东软NETEYE防火墙,苏州工业园区云睿网络科技有限公司,,©2004 Neteye. All rights reserved. Confidential – Do Not Copy or Distribute,2010-05,,,东软股份资质,公司概述质量管理信息安全领域发展历程,公司概述,原名:东大阿尔派软件股份有限公司公司,创建于1991年,96年成为首家上市的软件公司 在全国建有8个研发中心,在32个城市设有分支机构,形成分布式的研发、销售、服务体系 现有正式员工5000多人,大学以上学历占93%,软件开发人员2500多人 2001年5月更名为东软股份,中国软件产业质量体系的领导者,1998年1月,中国第一家同时通过软件开发与系统集成ISO9001质量体系认证 2000年9月,率先通过CMM Level 2 2000年10月,中国第一家通过ISO9001 2000版认证(挪威船级社) 2001年6月,中国第一家通过CMM Level 3 2002年12月,中国第一家通过 CMM Level 5,强大的系统集成能力,2000年9月,通过信息产业部首批计算机信息系统集成一级资质认证,东软股份网络安全业务发展历史,,进开始进入信息安全领域,年发布第一个防火墙产品,发布NetEye FW 2.0,发布NetEy FW 3.0、NetEye IDS NetEye VPN,防火墙3.1、NetEye灵巧网关、NetEyeVPN移动客户端,1999,1996,2000,2001,2002,2003,发布防火墙3.2、IDS2.1,2005,全NP架构,网络安全研发队伍,100余人的研发队伍 10%前瞻性研究 58%产品开发 25%测试队伍 7%售前售后技术支持100%本科以上学历,其中博士5%,硕士15% 投资已经超过1000万的测试实验室,东软股份的信息安全发展策略,持续有效的技术研发投入,专业的安全服务提高公司整体解决方案实力,持续提高服务队伍的质量和能力,不断提高的产品品质,东软股份NETEYE安全体系框架,NetEye Platform,PKI Infrastructure,定制安全系统,安全咨询与服务,DataBase,NetEye Platform,,设备驱动与网络协议栈,状态包过滤引擎,Ipsec 通道技术,入侵识别与响应,审计 接口,基于流的过滤引擎,身份认证,增强的OS内核,操作系统内核中的安全平台,NetEye 防火墙发展历史,1996年立项研发 1998年实现产品化 1999年3月份NetEye1.0获得公安部销售许可证 2000年3月份发布2.0版本 2001年5月发布3.0版本 2002年3月发布3.1版本 2003年2月发布3.2版本,先后通过了国家公安部、国家信息安全产品测评中心、国家保密局、中国人民解放军信息安全产品检测中心等单位的检测和认证 先后获得辽宁省和国家级优秀新产品证书,NetEye防火墙符合的国家标准,通过公安部第三研究所检测,NetEye防火墙符合三个最新的国家标准:GB/T 18019-1999:包过滤防火墙安全技术要求GB/T 18020-1999:应用级防火墙安全技术要求GB/T18366-2001的标准:信息技术、安全技术,信息技术安全性评估准则,NetEye 防火墙资格证书,防火墙的体系结构,主流防火墙技术: 状态检测包过滤技术 应用代理技术 目前市场上主流产品的形态: 集成了状态检测包过滤和应用代理的混合型产品,混合型产品的样子,,,,,,,,,,,,,状态检测包过滤,应用级代理,缺点:规则并行有IP、端口性能,NetEye防火墙内核处理模式,,,,,,状态检测包过滤,应用级信息流过滤,NetEye防火墙的内核结构,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,基于信息流的安全策略,状态检测模块,状态检测模块,NetEye TCP协议栈,NetEye TCP协议栈,,,IP 数据包,,数据流,NetEye防火墙的独有的流过滤技术,,,,,,,,流过滤引擎,状态检测包过滤,HTTP,SMTP,FTP,DNS,,,,,网络协议栈,网络协议栈,接口设备,接口设备,,核心技术—流过滤,以包过滤的外部形态实现对应用层信息流的过滤 提供覆盖应用层和网络层的完整的访问控制 流过滤的突出特点: 融合了状态检测包过滤和应用代理安全保护能力 具有包过滤防火墙的透明性:容易部署、对应用透明 可以实现应用防护特性的迅速升级以抵御新出现的攻击手段 专为防火墙实现的TCP协议栈: 抛弃了Socket接口,轻量、高效、极低的内存占用,支持大规模并发访问 极强的抗攻击能力 抵御各种TCP层的扫描,NetEye防火墙—应用级过滤,流过滤平台,H.323应用,ORACLE访问,BEA TUXEDO,用户定制应用,,WWW访问控制---对内网用户的访问限制,,,,DMZE-Mail File TransferHTTP,Intranet,,生产部,工程部,市场部,,,路由,,,,,,,,,,,,,Internet,中继,,,,,,,,,,,,,访问非法的国外站点 反动 色情 聊天危害企 业正常网络通讯。
在防火墙中可以对企业内部 用户访问WWW页面内容进 行访问规则限制,支持关键 字,实现阻断保护企业内部 网络WWW访问控制---对DMZ服务器的检查保护措施,,,,DMZE-Mail File TransferHTTP,Intranet,,生产部,工程部,市场部,,,路由,,,,,,,,,,,,,Internet,中继,,,,,,,,,,,,在防火墙中可以对企业内部 DMZ区域的WWW服务器进 行高级别的安全防护SMTP邮件控制,,,,DMZE-Mail File TransferHTTP,Intranet,,生产部,工程部,市场部,,,路由,,,,,,,,,,,,,Internet,中继,,,,,,,垃圾邮件制造者,在防火墙中可以限制本地邮 件服务器允许接受的邮件域 ,对不属于规则范围的地址 直接阻断!,,正常用户邮件不受限制,FTP访问控制实现更细的访问粒度,,,,DMZE-Mail File TransferHTTP,Intranet,,生产部,工程部,市场部,,,路由,,,,,,,,,,,,,Internet,中继,,,,,,,,,,,,管理员可以正常从内部网络访问服务器,,,在防火墙中进行设置不允许 管理员帐号从外部网络登陆 访问服务器。
双向NAT,202.94.1.1,Fxp0的端口:8080,,,Internet,端口:80,端口:21,192.168.1.0/24,客户机,http://fxp0的IP地址:8080,Fxp0的端口:2121,,External,,,NAT应用下支持双向DNS转换解析,对外查询的IP地址,客户机,返回服务器对外NAT地址为202.106.0.22,,公网环境,内部服务器地址:10.0.0.1 域名:,外部DNS服务器,,防火墙自动把外网地址转换为内部网络地址10.0.0.1,支持视频H.323协议动态开放通讯端口,,,防火墙正常工作状态只开放端口1718或1719(发向网守的RAS消息所用端口)、1720(呼叫信令消息所用端口)媒体流需要通过RTP协议来传输,而传输所需要的源端口和目的端口是动态确定的,这些端口可能是大于1024的任意端口,因此要使H.323数据流通过防火墙,需要在防火墙规则中打开所有大于1024的端口,这显然是非常不安全的东软NETEYE防火墙全程跟踪H.323协议过程,可以动态开放特定端口保证安全与应用相统一模块化升级,Unicode缺陷 2001年5月份发布警告及基于HTTP过滤模块的保护规则 SQL Slammer 发现攻击样本后当天发布安全警告 1天后提供IDS升级包 2天后提供防火墙保护策略 “冲击波”病毒利用的RPC-DCOM溢出缺陷 8月5日发布安全警告及基本处理方案 8月7日发布IDS升级包 8月8日提供防火墙保护模块,是目前唯一一个提供针对性保护能力的防火墙产品,带宽优先级别管理,Web服务器,视频应用服务器,,,,浏览,下载,,,,一级,二级,,三级,视频,Ftp服务器,带宽管理规则库,内网,外网,外网,内网,防火墙双机热备份保证网络高可用性,客户机,客户机,客户机,服务器,,服务器,服务器,请求,,,请求,请求,请求,,,,Internet,管理员,,黑客,,如何实现 安全管理呢,采用一次性口令认证来实现安全管理,用户名,口令,用户名,口令,,安全远程管理,OTPC一次性口令认证 SNMP V3最新版本支持,Internet,,,,,,,,,,,,,,,,,DMZ Email Ftp HTTP,,财务部,市场部,研发部,Router,,来自内部的攻击,来自外部的攻击,,告警!,,内置入侵检测系统,,,,,,,采用NAP协议入侵检测产品完美集成工作,,,,DMZE-Mail File TransferHTTP,Intranet,,企业网络,生产部,工程部,市场部,,,人事部,路由,,,,,,,,,,,,,Internet,中继,,,,,,,,,,,,,,,,,,,,网络嗅探器,对网络中的数据流进行分析,解码。
查找网络问题,实时网络监控功能,实时监控网络当前连接,显示网络用户信息,可随时断开可疑连接,最大限度的保证网络安全实时网络流量监控,实时监控网络当前状况,便于用户发现网络异常,定位网络故障,,,VPN 设备容易被攻击 例如: denial of service (DOS)需要在防火墙上开通VPN流量的通道VPN流量的安全性得不到保证,VPN,Internet,,,Firewall,,,,不同种类的 VPN/Firewall 结构,,VPN 设备容易被攻击 例如: denial of service (DOS)需要在防火墙上开通VPN流量的通道VPN流量的安全性得不到保证,VPN,Internet,,,Firewall,,,,不同种类的 VPN/Firewall 结构,,,Firewall+VPN,,,,Firewall+VPN,,,NetEye VPN 同时集成了防火墙和VPN的功能 具有NetEye防火墙先进的体系结构和可靠的安全性 可防御各种攻击,保护了VPN自身的安全性 具有与防火墙一致的身份验证机制 具有VPN产品数据传输的完整性和机密性,NetEye VPN的系统结构,管理功能特性,管理功能 全GUI图形界面 按角色分权管理模式 管理员、安全员、审计员 集中的远程管理能力 快速配置备份和恢复能力 支持SNMP管理(V1,V2,V3) 监控功能 实时监控和分析工具 查看、分析连接表 设置连接延迟、中断连接 网络数据采集和分析工具,其它功能特性,容灾冗余设计 双机热备切换时间少于1秒钟 提供策略同步工具 QoS管理 流量帐户管理、实时精确的流量控制 基于IP和用户组的流量编组 周期性和预存式流量管理 基于优先级的带宽控制 骨干封装能力- 对VLAN Trunk的支持 视频多播、NetMeeting等 防止DoS攻击,双向DNS解析 与NetEye IDS联动 与防病毒产品联动 硬件特性 多处理器平台 冗余电源 可扩展网口 千兆产品 军队内部专用版本 盾—JUN1专用防火墙,权威组织的高度评价,,,,,,,,NetEye 防火墙的显著优势,网络层和应用层完整的访问控制 路由和桥接模式下,都可以实现应用层信息流过滤 专用的TCP协议栈,提升防火墙的性能,先进的流过滤体系结构,,应用层协议可以做到命令级详细的访问控制 随着应用层协议和应用层攻击的不断出现,可以进行迅速的升级,以时刻满足客户的需求,应用层的访问控制,,实时监控当前网络的连接状态 设置连接延迟、中断连接 网络数据的采集和分析,实时监控系统,,NetEye 防火墙的显著优势,2001年东软的NetEye FireWall在所有的国内产品中市场占有率第一,评测的内容包括:产品技术、服务能力、品牌知名度、资金能力、产品竞争能力。