《天清汉马usgfwp系列防火墙专业技术白皮书v》由会员分享,可在线阅读,更多相关《天清汉马usgfwp系列防火墙专业技术白皮书v(37页珍藏版)》请在金锄头文库上搜索。
1、天清汉马天清汉马 USG-FW- P 系列防火系列防火 墙墙 技术白皮书技术白皮书 二零一三年十月 启明星辰天清汉马 USG-FW-P 系列防火墙技术白皮书 北京启明星辰信息技术有限公司 通信地址:北京市海淀区中关村南大街 6 号中电信息大厦 8 层(邮编:100086) 电 话:01082166999 传 真:01082166998 网 址: 服务热线:400-810-7766(24 小时) 目 录 1概述概述1 2天清汉马天清汉马 USG 防火墙产品特点与技术优势防火墙产品特点与技术优势 .2 2.1 智能的 VSP 通用安全平台2 2.2 高效的 USE 统一安全引擎3 2.3 高可靠的
2、 MRP 多重冗余协议.4 2.4 完备的关联安全标准 5 2.5 基于应用的内容识别控制 6 2.5.1 智能匹配技术.6 2.5.2 多线程扫描技术.7 2.5.3 应用感控技术.7 2.6 精确细致的 WEB 过滤技术.8 2.7 可信架构主动云防御技术 8 2.8 IPV6 包状态过滤技术 9 3天清汉马天清汉马 USG 防火墙产品主要功能防火墙产品主要功能.10 4典型组网典型组网.17 4.1 政府行业17 4.1.1 电子政务网.17 4.1.2 政府专网.18 4.2 教育行业19 4.2.1 高教校园网.19 4.2.2 中/基教教育城域网.20 4.3 企业市场21 4.3
3、.1 中小企业.21 4.3.2 大型企业.22 启明星辰天清汉马 USG-FW-P 系列防火墙技术白皮书 北京启明星辰信息安全技术有限公司 网址: 地址:北京市海淀区东北旺西路 8 号中关村软件园 21 号楼启明星辰大厦一层(100093) 1概述概述 诞生 20 多年来,网络已经在全球经济中扎根发芽,蓬勃成长为参天大树,对各 个行业的发展起着举足轻重的作用。随着时间的推移,网络的安全问题也日益严重, 在开放的网络环境中,网络边界安全成为网络安全的重要组成部分。在网络安全的术 语里,有一个名词叫做“安全域” ,其主要作用就是将网络按照业务、保护等级、行为 等方面划分出不同的边界,定义出各自的
4、安全领域。举个简单的例子,在 PC 上安装 了相关的杀毒软件,PC 本身就是一个最简单的安全域。对于单位用户,安全域往往由 若干网络设备和用户主机构成,其边界安全主要在于与互联网的边界、与其他业务网 络的边界等。 防火墙是解决网络边界安全的重要设备,它主要工作在网络层之下,通过对协议、 地址和服务端口的识别和控制达到防范入侵的目的,可以有效的防范基于业务端口的 攻击。 天清汉马 USG 防火墙是北京启明星辰信息安全技术有限公司凭借在信息安全领 域多年的经验积累,总结分析用户的切身需求,推出新一代的 P 系列防火墙产品。天 清汉马 USG 防火墙采用高性能的硬件架构和一体化的软件设计,除了实现了
5、状态检测 防火墙功能,还同时支持 VPN、上网行为管理、抗拒绝服务攻击(Anti-DoS) 、内容 过滤、AV、入侵防御等多种安全技术,同时全面支持 QoS、高可用性(HA) 、日志审 计等功能,为网络边界提供了全面实时的安全防护。 天清汉马 USG 防火墙可直接通过功能许可激活的方式,获得包括防病毒(AV) 、 入侵防御(IPS) 、防垃圾邮件(Anti-Spam)和内网安全功能。 天清汉马 USG 防火墙产品线丰富,可以为政府、教育、金融、企业、能源、运 营商等用户提供所需要的全系列的安全防护产品。 启明星辰天清汉马 USG-FW-P 系列防火墙技术白皮书 北京启明星辰信息安全技术有限公司
6、 网址: 地址:北京市海淀区东北旺西路 8 号中关村软件园 21 号楼启明星辰大厦一层(100093) 2产品综述产品综述 2.1 产品综述产品综述 天清汉马下一代 p 系列 USG 防火墙是集防火墙、VPN、上网行为管理 AC、内容 过滤、防病毒、入侵防护等多种安全技术于一身,高性能、绿色低碳,同时全面支持 各种路由协议、QoS、高可用性(HA) 、日志审计等功能,为网络边界提供了全面实时 的安全防护,帮助用户抵御日益复杂的安全威胁。 天清汉马 USG 防火墙采用了一体化的设计方案,在一个产品中协调统一地实现了 接入安全需要考虑的方方面面。采用天清汉马 USG 防火墙,可以从整体上解决了接入
7、 安全的问题。用户可不必考虑产品部署、兼容性等困惑,也不再因为多个产品难于维 护管理而苦恼,天清汉马 USG 防火墙是低成本、高效率、易管理的理想解决方案。 天清汉马 USG 防火墙产品线丰富,可以为政府、教育、金融、企业、能源、运营 商等用户提供所需要的全系列的安全防护产品。 自从天清汉马 USG 防火墙推向市场以来,很快就凭借其强大的功能和在实际应用 中优异表现,赢得了众多机构和用户的广泛赞誉。 2.2 特点说明特点说明 天清汉马 USG 防火墙具有如下特点: 启明星辰天清汉马 USG-FW-P 系列防火墙技术白皮书 北京启明星辰信息安全技术有限公司 网址: 地址:北京市海淀区东北旺西路
8、8 号中关村软件园 21 号楼启明星辰大厦一层(100093) 完善的防火墙特性完善的防火墙特性 支持基于源 IP、目的 IP、源端口、目的端口、时间、服务、用户、文件、网址、 关键字、邮件地址、脚本、MAC 地址等方式进行访问控制 支持流量管理、连接数控制、IP+MAC 绑定、用户认证等 支持虚拟防火墙:可以将接口划分给不同的虚拟防火墙,每个虚拟防火墙具有 独立的管理员、安全域、资源对象、安全策略、NAT 规则、静态路由等配置 同终端无缝结合:支持同天珣内网安全管理系统联动,将防火墙防御能力推进 到桌面终端 高网络适用性高网络适用性 支持透明、路由和 NAT 模式部署 支持静态路由、策略路由
9、、RIP/OSPF/BGP 动态路由,支持等价路由 ECMP 和加 权路由 WCMP,支持组播路由 支持 STP,可以同二层网络设备进行生成树计算 支持 IGMP Snooping,优化在桥模式下的组播流量 支持私有 HA 和 VRRP 支持 IPv6:支持 IPv4、IPv6 双栈运行、静态 IPv6 路由、手工隧道、6to4 隧道和 ISATAP 隧道。 支持链路聚合,可通过手动方式、IEEE802.3ad 静态 LACP 方式创建聚合链路; 通过链路聚合可以增加链路带宽,并起到负载均衡和链路备份的作用 支持 802.11B,802.11G 协议,可以扩展 WIFI 模块以提供 WIFI
10、接入,支持设备作 为 WiFi 热点(即 AP) ,为客户机提供无线安全接入服务 支持 3G(CDMA2000)协议,可以扩展 3G 模块以提供 3G 上行网络接入 高稳定性和可靠性高稳定性和可靠性 产品具有高性能,同时多核之间互为备份,可靠性高 支持私有协议 HA 和 VRRP,实现双机热备和冗余 支持双操作系统和多配置文件,最大支持 10 个配置文件备份 启明星辰天清汉马 USG-FW-P 系列防火墙技术白皮书 北京启明星辰信息安全技术有限公司 网址: 地址:北京市海淀区东北旺西路 8 号中关村软件园 21 号楼启明星辰大厦一层(100093) 全面的全面的 VPN 支持支持 多 VPN
11、支持: IPSec、L2TP、SSL VPN、GRE 丰富的应用:专用 VPN 客户端、USBKEY、动态口令卡、图形认证码 灵活的部署:Hub-Spoken、Full-Mesh、DVPN、网关网关的 SSL VPN 支持对 IPAD、IPHONE 等移动终端的 VPN 接入 完善的上网行为管理功能完善的上网行为管理功能 采用独立的上网行为管理库,通过互联网实现每周更新。 P2P 控制:对 Emule、BitTorrent、Maze、Kazaa 等进行阻断、限速 IM 控制:基于黑白名单的 IM 登录控制、文件传输阻止、查毒;支持主流 IM 软件如 QQ、MSN、雅虎通、Gtalk、Skype
12、 流媒体控制:对流媒体应用进行阻断或限速,支持 Kamun ppfilm 、PPLive、PPStream、QQ 直播、TVAnts、沸点网络电视、猫扑播霸等 网络游戏控制:对常见网络游戏如魔兽世界、征途、QQ 游戏大厅、联众游戏 大厅等的阻断 股票软件控制:对常用股票软件如同花顺、大参考、大智慧等的阻断 强大的日志报表功能强大的日志报表功能 记录内容丰富:可对防火墙日志、攻击日志、病毒日志、带宽使用日志、Web 访问日志、Mail 发送日志、关键资产访问日志、用户登录日志等进行记录 日志快速查询:可对 IP 地址、端口、时间、危急程度、日志内容关键字等进行 查询 报表贴近需求:根据用户具体需
13、求,定制报表内容、定制报名名称、定制企业 LOGO,并可形成多种格式的报表文件。 方便的集中管理功能方便的集中管理功能 通过集中管理与数据分析中心实现对多台设备的统一管理、实时监控、 集中升级和拓扑展示。 启明星辰天清汉马 USG-FW-P 系列防火墙技术白皮书 北京启明星辰信息安全技术有限公司 网址: 地址:北京市海淀区东北旺西路 8 号中关村软件园 21 号楼启明星辰大厦一层(100093) 3体系架构说明体系架构说明 3.1 产品构成产品构成 天清汉马 USG 防火墙主要由两部分组成:USG 防火墙设备和天清集中管理与数据 分析中心。 USG 防火墙设备:即部署在网络出口,融合多种安全能
14、力,针对恶意攻击、非法 活动和网络资源滥用等威胁,实现精确防控的高可靠、高性能、易管理的网关安全设 备。 天清集中管理与数据分析中心:主要功能分为集中管理功能与数据分析功能,集 中管理是对 USG 防火墙设备的集中管理、统一监控和升级中心,通过它可以集中配置、 监控和管理所管辖的多台 USG 防火墙设备,并按照一定的规则组织成层次结构,方便 管理员对于整网 USG 防火墙设备的监控维护工作;数据分析中心是 USG 防火墙设备 海量信息的后台处理中心。主要完成 USG 防火墙设备日志和流量信息的存储、分析、 审计和处理功能。 3.2 软件结构软件结构 防火墙作为网关类产品,究竟什么样的软件结构更
15、有利于提升整体性能?那么首 先需要知道什么是性能消耗的关键业务单元。启明星辰通过对网关类产品单一分析处 理引擎的详细分析和试验验证,得出网关类产品性能消耗 50来自于模式匹配,25 来自于协议重组、25来自于报文重组的结论。 图 1. 网关分析处理引擎性能消耗分析 如何融合分析处理引擎,合并性能消耗关键业务单元成为防火墙产品软件结构设 启明星辰天清汉马 USG-FW-P 系列防火墙技术白皮书 北京启明星辰信息安全技术有限公司 网址: 地址:北京市海淀区东北旺西路 8 号中关村软件园 21 号楼启明星辰大厦一层(100093) 计首要考虑的问题。 基于研究数据,启明星辰在天清汉马 USG 防火墙
16、的软件结构设计上引入了一体化 的设计理念。即将防火墙、VPN、内容过滤和流量管理等各项功能的分析处理引擎进 行一体化设计,以达到性能最优的目的。 天清汉马 USG 防火墙本着安全高效原则,采用“检测与控制相分离,引擎特征相检测与控制相分离,引擎特征相 统一统一”的一体化设计思想:人机界面、报文接收模块、报文处理模块、报文发送模块和 支撑库。网络报文首先通过报文接收模块进行预处理后进入报文处理模块,在报文处 理模块,防火墙进行 23 层过滤,VPN 负责接入控制;其次模块匹配引擎和行为分析 引擎分别根据统一特征库和行为知识库进行匹配查找;最后,对于合法报文直接交由 报文发送模块进行报文转发,对于非法报文,送交相应的处理引擎进行处理。整个过 程的日志信息和数据流量信息送集中管理与数据分析中心监控和备案,管理中心负责 整体的配置和调整。 Comment LJJ1: 这是网御惯用的 说法,查一下原先 USG 的说法是 什么样的保持一致 Comment LJJ2: 图也是网御的图 启明星辰天清
