防火墙特性与优点说明书Word格式.docx
- 文档编号:22364616
- 上传时间:2023-02-03
- 格式:DOCX
- 页数:18
- 大小:172.76KB
防火墙特性与优点说明书Word格式.docx
《防火墙特性与优点说明书Word格式.docx》由会员分享,可在线阅读,更多相关《防火墙特性与优点说明书Word格式.docx(18页珍藏版)》请在冰豆网上搜索。
天网防火墙系统针对各种DOS攻击做出了防御措施。
在信息到达服务器之前拦截信息,系统可以根据设置智能化地对访问信息进行检查,从而阻挡住SyncFlood,IGMPNuke,WinNuke等DoS类型攻击。
目前国同类产品尚无同样功能。
●具有TCP标志位检测功能
在大多数的防火墙里,都缺少对连接是从哪方主动发起进行判断的选项,这将导致一个潜在的安全隐患是攻击者可能可以从一个外部主机的某个常用服务端口连入部主机的高端口。
例如,如果允许部主机访问外部主机的telnet服务,这个方向连接的所有包应该是必须包含ACK位的,也就是说,不是主动发起的连接。
但通常的防火墙的包过滤功能里并没有检查ACK位的设置,因此,攻击者就可以从外部主机的源23端口发起连接到部主机的高端口(>
1023)。
天网防火墙系统通过在安全规则上的设置对数据包的SYN/ACK等标志位进行合法性检测和判断,防止不法攻击者利用常用服务的低端口与部主机的高端口的连接,从而攻击部主机。
国包括国外的许多防火墙系统都无此防护功能。
●具有双向的网络地址转换功能
部网络用户一般没有合法的InternetIP地址(RegisteredIPAddress),不能直接对外部网络进行访问,这可以通过网络地址转换系统得到完满的解决。
当用户需要对外访问时,天网邮政防火墙系统将会从IP池中的IP动态分配给用户,使用户得到合法的IP地址与外部访问。
端口地址转换(PortAddressTranslation)可以扩展公司可使用的InternetIP,用户的访问将会映射到IP池中IP的一个端口上去,这使每个合法InternetIP可以映射六万多个部网主机。
如果企业希望部网络中的服务器可以让Internet用户访问的话,可以利用反向NAT(R-NAT)或反向PAT(R-PAT)系统,为部网络服务器作静态地址和端口映射,这样Internet用户就可以通过本防火墙系统直接访问该服务器了。
●具有流量统计与流量限制功能
●支持一个网络端口绑定多个IP地址,从而支持多个子网和多种IP应用
●支持IP与MAC地址绑定,有效地管理IP地址资源
在部网络的应用中,经常会遇到部网络用户擅自修改IP地址,以获取一个合法IP地址来进行相应的网络应用,这样会使部网络在地址资源的分配和使用上出现混乱,大大影响部网络的正常运行,而且,在网络事故发生以后,也加大了地址追寻的难度。
天网防火墙所具有的MAC地址绑定功能可以很好地解决这个问题。
当网络用户被分配或自行设定一个IP地址以后,防火墙系统就能接收到相应的地址广播,在防火墙系统上列出相应的IP地址与MAC地址,并可以选择是否把这个IP地址与相应的MAC地址绑定,这样可限定IP地址只能在一台指定的工作站上使用,大大方便了网络的IP地址管理。
●具有实时系统监控功能,能观察系统的运行状态及网络连接状况
天网防火墙系统可以通过实时观察系统的运行时间、负载状况以及存使用情况等,来了解整个系统的运行状况,并且还可以在界面上观察到系统的各种网络连接状况,从而可以根据系统的负载情况对系统作出相应的调整。
●具有实时报警功能,通过拨打和Emai*的方式报警
系统提供对任何可疑的行为作出实时的告警提示,告警可疑通过可闻可见的的方式发出,也可以通过Email发出信息、发出SNMP告警到网管系统,或者激活一些用户定义的告警方式,如通过传呼机呼叫管理员等。
●可通过界面升级,操作方便
●具有系统操作记录,可以记录系统管理员的所有操作情况
典型网络方案:
小型企业通常采用2M以下的专线实现与Internet的互连,在线路速度上对防火墙的要求不高。
企业通过路由器与DDN连接上Internet,路由器的以太网接口直接连接到防火墙的网络端口1上;
企业的服务器直接连接在防火墙的网络端口2上,如果企业多有台服务器,可以通过集线器连接在防火墙的网络端口2上;
企业的工作站通过集线器连接在防火墙的网络端口3上;
通过这种方式,防火墙可以同时保护企业的服务器和部的工作站。
部的所有工作站可以采用部网的私有网络地址,例如192.168.0.xxx网段,通过防火墙的NAT功能连接上Internet,将宝贵的IP地址资源保留给服务器使用。
2.天网防火墙企业I型:
天网防火墙企业I型防火墙,是适合大中型企业上网用的防火墙,适用于用户数量规模较大大的网络环境(大约有几十到几百甚至上千台部工作站)。
它包括了基本的防火墙系统,网络黑洞和数据纪录功能模块,具体功能特性如下:
●基本防火墙系统功能(同工作组型)
●网络黑洞模块,用于阻挡黑客的网络结构探测,返回错误的信息给黑客,可以有效的防止外来攻击
●网络数据纪录模块,用于记录网络数据流量、用户流量计费等功能,该模块需要在一台PC机上安装一个客户端软件进行数据收集、分析和处理,还可以把分析结果导入数据库,实现自动处理。
本方案将现有网络划分为物理上相互独立的三个网段:
●公共网段(Public_Nework)
●停火区网段(DMZ_Network)
●私有网段(Private_Network)
其中,公共网段提供面向Internet的广域网连接和其他各行访问的支持;
停火区网段安放各种数据库、FTP/Web服务器和企业部业务信息服务器,提供多种面向Internet的应用服务;
部私有网段保障本地用户安全地访问外部网络资源,以及对停火区各服务提供设备进行更新和维护。
安全策略:
目的:
●划分安全区域。
●制订安全策略,包括用户访问控制,定义访问级别,确定服务类型。
●审核和过滤,仅符合安全策略的访问和响应过程可以通过,拒绝其他访问请求。
根据对用户需求的分析,企业部网络可以划分为以下几个安全区域:
●部网段
●公共网段
●外部网段
分属三个安全区域的网段通过天网防火墙进行互连。
No.
安全区域
安全级别
访问级别
1
外部网段
低级
无。
提供网络连接。
2
公共网段
中级
外部可访问符合安全策略的网络资源;
部可以更新和维护。
3
部网段
高级
可自由访问外部网络资源;
对外不可见。
现有需要进行审核和过滤的应用和服务类型包括:
服务类型
端口围/协议类型
说明
DNS
53,tcp/udp
域名服务
WWW
80,tcp
WWW服务
SMTP/POP3
25/110,tcp
电子
FTP
21/20,tcp
文件传输服务
Etc.
自定义
用户自定义
3.天网防火墙企业II型:
天网防火墙企业II型防火墙,同样是适合大中型企业上网用的防火墙,适用于用户数量规模较大大的网络环境(大约有几十到几百甚至上千台部工作站)。
它加入了透明代理服务器,能满足许多大中型企业对部用户进行控制管理的需求,它包括了基本的防火墙系统,数据记录模块、网络黑洞模块、透明代理模块以及URL拦截模块(可选)和容过滤模块(可选),具体功能特性如下:
*网络黑洞模块,用于阻挡黑客的网络结构探测,返回错误的信息给黑客,可以有效的防止外来攻击
●透明代理功能
天网防火墙系统使用了先进的透明代理服务机制,从安全、性能、兼容性上远超出一般的代理服务器。
本代理服务器是建立在网络核心中的,一个通过代理服务器的访问请求在认证通过,正式建立连接后,代理服务器就可以直接把连接交由IP处理层管理,缩短了处理的时间。
而其它基于应用层的代理服务器必须一直管理有关联接,增加了系统的负担。
使用透明的代理服务器机制可以减轻系统负担、加快响应速度、提高系统整体性能。
同时天网防火墙系统可以自动把用户的访问请求重定向到对应的透明代理服务器,这样用户端可免去Proxy的设置工作,方便了广大的用户。
●可对用户上网时间作限制
●可进行URL拦截
●可进行基于中文的容过滤
●可根据用户进行统计计费
章丘广电安全方案
本方案的设计遵循以下思想是:
⏹风险、成本、效率平衡原则
⏹综合性、整体性考虑
⏹保证系统可用性,安全系统对于应用有很好的透明性
⏹集中管理,易于维护
⏹实用的安全产品必须是经过公安部门检验的合法产品。
并且必须是国产安全产品。
⏹与应用系统结合,提供网络与应用结合的一体化安全方案
本方案是用防火墙技术把要保护的计算机系统与较危险的外界隔离开,只允许建立安全的连接,中心思想是在主机或网络与外界连接之间增加检查,拒绝接受可疑的连接请求。
系统总体结构图如图3所示:
防火墙
防火墙技术的目标是保护网络的一段或整个部网络不受外界入侵影响。
网上办税系统采用天网防火墙将安全管理“相对”宽松的“网”与外部网络隔离开来。
按照服务性质和管理区域划分:
1.DMZ(非军事区):
提供对外服务。
2.部网络:
部用户。
3.外部网络
如下图所示:
其中,章丘广电外部网络连接广电网,通过广电网连接到Internet上;
DMZ网段安放Web,Mail服务器和计费服务器,提供基于Web的应用服务Email服务和网络计费服务;
我们可以利用防火墙的重定向功能,使用私有地址来保护服务器。
另外,章丘广电部网段上是普通用户,能够通过防火墙连接Internet,而外部网络不能访问部用户的机器。
部用户使用防火墙的透明代理上连Internet,可以利用防火墙进行用户计费和用户认证。
安全策略
制定安全策略的目的:
⏹划分安全区域。
⏹制订安全策略,包括用户访问控制,定义访问级别,确定服务类型。
⏹审核和过滤,仅符合安全策略的访问和响应过程可以通过,拒绝其他访问请求。
网络系统的主要服务类型是:
1.HTTP(WEB服务)
2.其他Internet应用服务
其它的网络服务由于不会跨越不同的安全区域,在防火墙部分不必考虑。
根据以上需求制订出安全策略。
Internet
低
提供公共客户的网络连接。
非军事区
中
部网
高
可与非军事区的Web服务器进行数据交换;
ftp
21,tcp
ftp服务
25,110.tcp
Mail服务
攻击防御
攻击防御系统
黑客使用的网络攻击的方式及天网防火墙的抵御措施:
Denial-Of-Service(DOS)攻击
最近在Internet上DOS攻击暴虐一时。
由于可以通过使用一些公开的软件进行攻击,它的发动较为简单。
同时要防止这种攻击又非常困难,天网防火墙系统针对各种DOS攻击做出了较全面的防御措施。
SYNFlood
这是一种较为常见的攻击,不法分子会向攻击目标发出大量TCPSYN请求,具有SynFloodDefend技术的防火墙可以有效的的分辨出黑客攻击与正常连接,因此可以抵挡该攻击。
WindowsOOBAttack:
对于没有Patch过的Windows95/NT系统,不法分子可以利用向NetBIOS(Port)发送OutOfBand数据,这可以导致被攻击机器死机。
天网防火墙系统会分析通往NetBios的信息,检查是否OOB数据,如果检查出有问题,将会拒绝该IP包,同时把来源IP纪录并发出系统警告。
PINGDOSAttack
许多Unix-Like系统在接收到一个长度大于65535的IP包碎片时,会错误处理,导致系统死机或重起。
这种攻击又称为“PingOfDeathAttack”。
天网防火墙系统会自动检查IP包,当发现它是PingOfDeathAttack的数据,会拒绝其进入,纪录来源IP并发出系统警告。
IPSpoof
不法分子可以使用IPSpoof的办法伪造来源IP,由于防火墙系统本身具有路由功能,如果没有防御措施,将会被骗,把该虚假来源的IP包发送到局部网络中去,这使非常危险的。
天网防火墙系统会根据IP的来源设备进行分析,如果超出该设备的网络围,将会拒绝该IP包,纪录并发出警告。
这样在不同物理网络/逻辑网络之间虚假IP包不能通过,保证了系统的安全。
网络黑洞
对系统进攻的第一步,是探测对方的网络结构。
天网防火墙的网络黑洞可以吸收网络探测,并且返回虚假信息,使攻击者获得错误的信息,并且制造陷阱,引诱攻击者进行攻击,同时记录攻击并且报警。
4.天网防火墙ICPI型:
天网防火墙ICP-I型防火墙,是适合应用与业务比较简单的ICP使用的防火墙,天网防火墙ICP型是专为ICP设计的大容量防火墙,能支持大量的峰值访问与并发连接数,满足ICP的需求。
●基本系统功能
●网络黑洞,用于阻挡非法的网络探测
●网络数据记录,用于记录通过防火墙的数据类型和流量
●双机热备份,可以在10秒钟自动切换不正常工作的防火墙系统
●负载均衡,可以智能地将用户的请求分布到多台服务器上
天网防火墙的负载均衡模块,可以智能地将用户的服务请求分布到多台服务器上面,同时,提供容错功能,可以自动隔离出问题的服务器。
系统具体功能如下:
1)动态负载均衡
天网防火墙的负载分布模块可以根据服务器的负载情况,包括CPU占用量,系统Load等情况,自动选择负载最小的服务器,将用户的服务请求发送到该机器上。
2)容错处理
天网防火墙的负载分布模块可以自动检测服务器的可用性,当某一台服务器出现故障的时候,分布式系统会自动绕开发生故障的机器,不会将用户的服务请求发送到该机器上,保证了系统的正常运作。
假设准备使用十台服务器对外提供Web服务,使用四台服务器作为Smtp服务器,两台服务器作为POP3服务器,对外进行服务,估计将有23—25M的流入数据量和12—14M的外流数据量:
●公共网络。
提供的Web界面访问,收发电子服务。
●外部网络。
提供到Internet连接。
主要应用类型包括:
●Web应用
●POP3及Smtp电子应用
●DNS服务
●FTP服务
安全策略为先关闭全部服务和端口,在开放部分服务和端口。
网络结构
根据当前的网络需求,我们建议使用基于天网防火墙ICP-I型的安全解决方案。
下图为本建议方案的网络拓扑示意图。
为了保证站点的稳定性、容错性,本方案使用天网防火墙III型,通过防火墙划分为物理上相互独立的两个网段:
●公共网段(PublicNetwork)
●私有网段(PrivateNetwork)
其中,公共网段提供面向Internet的广域网连接和接受互联网用户访问的支持;
私有网段安放十台Web服务器、四台Smtp服务器和两台POP3服务器,提供Web和电子应用服务。
根据对用户需求的分析,网络可以划分为以下几个安全区域:
分属两个安全区域的网段通过天网防火墙进行互连。
域名解析服务
5.天网防火墙ICP-II型:
天网防火墙ICP-II型防火墙,是适合应用与业务比较复杂的ICP使用的防火墙,天网防火墙ICP型是专为ICP设计的大容量防火墙,能支持大量的峰值访问与并发连接数,满足ICP的需求。
●负载均衡,可以智能地将用户的请求分布到多台服务器上
(.net站点)
.net准备使用十台服务器对外提供Web服务,使用四台服务器作为Smtp服务器,两台服务器作为POP3服务器,对外进行服务,估计将有23—25M的流入数据量和12—14M的外流数据量:
根据站点当前的网络需求,我们建议使用基于天网防火墙ICP-II型的安全解决方案。
为了保证站点的稳定性、容错性,本方案使用天网防火墙ICP-II型两台,通过防火墙的双机热备份功能保证不间断正常运作,并把整个网络划分为物理上相互独立的两个网段:
根据对用户需求的分析,.net站点的网络可以划分为以下几个安全区域:
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 防火墙 特性 优点 说明书