产品交流产品交流北京天融信公司北京天融信公司� & 天融信防火墙介绍天融信防火墙介绍天融信防火墙介绍天融信防火墙介绍& 天融信天融信天融信天融信IDPIDPIDPIDP介绍介绍介绍介绍& 天融信网闸介绍天融信网闸介绍天融信网闸介绍天融信网闸介绍目录目录�软件模块化设计软件模块化设计�灵活的硬件模块化设计灵活的硬件模块化设计防火墙模块封装板防火墙模块封装板防火墙模块封装板防火墙模块封装板1. 1.根据需要可以通过扩充模块,根据需要可以通过扩充模块,根据需要可以通过扩充模块,根据需要可以通过扩充模块,增加端口的数量增加端口的数量增加端口的数量增加端口的数量2. 2.根据需要可以选择根据需要可以选择根据需要可以选择根据需要可以选择 处理能力更好的机箱与引擎处理能力更好的机箱与引擎处理能力更好的机箱与引擎处理能力更好的机箱与引擎防火墙机箱与引擎防火墙机箱与引擎防火墙机箱与引擎防火墙机箱与引擎防火墙接口模块防火墙接口模块防火墙接口模块防火墙接口模块�TopASICTopASIC高性能防火墙高性能防火墙自行开发,多项专利 稳定可靠完全自主产权模块化、层次化、可持续升级全功能硬件加速,TAPF,大容量L2缓存全线速性能TOS高性能CPU,负责系统管理和策略授权。
策略授权网络数据可编程ASIC,集成全面FW功能,负责数据高速处理和转发TAPF技术,减少CPU对数据处理过程的干预,实现报文快速转发大容量二级缓存,存放所有临时表项,无须与内存交互,充分提高性能�零丢包率零丢包率天融信TopASIC处理器传统架构发发送送接接收收发发送送接接收收发发送送接接收收�完全检测防火墙完全检测防火墙�产品特点产品特点�天融信防火墙主要特点天融信防火墙主要特点n自主安全操作系统自主安全操作系统TOSTOSn完全内容检测完全内容检测CCICCIn可扩展支持防病毒可扩展支持防病毒n支持支持SSL VPNSSL VPNn集成集成““CleanVPNCleanVPN”” 技术技术n多样化的用户认证多样化的用户认证n虚拟防火墙虚拟防火墙n集中策略管理集中策略管理n软件、硬件模块化软件、硬件模块化�完全内容检测完全内容检测CCICCI1990199020002000垃圾邮件垃圾邮件垃圾邮件垃圾邮件病毒病毒病毒病毒木马木马木马木马蠕虫蠕虫蠕虫蠕虫处理能力处理能力处理能力处理能力拒绝服务攻击拒绝服务攻击拒绝服务攻击拒绝服务攻击1995199520052005社会学攻击社会学攻击社会学攻击社会学攻击1 1101010010010001000完全内容检测完全内容检测完全内容检测完全内容检测CCICCI深度包检测深度包检测深度包检测深度包检测DPIDPI状态检测状态检测状态检测状态检测SISI状态检测只检查数据包的包头;深度包检测可对数据包内容进行检查;而CCI则可实时将网络层数据还原为完整的应用层对象(如文件、网页、邮件等),并对这些完整内容进行全面检查,实现彻底的内容防护。
SI —Stateful InspectionDPI—Deep Packet InspectionCCI—Complete Content InspectionTOSTOS采用最新的采用最新的采用最新的采用最新的CCICCI技术技术技术技术�强大的防病毒引擎强大的防病毒引擎n引擎性能优异n能够查杀多达25万余种的病毒n病毒库全球同步更新n能够为用户提供7 X 24小时防病毒服务�““CleanVPNCleanVPN””技术技术Code RedVirus加密引擎加密引擎受保护网络受保护网络检测引擎检测引擎受保护网络受保护网络Code RedVirus病毒文件通过病毒文件通过VPN设备检测阻断设备检测阻断加密引擎加密引擎检测引擎检测引擎加密数据通道加密数据通道分支总部 Internet 病毒文件通过病毒文件通过VPN设备检测阻断设备检测阻断�明文数据明文数据SSL 协议密文协议密文加密加密SSL 协议密文协议密文解密解密明文数据明文数据SSL VPNSSL VPNSSL VPNSSL VPN代理代理公司内网资源公司内网资源�多样化用户认证多样化用户认证Internet Internet Internet Internet RADIUSRADIUSRADIUSRADIUS服务器服务器服务器服务器OTP OTP OTP OTP 认证服务器认证服务器认证服务器认证服务器topsec ********FWFWFWFW将认证信息传给将认证信息传给将认证信息传给将认证信息传给RADIUSRADIUSRADIUSRADIUS服务器服务器服务器服务器进行认证进行认证进行认证进行认证将认证结果将认证结果将认证结果将认证结果传给防火墙传给防火墙传给防火墙传给防火墙本地认证本地认证本地认证本地认证Local DatabaseLocal DatabaseLocal DatabaseLocal DatabaseWeb PortalWeb PortalWeb PortalWeb PortalOTPOTPOTPOTP根据认证结果决定用根据认证结果决定用根据认证结果决定用根据认证结果决定用户对资源的访问权限户对资源的访问权限户对资源的访问权限户对资源的访问权限第三方认证第三方认证第三方认证第三方认证RADIUS,TACACS/TACACS+RADIUS,TACACS/TACACS+RADIUS,TACACS/TACACS+RADIUS,TACACS/TACACS+S/KEY,SECURID,LDAP,S/KEY,SECURID,LDAP,S/KEY,SECURID,LDAP,S/KEY,SECURID,LDAP,域认证域认证域认证域认证CACACACA…………�虚拟防火墙虚拟防火墙�TopsecTopsec Policy Management Policy ManagementTopPolicy分级管理功能ROOT管理员一级管理员二管理员统一策略管理统一状态监控远程配置管理拓扑可视化显示远程配置管理远程用户管理报表系统设备流量管理设备日志审计双机热备设备软件集中升级报警系统可视化策略编辑设备信息管理设备配置版本管理�超低时延超低时延•科学研究表明,总时延小科学研究表明,总时延小于于10ms才能保证网络视频、才能保证网络视频、语音质量语音质量•TopASIC千兆小包时延千兆小包时延2.7us,比传统架构防火墙,比传统架构防火墙小几百倍小几百倍Internet视频会议视频会议即时通讯即时通讯IP语音语音通讯通讯结算结算ERP� & 天融信防火墙介绍天融信防火墙介绍天融信防火墙介绍天融信防火墙介绍& 天融信天融信天融信天融信IDPIDPIDPIDP介绍介绍介绍介绍& 天融信网闸介绍天融信网闸介绍天融信网闸介绍天融信网闸介绍目录目录�防火墙不够智能!HTTP-80 Nimda/P2PFTP-21SMTP-25BackOrifice-31337• 蠕虫可以穿透防火墙并迅速传播,导致主机瘫痪,吞噬宝贵网络带宽•P2P等应用,利用80端口进行协商,然后利用开放的UDP进行大量文件共享,导致机密泄漏和网络拥塞IP HeaderTCP HeaderPacket Payload无法检测的部分无法检测的部分FirewallFirewall的过滤部分的过滤部分防火墙只能做到包头信息的过虑,无法检测数据包数据部分的特征。
基于数据包包头信息的检测阻断方式,主要对主机的服务进行控制,无法阻断通过公开端口流入的有害流量,防火墙主要用于对服务的访问控制,并不是对蠕虫或者黑客攻击的解决方案�产品特点产品特点n高性能并行架构n基于目标系统的流重组检测引擎n丰富灵活的自定义规则n具有可视化实时报表的功能�高性能并行处理架构高性能并行处理架构•TopIDP应用了先进的多核处理器硬件平台,将并行处理技术成功融入天融信自主知识产权操作系统TOS(Topsec Operating System)系统,形成了先进的多核架构技术体系;• 在此基础上的TopIDP产品具有高速的数据并行检测处理和转发能力,能够胜任 高速网络的安全防护要求�基于目标系统的流重组检测引擎基于目标系统的流重组检测引擎�丰富灵活的自定义规则丰富灵活的自定义规则 •TopIDP产品内置了丰富灵活的自定义规则能力,能够根据协议、源端口、目的端口及协议内容自行定义攻击行为•借助于灵活的自定义规则能力,用户可以轻松定义自己的应用层检测和控制功能�可视化的实时报表功能可视化的实时报表功能•TopIDP产品提供了可视化的实时报表功能,可以实时显示按发生次数排序的攻击事件排名,使网络攻击及其威胁程度一目了然。
•应用配套的TopPolicy产品,可以实时显示Top10攻击者、Top10被攻击者、Top10攻击事件等统计报表,更可以显示24小时连续变化的事件发生统计曲线图�TopIDPTopIDP以威胁抵御为核心功能以威胁抵御为核心功能应用威胁应用威胁蠕虫蠕虫/病毒病毒DoS/DDoS间谍软件间谍软件网络钓鱼网络钓鱼带宽滥用带宽滥用垃圾邮件垃圾邮件•TopIDP是以应用层威胁抵御为核心功能的综合威胁抵御产品•TopIDP支持对各种新威胁的识别和抵御,可以不断给用户带来增值安全服务,降低用户TCO�产品功能介绍产品功能介绍•具有完整的防火墙功能•入侵防御功能–对木马、蠕虫病毒、–对主流的RPC漏洞攻击做检测和阻断–对利用系统漏洞、溢出、HTTP类攻击进行检测和阻断–可以检测和阻断多种拒绝服务攻击–可以按照用户自定义的规则来进行入侵检测�产品功能介绍产品功能介绍•应用监控–可以识别和控制P2P、IM应用–可以对一些网络游戏、炒股进行监控和管理•规则库管理–系统规则库手动更新、定时更新–自定义规则库导入、导出•动作–通过/拒绝、Tcp Reset、日志开关、防火墙联动(IDS模式)、记录报文等�产品功能介绍产品功能介绍•规则–2200条系统规则,16项系统规则集–支持自定义规则,自定义规则集�产品功能介绍产品功能介绍系系统统规规则则集集�产品功能介绍产品功能介绍•Web日志和报表–基本信息首页:入侵排名(前10名)–IPS详细事件(日志)–攻击排名:持续时间、清空•TP日志和报表–事件监视(最近1小时)、流量监视–日报、周报、月报等�报表功能报表功能产品功能介绍产品功能介绍� & 天融信防火墙介绍天融信防火墙介绍天融信防火墙介绍天融信防火墙介绍& 天融信天融信天融信天融信IDPIDPIDPIDP介绍介绍介绍介绍& 天融信网闸介绍天融信网闸介绍天融信网闸介绍天融信网闸介绍目录目录�隔离概念的提出隔离概念的提出u 国外Ø 最早提出隔离概念,70年代美国、俄罗斯和以色列等国都存在此方面的技术应用和相关法规u 国内Ø 隔离要求最早是由国家保密局提出的,并已严格在涉密网内执行Ø 中共中央办公厅2002年第17号文件明确强调:“政务内网和政务外网之间物理隔离,政务外网与互联网之间逻辑隔离”�网络卫士安全隔离与信息交换系统网络卫士安全隔离与信息交换系统 网络卫士安全隔离与信息交换系统(网络卫士安全隔离与信息交换系统(TopRules系统)采用自主研发系统)采用自主研发的安全操作系统(的安全操作系统(TOS操作系统)、专用的硬件设计、内核级入侵监测、领操作系统)、专用的硬件设计、内核级入侵监测、领先的病毒查杀技术、完善的身份认证、严格的访问控制和安全审计等各种安先的病毒查杀技术、完善的身份认证、严格的访问控制和安全审计等各种安全模块,通过对信息进行还原、扫描、过滤、认证,同时将防病毒、入侵检全模块,通过对信息进行还原、扫描、过滤、认证,同时将防病毒、入侵检测、审计等安全处理整合在一起,有效地防止非法攻击、恶意代码和病毒渗测、审计等安全处理整合在一起,有效地防止非法攻击、恶意代码和病毒渗入,同时防止内部机密信息的泄露,实现网间信息的安全隔离和可控交换。
入,同时防止内部机密信息的泄露,实现网间信息的安全隔离和可控交换�TopRules解决的问题解决的问题• 保证安全隔离的同时,实现网间高效、受控的数据交换• 三机三系统的特有结构,保证了设备自身高度的安全性• 信息落地,内部专用安全协议,专用硬件,解决了由于TCP/IP协议的脆弱性所带来的众多网络攻击问题• 采用了安全隔离策略,有效地解决了涉秘网络信息泄漏的问题�产品特点产品特点�u 先进的三机三系统u 独立的仲裁审计系统u 专用硬件和专用通信协议u 防范各类攻击和信息泄漏u 应用级完全内容检测与审计u 广泛的应用协议支持u 安全、便捷的管理产品特点产品特点�产品特点产品特点 u 先进的三机三系统模型 采用了最先进三机三系统的设计模型:软硬件结合的方式,系统 硬件平台由内网主机系统、仲裁主机系统、外网主机系统、专用 的安全隔离卡四部分组成 �三机三系统的特点和优势u 内/外端机是内/外网网络协议的终点,网络协议不可延伸u 信息落地,仲裁机对剥离的应用层信息进行安全检查,控制网间传播内容,保护重要资源u 仲裁机网络协议不可达,自身安全性大大提高u 攻击者即使同时获得内外网机的权限,也无法构建不受控通道� 产品特点产品特点u独立的仲裁系统 对流经仲裁系统所有信 息进行检查 确保内外网络的信息交互置于可控范围内 审计信息记录在案�产品特点产品特点 u专用硬件和专用通信协议 在天融信公司专用安全操作系统TOS内核中嵌入专用协议和认证 机制,使得设备的安全隔离能力大大增强; 内网主机和外网主机是内部网络和外部网络通用TCP/IP协议的终 点,各自的网络协议在仲裁主机实现剥离和重建。
�产品特点产品特点 u 防范各类攻击和信息泄漏 专用的入侵检测引擎、杀毒引擎、黑白名单、数字签名、访问 控制策略、安全协议通道等技术的使用,可以使设备发现、过 滤并阻塞各种已知、未知的攻击,病毒和蠕虫等恶意代码,有效 保护内部网络系统的安全性 �产品特点产品特点 u 应用级完全内容检测与审计 采用天融信公司专有完全内容检测模块,过滤所有交换数据,全面解析网络传输信息,通过深层次细粒度的内容过滤,预先拦截内、外网用户禁止访问的内容 �产品特点产品特点 u广泛的应用协议支持 支持 HTTP、HTTPS、SMTP、POP3、FTP、TELNET、SQL、 OACLE、、NULL_TCP等 支持用户基于标准TCP、UDP开发的自定义协议软件 无需对自定义协议软件进行二次修改开发 可以根据需求开发新的专用协议处理过滤功能�产品特点产品特点 u 安全、便捷的管理 设备本身的管理和维护,都通过仲裁主机进行管理仲裁主机采用专用协议,与内外部网络没有任何关联,保证了设备管理的可靠性和安全性;同时可以灵活方便地进行管理�税务成功案例一览税务成功案例一览•项目名称:山东省国税局网络安全项目项目名称:山东省国税局网络安全项目•项目名称:国家税务总局信息系统安全审计项目项目名称:国家税务总局信息系统安全审计项目•项目名称:内蒙古地方税务局网络安全建设项目项目名称:内蒙古地方税务局网络安全建设项目•项目名称:江苏省地税局网络安全系统项目项目名称:江苏省地税局网络安全系统项目•项目名称:山东省地税省级大集中网络建设项目项目名称:山东省地税省级大集中网络建设项目•项目名称:哈尔滨市地方税务局网络安全系统项目项目名称:哈尔滨市地方税务局网络安全系统项目•项目名称:广西财政防火墙系统项目项目名称:广西财政防火墙系统项目•项目名称:江西省财政厅安全防护与项目名称:江西省财政厅安全防护与VPN接入接入 •项目名称:江西省财政厅网络安全建设项目项目名称:江西省财政厅网络安全建设项目•项目名称:云南地税系统项目名称:云南地税系统“金税工程金税工程”��。