《防火墙技术与应用 教学课件 ppt 作者 陈波 第10章 商业防火墙产品及选购》由会员分享,可在线阅读,更多相关《防火墙技术与应用 教学课件 ppt 作者 陈波 第10章 商业防火墙产品及选购(21页珍藏版)》请在金锄头文库上搜索。
1、1,第10章 商业防火墙产品及选购,商业防火墙产品概述 国内防火墙产品 国外防火墙产品 商业防火墙产品选型的基本原则,防火墙技术与应用,2,10.1商业防火墙产品选型的基本原则,10.1.1 “胖”防火墙产品 “胖”防火墙在保证基本功能的前提下,不断扩展增值功能NAT、VPN、QoS以及入侵检测IDS、防病毒AV等。“胖”防火墙将安全趋向于一种注重功能大而全的单一产品体系,力图将防火墙系统开发成为一个安全域的整体解决方案。 优点在于可以满足用户绝大部分的网络安全需求。 “胖”防火墙的缺点也是很明显的,最突出的就是性能问题。,防火墙技术与应用,3,10.1商业防火墙产品选型的基本原则,10.1.
2、2 “瘦”防火墙产品 一般来说,大型用户安全需求广泛,专业性要求强,安全投入较大,自身安全管理能力也较高,因此,这种客户均倾向于使用独立的安全设备。安全厂商也竭力挖掘防火墙产品的最大功能。 “瘦”防火墙也就经历了从包过滤、应用代理、状态检测到深度检测、智能检测以及从双机热备到负载均衡、高可用性集群(High Availability Cluster)的发展阶段。,防火墙技术与应用,4,10.1商业防火墙产品选型的基本原则,10.1.2 “瘦”防火墙产品 为了要满足多种安全需求,安全厂商在设计安全解决方案时,通常会考虑以安全管理为核心,以多种安全产品的联动为基础,如防火墙与IDS和AV全面互动形
3、成动态防御体系。 正因为联动技术要多种安全手段同时应用,需要一个统一管理的平台。所以,许多有实力的生产厂商在不断推出“瘦”防火墙等专业安全产品的同时,开发并推出整体安全管理解决方案信息安全管理平台。,防火墙技术与应用,5,10.1商业防火墙产品选型的基本原则,10.1.2 “瘦”防火墙产品 应用安全管理平台,可以使“瘦”防火墙等专业安全产品协同工作、关联响应,从而全面提高企业整体安全风险防范能力,这也是“瘦”防火墙得到越来越多客户青睐的重要原因。,防火墙技术与应用,6,10.1商业防火墙产品选型的基本原则,10.1.3 如何在“胖”“瘦”防火墙产品之间选择 一个组织(例如企业、学校)选择防火墙
4、,应当把这个工作放到安全整体规划过程之中:确定自身特点确定信息安全需求确定所能负担的成本确定各个层次的具体措施将成本与实施手段挂钩平衡信息安全需求与投入之间的差异制订具体的实施计划进行实施考察与调整。,防火墙技术与应用,7,10.2 国内防火墙产品,10.2.1 天融信防火墙 天融信,国内首家开发出自主知识产权的防火墙系统,率先提出TOPSEC联动技术体系,拥有TopASIC自主安全芯片,目前已进入以自主安全操作系统TOS(Topsec Operating System)为基础,以完全内容检测为标志的全新技术阶段,形成了适用于中小企业级到电信级各种网络应用需求的NGFWARES、NGFW400
5、0、NGFW4000-UF三大系列60多个型号的防火墙产品。,防火墙技术与应用,8,10.2 国内防火墙产品,10.2.1 天融信防火墙 1. 超万兆平台(擎天)产品 多核多级处理器的超百兆安全网关。 采用业界领先的TMC架构,实现安全网关处理性能从十G到百G的跨越。 动态自适应负载均衡保障服务的连续性,完备的全网安全控制功能可构建一个完整可信的网络平台,通畅的无缝切换降低断网几率和故障恢复时间。,防火墙技术与应用,9,10.2 国内防火墙产品,10.2.1 天融信防火墙 1. NGFW4000产品系列 NGFW4000是网络卫士防火墙系统的中高端产品,适用于网络结构复杂、应用丰富、高带宽、大
6、流量的电信机房、金融数据中心等大中型企业骨干级网络环境。,防火墙技术与应用,10,10.2 国内防火墙产品,10.2.2 方正防火墙 方正防火墙目前有FS系列和相对较新的FA系列。 方正FA系列防火墙产品,采用SOS(Service Oriented Security,面向安全服务)的设计理念,确保产品在灵活性、安全性、性能以及扩展性等方面同时达到较高的水准。,防火墙技术与应用,11,10.2 国内防火墙产品,10.2.2 方正防火墙 产品主特点: 微系统内核。 采用NP及ASIC硬件架构。 专业的集中管理器。 可灵活扩展为UTM设备。 数据包状态检测过滤。 可抵抗DDoS等超过30种黑客攻击
7、技术。 多DMZ区保护。 多种接入模式。 NAT地址转换。 反向地址映射。 支持VLAN。,防火墙技术与应用,12,10.2 国内防火墙产品,10.2.2 方正防火墙 产品主要特点: 支持DHCP Server。 IP地址和MAC地址绑定。 丰富的路由功能。 支持虚拟路由器系统。 高可靠性。 专业带宽管理。 支持服务器负载均衡。 支持用户认证和帐号计费。 独特的防火墙状态监测。 丰富的日志功能。,防火墙技术与应用,13,10.2 国内防火墙产品,10.2.3 东软防火墙 东软NetEye防火墙产品采用独创的基于状态包过滤的“流过滤”体系结构,保证了从数据链路层到应用层的高性能过滤,并可以进行应
8、用级插件的迅速升级,及时应对层出不穷的安全威胁,实现网络安全的动态保障。产品主要特点如下: 网络适应性。 基于Web的管理服务器进行管理。 统一的集中管理平台。 全面可用性保证。 多样化的VPN部署方式。,防火墙技术与应用,14,10.2 国内防火墙产品,10.2.4 安氏领信防火墙 领信多功能网关LinkTrust SG系列产品是北京安氏领信专门针对企业信息安全而设计的立体化纵深安全防御产品。功能包括:交换/路由、负载均衡、无线、上网行为管理、上网行为分析系统、流量控制、防火墙、VPN、Arp防护、配置向导。,防火墙技术与应用,15,10.3 国外防火墙产品,10.3.1 Cisco防火墙
9、Cisco ASA5500系列自适应安全设备是思科公司推出的下一代防火墙安全解决方案,它提供了新一代的安全性和VPN服务的模块化平台。企业可以根据特定需求定购不同版本,做到逐步购买、按需部署,灵活方便地实现安全功能的扩展。 融合多种安全功能于一身的思科ASA5500,具备保护企业投资、降低总体安全运行成本、方便部署、易于管理的巨大优势。,防火墙技术与应用,16,10.3 国外防火墙产品,10.3.2 Fortinet防火墙 Fortinet推出的FortiGate综合安全平台,提供适用于从小型办公室的FortiGate-20系列,到适用于大型企业、服务提供商和运营商的FortiGate-500
10、0系列产品。该平台结合FortiOS操作系统和FortiASIC处理器以及最新一代的CPU,具有丰富的安全和网络功能。,防火墙技术与应用,17,10.3 国外防火墙产品,10.3.3 Checkpoint防火墙 Check Point“防火墙软件刀片”(Firewall Software Blade)具有访问控制、应用安全、认证和网络地址转换NAT等功能,可以阻止未经授权的网络用户和保护企业用户和数据安全。 防火墙软件刀片利用“安全管理软件刀片”(Security Management Software Blades),实现远程智能管理的最大效能。 通过采用最灵活的智能检查技术Inspect,
11、防火墙软件刀片将网络层和应用层保护集成在一起。,防火墙技术与应用,18,10.4 商业防火墙产品选型的基本原则,10.4.1 考虑防火墙的功能 主要功能包括:NAT地址转换、IP/MAC绑定、静态和动态路由、源地址路由、代理、透明代理、ADSL拨号、DHCP支持、双机热备、负载均衡等。 是否支持使用动态端口的协议也是在选购防火墙时要了解的问题。 安全审计也是防火墙的一个十分重要的功能。,防火墙技术与应用,19,10.4 商业防火墙产品选型的基本原则,10.4.2 考虑防火墙的性能 在保证安全的基础上,应该最大限度地减少对网络性能的影响。 对于网络性能,还有一些重要的指标,包括最大带宽、并发连接
12、数、每秒新增连接数、丢包和延迟。 在进行性能选购时,可以看看防火墙在添加了一两百条过滤规则或NAT后的Web性能怎样,混合不同包长和协议后的延迟怎样;在实施拒绝服务攻击DoS情况下,防火墙启动攻击防御,看看此时穿越防火墙的VoIP的服务质量怎样。,防火墙技术与应用,20,10.4 商业防火墙产品选型的基本原则,10.4.3 考虑防火墙的安全性能 (1)访问控制能力是防火墙安全性的核心; (2)防火墙抗攻击能力; (3)自身安全性主要是指防火墙系统的健壮性。,防火墙技术与应用,21,10.4 商业防火墙产品选型的基本原则,10.4.4 其他需要考虑的原则 (1)易管理性 (2)灵活性 (3)开放性与联动性 (4)厂商实力,防火墙技术与应用,
