《网威U系列安全网关技术白皮书.doc》由会员分享,可在线阅读,更多相关《网威U系列安全网关技术白皮书.doc(21页珍藏版)》请在金锄头文库上搜索。
1、网威U系列安全网关技术白皮书北京中科网威信息技术有限公司 网威U系列安全网关技术白皮书版权声明未经本公司许可,任何单位和个人不得擅自摘抄、复制、引用本手册的部分或全部内容。本手册所提到的产品规格仅供参考,有关内容可能会随时更新。版权所有 不得翻印1999-2011北京中科网威信息技术有限公司支持信息如果您希望得到更多中科网威产品的信息,敬请访问中科网威公司网站:http:/24小时客户服务热线:800-810-9496目 录1.公司简介42.产品概述43.产品主要功能53.1 基于状态检测的访问控制53.2 NAT地址转换63.3 流量管理63.4 VPN73.5 高可用性93.6 入侵防护1
2、03.7 系统管理113.8 日志管理123.9 功能列表124.产品技术特点144.1 高度可靠的自主专用硬件平台144.2 低功耗设计144.3 突出的性价比144.4 广泛的网络适应性154.5 强大的VPN功能154.6 优异的高可用性154.7 方便高效的产品管理和维护155.产品技术指标166.典型应用176.1 园区网应用案例176.2 企业核心网应用案例186.3 多分支机构应用案例196.4 大型企业应用案例201. 公司简介北京中科网威信息技术有限公司(Netpower)创立于1999年,是一家专业从事网络安全产品的研发、生产、销售和服务的厂商,是北京市软件企业、北京市高新
3、技术企业、中关村科技园区高新技术企业,同时也是工信部信息安全商会的副理事长单位。早在1996年,公司前身中科院高能物理研究所“网威安全工作室”就已经开始了网络安全技术的研究工作。经过十多年的努力耕耘,中科网威目前拥有全系列自主研发的网络安全产品,包括防火墙、入侵检测系统、脆弱性扫描系统、网络安全评估分析系统、安全管理平台等。这些产品都多次通过了公安部、国家保密局、中国信息安全认证中心和解放军信息安全测评认证中心的认证。十多年来,中科网威先后荣获了中国科学院科技进步一等奖、国家科技进步二等奖各一次,并多次入选“国家重点新产品计划”、“科技型企业技术创新基金”与“火炬计划项目”。公司在业界首次提出
4、的openIDS理念,为国内相关安全厂商所认同,成为防火墙产品和入侵检测产品中不可或缺的功能。公司还是国内首家自主研发基于网络处理器的千兆防火墙产品的企业,也是首家自主研制出多核硬件设备并将其应用于安全产品的企业。作为一家国有控股企业,中科网威是一个有很强社会责任感的公司,十多年来承担了大量的社会性和公益性工作。公司是2008年北京奥运会的信息安全保障单位,荣获“第29届北京奥运会及残奥会信息安全保驾护航贡献奖” ;公司也是2010年上海世博会的安全事件应急服务指定支撑单位,负责世博信息系统的安全运维工作。公司还先后承担了多项信息安全产品的国家标准及公安部部颁标准的编写工作,包括防火墙、入侵检
5、测、漏洞扫描、安全审计等,是国内编写安全产品标准最多的安全企业之一,为国家的网络安全事业做出了自己的贡献。中科网威在上海设有分公司,在全国各地有多家办事处和代理商,公司产品遍及全国,已经覆盖了各级政府部门、军工、金融、新闻、航天、电力、烟草、电信、税务、煤炭等多个行业的众多用户,并先后得到了多家国家权威部门和用户的广泛赞誉。2. 产品概述作为防火墙国家标准的编写单位,中科网威在安全网关类产品的研发上一直力求创新和领先,先后推出了国内首款基于网络处理器的千兆防火墙产品、国内首个应用于安全产品的基于多核芯片的硬件平台,十余年来在安全产品研发中积累了丰富的经验,取得了多项技术成果。在此基础上,中科网
6、威借鉴近年来芯片技术的最新发展,推出了新一代的以自主专用硬件平台为基础的U系列安全网关产品。新的硬件平台采用高集成度的专用通信芯片或专用多核芯片,内嵌通信处理单元,在具备高效数据处理能力的同时还有效地降低了产品功耗,增强了产品的耐用性,是网威U系列安全网关产品具备高稳定性和高可靠性的重要基石。U系列安全网关产品的软件系统则采用了基于框架的模块化设计,用户可根据需要选配自己所需的功能模块,已部署的防火墙产品也可以方便的通过现场或远程的方式增加新的功能。这种灵活的架构也使根据用户的特定安全需求定制特殊功能成为可能。除基本的防火墙功能外,网威U系列安全网关产品中还集成了VPN、带宽管理和流量监控等多
7、种安全网关功能,并配套支持大容量存储和多层次分析的日志服务器,可为用户的各种关键业务提供充分可靠的安全保障。中科网威U系列安全网关产品涵盖了适合大、中、小型企、事业单位及其分支机构的多种规格的产品,可以满足不同用户在不同应用场景的需求,为用户提供了集高性能、高安全性、高可管理性和低功耗于一体的边界防护解决方案,充分体现了中科网威在长期安全产品推广过程中对网络安全业务的深刻理解和对用户需求的深刻理解。3. 产品主要功能3.1 基于状态检测的访问控制网威安全网关采用全状态检测技术,不仅能够根据数据包的源地址、目标地址、协议类型、源端口、目标端口、VLAN标记、MAC地址等属性对数据包进行过滤,还能
8、够根据传输方向、通信时间等进行数据包的访问控制。网威安全网关能够记录通过安全网关的所有连接的状态,进而通过对这些状态信息的实时跟踪实现更迅速也更安全的数据包过滤。网威安全网关支持路由模式、透明模式、混合模式三种访问控制策略的配置方式。其中,路由模式起到通用路由交换的作用;透明模式工作于数据链路层,基于透明网桥结构实现,无需IP地址,使针对安全网关的攻击失去目标,增强了安全网关自身的安全;混合模式即路由模式和透明模式两者同时使用的方式。3.2 NAT地址转换网威安全网关具备完善的地址转换(NAT)功能,采用双向网络地址转换(双向NAT)技术,能够实现动态NAT、静态NAT,能够实现一对一、多对一
9、、多对多的地址映射。正向地址转换用于使用保留IP地址的内部网用户通过安全网关访问公众网中的地址时对源地址进行转换。网威安全网关支持依据源或目的地址指定转换地址的静态NAT方式和从地址缓冲池中随机选取转换地址的动态NAT方式,可以满足绝大多数网络环境的需求。对公众网来说,访问全部是来自于安全网关转换后的地址,并不认为是来自内部网的某个地址,能够有效的隐藏内部网络的拓扑结构等信息。同时内部网用户共享使用这些转换地址,自身使用保留IP地址就可以正常访问公众网,有效的解决了全局IP地址不足的问题。内部网用户对公众网提供访问服务(如Web、FTP服务等)的服务器如果是保留IP地址,或者想隐藏服务器的真实
10、IP地址,都可以使用网威安全网关的地址映射来对目的地址进行转换。公众网访问安全网关的反向转换地址,由内部网使用保留IP地址的服务器提供服务,同样既可以解决全局IP地址不足的问题,又能有效的隐藏内部服务器信息,对服务器进行保护。网威安全网关提供端口映射和IP映射两种反向地址转换方式,端口映射安全性更高、更节省全局IP地址,IP映射则更为灵活方便。3.3 流量管理流量控制方面,网威安全网关支持逻辑带宽划分、智能化带宽管理和流量整形,以实现QoS保障功能。可用带宽按IP群组进行划分,保证各IP群组不会争用有限的带宽资源;通过设定基于流的最小保证、最大限制带宽和优先级,保证重要业务和实时业务能够优先使
11、用带宽;可按IP地址、端口和协议类型,采用基于拥塞控制算法的队列技术对指定流进行整形。网威安全网关采用以下几个关键技术来实现流量控制: 流量分类:对双向通过的流量按照用户配置进行分类,包括对不同优先级的报文进行分类,将其投递进不同的队列(queue)等待处理。 拥塞控制:使用拥塞控制算法,预判断出可能发生拥塞的内部端口,在发生拥塞之前,将低优先级的报文丢弃,保证主要通信的通信质量和整体的稳定性。 流/报文优先级:每条流都有其优先级,在内部端口出,根据优先级放行报文,高优先级的报文总是先于低优先级的报文通过,保证用户的重要服务质量。 带宽预分配:对不同实时性或者重要性的流基于优先级机制,分配不同
12、的带宽,包括最小保证带宽,最大带宽和上限带宽。当流量达到限制带宽时,不再发送该流的任何报文。流量统计方面,网威安全网关支持通过IP地址、网络服务和协议类型等参数或它们的组合进行流量统计;能够实时或者以报表的形式输出流量统计结果。3.4 VPN虚拟专用网 (VPN) 指的是在公用网络(如Internet)中建立专用的数据通信网络的技术。VPN提供了通过互联网在远程计算机间实现安全通信的方法。网威安全网关既可以利用因特网IP通道为用户提供具有保密性、安全性、低成本、配置简单等特性的VPN服务,也可以为移动的用户提供一个安全访问公司内部资源的途径,用户可以从外部虚拟拨号,从而进入公司内部网络。网威安
13、全网关提供对IPSec和SSL VPN等连接方式的完整支持。 支持IPSec VPN连接基于IPSec协议的网威安全网关VPN完全兼容并符合RFC IPSec 标准,从而保证了和其它支持IPSec的系统和设备的互联互通。网威安全网关的IPSec VPN主要具备以下特性:n 支持标准的IPSec协议。n 支持Gateway-to-Gateway网关至网关模式虚拟专网。n 支持手动密钥(Preshare key)管理方式。n 支持自动密钥(X.509 V3数字证书)管理方式。n 支持密钥生存周期可定制。n 支持完美前向保密。n 支持多种加密与认证算法:u 加密算法:DES、3DES、AES、CAS
14、T等。u 认证算法:MD5、SHA1。u 认证方式:支持本地认证。 支持SSL VPN连接SSL VPN指采用SSL协议来实现远程接入的一种新型VPN技术。SSL协议是传输层安全协议,SSL协议位于TCP/IP协议与各种应用层协议之间,为数据通讯提供安全支持,提供服务器认证、客户认证数据完整性和数据保密性。对于内、外部应用来说,使用SSL可保证信息的真实性、完整性和保密性。网威安全网关SSL VPN使用通用网络协议使它成为IPsec等协议的理想替代。网威安全网关的SSL VPN支持NAT透明穿越、星型部署、Client-to-Gateway 动态拨号用户等多种方式灵活部署,极大地拓展网威安全网
15、关的应用范围,网威安全网关特有的网桥模式下的SSL VPN部署使其更具有极佳的灵活性。网威安全网关可以同时支持SSL VPN对等体、SSL VPN客户端、IPsec VPN对等体同时连接,适应多种复杂环境,互为补充,灵活部署,为用户的选择提供了极大的空间。网威安全网关SSL VPN所有的通信都基于一个单一的IP端口。 SSL VPN连接能通过代理服务器连接,也能够在NAT的环境中良好地工作,克服了IPsec VPN、PPTP VPN、L2TP VPN存在的不足。可以说,网威安全网关的SSL VPN从根本上解决了企业的远程访问问题,为企业用户提供易于布署、操作简单、使用方便的远端安全访问服务,可为企业的分支机构、远程/移动办公、业务合作伙伴和客户快速提供对内网资源的安全远程访问和资源的接入服务。网威安全网关的SSL VPN主要具备以下特性:n 网威安全网关 SSL VPN采用的部署模式是网
