Firewall whitebook0101.docx
- 文档编号:9209679
- 上传时间:2023-02-03
- 格式:DOCX
- 页数:76
- 大小:701.12KB
Firewall whitebook0101.docx
《Firewall whitebook0101.docx》由会员分享,可在线阅读,更多相关《Firewall whitebook0101.docx(76页珍藏版)》请在冰豆网上搜索。
Firewallwhitebook0101
阿姆瑞特F系列防火墙
技术白皮书
阿姆瑞特(亚洲)网络有限公司
目录
前言3
第一章阿姆瑞特防火墙产品线4
第二章阿姆瑞特防火墙组成11
2.1阿姆瑞特防火墙(硬件)11
2.2防火墙内核11
2.3防火墙管理器12
2.4Amaranten防火墙日志服务器13
第三章防火墙的功能14
3.1数据包状态检测过滤14
3.2强大的防御功能14
3.3虚拟路由器15
3.4支持DHCP客户端16
3.5支持DHCPRelay16
3.6支持DHCPServer16
3.7支持ADSL接入16
3.8基于策略的路由(PBR)17
3.9多链路备份17
3.10支持H.323协议17
3.11支持SIP协议17
3.12内容过滤17
3.13支持OSPF18
3.14策略时间表18
3.15支持VLAN18
3.16提供CoS/QoS(服务级别/服务质量)服务19
3.17IP地址和MAC地址绑定20
3.18支持双机热备20
3.19支持接口备份20
3.20支持与防病毒网关联动21
3.21防火墙和IDS联动21
3.22支持Radius认证21
3.23本地用户数据库21
3.24NAT地址转换21
3.25反向地址映射22
3.26支持负载均衡22
3.27多重DMZ区保护22
3.28VPN功能23
3.29丰富的日志审计23
3.30GRE隧道封装24
3.31PPTP和L2TP客户端和服务器24
3.32灵活的IPSec24
3.33多种接入模式24
3.34安全的远程升级25
3.35独特的防火墙状态监测25
第四章防火墙的管理26
4.1分级管理26
4.2基于对象名称过滤26
4.3组策略管理26
4.4预定义服务27
4.5便捷的策略模板27
4.6集中远程管理27
4.7专业级防火墙管理28
4.8支持SNMP协议28
4.9远程Console控制28
4.10NTP时钟同步29
第五章 防火墙性能30
第六章防火墙应用范例32
6.1在XXXXX电信网中的“高可靠性”功能特点:
32
6.2在XXX企业网中的“混合接入”功能特点:
32
6.3在XXX石化网中的“支持VLAN”功能特点:
33
6.4在XXX银行证券网中的“多DMZ区保护”的功能特点:
34
6.5在XXX电力网中“内网安全分段”的功能特点35
6.6在XXXX宽带网上的“动态IP分配”的功能特点:
35
6.7在xxxx大学“多出口”的应用36
6.8VPN的点对点接入的应用37
6.9星型拓扑的VPN接入的应用37
6.10动态IP地址接入应用38
6.11NAT穿越的接入应用39
6.12XXXX网站“端口映射”应用40
6.13在无线网络的“带宽保证”的应用41
前言
Internet的发展给政府机构、银行、证券、企事业单位带来了革命性的改革和变化。
互联网技术的迅猛发展使企业通过利用Internet来提高办事效率和市场反应速度,以便更具竞争力。
通过使用Internet技术,任何一个单位的数据资料的传输和存取都变得方便、快捷,但同时也面对Internet开放带来的数据安全的新挑战和新危险:
即客户、销售商、移动用户、异地员工和内部人员的安全访问;以及保护国家机关、企事业的机密信息不受黑客和商业间谍的入侵。
众所周知,作为全球使用范围最大的信息网,Internet自身协议的开放性极大地方便了各种计算机入网,实现了资源共享。
然而,由于在早期网络协议设计上对安全问题的疏忽,以及在使用和管理的无政府状态,逐渐使Internet自身的安全受到严重威胁,与它有关的安全事故屡有发生。
这就促使我们对网络互连所带来的安全性问题予以足够重视。
如何能够在保证我们网络在正常使用的基础上又保证网络的安全性,这就不得不考虑到一种重要的设备——防火墙。
防火墙是一种高级访问控制设备,它是置于不同网络安全域之间的一系列部件的组合,是不同网络安全域间通信流的唯一通道,能根据企业有关的安全政策控制(允许、拒绝、监视、记录)进出网络的访问行为。
防火墙的工作原理是按照事先规定好的配置和规则,监测并过滤所有通向外部网和从外部网传来的信息,只允许授权的数据通过,防火墙还应该能够记录有关的联接来源、服务器提供的通信量以及试图闯入者的任何企图,以方便管理员的监测和跟踪。
第一章阿姆瑞特防火墙产品线
阿姆瑞特公司拥有丰富的产品线,能满足不同的网络环境的需求。
阿姆瑞特防火墙产品共分为4个等级,11种产品型号(F50-NP、F100-NP、F100-UP、F100-Pro、F300-Pro、F600-UP、F600-Pro、F600+、F1800、F3000、F5000其中F50-NP和F100-NP两款产品均采用NP硬件平台,F600-UP以上的高端及电信级系列产品均采用ASIC硬件加速技术),从SOHO用户到大型IDC/ISP用户都遍布阿姆瑞特防火墙的身影。
我们的产品适用于SOHO用户,小型、中型或大型企业,高校、金融机构,高流量的电子商务网站,电信、IDC/ISP以及其他网络安全的环境。
电信级产品
TelcoXpress系列
中低端产品
CorpXpress系列
NP产品
EntXpress系列
高端产品
EntXpress系列
AS-F50-NP
AS-F100-NP
AS-F100-UP
AS-F100-Pro
AS-F300-Pro
AS-F600-UP
AS-F600-Pro
AS-F600+
AS-F1800
AS-F3000
AS-F5000
性能
并发连接数
4000
16000
128000
200000
320000
512000
1000000
1000000
2000000
3000000
5000000
明文吞吐量(Mbps)
50(可升至75)
100(可升至200)
120
200
400
800
1000
1500
2000
3000
4000
VPN吞吐量(Mbps)
20
40
95
95
130
600
800
1000
1000
1000
1000
用户数限制
无用户数限制
无用户数限制
无用户数限制
无用户数限制
无用户数限制
无用户数限制
无用户数限制
无用户数限制
无用户数限制
无用户数限制
无用户数限制
网络接口
防火墙接口数量
(4+6)×
10/100M电口
(4+6)×
10/100M电口
4×
10/100M电口
6×
10/100M电口
6×
10/100M电口
+2×
10/100/1000M电口
4×
10/100M电口
+2×
10/100/1000M电口
+8×MiniGBIC插槽
4×
10/100M电口
+2×
10/100/1000M电口
+8×MiniGBIC插槽
4×
10/100M电口
+2×
10/100/1000M电口
+8×MiniGBIC插槽
4×
10/100M电口
+2×
10/100/1000M电口
+8×MiniGBIC插槽
4×
10/100M电口
+2×
10/100/1000M电口
+8×MiniGBIC插槽
4×
10/100M电口
+2×
10/100/1000M电口
+8×MiniGBIC插槽
接口对称式设计
•
•
•
•
•
•
•
•
•
•
•
VLAN(IEEE802.1Q)支持
•
•
•
•
•
•
•
•
•
•
•
VLAN数量
64
256
256
256
512
1,024
2,048
2,048
2,048
4,096
4,096
每个VLAN的访问和带宽控制
•
•
•
•
•
•
•
•
•
•
•
PPPoE支持
•
•
•
•
•
•
•
•
•
•
•
接口组定义
•
•
•
•
•
•
•
•
•
•
•
安全\传输对等接口组定义
•
•
•
•
•
•
•
•
•
•
•
访问控制
最大规则数量
500
1,000
1,000
1,000
2,000
8,000
16,000
16,000
16,000
32,000
32,000
预定义的UDP/TCP/IP服务过滤
•
•
•
•
•
•
•
•
•
•
•
IP子协议过滤
•
•
•
•
•
•
•
•
•
•
•
TCP/UDP端口过滤
•
•
•
•
•
•
•
•
•
•
•
预定义ICMP消息类型
•
•
•
•
•
•
•
•
•
•
•
自定义ICMP消息
•
•
•
•
•
•
•
•
•
•
•
自定义ICMP代码
•
•
•
•
•
•
•
•
•
•
•
预定义服务
•
•
•
•
•
•
•
•
•
•
•
FTP代理(应用层网关)
•
•
•
•
•
•
•
•
•
•
•
HTTP代理,URL过滤(应用层网关)
•
•
•
•
•
•
•
•
•
•
•
H.323代理(应用层网关)
•
•
•
•
•
•
•
•
•
•
•
Schedule(时间表过滤)
•
•
•
•
•
•
•
•
•
•
•
随机的TCPISN
•
•
•
•
•
•
•
•
•
•
•
地址转换
NAT(符合RFC1631标准)
•
•
•
•
•
•
•
•
•
•
•
SAT(静态地址转换)
•
•
•
•
•
•
•
•
•
•
•
多对一的地址SAT
•
•
•
•
•
•
•
•
•
•
•
针对规则的地址转换
•
•
•
•
•
•
•
•
•
•
•
地址解析和路由
静态IP地址
•
•
•
•
•
•
•
•
•
•
•
CIDR支持
•
•
•
•
•
•
•
•
•
•
•
OSPF动态路由协议的支持
•
•
•
•
•
•
•
•
•
•
•
多WAN链路的接口备份
•
•
•
•
•
•
•
•
•
•
•
多服务器的冗余
•
•
•
•
•
•
•
•
•
•
•
虚拟系统\路由
•
•
•
•
•
•
•
•
•
•
•
IP地址范围
•
•
•
•
•
•
•
•
•
•
•
IP和网络组定义
•
•
•
•
•
•
•
•
•
•
•
静态ARP数量
1,024
1,024
1,024
1,024
1,024
1,024
1,024
1,024
1,024
1,024
1,024
在ARP中使用动态发布的IP地址
•
•
•
•
•
•
•
•
•
•
•
在ARP中使用动态发布的MAC地址
•
•
•
•
•
•
•
•
•
•
•
IP和MAC地址绑定
•
•
•
•
•
•
•
•
•
•
•
APR代理
•
•
•
•
•
•
•
•
•
•
•
DHCPSEVER
•
•
•
•
•
•
•
•
•
•
•
DHCP中继代理
•
•
•
•
•
•
•
•
•
•
•
DHCP客户端
•
•
•
•
•
•
•
•
•
•
•
静态路由
•
•
•
•
•
•
•
•
•
•
•
基于策略的路由
•
•
•
•
•
•
•
•
•
•
•
静态路由数量
64
128
128
128
512
1,024
2,048
2,048
2048
4,096
4,096
基于规则的路由
•
•
•
•
•
•
•
•
•
•
•
一致性检测和强大的防御功能
防火墙与IDS联动
•
•
•
•
•
•
•
•
•
•
•
非法地址检测
•
•
•
•
•
•
•
•
•
•
•
IP校验和检查
•
•
•
•
•
•
•
•
•
•
•
TTL控制
•
•
•
•
•
•
•
•
•
•
•
IP包长度一致性检查
•
•
•
•
•
•
•
•
•
•
•
IP包选项长度检查
•
•
•
•
•
•
•
•
•
•
•
IP源路由项检查
•
•
•
•
•
•
•
•
•
•
•
IPTimestamp检查
•
•
•
•
•
•
•
•
•
•
•
IP包错误选项检查
•
•
•
•
•
•
•
•
•
•
•
IP包保留标志位检查
•
•
•
•
•
•
•
•
•
•
•
TCPBlindSpoofing保护
•
•
•
•
•
•
•
•
•
•
•
TCP包头的选项长度检查
•
•
•
•
•
•
•
•
•
•
•
TCPMSS控制
•
•
•
•
•
•
•
•
•
•
•
TCPWindow范围控制
•
•
•
•
•
•
•
•
•
•
•
TCP可选条件下的ACK标志位检查
•
•
•
•
•
•
•
•
•
•
•
TCPTimestamp检查
•
•
•
•
•
•
•
•
•
•
•
TCP校验和检查
•
•
•
•
•
•
•
•
•
•
•
TCPConnectionCount
•
•
•
•
•
•
•
•
•
•
•
TCP错误选项检查
•
•
•
•
•
•
•
•
•
•
•
TCP标志位组合检查
•
•
•
•
•
•
•
•
•
•
•
TCP保留字段组合检查
•
•
•
•
•
•
•
•
•
•
•
TCP空包检查
•
•
•
•
•
•
•
•
•
•
•
ICMP响应控制
•
•
•
•
•
•
•
•
•
•
•
防止ARP欺诈
•
•
•
•
•
•
•
•
•
•
•
严格的接口匹配
•
•
•
•
•
•
•
•
•
•
•
连接超时控制
•
•
•
•
•
•
•
•
•
•
•
负载大小控制
•
•
•
•
•
•
•
•
•
•
•
分段重组时间控制
•
•
•
•
•
•
•
•
•
•
•
对非法分段的检查
•
•
•
•
•
•
•
•
•
•
•
重复段的检查
•
•
•
•
•
•
•
•
•
•
•
分段的ICMP包控制
•
•
•
•
•
•
•
•
•
•
•
VPN
加密算法
AES(Rijndael),3DES,DES,Twofish,Blowfish,CAST-128
认证算法
SHA-1,MD5
并发VPN通道数
25
100
120
120
1,200
1,600
2,000
2,000
2000
2,000
2,000
IKE模式
Main,Aggressive
PerfectForwardSecrecy
DHGroups1,2,5
安全关联参数(SA)
网络、主机、协议或端口
密钥管理
X.509证书和共享口令,XAuth用户认证
用户认证
Built-inDatabase;IP,DNS-name,Radius,E-mailorX.500DistinguishedName
带宽限制和保障
•
•
•
•
•
•
•
•
•
•
•
LAN-to-LANVPN
•
•
•
•
•
•
•
•
•
•
•
移动客房端
•
•
•
•
•
•
•
•
•
•
•
星形VPN设计
•
•
•
•
•
•
•
•
•
•
•
PKI证书请求(PKCS#7,PKCS#11)
•
•
•
•
•
•
•
•
•
•
•
自签名的证书
•
•
•
•
•
•
•
•
•
•
•
在线证书状态协议(OCSP)
•
•
•
•
•
•
•
•
•
•
•
DHCPinIPSec
•
•
•
•
•
•
•
•
•
•
•
遵循RPC标准
SecurityArchitecturefortheInternetProtocol(RFC2401),AH(RFC2402),
ESP(RFC2406),ISAKMPDOI(RFC2407),ISAKMP(RFC2408),IKE(RFC2409)
对PPTP\L2TP\GRE的支持
•
•
•
•
•
•
•
•
•
•
•
动态地址建立VPN
•
•
•
•
•
•
•
•
•
•
•
IPSec通过XAuth做用户验证
•
•
•
•
•
•
•
•
•
•
•
带宽管理
操作模式
流量管道
优先级
每个管道具有8个优先级
可应用的限制
宽带,每秒数据(IP)包数
粒度
每条规则/1Kbps/1pps
流量平衡
•
•
•
•
•
•
•
•
•
•
•
管道链
•
•
•
•
•
•
•
•
•
•
•
高可用性
高可能性支持
-
-
-
-
•
•
•
•
•
•
•
状态同步
-
-
-
-
•
•
•
•
•
•
•
VPN同步
-
-
-
-
•
•
•
•
•
•
•
设备故障检测
-
-
-
-
•
•
•
•
•
•
•
同步的方法
防火墙上的任意以太网接口
链路备份
-
-
-
-
•
•
•
•
•
•
•
接口备份
•
•
•
•
•
•
•
•
•
•
•
平均故障恢复时间(ms)
<600
日志
网络日志存储
•
•
•
•
•
•
•
•
•
•
•
本地日志存储
-
-
-
-
-
-
-
-
-
-
-
阿姆瑞特日志服务器
MicrosoftWindowsNT,2000,XP
Syslog
•
•
•
•
•
•
•
•
•
•
•
实时日志察看器
•
•
•
•
•
•
•
•
•
•
•
最大日志服务器数量
8
8
8
8
8
8
8
8
8
8
8
日志服务器分组
•
•
•
•
•
•
•
•
•
•
•
针对每条规则记录日志
•
•
•
•
•
•
•
•
•
•
•
DropEntryByteDump(150bytes)
•
•
•
•
•
•
•
•
•
•
•
自动压缩日志文件
•
•
•
•
•
•
•
•
•
•
•
日志文件包装
•
•
•
•
•
•
•
•
•
•
•
图形化日志分析器
包含在阿姆瑞特防火墙管理工具中
基于命令行的日志查询工具
MicrosoftWindows,Linux
日志文件导出格式
CSV
NetIQWebTrends支持
•
•
•
•
•
•
•
•
•
•
•
防火墙监控
实时性能监视
包含在阿姆瑞特防火墙管理工具中
SNMPPolling
•
•
•
•
•
•
•
•
•
•
•
可监视的项
CPULoad,Forwardedbps,Forwardedpps,Bufferusage,Connection,Ruleusage,ppsin/out/totalperinterface/VLAN/VPNTunnel/Pipe,bpsin/pout/totalperinterface/VLAN/VPNTunnerl/Pipe,Drops,IPerrors,Sendfails,ICMPreceived,Fragsreceived,FragreassOK,Fragreassfail,Numusers,DynLimitbps,DelayedP
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- Firewall whitebook0101