《网御强五系列防火墙产品白皮书.docx》由会员分享,可在线阅读,更多相关《网御强五系列防火墙产品白皮书.docx(22页珍藏版)》请在三一办公上搜索。
1、联想网御强五UTM系列防火墙产品白皮书V4.0联想网御科技(北京)有限公司版权信息版权所有 20012006,联想网御科技(北京)有限公司本文档中出现的任何文字叙述、文档格式、插图、照片、方法、过程等内容,除另有特别注明,版权均属联想网御科技(北京)有限公司所有,受国家有关产权及版权法保护。如何个人、机构未经联想网御科技(北京)有限公司的书面授权许可,不得以任何方式复制或引用本文档的任何片段。商标信息联想网御,Legend,Lenovo,leadsec等标识及其组合是联想网御科技(北京)有限公司拥有的商标,受商标法和有关国际公约的保护。第三方信息本文档中所涉及到的产品名称和商标,属于各自公司或
2、组织所有。联想网御科技(北京)有限公司Lenovo Security Technologies Inc.北京市海淀区中关村南大街6号中电信息大厦8层 1000868/F Zhongdian Information Tower No.6 Zhongguancun South Street, Haidian District, Beijing电话(TEL):010-82166999传真(FAX):010-82166998技术热线(Customer Hotline):010-82167766电子信箱(E-mail):infosec公司网站:目 录1、序言42、联想网御解决方案UTM防火墙63、联想网
3、御强五UTM系列防火墙产品型号84、联想网御强五UTM系列防火墙产品介绍94.1简介94.2系统架构94.3工作模式105、联想网御强五UTM系列防火墙产品特点115.1技术领先,ASIC加速深度过滤115.2功能全面,六个大功能按需应用125.3专业服务,完善的联想服务体系136、联想网御强五UTM系列防火墙主要功能146.1防火墙146.2虚拟专用网146.3 动态入侵检测/保护156.4防病毒156.6反垃圾邮件156.7内容过滤156.7高可靠性(HA)166.8管理功能167、联想网御强五UTM系列防火墙典型应用167.1典型应用一:在电信行业中的应用167.2典型应用二:在金融行业
4、中的应用197.3典型应用三:在高校网络中的应用211、序言近几年来,随着信息化建设的飞速发展,信息安全的内容也越来越广泛,用户对安全设备和安全产品的要求也越来越高。尽管防火墙、IDS等传统安全产品在不断的发展和自我完善,但是道高一尺魔高一丈,黑客们不仅专门针对安全设备开发各种工具来伪装攻击、逃避检测,在攻击和入侵的形式上也与应用相结合越来越紧密。这些都使传统的安全设备在保护网络安全上越来越难。混合攻击带来的新挑战随着红色代码、Nimda等有里程碑式的病毒出现,改写了病毒形态和病毒的历史,病毒已经不再只具有破坏力。新的病毒已经成为黑客的攻击和入侵手段,借助病毒的传播方式,黑客们可以轻易地窃取网
5、络中的敏感数据和信息。黑客程序、木马、病毒已经有机地结合起来,使之成为黑客攻击的新工具。同时,木马、病毒等恶意程序也经常通过邮件、恶意的Web网页(或者被篡改的Web网页)、文件下载等传播途径使得病毒的危害范围和扩散速度加大。这些都给传统的安全设备带来新的挑战。一些老式的防火墙不具备内容检测的能力,不具备检测新型的混合攻击的能力。较新的深度检测防火墙往往在分片的数据包前一筹莫展,所以传统的防火墙不具备完备的内容检测能力,无法做到内容安全过滤。IDS设备虽然可以检测网络中的攻击,但是它不能对攻击行为进行有效的防御和阻断,IDS的大量误报也使得管理员难以从大量的日志中找出有价值的信息。桌面防病毒软
6、件防护对象是终端,往往需要使用者的对操作系统和其软件都有较高的操作水平,并且防病毒软件往往会限制用户一些正常操作,为了突破限制用户会不得不关闭防毒软件,这些都使得防病毒软件实施的效果受到了很大的影响,所以不能保障网络的安全。网络安全问题给管理带来的困扰随着网络应用的普及,不少企业和机关单位都对网络安全非常重视,在网络上先后布置了防火墙、IDS、防病毒系统。随着混合攻击的出现,为了减少安全隐患,用户可能还需要进一步安置网络安全设备。随之带来的问题是用户对网络安全的管理成本以及运营成本会越来越高,因为一个设备都需要管理和维护。另外,在网路中添加很多安全设备也会使得网络延迟增大、用效率降低。由于各个
7、设备输出的报表和日志格式不同,对安全事件的分析过程也会变得更加复杂,用户也难以从容地发现和解决网络中的问题。P2P技术(例如BT下载,Edonkey下载等)应用和IM(例如QQ,MSN,Skype)应用的大众化,使得用户对网络的投资回报率大大降低,也增加了网络安全隐患。IM工具是一种及时通讯和短消息的平台,但其共享文件的功能会提高病毒和木马的传播效率,用户的计算机可能在毫不知情的情况下被病毒感染或者被木马病毒程序侵占,传统的安全设备很难做到拦截这些有害程序。P2P下载工具则是一种点对点的下载工具,它会大量侵占网络带宽资源,使用户对网络的投资难以得到相应的回报。目前无论是交换机、路由器等网络设备
8、还是传统的防火墙、IPS等安全设备都难以做到对P2P应用的有效管理。垃圾邮件和灰色软件横行造成巨大损失对于企业和各类单位而言,电子邮件已经成为办公当中必不可少的工具之一。然而随着电子邮件的普及,垃圾邮件问题也网络安全中最棘手的问题之一。垃圾邮件会带来大量的垃圾信息,每个用户都需要花去相当的时间处理垃圾邮件,根据国内最近的垃圾邮件监控报告,在我国产生的垃圾邮件每周大约有6亿之多。同时,垃圾邮件也不仅仅是带来垃圾信息,垃圾邮件也会作为各种病毒、木马以及灰色软件的载体,增大用户网络安全的隐患。灰色软件是最近常出现在IT 和安全专家的视野里的新词汇。很多终端用户只是粗略地知道灰色软件和它的危害,而他们
9、的PC 或笔记本电脑系统感染却经常感染灰色软件。大多数用户都感受过灰色软件发作的危害,然而,很多灰色软件是需要下载和运行,就能悄然地完成工作,比如跟踪计算机使用,窃取隐私等。在大量的邮件病毒成为每月新闻头条的时候,用户开始意识到打开不确定邮件会带来什么危险,也许这个邮件是来自一个认识的人。至于灰色软件,用户根本就不需要打开附件或执行被感染的程序,仅仅访问使用该技术的网站,就会变成灰色软件的牺牲品。很多灰色软件只产生垃圾信息这被会当作令人厌烦的攻击,比如说弹出式窗口。在“无害”的灰色软件和盗取信用卡帐号、密码和身份证号这些有价值信息的攻击之间,是有明确的区分标准的。2、联想网御解决方案UTM防火
10、墙针对以上的各种不安全以及难以管理的因素,网御Power V UTM防火墙作为信息安全的新一代门户,就应运而生了。联想网御Power V UTM防火墙是一种多功能网关,在防火墙和VPN的基础上集成了防病毒、入侵防御系统、防垃圾邮件、网页过滤等功能。自2001年联想网御开始研发带防病毒模块的防火墙以来,经过不断地努力,在2006年第三季度我们即将实现联想UTM防火墙产品上市的梦想。在众多国内乃至全球安全厂商中,联想网御是研发UTM防火墙产品的领跑者,在2002年就取得多项该领域的技术专利。 联想网御通过对防火墙、VPN、防病毒、入侵防御、防垃圾邮件、网页过滤技术的整合和改良,使UTM防火墙产品可
11、以很好地防御目前流行的混合型数据攻击的威胁。这些特性和技术使得IT管理人员可以很容易地控制如Instant Message信息和P2P应用的传输,并且阻断来自内部的数据攻击以及垃圾数据流的泛滥。同时,设备可以支持动态的行为特征库更新,更具备7层的数据包检测能力。完全克服了目前市场上深度包检测的技术弱点。特别针对分包攻击的内容效果明显。 为了突破硬件平台限制,联想网御采用专用的ASIC芯片来完成对网络数据包的内容检测,打破了传统防火墙和VPN的内容处理障碍 ,提供了实时病毒扫描、内容过滤、防火墙、入侵检测以及流量管理功能所需的强大计算处理功能。3、联想网御强五UTM防火墙系列产品型号产品型号MT
12、BF(小时)描述网御Power V-5200 UTM防火墙 120,000电信级UTM防火墙网御Power V-3000 UTM防火墙100,000千兆高端网御Power V-2000 UTM防火墙100,000千兆中端网御Power V-1000 UTM防火墙80,000千兆低端网御Power V-400 UTM防火墙70,000百兆高端网御Power V-200 UTM防火墙70,000百兆中端网御Power V-100 UTM防火墙60,000百兆低端网御Power V-50 UTM防火墙60,000桌面防火墙4、联想网御强五UTM防火墙系列产品介绍4.1简介作为国内领先的专业的防火墙/
13、VPN厂商,联想网御在服务用户的过程中,很早就认识到传统安全设备的局限性。早在2001年,我们在国内率先推出集防火墙、防病毒、IDS功能于一身的产品,并申请了发明专利(专利号: 011091789)。近年来一直在技术上努力创新,针对多安全功能整合、并行处理等方面进行软件体系结构的改进和优化,并寻找合适的高性能硬件平台。同时,由于UTM防火墙涉及技术非常全面,既有网络层、传输层安全也有应用层安全技术,既有软件技术也有硬件技术,不可能由一家公司独立完成,必须广泛合作,尤其是和业界领先厂商合作。2005年,联想网御专门赴美国硅谷技术考察,并且成功地和多家顶级安全软硬件厂商展开深入合作。终于在2006
14、年Q2成功推出了成熟的UTM防火墙产品。目前,联想网御已经拥有提供业界最优秀UTM防火墙产品的能力,产品线覆盖百兆、千兆以及万兆级UTM防火墙。联想网御UTM防火墙产品采用了独特的高性能、高安全性、高可靠性的操作系统,提高了自身安全性的同时,加速了多线程的内容处理,为运行在其上层的防火墙、VPN、防病毒等安全引擎提供了强大而安全的性能支持。联想网御UTM防火墙使用了专门的ASIC内容处理加速芯片,大大提高了系统的内容处理能力,为特征匹配,加解密,启发式扫描提供了硬件加速。联想网御UTM防火墙在各个安全引擎中运用了新的算法和技术,针对病毒检测,内容分析等海量扫描活动使用了高效的启发式扫描;针对传
15、统包过滤无法检测的威胁,采用了完全内容检测技术;针对未知的攻击行为,使用了实时动态保护技术。4.2系统架构联想网御Power V UTM防火墙主要由硬件平台、专用操作系统、UTM管理服务系统、UTM安全引擎等四个部分组成。硬件平台根据用户使用环境的不同,选取专用安全平台或基于高性能服务器架构进行设计,并且使用专门ASIC内容处理芯片进行扫描和模式匹配的加速;专用操作系统为自主研发的高效强化安全的实时嵌入式操作系统;UTM安全引擎采用模块化设计,针对不同的应用环境和不同的安全策略,可以配置不同的功能模块。反垃圾邮件内容过滤入侵检测VPN防火墙防病毒监控日志报警HACLI高效强化安全的操作系统AS
16、IC内容处理芯片CPU4.3工作模式联想网御全系列产品均采用联想网御新一代多安全域设计,Power V UTM防火墙系列产品多口的硬件设计可以使多安全域需求得到完全的满足,完全突破了传统的内网、外网、停火区的理念,可以根据企业内部不同的部门设置不同的互通安全规则,使得不仅在内网与外网的安全得到保障,同时保障了企业内部不同部门之间的安全需求。联想网御Power V UTM防火墙支持全透明交换工作模式,与网御Power V UTM防火墙可连接各个网络之间构成一个统一的交换式物理子网,子网内部还可以有自己的第二级路由器。除安全管理以外,防火墙本身的工作不需要IP地址,为隐式全透明防火墙。这样一方面大
17、大降低了防火墙自身受到攻击的可能性,另一方面也使系统安装变得十分简单,不再需要改变原有的网络拓扑结构和各主机与设备的网络设置,即不需要重新划分网段和调整网络结构。同时强化了对虚拟局域网(VLAN)和生成树协议(STP)的支持。联想网御Power V UTM防火墙同时支持路由工作模式,与网御防火墙Power V UTM防火墙可连接不同的物理网段。防火墙接口可以通过配置别名设备,可以使得一个物理接口上绑定多个IP地址。联想网御Power V UTM防火墙还支持集群工作模式,可以通过多台防火墙的集群提高整个网络系统的可靠性,降低出现网络中断的风险。5、联想网御强五UTM系列防火墙产品特点5.1技术领
18、先,ASIC加速深度过滤联想网御UTM防火墙在自有防火墙基础上,集成了来自业界最好的软硬件技术,包括芯片加速、内容过滤、防病毒等,尤其是ASIC加速内容操作和查找,很好地解决了UTM防火墙产品的性能问题。在全系列产品中,都包含ASIC加速硬件。5.2功能全面,六个大功能按需应用联想网御UTM防火墙的功能非常全面,包含防火墙、VPN、防病毒、内容过滤、反垃圾邮件、入侵检测等,用户可以根据实际需要开启。具体来说有以下几个特点:第一, 所有功能统一配置管理,一条策略即可完成对所有安全检查的配置。第二, 支持对多个UTM防火墙设备的统一管理,可集中下发策略、集中日志收集和报告。第三, 提供统一的升级服
19、务器,自动实时更新IPS、反垃圾邮件、反病毒、内容过滤的特征库,无需用户干预。第四, 状态包过滤防火墙支持常见的音视频动态应用,包括H.323、SIP等,只开放必要的端口,同时支持NAT穿越;支持虚拟防火墙,可划分多个虚拟防火墙,独立配置使用。第五, 防病毒、内容过滤、反垃圾邮件不但能检测过滤,还能给出友好提示,比如当用户从网上下载一个含病毒的文件时,UTM的防病毒模块可以把该文件隔离起来,同时在用户浏览器中显示处理结果。反垃圾邮件、内容过滤也类似,不是简单丢弃数据包。5.3专业服务,完善的联想服务体系联想网御早在三年前就已经建立了一个覆盖全国的三级技术服务体系,可以方便快捷的响应用户从一般应
20、用到疑难杂症在内的所有技术问题。该服务体系以北京为核心,在全国范围内为用户提供全方位的服务。三级服务网络分别为:第一级 公司本部客服中心:提供每天24小时热线电话服务,工作时间的送修服务、远程调试、现场服务和保外有偿个性化服务。本部信息安全专家服务队伍负责全国服务网络的技术支持、管理、监督与协调。产品专家队伍,负责解决各种复杂、疑难问题。第二级 覆盖全国的信息安全专业服务队伍:包括华南区、华中区、华东区、西南区、西北区、华北区和东北区,是本部在外的分支机构,直接承担所在地区联想网御的客户服务。第三级 信息安全专业服务商:遍布全国各行业的专业服务商,为您提供延伸到地市一级城市的信息安全服务。对U
21、TM防火墙产品的技术支持也在该技术服务体系范围内。同时,为了确保所有联想网御UTM防火墙产品能使用最新的防病毒和攻击特征、内容扫描和检测引擎进行更新,联想网御提供了统一的升级服务器,自动实时更新IPS、反垃圾邮件、反病毒、内容过滤的特征库,客户可以将他们的联想网御安全设备设置从联想网御公司的升级网络自动更新升级。联想网御升级网络在现有多个安全和冗余的数据中心,一旦新的特征出现并可以更新时,会快速的进行主动的更新,升级网络上发布更新信息后便可进行及时升级。6、联想网御强五UTM系列防火墙主要功能6.1防火墙 工作模式:路由,透明,混合 包过滤:支持状态检测 身份认证:支持内置的认证数据库,支持R
22、adius和LDAP认证服务器 服务:提供几十种标准服务,并且支持用户自定义服务和服务组 虚拟IP映射:通过将公用IP地址映射到内部或DMZ区的服务器的私有IP地,提供安全的外部访问,使公网用户能够访问内网资源 VLAN:支持802.1Q,支持VLAN TRUNK,支持透明、路由模式,支持NAT功能 IPV6:支持IPV6地址,支持IPV6 隧道 NAT:支持动态地址转换和静态地址转换,支持双向地址转换,支持端口转换 内容过滤:基于启发式检测和异常检测,支持多种协议的重组 时间策略控制:根据自定义时间周期,进行安全策略控制 组播:支持组播协议 非IP 协议支持:支持对非IP 协议的传输与控制
23、带宽管理:支持设置优先级和DSCP控制,支持最大和最小带宽控制6.2虚拟专用网 支持客户端到网关的VPN通讯:IPSEC、PPTP、L2TP 加密算法的选择:硬件支持3DES、AES等算法 认证算法的选择:支持MD5、sha1等 密钥管理:支持IKE,支持手工密钥交换 NAT穿越:支持IPSEC NAT穿越 扩展认证:支持IPSEC XAUTH 子网穿越:支持IPSEC PPTP穿越子网连接到公网VPN网关6.3 动态入侵检测/保护 支持基于网络的IDS和实时阻断系统 攻击特征库:拥有覆盖广泛的攻击特征库,支持用户配置 消息阻断:支持MSN、QQ、雅虎通等多种即时消息的阻断 攻击阻断:支持多种
24、网络攻击的阻断 报警:支持多邮件报警6.4防病毒 病毒扫描:应用启发式高速扫描技术,支持网络病毒和蠕虫的实时扫描 协议扫描:支持HTTP、FTP、POP3、SMTP、IMAP协议的病毒扫描 VPN扫描:支持在VPN加密隧道中扫描病毒6.6反垃圾邮件 邮件服务器过滤:支持基于邮件服务器黑名单的过滤 邮件过滤:支持基于邮件地址的过滤,支持MIME头的检测,支持邮件内容过滤,支持邮件附件的扫描 DNS:支持反向DNS查找功能 RBL:可指定RBL服务器进行垃圾邮件拦截6.7内容过滤 Web内容过滤:支持URL过滤,支持关键字过滤 邮件过滤:支持邮件地址过滤,支持关键字匹配过滤,支持MIME头过滤、支
25、持邮件附件过滤 移动代码的过滤:支持对Java applet、Active-X、Jscript、Java script、Cookies的过滤6.7高可靠性(HA) 支持负载均衡 支持主从热备 接口:支持接口监控,支持将任意接口设置为HA接口,支持HA接口冗余 电源:支持电源冗余6.8管理功能 图形管理:支持WebUI图形配置 CLI管理:支持命令行接口 远程管理:支持SSH、Telnet远程命令行管理,支持HTTPS的远程图形管理 配置向导:提供快速配置向导模板 语言:提供中文、英文等多语言支持 日志:支持图形化报表,支持日志关键字搜索、支持日志分类 监控:支持SNMP,支持VPN监控, 报警
26、:通过E-mail发送病毒、攻击报警7、联想网御强五UTM系列防火墙典型应用7.1典型应用一:在电信行业中的应用网络系统说明:电信公司数据通信为各层次用户提供应用服务,同时数据中心(IDC)服务器群组更是中心的重点。联想网御Power V 3000 UTM防火墙具有其高性能和高稳定性,可针对电信公司IDC,用来保护数据中心(IDC)服务器群;公司内部网同时使用一台联想网御Power V 500 UTM防火墙,其有八个用户端口,分区管理的特点适合用来保护办公网络和内部 数据应用系统(内部WEB和视频会议)。系统的具体策略设置如下:1、 Power V 3000U UTM 防火墙运行在透明模式2、
27、 开放HTTP,SMTP,POP3,和FTP等服务3、 启用病毒功能,同时发邮件报警4、 Power V 500U UTM防火墙工作在透明模式5、 访问Internet策略,网络内部互相访问策略6、 内部网络入侵检测策略7、 网络病毒防护策略,内部网络间病毒互相传染路径隔离8、 禁止游戏端口策略网络结构拓扑:7.2典型应用二:在金融行业中的应用网络系统说明:Power V UTM防火墙在网络中提供以下功能应用:1、 策略控制;2、 Web内容和有害网页控制;3、 网络攻击防御;4、 病毒检查;5、 内部主机NAT地址转换;6、 内部服务器地址和端口保护;7、 双机热备。在本应用案例中,XXX农
28、村信用合作社网络在内网出口配置两台联想网御Power V 3000U UTM 防火墙,工作在NAT模式下启用双机热备,对整个网络访问互联网做地址转换、过滤病毒和攻击检测等;在业务网和内网之间安装了一台Power V 400U UTM防火墙,工作在透明模式下对下属网络做病毒检查、攻击检测和访问控制等。在省级与几十各县市之间配置Power V 300U UTM防火墙,保证县市的自身安全。网络结构拓扑:7.3典型应用三:在高校网络中的应用网络系统说明:XXX高校是一所部属院校。校园网主要是给在校师生提供服务。日用户访问量最高峰达到几十万个连接,总出口300M,提供游戏、电影、课件下载,bbs论坛,Web访问等服务。通过一台联想网御Power V 4000U UTM防火墙提供防护。1、工作在防火墙透明模式2、开放FTP、HTTP、SMTP、POP3、SQL Server等服务3、启用病毒检查和NIDS功能,记录日志到远程
