阿姆瑞特防火墙功能详解与配置

阿姆瑞特防火墙功能详解与配置第一页，共109页。

系统组成

技术特点阿姆瑞特防火墙功能第二页，共109页。阿姆瑞特防火墙系统组成防火墙硬件防火墙内核集中管理器日志服务器系统组成防火墙内核------专用系统内核。没有通用操作系统开销，保证了防火墙的高性能。日志服务器------一台防火墙最多可以向8台日志服务器发送日志。支持Syslog日志、提供导入WebTrends和EIQ等其它第三方日志分析工具进行日志的分析防火墙硬件------防火墙采用专用硬件，采用高性能的CPU和大容量的内存保证硬件的高性能。集中管理器------可以对阿姆瑞特所有型号的防火墙管理，最多可管理3千台防火墙。第三页，共109页。阿姆瑞特防火墙—内核Linux/FreeBSDUNIXO/SInterfaceInterfaceInterfaceNetworkDriversDevicehandlerModifiedTCP/IPStackFirewallSoftware传统防火墙阿姆瑞特防火墙

存在操作系统上的漏洞速度慢升级复杂（需要分别升级操作系统和防火墙软件）InterfaceInterfaceInterfaceFirewallCore高安全无通用操作系统漏洞高性能无通用操作系统开销，最大程度的驱动硬件性能升级简单简单的内核升级第四页，共109页。

系统组成

技术特点阿姆瑞特防火墙功能第五页，共109页。全方位安全防护强大的路由功能专业的带宽管理灵活的网络接入丰富的VPN功能

安全防护

路由功能

带宽管理网络接入

VPN功能阿姆瑞特防火墙功能便捷的图形管理细微的网络日志

图形管理

网络日志第六页，共109页。全状态检测防火墙采用状态检测技术数据包一致性检查防止假冒IP攻击防止非正常连接提高工作效率IllegalAddressesChecksumControlTTLControlLayerSizeConsistencyIPOptionSizesIPSourceRouteIPTimestampIPBadOptionsIPReservedflagTCPBlindSpoofingProtectionTCPHeaderOptionSizesTCPMSSControlTCPWindowScaleTCPSelectiveACKTCPTimestampTCPAlternateChecksumTCPConnectionCountTCPBadOptionsTCPFlagcombinationsTCPReservedFieldTCPNULLPacketsICMPResponseControlARPSpoofingProtectionStrictInterfaceMatchingConnectionTimeoutControlPayloadSizeControlReassemblyTimingControlIllegalFragmentsDuplicateFragmentsFragmentedICMPCLOSEDLISTENSYN-SENTSYN-RCVDESTABLISHEDFIN-WAIT-1FIN-WAIT-2CLOSE-WAITCLOSINGTIME-WAITLAST-ACK第七页，共109页。状态检测表HostCHostDNo访问控制规则表Yes独特的全状态检测过滤第八页，共109页。查找对应的控制策略拆开数据包进行分析根据策略决定如何处理该数据包控制策略源和目的地址源和目的端口IP协议号ICMP信息类型IP和TCP中都有的选项IP和TCP标记组合VLAN标识路由协议时间内容IPSEC、PPTP、L2TP等可以灵活地制定的控制策略数据包数据包灵活的访问控制第九页，共109页。控制某条规则的生效时间基于时间的控制第十页，共109页。应用层应用层应用层应用层应用层

应用控制可以对常用的高层应用做更细的控制如HTTP的内容、URL过滤等如FTP的GET、PUT命令、内容

H.323全面代理物理层链路层网络层传输层会话层表示层物理层链路层网络层传输层会话层表示层内部网络外部网络防火墙内部接口外部接口根据策略检查应用层的数据符合策略应用层过滤第十一页，共109页。内容过滤第十二页，共109页。用户认证第十三页，共109页。OSFingerprinting和Firewalking网络的TCP/UDP端口扫描SYNfloodICMPflood攻击UDPflood攻击死ofping(Pingdeath)攻击IP欺骗(IPspoofing)攻击端口扫描(Portscan)陆地攻击(Landattack)撕毁攻击(Teardropattack)过滤IP源路由选项(FilterIPsourcerouteoption)IP地址扫描攻击(IPaddresssweepattack)WinNukeattack攻击Java/ActiveX/Zip/EXEDos&DDoS攻击用户定义的不良URLPer-sourcesessionlimiting攻击Synfragments攻击SynandFinbitset攻击NoflagsinTCP攻击FINwithnoACK攻击ICMPfragment攻击LargeICMP攻击IPrecordroute攻击IPsecurityoptions攻击IPstream攻击IPbadoption攻击Unknownprotocols攻击强大的抗攻击能力第十四页，共109页。防攻击原理传统的防火墙通过设定阈值进行攻击防范，例如每个IP每秒2000个SYN报文以下才认为是正常的，超出视为攻击依托通用OS，OS对攻击的抵御能力不足；且防火墙软件与OS间必然存在开销，消耗系统资源阿姆瑞特防火墙采用类似代理技术进行攻击防范，必须首先与防火墙建立起连接，防火墙才会再与主机进行连接，攻击不会通过防火墙到达主机专用内核，没有OS开销，提高了自身抵御攻击能力设计中充分考虑了系统抗攻击的能力，预留防火墙系统资源，任何情况下CPU利用率都不会达到100%第十五页，共109页。全方位安全防护强大的路由功能专业的带宽管理灵活的网络接入丰富的VPN功能

安全防护

路由功能

带宽管理网络接入

VPN功能阿姆瑞特防火墙功能便捷的图形管理细微的网络日志

图形管理

网络日志第十六页，共109页。支持4096条静态路由支持PBR（PolicyBasedRouting，基于策略的路由），配置主路由表和多个PBR路由表，不同的规则采用不同的路由表，支持多个缺省网关支持路由备份支持OSPFV2动态路由支持虚拟路由器/系统全面支持802.1Q强大的路由功能第十七页，共109页。internetcernetWANLAN可以根据需要，按照源IP地址、服务，将数据流从不同的端口送出防火墙基于策略的路由（PBR）第十八页，共109页。基于策略的路由（PBR）第十九页，共109页。反垃圾邮件/抗病毒/HTTP代理更安全

防火墙防止了来自内外部的恶意攻击更大的吞吐量

只有特定的网络需要通过抗病毒/垃圾扫描和HTTP代理，保证网络的吞吐量管理优势

不需要客户端的代理设置，防火墙可以高度控制信息流量使用策略路由第二十页，共109页。ADSL电信支持路由备份第二十一页，共109页。CernetTelcomCNCLAN多个出口之间可以做互相备份，避免了因为链路问题出现的故障多出口互相备份第二十二页，共109页。OSPFInternet全面支持OSPF第二十三页，共109页。OSPF动态路由信息可以穿越VPN通道，进行传递。DynamicroutedIntranetusingOSPFVPNIP-SecInterface,OSPFmemberVPN接口支持动态路由第二十四页，共109页。一墙多用在一台防火墙上创建多个逻辑分离的系统在一台物理设备上可以做的任何事在虚系统上都可以做，包括访问控制，带宽管理和动态路由功能。高灵活性不需要增添硬件，而是通过增加虚系统进行扩展简化配置管理使复杂的路由及策略配置更简单减少所需策略数量－降低由于策略配置错误带来的安全隐患增加用户服务机会在一台机器上运行多个虚系统来服务多个用户，来增加新业务的机会想象一下在一个阿姆瑞特防火墙冗余群集使用成百的虚系统来替代同等数量的网关设备，而每一个虚系统都为一个负费的客户服务！虚系统第二十五页，共109页。/24/24/24虚拟路由/系统第二十六页，共109页。虚拟路由/系统第二十七页，共109页。VLAN间路由Trunk扩展端口Trunk穿越VLAN10VLAN20VLAN10VLAN10VLAN20VLAN10VLAN20VLAN10VLAN20VLAN10VLAN20透明模式VLAN20VLAN10VLAN20VLAN10VLAN20VLAN10VLAN20TrunkLinkTrunkLink对VLAN（802.1Q）的支持第二十八页，共109页。全方位安全防护强大的路由功能专业的带宽管理灵活的网络接入丰富的VPN功能

安全防护

路由功能

带宽管理网络接入

VPN功能阿姆瑞特防火墙功能便捷的图形管理细微的网络日志

图形管理

网络日志第二十九页，共109页。最大带宽限制带宽保证传输优先控制动态流量均衡传输平衡控制Usr1Usr2Usr3Usr4Usr5Usr1Usr2Usr3Usr4Usr5带宽管理第三十页，共109页。可以对用户IP地址、服务等通过防火墙的带宽进行限制，例如：限制某个用户对外访问最大带宽，或者访问某种服务的最大带宽。带宽控制第三十一页，共109页。保证网络中重要服务或者重要用户的带宽不被其他服务或者用户占用，从而保证了重要数据优先通过网络。带宽保证第三十二页，共109页。通过定义管道的方式提供功CoS/QoS能，并且管道没有数量的限制，也就是说优先级控制的等级没有数量的限制，同时可在每一个管道中，可以设定8个优先级（0-7），从而可以进行更加细致的流量控制。优先级控制第三十三页，共109页。为了保证网络中的所有带宽都得到合理的应用，防火墙提供动态流量均衡功能。例如：假如某网络带宽为256k，设定主机A的带宽为100k，主机B带宽为156k。如果主机B目前只用到120k，而主机A100k的带宽不够用，此时主机A可以动态获得主机B剩余的36K带宽。如果主机B某一时刻的突发速率到156K，他会动态的从主机A那里获得属于他的36K带宽，从而保证重要服务或者用户优先进行数据传输。动态流量均衡第三十四页，共109页。可根据需要进行设置，保证内网各用户分配带宽趋于平衡，不致出现“贫富分化”的现象。Usr1Usr2Usr3Usr4Usr5Usr1Usr2Usr3Usr4Usr5传输平衡控制第三十五页，共109页。通过定义管道的方式提供功CoS/QoS能管道没有数量的限制设置精度为1Kbps，偏差率不超过5%可进行带宽限制、带宽保证、动态均衡带宽大差别带宽管理时，不存在“饿死”现象可对上传和下载数据分别进行带宽管理明通、密通数据均可以作带宽管理带宽管理可基于接口、VLAN、IP地址、服务、时间等设定阿姆瑞特防火墙带宽管理特点第三十六页，共109页。全方位安全防护强大的路由功能专业的带宽管理灵活的网络接入丰富的VPN功能

安全防护

路由功能

带宽管理网络接入

VPN功能阿姆瑞特防火墙功能便捷的图形管理细微的网络日志

图形管理

网络日志第三十七页，共109页。

透明、路由、混合接入同一接口下的透明+NAT

源地址、目标地址同时转换对称式接口设计服务器负载均衡单链路双网关接入高可靠性连接灵活的网络接入第三十八页，共109页。受保护网络Internet如果防火墙支持透明模式，则内部网络主机的配置不用调整HostAHostCHostDHostB同一网段DefaultGateway=防火墙相当于网桥，原网络结构没有改变透明接入第三十九页，共109页。受保护网络InternetDefaultGateway=防火墙相当于一个简单的路由器67提供简单的路由功能HostAHostCHostDHostB路由接入第四十页，共109页。WWW服务器DNS服务器Mail服务器/24internet防火墙此时工作在混合模式下混合接入第四十一页，共109页。GW-World:IP_WAN:/28DMZWeb_Server:Net-LAN:/24

隐藏了内部网络的结构内部网络可以使用私有IP地址公开地址不足的网络可以使用这种方式提供IP复用功能源地址转换/NAT&IP复用IP_LAN:Internet第四十二页，共109页。

阿姆瑞特防火墙支持PPPoE协议，通过在防火墙上输入用户名和口令后便可以ADSL接入，可以通过ADSL获得动态IP地址进行地址转换、VPN等操作。InternetWAN：ADSL接入LAN：1int-net/24防火墙使用两个端口WAN：通过ADSL接入，获得动态IP地址LAN：ADSL接入第四十三页，共109页。545352/24/24省电力**电力集团内部网一部分通过透明访问电力集团、一部分通过NAT访问电力集团同一接口下的透明+NAT第四十四页，共109页。证券网络银行网络证券、银行互相不能知道对方的网络拓扑，因此要求证券访问银行服务器的时候，必须访问证券内部一个地址，通过防火墙映射为银行的地址；同时进行地址转换/240000/24源地址、目标地址同时转换第四十五页，共109页。多个内网、多个外网、多个DMZ对称式接口设计第四十六页，共109页。方案说明：内网到外网NAT，通过接口地址访问互联网.DMZ到外网接口做透明外网单链路双网关，DMZ与/24做透明，走另一网关/24

。DMZ通过策略路由上网单链路多网关接入WAN:

/24内网用户:/16LAN:

/16服务器：/24/24电信网络DMZ双网关:/24/24第四十七页，共109页。InternetICMP检测

TCP检测轮询算法连接率算法负载均衡第四十八页，共109页。内部网外网或者不信任域Eth0Eth0Eth1Eth1Eth2Eth2心跳线ActiveFirewallStandbyFirewall检测ActiveFirewall的状态发现出故障，立即接管其工作

正常情况下由主防火墙工作主防火墙出故障以后，接管它的工作双机热备第四十九页，共109页。内部网外网或者不信任域Eth0Eth0Eth1Eth1Eth2Eth2心跳线ActiveFirewallStandbyFirewall检测ActiveFirewall的状态发现出故障，立即接管其工作

正常情况下由主防火墙工作主防火墙出现链路故障以后，接管它的工作接口备份第五十页，共109页。不同型号的防火墙可以作双机热备、链路备份切换的时间短（0.6秒）反复切换对应用不产生影响采用虚拟IP、虚拟MAC技术，切换后防火墙周边设备ARP列表不变，保证平滑切换双机热备特点第五十一页，共109页。全方位安全防护强大的路由功能专业的带宽管理灵活的网络接入丰富的VPN功能

安全防护

路由功能

带宽管理网络接入

VPN功能阿姆瑞特防火墙功能便捷的图形管理细微的网络日志

图形管理

网络日志第五十二页，共109页。

支持NAT访问互联网同时与分（总）公司之间建立VPN隧道；支持明密结合，灵活网络部署；支持星型拓扑VPN接入支持多动态VPN接入支持客户端VPN穿越支持PPTP/L2TP的VPN

支持2台防火墙之间建立多条VPN隧道支持多条VPN链路的备份支持X.509证书和共享密钥，支持第三方CA认证；支持AES、DES、3DEC、cast128、blowfish、Twofish等加密算法；支持MD5、SHA-1认证算法；采用IPSec国际标准协议，提供传输方式和隧道方式建立VPN隧道；可以与第三方支持IPSEC协议产品建立VPN隧道阿姆瑞特VPN特点第五十三页，共109页。特点：1.北京用户与上海用户通过私有地址通讯，同时可以访问Internet2.出差用户通过VPN客户端与北京总部或者上海分部通讯，同时可以访问Internet3.北京用户与上海用户进行点对点连接，出差用户与北京、上海点对点连接4.适用于分公司（VPN隧道）不多的用户北京上海VPN接入一点对点第五十四页，共109页。深圳上海重庆哈尔滨北京中心特点：1.北京总部与各个分部通过私有地址通讯，同时可以访问Internet2.出差用户通过VPN客户端与北京总部，然后通过北京总部访问各分公司3.出差用户与总部和分部通讯的同时可以访问Internet4.星型拓扑适用于分公司（VPN隧道）较多的用户InternetInternetPSTN出差用户VPN接入二星型连接第五十五页，共109页。工作站总部……移动用户

VPN

分部VPN服务器工作站ADSLPSTN/24/24动态获得1动态IP动态IP特点：1.VPN接入的双方或者多方IP地址都是动态变化的；2.北京用户与上海用户通过私有地址通讯，同时可以访问Internet3.出差用户通过VPN客户端与北京总部或者上海分部通讯，同时可以访问Internet北京上海服务器VPN接入三多动态IP第五十六页，共109页。VPN接入三多动态IP第五十七页，共109页。总部

VPN

分部防火墙工作站服务器/24/24北京上海VPN客户端软件服务器工作站000InternetNAT转换特点：1.VPN客户端软件作了NAT后与VPN网关建立隧道；2.上海用户通过客户端软件通过NAT穿越与北京的私有地址通讯，同时通过防火墙NAT转换可以访问InternetVPN接入四客户端NAT穿越第五十八页，共109页。广域网VLAN2VLAN3VLAN4VLAN2VLAN3VLAN4双机多隧道第五十九页，共109页。当一条链路中断时，另一条自动启动转发数据包当一条链路中断时，另一条自动启动进行VPN连接站段路局广域网广域网VPN链路备份第六十页，共109页。全方位安全防护强大的路由功能专业的带宽管理灵活的网络接入丰富的VPN功能

安全防护

路由功能

带宽管理网络接入

VPN功能阿姆瑞特防火墙功能便捷的图形管理细微的网络日志

图形管理

网络日志第六十一页，共109页。多站点、多用户管理系统

全中文，图形化的管理系统提供了对多台防火墙的集中控制安全通讯

所有远程管理，包括配置以及软件升级等全部都通过128位加密和认证，安全可靠集中配置档案

所有的配置历史文档被完整保存，恢复以前任何版本的历史配置或者替换一台正在运作的防火墙只需几分钟时间。配置模板共享。管理系统第六十二页，共109页。阿姆瑞特防火墙---管理器菜单安全编辑器防火墙工具第六十三页，共109页。市市县县管理中心省中心县县防火墙——统一管理第六十四页，共109页。所有产品管理一样系统管理员添加防火墙管理员、审计员；无权利管理防火墙；无权利察看操作日志防火墙管理员对防火墙进行管理；无权利添加任何用户；无权利察看操作日志防火墙审计员察看防火墙操作日志；无权利管理防火墙；无权利添加任何用户集中和分权管理第六十五页，共109页。

防火墙的内核、规则、QOS、接口、RAM、Buffer、连接等数据进行详细的统计和图形报表。可以实时掌握防火墙的运行状态，网络的流量情况，及时发现可能发生的非法攻击。防火墙CPU上的载荷比。Ppscounters–接收，发送以及总数据包的数目。Bpscounters–接收，发送以及总字节数。Drops–该接口接收到的因不符合规则集决定或包检查规则而被丢弃的包数目。IPErrors–该接口接收到包数目，这些包受到严重损坏，以至不能通过路由器到达防火墙，因此，不可能造成攻击。SendFails–因负载严重，硬件问题或半双工连接拥挤致使内部资源缺乏而无法发送的包数目。实现基于规则的计数器的实施监控产品管理——内置防火墙状态监测器第六十六页，共109页。减少规则数量、简化管理员工作组策略管理第六十七页，共109页。全方位安全防护强大的路由功能专业的带宽管理灵活的网络接入丰富的VPN功能

安全防护

路由功能

带宽管理网络接入

VPN功能阿姆瑞特防火墙功能便捷的图形管理细微的网络日志

图形管理

网络日志第六十八页，共109页。专用的日志记录器可搜集详细的防火墙日志数据，并可使用管理软件中的日志分析工具所提供的强大逻辑查询功能，对数据进行分析。从而帮助管理员有效地进行数据流分析。支持的LogServerSyslogserver防火墙专用logserver支持的查询方式可以简单查询，日期、IP地址等可以使用类似SQL的查询方式直观的树状结构，可快速查找相应的条目。支持WebTrends日志分析、报表工具日志管理第六十九页，共109页。实时显示Amaranten

日志Syslog日志EIQ日志分析WebTreds分析USAGE事件--定期统计数据，定期发送这些事件并提供数据流连接和数量的统计信息。每个事件间的间隔时间由防火墙配置设置部分的UsageLogInterval设置规定。USAGE事件中包括以下事件。连接统计打开的连接数一段时间内打开的连接数关闭的连接数一段时间内关闭的连接数最大连接数一段时期内任何时间打开的最高连接数最小连接数一段时期内任何时间打开的最低连接数并发连接数事件发生时打开的连接数每个接口的统计每秒的入站比特接口每秒接收数据流的平均数每秒的出站比特接口每秒发出数据流的平均数每秒的出站比特接口每秒接收包的平均数每秒出站的包接口每秒发包的平均数每秒丢弃的包每秒丢弃包的平均数阿姆瑞特防火墙丰富的日志功能第七十页，共109页。阿姆瑞特将SQL改编后，形成LQL询问语言，使用该语言可灵活使用日志分析工具阿姆瑞特防火墙日志分析功能第七十一页，共109页。

OutgoingProtocolUsageProtocol#ofEvents%ofTotalEventsKbytesCost1http2535532.28%180,136$0.002410.05%52,295$0.00380004600.58%9,588$0.00481260.03%9,098$0.00518632440.31%9,035$0.006efw71409.09%4,203$0.007https5810.73%3,905$0.0085881640%3,737$0.0093597320%1,531$0.0010102540%1,513$0.00Total33857100%291,342$0.00WebTrends:网络协议使用情况第七十二页，共109页。

OutgoingWebActivitybyUserUser#ofHits%ofTotalHitsKbytes122922935.58%86,66724971437.45%24,8653179743.75%21,01648920828.02%19,9465022008.48%15,8516238953.45%10,3897075552.13%3,2708672841.09%2,03396230.01%0SubtotalforUsersAbove25936100%184,042TotalfortheLogFile25936100%184,042WebTrends:每个IP使用情况第七十三页，共109页。IncomingTrafficbyHoursDetailsHour#ofEvents%ofTotalEventsKbytes00:00-00:5900%001:00-01:5900%002:00-02:5900%003:00-03:5900%004:00-04:5900%005:00-05:5900%006:00-06:5900%007:00-07:5900%008:00-08:5900%009:00-09:5900%010:00-10:5998219.91%6311:00-11:5960512.27%10312:00-12:5987517.74%7913:00-13:594549.2%114:00-14:592294.64%13815:00-15:5978815.98%4016:00-16:5976015.41%35717:00-17:592374.8%32318:00-18:5900%019:00-19