条静态路由支持PBR（PolicyBasedRouting，基于策略的路由），配置主路由表和多个PBR路由表，不同的规则采用不同的路由表，支持多个缺省网关支持路由备份支持OSPFV2动态路由支持虚拟路由器/系统全面支持802.1Q基于策略的路由使用策略路由

－反垃圾邮件/抗病毒/HTTP代理更安全 防火墙防止了来自内外部的恶意攻击更大的吞吐量 只有特定的网络需要通过抗病毒/垃圾

扫描和HTTP代理，保证网络的吞吐量管理优势

不需要客户端的代理设置，防火墙可以高度控制信息流量全面支持OSPFInternet

VPN接口支持动态路由OSPF动态路由信息可以穿越VPN通道，进行传递。一墙多用在一台防火墙上创建多个逻辑分离的系统在一台物理设备上可以做的任何事在虚系统上都可以做，包括访问控制，带宽管理和动态路由功能。高灵活性不需要增添硬件，而是通过增加虚系统进行扩展简化配置管理使复杂的路由及策略配置更简单

减少所需策略数量－降低由于策略配置错误带来的安全隐患增加用户服务机会在一台机器上运行多个虚系统来服务多个用户，来增加新业务的机会想象一下在一个阿姆瑞特防火墙冗余群集使用成百的虚系统来替代同等数量的网关设备，而每一个虚系统都为一个负费的客户服务！虚系统虚拟路由/系统/24/24/24对VLAN（802.1Q）的支持VLAN间路由Trunk扩展端口Trunk穿越VLAN10VLAN20VLAN10VLAN10VLAN20VLAN10VLAN20VLAN10VLAN20VLAN10VLAN20透明模式VLAN20VLAN10VLAN20VLAN10VLAN20VLAN10VLAN20TrunkLinkTrunkLink防火墙机阿姆瑞特防火墙技术特点全方位安全防护强大的路由功能专业的带宽管理灵活的网络接入丰富的VPN功能便捷的图形管理细微的网络日志带宽控制可以对用户IP地址、服务等通过防火墙的带宽进行限制，例如：限制某个用户对外访问最大带宽，或者访问某种服务的最大带宽。带宽保证保证网络中重要服务或者重要用户的带宽不被其他服务或者用户占用，从而保证了重要数据优先通过网络。动态流量均衡为了保证网络中的所有带宽都得到合理的应用，防火墙提供动态流量均衡功能。例如：假如某网络带宽为256k，设定主机A的带宽为100k，主机B带宽为156k。如果主机B目前只用到120k，而主机A100k的带宽不够用，此时主机A可以动态获得主机B剩余的36K带宽。如果主机B某一时刻的突发速率到156K，他会动态的从主机A那里获得属于他的36K带宽，从而保证重要服务或者用户优先进行数据传输。传输平衡控制可根据需要进行设置，保证内网各用户分配带宽趋于平衡，不致出现“贫富分化”的现象。Usr1Usr2Usr3Usr4Usr5Usr1Usr2Usr3Usr4Usr5阿姆瑞特防火墙带宽管理特点通过定义管道的方式提供CoS/QoS功能管道没有数量的限制设置精度为1Kbps，偏差率不超过5%可进行带宽限制、带宽保证、动态均衡带宽大差别带宽管理时，不存在“饿死”现象可对上传和下载数据分别进行带宽管理明通、密通数据均可以作带宽管理带宽管理可基于接口、VLAN、IP地址、服务、时间等设定阿姆瑞特防火墙技术特点全方位安全防护强大的路由功能专业的带宽管理灵活的网络接入便捷的图形管理细微的网络日志

透明、路由、混合接入同一接口下的透明+NAT

源地址、目标地址同时转换对称式接口设计灵活的网络接入受保护网络Internet如果防火墙支持透明模式，则内部网络主机的配置不用调整HostAHostCHostDHostB同一网段DefaultGateway=防火墙相当于网桥，原网络结构没有改变透明接入受保护网络InternetDefaultGateway=防火墙相当于一个简单的路由器67提供简单的路由功能路由接入HostAHostCHostDHostBWWW服务器DNS服务器Mail服务器/24internet防火墙此时工作在混合模式下混合接入545352/24/24省电力**电力集团内部网一部分通过透明访问电力集团、一部分通过NAT访问电力集团同一接口下的透明+NAT证券网络银行网络证券、银行互相不能知道对方的网络拓扑，因此要求证券访问银行服务器的时候，必须访问证券内部一个地址，通过防火墙映射为银行的地址；同时进行地址转换源地址、目标地址同时转换多个内网、多个外网、多个DMZ对称式接口设计内部网外网或者不信任域Eth0Eth0Eth1Eth1Eth2Eth2心跳线ActiveFirewallStandbyFirewall检测ActiveFirewall的状态发现出故障，立即接管其工作

正常情况下由主防火墙工作主防火墙出故障以后，接管它的工作双机热备内部网外网或者不信任域Eth0Eth0Eth1Eth1Eth2Eth2心跳线ActiveFirewallStandbyFirewall检测ActiveFirewall的状态发现出故障，立即接管其工作

正常情况下由主防火墙工作主防火墙出现链路故障以后，接管它的工作接口备份双机热备特点不同型号的防火墙可以作双机热备、链路备份切换的时间短（0.6秒）反复切换对应用不产生影响采用虚拟IP、虚拟MAC技术，切换后防火墙周边设备ARP列表不变，保证平滑切换阿姆瑞特防火墙技术特点全方位安全防护强大的路由功能专业的带宽管理灵活的网络接入丰富的VPN功能便捷的图形管理细微的网络日志支持NAT访问互联网同时与分（总）公司之间建立VPN隧道；支持明密结合，灵活网络部署；支持星型拓扑VPN接入

支持多动态VPN接入支持客户端VPN穿越支持PPTP/L2TP的VPN

支持2台防火墙之间建立多条VPN隧道支持多条VPN链路的备份支持X.509证书和共享密钥，支持第三方CA认证；支持AES、DES、3DEC、cast128、blowfish、Twofish等加密算法；支持MD5、SHA-1认证算法；采用IPSec国际标准协议，提供传输方式和隧道方式建立VPN隧道；可以与第三方支持IPSEC协议产品建立VPN隧道阿姆瑞特VPN特点VPN接入一点对点特点：1.北京用户与上海用户通过私有地址通讯，同时可以访问Internet2.出差用户通过VPN客户端与北京总部或者上海分部通讯，同时可以访问Internet3.北京用户与上海用户进行点对点连接，出差用户与北京、上海点对点连接4.适用于分公司（VPN隧道）不多的用户北京上海VPN接入二星型连接深圳上海重庆哈尔滨北京中心特点：1.北京总部与各个分部通过私有地址通讯，同时可以访问Internet2.出差用户通过VPN客户端与北京总部，然后通过北京总部访问各分公司3.出差用户与总部和分部通讯的同时可以访问Internet4.星型拓扑适用于分公司（VPN隧道）较多的用户InternetInternetPSTN出差用户VPN接入三多动态IP服务器工作站总部……移动用户VPN

分部VPN服务器工作站ADSLPSTN/24/24动态获得1动态IP动态IP特点：1.VPN接入的双方或者多方IP地址都是动态变化的；2.北京用户与上海用户通过私有地址通讯，同时可以访问Internet3.出差用户通过VPN客户端与北京总部或者上海分部通讯，同时可以访问Internet北京上海VPN接入四客户端NAT穿越服务器工作站总部VPN

分部防火墙服务器工作站Internet/24/24北京上海VPN客户端软件000NAT转换特点：1.VPN客户端软件作了NAT后与VPN网关建立隧道；2.上海用户通过客户端软件通过NAT穿越与北京的私有地址通讯，同时通过防火墙NAT转换可以访问Internet服务器工作站总部VPN

分部防火墙服务器工作站Internet/24/24北京上海000NAT转换VPN

VPN接入五VPN设备NAT穿越00/24特点：1.VPN设备经过NAT后与VPN网关建立隧道；2.上海用户通过VPN设备作NAT穿越后与北京的私有地址通讯，同时通过防火墙NAT转换可以访问InternetVPN客户端软件双机多隧道广域网VLAN2VLAN3VLAN4VLAN2VLAN3VLAN4VPN链路备份当一条链路中断时，另一条自动启动转发数据包当一条链路中断时，另一条自动启动进行VPN连接站段路局广域网广域网阿姆瑞特防火墙技术特点全方位安全防护强大的路由功能专业的带宽管理灵活的网络接入丰富的VPN功能便捷的图形管理细微的网络日志管理系统

多站点、多用户管理系统全中文，图形化的管理系统提供了对多台防火墙的集中控制安全通讯所有远程管理，包括配置以及软件升级等全部都通过128位加密和认证，安全可靠集中配置档案所有的配置历史文档被完整保存，恢复以前任何版本的历史配置或者替换一台正在运作的防火墙只需几分钟时间。配置模板共享。防火墙——统一管理市市县县管理中心省中心县县所有产品管理一样系统管理员添加防火墙管理员、审计员；无权利管理防火墙；无权利察看操作日志防火墙管理员对防火墙进行管理；无权利添加任何用户；无权利察看操作日志防火墙审计员察看防火墙操作日志；无权利管理防火墙；无权利添加任何用户集中和分权管理

防火墙的内核、规则、QOS、接口、RAM、Buffer、连接等数据进行详细的统计和图形报表。可以实时掌握防火墙的运行状态，网络的流量情况，及时发现可能发生的非法攻击。

产品管理——内置防火墙状态监测器

防火墙CPU上的载荷比。Ppscounters–接收，发送以及总数据包的数目。Bpscounters–接收，发送以及总字节数。Drops–该接口接收到的因不符合规则集决定或包检查规则而被丢弃的包数目。IPErrors–该接口接收到包数目，这些包受到严重损坏，以至不能通过路由器到达防火墙，因此，不可能造成攻击。SendFails–因负载严重，硬件问题或半双工连接拥挤致使内部资源缺乏而无法发送的包数目。实现基于规则的计数器的实施监控组策略管理减少规则数量、简化管理员工作阿姆瑞特防火墙技术特点全方位安全防护强大的路由功能专业的带宽管理灵活的网络接入丰富的VPN功能便捷的图形管理细微的网络日志日志管理专用的日志记录器可搜集详细的防火墙日志数据，并可使用管理软件中的日志分析工具所提供的强大逻辑查询功能，对数据进行分析。从而帮助管理员有效地进行数据流分析。支持的LogServerSyslogserver防火墙专用logserver支持的查询方式可以简单查询，日期、IP地址等可以使用类似SQL的查询方式直观的树状结构，可快速查找相应的条目。支持WebTrends日志分析、报表工具阿姆瑞特防火墙丰富的日志功能

实时显示Amaranten日志Syslog

日志EIQ日志分析WebTreds分析USAGE事件--定期统计数据，定期发送这些事件并提供数据流连接和数量的统计信息。每个事件间的间隔时间由防火墙配置设置部分的UsageLogInterval设置规定。USAGE事件中包括以下事件。连接统计打开的连接数一段时间内打开的连接数关闭的连接数一段时间内关闭的连接数最大连接数一段时期内任何时间打开的最高连接数最小连接数一段时期内任何时间打开的最低连接数并发连接数事件发生时打开的连接数每个接口的统计每秒的入站比特接口每秒接收数据流的平均数每秒的出站比特接口每秒发出数据流的平均数每秒的出站比特接口每秒接收包的平均数每秒出站的包接口每秒发包的平均数每秒丢弃的包每秒丢弃包的平均数阿姆瑞特防火墙日志分析功能

阿姆瑞特将SQL改编后，形成LQL询问语言，使用该语言可灵活使用日志分析工具

OutgoingProtocolUsageProtocol#ofEvents%ofTotalEventsKbytesCost1http2535532.28%180,136$0.002410.05%52,295$0.00380004600.58%9,588$0.00481260.03%9,098$0.00518632440.31%9,035$0.006efw71409.09%4,203$0.007https5810.73%3,905$0.0085881640%3,737$0.0093597320%1,531$0.0010102540%1,513$0.00Total33857100%291,342$0.00WebTrends：网络协议使用情况

OutgoingWebActivitybyUserUser#ofHits%ofTotalHitsKbytes122922935.58%86,66724971437.45%24,8653179743.75%21,01648920828.02%19,9465022008.48%15,8516238953.45%10,3897075552.13%3,2708672841.09%2,03396230.01%0SubtotalforUsersAbove25936100%184,042TotalfortheLogFile25936100%18