《中网智能防火墙LX》由会员分享,可在线阅读,更多相关《中网智能防火墙LX(11页珍藏版)》请在金锄头文库上搜索。
1、中网防火墙LX-36O中网智能防火墙是根据市场需求研制开发的,支持高效、高速的状态检测包过滤、高安全 性应用代理和智能访问控制于一体的新一代中网IP防火墙,其优化的系统内核、内置的VPN 模块,更为您提供系统和数据传输的安全保障。新一代的中网防火墙具有更出色的安全性,在 2003年9月CCID进行的国内防火墙评测中,凭借其强大的功能、卓越的性能、管理的安全便 捷一举夺得“工程师推荐奖”中网防火墙将是您保护企业资源安全、维护企业声誉的最佳选择。中网防火墙LX-360-V是当今最多面手的千兆的网络安全设备,凭借其具有广泛的应用支 持、流量分担、AAA身份认证、带宽管理等功能和标配的4个10/100
2、/1000M自适应以太网口, 2个1000M光纤口。可以轻松地集成到交通、能源、金融、政府和大型企业等不同的网络环境 中。不但如此,它接近线性的吞吐量6Gbps和惊人的最大并发连接数320万,更能满足您对高 性能、高可靠性和高安全性的需求。注:以上仅为参考图,产品以实物为准产品特点:智能访问控制设备可以对OSI七层模型中的每一层进行访问控制,从第一层物理端口使用控制、第二层的 MAC访问控制、第三层的IP访问控制、第四层的TCP访问控制、第五层的会话使用控制、第 六层的表现使用控制和第七层的应用使用控制,为您提供全方位的智能访问控制能力。在系统内核中提供基于时间的访问控制和基于用户身份认证和授
3、权的AAA访问控制,从 而成为了具有全面控制能力的智能型防火墙。可信赖的安全平台采用专用安全操作系统NOS,是基于BSD系统改造的,BSD比LINUX稳定、安全性高、 性能更加优越。最重要的是BSD许可准许用户自己改造为商用,而不用公开自己的源代码(LINUX遵循 的 GPL 许可要求公开自己的源代码),提供了密闭性极好的产品运行环境和系统抵御/防范各种 攻击的能力,是您可信赖的、放心的安全平台。 易于实施与管理友好直观的 Web GUI 界面、面向对象的安全策略制定、简单的命令行操作、安全的远程 配置、简易的集中管理和实时的网络负载显示,可以轻易完成网络安全的实施、维护与管理, 有效地为用户
4、简化企业范围的安全部署。 强大的管理和审计能力 具备全面而丰富的配置管理、性能管理、故障管理、安全管理、审计管理五大管理域,具备集中网络管理平台。提供强壮的网络实时监控能力,支持监控防火墙的性能如CPU、内存、网络和硬盘的使 用率等信息,支持监控防火墙的状态并实时报警,提供实时监控,包括性能监控、接口流量监 控等服务。提供对日志的监控、自动处理、人工或自动导出、日志分析、数据库导入、查看、查询、 显示和报警等功能,支持条件查询等。防火墙系统配置文件的备份,包括存储配置、本地备份、远程备份和系统升级。 业内评测最高奖项获得2001年度赛迪(CCID)防火墙横向评测的最高殊荣“工程师推荐奖”获得2
5、002年度赛迪(CCID)防火墙擂台赛中,国内产品唯一荣获的“信得过防火墙”奖。 获得2002年度中国计算机报行业评选最具竞争力防火墙产品的“编辑选择奖”。 2003年度再次获得赛迪(CCID)防火墙横向评测的最高殊荣“工程师推荐奖” 同时,多年深厚而广泛的客户基础更让您买得放心、用的安心。性能指标:中网防火墙是系列化产品,可满足各种网络环境的要求,不会成为网络通讯的瓶颈。LX-360-V 百兆防火墙产品的性能指标如下表所示:主要性能指标LX-360-V最大并发连接数3200,000防火墙吞吐量(Gbps)6VPN隧道数3000主要功能: 智能访问控制采用中网专利的、领先的智能识别技术,以IP
6、包改造和协议改造为基础,在IP包高速转 发中实现智能访问控制,属于第六代防火墙。传统防火墙由于采用逐一匹配方法,计算量过大,无法摆脱安全性与效率的矛盾。中网防 火墙利用统计、记忆、概率和决策的人工智能方法对数据进行识别,消除了匹配检查所需要的 海量计算,高效发现网络行为的特征值,直接达到进行访问控制的目的,有效解决了防火墙的 高安全性和高效率的问题。执行全方位的访问控制,而不是简单的进行过滤策略。基于对行为的识别,可以根据什么 人、什么时间、什么地点(网络层),什么行为(0SI7层)来执行访问控制,大大增强了防火 墙的安全性,更聪明更智能。智能IP识别技术,实现自动封禁和用户认证规则快速匹配。
7、 高速的包过滤包过滤是在通讯协议的网络层上对符合事先设置的安全规则定义的IP包进行包过滤,凡不 符合事先设置的安全规则定义的IP包进行排除,并按照设定的策略对IP包进行统计和日志记 录。主要根据IP包的如下信息进行访问控制:IP包的源IP地址、目的IP地址;IP包的源TCP/UDP端口、目的TCP/UDP端口;IP包的协议版本和类型(包括IP、TCP、UDP、ICMP等);路由选择协议包(包括 RIP v1/v2, OSPF, IGMP 等);ICMP 信息类型;IP包的标志位,如SYN, ACK等; IP 和 TCP 标记组合。 强大的状态检测与包过滤相类似的、更为有效的安全控制方法是状态检
8、测。对新建的应用连接,状态检 测检查预先设置的安全规则,允许符合规则的连接通过,并在内存中记录下该连接的相关信息, 生成状态表。对该连接的后续数据包,只要符合状态表,就可以通过。对每个连接,作为一个数据流,通过规则表与连接表共同配合,在继承了传统包过滤系 统对应用透明的特性外,其好还处在于:传输效率和安全性得到进一步提高。 支持多种工作模式中网防火墙支持无IP透明接入的网桥、路由、混合(同时存在网桥、路由的接入)三种 接入工作模式。当防火墙在透明桥接模式工作时,防火墙此时类似于一个网桥,方便用户在无需更改网络 配置的情况下,安装防火墙系统,接入简单;当防火墙在路由模式工作时,防火墙此时类似于
9、一个静态的路由器,提供静态路由功能;防火墙还可以在混合模式下工作,即防火墙的不同端 口有的在同一网段上(透明桥接),有的在不同网段上(路由方式工作),为用户提供灵活的接 入,适应网络环境的需要。 AAA 身份认证访问控制在内核上增加了对IP v6的支持,同时完全支持IP v4。不支持对包的鉴别授权认证机制,是IP v4的一大缺陷。传统的防火墙对用户身份认证多 在应用层完成,效率低,适应性差,中网防火墙支持基于IP包的AAA身份认证机制,根据用 户身份和授权对数据报进行过滤,不仅为包过滤服务提供了基于用户身份的过滤功能,还同时 为透明代理也提供了基于用户身份的过滤和授权。在防火墙内部预设服务权限
10、库、用户自定义库,目标访问地址库等的过滤条件,包括认证 规则管理、访问规则管理和用户管理。基于时间的访问控制管理员可以根据某一时间段的实际需求设定相应时间段内的用户或用户组的过滤规则集,灵 活实现用户或用户组身份的时间访问控制。强大的系统防御提供对黑客攻击强大的系统防御功能:防攻击。能智能识别恶意数据流量,并有效地阻断恶意数据攻击,解决 SYN Flooding, Land Attack,UDP Flooding,Fraggle Attack,Ping Flooding,Smurf,Ping of Death,Unreachable Host 等攻击,有效的切断恶意病毒或木马的流量攻击。防扫描
11、。能智能识别黑客的恶意扫描,并有效地阻断或欺骗恶意扫描者。对目前已知的扫 描工具如ISS, SSS, NMAP等扫描工具,可以防止被扫描。并可有效地解决代表或恶意代码的 恶意扫描攻击。防欺骗。提供基于MAC的访问控制机制,可以防止MAC欺骗和IP欺骗,支持MAC过 滤,支持IP过滤。将防火墙的访问控制扩展到OSI的第二层。入侵防御。为了解决准许放行包的安全性,对准许放行的数据进行入侵检测,并提供入侵 防御保护,这样就完成了深层数据包监控,并能阻断应用层攻击。包整形。对IP,TCP, UDP,ICMP等协议的擦洗,实现协议的正常化,消除潜在的协议 风险和攻击。这些功能对消除TCP/IP协议的缺陷
12、和应用协议的漏洞所带来的威胁,效果显著。应用透明代理应用代理运行于内部网络与外部网络之间的主机上。当用户需要访问代理服务器另一侧主 机时,对符合安全规则的连接,代理服务器会代替主机响应,并重新向主机发出一个相同的请 求。采用透明代理技术,无需在客户端安装任何软件和进行配置。对于用户而言,感觉是直接 与外部网络相连的,代理服务器对用户透明。中网防火墙可代理 HTTP、FTP、SMTP、POP3 等应用协议,用户可以在最安全的情况下 实现浏览网页、传送文件、收发邮件等应用。 高性能的深度应用检查深度应用检查一直被认为是最安全的防火墙。中网公司经过多年努力成功研制的、基于应用 检测技术的智能防火墙,
13、在系统内核对TCP stream进行动态检测过滤,实现对应用层的访问控 制,保证检测的正确性和性能最优,完全替代传统的规则逐一匹配的过滤,提供了高速高效的 内容检查能力,达到了应用检测的安全性,并且具有包过滤的高性能。主要根据应用的如下信息进行访问控制:基于黑名单或白名单的 URL 过滤;脚本的过滤;应用协议命令的控制;上传/下载文件类型、大小的限制; 邮件收件人/发件人的限制,邮件附件大小的控制; 关键词的限制。 防企业内部的恶意访问通过中网防火墙应用代理所提供的黑/白名单安全访问策略实现URL过滤功能,可以有效地 封杀色情、迷信、暴力、恐怖、反动、攻击第三方等非法网站,维护企业声誉,保护企
14、业利益 恶意代码检测实时的代码检测,阻止ActiveX, Java, Cookies, Java Script等恶意代码的入侵。 电路代理在传输层实现了对 Socks4/Socks5 协议的代理。 TCP 代理在传输层实现了中网定制的TCP代理。 NAT 网络地址转换地址转换是将企业内部IP地址(俗称假IP地址,是公司给内部员工或部门分配的地址,例 如192.168.x.x)转换成公网地址(俗称真IP地址),从而实现内部网络与外部网络通信,包括 静态网络地址转换(Static NAT)和动态网络地址转换(Dynamic NAT)功能。 TCP/UDP 端口映射几个已转换的地址将转换成一个地址,
15、此时可通过不同的发送端口对各转换之前的地址进 行区分,其好处是也同样解决了企业IP地址不足的问题,最重要的是隐藏了提供服务主机的网 址,从而保证服务的质量。当内部网络中具有假IP地址的多台主机需要对外提供服务时,可以将一台真IP地址主机 的多个端口映射到内部多台主机的不同端口,则用户访问真IP地址主机的相应端口即可访问内 部主机提供的服务。 SSN/DMZ 安全服务区防火墙为用户提供了内部网、外部网、SSN安全服务区等多种网络属性,不同网络区之间 用网卡完全隔离,通过访问控制既能相互之间访问,又能保障系统安全。置SSN在防火墙保障 之内,又与内部网隔离,同时内部网又能通过设置访问SSN,另外,SSN可以设置不能访问内 部网,一旦SSN受攻击破坏,内部网络仍会处于防火墙的安全保护之下。 基于 MAC 访问控制通过IP地址与MAC地址的对应和绑定,防止内部IP地址盗用,另外还通过MAC信息显 示、 MAC 监控、 MAC 过滤等方式,为防火墙提供基于 MAC 的访问控制机制,有效阻止基于 MAC 的欺骗行为。 入侵防御与告警不仅可以检测到Ping of Dead、TCP SYN flooding等多种网络攻击,并根据用户设置的报警 方式
