NetST专业技术白皮书.docx
- 文档编号:29306795
- 上传时间:2023-07-22
- 格式:DOCX
- 页数:17
- 大小:149.49KB
NetST专业技术白皮书.docx
《NetST专业技术白皮书.docx》由会员分享,可在线阅读,更多相关《NetST专业技术白皮书.docx(17页珍藏版)》请在冰豆网上搜索。
NetST专业技术白皮书
1.安全概述
互联网的迅猛发展,给企业带来了革命性的改变,增强了企业获得信息的能力,加快了企业内部信息的交流和办事效率,提高了市场反应速度,使企业在商业竞争中处于有利地位,更具竞争力。
在享受Internet带来的方便与快捷的同时,企业也要面对Internet开放带来的数据安全的新挑战和新危险,如何保护客户、销售商、移动用户、异地员工和内部员工的安全访问以及保护企业的机密信息不受黑客和间谍的入侵,成为网络安全的主要内容。
Internet的安全问题是不能忽视的。
当用户与Internet连接时,可以在中间加入一个或几个中介系统,防止非法入侵者通过网络进行攻击,并提供数据可靠性、完整性的安全和审查控制,这些中间系统就是防火墙(Firewall)。
防火墙是设置在被保护网络与外部网络之间的一道屏障,以防止不可预测的、潜在破坏的非法入侵。
它通过监测、限制、修改跨越防火墙的数据流,尽可能地对外屏蔽网络内部的结构、信息和运行情况,以此来实现内部网络的安全保护。
防火墙一方面限制数据流通,一方面又允许数据流通,由于不同网络的安全要求和管理机制有差别,这对矛盾也有不同的表现形式。
这样就有了两种极端情况:
一是除了非允许不可的,其它都被禁止;二是除了非禁止不可的,其它都被允许,而多数防火墙则在两者之间采取折衷措施。
在确保网络安全的前提下,应尽量提高跨越防火墙的访问效率。
防火墙提供行之有效的网络安全机制,是网络安全策略的有机组成部分。
它通过控制和监测网络之间的信息交换和访问行为实现对网络安全的有效保障,在内部网与外部网之间实施安全的防范措施。
这本白皮书讨论清华得实NetST®防火墙——基于状态检测技术的硬件防火墙。
NetST®防火墙采用专用硬件和安全增强内核设计,具有带内带外管理、日志管理、安全策略编辑、安全状态检测等多项强大的安全功能。
目前通过国家安全有关部门的安全性评测,并获得公安部颁发的“计算机信息系统安全专用产品销售许可证(XKC33129)”。
NetST®防火墙位于内部网络与外部网络的连接处,对进出内部网络的所有数据进行检查,符合一定的访问控制规则的数据才允许通过,否则要拒绝或修改数据,并能检测出可能的非法内外网络入侵,及时进行处理和记录,保证网络安全。
该防火墙能有效地防止黑客入侵,抵御来自外部网络的攻击,保证内部系统的资料不被盗取,可为电信、邮政、政府、教育、能源、金融、企业等各部门现有的网络提供最有效、最彻底的保安措施。
2.Internet防火墙技术:
概述
防火墙(Firewall)是用一个或一组网络设备(计算机系统或路由器等),在两个或多个网络间加强访问控制,以保护一个网络不受来自另一个网络攻击的安全技术。
防火墙的组成可以表示为:
防火墙=过滤器+安全策略(+网关),它是一种非常有效的网络安全技术。
在Internet上,通过它来隔离风险区域(即Internet或有一定风险的网络)与安全区域(内部网,如Intranet)的连接,但不妨碍人们对风险区域的访问。
防火墙可以监控进出网络的通信数据,从而完成仅让安全、核准的信息进入,同时又抵制对企业构成威胁的数据进入的任务。
通常,防火墙服务于以下几个目的:
●限制他人进入内部网络,过滤掉不安全服务和非法用户;
●限定人们访问特殊站点;
●为监视Internet安全提供方便。
由于防火墙是一种被动技术,它假设了网络边界和服务,因此,对内部的非法访问难以有效地控制。
因此,防火墙适合于相对独立的网络,例如Intranet等种类相对集中的网络。
防火墙的主要技术类型包括网络级数据包过滤(Network-levelPacketFilter),应用代理服务器(Application-levelProxyServer),状态检测防火墙。
2.1包过滤防火墙
数据包过滤(PacketFiltering)技术是在网络层对数据包进行分析、选择,选择的依据是系统内设置的过滤逻辑,称为访问控制表(AccessControlTable)。
通过检查数据流中每一个数据包的源地址、目的地址、所用端口号、协议状态等因素,或它们的组合来确定是否允许该数据包通过。
其实现机制如图1所示。
图1包过滤防火墙的实现机制
数据包过滤防火墙的优点是速度快、逻辑简单、成本低、易于安装和使用,网络性能和透明度好。
它通常安装在路由器上,内部网络与Internet连接,必须通过路由器,因此在原有网络上增加这类防火墙,几乎不需要任何额外的费用。
这类防火墙的缺点是不能对数据内容进行控制:
很难准确地设置包过滤器,缺乏用户级的授权;数据包的源地址、目的地址以及IP端口号都在数据包的头部,很有可能被冒充或窃取,而非法访问一旦突破防火墙,即可对主机上的系统和配置进行攻击。
说明:
网络层的安全防护,主要目的是保证网络的可用性和合法使用,保护网络中的网络设备、主机操作系统以及各TCP/IP服务的正常运行,根据IP地址控制用户的网络访问。
网络层在ISO的体系层次中处于较低的层次,因而其安全防护也是较低级的,并且不易使用和管理。
网络层的安全防护是面向IP空间的。
2.2应用层网关
应用层网关(ApplicationLevelGateways)技术是在网络的应用层上实现协议过滤和转发功能。
它针对特定的网络应用服务协议使用指定的数据过滤逻辑,并在过滤的同时,对数据包进行必要的分析、记录和统计,形成报告。
实际的应用网关通常安装在专用工作站系统上,其实现机制如图2所示。
图2应用网关防火墙实现机制
应用层网关防火墙和数据包过滤有一个共同的特点,就是它们仅仅依靠特定的逻辑来判断是否允许数据包通过。
一旦符合条件,防火墙内外的计算机系统便可以建立直接联系,外部的用户便有可能直接了解到防火墙内部的网络结构和运行状态,这大大增加了非法访问和攻击的机会。
针对对上缺点,出现了应用代理服务(Application-levelProxyServer)技术。
说明:
应用层的安全防护,主要目的保证信息访问的合法性,确保合法用户根据授权合法的访问数据。
应用层在ISO的体系层次中处于较高的层次,因而其安全防护也是较高级的。
应用层的安全防护是面向用户和应用程序的。
2.3应用代理服务器
应用代理服务技术能够将所有跨越防火墙的网络通信链路分为两段。
防火墙内外计算机系统间应用层的连接,由两个代理服务器之间的连接来实现,外部计算机的网络链路只能到达代理服务器,从而起到隔离防火墙内外计算机系统的作用。
另外代理服务器也对过往的数据包进行分析、记录、形成报告,当发现攻击迹象时会向网络管理员发出警告,并保留攻击痕迹。
其应用层代理服务数据的控制及传输过程如图3所示。
图3代理服务防火墙应用层数据的控制及传输
应用代理服务器对客户端的请求行使“代理”职责。
客户端连接到防火墙并发出请求,然后防火墙连接到服务器,并代表这个客户端重复这个请求。
返回时数据发送到代理服务器,然后再传送给用户,从而确保内部IP地址和口令不在Internet上出现。
优点:
比包过滤防火墙安全,管理更丰富,功能提升容易。
易于记录并控制所有的进/出通信,并对Internet的访问做到内容级的过滤
缺点:
执行速度慢,操作系统容易遭到攻击。
说明:
代理服务器(Proxyserver)是指,处理代表内部网络用户的外部服务器的程序。
客户代理与代理服务器对话,它核实用户请求,然后才送到真正的服务器上,代理服务器在外部网络向内部网络中请服务时发挥了中间转接作用。
内部网络只接收代理服务器提出的服务请求,拒绝外部网络上其他节点的直接请求。
当外部网络向内部网络的节点申请某种服务时,如FTP、WWW、Telnet等,先由代理服务器接收,然后根据其服务类型、服务内容、被服务对象,以及申请者的域名范围、IP地址等因素,决定是否接受此项服务。
如果接受,则由代理服务器向内部网络转发请求,并把应答回送给申请者;否则,拒绝其请求。
根据其处理协议的不同,可分为FTP网关型、WWW网关型、Telnet网关型等防火墙,其优点在于既能进行安全控制,又可加速访问,但实现起来比较困难,对于每一种服务协议必须设计一个代理软件模式,以进行安全控制。
2.4状态检测防火墙
状态检测又称动态包过滤,是在传统包过滤上的功能扩展,最早由CheckPoint提出。
传统的包过滤在遇到利用动态端口的协议时会发生困难,如ftp,你事先无法知道哪些端口需要打开,而如果采用原始的静态包过滤,又希望用到的此服务的话,就需要实现将所有可能用到的端口打开,而这往往是个非常大的范围,会给安全带来不必要的隐患。
而状态检测通过检查应用程序信息(如FTP的port和pass命令),来判断此端口是否允许需要临时打开,而当传输结束时,端口又马上恢复为关闭状态。
状态检测防火墙在网络层由一个检查引擎截获数据包并抽取出与应用层状态有关的信息,并以此作为依据决定对该连接是接受还是拒绝。
检查引擎维护一个动态的状态信息表并对后续的数据包进行检查。
一旦发现任何连接的参数有意外的变化,该连接就被中止。
这种技术提供了高度安全的解决方案,同时也具有较好的性能、适应性和可扩展性。
状态检测防火墙一般也包括一些代理级的服务,它们提供附加的对特定应用程序数据内容的支持(如从HTTP连接中抽取出JavaApplets或ActiveX控件等)。
状态检测技术最适合提供对UDP协议的有限支持。
它将所有通过防火墙的UDP分组均视为一个虚拟连接,当反向应答分组送达时就认为一个虚拟连接已经建立。
每个虚拟连接都具有一定的生存期,较长时间没有数据传送的连接将被中止。
状态检测防火墙克服了包过滤防火墙和应用代理服务器的局限性,他们不仅仅检测“to”或“from”的地址,而且也不要求每个被访问的应用都有代理。
状态检测防火墙根据协议、端口及源、目的地址的具体情况决定数据包是否可以通过。
对于每个安全策略允许的请求,状态检测防火墙启动相应的进程,可以快速地确认符合授权流通标准的数据包,这使得本身的运行非常快速。
清华得实NetST®硬件防火墙综合了包过滤和应用代理服务器两类防火墙的优点,在提供根据数据包地址或端口进行过滤处理的同时还可实现对常用协议的内容过滤,即具备了包过滤类型防火墙的速度,又具备代理类型防火墙的安全。
3.技术指标与支持标准
3.1标准配置防火墙硬件设备指标
机箱外型:
标准1U工业机箱,可安装于19”机架
CPU:
PentiumIII733MHzCPU以上
内部随机存储器:
128MB以上
Image存储器:
32MBDOM/DOC
网络接口:
3个10/100Base-TX以太网接口(1个可扩充接口)
终端控制接口:
RS-232接口
LED指示灯:
11个(系统指示灯2个,网络指示灯9个)
工作温度:
10~30摄氏度
3.2支持协议标准
HTTP协议:
RFC2616,RFC1945
FTP协议:
RFC959,RFC2640,RFC2228
SMTP协议:
RFC821
MIME协议:
RFC2045-2049
POP3协议:
RFC1939,RFC1957,RFC2449
3.3防火墙引擎技术指标
支持协议:
TCP/IP族内的各种协议,如IP、TCP、UDP、IMCP、IGMP等。
NAT(网络地址转换)方法:
支持静态NAT(多对多,多对一,一对一)、动态NAT(IP伪装)等。
系统安全防范:
拒绝服务攻击(pingofdeath,land,synflooding,pingflooding,teardrop等)、端口扫描、IP欺骗、流量限制、用户认证、IP与MAC绑定。
3.4执行标准
GB/T18019-1999包过滤防火墙安全技术要求。
3.5认证注册号
公安部销售许可证号:
XKC33129
4.NetST®防火墙的系统特点
NetST®防火墙功能全面、技术先进、可靠性强、安全性高,具体有以下特点:
4.1一体化的硬件设计
NetST®防火墙采用一体化的硬件设计,可以发挥硬件最高效能,提高系统自身安全性。
一般软件防火墙需要昂贵的高档工作站或高档微机支持,同时系统安全性受操作系统本身安全问题的影响。
使用软件防火墙不仅要求用户提供硬件平台支持,而且防火墙的安全性还要依赖于操作系统。
NetST®防火墙采用一体化的设计,可以根据软件和硬件之间的“协作”要求量身定制,这样充分发挥系统的潜力,保持较高的效率和稳定性。
4.2基于状态检测的防火墙引擎
NetST®防火墙引擎采用国际流行的状态检测包过滤技术,可在线监测当前内外网络的连接状态,根据连接状态动态处理连接情况,对异常的连接状态进行阻断和记录,及时报警。
4.3抗攻击能力
●NetST®防火墙采用专用安全操作系统,安全级别高;
●防电子欺骗(防IP地址欺骗):
NetST®防火墙的防电子欺骗功能保证数据包的IP地址与网关通信接口相符,防止通过修改IP地址的方法进行非授权访问;
●攻击检测功能:
NetST®防火墙系统可以检测到对网络或内部主机的所有TCP/UDP扫描以及多种拒绝服务攻击,如SynFlooding攻击等;
●对外部扫描以及攻击的响应能力:
NetST®防火墙可以对来自外部网络的扫描和多种攻击进行实时响应。
●抗DOS/DDOS攻击:
拒绝服务攻击是一种常见的攻击方式,NetST®防火墙系统不但可以识别此类型攻击,而且可以对抗DOS攻击,使受保护主机免于瘫痪。
4.4高性能的系统核心
NetST®防火墙系统核心专门为防火墙而设计,能大大提高系统性能。
其中核心模块都经过专家详尽分析,并用汇编语言进行全面优化,比同类系统性能提高20%~60%。
4.5双向网络地址转换
NetST®防火墙系统支持动态、静态、双向的网络地址转换(NAT)。
它可以把内部网IP地址转换成因特网IP地址,使得外部网络无法知道内部主机的IP地址,从而伪装内部地址、保护内部主机,进一步增强系统的安全性。
另外,网络地址翻译方式允许内部用户使用非静态的IP地址(符合RFC1918),从而解决了ISP所提供IP地址有限问题。
4.6中立区(DMZ)
为适应越来越多的用户向Internet上提供服务时对服务器进行保护的需要,NetST®防火墙采用区分保护策略保护对外服务器。
防火墙通过一个独立的网络接口为对外服务器提供服务,使对外服务器拥有一个独立的、完全隔离的网段,防火墙可以为这个区域设定独立的安全规则,这就是DMZ技术。
DMZ与外部网络之间有防火墙保护,DMZ与内部网络之间也有防火墙保护,因此,黑客对DMZ区的攻击行为并不会影响内部网用户享用正常的网络服务,内部网仍处于防火墙的保护之下。
4.7完善的访问控制
管理员可以根据系统提供的完善选项,设定网络地址段、网络地址与网络服务端口和访问控制策略。
4.8支持各种标准服务及用户自定义服务
可以支持的协议标准是评价一个防火墙系统的重要指标之一。
NetST®防火墙基于TCP/IP协议,支持Internet上的各种服务(如Webbrowser、E-mail、FTP、Telnet等)、支持基于TCP协议的所有标准应用程序、支持基于UDP的各种应用程序。
而且,还支持像数据库访问这样的商务应用程序和像RealAudio,VDOLive和InternetPhone这样的多媒体应用程序。
用户不必担心使用防火墙后,出现某些服务失效的副作用。
4.9强大的内容过滤功能
系统支持对可能的危险代码或容易挤占网络带宽数据的过滤,如HTML中的Java,ActiveX脚本、音频视频信息、电子邮件中的危险附件等;控制FTP上载/下载的文件类型等;阻止ActiveX、Java、JavaScript等侵入。
4.10便捷的安装配置
提供快速的安装配置功能。
系统通过命令规范,使安全管理员在几分钟内完成防火墙系统设置,简化了安装过程,缩短了因系统安装带来的网络停顿时间。
4.11多级登录权限设置
NetST®防火墙系统支持多级登录权限,管理人员可以灵活设置权限,例如为管理人员设置特殊用户权限。
特权用户登录到防火墙系统时可以拥有不同的功能选项。
通过对访问权限的检查,可实现服务端口访问控制、协议访问控制以及基于IP包的服务类型和安全选项的访问控制。
4.12实时动态监测
NetST®防火墙可对通过防火墙的数据包进行实时监测。
在管理界面中,管理员可以实时监测系统状态,如系统负载、系统使用情况、用户的连接状态等,方便及时地了解系统的状态,并且在必要的时候采取相应的行动。
4.13直观的安全策略设置
安全规则是本产品系统的核心设置之一。
在管理界面中,管理员可以通过按照自定的安全策略修改防火墙规则,直观方便地做规则的增加、修改、查看、删除、插入、排序等操作。
5.NetST®防火墙的安全技术
5.1基于状态检测的防火墙引擎
清华得实NetST®防火墙引擎采用国际流行的状态检测包过滤技术,可在线监测当前内外网络的连接状态,根据连接状态动态处理连接情况,对异常的连接状态进行阻断和记录,及时报警。
包过滤是防火墙中的一项主要安全技术,它通过防火墙对进出网络的数据流进行控制与操作,系统管理员可以设定一系列规则,指定允许哪些类型的数据包可以流入或流出内部网络;哪些类型的数据包传输应该被拦截;NetST®防火墙不仅根据数据包的地址、协议、端口进行访问控制,同时还对任何网络连接和会话的当前状态进行分析和监控。
传统防火墙的包过滤只是与规则表进行匹配,对符合规则的数据包进行处理,不符合规则的丢弃。
由于是基于规则的检查,属于同一连接的不同包毫无任何联系,每个包都要依据规则顺序过滤,这样随着安全规则的增加,势必会使防火墙的性能大幅度的降低,造成网络拥塞,甚至黑客会采用IPSpoolfing的办法将自己的非法包伪装成属于某个合法的连接,这样的包过滤既缺乏效率又容易产生安全漏洞。
NetST®防火墙采用了基于连接状态检查的包过滤,将属于同一连接的所有包作为一个整体的数据流看待,通过规则表与连接状态表的共同配合,大大的提高了系统的性能和安全性。
NetST®防火墙在进行包的检测时不仅将其看成是独立的单元,同时还要考虑与它的前面包的关联性。
例如,在基于TCP/IP协议的连接中,每个包在传输时都包括了IP源地址、IP目的地址协议的源接口和目的接口等信息,还包括了对在允许的时间间隔内是否发生了TCP握手消息的监视信息等。
这些信息与每个数据包都是有关联的,换句话说,对于属于同一个连接的数据包来说并不是完全孤立的,它们存在内部的关联信息。
无连接的包过滤规则没有考虑这些内在的关联信息,而是对每个数据包都进行孤立的规则检测,这样就降低了传输效率。
对于基于UDP协议的应用来说,是很难用简单的包过滤技术对其处理的。
因为UDP协议本身对于顺序错误或丢失的包,是不做纠错或重传的。
NetST®防火墙在对基于UDP协议的连接处理时,会为UDP建立虚拟的连接,同样能够对连接过程状态进行监控,通过规则与连接状态的共同配合,达到包过滤的高效与安全。
5.2双向的网络地址转换(NAT)
网络地址转换也称为地址共享器(AddressSharer)或地址映射器,设计它的初衷是为了解决IP地址不足,现多用于网络安全。
内部主机向外部主机连接时,使用同一个IP地址;相反地,外部主机要向内部主机连接时,必须通过网关映射到内部主机上。
它使外部网络看不到内部网络,从而隐藏内部网络,达到保密作用,使系统的安全性提高,并且节约从ISP得到的外部IP地址。
NetST®防火墙墙利用NAT技术能对所有内部地址做转换,使外部网络无法了解内部网络的结构,使黑客很难对内部网的一个用户发起攻击,同时允许内部网络使用自己定制的IP地址和专用网络,防火墙能详尽记录每一个主机的通信,确保每个分组送往正确的地址。
NetST®防火墙提供了“内部网到外部网”、“外部网到内部网”的双向NAT功能,同时支持两种方式的网络地址转换,一种为静态地址映射,即外部地址和内部地址一对一的映射,使内部地址的主机既可以访问外部网络,也可以接受外部网络提供的服务。
另一种是更灵活的方式,可以支持多对一的映射,即内部的多个机器可以通过一个外部有效地址访问外部网络。
系统提供的双向NAT功能,可以使系统管理员自行设置内部的地址而不必对外公开,隐藏了内部网络的真实地址,从而使外来的黑客无法探知内部网络的结构;同时也可以解决IP地址短缺的问题,并提高整体的安全性。
5.3协议过滤
NetST®防火墙系统支持现有的95种通信协议和730种应用服务,包括WWW、FTP、POP3、数据库服务、多媒体服务、Microsoft网络服务等等。
用户不必担心使用了防火墙后出现某些服务失效的副作用。
协议过滤是对无论是从内网还是从外网进入防火墙的数据包,都要进行检查。
对协议的过滤行为有丢弃(“drop”,拒绝数据包通过)、接受(“accept”,允许数据包通过)和进行内容过滤(“content”,进行数据包的内容检查)三种,网络中常用的协议有TCP、UDP、ICMP等。
5.4IP地址过滤
IP地址过滤是指定为某些IP地址的计算机提供相关服务。
5.5端口过滤
端口过滤,即指定为某些端口提供服务,如允许WWW浏览的端口为80,允许ftp服务的端口为21,邮件发送(SMTP)服务端口为25,邮件接收服务(POP3)端口110等。
5.6HTTP协议内容过滤
在进行www访问时,人们总会担心遭到病毒或恶意代码的攻击,这就需要进行内容检查。
这些病毒可以通过用户下载的Jave和ActiveX小程序(Applet)进行传播。
带病毒的Applet激活后,又可能下载别的Applet。
防火墙能够监控Applet的运行,或者给Applet加上标签,让用户知道他们的来源。
NetST®防火墙通过创建规则来指定数据包的来源、目标和传送到内容过滤服务器。
NetST®防火墙支持脚本、代码过滤,可使HTML页面中的各种脚本和Java小程序失效,可以避免可能的恶意代码所造成的损失。
NetST®防火墙还支持各种多媒体类型数据的过滤,包括图像、声频、视频等,以提高网络带宽的有效利用率,提高企业员工的工作效率。
此外,还支持URL过滤。
NetST®防火墙提取出HTTP请求中的URL,然后,将URL传送到UFP服务器,由UFP服务器确定是否允许此请求通过。
5.7FTP协议内容过滤
NetST®防火墙通过创建规则来指定数据包的来源、目标和传送到内容过滤服务器。
为防止内部信息泄漏或浪费网络带宽,NetST®防火墙支持用户自行设定拒绝向服务器上传和下载的文件类型表,并禁止在此文件类型范围内的文件传送请求。
5.8SMTP协议附件内容过滤
NetST®防火墙通过创建规则来指定数据包的来源、目标和传送到内容过滤服务器。
NetST®防火墙利用MIME协议附加在邮件上的附件文件类型,让用户可自行设定拒绝发送的邮件附件文件类型表,并禁止对此文件类型范围内的邮件发送请求。
5.9POP3协议内容过滤
NetST®防火墙通过创建规则来指定数据包的来源、目标和传送到内容过滤服务器。
NetST®防火墙利用MIME协议附加在邮件上的附件文件类型,让用户可自行设定危险的附件文件类型表,NetST®防火墙对此文件类型范围内的附件文件的收取将修改文件的后缀名以使其暂时失效,从而可有效防止邮件病毒的攻击。
5.10用户身份访问控制
NetST®防火墙支持按用户身份进行访问控制。
用户需要首先进行登录,由防火墙/外置的身份验证服务器验证用户的身份和网络访问的权限,防火墙根据用户登录的情况动态调整规则允许以用户工作站访问网络;用户在结束网络使用后需要注销用户。
5.11IP与MAC地址绑定
IP与MAC地址绑定是将IP地址和网卡的硬件地址绑定起来,当发现某IP和绑定的硬件地址不相符时,将拒绝为该IP服务。
MAC绑定技术主要用于绑定一些重要的管理IP和特权IP,在特定
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- NetST 专业技术 白皮书